网络信息安全服务与安全体系结构课件.ppt

1、第二章 网络信息安全服务与安全体系结构 2概要n网络信息安全服务n机密性服务n完整性服务n可用性服务n可审性服务n数字签名nKerbers鉴别n访问控制n安全体系结构 n系统安全体系结构n 网络安全的分层体系结构（自学）n OSI安全体系结构的安全服务与安全机制（自学）n ISO/IEC网络安全体系结构（自学）31.机密性服务n机密性服务提供信息的保密，可防止非授权用户访问信息n必须与可审性服务配合工作，后者用来标识各个访问者的身份n考虑信息所在的形式和状态，纸面文件、电子文档、传输中的文件n1.文件机密性n纸面文件：物理位置访问权限可控n电子文件：备份、设备物理位置访问权限、计算机访问权限、

2、文件加密41.机密性服务n2.信息传输机密性n保护在传输中的信息机密性使用加密保护传输中的信息51.机密性服务n2.信息传输机密性n可对每个报文加密，也可对链路上所有通信进行加密，加密可以防止窃听，但不能阻止信息被截获，为此需要合适的身份标识和身份鉴别，确定远程端点的身份加密和身份标识、身份鉴别的结合61.机密性服务n3.通信流机密性n不关心正在传输或存储的信息本身内容，只关心两个端点之间发生的通信形式，这些通信形式通过通信分析可识别组织之间的通信情况。n两个端点之间加入模糊（遮掩）信息流可提供通信流机密性服务以上三种机密性可阻止访问攻击，它们必须与可审性服务一起对访问信息的成员进行身份标识，

3、以减少非授权访问风险7概要n网络信息安全服务n机密性服务n完整性服务n可用性服务n可审性服务n数字签名nKerbers鉴别n访问控制n安全体系结构 n系统安全体系结构n 网络安全的分层体系结构（自学）n OSI安全体系结构的安全服务与安全机制（自学）n ISO/IEC网络安全体系结构（自学）82.完整性服务完整性服务提供信息的正确性。确定信息是否正确的，未经非授权者修改，如同机密性服务一样，该服务必须和可审性服务配合工作。完整性服务能对抗篡改攻击。完整性服务同样应考虑信息所在的形式和状态n1.文件完整性n纸面文件n签名、盖章、禁止查阅n电子文件n文件访问控制，可设置为只读n通过身份标识和身份鉴

4、别来识别企图修改文件的访问者n数字签名n2.信息传输完整性n截获传输中的信息进行修改n加密方法可阻止大部分篡改攻击n加密与身份标识、身份鉴别结合效果更好9概要n网络信息安全服务n机密性服务n完整性服务n可用性服务n可审性服务n数字签名nKerbers鉴别n访问控制n安全体系结构 n系统安全体系结构n 网络安全的分层体系结构（自学）n OSI安全体系结构的安全服务与安全机制（自学）n ISO/IEC网络安全体系结构（自学）103.可用性服务可用性使合法用户能访问计算机系统，存取系统上的信息，运行各种程序n1.备份n对重要信息进行备份。备份是最简单的可用性服务，是指对重要信息复制一份拷贝，并将其存

5、储在安全的地方。备份的作用是防止意外事件发生或文件被恶意破坏造成的信息完全丢失。用于备份的安全位置可以是现场防火的地方，也可以是远地有物理安全措施的地方。通常备份提供信息可用性，并不需要提供及时的备份。这意味着备份可能从远地检索到，然后传送到现场，并加载到相应的系统113.可用性服务n2.在线恢复n在线恢复提供信息和能力的重构。不同于备份，带有在线恢复配置的系统能检测出故障，并重建诸如处理、信息访问、通信等能力。它是通过使用冗余硬件自动处理的。n通常认为在线恢复是一种立即的重构，且无须进行配置。冗余系统也可以在现场备用，以便在原始系统发生故障时再投入使用。这种应用方式比大部分立即在线恢复系统更

6、便宜123.可用性服务3.灾难恢复n灾难恢复是针对大的灾难来保护系统、信息和能力。灾难恢复是当整个系统或重要的设备不可用时采取的重构一个组织的进程。由上述分析可知，可用性是用来对拒绝服务攻击的系统恢复。可用性并不能阻止拒绝服务攻击，但可用性服务可用来减少这类攻击的影响，并使系统得以在线恢复、正常运行13概要n网络信息安全服务n机密性服务n完整性服务n可用性服务n可审性服务n数字签名nKerbers鉴别n访问控制n安全体系结构 n系统安全体系结构n 网络安全的分层体系结构（自学）n OSI安全体系结构的安全服务与安全机制（自学）n ISO/IEC网络安全体系结构（自学）144.可审性服务n1.身

