第2章-信息安全体系结构

第2章信息安全体系结构主讲：蒋朝惠13007856289jiangchaohui@126.com第2章信息安全体系结构建立安全体系结构的目的，则是从管理和技术上保证安全策略得以完整准确地实现，安全需求全面准确地得以满足，包括确定必需的安全服务、安全机制和技术管理，以及它们在系统上的合理部署和关系配置。本章在详细介绍开放系统（OSI）互联和因特网（TCP/IP）两大安全体系结构所提供的安全服务、安全机制及安全服务与安全机制之间的关系等的基础上，阐述了基于技术体系、组织机构体系和管理体系的信息系统的安全体系框架。第2章信息安全体系结构2.2因特网安全体系结构2.1开放系统互联安全体系结构2.3信息系统安全体系框架2.1开放系统互联安全体系结构2.1.1OSI安全体系概述2.1.2OSI的安全服务2.1.3OSI的安全机制2.1.4OSI的安全服务与安全机制之间的关系2.1.5在OSI层中的安全服务配置2.1.6OSI安全体系的安全管理2.1.1OSI安全体系概述ISO于1988年发布了OSI安全体系结构标准——ISO7498.2，作为OSI基本参考模型的新补充。1990年，国际电信联盟（ITU）决定采用ISO7498.2作为它的X.800推荐标准。我国依据ISO/IEC7498.2：1989制定了《GB/9387.2-1995信息处理系统开放系统互连基本参考模型第2部分：安全体系结构》标准。2.1.1OSI安全体系概述（续）OSI安全体系结构标准定义了5大类安全服务，提供这些服务的8类安全机制以及相应的开放系统互连的安全管理，并可根据具体系统适当地配置于OSI模型的七层协议中。2.1.1OSI安全体系概述（续）图2-1ISO7498.2的三维体系结构图2.1.2OSI的安全服务ISO7498.2定义的如下5大类安全服务也被称作安全防护措施。认证（Authentication）服务：提供对通信中对等实体和数据来源的认证。访问控制（AccessControl）服务：对资源提供保护，以对抗其非授权使用和操纵。数据保密性（DataConfidentiality）服务：保护信息不被泄露或暴露给未授权的实体。数据完整性（Dataintegrity）服务：对数据提供保护，以对抗未授权的改变、删除或替代。抗否认性（Non-reputation）服务：防止参与某次通信交换的任何一方事后否认本次通信或通信的内容。2.1.2OSI的安全服务（续）表2-2OSI安全体系结构中安全服务安全服务服务形式对等实体认证认证数据源认证访问控制连接保密性无连接保密性选择字段保密性数据保密性通信业务流保密性带恢复的连接完整性不带恢复的连接完整性选择字段的连接完整性无连接完整性数据完整性选择字段无连接完整性有数据原发证明的抗否认抗否认性有交付证明的抗否认2.1.2OSI的安全服务（续）表2-3对付典型威胁所采用的安全服务攻击类型安全服务假冒认证服务非授权侵犯访问控制服务非授权泄露数据保密性服务篡改数据完整性服务否认抗否认服务拒绝认证服务、访问控制服务、数据完整性服务等2.1.3OSI的安全机制为了实现安全体系结构中5大类安全服务，ISO7498.2制定了8种基本安全机制。加密机制数字签名机制访问控制机制数据完整性机制认证交换机制通信业务填充机制路由控制机制公证机制2.1.3OSI的安全机制（续）加密机制加密机制（EnciphermentMechanisms）是各种安全服务和其他许多安全机制的基础。它既可以为数据提供保密性，也能为通信业务流信息提供保密性，并且还能成为其他安全服务和安全机制的一部分，起支持和补充的作用。加密机制涉及加密层的选取、加密算法的选取、密钥管理问题。2.1.3OSI的安全机制（续）数字签名机制数字签名（DigitalSignatureMechanisms）是对一段附加数据或数据单元的密码变换的结果，主要用于证实消息的真实来源，也是一个消息（例如检验或商业文件）的发送者和接收者间争端的根本解决方法。