信息安全体系结构开放系统互连安全服务框架

上传人:san****019 文档编号:22830477 上传时间:2021-06-01 格式:PPT 页数:98 大小:488.10KB
返回 下载 相关 举报
信息安全体系结构开放系统互连安全服务框架_第1页
第1页 / 共98页
信息安全体系结构开放系统互连安全服务框架_第2页
第2页 / 共98页
信息安全体系结构开放系统互连安全服务框架_第3页
第3页 / 共98页
点击查看更多>>
资源描述
第 3章 开放系统互连安全服务框架 3.1 安全框架概况 安全框架标准是安全服务、安全机制及其相应 安全协议的基础,是信息系统安全的理论基础。 GB/T9387.2-1995(等同于 ISO7498-2)定义了 进程之间交换信息时保证其安全的体系结构中 的安全术语、过程和涉及范围。 安全框架标准( ISO/IEC 10181-110181-7)全 面惟一地准确定义安全技术术语、过程和涉及 范围的标准。 安全框架的内容 描述安全框架的组织结构 定义安全框架各个部分要求的安全概念 描述框架多个部分确定的安全业务与机制之间 的关系。 3.2 鉴别( Authentication)框架 ISO/IEC10181-2是开放系统互连安全框架的鉴别框架 部分。 主要内容 鉴别目的 鉴别的一般原理 鉴别的阶段 可信第三方的参与 主体类型 人类用户鉴别 针对鉴别的攻击种类 3.2.1 鉴别目的 人 进程 实开放系统 OSI层实体 组织机构(如企业) 主 体 类 型 鉴别目的: 对抗冒充和重放攻击 主体 实体 可辨别标识符 鉴别服务 一个主体可以拥有 一个或多个 验证主体所宣称的 身份 3.2.2 鉴别的一般原理 可辨别标识符 同一安全域中,可辨别标识符具有唯一性。 在粗粒度等级上,组拥有可辨别标识符; 在细粒度等级上,实体拥有可辨别标识符。 在不同安全域中,各安全域可能使用同一个可辨别 标识符。这种情况下,可辨别标识符须与安全域标 识符连接使用,达到为实体提供明确标识符的目的。 举例 Windows NT系统中有两种模式: 工作组 域 用户帐户(用户名、密码),组帐户是一个可 辨别标识符; 在不同域之间的用户帐户鉴别,鉴别时需要提 供域的信息。 鉴别的一般原理 鉴别方法 已知,如一个秘密的通行字 拥有的,如 IC卡 不可改变的特性,如生物学测定的标识特征 相信可靠的第三方建立的鉴别 环境(如主机地址) 通过“拥有的”某物进行鉴别,一般是鉴别拥 有的东西而不是鉴别拥有者。它是否由一个特 定主体所唯一拥有,是此方法的关键所在,也 是此方法的不足之处。 鉴别的一般原理 在涉及双向鉴别时,实体同时充当申请者和验证者的角色 可信第三方:描述安全权威机构或它的代理。在安全相关的活 动中,它被其他实体所信任。可信第三方在鉴别中受到申请者 和 /或验证者的信任。 主体 实体 申请者 验证者 就是 /或者代表鉴别主体。 代表主体参与鉴别交换 所必需的功能。 就是 /或者代表被鉴别身 份的实体。参与鉴别交 换所必需的功能。 鉴别信息( AI) “鉴别信息”指申请者要求鉴别至鉴别过程结 束所生成、使用和交换的信息。 鉴别信息的类型 申请 AI:用来生成交换 AI,以鉴别一个主体的信息。 如:通行字,秘密密钥,私钥; 验证 AI:通过交换 AI,验证所声称身份的信息。如: 通行字,秘密密钥,公钥; 交换 AI:申请者与验证者之间在鉴别一个主体期间 所交换的信息。如:可辨别标识符,通行字,质询, 咨询响应,联机证书,脱机证书等。 申请者、验证者、可信第三方之间的关系 申请 AI 申请者 验证 AI 验证者 验证 AI 可信第三方 申请 AI 交换 AI 交换 AI 交换 AI和 /或 验证 AI 指示潜在的信息 流 用来生成交换 AI,以鉴别 一个主体的信息。如:通 行字,秘密密钥,私钥 在鉴别一个主体期间所交 换的信息。如:可辨别标 识符,通行字,质询 验证所声称身份的信息。 