7、份标识与身份鉴别n目的：n对试图执行一个功能的每个人的身份进行标识n验证这些人声称的身份n方法：n知识因子：你知道什么，口令或PIN（Personal identification number）n拥有因子：你有什么，智能卡或标记n生物因子：你是什么，指纹，视网膜n组合使用上面的方法会更有效，如将口令和智能卡结合使用，通常称为双因子身份鉴别154.可审性服务n1.身份标识与身份鉴别n传统的用于计算机的身份鉴别机制是口令。身份标识是通过系统管理员设置的用户ID联系起来。身份标识与身份鉴别也有助于计算机文件访问控制，以提供计算机系统电子文件的机密性和完整性。它对加密和数字签名也是重要的。n在大多数

8、情况下，身份标识与身份鉴别机制是一个组织内其他安全服务的关键。如果身份标识与身份鉴别失效了，那么完整性和机密性也无法保证164.可审性服务n2.网络环境下的身份鉴别验证某个通信参与方的身份是否与其声称的身份一致的过程，通过身份认证协议来实现。身份认证协议身份认证协议定义了参与认证服务的所有通信方在身份认证过程中需要交换的所有信息的格式、信息发生的次序以及消息的语义，通常采用密码学机制来保证信息的完整性、保密性。n1）身份认证技术n口令技术n在线攻击：在线状态下对用户口令进行猜测攻击n离线攻击：通常采用攻击程序挂字典或随机字符序列n采用物理形式上的身份认证标记进行身份认证的鉴别技术n磁卡、智能卡

9、174.可审性服务n2）身份认证协议n身份认证协议一般有两个通信方，可能会有一个双方都信任的第三方参与，一个通信方向另一方或者第三方发出认证请求，对方按照协议规定作出响应，协议执行完毕时双方确信对方身份。n基于密码学原理的身份认证协议比基于口令或者地址的认证更安全n分为共享密钥认证、公钥认证和零知识认证等几类n会话密钥：指在一次会话过程中使用的密钥，一般都是由机器随机生成。实际使用时往往是在一段时间内有效，并不真正限制在一次会话过程中，主要用于通信加密n共享密钥认证：采用激励/响应技术实现，密钥分发中心（Key Distribution Center）为大家所信任，并且与每个网络通信方都有一个

10、共享密钥。网络各通信方之间无共享密钥，KDC负责给通信双方创建和分发共享密钥，通信双发获得共享密钥后利用激励/响应建立信任关系。184.可审性服务n2）身份认证协议n公钥认证：对方通过密码运算验证自己的身份而不需要将自己的私钥告诉对方。在公钥算法中，将利用私钥私钥对明文信息进行的变换称为签名；将利用公钥公钥对明文信息进行的变换称为封装（seal）或者加密。实际网络环境中采用证书（certificate）的方式来分发公钥。n证书：是一种特殊形式的数据记录，包含有证书代表的通信参与方的名字、身份信息、公钥以及签发机构、签发日期、系列号、有效期等相关数据，由证书权威机构（certificate Au

11、thority，CA）用自己的私钥进行签名。证书权威机构是可信第三方，所有公钥认证系统都采用了证书方式，证书被设计存放在目录服务系统中，通信参与方拥有CA的公钥，可以从目录服务中获得通信对方的证书，通过验证CA签名可以相信证书中列出对方的公钥。n公钥认证安全强度高，计算开销大，所以一般利用公钥进行认证和建立对称的会话密钥，利用传统密钥进行数据传输。194.可审性服务n3.审计功能n审计提供历史事件的记录。审计记录将用户和其在计算机系统中的行动联系起来n计算机提供的日志记录用户ID的行动n需要正确的身份标识和身份鉴别n采用完整性服务来保证审计记录没有被修改过n总结n可审行服务本身不能阻止攻击，与

12、其他服务结合，如机密性和完整性服务结合，对试图执行某些操作者进行正确的身份标识和身份鉴别n可审性服务提供用户对系统执行的操作记录20概要n网络信息安全服务n机密性服务n完整性服务n可用性服务n可审性服务n数字签名nKerbers鉴别n访问控制n安全体系结构 n系统安全体系结构n 网络安全的分层体系结构（自学）n OSI安全体系结构的安全服务与安全机制（自学）n ISO/IEC网络安全体系结构（自学）215 数字签名n数字签名的原理n被发送文件用SHA（Secure Hash Algorithm）编码加密产生128bit的数字摘要n发送方用自己的私用密钥对摘要再加密，这就形成了数字签名n将原文和

13、加密的摘要同时传给对方n对方用发送方的公共密钥对摘要解密，同时对收到的文件用SHA编码加密产生又一个摘要n将解密后的摘要和收到的文件在接收方重新加密产生的摘要相互对比。如两者一致，则说明传送过程中信息没有被破坏或篡改过。文件SHA摘要私钥数字签名发送方的公钥摘要SHA摘要比较发送方接收方225.数字签名n数字签名n通信双方在网上交换信息用公钥密码方式来防止伪造和欺骗的一种身份认证公钥密码，每个用户有两个密钥：公钥E 和私钥D用户A向用户B发送数据m EaDaEbEaDbEbmDa(m)Eb(Da(m)Db(Eb(Da(m)Ea(Db(Eb(Da(m)m用户A用户B23概要n网络信息安全服务n机

