• / 98
  • 下载费用:20 金币  

信息安全体系结开放系统互连安全服务框架

关 键 词:
信息安全体系 开放系统互连安全服务框架 信息安全体系结 开放系统互连安全体系 开放系 统互连安全体系 信息系统安全 开放系统互连 开放系统互联 安全服务框架 信息系统安全体系 框架开放系统互连
资源描述:
第3章 开放系统互连安全服务框架 3.1 安全框架概况 • 安全框架标准是安全服务、安全机制及其相应 安全协议的基础,是信息系统安全的理论基础 。 • GB/T9387.2-1995(等同于ISO7498-2)定义了 进程之间交换信息时保证其安全的体系结构中 的安全术语、过程和涉及范围。 • 安全框架标准(ISO/IEC 10181-1~10181-7)全 面惟一地准确定义安全技术术语、过程和涉及 范围的标准。 安全框架的内容 • 描述安全框架的组织结构 • 定义安全框架各个部分要求的安全概念 • 描述框架多个部分确定的安全业务与机制之间 的关系。 3.2 鉴别(Authentication)框架 • ISO/IEC10181-2是开放系统互连安全框架的鉴别框架 部分。 • 主要内容 – 鉴别目的 – 鉴别的一般原理 – 鉴别的阶段 – 可信第三方的参与 – 主体类型 – 人类用户鉴别 – 针对鉴别的攻击种类 3.2.1 鉴别目的 人 进程 实开放系统 OSI层实体 组织机构(如企业) 主 体 类 型 鉴别目的: 对抗冒充和重放攻击 主体实体 可辨别标识符 鉴别服务 一个主体可以拥有一 个或多个 验证主体所宣称的 身份 3.2.2 鉴别的一般原理 • 可辨别标识符 – 同一安全域中,可辨别标识符具有唯一性。 • 在粗粒度等级上,组拥有可辨别标识符; • 在细粒度等级上,实体拥有可辨别标识符。 – 在不同安全域中,各安全域可能使用同一个可辨别 标识符。这种情况下,可辨别标识符须与安全域标 识符连接使用,达到为实体提供明确标识符的目的 。 举例 • Windows NT系统中有两种模式: – 工作组 – 域 • 用户帐户(用户名、密码),组帐户是一个可 辨别标识符; • 在不同域之间的用户帐户鉴别,鉴别时需要提 供域的信息。 鉴别的一般原理 • 鉴别方法 – 已知,如一个秘密的通行字 – 拥有的,如IC卡 – 不可改变的特性,如生物学测定的标识特征 – 相信可靠的第三方建立的鉴别 – 环境(如主机地址) 通过“拥有的”某物进行鉴别,一般是鉴别拥有 的东西而不是鉴别拥有者。它是否由一个特定 主体所唯一拥有,是此方法的关键所在,也是 此方法的不足之处。 鉴别的一般原理 • 在涉及双向鉴别时,实体同时充当申请者和验证者的角色 • 可信第三方:描述安全权威机构或它的代理。在安全相关的活 动中,它被其他实体所信任。可信第三方在鉴别中受到申请者 和/或验证者的信任。 主体实体 申请者 验证者 就是/或者代表鉴别主体 。代表主体参与鉴别交换 所必需的功能。 就是/或者代表被鉴别身 份的实体。参与鉴别交换 所必需的功能。 鉴别信息(AI) • “鉴别信息”指申请者要求鉴别至鉴别过程结束 所生成、使用和交换的信息。 • 鉴别信息的类型 – 申请AI:用来生成交换AI,以鉴别一个主体的信息 。如:通行字,秘密密钥,私钥; – 验证AI:通过交换AI,验证所声称身份的信息。如 :通行字,秘密密钥,公钥; – 交换AI:申请者与验证者之间在鉴别一个主体期间 所交换的信息。如:可辨别标识符,通行字,质询 ,咨询响应,联机证书,脱机证书等。 申请者、验证者、可信第三方之间的关系 申请AI 申请者 验证AI 验证者 验证AI 可信第三方 申请AI 交换AI 交换AI 交换AI和/或 验证AI 指示潜在的信息流 用来生成交换AI,以鉴别 一个主体的信息。如:通 行字,秘密密钥,私钥 在鉴别一个主体期间所交 换的信息。如:可辨别标 识符,通行字,质询 验证所声称身份的信息 。如:通行字,秘密密 钥,公共密钥 3.2.3 鉴别的阶段 • 阶段 – 安装 – 修改鉴别信息 – 分发 – 获取 – 传送 – 验证 – 停活 – 重新激活阶段 – 取消安装 • 并不要求所有这些阶段 或顺序 • 举例 – 创建一个帐户 – 分发帐户 – 获取帐户 – 修改帐户信息 – 验证帐户 – 禁止帐户 – 激活帐户 – 删除帐户 3.2.4 可信第三方的参与 • 鉴别机制可按可信第三方的参与数分类 – 无需可信第三方参与的鉴别 – 可信第三方参与的鉴别 一、无需可信第三方参与的鉴别 申请AI 申请者 验证AI 验证者 交换AI 无论申请者还是验证者,在生成和验证交 换AI时都无需得到其他实体的支持。 