信息安全概論第4講

1、信息安全概論第4講2006年3月7日第2章 信息安全體系結(jié)構(gòu) 2.3 OSI安全體系結(jié)構(gòu)l標(biāo)準(zhǔn)組織ISO國(guó)際標(biāo)準(zhǔn)化組織OSI 開(kāi)放系統(tǒng)互連ITU國(guó)際電信聯(lián)盟lOSI安全體系結(jié)構(gòu)的頒布lISO于1988年發(fā)布了7498-2標(biāo)準(zhǔn)開(kāi)放系統(tǒng)互連（OSI）參考模型的安全體系結(jié)構(gòu)部分。lITU于 1990年把它作為X.800推薦標(biāo)準(zhǔn)。l中國(guó)于1995年我國(guó)把它作為國(guó)家標(biāo)準(zhǔn)GB/T9387.2-1995頒布。目標(biāo)體系結(jié)構(gòu)定義的回顧 信息安全的技術(shù)體系結(jié)構(gòu)是研究在特定應(yīng)用環(huán)境或類(lèi)別下，采用良定義的信息安全機(jī)制，構(gòu)建、實(shí)現(xiàn)相關(guān)的安全目標(biāo)或安全服務(wù)的科學(xué)。OSI安全體系結(jié)構(gòu)的目標(biāo)把安全特征按照功能目標(biāo)分配給OSI

2、的層，以加強(qiáng)OSI結(jié)構(gòu)的安全性。提供一個(gè)結(jié)構(gòu)化的框架，以便供應(yīng)商和用戶據(jù)此評(píng)估安全產(chǎn)品。意義和方法 OSI安全體系結(jié)構(gòu)對(duì)于構(gòu)建網(wǎng)絡(luò)環(huán)境下的信息安全解決方案具有指導(dǎo)意義。其核心內(nèi)容是為異構(gòu)計(jì)算機(jī)的進(jìn)程與進(jìn)程之間的通信安全性，定義了五類(lèi)安全服務(wù)、八類(lèi)安全機(jī)制以及安全服務(wù)分層的思想，并描述了OSI的安全管理框架，最后又描述了這些安全服務(wù)、安全機(jī)制在7層中的配置關(guān)系。從而為網(wǎng)絡(luò)通信安全體系結(jié)構(gòu)的研究奠定了重要基礎(chǔ)。 2.3.1 OSI的7層網(wǎng)絡(luò)與TCP/IP模型層次化結(jié)構(gòu)有效地實(shí)現(xiàn)了各個(gè)層次功能的劃分并定義了規(guī)范的接口，使得每一層的功能簡(jiǎn)單、易于實(shí)現(xiàn)和維護(hù)。1.OSI的7層協(xié)議模型應(yīng)用層應(yīng)用層表示層表

3、示層會(huì)話層會(huì)話層傳輸層傳輸層網(wǎng)絡(luò)層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層數(shù)據(jù)鏈路層物理層物理層圖2.3 OSI的7層協(xié)議模型2.一些術(shù)語(yǔ)層次化結(jié)構(gòu)有效地實(shí)現(xiàn)了各個(gè)層次功能的劃分并定義了規(guī)范的接口，使得每一層的功能簡(jiǎn)單、易于實(shí)現(xiàn)和維護(hù)。例如，它使網(wǎng)絡(luò)的設(shè)計(jì)者不需要把注意力放在具體物理傳輸媒介、具體應(yīng)用細(xì)節(jié)上，而專(zhuān)注于網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)。每一層中的活動(dòng)元素稱為實(shí)體。位于不同系統(tǒng)上同一層的實(shí)體稱為對(duì)等實(shí)體。不同系統(tǒng)之間的通信可以由對(duì)等實(shí)體間的邏輯通信來(lái)實(shí)現(xiàn)。對(duì)某一層上的通信所使用的規(guī)則稱為該層上的通信協(xié)議。協(xié)議按照所屬的層次順序排列而成的協(xié)議序列稱為協(xié)議棧。3. 通信機(jī)制事實(shí)上，除了在最底層的物理層上進(jìn)行的是實(shí)際的通信之外，

4、其余各對(duì)等實(shí)體之間進(jìn)行的都是虛通信或邏輯通信。高層實(shí)體之間的通信是調(diào)用相鄰低層實(shí)體之間的通信實(shí)現(xiàn)的，如此下去總是要經(jīng)過(guò)物理層才能實(shí)現(xiàn)通信。N+1層實(shí)體要想把數(shù)據(jù)D傳送到對(duì)等實(shí)體手中，它將調(diào)用N層提供的通信服務(wù)，在被稱為服務(wù)數(shù)據(jù)單元（SDU）的D前面加上協(xié)議頭（PH），傳送到對(duì)等的N層實(shí)體手中，而N層實(shí)體去掉協(xié)議頭，把信息D交付到N+1層對(duì)等實(shí)體手中。 4. TCP/IP模型我們熟悉的英特網(wǎng)（Internet）實(shí)際上不是由7層組成，而是由應(yīng)用層、傳輸層（TCP/UDP）、網(wǎng)絡(luò)互聯(lián)層（IP）和網(wǎng)絡(luò)接口層組成。它們的位置關(guān)系參看圖2.4。它的通信模式和OSI的7層模型差不多。 應(yīng)用層傳輸層網(wǎng)絡(luò)互聯(lián)層