14、密性服务n完整性服务n可用性服务n可审性服务n数字签名nKerbers鉴别n访问控制n安全体系结构 n系统安全体系结构n 网络安全的分层体系结构（自学）n OSI安全体系结构的安全服务与安全机制（自学）n ISO/IEC网络安全体系结构（自学）246.Kerberos鉴别nKerberos鉴别由麻省理工学院提出的，是一种使用对称密钥加密算法对称密钥加密算法来实现通过可信第三方密钥分发中心（KDC）的身份认证系统，它提供了通信方之间相互的身份认证手段，而且不依赖于主机的操作系统和地址。n设计目标n开放网络环境中运行，假设传输的数据包可以被任意截获、修改和插入。n适合物理网络环境并不安全的环境下使

15、用n过程n客户方向服务器方提交“凭据”（ticket）来证明自己的身份。凭据由KDC专门为客户端和服务器在某一阶段内通信而生成，凭据中包含客户和服务器方的身份信息、在下一阶段双方使用的临时加密密钥（会话密钥），还有证明客户方拥有会话密钥的身份认证者（KDC信息）的信息，身份认证者信息的作用是防止攻击者将来将同样的凭据再次使用。n凭据有生命期，仅在一段有限的时间内有效，过期后必须从KDC获得新的凭据25概要n网络信息安全服务n机密性服务n完整性服务n可用性服务n可审性服务n数字签名nKerbers鉴别n访问控制n安全体系结构 n系统安全体系结构n 网络安全的分层体系结构（自学）n OSI安全体系

16、结构的安全服务与安全机制（自学）n ISO/IEC网络安全体系结构（自学）267.访问控制n1.访问控制概念n访问控制是基于安全策略和安全模型来确定来访实体是否有访问权以及实施访问权限的过程。n方法n访问矩阵：行代表客体，列代表主体；存储空间过大n访问控制表（ACL）：按行来存储矩阵，服务器上存储每个对象的授权访问者及其权限的一张表，如一个文档n权力表：按列来存储矩阵，每个访问者存储有访问权利的表，包含能够访问的对象和操作权限，如一个用户n2.访问控制分类n粗粒度访问控制：对象为主机n中粒度访问控制n细粒度访问控制：对象为文件、记录277.访问控制n3.实现过程n在集中式系统中，操作系统控制着

17、所有访问对象并且管理所有进程，所有操作均在主机操作系统管理下进行。在分布式系统和网络环境中，首先是访问者和被访问对象不在一台主机上，它们之间的通信路径可能很长并且中间可能经过很多台主机，这些主机的可信赖程度是不同的。因此在进行身份认证时必须将远程用户和本地用户加以区分将远程用户和本地用户加以区分，在设置访问控制权限时也要区别对待。例如有些资源只允许用户在本地进行访问n网络系统的规模比集中式系统要大很多，因此不可能由单个主机来负责网络系统的规模比集中式系统要大很多，因此不可能由单个主机来负责管理所有用户以及他们的访问控制信息管理所有用户以及他们的访问控制信息。必须有机制保证应用监视器与这些用户管

18、理和访问控制信息管理的服务器之间安全地通信，这里涉及访问控制信息数据完整性和对访问控制服务器的认证协议等问题n为了简化管理，访问者通常被分类成组、组织访问者通常被分类成组、组织，设置访问控制时可以按组进行设定，这样就可以避免访问控制表过于庞大28概要n网络信息安全服务n机密性服务n完整性服务n可用性服务n可审性服务n数字签名nKerbers鉴别n访问控制n安全体系结构 n系统安全体系结构n 网络安全的分层体系结构（自学）n OSI安全体系结构的安全服务与安全机制（自学）n ISO/IEC网络安全体系结构（自学）291.系统安全体系结构n1.可信系统体系结构概述n确定设置保护的位置，是用户端，还

19、是数据存贮的地方n确定安全机制设置的位置，硬件、内核、操作系统、服务还是程序级n硬件层：保护机制简单，广泛的通用的保护，粗粒度n上层：越是层次上升越复杂，功能则更专门，粒度越细，安全机制的级别越低。安全机制复杂性和安全保障的关系 301.系统安全体系结构n2.定义主体和客体子集n用户和访问对象子集n3.可信计算基（Trusted Computing Base，TCB）n定义为计算机系统中全部保护机制的组合，涉及到软件、硬件和固件，它建立了一个基本的保护环境，并提供一个可信计算系统所要求的附加用户服务n通常所指的可信计算基是构成安全计算机信息系统的所有安全保护装置的组合体(通常称为安全子系统)，