二、可信第三方参与的鉴别 • 验证AI可以通过与可信 第三方的交互中得到, 必须保证这一信息的完 整性。 • 维持可信第三方的申请 AI的机密性,以及在申 请AI可从验证AI推演出 来时,维持验证AI的机 密性是必要的。 • 例如 – 公钥体制(公钥,私钥) 对应申请AI和验证AI (一)在线鉴别 • 可信第三方(仲裁者)直接参与申请者与验证 者之间的鉴别交换。 申请AI 申请者 验证AI 验证者 仲裁者 验证AI 仲裁者 验证AI 交换AI 交换AI (二)联机鉴别 • 不同于在线鉴别,联机鉴别的可信第三方并不直接处于 申请者与验证者鉴别交换的路径上。 • 实例:可信第三方为密钥分配中心,联机鉴别服务器。 申请AI 申请者 权威机构 验证AI 验证者 验证AI 可信第三方 权威机构 申请AI 交换AI 交换AI交换AI 指示可能发生的 (三)脱机鉴别 • 要求使用被撤销证书的证明清单、被撤销证书 的证书清单、证书时限或其他用于撤销验证AI 的非即时方法等特征。 申请AI 申请者 权威机构 验证AI 验证者 验证AI 可信第三方 权威机构 申请AI 交换AI 交换AI 表示脱机方式(可能经由 申请者)中验证AI的发布 三、申请者信任验证者 • 申请者信任验证者。 • 如果验证者的身份未得到鉴别,那么其可信度 是不可知的。 • 例如:在鉴别中简单使用的通行字,必须确信 验证者不会保留或重用该通行字。 3.2.5 主体类型 • 指纹、视网膜等被动特征 • 具有信息交换和处理能力 • 具有信息存储能力 • 具有唯一固定的位置 在实际鉴别中,最终鉴别的必须是人类用户而不是 鉴别代表人类用户行为的进程。 人类用户的鉴别方法必须是人类可接受的方法,且 是经济和安全的。 3.2.6 针对鉴别的攻击种类 • 重放攻击 – 对同一验证者进行重放攻 击。可以通过使用惟一序 列号或质询来对抗,惟一 序列号由申请者生成,且 不会被同一验证者两次接 受。 – 对不同验证者进行重放攻 击。通过质询来对抗。在 计算交换AI时使用验证者 惟一拥有的特性可防止这 种攻击。 • 延迟攻击 – 入侵者发起的延迟攻击 – 入侵者响应的延迟攻击 入侵者发起的延迟攻击 • C告诉A说它是B,要求A对B进行鉴别,然后告 诉B说它是A,并且提供自身的鉴别信息。 A 申请者 A-响应者 B 验证者 B-响应者 A(C) 申请者 C-发起者 B(C) 验证者 入侵者 对抗方法: 不能同时作为申请者和验证者; 作为申请者的交换AI和作为响应 者的交换AI不同。 入侵者响应的延迟攻击 • 入侵者处于鉴别交换的中间位置,它截获鉴别 信息并且转发,接管发起者的任务。 A A-发起者 B B-响应者 A(C) 响应者C-发起者 B(C) 入侵者 对抗方法: 提供完整性和机密性服务; 网络地址集成到交换AI中。 3.3 访问控制(Access Control)框架 • ISO/IEC10181-3是开放系统互连安全框架的访 问控制框架部分。决定开放系统环境中允许使 用哪些资源、在什么地方适合阻止未授权访问 的过程叫做访问控制。 3.3.1 访问控制 • 访问控制的目标:对抗涉及计算机或通信系统 非授权操作的威胁。 – 非授权使用 – 泄露,修改,破坏,拒绝服务 • 访问控制安全框架的目标 – 对数据、进程或计算资源进行访问控制 – 在一个安全域中或跨越多个安全域的访问控制 – 根据上下文进行访问控制,如依靠试图访问的时间 、访问者地点或访问路线 – 对访问过程中的授权变化作出反应的访问控制 实系统中的访问控制活动 • 建立一个访问控制策略的表达式 • 建立ACI(访问控制信息)的表达式 • 分配ACI给元素(发起者、目标或访问请求) • 绑定ACI到元素 • 使ADI(访问控制判决信息)对ADF有效 • 执行访问控制功能 • ACI的修改 • ADI的撤销 基本访问控制功能 发起者 访问控制执行功能 (AEF) 访问判决功能 (ADF) 目标 递交访问请求呈递访问请求 判决 请求 判决 代表访问或试图 访问目标的人和 基于计算机的实 体 被试图访问或由发 起者访问的,基于 计算机或通信的实 体,如文件。 