资源描述
第6章 开放系统互连安全体系结构,6.1 网络体系结构及协议 6.2 OSI安全体系结构的5类安全服务 6.3 OSI安全体系结构的安全机制 6.4 OSI安全服务与安全机制的关系 6.5 在OSI层中的安全服务配置,6.6 OSI安全体系的安全管理 6.7 本章小结 习题,网络体系结构是计算机之间相互通信的层次,以及各层中的协议和层次之间接口的集合。网络协议是计算机网络和分布系统中互相通信的对等实体间交换信息时所必须遵守的规则的集合。,6.1 网络体系结构及协议,共享计算机网络的资源,以及在网络中交换信息,就需要实现不同系统中的实体的通信。实体包括用户应用程序、文件传送包、数据库管理系统、电子邮件设备以及终端等,系统包括计算机、终端和各种设备等。一般来说,实体是能发送和接收信息的任何东西,而系统是物理上明显的物体,它包含一个或多个实体。两个实体要想成功地通信,必须具有同样的语言。交流什么,怎样交流及何时交流,都必须遵从实体间都能接受的一些规则,这些规则的集合称为协议。,6.1.1 分层和协议,协议包含如下关键成分: (1) 语法(syntax),包括数据格式、编码及信号电平等。 (2) 语义(semantics),包括用于协调和差错处理的控制信息。 (3) 定时(timing),包括速度匹配和排序。 由于不同系统中的实体间通信的任务十分复杂,不可能作为一个整体来处理,否则任何一方面发生变化,就要修改整个软件包。一种替代的办法是使用结构式的设计和实现技术,用分层或层次结构的协议集合。较低级别的、更原始的功能在较低级别的实体上实现,而它们又向较高级别的实体提供服务。图6.1表示一般的结构或协议集合,并画出了两个站经由多个交换网连接的情况。,图6.1 通信协议之间的关系,1号站和2号站都有一个或多个希望通信的应用程序。在图6.1中每一对通信协议之间的关系相似的实体中需要一种面向应用的协议,以协调两个应用模块的行动,并保证共同的语法和语义。这一协议无须知道有关中间通信网络设施的情况,但是要利用网络服务实体所提供的服务。网络服务实体与另一个站中的相应实体要有一个进程的协议,这一协议要处理诸如信息流控制和差错控制之类的事务。在1号站和A网之间以及2号站和B网之间也必须有协议。,国际标准化组织ISO在1979年建立了一个分委员会来专门研究一种用于开放系统的体系结构,提出了开放系统互连(Open System Interconnection,OSI)模型,这是一个定义连接异种计算机的标准主体结构。由于ISO组织的权威性,使OSI协议成为广大厂商努力遵循的标准。OSI为连接分布式应用处理的“开放”系统提供了基础,“开放”这个词表示能使任何两个遵守参考模型的有关标准的系统进行连接。,6.1.2 开放系统互连参考模型,OSI采用了分层的结构化技术。ISO分委员会的任务是定义一组层次和每层所完成的服务。划分层次时应该从逻辑上对功能进行分组。层次应该足够多,以使每一层小到易于管理,但是也不能太多,否则汇集各层的处理开销太大。OSI参考模型共有7层:物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。如图6.2所示。,图6.2 OSI参考模型,OSI参考模型具有如下特性: 它是一种将异构系统互连的分层结构; 它提供了控制互连系统交互规则的标准骨架; 它定义了一种抽象结构,而并非具体实现的描述; 不同系统上的相同层的实体为同等层实体; 同等层实体之间的通信由该层的协议管理; 相邻层间的接口定义了原语操作的低层向上层提供的服务;,它所提供的公共服务是面向连接的或无连接的数据服务; 直接的数据传送仅在最低层实现; 每层完成所定义的功能,修改本层的功能并不影响其他层。 下面简要介绍各层的功能。,1.物理层 (1) 提供为建立、维护和拆除物理链路所需要的机械的、电气的、功能的和规程的特性。 (2) 提供有关在物理链路上传输非结构的位流以及故障检测指示。 2.数据链路层 (1) 在网络层实体间提供数据发送和接收的功能和过程。 (2) 提供数据链路的流控。,3.网络层 (1) 控制分组传送系统的操作、路由选择、拥挤控制、网络互联等功能,它的作用是将具体的物理传送对高层透明。 (2) 根据传输层的要求选择服务质量。 (3) 向传输层报告未恢复的差错。 4.