20、以防止不可信主体的干扰和篡改311.系统安全体系结构n4.安全边界n不是每个部件和资源都在TCB内n安全边界用来区分可信和不可信n通过接口来处理和控制TCB内外部件间通信可信部件和非可信部件间通信的接口控制 321.系统安全体系结构n5.基准监控器和安全内核n基准监控器是一个访问控制概念，协调所有的访问主体和客体，确保主体有必须的访问权，以及保护客体不被非授权访问、修改和破坏n安全内核nTCB内的一些机制构成，以实施和执行基准监控器概念n由硬件、固件和软件组成n协调主体和客体间的访问及各种功能n是TCB的核心n安全内核准则n为了执行基准监控器概念，安全内核必须提供隔离且防篡改的功能n对每个访问

21、企图，基准监控器必须都行使其职责，且不可能被侵入。因此，基准监控器必须以完善的、安全的方式实行n基准监控器必须是可验证的，基准监控器所做出的决定都应写成审计日志，并可验证n安全内核必须足够小，可以用完善的、综合的方法进行测试和验证331.系统安全体系结构n6.安全域n定义为主体能访问的客体的集合n操作系统工作在特权模式：更大的工作域，更多可访问资源，提供更多的功能n操作系统工作在用户模式：工作域小，可访问资源少n安全域与赋予主体的或客体的保护环的关联关系n保护环越小，特权越高，安全域越大可信级和安全域的关系 341.系统安全体系结构n7.资源隔离n目的：正确实施访问控制、审计，决定主体、客体各

22、自所在的域n方法：模块化，能使每个主体和客体可唯一识别、独立地赋予允许权，可审计，活动能被精确跟踪n进程隔离：通过地址分配实现，如虚拟内存技术、内存硬件分段351.系统安全体系结构n8.安全策略n安全策略是一些规则的集合，指明敏感信息是如何管理、保护和分布的，确切表达要实现的安全机制的目标设置时何种级别。n是系统规范的基础，提供评估系统的基准n安全策略必须指明什么样的主体能访问什么样的客体，什么样的行为是可接受的n主体只能访问的安全级别低于或者等于自己的客体361.系统安全体系结构n9.最小特权n在完成某种操作时所赋予网络中每个主体（用户或进程）必不可少的特权 n原则：应限定网络中每个主体所必

23、须的最小特权，确保可能的事故、错误、网络部件的篡改等原因造成的损失最小 n较高特权只有在需要的时候才运用n例：一个人既是班主任也是系主任，管理班级事务的时候只需要班主任权限，涉及到系里的工作的时候才使用系主任特权371.系统安全体系结构n10.分层、数据隐蔽和抽象n分层是不同的进程工作在不同层的机制，系统不同层产生不同的功能n基本功能在最底层，复杂的敏感的在较高层n层之间通信通过接口实现n数据隐蔽：一个层的主体没有接口和另外一层的数据通信，则称该数据对该主体是隐蔽的，数据隐蔽是相对的n客体组合成一个集合（类），当一类客体被赋予一定的允许权，定义可接受的活动，称为抽象n抽象使不同的客体管理更加容

24、易，只需要管理类，不需要管理每个客体n例：男生一类，女生一类，男生学武术，女生学刺绣38概要n网络信息安全服务n机密性服务n完整性服务n可用性服务n可审性服务n数字签名nKerbers鉴别n访问控制n安全体系结构 n系统安全体系结构n 网络安全的分层体系结构（自学）n OSI安全体系结构的安全服务与安全机制（自学）n ISO/IEC网络安全体系结构（自学）392.网络安全体系结构n1.不同层次的安全n网络安全的层次结构表示在各层次设置屏障以防止攻击和威胁n例：防病毒层次结构：工作站、文件服务器、邮件服务器，通过代理服务器实施过滤n文件访问保护层次方案：用户分组授权，授权细化，登录凭证策略，文件

25、访问监控和审计，物理安全屏障402.网络安全体系结构n2.网络体系结构的观点n不同类型的攻击存在于不同的层次nIp欺诈（网络层）、字典攻击（应用层）、窃听（数据链路和物理层）、病毒（应用层）n观察出入数据流及数据如何授权n不同的点如何监控n不同场合的安全解决方案如何协同工作网络体系结构不同层次的安全防护 41概要n网络信息安全服务n机密性服务n完整性服务n可用性服务n可审性服务n数字签名nKerbers鉴别n访问控制n安全体系结构 n系统安全体系结构n 网络安全的分层体系结构（自学）n OSI安全体系结构（自学）n ISO/IEC网络安全体系结构（自学）423.OSI安全体系结构n1.OSI安

