信息安全体系结构开放系统互连安全服务框架.ppt

第3章开放系统互连安全服务框架 3 1安全框架概况 安全框架标准是安全服务 安全机制及其相应安全协议的基础 是信息系统安全的理论基础 GB T9387 2 1995 等同于ISO7498 2 定义了进程之间交换信息时保证其安全的体系结构中的安全术语 过程和涉及范围 安全框架标准 ISO IEC10181 1 10181 7 全面惟一地准确定义安全技术术语 过程和涉及范围的标准 安全框架的内容 描述安全框架的组织结构定义安全框架各个部分要求的安全概念描述框架多个部分确定的安全业务与机制之间的关系 3 2鉴别 Authentication 框架 ISO IEC10181 2是开放系统互连安全框架的鉴别框架部分 主要内容鉴别目的鉴别的一般原理鉴别的阶段可信第三方的参与主体类型人类用户鉴别针对鉴别的攻击种类 3 2 1鉴别目的 人进程实开放系统OSI层实体组织机构 如企业 主体类型 鉴别目的 对抗冒充和重放攻击 可辨别标识符 鉴别服务 一个主体可以拥有一个或多个 验证主体所宣称的身份 3 2 2鉴别的一般原理 可辨别标识符同一安全域中 可辨别标识符具有唯一性 在粗粒度等级上 组拥有可辨别标识符 在细粒度等级上 实体拥有可辨别标识符 在不同安全域中 各安全域可能使用同一个可辨别标识符 这种情况下 可辨别标识符须与安全域标识符连接使用 达到为实体提供明确标识符的目的 举例 WindowsNT系统中有两种模式 工作组域用户帐户 用户名 密码 组帐户是一个可辨别标识符 在不同域之间的用户帐户鉴别 鉴别时需要提供域的信息 鉴别的一般原理 鉴别方法已知 如一个秘密的通行字拥有的 如IC卡不可改变的特性 如生物学测定的标识特征相信可靠的第三方建立的鉴别环境 如主机地址 通过 拥有的 某物进行鉴别 一般是鉴别拥有的东西而不是鉴别拥有者 它是否由一个特定主体所唯一拥有 是此方法的关键所在 也是此方法的不足之处 鉴别的一般原理 在涉及双向鉴别时 实体同时充当申请者和验证者的角色可信第三方 描述安全权威机构或它的代理 在安全相关的活动中 它被其他实体所信任 可信第三方在鉴别中受到申请者和 或验证者的信任 申请者 验证者 就是 或者代表鉴别主体 代表主体参与鉴别交换所必需的功能 就是 或者代表被鉴别身份的实体 参与鉴别交换所必需的功能 鉴别信息 AI 鉴别信息 指申请者要求鉴别至鉴别过程结束所生成 使用和交换的信息 鉴别信息的类型申请AI 用来生成交换AI 以鉴别一个主体的信息 如 通行字 秘密密钥 私钥 验证AI 通过交换AI 验证所声称身份的信息 如 通行字 秘密密钥 公钥 交换AI 申请者与验证者之间在鉴别一个主体期间所交换的信息 如 可辨别标识符 通行字 质询 咨询响应 联机证书 脱机证书等 申请者 验证者 可信第三方之间的关系 指示潜在的信息流 用来生成交换AI 以鉴别一个主体的信息 如 通行字 秘密密钥 私钥 在鉴别一个主体期间所交换的信息 如 可辨别标识符 通行字 质询 验证所声称身份的信息 如 通行字 秘密密钥 公共密钥 3 2 3鉴别的阶段 阶段安装修改鉴别信息分发获取传送验证停活重新激活阶段取消安装并不要求所有这些阶段或顺序 举例创建一个帐户分发帐户获取帐户修改帐户信息验证帐户禁止帐户激活帐户删除帐户 3 2 4可信第三方的参与 鉴别机制可按可信第三方的参与数分类无需可信第三方参与的鉴别可信第三方参与的鉴别 一 无需可信第三方参与的鉴别 无论申请者还是验证者 在生成和验证交换AI时都无需得到其他实体的支持 二 可信第三方参与的鉴别 验证AI可以通过与可信第三方的交互中得到 必须保证这一信息的完整性 维持可信第三方的申请AI的机密性 以及在申请AI可从验证AI推演出来时 维持验证AI的机密性是必要的 例如公钥体制 公钥 私钥 对应申请AI和验证AI 一 在线鉴别 可信第三方 仲裁者 直接参与申请者与验证者之间的鉴别交换 二 联机鉴别 不同于在线鉴别 联机鉴别的可信第三方并不直接处于申请者与验证者鉴别交换的路径上 