安全体系结构与安全模型

网络对抗,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,装甲兵工程学院通信与网络教研室,第,*,页,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,第,*,页,第七章 安全体系结构与安全模型,基本内容,1 安全体系结构,2 安全模型,3 安全评估标准,1.1 什么是安全体系结构,体系结构(Architecture),Architecture=,Components +Connection +Constraints,体系结构部件关系约束,网络安全体系结构,部件：安全服务、安全机制、功能层,关系：安全服务与安全机制、安全服务与功能层,约束：安全政策(Security Policy),Security policy is the set of criteria for provision of security services,安全服务、安全机制、安全技术,可用性服务,保密性服务,加密机制,完整性机制,访问控制机制,对称密钥,技术,公开密钥,技术,完整性服务,安全服务,安全机制,安全技术,防火墙,技术,.,1.2 OSI安全体系结构(ISO7498-2),开放式系统互联安全体系结构主要内容：,相关概念的定义：安全服务、安全机制,定义了五种安全服务（安全功能）,定义了九种安全机制,安全服务和安全机制之间的关系,安全服务在功能层上的配置,安全管理,OSI安全体系结构（ISO 7498-2）,安全机制,加密机制,访问控制机制,数据完整性机制,数字签名机制,普适性机制,认证交换机制,业务流填充机制,路由控制机制,公证机制,认证服务,访问控制,数据完整性,数据保密性,抗抵赖,物理层,链路层,网络层,传输层,会话层,表示层,应用层,安全服务,功能层,1.3 五类安全服务,认证（Authentication），鉴别,对等实体认证,数据源发认证,访问控制（Access Control）,数据保密性（Confidentiality）,机密性,连接的机密性,无连接的机密性,选择字段的机密性,通信业务流（traffic)机密性,1.3 五类安全服务（续）,数据完整性（Integrity）,连接的完整性,无连接的完整性,选择字段的完整性,带恢复的完整性,抗抵赖（Non-Repudation）,数据原发抗抵赖,数据交付抗抵赖,1.4 安全机制,加密机制（密码机制）,可以支持数据保密性、完整性等多种安全服务,算法可以是可逆的，也可以是不可逆的,数字签名机制,签名：使用签名者独有的私有信息,验证：使用公开的信息和规程；,签名采用公钥体制，使用私钥进行数字签名，使用公钥对签名信息进行验证,1.4 安全机制（续）,访问控制机制,根据访问者的身份和有关信息，决定实体的访问权限。实体必须经过认证。,访问控制可以基于以下手段：,集中的授权信息库,主体的能力表；,客体的访问控制链表,主体和客体的安全标签或安全级别,路由、时间、位置等,可以用在源点、中间、或目的,1.4 安全机制（续）,数据完整性机制,接收者能够辨别信息是否发送者发送的原始数据的机制,发送实体给数据单元附加一个消息，这个消息是该数据的函数。接收实体根据接收到的数据也产生一个相应的消息，并通过与接收的附加消息的比较来确定接收到的数据是否在传输中被篡改。,单个数据单元,数据单元序列,序列号,时间戳,1.4 安全机制（续）,认证交换机制（Authentication Exchange）,用来实现网络同级之间的认证,用于认证交换的技术,认证信息，如口令，由发送实体提供，接收实体验证,密码技术,被认证实体的特征或占有物,为防止重放攻击，常与以下技术结合使用,时间戳,两次或三次握手,数字签名和公证机制的抗抵赖服务,1.4 安全机制（续）,通信业务流填充,通过填充冗余的业务流量来防止攻击者对流量进行分析；,路由控制,路由能动态地或预定地选取,以便只使用物理上安全的子网、中继站或链路,在检测到持续的攻击时,端系统可希望指示网络服务的提供者经不同的路由建立连接。,带有某些安全标记的数据可能被安全策略禁止通过某些子网、中继或链路。连接的发起者。,1.4 安全机制（续）,公证机制,由通信各方都信任的第三方提供，由第三方来确保数据的完整性、数据源、时间及目的地的正确。,有关在两个或多个实体之间通信的数据的性质,如它的完整性、原发、时间和目的地等，能够借助公证机制而得到确保。,每个通信事例可使用数字签名、加密和完整性机制以适应公证人提供的那种服务。当这种公证机制被用到时,数据便在参与通信的实体之间经由受保护的通信实例和公证方进行通信。,1.4 安全机制（续）,普遍性安全机制,可信功能度 (trusted functionality),安全标签（security Labels）,事件检测(Event Detection),审计跟踪(security audit Trail),安全恢复(security recovery),1.5 安全服务和安全机制的关系,机制,服务,加密,数字签名,访问控制,数据完整性,认证交换,流量填充,路由控制,公证,对等实体认证,Y,Y,Y,数据源发认证,Y,Y,访问控制服务,Y,连接保密性,Y,Y,无连接保密性,Y,Y,选择字段保密性,Y,信息流保密,Y,Y,Y,可恢复连接完整性,Y,Y,无恢复连接完整性,Y,Y,选择字段连接完整性,Y,y,Y,选择字段无连接完整性,Y,Y,Y,源发抗抵赖,Y,Y,Y,交付抗抵赖,Y,Y,Y,1.6 安全服务在协议层中的位置,层,服务,1,2,3,4,5,6,7,对等实体认证,y,y,y,数据源发认证,y,y,y,访问控制服务,y,y,y,连接保密性,Y,Y,y,y,y,y,无连接保密性,y,y,y,y,选择字段保密性,y,y,信息流保密,Y,y,y,可恢复连接完整性,y,y,y,无恢复连接完整性,y,y,y,y,选择字段连接完整性,y,选择字段无连接完整性,y,y,y,y,源发抗抵赖,y,交付抗抵赖,y,1.7 OSI的安全管理,OSI安全管理与这样一些操作有关,它们不是正常的通信情况但却为支持与控制这些通信的安全所必需,安全的管理,管理的安全,Manager,Agent,操作,报告,被管系统,被管对象,1.7 OSI安全管理的分类,系统安全管理,系统安全管理涉及总的OSI环境安全方面的管理。