如:通行字,秘密密钥, 公共密钥 3.2.3 鉴别的阶段 阶段 安装 修改鉴别信息 分发 获取 传送 验证 停活 重新激活阶段 取消安装 并不要求所有这些阶段 或顺序 举例 创建一个帐户 分发帐户 获取帐户 修改帐户信息 验证帐户 禁止帐户 激活帐户 删除帐户 3.2.4 可信第三方的参与 鉴别机制可按可信第三方的参与数分类 无需可信第三方参与的鉴别 可信第三方参与的鉴别 一、无需可信第三方参与的鉴别 申请 AI 申请者 验证 AI 验证者 交换 AI 无论申请者还是验证者,在生成和验证交 换 AI时都无需得到其他实体的支持。 二、可信第三方参与的鉴别 验证 AI可以通过与可信 第三方的交互中得到, 必须保证这一信息的完 整性。 维持可信第三方的申请 AI的机密性,以及在申 请 AI可从验证 AI推演出 来时,维持验证 AI的机 密性是必要的。 例如 公钥体制(公钥,私钥) 对应申请 AI和验证 AI (一)在线鉴别 可信第三方(仲裁者)直接参与申请者与验证 者之间的鉴别交换。 申请 AI 申请者 验证 AI 验证者 仲裁者 验证 AI 仲裁者 验证 AI 交换 AI 交换 AI (二)联机鉴别 不同于在线鉴别,联机鉴别的可信第三方并不直接处于 申请者与验证者鉴别交换的路径上。 实例:可信第三方为密钥分配中心,联机鉴别服务器。 申请 AI 申请者 权威机构 验证 AI 验证者 验证 AI 可信第三方 权威机构 申请 AI 交换 AI 交换 AI 交换 AI 指示可能发生的 (三)脱机鉴别 要求使用被撤销证书的证明清单、被撤销证书 的证书清单、证书时限或其他用于撤销验证 AI 的非即时方法等特征。 申请 AI 申请者 权威机构 验证 AI 验证者 验证 AI 可信第三方 权威机构 申请 AI 交换 AI 交换 AI 表示脱机方式(可能经由 申请者)中验证 AI的发布 三、申请者信任验证者 申请者信任验证者。 如果验证者的身份未得到鉴别,那么其可信度 是不可知的。 例如:在鉴别中简单使用的通行字,必须确信 验证者不会保留或重用该通行字。 3.2.5 主体类型 指纹、视网膜等被动特征 具有信息交换和处理能力 具有信息存储能力 具有唯一固定的位置 在实际鉴别中,最终鉴别的必须是人类用户而不是 鉴别代表人类用户行为的进程。 人类用户的鉴别方法必须是人类可接受的方法,且 是经济和安全的。 3.2.6 针对鉴别的攻击种类 重放攻击 对同一验证者进行重放攻 击。可以通过使用惟一序 列号或质询来对抗,惟一 序列号由申请者生成,且 不会被同一验证者两次接 受。 对不同验证者进行重放攻 击。通过质询来对抗。在 计算交换 AI时使用验证者 惟一拥有的特性可防止这 种攻击。 延迟攻击 入侵者发起的延迟攻击 入侵者响应的延迟攻击 入侵者发起的延迟攻击 C告诉 A说它是 B,要求 A对 B进行鉴别,然后告 诉 B说它是 A,并且提供自身的鉴别信息。 A 申请者 A-响应者 B 验证者 B-响应者 A( C) 申请者 C-发起者 B( C) 验证者 入侵者 对抗方法: 不能同时作为申请者和验证者; 作为申请者的交换 AI和作为响应 者的交换 AI不同。 入侵者响应的延迟攻击 入侵者处于鉴别交换的中间位置,它截获鉴别 信息并且转发,接管发起者的任务。 A A-发起者 B B-响应者 A( C) 响应者 C-发起者 B( C) 入侵者 对抗方法: 提供完整性和机密性服务; 网络地址集成到交换 AI中。 3.3 访问控制( Access Control)框架 ISO/IEC10181-3是开放系统互连安全框架的访 问控制框架部分。决定开放系统环境中允许使 用哪些资源、在什么地方适合阻止未授权访问 的过程叫做访问控制。 3.3.1 访问控制 访问控制的目标:对抗涉及计算机或通信系统 非授权操作的威胁。 非授权使用 泄露,修改,破坏,拒绝服务 访问控制安全框架的目标 对数据、进程或计算资源进行访问控制 在一个安全域中或跨越多个安全域的访问控制 根据上下文进行访问控制,如依靠试图访问的时间、 访问者地点或访问路线 对访问过程中的授权变化作出反应的访问控制 实系统中的访问控制活动 建立一个访问控制策略的表达式 建立 ACI(访问控制信息)的表达式 分配 ACI给元素(发起者、目标或访问请求) 绑定 ACI到元素 使 ADI(访问控制判决信息)对 ADF有效 执行访问控制功能 ACI的修改 ADI的撤销 基本访问控制功能 发起者 访问控制执行功能 ( AEF) 访问判决功能 ( ADF) 目标 递交访问请 求 呈递访问请 求 判决 请求 判决 代表访问或试图 访问目标的人和 基于计算机的实 体 被试图访问或由发 起者访问的,基于 计算机或通信的实 体,如文件。 