实例 可信第三方为密钥分配中心 联机鉴别服务器 三 脱机鉴别 要求使用被撤销证书的证明清单 被撤销证书的证书清单 证书时限或其他用于撤销验证AI的非即时方法等特征 三 申请者信任验证者 申请者信任验证者 如果验证者的身份未得到鉴别 那么其可信度是不可知的 例如 在鉴别中简单使用的通行字 必须确信验证者不会保留或重用该通行字 3 2 5主体类型 指纹 视网膜等被动特征具有信息交换和处理能力具有信息存储能力具有唯一固定的位置 在实际鉴别中 最终鉴别的必须是人类用户而不是鉴别代表人类用户行为的进程 人类用户的鉴别方法必须是人类可接受的方法 且是经济和安全的 3 2 6针对鉴别的攻击种类 重放攻击对同一验证者进行重放攻击 可以通过使用惟一序列号或质询来对抗 惟一序列号由申请者生成 且不会被同一验证者两次接受 对不同验证者进行重放攻击 通过质询来对抗 在计算交换AI时使用验证者惟一拥有的特性可防止这种攻击 延迟攻击入侵者发起的延迟攻击入侵者响应的延迟攻击 入侵者发起的延迟攻击 C告诉A说它是B 要求A对B进行鉴别 然后告诉B说它是A 并且提供自身的鉴别信息 对抗方法 不能同时作为申请者和验证者 作为申请者的交换AI和作为响应者的交换AI不同 入侵者响应的延迟攻击 入侵者处于鉴别交换的中间位置 它截获鉴别信息并且转发 接管发起者的任务 对抗方法 提供完整性和机密性服务 网络地址集成到交换AI中 3 3访问控制 AccessControl 框架 ISO IEC10181 3是开放系统互连安全框架的访问控制框架部分 决定开放系统环境中允许使用哪些资源 在什么地方适合阻止未授权访问的过程叫做访问控制 3 3 1访问控制 访问控制的目标 对抗涉及计算机或通信系统非授权操作的威胁 非授权使用泄露 修改 破坏 拒绝服务访问控制安全框架的目标对数据 进程或计算资源进行访问控制在一个安全域中或跨越多个安全域的访问控制根据上下文进行访问控制 如依靠试图访问的时间 访问者地点或访问路线对访问过程中的授权变化作出反应的访问控制 实系统中的访问控制活动 建立一个访问控制策略的表达式建立ACI 访问控制信息 的表达式分配ACI给元素 发起者 目标或访问请求 绑定ACI到元素使ADI 访问控制判决信息 对ADF有效执行访问控制功能ACI的修改ADI的撤销 基本访问控制功能 发起者 访问控制执行功能 AEF 访问判决功能 ADF 目标 代表访问或试图访问目标的人和基于计算机的实体 被试图访问或由发起者访问的 基于计算机或通信的实体 如文件 访问请求代表构成试图访问部分的操作和操作数 访问判决功能 ADF 发起者ADI 目标ADI 访问控制策略规则 保持的ADI 上下文背景信息 判决请求 判决 访问请求ADI 发起者的位置 访问时间或使用中的特殊通信路径 ADI由绑定到发起者的ACI导出 允许或禁止发起者试图对目标进行访问的判决 3 3 2访问控制策略 访问控制策略表达安全域中的确定安全需求 访问控制策略体现为一组作用在ADF上的规则 访问控制策略分类 基于规则的安全策略 被发起者施加在安全域中任何目标上的所有访问请求 基于身份的访问控制策略 基于特定的单个发起者 一群发起者 代表发起者行为的实体或扮演特定角色的原发者的规则 上下文能够修改基于规则或基于身份的访问控制策略 上下文规则可在实际上定义整体策略 群组和角色 根据发起者群组或扮演特定角色发起者含义陈述的访问控制策略 是基于身份策略的特殊类型 群组是一组发起者 群组中的成员是平等的 群组允许一组发起者访问特定的目标 不必在目标ACI中包括单个发起者的身份 也不必特意将相同的ACI分配给每个发起者 群组的组成是由管理行为决定的 创建或修改群组的能力必须服从访问控制的需要 角色对某个用户在组织内允许执行的功能进行特征化 给定的角色适用于单个个体或几个个体 可按层次使用群组和角色 对发起者身份 群组和角色进行组合 安全标签 根据安全标签含义陈述的访问控制策略 是基于规则的安全策略的特殊类型 