传输层 (1) 提供建立、维护和拆除传送连接的功能。 (2) 选择网络层提供最合适的服务。 (3) 在系统之间提供可靠的、透明的数据传送,提供端到端的错误恢复和流量控制。,5.会话层 (1) 提供两进程之间建立、维护和结束会话连接的功能。 (2) 提供交互会话的管理功能,如3种数据流方向的控制,即一路交互、两路交替和两路同时会话模式。 6.表示层 (1) 代表应用进程协商数据表示。 (2) 完成数据转换、格式化和文本压缩。,7.应用层 提供OSI用户服务,例如事务处理程序、文件传送协议和网络管理等。 开放系统互连参考模型的基本构造技术是分层。每层的目的都是为上层提供某种服务,把这些层与提供服务的细节分开就形成结构化模型。 在互连的开放系统中,各子系统的同一层共同构成开放系统中的一层,一般表示为N层某一特定层;N+1层相邻的高层;N-1层相邻的低层。,在OSI参考模型中,对等实体的通信必须通过相邻低层以及下面各层通信来完成。从N+1实体看,对等N+1实体间的通信只能通过相邻对等N实体完成。N实体向N+1实体提供相互通信的能力称N服务,即N+1实体通过请求N服务完成对等实体通信。应注意的是,N服务同时也要使用较低层提供的服务功能。 OSI安全体系结构的研究始于1982年,于1988年完成,其成果标志是ISO发布了ISO7498-2标准,作为OSI基本参考模型的补充。这是基于OSI参考模型的七层协议之上的信息安全体系结构。它定义了5类安全服务、8种特定的安全机制、5种普遍性安全机制。它确定了安全服务与安全机制的关系以及在OSI七层模型中安全服务的配置。它还确定了OSI安全体系的安全管理。,1.鉴别 鉴别服务提供对通信中的对等实体和数据来源的鉴别,分述如下。 (1) 对等实体鉴别 确认有关的对等实体是所需的实体。这种服务由N层提供时,将使N+1层实体确信与之打交道的对等实体正是它所需要的N+1实体。,6.2 OSI安全体系结构的5类安全服务,这种服务在连接建立或在数据传送阶段的某些时刻提供使用,用以证实一个或多个连接实体的身份。使用这种服务可以(仅仅在使用时间内)确信:一个实体此时没有试图冒充(一个实体伪装为另一个不同的实体)别的实体,或没有试图将先前的连接作非授权地重放(出于非法的目的而重新发送截获的合法通信数据项的拷贝);实施单向或双向对等实体鉴别也是可能的,可以带有效期检验,也可以不带。这种服务能够提供各种不同程度的鉴别保护。,(2) 数据原发鉴别 确认接收到的数据的来源是所要求的。这种服务当由N层提供时,将使N+1实体确信数据来源正是所要求的对等N+1实体。数据原发鉴别服务对数据单元的来源提供确认。这种服务对数据单元的重放或篡改不提供鉴别保护。,2.访问控制 防止对资源的未授权使用,包括防止以未授权方式使用某一资源。这种服务提供保护以对付开放系统互连可访问资源的非授权使用。这些资源可以是经开放系统互连协议访问到的OSI资源或非OSI资源。这种保护服务可应用于对资源的各种不同类型的访问(例如,使用通信资源、读写或删除信息资源、处理资源的操作),或应用于对某种资源的所有访问。 这种访问控制要与不同的安全策略协调一致。,3.数据机密性 这种服务对数据提供保护,使之不被非授权地泄露。具体分为以下几种: (1) 连接机密性 这种服务为一次N连接上的全部N用户数据保证其机密性。但对于某些使用中的数据,或在某些层次上,将所有数据(例如加速数据或连接请求中的数据)都保护起来反而是不适宜的。 (2) 无连接机密性 这种服务为单个无连接的NSDU(N层服务数据单元)中的全部N用户数据提供机密性保护。,(3) 选择字段机密性 这种服务为那些被选择的字段保证其机密性,这些字段或处于N连接的N用户数据中,或为单个无连接的N-SDU中的字段。 (4) 通信业务流机密性 这种服务提供的保护,使得无法通过观察通信业务流推断出其中的机密信息。,4.数据完整性 这种服务对付主动威胁。在一次连接上,连接开始时使用对某实体的鉴别服务,并在连接的存活期使用数据完整性服务就能联合起来为在此连接上传送的所有数据单元的来源提供确证,为这些数据单元的完整性提供确证,例如使用顺序号,可为数据单元的重放提供检测。数据完整性可分为以下几种: (1) 带恢复的连接完整性 这种服务为N连接上的所有N用户数据保证其完整性,并检测整个SDU序列中的数据遭到的任何篡改、插入、删除或同时进行补救或恢复。 (2) 无恢复的连接完整性 与上款的服务相同,只是不做补救或恢复。,(3) 选择字段的连接完整性 这种服务为在一次连接上传送的NSDU的N用户数据中的选择字段保证其完整性,所取形式是确定这些被选字段是否遭受了篡改、插入、删除或不可用。 (4) 无连接完整性 这种服务当由N层提供时,对发出请求的那个N+1实体提供了完整保护。 这种服务为单个的无连接的SDU保证其完整性,所取形式可以是一个接收到的SDU是否遭受了篡改。此外,在一定程度上也能提供对连接重放的检测。 (5) 选择字段无连接完整性 这种服务为单个连接上的SDU中的被选字段保证其完整性,所取形式为被选字段是否遭受了篡改。,5.抗否认 这种服务可取如下两种形式,或两者之一: (1) 有数据原发证明的抗否认 为数据的接收者提供数据的原发证据。这将使发送者不承认未发送过这些数据或否认其内容的企图不能得逞。 (2) 有交付证明的抗否认 为数据的发送者提供数据交付证据。这将使接收者事后不承认收到过这些数据或否认其内容的企图不能得逞。,1.特定的安全机制 本节所列的8种安全机制可以设置在适当的N层上,以提供6.2中所述的某些安全服务,分述如下。 (1) 加密 对数据进行密码变换以产生密文。加密可以是不可逆的,在这种情况下,相应的解密过程便不能实现了。 加密既能为数据提供机密性,也能为通信业务流信息提供机密性,并且是其他安全机制中的一部分或对安全机制起补充作用。,6.3 OSI安全体系结构的安全机制,大多数应用不要求在多个层加密,加密层的选取主要取决于下列几个因素: 如果要求全通信业务流机密性,那么将选取物理层加密,或传输安全手段(例如,适当的扩频技术)。足够的物理安全,可信任的路由选择以及在中继上的类似机制能够满足所有的机密性要求。 如果要求细粒度保护(即对不同应用提供不同的密钥),和抗否认或选择字段保护,那么将选取表示层加密。由于加密算法耗费大量的处理能力,所以选择字段保护是很重要的。在表示层中的加密能提供不带恢复的完整性、抗否认以及所有的机密性。,如果希望实现所有端系统到端系统通信的简单块保护,或希望有一个外部的加密设备(例如,为了给算法和密钥加物理保护,或防止错误软件),那么将选取网络层加密。这能够提供机密性与不带恢复的完整性。虽然在网络层不提供恢复,但传输层的正常的恢复机制能够恢复网络层检测到的攻击。 如果要求带恢复的完整性,同时又具有细粒度保护,那么将选取传输层加密。这能提供机密性、带恢复的完整性或不带恢复的完整性。 对于今后的实施,不推荐在数据链路层上加密。 当关系到这些主要因素中的两项或多项时,可能需要在多个层上提供加密。, 加密算法可以是可逆的,也可以是不可逆的。 可逆加密算法有两大类: 对称(即秘密密钥)加密。对于这种加密,知道了加密密钥也就意味着知道了解密密钥,反之亦然。 非对称(即公开密钥)加密。对于这种加密,知道了加密密钥并不意味着也知道了解密密钥,反之亦然。 不可逆加密算法可以使用密钥,也可以不使用。若使用密钥,密钥可以是公开的,也可以是秘密的。 除了某些不可逆加密算法的情况外,加密机制的存在便意味着要使用密钥管理机制。密钥管理方法上的一些准则将在第18章中给出。,(2) 数字签名机制 数字签名是附加在数据单元上的一些数据,或是对数据单元所作的密码变换,这种数据或变换允许数据单元的接收者确认数据单元来源和数据单元的完整性,并保护数据,防止被人(例如接收者)伪造。 数字签名机制确定两个过程:对数据单元签名;验证签过名的数据单元。 第一个过程使用签名者所私有的(即独有的和机密的)信息。第二个过程所用的规程与信息是公之于众的,但不能从它们推断出该签名者的私有信息。,数字签名机制具有如下特点: 签名过程使用签名者的私有信息作为私钥,或对数据单元进行加密,或产生出该数据单元的一个密码校验值。 验证过程使用公开的规程与信息来决定该签名是否是用签名者的私有信息产生的。 签名机制的本质特征为该签名只有使用签名者的私有信息才能产生出来。因而,当该签名得到验证后,它能在事后的任何时候向第三方(例如法官或仲裁人)证明只有那个私有信息的惟一拥有者才能产生这个签名。,(3) 访问控制机制 为了决定和实施一个实体的访问权,访问控制机制可以使用该实体已鉴别的身份,或使用有关该实体的信息(例如它与一个已知的实体集的从属关系),或使用该实体的权利。