访问请求代表构成试图访问 部分的操作和操作数 访问判决功能(ADF) 发起者ADI目标ADI 访问控制 策略规则 保持的 ADI 上下文背景信息 判决 请求 判决 访问请求ADI 发起者的位置 、访问时间或 使用中的特殊 通信路径。 ADI由绑定到 发起者的ACI 导出 允许或禁止发 起者试图对目 标进行访问的 判决 3.3.2 访问控制策略 • 访问控制策略表达安全域中的确定安全需求。 • 访问控制策略体现为一组作用在ADF上的规则 。 访问控制策略分类 • 基于规则的安全策略:被发起者施加在安全域 中任何目标上的所有访问请求。 • 基于身份的访问控制策略:基于特定的单个发 起者、一群发起者、代表发起者行为的实体或 扮演特定角色的原发者的规则。 • 上下文能够修改基于规则或基于身份的访问控 制策略。上下文规则可在实际上定义整体策略 。 群组和角色 • 根据发起者群组或扮演特定角色发起者含义陈述的访 问控制策略,是基于身份策略的特殊类型。 • 群组是一组发起者,群组中的成员是平等的。 • 群组允许一组发起者访问特定的目标,不必在目标 ACI中包括单个发起者的身份,也不必特意将相同的 ACI分配给每个发起者。 • 群组的组成是由管理行为决定的,创建或修改群组的 能力必须服从访问控制的需要。 • 角色对某个用户在组织内允许执行的功能进行特征化 。给定的角色适用于单个个体或几个个体。 • 可按层次使用群组和角色,对发起者身份、群组和角 色进行组合。 安全标签 • 根据安全标签含义陈述的访问控制策略,是基 于规则的安全策略的特殊类型。 • 发起者和目标分别与命名的安全标签关联。 • 访问决策是将发起者和目标安全标签进行比较 为参考的。 多发起者访问控制策略 • 可对个体发起者、相同或不同的群组成员的发 起者、扮演不同角色的发起者,或这些发起者 的组合进行识别。 策略管理 • 固定策略:一直应用又不能被改变的策略。 • 管理性强加策略:一直应用而只能被适当授权 的人才能改变的策略。 • 用户选择策略:对发起者和目标的请求可用, 而且只应用于涉及发起者或目标、发起者或目 标资源的访问请求的策略。 粒度和容度 • 每个粒度级别可有它自己的逻辑分离策略,还 可以对不同AEF和ADF组件的使用进行细化。 • 容度用来控制对目标组的访问。通过指定一个 只有当其允许对一个包含目标组的目标进行访 问时,才允许对目标组内的这些目标进行访问 的策略实现。 继承规则 • 新元素可以通过拷贝、修改、组合现有元素或 构造来创建。 • 新元素的ACI依赖于这些元素:创建者的ACI ,或者拷贝过、修改过、合并过的元素的ACI 。 • 继承规则是访问控制策略的组成部分。 访问控制策略规则中的优先原则 • 访问控制策略规则有可能相互冲突,优先规则规定了 被应用的访问控制策略的次序和规则中优先的规则。 • 如果访问控制策略的规则A和规则B分别让ADF对一个 请求访问作出不同决策,那么优先规则将赋予规则A 优先权,而不考虑B中的规则。或者优先规则要求两 个规则都允许请求,得到允许的访问。 • 当发起者作为群组成员或特定角色时,优先规则可能 需要用于发起者绑定ACI的使用。优先规则可能允许 发起者自己的ACI与假定群组或角色的ACI结合起来 。此时,还须指定怎样对有冲突的ACI进行组合。 默认访问控制策略规则 • 访问控制策略可以包括默认访问控制策略规则 。 • 当一个或多个发起者还没有特意要求允许或拒 绝的特定访问目标时,可以使用这些规则。 通过合作安全域的策略映射 • 在合作安全域间为访问请求提供访问控制时, 有时需要映射或转化绑定到访问请求的ACI。 • 因为不同的合作安全域有不同的ACI表达式, 或者相同ACI在不同安全域有不同的安全策略 解释。 3.3.3 访问控制信息 • 发起者ACI • 目标ACI • 访问请求ACI • 操作数ACI • 上下文信息 • 发起者绑定ACI • 目标绑定ACI • 访问请求绑定ACI 发起者ACI的实例 • 个体的访问控制身份 • 分层群组标识符,可确定成员在分层群组中的 位置 • 功能群组标识符,可确定成员在功能群组中的 位置 • 可被假定的角色标识符 • 敏感性标记 • 完整性标记 目标ACI的实例 • 目标访问控制身份 • 敏感性标记 • 完整性标记 • 包含一个目标的包容者标识符 访问请求ACI的实例 • 被允许的操作种类(如读、写) • 用于操作所需的完整性等级 • 操作的数据类型 操作数ACI的实例 • 敏感性标记 • 完整性标记 上下文信息的实例 • 时限,只有在用天、周、月、年等精确规定的 时间内才准许访问。 • 路由,只有使用的路由具有指定特征时才准许 访问。 • 位置,只有对特定系统、工作站或终端上的发 起者,或者特定的物理位置上的发起者,访问 才被准许。 • 系统状态 • …… 发起者绑定ACI • 包括发起者ACI、某些目标ACI和经过选择的 上下文信息。 • 如 – 发起者ACI – 目标访问控制身份和对目标的可允许访问(如权力 ) – 发起者位置 目标绑定ACI • 包括某些发起者ACI,目标ACI和经过选择的上下文 信息。 • 形式: 标签和访问控制表 • 如 – 个体发起者访问控制身份,允许或拒绝它们对目标的访问 – 分层群组成员访问控制身份,允许或拒绝它们对目标的访问 – 功能群组成员访问控制身份,允许或拒绝它们对目标的访问 – 角色访问控制身份,允许或拒绝它们对目标的访问 – 授权和对它们授权的访问 访问请求绑定ACI • 包括发起者ACI、目标ACI和上下文信息。 • 如 – 允许参与访问的发起者/目标对 – 允许参与访问的目标 – 允许参与访问的发起者 Windows 2000 server • 活动目录 – 在运行Windows 2000 server 系统的计算机上安装活动目录 ,实际上就是一种把服务器转换成域控制器的操作。域控制 器存储整个域的目录数据(如系统安全策略和用户身份验证 数据),并管理用户和域的交互过程,包括用户登录、身份 验证以及目录搜索。 – 活动目录由一个或多个域组成。 – 目录树是指具有连续名称的一个或多个域的集合,这些域通 过双向、可传递的信任关系链接。 – 一个目录林由一个或多个域组成。目录林中每个域目录树的 根域都会与目录林根域建立一种可传递的信任关系。 • 信任关系是建立在两个域之间的关系,它使得一个域 中的域控制器能够识别另一个域内的用户。 Windows 2000 访问控制机制 • Windows 2000 使用访问控制技术来保证已被授 权的主体对客体的使用。 – 安全主体(Security Principal)不仅仅包括用户, 还包括组和服务等主动的实体。 – 客体包括文件、文件夹、打印机、注册表、活动目 录项以及其它对象。 • 访问控制技术即决定安全主体能够在对象上执 行何种类型的操作,如某个用户是否能够读取 、写入还是执行某个文件。 Windows 2000 访问控制机制 • 访问令牌(access token) – Windows 2000系统在用户登录时,为该用户创建一 个访问令牌。该访问令牌包含该用户的SID,用户 所属组的SID和用户的特权。 – 该令牌为用户在该计算机上的任何操作提供了安全 环境。 – 当用户每启动一个应用程序时,所执行的每一个线 程都会得到一份该访问令牌的副本。 – 每当线程请求对某个受到权限控制保护的对象进行 任何级别的访问时,该线程都要把此访问令牌提交 给操作系统,然后操作系统就使用该令牌对对象的 安全信息来执行访问检查。这种检查确保主体是在 经过授权之后才进行访问的。 Windows 2000 访问控制机制 • 安全描述(security descriptor) – 从访问控制的客体角度出发,安全描述定义了客体 (被访问的对象)的安全信息。 – 安全描述中除了对象所有者自身的SID外,主要说 明了哪些用户和组被允许还是被拒绝访问。这通过 一个由访问控制项(access control entries, ACE) 组成的自由访问控制列表(DACL)来实现。 – Windows 2000 系统通过寻找ACL中的项(ACE) 来匹配访问令牌中的用户SID和组SID,以此ACE来 确定用户是否有权进行所请求的访问。 安全描述与访问令牌 用户SID 组SID 特权信息 其它访问信息 用户令牌信息 所有者SID 组SID SACL ACE ACE … … DACL ACE ACE ACE … 对象的安全描述 遍历每个ACE,直到找到匹配内容 系统 访问 控制 列表 自由 访问 控制 列表 安全标识符(SID) • Windows 2000 使用安全标识符(SID)来标识安全主 体和安全组。 • SID是在主体账户或安全组创建时生成的。 • SID的创建者和作用范围依赖于账户类型。对于用户 账户,由本地安全授权机构生成在该系统内惟一的 SID。