发起者和目标分别与命名的安全标签关联 访问决策是将发起者和目标安全标签进行比较为参考的 多发起者访问控制策略 可对个体发起者 相同或不同的群组成员的发起者 扮演不同角色的发起者 或这些发起者的组合进行识别 策略管理 固定策略 一直应用又不能被改变的策略 管理性强加策略 一直应用而只能被适当授权的人才能改变的策略 用户选择策略 对发起者和目标的请求可用 而且只应用于涉及发起者或目标 发起者或目标资源的访问请求的策略 粒度和容度 每个粒度级别可有它自己的逻辑分离策略 还可以对不同AEF和ADF组件的使用进行细化 容度用来控制对目标组的访问 通过指定一个只有当其允许对一个包含目标组的目标进行访问时 才允许对目标组内的这些目标进行访问的策略实现 继承规则 新元素可以通过拷贝 修改 组合现有元素或构造来创建 新元素的ACI依赖于这些元素 创建者的ACI 或者拷贝过 修改过 合并过的元素的ACI 继承规则是访问控制策略的组成部分 访问控制策略规则中的优先原则 访问控制策略规则有可能相互冲突 优先规则规定了被应用的访问控制策略的次序和规则中优先的规则 如果访问控制策略的规则A和规则B分别让ADF对一个请求访问作出不同决策 那么优先规则将赋予规则A优先权 而不考虑B中的规则 或者优先规则要求两个规则都允许请求 得到允许的访问 当发起者作为群组成员或特定角色时 优先规则可能需要用于发起者绑定ACI的使用 优先规则可能允许发起者自己的ACI与假定群组或角色的ACI结合起来 此时 还须指定怎样对有冲突的ACI进行组合 默认访问控制策略规则 访问控制策略可以包括默认访问控制策略规则 当一个或多个发起者还没有特意要求允许或拒绝的特定访问目标时 可以使用这些规则 通过合作安全域的策略映射 在合作安全域间为访问请求提供访问控制时 有时需要映射或转化绑定到访问请求的ACI 因为不同的合作安全域有不同的ACI表达式 或者相同ACI在不同安全域有不同的安全策略解释 3 3 3访问控制信息 发起者ACI目标ACI访问请求ACI操作数ACI上下文信息发起者绑定ACI目标绑定ACI访问请求绑定ACI 发起者ACI的实例 个体的访问控制身份分层群组标识符 可确定成员在分层群组中的位置功能群组标识符 可确定成员在功能群组中的位置可被假定的角色标识符敏感性标记完整性标记 目标ACI的实例 目标访问控制身份敏感性标记完整性标记包含一个目标的包容者标识符 访问请求ACI的实例 被允许的操作种类 如读 写 用于操作所需的完整性等级操作的数据类型 操作数ACI的实例 敏感性标记完整性标记 上下文信息的实例 时限 只有在用天 周 月 年等精确规定的时间内才准许访问 路由 只有使用的路由具有指定特征时才准许访问 位置 只有对特定系统 工作站或终端上的发起者 或者特定的物理位置上的发起者 访问才被准许 系统状态 发起者绑定ACI 包括发起者ACI 某些目标ACI和经过选择的上下文信息 如发起者ACI目标访问控制身份和对目标的可允许访问 如权力 发起者位置 目标绑定ACI 包括某些发起者ACI 目标ACI和经过选择的上下文信息 形式 标签和访问控制表如个体发起者访问控制身份 允许或拒绝它们对目标的访问分层群组成员访问控制身份 允许或拒绝它们对目标的访问功能群组成员访问控制身份 允许或拒绝它们对目标的访问角色访问控制身份 允许或拒绝它们对目标的访问授权和对它们授权的访问 访问请求绑定ACI 包括发起者ACI 目标ACI和上下文信息 如允许参与访问的发起者 目标对允许参与访问的目标允许参与访问的发起者 Windows2000server 活动目录在运行Windows2000server系统的计算机上安装活动目录 实际上就是一种把服务器转换成域控制器的操作 域控制器存储整个域的目录数据 如系统安全策略和用户身份验证数据 并管理用户和域的交互过程 包括用户登录 身份验证以及目录搜索 活动目录由一个或多个域组成 目录树是指具有连续名称的一个或多个域的集合 这些域通过双向 可传递的信任关系链接 