访问请求代表构成试图访问 部分的操作和操作数 访问判决功能( ADF) 发起者 ADI 目标 ADI 访问控制 策略规则 保持的 ADI 上下文背景信息 判决 请求 判决 访问请求 ADI 发起者的位置、 访问时间或使 用中的特殊通 信路径。 ADI由绑定到 发起者的 ACI 导出 允许或禁止发 起者试图对目 标进行访问的 判决 3.3.2 访问控制策略 访问控制策略表达安全域中的确定安全需求。 访问控制策略体现为一组作用在 ADF上的规则。 访问控制策略分类 基于规则的安全策略:被发起者施加在安全域 中任何目标上的所有访问请求。 基于身份的访问控制策略:基于特定的单个发 起者、一群发起者、代表发起者行为的实体或 扮演特定角色的原发者的规则。 上下文能够修改基于规则或基于身份的访问控 制策略。上下文规则可在实际上定义整体策略。 群组和角色 根据发起者群组或扮演特定角色发起者含义陈述的访 问控制策略,是基于身份策略的特殊类型。 群组是一组发起者,群组中的成员是平等的。 群组允许一组发起者访问特定的目标,不必在目标 ACI中包括单个发起者的身份,也不必特意将相同的 ACI分配给每个发起者。 群组的组成是由管理行为决定的,创建或修改群组的 能力必须服从访问控制的需要。 角色对某个用户在组织内允许执行的功能进行特征化。 给定的角色适用于单个个体或几个个体。 可按层次使用群组和角色,对发起者身份、群组和角 色进行组合。 安全标签 根据安全标签含义陈述的访问控制策略,是基 于规则的安全策略的特殊类型。 发起者和目标分别与命名的安全标签关联。 访问决策是将发起者和目标安全标签进行比较 为参考的。 多发起者访问控制策略 可对个体发起者、相同或不同的群组成员的发 起者、扮演不同角色的发起者,或这些发起者 的组合进行识别。 策略管理 固定策略:一直应用又不能被改变的策略。 管理性强加策略:一直应用而只能被适当授权 的人才能改变的策略。 用户选择策略:对发起者和目标的请求可用, 而且只应用于涉及发起者或目标、发起者或目 标资源的访问请求的策略。 粒度和容度 每个粒度级别可有它自己的逻辑分离策略,还 可以对不同 AEF和 ADF组件的使用进行细化。 容度用来控制对目标组的访问。通过指定一个 只有当其允许对一个包含目标组的目标进行访 问时,才允许对目标组内的这些目标进行访问 的策略实现。 继承规则 新元素可以通过拷贝、修改、组合现有元素或 构造来创建。 新元素的 ACI依赖于这些元素:创建者的 ACI, 或者拷贝过、修改过、合并过的元素的 ACI。 继承规则是访问控制策略的组成部分。 访问控制策略规则中的优先原则 访问控制策略规则有可能相互冲突,优先规则规定了 被应用的访问控制策略的次序和规则中优先的规则。 如果访问控制策略的规则 A和规则 B分别让 ADF对一个 请求访问作出不同决策,那么优先规则将赋予规则 A 优先权,而不考虑 B中的规则。或者优先规则要求两 个规则都允许请求,得到允许的访问。 当发起者作为群组成员或特定角色时,优先规则可能 需要用于发起者绑定 ACI的使用。优先规则可能允许 发起者自己的 ACI与假定群组或角色的 ACI结合起来。 此时,还须指定怎样对有冲突的 ACI进行组合。 默认访问控制策略规则 访问控制策略可以包括默认访问控制策略规则。 当一个或多个发起者还没有特意要求允许或拒 绝的特定访问目标时,可以使用这些规则。 通过合作安全域的策略映射 在合作安全域间为访问请求提供访问控制时, 有时需要映射或转化绑定到访问请求的 ACI。 因为不同的合作安全域有不同的 ACI表达式, 或者相同 ACI在不同安全域有不同的安全策略 解释。 