网络安全体系结构课件

,单击此处编辑母版标题样式,*,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,网络安全技术 （刘化君 编著）,机械工业出版社,普通高等教育“十一五”计算机类规划教材,第2章 网络安全体系结构,网络安全技术 （刘化君 编著）机械工业出版社普通高等教育“,1,第2章 网络安全体系结构,2.1 OSI安全体系结构,2.1.1安全体系结构的5类安全服务,2.1.2 安全体系结构的8种安全机制,2.1.3 网络安全防御体系架构,2.2 网络通信安全模型,2.2.1 网络访问安全模型,2.2.2 网络安全体系结构参考模型的应用,2.3.可信计算,2.3.1 可信计算的概念,2.3.2 可信计算的关键技术,2.3.3 可信计算的发展趋势,2.4 网络安全标准及管理,2.4.1 网络与信息安全标准体系,2.4.2 网络与信息安全标准化概况,2.4.3 可信计算机系统安全评价准则,2.4.4 网络安全管理,第2章 网络安全体系结构2.1 OSI安全体系结构,2,2.1 OSI安全体系结构,图2-1 OSI安全体系结构三维示意图,2.1 OSI安全体系结构图2-1 OSI安全体系结构三维示,3,2.1 OSI安全体系结构,2.1.1 安全体系结构的5类安全服务,1）身份认证服务,身份认证服务也称之为身份鉴别服务，这是一个向其他人证明身份的过程，这种服务可防止实体假冒或重放以前的连接，即伪造连接初始化攻击。,身份认证是其它安全服务，如授权、访问控制和审计的前提，它对通信中的对等实体提供鉴别和数据源点鉴别两种服务。,2）访问控制服务,在网络安全中，访问控制是一种限制，控制那些通过通信连接对主机和应用系统进行访问的能力。访问控制服务的基本任务是防止非法用户进入系统及防止合法用户对系统资源的非法访问使用。,访问控制和身份认证是紧密结合在一起的，在一个应用进程被授予权限访问资源之前，它必须首先通过身份认证。,2.1 OSI安全体系结构2.1.1 安全体系结构的5类安全,4,2.1 OSI安全体系结构,2.1.1 安全体系结构的5类安全服务,3）数据机密性服务,数据机密性服务是指对数据提供安全保护，防止数据被未授权用户获知。,4）数据完整性服务,数据完整性服务通过验证或维护信息的一致性，防止主动攻击，确保收到的数据在传输过程中没有被修改、插入、删除、延迟等。,5）不可否认服务,不可否认服务主要是防止通信参与者事后否认参与。OSI安全体系结构定义了两种不可否认服务：发送的不可否认服务，即防止数据的发送者否认曾发送过数据；接收的不可否认服务，即防止数据的接收者否认曾接收到数据。,2.1 OSI安全体系结构2.1.1 安全体系结构的5类安全,5,2.1 OSI安全体系结构,2.1.2 安全体系结构的8种安全机制,安全服务依赖于安全机制的支持。网络安全机制可分为两类：一类与安全服务有关，另一类与管理功能有关。OSI安全体系结构规定了8种安全机制。,1.数据加密机制,加密机制（Encryption Mechanisms）指通过对数据进行编码来保证数据的机密性，以防数据在存储或传输过程中被窃取。,2.数字签名机制,数字签名机制（Digital Signature Mechanisms）指发信人用自己的私钥通过签名算法对原始数据进行数字签名运算，并将运算结果，即数字签名一同发给收信人。收信人可以用发信人的公钥及收到的数字签名来校验收到的数据是否是由发信人发出的，是否被其它人修改过。数字签名是确保数据真实性的基本方法。,2.1 OSI安全体系结构2.1.2 安全体系结构的8种安全,6,2.1 OSI安全体系结构,2.1.2 安全体系结构的8种安全机制,3.访问控制机制,访问控制机制（Access Control Mechanisms）是网络安全防护的核心策略，它的主要任务是按事先确定的规则决定主体对客体的访问是否合法，以保护网络系统资源不被非法访问和使用。,4.