数字签名机制被用来提供如抗否认与认证等安全保护。数字签名机制要求使用非对称密码算法。数字签名机制需确定两个过程：对数据单元签名和验证签过名的数据单元。2.1.3OSI的安全机制（续）访问控制机制访问控制机制（AccessControlMechanisms）被用来实施对资源访问或操作加以限制的策略。这种策略是将对资源的访问只限于那些被授权的用户，而授权就是指资源的所有者或控制者允许其他人访问这种资源。访问控制还可以直接支持数据保密性、数据完整性、可用性以及合法使用的安全目标。它对数据保密性、数据完整性和合法使用所起的作用是十分明显的。2.1.3OSI的安全机制（续）数据完整性机制数据完整性机制（DataIntegrityMechanisms）的目的是保护数据，以避免未授权的数据乱序、丢失、重放、插入和篡改。2.1.3OSI的安全机制（续）认证交换机制（AuthenticationMechanisms）可用于认证交换的一些技术：•使用认证信息。例如口令。由发送实体提供而由接收实体验证。•密码技术。•使用该实体的特征或占有物。•时间标记与同步时钟。•两方握手和三方握手（分别对应于单向认证与相互认证）。•由数字签名和公证机制实现的抗否认服务。2.1.3OSI的安全机制（续）通信业务填充机制（TrafficPaddingMechanisms）通信业务填充机制是提供通信业务流保密性的一个基本机制。它包含生成伪造的通信实例、伪造的数据单元和／或伪造的数据单元中的数据。伪造通信业务和将协议数据单元填充到一个固定的长度，能够为防止通信业务分析提供有限的保护。为了提供成功的保护，伪造通信业务级别必须接近实际通信业务的最高预期等级。此外，协议数据单元的内容必须加密或隐藏起来，使得虚假业务不会被识别，而与真实业务区分开。通信业务填充机制能用来提供各种不同级别的保护，对抗通信业务分析。这种机制只有在通信业务填充受到保密服务保护时才是有效的。2.1.3OSI的安全机制（续）路由控制机制路由控制机制（RoutingControlMechanisms）使得路由能被动态地或预定地选取，以便只使用物理上安全的子网络、中继站或链路来进行通信，保证敏感数据只在具有适当保护级别的路由上传输。2.1.3OSI的安全机制（续）公证机制（NotarizationMechanisms）公证机制有关在两个或多个实体之间通信的数据的性质，如它的完整性、数据源、时间和目的地等，能够借助公证机制而得到确保。这种保证是由第三方公证人提供的。公证人为通信实体所信任，并掌握必要信息以一种可证实方式提供所需的保证。每个通信事例可使用数字签名、加密和完整性机制以适应公证人提供的那种服务。当这种公证机制被用到时，数据便在参与通信的实体之间经由受保护的通信实例和公证方进行通信。2.1.4OSI的安全服务与安全机制之间的关系对于每一种安全服务可以由一种机制单独提供，也可由几种机制联合提供。OSI所能提供的5大类安全服务与8种安全机制的对应关系如表2-5所示。2.1.5在OSI层中的安全服务配置各项安全服务在OSI七层中的适当配置位置，参见表2-6。OSI各层提供的主要安全服务物理层：提供连接机密性和（或）业务流机密性服务（这一层没有无连接服务）。数据链路层：提供连接机密性和无连接机密性服务（物理层以上不能提供完全的业务流机密性）。网络层：可以在一定程度上提供认证、访问控制、机密性（除了选择字段机密性）和完整性（除了可恢复的连接完整性、选择字段的连接完整性）服务。OSI各层提供的主要安全服务运输层：可以提供认证、访问控制、机密性（除了选择字段机密性、业务流机密性）和完整性（除了选择字段的连接完整性）服务。会话层：不提供安全服务。表示层：本身不提供完全服务。但其提供的设施可支持应用层向应用程序提供安全服务。