一个目录林由一个或多个域组成 目录林中每个域目录树的根域都会与目录林根域建立一种可传递的信任关系 信任关系是建立在两个域之间的关系 它使得一个域中的域控制器能够识别另一个域内的用户 Windows2000访问控制机制 Windows2000使用访问控制技术来保证已被授权的主体对客体的使用 安全主体 SecurityPrincipal 不仅仅包括用户 还包括组和服务等主动的实体 客体包括文件 文件夹 打印机 注册表 活动目录项以及其它对象 访问控制技术即决定安全主体能够在对象上执行何种类型的操作 如某个用户是否能够读取 写入还是执行某个文件 Windows2000访问控制机制 访问令牌 accesstoken Windows2000系统在用户登录时 为该用户创建一个访问令牌 该访问令牌包含该用户的SID 用户所属组的SID和用户的特权 该令牌为用户在该计算机上的任何操作提供了安全环境 当用户每启动一个应用程序时 所执行的每一个线程都会得到一份该访问令牌的副本 每当线程请求对某个受到权限控制保护的对象进行任何级别的访问时 该线程都要把此访问令牌提交给操作系统 然后操作系统就使用该令牌对对象的安全信息来执行访问检查 这种检查确保主体是在经过授权之后才进行访问的 Windows2000访问控制机制 安全描述 securitydescriptor 从访问控制的客体角度出发 安全描述定义了客体 被访问的对象 的安全信息 安全描述中除了对象所有者自身的SID外 主要说明了哪些用户和组被允许还是被拒绝访问 这通过一个由访问控制项 accesscontrolentries ACE 组成的自由访问控制列表 DACL 来实现 Windows2000系统通过寻找ACL中的项 ACE 来匹配访问令牌中的用户SID和组SID 以此ACE来确定用户是否有权进行所请求的访问 安全描述与访问令牌 遍历每个ACE 直到找到匹配内容 系统访问控制列表 自由访问控制列表 安全标识符 SID Windows2000使用安全标识符 SID 来标识安全主体和安全组 SID是在主体账户或安全组创建时生成的 SID的创建者和作用范围依赖于账户类型 对于用户账户 由本地安全授权机构生成在该系统内惟一的SID 对于域用户则由域安全授权机构来生成SID SID出现在以下一些访问控制结构中 访问令牌 包括一个用户的SID和用户所属组的SID安全描述包含与安全描述相关联对象所有者的SID安全描述中的每个ACE把SID与相应的访问权限关联起来 访问令牌 访问令牌是一个受保护的对象 其中包含与用户账户有关的标识和特权信息 用户登录到一台Windows2000系统时 对登录资格进行认证 若认证成功 返回该用户的SID和该用户的安全组的SID列表 据此安全授权机构创建一个访问令牌 安全描述 安全描述结构头部所有者主组自由访问控制列表系统访问控制列表 用户和组基础 用户账户可为用户提供登录到域以访问网络资源或登录到计算机以访问该机资源的能力 Windows2000提供两种用户账户本地用户账户 登录到特定计算机访问该机资源 域用户账户 登录到域获得对网络资源的访问 用户在登录Windows2000计算机 非域控制器 的时候可以选择是登录到域还是本地计算机 组作用域 组作用域用来决定在网络的什么位置可以使用组 也可以决定能以不同的方式分配权限 在Windows2000中有3个组作用域通用组 有通用作用域的组称为通用组 有通用作用域的组可将其成员作为来自域树或树林中任何Windows2000域的组和账户 并且在域树或树林的任何域中都可获得权限 全局组 有全局作用域的组称作全局组 可将其成员作为仅来自所定义的域的组合账户 并且在树林的任何域中都可获得权限 本地组 具有本地作用域的组称作本地组 可将其成员作为来自Windows2000或WindowsNT域的组和账户 并且可用于仅在域中授予权限 如果具有多个树林 仅在一个树林中定义的用户不能放入在另一个树林中定义的组 并且仅在一个树林中定义的组不能指派另一个树林中的权限 