数据完整性机制,数据完整性机制（Data Integrity Mechanisms）是指通过数字加密（利用加密算法将明文转换为难以理解的密文和反过来将密文转换为可理解形式的明文），保证数据不被篡改。数据完整性用以阻止非法实体对交换数据的修改、插入、删除以及在数据交换过程中的数据丢失。,2.1 OSI安全体系结构2.1.2 安全体系结构的8种安全,7,2.1 OSI安全体系结构,2.1.2 安全体系结构的8种安全机制,5.认证交换机制,认证交换机制（Authentication Mechanisms）是指通过信息交换来确保实体身份的机制，即通信的数据接收方能够确认数据发送方的真实身份，以及认证数据在传送过程中是否被篡改；主要有站点认证、报文认证、用户和进程的认证等方式。,6.通信流量填充机制,通信流量填充机制（Traffic Padding Mechanisms）是指由保密装置在无数据传输时，连续发出伪随机序列，使得非法攻击者不知哪些是有用数据、哪些是无用数据，从而挫败攻击者在线路上监听数据并对其进行数据流分析攻击。,2.1 OSI安全体系结构2.1.2 安全体系结构的8种安全,8,2.1 OSI安全体系结构,2.1.2 安全体系结构的8种安全机制,7.路由控制机制,路由控制机制（Routing Control Mechanisms）用于引导发送者选择代价小且安全的特殊路径，保证数据由源节点出发，经最佳路由，安全到达目的节点。,8.公证机制,公证机制（Notarization Mechanisms）是指第三方（公证方）参与的签名机制，主要用来对通信的矛盾双方因事故和信用危机导致的责任纠纷进行公证仲裁。公证机制一般要通过设立公证机构（各方都信任的实体）来实现。公证机构有适用的数字签名、加密或完整性公证机制，当实体相互通信时，公证机构就使用这些机制进行公证。,2.1 OSI安全体系结构2.1.2 安全体系结构的8种安全,9,2.1 OSI安全体系结构,2.1.3 网络安全防护体系架构,OSI安全体系结构通过不同层上的安全机制来实现。这些安全机制在不同层上的分布情况如图2-2所示。,图2-2 网络安全层次模型及各层主要安全机制分布,2.1 OSI安全体系结构2.1.3 网络安全防护体系架构图,10,2.1 OSI安全体系结构,2.1.3 网络安全防护体系架构,图2-2所示的网络安全层次模型是基于ISO/OSI参考模型7层协议之上的信息安全体系。也就是说，OSI安全体系结构也是按层次来实现服务的。每一层提供的安全服务可以选择，各层所提供服务的重要性也不一样。表2-1提供了实现各种安全服务可以选用的安全机制，也显示出提供各种安全服务的层次（ISO 7498-2）。,2.1 OSI安全体系结构2.1.3 网络安全防护体系架构,11,2.2 网络通信安全模型,2.2.1 网络访问安全模型,图2-3 网络通信安全模型,在这个模型中，两个方面用来保证安全：一是与收发相关的安全转换，如对消息加密。这种安全转换使得攻击者不能读懂消息，或者将基于消息的编码附于消息后。二是双方共享的某些秘密信息，并希望这些信息不为攻击者所获知。为了实现安全传输，还需要有可信的第三方。例如，由第三方负责将秘密信息（密钥）分配给通信双方，或者当通信双方对于数据传输的真实性发生争执时，由第三方来仲裁。,2.2 网络通信安全模型2.2.1 网络访问安全模型图2-3,12,2.2 网络通信安全模型,2.2.1 网络访问安全模型,归纳起来，由图2-3所示的通信模型可知，在设计网络安全系统时，应完成下述四个方面的基本任务：,1）设计一个用来执行与安全相关的安全转换算法，而且该算法是攻击者无法破译的；,2）产生一个用于该算法的秘密信息（密钥）；,3）设计一个分配和共享秘密信息（密钥）的方法；,4）指明通信双方使用的协议，该协议利用安全算法和秘密信息实现特定的安全服务。,2.2 网络通信安全模型2.2.1 网络访问安全模型,13,2.2 网络通信安全模型,2.2.1 网络访问安全模型,并非所有的与安全相关的情形都可以用上述安全模型来描述。