对于域用户则由域安全授权机构来生成SID。 • SID出现在以下一些访问控制结构中: – 访问令牌,包括一个用户的SID和用户所属组的SID – 安全描述包含与安全描述相关联对象所有者的SID – 安全描述中的每个ACE把SID与相应的访问权限关联起来。 访问令牌 • 访问令牌是一个受保护的对象,其中包含与用 户账户有关的标识和特权信息。 • 用户登录到一台Windows 2000系统时,对登录 资格进行认证。 • 若认证成功,返回该用户的SID和该用户的安 全组的SID列表,据此安全授权机构创建一个 访问令牌。 安全描述 • 安全描述结构 – 头部 – 所有者 – 主组 – 自由访问控制列表 – 系统访问控制列表 用户和组基础 • 用户账户可为用户提供登录到域以访问网络资 源或登录到计算机以访问该机资源的能力。 • Windows 2000 提供两种用户账户 – 本地用户账户:登录到特定计算机访问该机资源。 – 域用户账户:登录到域获得对网络资源的访问。 • 用户在登录Windows 2000计算机(非域控制器 )的时候可以选择是登录到域还是本地计算机 。 组作用域 • 组作用域用来决定在网络的什么位置可以使用组,也 可以决定能以不同的方式分配权限。 • 在Windows 2000中有3个组作用域 – 通用组:有通用作用域的组称为通用组,有通用作用域的组 可将其成员作为来自域树或树林中任何Windows 2000 域的 组和账户,并且在域树或树林的任何域中都可获得权限。 – 全局组:有全局作用域的组称作全局组。可将其成员作为仅 来自所定义的域的组合账户,并且在树林的任何域中都可获 得权限。 – 本地组:具有本地作用域的组称作本地组,可将其成员作为 来自Windows 2000或Windows NT 域的组和账户,并且可用 于仅在域中授予权限。 • 如果具有多个树林,仅在一个树林中定义的用户不能 放入在另一个树林中定义的组,并且仅在一个树林中 定义的组不能指派另一个树林中的权限。 不同类型组作用域之间的区别 区别内容全局组域本地组通用组 可添加的成员来源本地域任何域任何域 可访问的资源范围任何域内本地域内任何域内 常见的应用环境用来对具有类似 网络访问要求的 用户进行组织 用来给资源分配 权限 用来给多个域内 的相关资源分配 权限 本地组 • 本地组(local group)是本地计算机上的用户账户的 集合。 • 可使用本地组给本地组所在计算机上的资源分配权限 。 • 使用本地组的原则 – 只可在创建本地组的计算机上使用本地组 – 在Windows 2000的非域控制器的计算机上使用本地组,不 能在域控制器上创建本地组。 – 可使用本地组来限制本地用户和组访问网络资源的能力。 • 能够添加到本地组的成员 – 本地组所在计算机的本地用户账户 – 本地组不能是任何组的成员 Windows 2000 默认创建的用户组 • 成员服务器 – Administrators – Backup Operators – Guests – Power Users – Replicator – Users • 域控制器 – Account Operators – Print Operators – Server Operators Windows 2000 组策略管理举例 • 全局组、域本地组规划 一个公司包括四个部门,每个部分由相对独立 的人员管理,用Windows 2000进行管理,可以 为每个部门划分一个子域,实现用户管理,现 在,假设有两个共享资源A和B为公司员工提供 访问,A和B两种资源都有不同的访问权限:只 读,完全控制; 用组策略实现管理,请问,如何规划组(全局 组和本地组),即需要多少个全局组和域本地 组? 3.4 抗抵赖(non-repudiation)框架 • ISO/IEC10181-4是开放系统互连安全框架的抗 抵赖框架部分。 • 目的 – 提供有关特定事件或行为的证据。 – 事件或行为本身以外的其他实体可以请求抗抵赖服 务。 什么是证据? • 可用于解决纠纷的信息,称为证据。 • 证据保存: – 证据使用者在本地保存 – 可信第三方保存 • 特殊形式的证据 – 数字签名(与公钥技术一起使用) – 安全信封和安全令牌(与秘密密钥技术一起使用) 什么是证据? • 可以组成证据信息的例子: – 抗抵赖安全策略的标识符 – 原发者可辨别标识符 – 接收者可辨别标识符 – 数字签名或安全信封 – 证据生成者可辨别标识符 – …… 3.4.1 抗抵赖的一般讨论 • 抗抵赖服务包括 – 证据生成 – 验证 – 记录 – 在解决纠纷时进行的证据恢复和再次验证 • 除非证据已被记录,否则无法解决纠纷。 