不同类型组作用域之间的区别 本地组 本地组 localgroup 是本地计算机上的用户账户的集合 可使用本地组给本地组所在计算机上的资源分配权限 使用本地组的原则只可在创建本地组的计算机上使用本地组在Windows2000的非域控制器的计算机上使用本地组 不能在域控制器上创建本地组 可使用本地组来限制本地用户和组访问网络资源的能力 能够添加到本地组的成员本地组所在计算机的本地用户账户本地组不能是任何组的成员 Windows2000默认创建的用户组 成员服务器AdministratorsBackupOperatorsGuestsPowerUsersReplicatorUsers域控制器AccountOperatorsPrintOperatorsServerOperators Windows2000组策略管理举例 全局组 域本地组规划一个公司包括四个部门 每个部分由相对独立的人员管理 用Windows2000进行管理 可以为每个部门划分一个子域 实现用户管理 现在 假设有两个共享资源A和B为公司员工提供访问 A和B两种资源都有不同的访问权限 只读 完全控制 用组策略实现管理 请问 如何规划组 全局组和本地组 即需要多少个全局组和域本地组 3 4抗抵赖 non repudiation 框架 ISO IEC10181 4是开放系统互连安全框架的抗抵赖框架部分 目的提供有关特定事件或行为的证据 事件或行为本身以外的其他实体可以请求抗抵赖服务 什么是证据 可用于解决纠纷的信息 称为证据 证据保存 证据使用者在本地保存可信第三方保存特殊形式的证据数字签名 与公钥技术一起使用 安全信封和安全令牌 与秘密密钥技术一起使用 什么是证据 可以组成证据信息的例子 抗抵赖安全策略的标识符原发者可辨别标识符接收者可辨别标识符数字签名或安全信封证据生成者可辨别标识符 3 4 1抗抵赖的一般讨论 抗抵赖服务包括证据生成验证记录在解决纠纷时进行的证据恢复和再次验证除非证据已被记录 否则无法解决纠纷 3 4 1抗抵赖的一般讨论 对于消息的抗抵赖服务为提供原发证明 必须确认数据原发者身份和数据完整性 为提供递交证明 必须确认接收者身份和数据完整性 某些场合 可能涉及上下文关系 如日期 时间 原发者 接收者地点 的证据纠纷解决可在纠纷双方之间直接通过检查证据解决通过仲裁者解决 仲裁者的权威性 3 4 2可信第三方的角色 可信第三方 TTP 分类脱机TTP 支持抗抵赖 而不主动地参与到每个服务的使用过程的可信第三方联机TTP 主动地介入证据生成或验证的TTP在线TTP 在所有交互中充当中介的联机TTP可充当的角色公证者 时间戳 监视 密钥证书 签名生成 签名验证和递交权威机构 3 4 2可信第三方的角色 可充当的角色在证据生成的角色中 TTP与抗抵赖服务的请求者协调 生成证据 在证据的记录角色中 TTP记录证据 在时间戳的角色中 TTP受委托提供包含收到时间戳请求时的时间的证据 在密钥证书角色中 TTP提供与证据生成器相关的抗抵赖证书 以保证用于抗抵赖目的公钥是有效的 在密钥分发角色中 TTP向证据生成者和 或证据的验证者提供密钥 3 4 3抗抵赖的阶段 四个独立的阶段证据生成证据传输 存储和检索证据验证解决纠纷 证据主体 证据生成请求者 证据生成请求者 证据使用者 有关信息 观察 证据生成器 证据验证者 传输和存储 检索 可信第三方 有关信息 观察 请求生成 请求验证 是 否 证据和其他信息 证据和其他信息 证据 证据 抗抵赖的前三个阶段 卷入事件或行为中的实体 称为证据主体 公认仲裁者 被告 抗抵赖的解决纠纷阶段 原告 抗抵赖策略 从纠纷双方和 或可信第三方收集证据 本阶段不是一定必要的 如所有利益方对事件或行为的发生 或没有发生 达成一致意见 就没有纠纷需要解决 即使出现纠纷 有时也可通过争议双方直接解决而不需要仲裁者 3 4 4抗抵赖服务的一些形式 传输消息至少涉及两个实体 原发者和接收者 涉及的潜在纠纷 原发者受到怀疑 