如果这个实体试图使用非授权的资源,或者以不正当方式使用授权资源,那么访问控制功能将拒绝这一企图,另外还可能产生一个报警信号或记录它作为安全审计跟踪的一个部分来报告这一事件。对于无连接数据传输,发给发送者的拒绝访问的通知只能作为强加于原发的访问控制结果而被提供。,访问控制机制可以使用下列一种或多种手段。 访问控制信息库: 保存对等实体的访问权限。信息可以由授权中心保存,或由正被访问的那个实体保存。信息的形式可以是一个访问控制表,或是等级结构的矩阵。使用这一手段要预先假定对等实体的鉴别已得到保证。 鉴别信息: 例如口令,对这一信息的占有和出示便证明正在进行访问的实体已被授权。 权利: 对它的占有和出示便证明有权访问由该权利所规定的实体或资源,权利应是不可伪造的并以可信赖的方式进行运送。, 安全标记: 当与一个实体相关联时,这种安全标记可用来表示同意或拒绝访问,通常根据安全策略而定。 访问控制机制可应用于通信联系中的端点,或应用于任一中间点。涉及原发点或任一中间点的访问控制,是用来决定发送者是否被授权与指定的接收者进行通信,或是否被授权使用所要求的通信资源。 在无连接数据传输目的端上的对等级访问控制机制的要求在原发点必须事先知道,还必须记录在安全管理信息库中。,(4) 数据完整性机制 数据完整性有两个方面:单个数据单元或字段的完整性和数据单元流或字段流的完整性。一般来说,用来提供这两种类型完整性服务的机制是不相同的。 决定单个数据单元的完整性涉及两个过程,一个在发送实体上,一个在接收实体上。发送实体给数据单元附加一个量,这个量为该数据的函数。这个量可以是分组校验码那样的补充信息,或是一个密码校验值,而且它本身可以被加密。接收实体产生一个相应的量,确定这个量中的数据是否在传送中被篡改过。,单靠这种机制不能防止单个数据单元的重放。在网络体系结构的适当层上,操作检测可能在本层或较高层上起到恢复作用(例如,重传或纠错)。 对于连接方式数据传送,保护数据单元序列的完整性(即防止乱序、数据的丢失、重放、插入或篡改)还另外需要某种明显的排序形式,例如,顺序号、时间标记或密码链。 对于无连接数据传送,时间标记可以用来在一定程度上提供保护,防止个别数据单元的重放。,(5) 鉴别交换机制 可用于鉴别交换的一些技术是:使用鉴别信息,例如口令,由发送实体提供而由接收实体验证;密码技术;使用该实体的特征或占有物。 这种机制可设置在N层以提供对等实体鉴别。如果在鉴别实体时,这一机制得到否定的结果,就会导致连接的拒绝或终止,也可能使在安全审计跟踪中增加一个记录,或给安全管理中心一个报告。,当采用密码技术时,这些技术可以与“握手”协议结合起来以防止重放(即确保存活期)。 鉴别交换技术的选用取决于使用它们的环境。在许多场合,它们必须与下列各项结合使用:时间标记与同步时钟;双方握手和三方握手(分别对应于单方鉴别和相互鉴别);由数字签名和公证机制实现的抗否认服务。,(6) 通信业务填充机制 通信业务填充机制能用来提供各种不同级别的保护,对抗通信业务分析。这种机制只有在通信业务填充受到机制服务保护时才是有效的。,(7) 路由选择控制机制 路由选择控制机制具有以下特点: 路由能动态地或预定地选取,以便只使用物理上安全的子网络、中继站或链路。 在检测到持续的操作攻击时,端系统可以指示网络服务的提供者经不同的路由建立连接。 带有某些安全标记的数据可能被安全策略禁止通过某些子网络、中继站或链路。连接的发起者(或无连接数据单元的发送者)可以指定路由选择说明,由它请求回避某些特定的子网络、中继站或链路。,(8) 公证机制 有关在两个或多个实体之间通信的数据的性质,如它的完整性、原发、时间和目的地等能够借助公证机制得到确保。这种保证是由第三方公证人提供的。公证人为通信实体所信任,并掌握必要信息以一种可证实方式提供所需的保证。每个通信事例可使用数字签名、加密和完整性机制以适应公证人提供的那种服务。当这种公证机制被用到时,数据便在参与通信的实体之间经由受保护的通信实体和公证方进行通信。,2.普遍性安全机制 普遍性安全机制不是为任何特定的服务而特设的,因此在任一特定的层上,对它们都不作明确的说明。某些普遍性安全机制可认为属于安全管理方面。普遍性安全机制可分为以下几种。