3.3.3 访问控制信息 发起者 ACI 目标 ACI 访问请求 ACI 操作数 ACI 上下文信息 发起者绑定 ACI 目标绑定 ACI 访问请求绑定 ACI 发起者 ACI的实例 个体的访问控制身份 分层群组标识符,可确定成员在分层群组中的 位置 功能群组标识符,可确定成员在功能群组中的 位置 可被假定的角色标识符 敏感性标记 完整性标记 目标 ACI的实例 目标访问控制身份 敏感性标记 完整性标记 包含一个目标的包容者标识符 访问请求 ACI的实例 被允许的操作种类(如读、写) 用于操作所需的完整性等级 操作的数据类型 操作数 ACI的实例 敏感性标记 完整性标记 上下文信息的实例 时限,只有在用天、周、月、年等精确规定的 时间内才准许访问。 路由,只有使用的路由具有指定特征时才准许 访问。 位置,只有对特定系统、工作站或终端上的发 起者,或者特定的物理位置上的发起者,访问 才被准许。 系统状态 发起者绑定 ACI 包括发起者 ACI、某些目标 ACI和经过选择的 上下文信息。 如 发起者 ACI 目标访问控制身份和对目标的可允许访问(如权力) 发起者位置 目标绑定 ACI 包括某些发起者 ACI,目标 ACI和经过选择的上下文 信息。 形式 : 标签和访问控制表 如 个体发起者访问控制身份,允许或拒绝它们对目标的访问 分层群组成员访问控制身份,允许或拒绝它们对目标的访问 功能群组成员访问控制身份,允许或拒绝它们对目标的访问 角色访问控制身份,允许或拒绝它们对目标的访问 授权和对它们授权的访问 访问请求绑定 ACI 包括发起者 ACI、目标 ACI和上下文信息。 如 允许参与访问的发起者 /目标对 允许参与访问的目标 允许参与访问的发起者 Windows 2000 server 活动目录 在运行 Windows 2000 server 系统的计算机上安装活动目录, 实际上就是一种把服务器转换成域控制器的操作。域控制器 存储整个域的目录数据(如系统安全策略和用户身份验证数 据),并管理用户和域的交互过程,包括用户登录、身份验 证以及目录搜索。 活动目录由一个或多个域组成。 目录树是指具有连续名称的一个或多个域的集合,这些域通 过双向、可传递的信任关系链接。 一个目录林由一个或多个域组成。目录林中每个域目录树的 根域都会与目录林根域建立一种可传递的信任关系。 信任关系是建立在两个域之间的关系,它使得一个域 中的域控制器能够识别另一个域内的用户。 Windows 2000 访问控制机制 Windows 2000 使用访问控制技术来保证已被授 权的主体对客体的使用。 安全主体( Security Principal)不仅仅包括用户, 还包括组和服务等主动的实体。 客体包括文件、文件夹、打印机、注册表、活动目 录项以及其它对象。 访问控制技术即决定安全主体能够在对象上执 行何种类型的操作,如某个用户是否能够读取、 写入还是执行某个文件。 Windows 2000 访问控制机制 访问令牌( access token) Windows 2000系统在用户登录时,为该用户创建一 个访问令牌。该访问令牌包含该用户的 SID,用户 所属组的 SID和用户的特权。 该令牌为用户在该计算机上的任何操作提供了安全 环境。 当用户每启动一个应用程序时,所执行的每一个线 程都会得到一份该访问令牌的副本。 每当线程请求对某个受到权限控制保护的对象进行 任何级别的访问时,该线程都要把此访问令牌提交 给操作系统,然后操作系统就使用该令牌对对象的 安全信息来执行访问检查。这种检查确保主体是在 经过授权之后才进行访问的。 Windows 2000 访问控制机制 安全描述( security descriptor) 从访问控制的客体角度出发,安全描述定义了客体 (被访问的对象)的安全信息。 安全描述中除了对象所有者自身的 SID外,主要说 明了哪些用户和组被允许还是被拒绝访问。这通过 一个由访问控制项( access control entries, ACE) 组成的自由访问控制列表( DACL)来实现。 Windows 2000 系统通过寻找 ACL中的项( ACE) 来匹配访问令牌中的用户 SID和组 SID,以此 ACE 来确定用户是否有权进行所请求的访问。 