26、全体系结构定义了：n5类安全服务n8种特定的安全机制n5种普遍性安全机制n确定了安全服务与安全机制的关系，以及在OSI七层模型中的安全服务的配置n确定了OSI安全体系的安全管理433.OSI安全体系结构nOSI安全体系结构的5类安全服务1.鉴别n1）对等实体鉴别n确认有关的对等实体是所需的实体，由第N层提供时，使N+1层实体确信与之打交道的对等实体正是它所需要的N+1实体n用以证明一个或多个连接实体的身份n防止实体冒充n防止试图将先前的连接作非授权的重放n可以是双向的n2）数据原发鉴别n确认收到的数据的来源是所要求的n由第N层提供时，使N+1层实体确信数据来源正是它所要求的对等的N+1实体n不

27、能鉴别数据单元的重放和篡改443.OSI安全体系结构nOSI安全体系结构的5类安全服务2.访问控制n防止对资源的未授权使用，包括防止以未授权方式使用某一资源。这种服务提供保护以对付开放系统互连可访问资源的非授权使用。这些资源可以是经开放系统互连协议访问到的OSI资源或非OSI资源。这种保护服务可应用于对资源的各种不同类型的访问（例如，使用通信资源、读写或删除信息资源、处理资源的操作），或应用于对某种资源的所有访问。这种访问控制要与不同的安全策略协调一致453.OSI安全体系结构nOSI安全体系结构的5类安全服务3.数据机密性n这种服务对数据提供保护，使之不被非授权地泄露。具体分为以下几种：1）

28、连接机密性n这种服务为一次连接上的全部用户数据保证其机密性。但对于某些使用中的数据，或在某些层次上，将所有数据（例如加密数据或连接请求中的数据）都保护起来反而是不适宜的。2）无连接机密性n这种服务为单个无连接的N层服务数据单元中的全部N用户数据提供机密性保护463.OSI安全体系结构nOSI安全体系结构的5类安全服务3.数据机密性3）选择字段机密性n这种服务为那些被选择的字段保证其机密性，这些字段或处于连接的用户数据中，或为单个无连接的服务数据单元中的字段4）通信业务流机密性n这种服务提供的保护，使得无法通过观察通信业务流推断出其中的机密信息473.OSI安全体系结构nOSI安全体系结构的5类

29、安全服务4.数据完整性n这种服务对付主动威胁。在一次连接上，连接开始时使用对某实体的鉴别服务，并在连接的存活期使用数据完整性服务就能联合起来为在此连接上传送的所有数据单元的来源提供确证，为这些数据单元的完整性提供确证，例如使用顺序号，可为数据单元的重放提供检测。数据完整性可分为以下几种：1）带恢复的连接完整性n这种服务为N连接上的所有N用户数据保证其完整性，并检测整个服务数据单元序列中的数据遭到的任何篡改、插入、删除或同时进行补救或恢复2）无恢复的连接完整性n与上款的服务相同，只是不做补救或恢复483.OSI安全体系结构nOSI安全体系结构的5类安全服务4.数据完整性3）选择字段的连接完整性n

30、这种服务为在一次连接上传送的N层服务数据单元的N用户数据中的选择字段保证其完整性，所取形式是确定这些被选字段是否遭受了篡改、插入、删除或不可用。4）无连接完整性n这种服务当由N层提供时，对发出请求的那个N+1实体提供了完整保护。n这种服务为单个的无连接的服务数据单元保证其完整性，所取形式可以是一个接收到的服务数据单元是否遭受了篡改。此外，在一定程度上也能提供对连接重放的检测5）选择字段无连接完整性n这种服务为单个连接上的服务数据单元中的被选字段保证其完整性，所取形式为被选字段是否遭受了篡改493.OSI安全体系结构nOSI安全体系结构的5类安全服务5.抗否认n这种服务可取如下两种形式，或两者之

31、一：1）有数据原发证明的抗否认n为数据的接收者提供数据的原发证据。防止发送者不承认未发送过这些数据或否认其内容2）有交付证明的抗否认n为数据的发送者提供数据交付证据。防止接收者事后不承认收到过这些数据或否认其内容503.OSI安全体系结构nOSI安全体系结构的安全机制1.8种特定的安全机制n本节所列的8种安全机制可以设置在适当的N层上，以提供OSI安全体系结构的某些安全服务，分述如下。1）加密n对数据进行密码变换以产生密文。加密可以是不可逆的，在这种情况下，相应的解密过程便不能实现了。n 加密既能为数据提供机密性，也能为通信业务流信息提供机密性，并且是其他安全机制中的一部分或对安全机制起补充作