比如，万维网(WWW)的安全模型就应另加别论。其安全模型可以采用如图2-4所示的网络访问安全模型来描述。该模型的侧重点在于如何有效地避免恶意访问。,图2-4 网络访问安全模型,2.2 网络通信安全模型2.2.1 网络访问安全模型图2-4,14,2.2 网络通信安全模型,2.2.2 网络安全体系结构参考模型的应用,作为全方位的网络安全防护体系也是分层次的，不同层次反映了不同的安全需求。根据网络的应用现状和拓扑结构，可以将安全防护体系的层次划分为物理层安全、系统层安全、网络层安全、应用层安全和安全管理。,1物理环境的安全性（物理层安全）,该层次的安全包括通信线路的安全，物理设备的安全，机房的安全等。物理层的安全主要体现在通信线路的可靠性（线路备份、网管软件、传输介质），软硬件设备安全性（替换设备、拆卸设备、增加设备），设备的备份，防灾害能力，防干扰能力，设备的运行环境（温度、湿度、烟尘），不间断电源保障，等等。,2.2 网络通信安全模型2.2.2 网络安全体系结构参考模型,15,2.2 网络通信安全模型,2.2.2 网络安全体系结构参考模型的应用,2操作系统的安全性（系统层安全）,该层次的安全问题来自网络内所使用操作系统的安全，如Windows NT，Windows 2003/XP/Win7等。主要表现在三个方面，一是操作系统本身的缺陷带来的不安全因素，主要包括身份认证、访问控制、系统漏洞等；二是对操作系统的安全配置；三是病毒对操作系统的威胁。,3网络系统的安全性（网络层安全）,该层次的安全问题主要体现在网络系统的安全性，包括网络层身份认证，网络资源的访问控制，数据传输的机密性与完整性，远程接入的安全，域名系统的安全，路由系统的安全，入侵检测的手段及防病毒技术等。,2.2 网络通信安全模型2.2.2 网络安全体系结构参考模型,16,2.2 网络通信安全模型,2.2.2 网络安全体系结构参考模型的应用,4应用的安全性（应用层安全）,该层次的安全威胁主要来自于所使用的互联网系统应用软件和数据库的安全性，包括Web服务、电子邮件系统、DNS等。此外，还包括恶意代码对系统的安全威胁。,5管理的安全性（管理层安全）,网络安全管理涉及的内容较多，包括技术和设备的管理、管理制度、部门与人员的组织规则等。尤其是安全管理的制度化在网络安全中有着不可忽视的作用，严格的安全管理制度、责任明确的部门安全职责、合理的人员角色配置，都可以有效地增强网络的安全性。,2.2 网络通信安全模型2.2.2 网络安全体系结构参考模型,17,2.3.可信计算,2.3.1 可信计算的概念,所谓可信计算，就是以为信息系统提供可靠和安全运行环境为主要目标，能够超越预设安全规则，执行特殊行为的一种运行实体。,ISO/IEC 15408 标准将可信计算定义为：一个可信的组件、操作或过程的行为在任意操作条件下是可预测的，并能很好地抵抗应用程序软件、病毒，以及一定的物理干扰所造成的破坏。这种描述强调行为的可预测性，能抵抗各种破坏，达到预期的目标。,TCG对“可信”的定义是：针对所给定的目标，如果一个实体的行为总是能够被预期，那么该实体则是可信的。这个定义将可信计算与已有的安全技术分开，可信强调行为过程及结果可预期，但并不等于行为是安全的；安全则主要强调网络与信息系统的机密性、完整性、可用性等基本特性。这是两个不同的概念。,2.3.可信计算2.3.1 可信计算的概念,18,2.3.可信计算,2.3.2 可信计算的关键技术,可信计算研究涵盖多个学科领域，包括计算机科学与技术、通信技术、数学、管理科学、系统科学、社会学、心理学和法律等。,由于可信计算概念来自于工程技术发展，基础理论模型尚未建立，现有的体系结构也还是从工程实施上来构建的，缺乏科学严密性。但在理论研究上，它已受到国际社会的重视，如 IEEE组织于2004年开办了IEEE Transactions on Depend