安全描述与访问令牌 用户 SID 组 SID 特权信息 其它访问信息 用户令牌信息 所有者 SID 组 SID SACL ACE ACE DACL ACE ACE ACE 对象的安全描述 遍历每个 ACE,直到找到匹配内容 系统 访问 控制 列表 自由 访问 控制 列表 安全标识符( SID) Windows 2000 使用安全标识符( SID)来标识安全主 体和安全组。 SID是在主体账户或安全组创建时生成的。 SID的创建者和作用范围依赖于账户类型。对于用户 账户,由本地安全授权机构生成在该系统内惟一的 SID。对于域用户则由域安全授权机构来生成 SID。 SID出现在以下一些访问控制结构中: 访问令牌,包括一个用户的 SID和用户所属组的 SID 安全描述包含与安全描述相关联对象所有者的 SID 安全描述中的每个 ACE把 SID与相应的访问权限关联起来。 访问令牌 访问令牌是一个受保护的对象,其中包含与用 户账户有关的标识和特权信息。 用户登录到一台 Windows 2000系统时,对登录 资格进行认证。 若认证成功,返回该用户的 SID和该用户的安 全组的 SID列表,据此安全授权机构创建一个 访问令牌。 安全描述 安全描述结构 头部 所有者 主组 自由访问控制列表 系统访问控制列表 用户和组基础 用户账户可为用户提供登录到域以访问网络资 源或登录到计算机以访问该机资源的能力。 Windows 2000 提供两种用户账户 本地用户账户:登录到特定计算机访问该机资源。 域用户账户:登录到域获得对网络资源的访问。 用户在登录 Windows 2000计算机(非域控制器) 的时候可以选择是登录到域还是本地计算机。 组作用域 组作用域用来决定在网络的什么位置可以使用组,也 可以决定能以不同的方式分配权限。 在 Windows 2000中有 3个组作用域 通用组:有通用作用域的组称为通用组,有通用作用域的组 可将其成员作为来自域树或树林中任何 Windows 2000 域的 组和账户,并且在域树或树林的任何域中都可获得权限。 全局组:有全局作用域的组称作全局组。可将其成员作为仅 来自所定义的域的组合账户,并且在树林的任何域中都可获 得权限。 本地组:具有本地作用域的组称作本地组,可将其成员作为 来自 Windows 2000或 Windows NT 域的组和账户,并且可 用于仅在域中授予权限。 如果具有多个树林,仅在一个树林中定义的用户不能 放入在另一个树林中定义的组,并且仅在一个树林中 定义的组不能指派另一个树林中的权限。 不同类型组作用域之间的区别 区别内容 全局组 域本地组 通用组 可添加的成员来源 本地域 任何域 任何域 可访问的资源范围 任何域内 本地域内 任何域内 常见的应用环境 用来对具有类似 网络访问要求的 用户进行组织 用来给资源分配 权限 用来给多个域内 的相关资源分配 权限 本地组 本地组( local group)是本地计算机上的用户账户的 集合。 可使用本地组给本地组所在计算机上的资源分配权限。 使用本地组的原则 只可在创建本地组的计算机上使用本地组 在 Windows 2000的非域控制器的计算机上使用本地组,不 能在域控制器上创建本地组。 可使用本地组来限制本地用户和组访问网络资源的能力。 能够添加到本地组的成员 本地组所在计算机的本地用户账户 本地组不能是任何组的成员 Windows 2000 默认创建的用户组 成员服务器 Administrators Backup Operators Guests Power Users Replicator Users 域控制器 Account Operators Print Operators Server Operators Windows 2000 组策略管理举例 全局组、域本地组规划 一个公司包括四个部门,每个部分由相对独立 的人员管理,用 Windows 2000进行管理,可以 为每个部门划分一个子域,实现用户管理,现 在,假设有两个共享资源 A和 B为公司员工提供 访问, A和 B两种资源都有不同的访问权限:只 读,完全控制; 用组策略实现管理,请问,如何规划组(全局 组和本地组),即需要多少个全局组和域本地 组? 3.4 抗抵赖( non-repudiation)框架 ISO/IEC10181-4是开放系统互连安全框架的抗 抵赖框架部分。 