32、用。513.OSI安全体系结构nOSI安全体系结构的安全机制1.8种特定的安全机制 1）加密n 加密既能为数据提供机密性，也能为通信业务流信息提供机密性，并且是其他安全机制中的一部分或对安全机制起补充作用。n大多数应用不要求在多个层加密，加密层的选取主要取决于下列几个因素：n 如果要求全通信业务流机密性，那么将选取物理层加密，或传输安全手段（例如，适当的扩频技术）。足够的物理安全，可信任的路由选择以及在中继上的类似机制能够满足所有的机密性要求。n如果要求细粒度保护（即对不同应用提供不同的密钥），和抗否认或选择字段保护，那么将选取表示层加密。由于加密算法耗费大量的处理能力，所以选择字段保护是很重

33、要的。在表示层中的加密能提供不带恢复的完整性、抗否认以及所有的机密性。523.OSI安全体系结构nOSI安全体系结构的安全机制1.8种特定的安全机制 1）加密n 加密既能为数据提供机密性，也能为通信业务流信息提供机密性，并且是其他安全机制中的一部分或对安全机制起补充作用。n如果希望实现所有端系统到端系统通信的简单块保护，或希望有一个外部的加密设备（例如，为了给算法和密钥加物理保护，或防止错误软件），那么将选取网络层加密。这能够提供机密性与不带恢复的完整性。虽然在网络层不提供恢复，但传输层的正常的恢复机制能够恢复网络层检测到的攻击。n如果要求带恢复的完整性，同时又具有细粒度保护，那么将选取传输层

34、加密。这能提供机密性、带恢复的完整性或不带恢复的完整性。n对于今后的实施，不推荐在数据链路层上加密。n当关系到这些主要因素中的两项或多项时，可能需要在多个层上提供加密。533.OSI安全体系结构nOSI安全体系结构的安全机制1.8种特定的安全机制 1）加密n 加密算法可以是可逆的，也可以是不可逆的。n可逆加密算法有两大类：n对称（即秘密密钥）加密。对于这种加密，知道了加密密钥也就意味着知道了解密密钥，反之亦然。n非对称（即公开密钥）加密。对于这种加密，知道了加密密钥并不意味着也知道了解密密钥，反之亦然。n不可逆加密算法可以使用密钥，也可以不使用。若使用密钥，密钥可以是公开的，也可以是秘密的。n

35、 除了某些不可逆加密算法的情况外，加密机制的存在便意味着要使用密钥管理机制。543.OSI安全体系结构nOSI安全体系结构的安全机制1.8种特定的安全机制 2）数字签名机制n数字签名是附加在数据单元上的一些数据，或是对数据单元所作的密码变换，这种数据或变换允许数据单元的接收者确认数据单元来源和数据单元的完整性，并保护数据，防止被人（例如接收者）伪造。n数字签名机制确定两个过程：对数据单元签名；验证签过名的数据单元。n第一个过程使用签名者所私有的（即独有的和机密的）信息。第二个过程所用的规程与信息是公之于众的，但不能从它们推断出该签名者的私有信息。553.OSI安全体系结构nOSI安全体系结构的

36、安全机制1.8种特定的安全机制 2）数字签名机制n数字签名机制具有如下特点：签名过程使用签名者的私有信息作为私钥，或对数据单元进行加密，或产生出该数据单元的一个密码校验值。验证过程使用公开的规程与信息来决定该签名是否是用签名者的私有信息产生的。签名机制的本质特征为该签名只有使用签名者的私有信息才能产生出来。因而，当该签名得到验证后，它能在事后的任何时候向第三方（例如法官或仲裁人）证明只有那个私有信息的惟一拥有者才能产生这个签名。563.OSI安全体系结构nOSI安全体系结构的安全机制1.8种特定的安全机制 3）访问控制机制n为了决定和实施一个实体的访问权，访问控制机制可以使用该实体已鉴别的身份

37、，或使用有关该实体的信息（例如它与一个已知的实体集的从属关系），或使用该实体的权利。如果这个实体试图使用非授权的资源，或者以不正当方式使用授权资源，那么访问控制功能将拒绝这一企图，另外还可能产生一个报警信号或记录它作为安全审计跟踪的一个部分来报告这一事件。对于无连接数据传输，发给发送者的拒绝访问的通知只能作为强加于原发的访问控制结果而被提供。573.OSI安全体系结构nOSI安全体系结构的安全机制1.8种特定的安全机制 3）访问控制机制n访问控制机制可以使用下列一种或多种手段。访问控制信息库：保存对等实体的访问权限。信息可以由授权中心保存，或由正被访问的那个实体保存。信息的形式可以是一个访问控

38、制表，或是等级结构的矩阵。使用这一手段要预先假定对等实体的鉴别已得到保证。鉴别信息：例如口令，对这一信息的占有和出示便证明正在进行访问的实体已被授权。权利：对它的占有和出示便证明有权访问由该权利所规定的实体或资源，权利应是不可伪造的并以可信赖的方式进行运送。安全标记：当与一个实体相关联时，这种安全标记可用来表示同意或拒绝访问，通常根据安全策略而定。583.OSI安全体系结构nOSI安全体系结构的安全机制1.8种特定的安全机制 3）访问控制机制n访问控制机制可应用于通信联系中的端点，或应用于任一中间点。涉及原发点或任一中间点的访问控制，是用来决定发送者是否被授权与指定的接收者进行通信，或是否被授