如被指控的原发者声称消息被接收者伪造 或者被伪装的攻击者伪造接收者受到怀疑 如被指控的接收者声称消息没有发送 或者在传输中丢失 或者被伪装的攻击者接收 3 4 5OSI抗抵赖证据例子 对原发抗抵赖包括证据原发者可辨别标识符被发送的数据 或数据的数字指纹 对递交抗抵赖接收者可辨别标识符被接收的数据 或数据的数字指纹 3 4 6抗抵赖策略 证据生成规则 如用于生成证据的TTP的规范证据验证规则 如其证据是可接受的TTP规范证据存储规则 如 用于保证所存储证据完整性的手段证据使用规则 如 使用证据的用途的规范仲裁规则 一致公认的可解决纠纷的仲裁者规范这些规则可由不同的权威机构定义 如证据生成规则可由系统所有者定义 仲裁者可由系统所在国家的法律定义 3 5机密性 confidentiality 框架 ISO IEC10181 5是开放系统互连安全框架的机密性框架部分 本安全框架只涉及对提供系统和系统内部对象保护方式以及系统之间交互作用的定义 不涉及构建这些系统或机制的方法学 机密性框架阐述信息在检索 传输和管理中的机密性问题 3 5 1机密性的一般讨论 机密性服务的目的确保信息仅仅是对被授权者可用 信息是通过数据表示的 信息从数据中导出的不同方式理解数据的含义使用数据相关的属性研究数据的上下文关系通过观察数据表达式的动态变化 3 5 1机密性的一般讨论 被保护的环境在被保护环境中的数据通过使用特别的安全机制 或多个机制 保护 所有数据以类似方法受到保护 被交叠保护的环境当两个或更多的环境交叠时 交叠中的数据能被多重保护 信息的保护 机密性保护的方法防止数据存在性和数据特性 如数据大小或数据创建日期 的知识被人理解 防止对数据的读访问 防止数据语义的知识被人理解 防止信息泄露的方法保护信息项的表达式 内容 不被泄露保护表达式规则 信息项表示格式 不被泄露 隐藏和揭示操作 隐藏 操作可以模型化为信息从一个环境A 移动到A和另一个环境C交叠的区域 B 揭示 操作可以看作隐藏操作的逆操作 当信息从一个被机密性机制保护的环境移到被另一个机制保护的环境时 如第二个机制的隐藏操作优先于第一个机制的揭示操作 信息连续地受到保护 如第一个机制的揭示操作优先于第二个机制的隐藏操作 信息不能连续地受到保护 通过不同机密性保护环境的例子 数据从一个初始环境A输送到一个环境E时保留了机密性 假设环境A和E通过访问控制支持机密性 环境C通过加密保护机密性 交叠环境B A和C 和D C和E 通过加密和访问控制保护数据 表示1 表示2 表示2 表示2 表示1 t u v w 隐藏操作 数据加密 揭示操作 去除访问控制 隐藏操作 添加访问控制 揭示操作 数据解密 机密性服务的分类 按信息保护类型分类数据语义的保护数据语义和相关属性的保护数据语义 属性及导出的任何信息的保护按威胁的种类分类防止外部威胁假设合法访问信息者不会把信息泄露给未授权者 如在A中的敏感文件通过加密受到保护 但是拥有所需解密密钥的进程可以读取被保护的文件 然后把它写到一个不受保护的文件中 防止内部威胁假设有访问重要信息和数据的授权者 可以自愿或不自愿地从事将被保护信息的机密性泄露出去的活动 如 安全性标签与许可证附加到被保护的资源和能够访问它们的实体上 访问可通过良好定义且可理解的流控制模式加以限制 机密性机制的类型 禁止对数据的访问采用访问控制机制采用映射技术使信息相应地受到保护加密数据填充发散谱 spreadspectrum 示例 用加密隐藏数据 采用分段和填充的加密 隐藏PDU的长度 采用发散谱技术 隐藏通信通道的存在性 对机密性的威胁 通过禁止访问提供机密性时的威胁穿透禁止访问机制物理保护通道中的弱点禁止访问机制实现 方法 中的弱点特洛伊木马穿透禁止访问机制所依赖的服务对可能直接或间接地泄露系统信息的系统工具进行开发隐蔽通道 对机密性的威胁 通过隐藏信息提供机密性时的威胁穿透加密机制密码分析偷窃密钥选择性明码攻击 通信流分析PDU头分析隐蔽通道 机密性攻击的类型 主动攻击特洛伊木马隐蔽通道穿透支持机密性的机制 