目的 提供有关特定事件或行为的证据。 事件或行为本身以外的其他实体可以请求抗抵赖服 务。 什么是证据? 可用于解决纠纷的信息,称为证据。 证据保存: 证据使用者在本地保存 可信第三方保存 特殊形式的证据 数字签名(与公钥技术一起使用) 安全信封和安全令牌(与秘密密钥技术一起使用) 什么是证据? 可以组成证据信息的例子: 抗抵赖安全策略的标识符 原发者可辨别标识符 接收者可辨别标识符 数字签名或安全信封 证据生成者可辨别标识符 3.4.1 抗抵赖的一般讨论 抗抵赖服务包括 证据生成 验证 记录 在解决纠纷时进行的证据恢复和再次验证 除非证据已被记录,否则无法解决纠纷。 3.4.1 抗抵赖的一般讨论 对于消息的抗抵赖服务 为提供原发证明,必须确认数据原发者身份和数据 完整性。 为提供递交证明,必须确认接收者身份和数据完整 性。 某些场合,可能涉及上下文关系(如日期、时间、 原发者 /接收者地点)的证据 纠纷解决 可在纠纷双方之间直接通过检查证据解决 通过仲裁者解决( 仲裁者的权威性 ) 3.4.2 可信第三方的角色 可信第三方( TTP)分类 脱机 TTP,支持抗抵赖,而不主动地参与到每个服 务的使用过程的可信第三方 联机 TTP,主动地介入证据生成或验证的 TTP 在线 TTP,在所有交互中充当中介的联机 TTP 可充当的角色 公证者、时间戳、监视、密钥证书、签名生成、签 名验证和递交权威机构 3.4.2 可信第三方的角色 可充当的角色 在证据生成的角色中, TTP与抗抵赖服务的请求者协调,生 成证据; 在证据的记录角色中, TTP记录证据; 在时间戳的角色中, TTP受委托提供包含收到时间戳请求时 的时间的证据; 在密钥证书角色中, TTP提供与证据生成器相关的抗抵赖证 书,以保证用于抗抵赖目的公钥是有效的; 在密钥分发角色中, TTP向证据生成者和 /或证据的验证者 提供密钥; 3.4.3 抗抵赖的阶段 四个独立的阶段 证据生成 证据传输、存储 和检索 证据验证 解决纠纷 证据主体 证据生成 请求者 证据生成 请求者 证据 使用者 有关信息 观察 证据生成器 证据验证者 传输和 存储 /检索 可信第三方 请求生成 请求验证 是 /否 证据和其他信息 证据和其他信息 证据 证据 抗抵赖的前三个阶段 卷入事件或 行为中的实 体,称为证 据主体 公认仲裁者 被告 抗抵赖的解决纠纷阶段 原告 抗抵赖策略 从纠纷双方和 /或 可信第三方收集 证据 本阶段不是一定必要的:如所有利益方对事件或行为 的发生(或没有发生)达成一致意见,就没有纠纷需 要解决;即使出现纠纷,有时也可通过争议双方直接 解决而不需要仲裁者。 3.4.4 抗抵赖服务的一些形式 传输消息至少涉及两个实体:原发者和接收者。 涉及的潜在纠纷: 原发者受到怀疑,如被指控的原发者声称消息被接 收者伪造,或者被伪装的攻击者伪造 接收者受到怀疑,如被指控的接收者声称消息没有 发送,或者在传输中丢失,或者被伪装的攻击者接 收。 3.4.5 OSI抗抵赖证据例子 对原发抗抵赖包括证据 原发者可辨别标识符 被发送的数据,或数据的 数字指纹。 对递交抗抵赖 接收者可辨别标识符 被接收的数据,或数据的 数字指纹。 3.4.6 抗抵赖策略 证据生成规则:如用于生成证据的 TTP的规范 证据验证规则:如其证据是可接受的 TTP规范 证据存储规则:如,用于保证所存储证据完整性的手 段 证据使用规则:如,使用证据的用途的规范 仲裁规则:一致公认的可解决纠纷的仲裁者规范 这些规则可由不同的权威机构定义。如证据生成规则可 由系统所有者定义,仲裁者可由系统所在国家的法律 定义。 3.5 机密性( confidentiality)框架 ISO/IEC10181-5是开放系统互连安全框架的机 密性框架部分。 本安全框架只涉及对提供系统和系统内部对象 保护方式以及系统之间交互作用的定义,不涉 及构建这些系统或机制的方法学。 机密性框架阐述信息在 检索、传输 和 管理 中的 机密性问题。 