所以，规定表示层的设施支持基本的数据机密性服务，支持认证、完整性和抗否认服务。应用层：必须提供所有的安全服务，它是惟一能提供选择字段服务和抗否认服务的一层。2.1.6OSI安全体系的安全管理OSI安全管理涉及到OSI安全服务的管理与安全机制的管理。这样的管理要求给这些服务与机制分配管理信息，并收集与这些服务和机制的操作有关的信息。例如，密钥的分配、设置行政管理设定的安全选择参数、报告正常的与异常的安全事件（审计跟踪），以及服务的激活与停止等等。2.1.6OSI安全体系的安全管理（续）安全管理信息库（SMIB）是一个概念上的集存地，存储开放系统所需的与安全有关的全部信息。每个（终）端系统必须包含必需的本地信息，使它能执行某个适当的安全策略。SMIB对于在端系统的一个（逻辑的或物理的）组中执行一种协调的安全策略是必不可少的，在这一点上，SMIB是一个分布式信息库。在实际中，SMIB的某些部分可以与MIB（管理信息库）结合成一体，也可以分开。OSI安全管理活动有3类：系统安全管理、安全服务管理和安全机制管理。此外，还必须考虑到OSI管理本身的安全。2.2因特网安全体系结构TCP/IP作为因特网体系结构，由于其具有简单、易于实现等特点，所以成为了“事实上”的国际标准。随着因特网的发展与普及，因特网安全变得越来越来重要。本节在概述了TCP/IP协议安全的基础上，将介绍因特网（Internet）安全体系结构——IPSec，着重阐述IPSec协议中的安全验证头（AH）与封装安全有效负载（ESP）机制、密钥管理协议（ISAKMP）、密钥交换协议（IKE）和加密与验证算法，最后将介绍了OSI安全体系到TCP/IP安全体系的影射。2.2因特网安全体系结构2.2.1TCP/IP协议安全概述2.2.2因特网安全体系结构2.2.3IPSec安全协议2.2.4IPSec密钥管理2.2.5IPSec加密和验证算法2.2.6OSI安全体系到TCP/IP安全体系的影射2.2.1TCP/IP协议安全概述在Internet中存在着大量特制的协议，专门用来保障网络各个层次的安全。同层次的TCP/IP层提供的安全性也不同。例如，在IP层提供IP安全协议（IPSecurity，IPSec），在传输层上提供安全套接服务（SecuritySocketLayer，SSL）等，如图2-3所示。2.2.1TCP/IP协议安全概述图2-3基于TCP/IP协议的网络安全体系结构基础框架2.2.2因特网安全体系结构针对因特网的安全需求，因特网工程任务组（InternetEngineeringTaskForce，IETF）于1998年11月颁布了IP层安全标准IPSec（IPSecurity），其目标是为IPv4和IPv6提供具有较强的互操作能力、高质量和基于密码的安全，在IP层实现多种安全服务，包括访问控制、无连接完整性、数据源认证、抗重播、机密性（加密）和有限的业务流机密性。虽然IPSec中的一些组件，如安全策略等，仍在研究之中，但可以预料，IPSec必将成为网络安全的产业标准。IETFIPSec工作组为在IP层提供通信安全而制定的IPSec协议标准，是针对IP层较为完整的安全体系结构。2.2.2因特网安全体系结构（续）IPSec协议IPSec核心文档集包括以下内容：Internet协议安全结构（RFC2401）IP验证头（AuthenticationHeader，AH）（RFC2402）IP封装安全负载ESP（IPEncapsulatingSecurityPayload）（RFC2406）Internet密钥交换（RFC2409）ESPDES-CBC变换（RFC1829）ESP和AH中HMAC-MD5-96的采用（RFC2403）ESP和AH中HMAC．SHA-1-96的采用（RFC2404）NUULL加密算法（NUULLEncryptionAlgorithm）及其在IPSec中的应用（RFC2410）等。2.2.2因特网