3.4.1 抗抵赖的一般讨论 • 对于消息的抗抵赖服务 – 为提供原发证明,必须确认数据原发者身份和数据 完整性。 – 为提供递交证明,必须确认接收者身份和数据完整 性。 – 某些场合,可能涉及上下文关系(如日期、时间、 原发者/接收者地点)的证据 • 纠纷解决 – 可在纠纷双方之间直接通过检查证据解决 – 通过仲裁者解决(仲裁者的权威性) 3.4.2 可信第三方的角色 • 可信第三方(TTP)分类 – 脱机TTP,支持抗抵赖,而不主动地参与到每个服 务的使用过程的可信第三方 – 联机TTP,主动地介入证据生成或验证的TTP – 在线TTP,在所有交互中充当中介的联机TTP • 可充当的角色 – 公证者、时间戳、监视、密钥证书、签名生成、签 名验证和递交权威机构 3.4.2 可信第三方的角色 • 可充当的角色 – 在证据生成的角色中,TTP与抗抵赖服务的请求者协调,生 成证据; – 在证据的记录角色中,TTP记录证据; – 在时间戳的角色中,TTP受委托提供包含收到时间戳请求时 的时间的证据; – 在密钥证书角色中,TTP提供与证据生成器相关的抗抵赖证 书,以保证用于抗抵赖目的公钥是有效的; – 在密钥分发角色中,TTP向证据生成者和/或证据的验证者 提供密钥; – …… 3.4.3 抗抵赖的阶段 • 四个独立的阶段 – 证据生成 – 证据传输、存储 和检索 – 证据验证 – 解决纠纷 证据主体 证据生成 请求者 证据生成 请求者 证据 使用者 有关信息 观察 证据生成器证据验证者 传输和 存储/检索 可信第三方 有关信息 观察 请求生成请求验证 是/否 证据和其他信息证据和其他信息 证据证据 抗抵赖的前三个阶段 卷入事件或 行为中的实 体,称为证 据主体 公认仲裁者 被告 抗抵赖的解决纠纷阶段 原告 抗抵赖策略 从纠纷双方和/或 可信第三方收集 证据 • 本阶段不是一定必要的:如所有利益方对事件或行为 的发生(或没有发生)达成一致意见,就没有纠纷需 要解决;即使出现纠纷,有时也可通过争议双方直接 解决而不需要仲裁者。 3.4.4 抗抵赖服务的一些形式 • 传输消息至少涉及两个实体:原发者和接收者 。 • 涉及的潜在纠纷: – 原发者受到怀疑,如被指控的原发者声称消息被接 收者伪造,或者被伪装的攻击者伪造 – 接收者受到怀疑,如被指控的接收者声称消息没有 发送,或者在传输中丢失,或者被伪装的攻击者接 收。 3.4.5 OSI抗抵赖证据例子 • 对原发抗抵赖包括证据 – 原发者可辨别标识符 – 被发送的数据,或数据的 数字指纹。 • 对递交抗抵赖 – 接收者可辨别标识符 – 被接收的数据,或数据的 数字指纹。 3.4.6 抗抵赖策略 • 证据生成规则:如用于生成证据的TTP的规范 • 证据验证规则:如其证据是可接受的TTP规范 • 证据存储规则:如,用于保证所存储证据完整性的手 段 • 证据使用规则:如,使用证据的用途的规范 • 仲裁规则:一致公认的可解决纠纷的仲裁者规范 这些规则可由不同的权威机构定义。如证据生成规则可 由系统所有者定义,仲裁者可由系统所在国家的法律 定义。 3.5 机密性(confidentiality)框架 • ISO/IEC10181-5是开放系统互连安全框架的机 密性框架部分。 • 本安全框架只涉及对提供系统和系统内部对象 保护方式以及系统之间交互作用的定义,不涉 及构建这些系统或机制的方法学。 • 机密性框架阐述信息在检索、传输和管理中的 机密性问题。 3.5.1 机密性的一般讨论 • 机密性服务的目的 确保信息仅仅是对被授权者可用。 • 信息是通过数据表示的,信息从数据中导出的 不同方式 – 理解数据的含义 – 使用数据相关的属性 – 研究数据的上下文关系 – 通过观察数据表达式的动态变化 3.5.1 机密性的一般讨论 • 被保护的环境 – 在被保护环境中的数据通过使用特别的安全机制( 或多个机制)保护,所有数据以类似方法受到保护 。 • 被交叠保护的环境 – 当两个或更多的环境交叠时,交叠中的数据能被多 重保护。 