如穿透鉴别机制 穿透访问控制机制 以及密钥截获 密码机制的欺骗性请求 如选择性明文攻击 被动攻击非法窃取信息和搭线窃听通信流分析出于非法目的对PDU头进行的分析除了指定的目的之外 将PDU数据复制到系统中 密码分析 3 5 2机密性策略 机密性策略是安全策略的一部分 安全策略处理机密服务的提供和使用 表达机密性策略的方法信息特征策略可用各种方式识别信息 如识别创建它的实体 通过识别读取它的任何实体组 通过位置 通过识别数据被提交的上下文关系 实体特征独立和惟一地识别实体属性与实体进行关联 3 5 3机密性信息和设备 机密性信息隐藏机密信息 HCI 公共密钥对称密钥数据存储位置分段规则揭示机密信息 RCI 私钥对称密钥数据存储位置分段规则 机密性操作设备隐藏对数据进行机密性保护输入 数据 HCI 该机制特有的标识符 输出 受机密性保护的数据 被执行隐藏操作的其它结果 受机密性保护环境的可辨别标识符 存放受机密性保护的数据 揭示拆除以前隐藏操作对数据进行的保护输入 受机密性保护的数据 RCI 机制特有标识符 输出 数据 被执行揭示操作的其它结果 环境的可辨别标识符 在这环境中存放了输出的数据 3 5 4机密性机制 数据的机密性依赖于所驻留和传输的介质 存储数据的机密性 隐藏数据语义 加密 数据分片传输中的机密性 禁止访问 隐藏数据语义 分散数据的机制分类通过禁止访问提供机密性通过加密提供机密性通过其他机制提供机密性通过数据填充提供机密性通过虚假事件提供机密性通过保护PDU头提供机密性通过时间可变域提供机密性通过上下文位置提供机密性 3 6完整性 integrity 框架 ISO IEC10181 6是开放系统互连安全框架的完整性框架部分 所谓完整性 就是数据不以未经授权方式进行改变或损坏的特性 3 6 1完整性服务的目的 保护可能遭受不同方式危害的数据的完整性及其相关属性的完整性 这些危害包括未授权的数据修改未授权的数据删除未授权的数据创建未授权的数据插入未授权的数据重放 完整性服务的类型 根据防范的违规分类未授权的数据修改未授权的数据删除未授权的数据创建未授权的数据插入未授权的数据重放根据提供的保护方法分类阻止完整性损坏检测完整性损坏根据是否包括恢复机制分类带恢复功能不带恢复功能 完整性机制的类型 阻止对介质访问的机制物理隔离的 不受干扰的信道路由控制访问控制用于探测对数据或数据项序列的非授权修改的机制密封数字签名数据重复与密码变换相结合的数字指纹消息序列码 对完整性的威胁 按提供的服务 威胁可被分为通过阻止威胁 支持数据完整性的环境中的未授权的创建 修改 删除 插入和重放通过探测威胁 提供完整性保护环境中的未授权或未被探测的创建 修改 删除 插入和重放 根据数据驻留的媒体不同 威胁可分为针对存储数据的介质的威胁针对传输数据的介质的威胁与介质无关的威胁 对完整性攻击的分类 旨在攻破密码学机制或利用这些机制的弱点的攻击 包括 对密码机制的穿透 有选择地 删除和重复旨在攻破所使用的上下文机制 上下文机制在特定的时间和 或地点交换数据 攻击包括 大量的 协同的数据项复制品改变 穿透上下文建立机制 旨在攻破探测和确认机制的攻击 攻击包括 假确认 利用确认机制和处理接收到的数据之间的错误顺序 旨在摧毁 破坏或采用不正当手段获取阻止机制的攻击 攻击包括 对机制本身的攻击 穿透机制所依赖的服务 开发并不期望的边界效应的效能 3 6 2完整性策略 完整性策略是安全策略的一部分 处理安全服务的提供与使用 数据特征通过识别被授权创建 改变 删除该数据的实体通过数据位置通过识别上下文实体特征基于身份的策略基于规则的策略 3 6 3完整性信息和设备 完整性信息屏蔽完整性信息 私钥 秘密密钥 算法标识符和相关密码参数 时变参数 变换检测完整性的信息 公钥 私钥 去屏蔽完整性信息 公钥 秘密密钥 完整性设备屏蔽 对数据实施完整性保护证实 检查受完整性保护的数据是否被修改去屏蔽 将受完整性保护的数据转换为最初被屏蔽的数据 3 7本章小结