,安全服务管理,安全机制管理,密钥管理;加密管理;数字签名管理;访问控制管理;数据完整性管理;鉴别管理;通信业务填充管理;路由选择控制管理;公证管理。,服务,TCP/IP协议层,网络接口,IP层,传输层,应用层,对等实体认证,y,y,y,数据源发认证,y,y,y,访问控制服务,y,y,y,连接保密性,y,y,y,y,无连接保密性,y,y,y,y,选择字段保密性,y,信息流保密,y,y,y,可恢复连接完整性,y,y,无恢复连接完整性,y,y,y,选择字段连接完整性,y,选择字段无连接完整性,y,y,y,源发抗抵赖,y,交付抗抵赖,y,TCP/IP协议的安全体系结构,基本内容,1 安全体系结构,2 安全模型,3 安全等级评估,什么是安全模型？,安全模型是一个系统安全政策的形式化描述（数学描述）,一个系统是安全的，当切仅当它所有的状态都满足安全政策的规定。,安全模型的意义,TCSEC的提出使安全模型引起了更多的关注,安全模型能够精确地表达系统对安全性的需求，增强对系统安全性的理解；,有助于系统实现,有助于系统安全性的证明或验证,多级安全模型,多级安全模型最初起源于支持军用系统和数据库的安全保密，它可以使不同的密级包含不同的信息。,密级由低到高分为秘密级、机密级和绝密级，以确保每一密级的信息仅能让那些具有高于或者等于该级权限的人使用。,多边安全模型,阻止信息在不同的部分横向流动。,A,B,C,D,E,共享数据,P2DR安全模型,安全模型已经从原来的被动保护转到主动防御，强调整个生命周期的防御和恢复。,安全策略：根据风险分析产生的安全策略描述了系统中哪些资源要得到保护，以及如何实现对他们的保护等。,防护：通过修复系统漏洞、正确设计、开发和安装系统来预防安全事件的发生；通过定期检查来发现可能存在的系统脆弱性；通过教育等手段，使用户和操作员正确使用系统，防止发生意外威胁；通过访问控制、监视手段来防止恶意威胁。,检测：通过不断地检测和监控网络和系统，来发现新的威胁和弱点，通过循环反馈来及时做出有效的响应。,响应:紧急响应是解决安全潜在问题最有效的办法。,攻击时间Pt：表示从入侵开始到入侵成功的时间。,检测时间Dt：从入侵开始到检测到入侵的时间,响应时间Rt：从检测到系统漏洞或监控到非法攻击到系统启动处理措施的时间。,系统暴露时间Et：系统的暴露时间是指系统处于不安全状况的时间，可以定义为：EtDtRtPt,访问控制模型,控制主体对客体的访问,一次访问可以描述为一个三元组：,访问控制政策是一组规则，决定一个特定的主体是否有权限访问一个客体,F(s,a,o),True,False,访问控制矩阵,按列看是客体的访问控制列表（access control list）,按行看是主体的访问能力表(capability list),Subjects,Objects,S,1,S,2,S,3,O,1,O,2,O,3,Read/write,Write,Read,Execute,BLP 模型,Bell-LaPadula Model 用来描述美国国防部的多级安全政策,用户和文件分成不同的安全级别，各自带有一个安全标签,Unclassified,Confidential,Secret,Top Secret,每个用户只可以读同级或级别更低的文件,BLP模型只描述了保密性，没有描述完整性和可用性的要求,BLP 模型,向下写是不允许的,向上读是不允许的,Subjects,Objects,简单安全特性,*特性,BLP 模型,TS,S,C,U,TS,S,C,U,R/W,W,R/W,R,R/W,R,W,R,R,R,R/W,R,W,W,W,W,Subjects,Objects,Information Flow,BLP 模型的信息流,完整性模型,Biba 模型,安全政策需求：完整性,规则：no read down,no write up,基本内容,1 安全体系结构,2 安全模型,3 安全等级评估,安全等级评估,安全等级评估的意义,计算机和网络的应用环境不同,对安全性的要求也不同,安全等级评估可以为用户选择计算机系统提供指导、依据或参考,安全等级评估标准的发展历程,1983(1985),TCSEC,1991年欧洲,ITSEC,1990年加拿大,CTCPEC,1991年美国,联邦准则FC,1996年国际,通用准则,CC,1996年,国际标准,ISO 15408,安全等级评估,美国：,Trusted Computer System Evaluation Criteria(TCSEC),Trusted Network Interpretation(TNI),欧洲：ITSEC,加拿大：CTCPEC,ISO:CC(Common Criteria for Information Technology Security Evaluation)V2.0,1999,中国：GB17859-99,可信计算机系统评估准则（TCSEC）,可信计算基（Trusted Computing Base）,一个实现安全政策的所有安全机制的集合，包括硬件、软件和固件，它根据安全政策来处理主体（Subject）对客体（Object）的访问,TCB,安全政策,Subject,Object,TCSEC 相关概念,主体（Subject）：用户，进程,客体（Object）：文件、内存等资源,访问（Access Control）：读、写、执行、等,标识（Identification）：,标签（Label）：主体或客体安全级别的一种属性,安全政策，主要指访问控制政策,TCSEC 相关概念,自主型访问控制（Discretiona