3.5.1 机密性的一般讨论 机密性服务的目的 确保信息仅仅是对被授权者可用。 信息是通过数据表示的,信息从数据中导出的 不同方式 理解数据的含义 使用数据相关的属性 研究数据的上下文关系 通过观察数据表达式的动态变化 3.5.1 机密性的一般讨论 被保护的环境 在被保护环境中的数据通过使用特别的安全机制 (或多个机制)保护,所有数据以类似方法受到保 护。 被交叠保护的环境 当两个或更多的环境交叠时,交叠中的数据能被多 重保护。 信息的保护 机密性保护的方法 防止数据存在性和数据特性(如数据大小或数据创 建日期)的知识被人理解; 防止对数据的读访问; 防止数据语义的知识被人理解; 防止信息泄露的方法 保护信息项的表达式(内容)不被泄露 保护表达式规则(信息项表示格式)不被泄露 隐藏和揭示操作 “隐藏”操作可以模型化为信息从一个环境 A, 移动到 A和另一个环境 C交叠的区域( B)。 “揭示”操作可以看作隐藏操作的逆操作。 当信息从一个被机密性机制保护的环境移到被 另一个机制保护的环境时: 如第二个机制的隐藏操作优先于第一个机制的揭示 操作,信息连续地受到保护; 如第一个机制的揭示操作优先于第二个机制的隐藏 操作,信息不能连续地受到保护。 通过不同机密性保护环境的例子 数据从一个初始环境 A输送到一个环境 E时保留了机密性。假 设环境 A和 E通过访问控制支持机密性,环境 C通过加密保护机 密性。交叠环境 B( A和 C)和 D( C和 E)通过加密和访问控制 保护数据。 C A B D E 表示 1 表示 2 表示 2 表示 2 表示 1 t u v w 隐藏操作, 数据加密 揭示操作,去 除访问控制 隐藏操作,添 加访问控制 揭示操作, 数据解密 机密性服务的分类 按信息保护类型分类 数据语义的保护 数据语义和相关属性的保护 数据语义、属性及导出的任何信息的保护 按威胁的种类分类 防止外部威胁 假设合法访问信息者不会把信息泄露给未授权者。 如在 A中的敏感文件通过加密受到保护,但是拥有所需解密密钥的进 程可以读取被保护的文件,然后把它写到一个不受保护的文件中。 防止内部威胁 假设有访问重要信息和数据的授权者,可以自愿或不自愿地从事将被 保护信息的机密性泄露出去的活动。 如,安全性标签与许可证附加到被保护的资源和能够访问它们的实体 上,访问可通过良好定义且可理解的流控制模式加以限制。 机密性机制的类型 禁止对数据的访问 采用访问控制机制 采用映射技术使信息相应地受到保护 加密 数据填充 发散谱( spread spectrum) 示例:用加密隐藏数据;采用分段和填充的加 密,隐藏 PDU的长度;采用发散谱技术,隐藏 通信通道的存在性。 对机密性的威胁 通过禁止访问提供机密性时的威胁 穿透禁止访问机制 物理保护通道中的弱点 禁止访问机制实现(方法)中的弱点 特洛伊木马 穿透禁止访问机制所依赖的服务 对可能直接或间接地泄露系统信息的系统工具进行 开发 隐蔽通道 对机密性的威胁 通过隐藏信息提供机密性时的威胁 穿透加密机制 密码分析 偷窃密钥 选择性明码攻击 通信流分析 PDU头分析 隐蔽通道 机密性攻击的类型 主动攻击 特洛伊木马 隐蔽通道 穿透支持机密性的机制,如穿透鉴别机制,穿透访问控制机 制,以及密钥截获; 密码机制的欺骗性请求,如选择性明文攻击。 被动攻击 非法窃取信息和搭线窃听 通信流分析 出于 非法目的对 PDU头进行的分析 除了指定的目的之外,将 PDU数据复制到系统中; 密码分析 3.5.2 机密性策略 机密性策略是安全策略的一部分,安全策略处 理机密服务的提供和使用。 表达机密性策略的方法 信息特征 策略可用各种方式识别信息,如识别创建它的实体,通 过识别读取它的任何实体组;通过位置;通过识别数据 被提交的上下文关系。 实体特征 独立和惟一地识别实体 属性与实体进行关联 3.5.3 机密性信息和设备 机密性信息 隐藏机密信息( HCI) 公共密钥 对称密钥 数据存储位置 分段规则 揭示机密信息( RCI) 私钥 对称密钥 数据存储位置 分段规则 机密性操作设备 隐藏 对数据进行机密性保护 输入:数据、 HCI、该机制特有 的标识符; 输出:受机密性保护的数据、被 执行隐藏操作的其它结果、受机 密性保护环境的可辨别标识符, 存放受机密性保护的数据。 