信息的保护 • 机密性保护的方法 – 防止数据存在性和数据特性(如数据大小或数据创 建日期)的知识被人理解; – 防止对数据的读访问; – 防止数据语义的知识被人理解; • 防止信息泄露的方法 – 保护信息项的表达式(内容)不被泄露 – 保护表达式规则(信息项表示格式)不被泄露 隐藏和揭示操作 • “隐藏”操作可以模型化为信息从一个环境A, 移动到A和另一个环境C交叠的区域(B)。 • “揭示”操作可以看作隐藏操作的逆操作。 • 当信息从一个被机密性机制保护的环境移到被 另一个机制保护的环境时: – 如第二个机制的隐藏操作优先于第一个机制的揭示 操作,信息连续地受到保护; – 如第一个机制的揭示操作优先于第二个机制的隐藏 操作,信息不能连续地受到保护。 通过不同机密性保护环境的例子 • 数据从一个初始环境A输送到一个环境E时保留了机密性。假设 环境A和E通过访问控制支持机密性,环境C通过加密保护机密 性。交叠环境B(A和C)和D(C和E)通过加密和访问控制保 护数据。 C A B D E 表示 1 表示 2 表示 2 表示 2 表示 1 t u v w 隐藏操作, 数据加密 揭示操作,去 除访问控制 隐藏操作,添 加访问控制 揭示操作, 数据解密 机密性服务的分类 • 按信息保护类型分类 – 数据语义的保护 – 数据语义和相关属性的保护 – 数据语义、属性及导出的任何信息的保护 • 按威胁的种类分类 – 防止外部威胁 • 假设合法访问信息者不会把信息泄露给未授权者。 • 如在A中的敏感文件通过加密受到保护,但是拥有所需解密密钥的进 程可以读取被保护的文件,然后把它写到一个不受保护的文件中。 – 防止内部威胁 • 假设有访问重要信息和数据的授权者,可以自愿或不自愿地从事将被 保护信息的机密性泄露出去的活动。 • 如,安全性标签与许可证附加到被保护的资源和能够访问它们的实体 上,访问可通过良好定义且可理解的流控制模式加以限制。 机密性机制的类型 • 禁止对数据的访问 – 采用访问控制机制 • 采用映射技术使信息相应地受到保护 – 加密 – 数据填充 – 发散谱(spread spectrum) • 示例:用加密隐藏数据;采用分段和填充的加 密,隐藏PDU的长度;采用发散谱技术,隐藏 通信通道的存在性。 对机密性的威胁 • 通过禁止访问提供机密性时的威胁 – 穿透禁止访问机制 • 物理保护通道中的弱点 • 禁止访问机制实现(方法)中的弱点 • 特洛伊木马 – 穿透禁止访问机制所依赖的服务 – 对可能直接或间接地泄露系统信息的系统工具进行 开发 – 隐蔽通道 对机密性的威胁 • 通过隐藏信息提供机密性时的威胁 – 穿透加密机制 • 密码分析 • 偷窃密钥 • 选择性明码攻击 • …… – 通信流分析 – PDU头分析 – 隐蔽通道 机密性攻击的类型 • 主动攻击 – 特洛伊木马 – 隐蔽通道 – 穿透支持机密性的机制,如穿透鉴别机制,穿透访问控制机 制,以及密钥截获; – 密码机制的欺骗性请求,如选择性明文攻击。 • 被动攻击 – 非法窃取信息和搭线窃听 – 通信流分析 – 出于 非法目的对PDU头进行的分析 – 除了指定的目的之外,将PDU数据复制到系统中; – 密码分析 3.5.2 机密性策略 • 机密性策略是安全策略的一部分,安全策略处 理机密服务的提供和使用。 • 表达机密性策略的方法 – 信息特征 • 策略可用各种方式识别信息,如识别创建它的实体,通 过识别读取它的任何实体组;通过位置;通过识别数据 被提交的上下文关系。 – 实体特征 • 独立和惟一地识别实体 • 属性与实体进行关联 3.5.3 机密性信息和设备 • 机密性信息 – 隐藏机密信息(HCI) • 公共密钥 • 对称密钥 • 数据存储位置 • 分段规则 – 揭示机密信息(RCI) • 私钥 • 对称密钥 • 数据存储位置 • 分段规则 • 机密性操作设备 – 隐藏 • 对数据进行机密性保护 • 输入:数据、HCI、该机制特有 的标识符; • 输出:受机密性保护的数据、被 执行隐藏操作的其它结果、受机 密性保护环境的可辨别标识符, 存放受机密性保护的数据。 – 揭示 • 拆除以前隐藏操作对数据进行的 保护 • 输入:受机密性保护的数据、 RCI、机制特有标识符; • 输出:数据、被执行揭示操作的 其它结果、环境的可辨别标识符 ,在这环境中存放了输出的数据 。 3.5.4 机密性机制 • 数据的机密性依赖于所驻留和传输的介质。 – 存储数据的机密性:隐藏数据语义(加密)、数据分片 – 传输中的机密性:禁止访问,隐藏数据语义,分散数据的机 制 • 分类 – 通过禁止访问提供机密性 – 通过加密提供机密性 – 通过其他机制提供机密性 • 通过数据填充提供机密性 • 通过虚假事件提供机密性 • 通过保护PDU头提供机密性 • 通过时间可变域提供机密性 • 通过上下文位置提供机密性 3.6 完整性(integrity)框架 • ISO/IEC 10181-6是开放系统互连安全框架的完 整性框架部分。 • 所谓完整性,就是数据不以未经授权方式进行 改变或损坏的特性。 3.6.1 完整性服务的目的 • 保护可能遭受不同方式危害的数据的完整性及 其相关属性的完整性。 • 这些危害包括 – 未授权的数据修改 – 未授权的数据删除 – 未授权的数据创建 – 未授权的数据插入 – 未授权的数据重放 完整性服务的类型 • 根据防范的违规分类 – 未授权的数据修改 – 未授权的数据删除 – 未授权的数据创建 – 未授权的数据插入 – 未授权的数据重放 • 根据提供的保护方法分类 – 阻止完整性损坏 – 检测完整性损坏 • 根据是否包括恢复机制分类 – 带恢复功能 – 不带恢复功能 完整性机制的类型 • 阻止对介质访问的机制 – 物理隔离的、不受干扰的信道 – 路由控制 – 访问控制 • 用于探测对数据或数据项序列的非授权修改的 机制 – 密封 – 数字签名 – 数据重复 – 与密码变换相结合的数字指纹 – 消息序列码 对完整性的威胁 • 按提供的服务,威胁可被分为 – 通过阻止威胁,支持数据完整性的环境中的未授权 的创建、修改、删除、插入和重放 – 通过探测威胁,提供完整性保护环境中的未授权或 未被探测的创建、修改、删除、插入和重放。 • 根据数据驻留的媒体不同,威胁可分为 – 针对存储数据的介质的威胁 – 针对传输数据的介质的威胁 – 与介质无关的威胁 对完整性攻击的分类 • 旨在攻破密码学机制或利用这些机制的弱点的攻击。 包括:对密码机制的穿透;(有选择地)删除和重复 • 旨在攻破所使用的上下文机制(上下文机制在特定的 时间和/或地点交换数据)。攻击包括:大量的、协同 的数据项复制品改变;穿透上下文建立机制。 • 旨在攻破探测和确认机制的攻击。攻击包括:假确认 ;利用确认机制和处理接收到的数据之间的错误顺序 ; • 旨在摧毁、破坏或采用不正当手段获取阻止机制的攻 击。攻击包括:对机制本身的攻击;穿透机制所依赖 的服务;开发并不期望的边界效应的效能。 3.6.2 完整性策略 • 完整性策略是安全策略的一部分,处理安全服 务的提供与使用。 • 数据特征 – 通过识别被授权创建、改变、删除该数据的实体 – 通过数据位置 – 通过识别上下文 • 实体特征 – 基于身份的策略 – 基于规则的策略 3.6.3 完整性信息和设备 • 完整性信息 – 屏蔽完整性信息:私钥、秘密密钥、算法标识符和 相关密码参数、时变参数; – 变换检测完整性的信息:公钥、私钥; – 去屏蔽完整性信息:公钥、秘密密钥。 • 完整性设备 – 屏蔽:对数据实施完整性保护 – 证实:检查受完整性保护的数据是否被修改 – 去屏蔽:将受完整性保护的数据转换为最初被屏蔽 的数据 3.7 本章小结
展开阅读全文
  麦档网所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
0条评论

还可以输入200字符

暂无评论,赶快抢占沙发吧。

关于本文
本文标题:信息安全体系结开放系统互连安全服务框架
链接地址:https://www.maidoc.com/p-15475571.html

当前资源信息

ldj****22

编号: 20180818145313794499

类型: 共享资源

格式: PPT

大小: 488.00KB

上传时间: 2019-10-09

关于我们 - 网站声明 - 网站地图 - 资源地图 - 友情链接 - 网站客服 - 联系我们

[email protected] 2018-2020 maidoc.com版权所有  文库上传用户QQ群:3303921 

麦档网为“文档C2C模式”,即用户上传的文档所得金币直接给(下载)用户,本站只是中间服务平台,本站所有文档下载所得的金币归上传人(含作者)所有。
备案号:蜀ICP备17040478号-3  
川公网安备:51019002001290号 

本站提供办公文档学习资料考试资料文档下载


收起
展开