39、权使用所要求的通信资源。n在无连接数据传输目的端上的对等级访问控制机制的要求在原发点必须事先知道，还必须记录在安全管理信息库中。593.OSI安全体系结构nOSI安全体系结构的安全机制1.8种特定的安全机制 4）数据完整性机制n数据完整性有两个方面：单个数据单元或字段的完整性和数据单元流或字段流的完整性。一般来说，用来提供这两种类型完整性服务的机制是不相同的。n决定单个数据单元的完整性涉及两个过程，一个在发送实体上，一个在接收实体上。发送实体给数据单元附加一个量，这个量为该数据的函数。这个量可以是分组校验码那样的补充信息，或是一个密码校验值，而且它本身可以被加密。接收实体产生一个相应的量，确定

40、这个量中的数据是否在传送中被篡改过。603.OSI安全体系结构nOSI安全体系结构的安全机制1.8种特定的安全机制 4）数据完整性机制n单靠这种机制不能防止单个数据单元的重放。在网络体系结构的适当层上，操作检测可能在本层或较高层上起到恢复作用（例如，重传或纠错）。n对于连接方式数据传送，保护数据单元序列的完整性（即防止乱序、数据的丢失、重放、插入或篡改）还另外需要某种明显的排序形式，例如，顺序号、时间标记或密码链。n对于无连接数据传送，时间标记可以用来在一定程度上提供保护，防止个别数据单元的重放。613.OSI安全体系结构nOSI安全体系结构的安全机制1.8种特定的安全机制 5）鉴别交换机制n

41、可用于鉴别交换的一些技术是：使用鉴别信息，例如口令，由发送实体提供而由接收实体验证；密码技术；使用该实体的特征或占有物。n这种机制可设置在N层以提供对等实体鉴别。如果在鉴别实体时，这一机制得到否定的结果，就会导致连接的拒绝或终止，也可能使在安全审计跟踪中增加一个记录，或给安全管理中心一个报告。n当采用密码技术时，这些技术可以与“握手”协议结合起来以防止重放（即确保存活期）。n鉴别交换技术的选用取决于使用它们的环境。在许多场合，它们必须与下列各项结合使用：时间标记与同步时钟；双方握手和三方握手（分别对应于单方鉴别和相互鉴别）；由数字签名和公证机制实现的抗否认服务623.OSI安全体系结构nOSI

42、安全体系结构的安全机制1.8种特定的安全机制 6）通信业务填充机制n通信业务填充机制能用来提供各种不同级别的保护，对抗通信业务分析。这种机制只有在通信业务填充受到机制服务保护时才是有效的。633.OSI安全体系结构nOSI安全体系结构的安全机制1.8种特定的安全机制 7）路由选择控制机制n路由选择控制机制具有以下特点：路由能动态地或预定地选取，以便只使用物理上安全的子网络、中继站或链路。在检测到持续的操作攻击时，端系统可以指示网络服务的提供者经不同的路由建立连接。带有某些安全标记的数据可能被安全策略禁止通过某些子网络、中继站或链路。连接的发起者（或无连接数据单元的发送者）可以指定路由选择说明，

43、由它请求回避某些特定的子网络、中继站或链路。643.OSI安全体系结构nOSI安全体系结构的安全机制1.8种特定的安全机制 8）公证机制n有关在两个或多个实体之间通信的数据的性质，如它的完整性、原发、时间和目的地等能够借助公证机制得到确保。这种保证是由第三方公证人提供的。公证人为通信实体所信任，并掌握必要信息以一种可证实方式提供所需的保证。每个通信事例可使用数字签名、加密和完整性机制以适应公证人提供的那种服务。当这种公证机制被用到时，数据便在参与通信的实体之间经由受保护的通信实体和公证方进行通信。653.OSI安全体系结构nOSI安全体系结构的安全机制2.5种普遍性安全机制普遍性安全机制不是为

44、任何特定的服务而特设的，因此在任一特定的层上，对它们都不作明确的说明。某些普遍性安全机制可认为属于安全管理方面。普遍性安全机制可分为以下几种:1）可信功能度n可信功能度可以扩充其他安全机制的范围，或建立这些安全机制的有效性；可以保证对硬件与软件寄托信任的手段已超出本标准的范围，而且在任何情况下，这些手段随已察觉到的威胁的级别和被保护信息的价值而改变。一般说来，这些手段的代价高而且难于实现。解决办法是选取一个体系结构，它允许安全功能在一些模块中实现，这些模块能与非安全功能分开来制作，并由非安全功能来提供。n应用于一个层而对该层之上的联系所作的任何保护必须由另外的手段来提供，例如通过适当的可信功能