,(1) 可信功能度 可信功能度可以扩充其他安全机制的范围,或建立这些安全机制的有效性;可以保证对硬件与软件寄托信任的手段已超出本标准的范围,而且在任何情况下,这些手段随已察觉到的威胁的级别和被保护信息的价值而改变。一般说来,这些手段的代价高而且难于实现。解决办法是选取一个体系结构,它允许安全功能在一些模块中实现,这些模块能与非安全功能分开来制作,并由非安全功能来提供。 应用于一个层而对该层之上的联系所作的任何保护必须由另外的手段来提供,例如通过适当的可信功能度。,(2) 安全标记 安全标记是与某一资源(可以是数据单元)密切相关联的标记,为该资源命名或指定安全属性(这种标记或约束可以是明显的,也可以是隐含的)。 包含数据项的资源可能具有与这些数据相关联的安全标记,例如指明数据敏感性级别的标记。常常必须在传送中与数据一起运送适当的安全标记。安全标记可能是与被传送的数据相连的附加数据,也可能是隐含的信息。例如,使用一个特定密钥加密数据所隐含的信息,或由该数据的上下文所隐含的信息。明显的安全标记必须是清晰可辨的,以便对它们作适当的验证。此外,它们还必须安全可靠地依附于与之关联的数据。,(3) 事件检测 与安全有关的事件检测包括对安全明显事件的检测,也可以包括对“正常”事件的检测,例如,一次成功的访问(或注册)。与安全有关的事件的检测可由OSI内部含有安全机制的实体来做。构成一个事件的技术规范由事件处置管理来维护。对各种安全事件的检测,可能引起一个或多个如下动作:在本地报告这一事件;远程报告这一事件;对事件作记录;进行恢复。这种安全事件的例子为:特定的安全侵害;特定的选择事件;对事件发生次数计数的溢出。 这一领域的标准化将考虑对事件报告与事件记录有关信息的传输,以及为了传输事件报告与事件记录所使用的语法和语义的定义。,(4) 安全审计跟踪 安全审计就是对系统的记录与行为进行独立的评估考查,目的是测试系统的控制是否恰当,保证与既定策略和操作的协调一致,有助于做出损害评估,以及对在控制、策略与规程中指明的改变做出评价。其目的在于: 安全审计跟踪提供了一种不可忽视的安全机制,它的潜在价值在于经事后的安全审计可以检测和调查安全的漏洞。安全审计要求在安全审计跟踪中记录有关安全的信息,分析和报告从安全审计跟踪中得来的信息。这种日志或记录被认为是一种安全机制并予以描述,而把分析和报告视为一种安全管理功能。, 搜集审计跟踪的信息,通过列举被记录的安全事件的类别(例如对安全要求的明显违反或成功操作的完成),能适应各种不同的需要。安全审计可对某些潜在的侵犯安全的攻击源起到威慑作用。 OSI安全审计跟踪将考虑要选择记录什么信息、在什么条件下记录信息,以及为了交换安全审计跟踪信息所采用的语法和语义定义。,(5) 安全恢复 安全恢复处理来自诸如事件处置与管理功能等机制的请求,并把恢复动作当作是应用一组规则的结果。恢复动作可能有3种:立即动作,可能造成操作的立即放弃,如断开;暂时动作,可能使一个实体暂时无效;长期动作,可能是把一个实体记入“黑名单”,或改变密钥。 对于标准化的课题包括恢复动作的协议,以及安全恢复管理的协议。,ISO7498-2标准说明了实现哪些安全服务应该采用哪种机制,参见表6-1。这张表只是说明性的,而不是确定性的。(见书中表6-1 OSI安全服务与安全机制的关系),6.4 OSI安全服务与安全机制的关系,OSI安全体系结构最重要的贡献是它总结了各项安全服务在OSI七层中的适当配置位置,参见表6-2。在标准中这张表起到了“航标”作用,因为它说明了参考模型中的各个层次应提供哪些安全服务。(见书表6-2 安全服务与层之间的关系),6.5 在OSI层中的安全服务配置,1.安全分层及服务配置原则 为了决定安全服务对层的分配以及伴随而来的安全机制在这些层上的配置,用到了下列原则: 实现一种服务的不同方法越少越好; 在多个层上提供安全来建立安全系统是可取的; 为安全所需的附加功能不应该不必要地重复OSI的现有功能; 避免破坏层的独立性; 可信功能度的总量应尽量少; 只要一个实体依赖于由位于较低层的实体提供的安全机制,那么任何中间层应该按不违反安全的方式构作;,只要可能,应以不排除作为自容纳模块起作用的方法来定义一个层的附加安全功能; 本标准被认定应用于由包含所有七层的端系统组成的开放系统,以及中继系统。 