揭示 拆除以前隐藏操作对数据进行的 保护 输入:受机密性保护的数据、 RCI、机制特有标识符; 输出:数据、被执行揭示操作的 其它结果、环境的可辨别标识符, 在这环境中存放了输出的数据。 3.5.4 机密性机制 数据的机密性依赖于所驻留和传输的介质。 存储数据的机密性:隐藏数据语义(加密)、数据分片 传输中的机密性:禁止访问,隐藏数据语义,分散数据的机 制 分类 通过禁止访问提供机密性 通过加密提供机密性 通过其他机制提供机密性 通过数据填充提供机密性 通过虚假事件提供机密性 通过保护 PDU头提供机密性 通过时间可变域提供机密性 通过上下文位置提供机密性 3.6 完整性( integrity)框架 ISO/IEC 10181-6是开放系统互连安全框架的完 整性框架部分。 所谓完整性,就是数据不以未经授权方式进行 改变或损坏的特性。 3.6.1 完整性服务的目的 保护可能遭受不同方式危害的数据的完整性及 其相关属性的完整性。 这些危害包括 未授权的数据修改 未授权的数据删除 未授权的数据创建 未授权的数据插入 未授权的数据重放 完整性服务的类型 根据防范的违规分类 未授权的数据修改 未授权的数据删除 未授权的数据创建 未授权的数据插入 未授权的数据重放 根据提供的保护方法分类 阻止完整性损坏 检测完整性损坏 根据是否包括恢复机制分类 带恢复功能 不带恢复功能 完整性机制的类型 阻止对介质访问的机制 物理隔离的、不受干扰的信道 路由控制 访问控制 用于探测对数据或数据项序列的非授权修改的 机制 密封 数字签名 数据重复 与密码变换相结合的数字指纹 消息序列码 对完整性的威胁 按提供的服务,威胁可被分为 通过阻止威胁,支持数据完整性的环境中的未授权 的创建、修改、删除、插入和重放 通过探测威胁,提供完整性保护环境中的未授权或 未被探测的创建、修改、删除、插入和重放。 根据数据驻留的媒体不同,威胁可分为 针对存储数据的介质的威胁 针对传输数据的介质的威胁 与介质无关的威胁 对完整性攻击的分类 旨在攻破密码学机制或利用这些机制的弱点的攻击。 包括:对密码机制的穿透;(有选择地)删除和重复 旨在攻破所使用的上下文机制(上下文机制在特定的 时间和 /或地点交换数据)。攻击包括:大量的、协同 的数据项复制品改变;穿透上下文建立机制。 旨在攻破探测和确认机制的攻击。攻击包括:假确认; 利用确认机制和处理接收到的数据之间的错误顺序; 旨在摧毁、破坏或采用不正当手段获取阻止机制的攻 击。攻击包括:对机制本身的攻击;穿透机制所依赖 的服务;开发并不期望的边界效应的效能。 3.6.2 完整性策略 完整性策略是安全策略的一部分,处理安全服 务的提供与使用。 数据特征 通过识别被授权创建、改变、删除该数据的实体 通过数据位置 通过识别上下文 实体特征 基于身份的策略 基于规则的策略 3.6.3 完整性信息和设备 完整性信息 屏蔽完整性信息:私钥、秘密密钥、算法标识符和 相关密码参数、时变参数; 变换检测完整性的信息:公钥、私钥; 去屏蔽完整性信息:公钥、秘密密钥。 完整性设备 屏蔽:对数据实施完整性保护 证实:检查受完整性保护的数据是否被修改 去屏蔽:将受完整性保护的数据转换为最初被屏蔽 的数据 3.7 本章小结
展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 图纸专区 > 课件教案


copyright@ 2023-2025  zhuangpeitu.com 装配图网版权所有   联系电话:18123376007

备案号:ICP2024067431-1 川公网安备51140202000466号


本站为文档C2C交易模式,即用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。装配图网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知装配图网,我们立即给予删除!