45、度。663.OSI安全体系结构nOSI安全体系结构的8种特定的安全机制2.5种普遍性安全机制2）安全标记n安全标记是与某一资源（可以是数据单元）密切相关联的标记，为该资源命名或指定安全属性（这种标记或约束可以是明显的，也可以是隐含的）。n包含数据项的资源可能具有与这些数据相关联的安全标记，例如指明数据敏感性级别的标记。常常必须在传送中与数据一起运送适当的安全标记。安全标记可能是与被传送的数据相连的附加数据，也可能是隐含的信息。例如，使用一个特定密钥加密数据所隐含的信息，或由该数据的上下文所隐含的信息。明显的安全标记必须是清晰可辨的，以便对它们作适当的验证。此外，它们还必须安全可靠地依附于与之关

46、联的数据。673.OSI安全体系结构nOSI安全体系结构的8种特定的安全机制2.5种普遍性安全机制3）事件检测n与安全有关的事件检测包括对安全明显事件的检测，也可以包括对“正常”事件的检测，例如，一次成功的访问（或注册）。与安全有关的事件的检测可由OSI内部含有安全机制的实体来做。构成一个事件的技术规范由事件处置管理来维护。对各种安全事件的检测，可能引起一个或多个如下动作：在本地报告这一事件；远程报告这一事件；对事件作记录；进行恢复。这种安全事件的例子为：特定的安全侵害；特定的选择事件；对事件发生次数计数的溢出。n这一领域的标准化将考虑对事件报告与事件记录有关信息的传输，以及为了传输事件报告与

47、事件记录所使用的语法和语义的定义。683.OSI安全体系结构nOSI安全体系结构的8种特定的安全机制2.5种普遍性安全机制 4）安全审计跟踪 安全审计就是对系统的记录与行为进行独立的评估考查，目的是测试系统的控制是否恰当，保证与既定策略和操作的协调一致，有助于做出损害评估，以及对在控制、策略与规程中指明的改变做出评价。其目的在于：安全审计跟踪提供了一种不可忽视的安全机制，它的潜在价值在于经事后的安全审计可以检测和调查安全的漏洞。安全审计要求在安全审计跟踪中记录有关安全的信息，分析和报告从安全审计跟踪中得来的信息。这种日志或记录被认为是一种安全机制并予以描述，而把分析和报告视为一种安全管理功能。

48、693.OSI安全体系结构nOSI安全体系结构的8种特定的安全机制2.5种普遍性安全机制4）安全审计跟踪 搜集审计跟踪的信息，通过列举被记录的安全事件的类别（例如对安全要求的明显违反或成功操作的完成），能适应各种不同的需要。安全审计可对某些潜在的侵犯安全的攻击源起到威慑作用。OSI安全审计跟踪将考虑要选择记录什么信息、在什么条件下记录信息，以及为了交换安全审计跟踪信息所采用的语法和语义定义。703.OSI安全体系结构nOSI安全体系结构的8种特定的安全机制2.5种普遍性安全机制5）安全恢复n安全恢复处理来自诸如事件处置与管理功能等机制的请求，并把恢复动作当作是应用一组规则的结果。恢复动作可能有

49、3种：立即动作，可能造成操作的立即放弃，如断开；暂时动作，可能使一个实体暂时无效；长期动作，可能是把一个实体记入“黑名单”，或改变密钥。n对于标准化的课题包括恢复动作的协议，以及安全恢复管理的协议。713.OSI安全体系结构nOSI安全体系结构的8种特定的安全机制3.三维信息系统安全体系结构框架n三维信息系统安全体系结构框架反应了信息系统安全需求和体系结构的共性n安全特征是基于ISO7498-2的5种安全服务n身份鉴别、访问控制、数据保密、数据完整、不可抵赖以及审计管理和可用性n系统单元包括信息处理单元、网络系统、安全管理及物理和行政环境nOSI模型结构层次三维信息系统安全体系结构框 72概要

50、n网络信息安全服务n机密性服务n完整性服务n可用性服务n可审性服务n数字签名nKerbers鉴别n访问控制n安全体系结构 n系统安全体系结构n网络安全的分层体系结构（自学）nOSI安全体系结构（自学）nISO/IEC网络安全体系结构（自学）734.ISO/IEC安全体系结构n1.ISO/IEC安全体系结构参考模型nISO（国际标准化组织）和IEC（国际电气委员会）定义的一个标准安全结构，描述支持网络安全规划、设计和实施的一致框架，以提供端到端的网络安全。该结构能应用到考虑端到端安全的各种网络，并独立于网络的实施技术n应对服务提供者、企业、消费者所面民的全球安全挑战，可适用于任何类型的现代网络，