各层上的服务定义可能需要修改以便满足安全服务的请求,不论所要求的安全服务是由该层提供还是由下层提供。,2.在OSI各层中的安全服务配置 有关各层提供的主要安全服务如下。 物理层:提供连接机密性和(或)业务流机密性服务(这一层没有无连接服务)。 数据链路层:提供连接机密性和无连接机密性服务(物理层以上不能提供完全的业务流机密性)。 网络层:可以在一定程度上提供认证、访问控制、机密性(除了选择字段机密性)和完整性(除了可恢复的连接完整性、选择字段的连接完整性)服务。,运输层:可以提供认证、访问控制、机密性(除了选择字段机密性、业务流机密性)和完整性(除了选择字段的连接完整性)服务。 会话层:不提供安全服务。 表示层:本身不提供完全服务。但其提供的设施可支持应用层向应用程序提供安全服务。所以,规定表示层的设施支持基本的数据机密性服务,支持认证、完整性和抗否认服务。 应用层:必须提供所有的安全服务,它是惟一能提供选择字段服务和抗否认服务的一层。,OSI安全管理涉及与OSI有关的安全管理以及OSI管理的安全两个方面。OSI安全管理与这样一些操作有关,它们不是正常的通信情况但却为支持与控制这些通信的安全所必需。 由分布式开放系统的行政管理设定的安全策略可以是各种各样的,OSI安全管理标准应该支持这些策略。从属于单一的安全策略、受单个授权机构管理的多个实体构成的集合称之为“安全域”。安全域以及它们的相互作用是有待进一步研究的重要领域。,6.6 OSI安全体系的安全管理,OSI安全管理包括OSI安全服务的管理与安全机制的管理。这样的管理要求给这些服务与机制分配管理信息,并搜集与这些服务和机制的操作有关的信息。例如,密钥的分配,设置行政管理设定的安全选择参数,报告正常的与异常的安全事件(审计跟踪),以及服务的激活与停止。安全管理并不强调在调用特定的安全服务的协议中(例如连接请求的参数中)传递与安全有关的信息。,安全管理信息库(SMIB)是一个概念上的集存地,存储开放系统所需的与安全有关的全部信息。这一概念对信息的存储形式与实施方式不提出要求。但是每个端系统必须包含必需的本地信息,使它能执行某个适当的安全策略。SMIB对于在端系统的一个(逻辑的或物理的)组中执行一种协调的安全策略是必不可少的,在这一点上,SMIB是一个分布式信息库。而在实际中,SMIB的某些部分可以与MIB(管理信息库)结合成一体,也可以分开。SMIB有多种实现办法,例如,数据表、文卷、嵌入开放系统软件或硬件中的数据或规则。,管理协议特别是安全管理协议,以及传送这些管理信息的通信信道,潜在着抗攻击的脆弱性。所以应加以特别关心以确保管理协议与信息受到保护,不致削弱为通常的通信实体提供的安全保护。 安全管理可以要求在不同系统的行政管理机构之间交换与安全有关的信息,以便使SMIB得以建立或扩充。在某些情况下,与安全有关的信息将经由非OSI通信通路传递,局部系统的管理者也将采用非OSI标准化方法来修改SMIB。在另外一些情况下,可能希望在一个OSI通信通路上交换这样的信息,这时这些信息将在运行于开放系统中的两个安全管理应用之间传递。该安全管理应用将使用这些通信信息来修改SMIB。SMIB的这种修改可以要求事先给适当的安全管理者授权。,应用协议将为在OSI通信信道上交换与安全有关的信息作出规定。 OSI安全管理活动有3类:系统安全管理、安全服务管理和安全机制管理。此外,还必须考虑到OSI管理本身的安全。对这几类安全管理所执行的主要功能概述如下。,1.系统安全管理 系统安全管理涉及总的OSI环境安全方面的管理。属于这一类安全管理的典型活动有: (1) 总体安全策略的管理,包括一致性的修改与维护。 (2) 与别的OSI管理功能的相互作用。 (3) 与安全服务管理和安全机制管理的交互作用。 (4) 事件处理管理,包括远程报告那些违反系统安全的明显企图,以及对用来触发事件报告的阈值的修改。,(5) 安全审计管理,包括选择将被记录和被远程搜集的事件,授予或取消对所选事件进行审计跟踪日志记录的能力,审计记录的远程搜集,准备安全审计报告。 (6) 安全恢复管理,包括维护那些用来对实有的或可疑的安全事故做出反应的规则,远程报告对系统安全的明显违规,安全管理者的交互作用。,2.安全服务管理 安全服务管理涉及特定安全服务的管理。在管理一种特定安全服务时可能执行的典型活动有: (1) 为该服务决定与指派安全保护的目标。 (2) 指定与维护选择规则(存在可选情况时),用以选取为提供所需的安全服务而使用的特定的安全机制。 (3) 对那些需要事先取得管理者同意的可用安全机制进行协商。 (4) 通过适当的安全机制管理功能调用特定的安全机制。 (5) 与其他的安全服务管理功能和安全机制管理功能的交互作用。,3.安全机制管理 安全机制管理涉及特定安全机制的管理。典型的安全机制管理功能有: (1) 密钥管理 包括间歇性地产生与所要求的安全级别相称的合适密钥;根据访问控制的要求,对于每个密钥决定哪个实体应该接受密钥的拷贝;用可靠办法使这些密钥对开放系统中的实体是可用的,或将这些密钥分配给它们;上述密钥管理功能将在OSI环境之外执行,其中包括用可靠手段对密钥进行物理的分配。 用于一次联系中的工作密钥的交换是一种正常的层协议功能。工作密钥的选取通过访问密钥分配中心来完成,或经管理协议作事先的分配。,(2) 加密管理 包括与密钥管理的交互作用;建立密码参数;密码同步。密码机制的存在意味着使用密码管理和采用共同的方式调用密码算法。 由加密提供的保护的辨别能力决定于OSI环境中哪些实体独立地使用密钥。一般说来,这反过来又决定于安全体系结构,特别是由密钥管理机制决定。 为获得对加密算法的共同调用,可使用密码算法寄存器或在实体间进行事前的协商。,(3) 数字签名管理 包括与密钥管理的交互作用;建立密码参数与密码算法;在通信实体与可能有的第三方之间使用协议。一般说来,数字签名管理与加密管理极为类似。 (4) 访问控制管理 包括安全属性(包括口令)的分配;对访问控制表或权利表进行修改;在通信实体与其他提供访问控制服务的实体之间使用协议。 (5) 数据完整性管理 包括与密钥管理的交互作用;建立密码参数与密码算法;在通信的实体间使用协议。当对数据完整性使用密码技术时,数据完整性管理便与加密管理极为类似。,(6) 鉴别管理 包括将说明信息、口令或密钥(使用密钥管理)分配给要求执行鉴别的实体;在通信的实体与其他提供鉴别服务的实体之间使用协议。 (7) 通信业务填充管理 包括维护那些用作通信业务填充的规则,例如,预定的数据率;指定随机数据率;指定报文特性,例如长度;可能按时间或日历来改变这些规定。,(8) 路由选择控制管理 包括确定那些按特定准则被认为是安全可靠或可信任的链路或子网络。 (9) 公证管理 包括分配有关公证的信息;在公证方与通信的实体之间使用协议;与公证方的交互作用。,4.OSI管理的安全 所有OSI管理功能的安全以及OSI管理信息的通信安全是OSI安全的重要部分。这一类安全管理将借助对上面所列的OSI安全服务与机制作适当的选取,以确保OSI管理协议与信息获得足够的保护。例如,在管理信息库的管理实体之间的通信一般将要求某种形式的保护。,5.特定的系统安全管理活动 特定的系统安全管理活动包括以下几类: (1) 事件处理管理 包括远程报告那些违反系统安全的明显企图;对用来触发事件报告的阈值的修改。 (2) 安全审计管理 包括选择将被记录和被远程搜集的事件;授予或取消对所选事件进行审计跟踪日志记录的能力;所选审计记录的远程搜集;准备安全审计报告。 (3) 安全恢复管理 包括维护那些用来对实有的或可疑的安全事故作出反应的规则;远程报告对系统安全的明显违反;安全管理者的交互作用。,网络体系结构是计算机之间相互通信的层次,以及各层中的协议和层次之间接口的集合。网络协议是计算机网络和分布系统中互相通信的对等实体间交换信息时所必须遵守的规则的集合。 开放系统互连参考模型是国际标准化组织ISO定义的开放系统体系结构,是一种将异构系统互连的七层分层结构,提供了控制互连系统交互规则的标准框架。,6.7 本章小结,开放系统互连安全体系结构(ISO7498-2)是基于OSI参考模型的七层协议之上的信息安全体系结构。它定义了5类安全服务、8种特定的安全机制、5种普遍性安全机制。确定了安全服务与安全机制的关系以及在OSI七层模型中安全服务的配置。它还确定了OSI安全体系的安全管理。 5类安全服务是鉴别、访问控制、数据机密性、数据完整性以及抗否认。8种特定的安全机制是加密、数字签名、访问控制、数据完整性、鉴别交换、通信业务填充、路由选择控制以及公证。5种普遍性安全机制是可信功能度、安全标记、事件检测、安全审计跟踪以及安全恢复。各项安全服务在OSI七层中都有适当的配置位置。,OSI安全体系的安全管理涉及与OSI有关的安全管理以及OSI管理的安全两个方面。OSI安全管理包括系统安全管理(OSI环境安全)、OSI安全服务的管理与安全机制的管理。OSI管理的安全包括所有OSI管理功能的安全以及OSI管理信息的通信安全。,6-1 网络协议的关键成分是()。 A. 硬件、软件与数据 B. 语法、语义、体系结构 C. 语法、定时、层次结构 D. 语法、语义、定时 6-2 如果网络协议定义数据的传输率是100Mbps,这是()问题。 A. 语法 B. 语义 C. 定时 D. 上面3项都不是 6-3 一个报文的端到端传递由OSI模型的()层负责处理。 A. 网络 B. 传输 C. 会话 D. 表示,习题,6-4 在开放系统互连环境中,两个N层实体进行通信,它们可能用到的服务是()。 A. N-1层提供的服务 B. N层提供的服务 C. N+1层提供的服务 D. 以上3项都不是 6-5 在某个网络上的两台机器之间传输2小时的文件,而网络每隔1小时崩溃一次,这时可以考虑在数据流中加入一个校验点,使得在网络崩溃后,只是最后一个校验点之后的数据进行重传。在OSI模型中,这个校验点最有可能是由()完成的。 A. 应用层 B. 表示层 C. 会话层 D. 传输层,6-6 当进行文本文件传输时,可能需要进行数据压缩,在OSI模型中,规定完成这一工作的是()。 A. 应用层 B. 表示层 C. 会话层 D. 传输层 6-7 ISO7498-2从体系结构的观点描述了5种可选的安全服务,以下不属于这5种安全服务的是()。 身份鉴别 B. 数据报过滤 C. 授权控制 D. 数据完整性 6-8 ISO7498-2描述了8种特定的安全机制,这8种特定的安全机制是为5种特定的安全服务设置的,以下不属于这8种安全机制的是()。 A. 安全标记机制 B. 加密机制 C. 数字签名机制 D. 访问控制机制,6-9 用于实现身份鉴别的安全机制是()。 加密机制和数字签名机制 B. 加密机制和访问控制机制 C. 数字签名机制和路由控制机制 D. 访问控制机制和路由控制机制 6-10 ISO7498-2从体系结构的观点描述了5种普遍性的安全机制,这5种安全机制不包括()。 可信功能 B. 安全标号 C. 事件检测 D. 数据完整性机制,6-11 身份鉴别是安全服务中的重要一环,以下关于身份鉴别的叙述不正确的是()。 A. 身份鉴别是授权控制的基础 B. 身份鉴别一般不用提供双向的认证 C. 目前一般采用基于对称密钥加密或公开密钥加密的方法 D. 数字签名机制是实现身份鉴别的重要机制 6-12 在ISO/OSI定义的安全体系结构中,没有规定()。 A. 对象认证服务 B. 访问控制安全服务 C. 数据保密性安全服务 D. 数据完整性安全服务 E. 数据可用性安全服务,6-13()不属于ISO/OSI安全体系结构的安全机制。 A. 通信业务填充机制 B. 访问控制机制 C. 数字签名机制 D. 审计机制 E. 公证机制 6-14 ISO定义的安全体系结构中包含()种安全服务。 A. 4 B. 5 C. 6 D. 7 6-15 ISO安全体系结构中的对象认证安全服务,使用()完成。 A. 加密机制 B. 数字签名机制 C. 访问控制机制 D. 数据完整性机制,6-16 CA属于ISO安全体系结构中定义的()。 A. 认证交换机制 B. 通信业务填充机制 C. 路由控制机制 D. 公证机制 6-17 数据保密性安全服务的基础是()。 A. 数据完整性机制 B. 数字签名机制 C. 访问控制机制 D. 加密机制 6-18 路由控制机制用以防范()。 A. 路由器被攻击者破坏 B. 非法用户利用欺骗性的路由协议,篡改路由信息、窃取敏感数据 C. 在网络层进行分析,防止非法信息通过路由 D. 以上3项都不是,6-19 数据完整性安全机制可与()使用相同的方法实现。 A. 加密机制 B. 公证机制 C. 数字签名机制 D. 访问控制机制 6-20 可以被数据完整性机制防止的攻击方式是()。 A. 假冒源地址或用户的地址欺骗攻击 B. 抵赖做过信息的递交行为 C. 数据中途被攻击者窃听获取 D. 数据在途中被攻击者篡改或破坏第7章Internet安全体系结构,
展开阅读全文