5、網(wǎng)絡(luò)接口層應(yīng)用層對(duì)應(yīng)于OSI的應(yīng)用層、表示層和會(huì)話層的組合，為應(yīng)用程序訪問(wèn)網(wǎng)絡(luò)通信提供接口。常見(jiàn)的協(xié)議包括FTP（文件傳輸協(xié)議）、TELNET（遠(yuǎn)程終端協(xié)議）、SMTP（簡(jiǎn)單郵件傳輸協(xié)議）、HTTP（超文本傳輸協(xié)議）等。傳輸層對(duì)應(yīng)于OSI的傳輸層，為高層提供一定的數(shù)據(jù)可靠性和完整性。包括兩個(gè)傳輸協(xié)議TCP和UDP，前者提供面向連接的傳輸服務(wù)，后者提供面向非連接的傳輸服務(wù)。網(wǎng)絡(luò)互聯(lián)層與OSI的網(wǎng)絡(luò)層對(duì)應(yīng)，處理建立、保持、釋放連接，以及路由等功能，該層上的協(xié)議為IP協(xié)議。網(wǎng)絡(luò)接口層對(duì)應(yīng)于OSI的數(shù)據(jù)鏈路層和物理層的組合，負(fù)責(zé)把IP包封裝為適合于物理網(wǎng)絡(luò)上傳輸?shù)膸?，并解決數(shù)據(jù)幀和比特傳輸?shù)募m錯(cuò)問(wèn)題。

6、不同的網(wǎng)絡(luò)介質(zhì)有不同的協(xié)議。2.3.2 OSI的安全服務(wù)OSI的五類(lèi)安全服務(wù)是鑒別機(jī)密性完整性訪問(wèn)控制抗抵賴實(shí)際上是一些要實(shí)現(xiàn)的安全目標(biāo)，但在OSI框架之下，認(rèn)為每一層和它的上一層是一種服務(wù)關(guān)系，因此，把這些安全目標(biāo)稱為安全服務(wù)是相當(dāng)自然的。五類(lèi)安全服務(wù)的分類(lèi)鑒別機(jī)密性完整性訪問(wèn)控制抗抵賴對(duì)等實(shí)體鑒別連接機(jī)密性帶恢復(fù)的連接完整性訪問(wèn)控制有數(shù)據(jù)原發(fā)證明的抗抵賴數(shù)據(jù)原發(fā)鑒別無(wú)連接機(jī)密性不帶恢復(fù)的連接完整性有交付證明的抗抵賴選擇字段機(jī)密性選擇字段的連接完整性通信業(yè)務(wù)流機(jī)密性無(wú)連接完整性選擇字段的無(wú)連接完整性1. 鑒別（1）對(duì)等實(shí)體鑒別即提供實(shí)體的身份識(shí)別服務(wù)。該服務(wù)能夠確定一個(gè)實(shí)體沒(méi)有冒充其他實(shí)體，

7、使對(duì)方（對(duì)等實(shí)體）確信他正在和所聲稱的另一實(shí)體在通信。（2）數(shù)據(jù)原發(fā)鑒別確認(rèn)所接收到的數(shù)據(jù)的來(lái)源是所聲稱的實(shí)體，但對(duì)于數(shù)據(jù)的重放不提供保護(hù)。2. 機(jī)密性該服務(wù)保護(hù)數(shù)據(jù)不被非授權(quán)地泄漏。（3）連接機(jī)密性 為一層上建立的一個(gè)連接上的所有數(shù)據(jù)提供機(jī)密性保護(hù)服務(wù)。對(duì)一些層來(lái)說(shuō)保護(hù)全部的連接數(shù)據(jù)是合適的，但對(duì)另一些層來(lái)說(shuō)不必要。（4）無(wú)連接機(jī)密性僅對(duì)一層上協(xié)議的某個(gè)服務(wù)數(shù)據(jù)單元SDU提供機(jī)密性保護(hù)服務(wù)。（5）選擇字段機(jī)密性為所選擇的某個(gè)字段提供機(jī)密性保護(hù)服務(wù)，這些字段可以是一層上連接傳輸?shù)囊徊糠謹(jǐn)?shù)據(jù)，也可以是一層上非連接傳輸?shù)囊粋€(gè)SDU中的一個(gè)字段。（6）通信業(yè)務(wù)流機(jī)密性使通信業(yè)務(wù)流量具有隨機(jī)特征，從而

8、攻擊者無(wú)法通過(guò)觀察通信流量推斷其中的機(jī)密信息。 3. 完整性（7）帶恢復(fù)的連接完整性 為一層上建立的一個(gè)連接上的所有數(shù)據(jù)提供完整性檢查，即檢查整個(gè)SDU序列中所有SDU的數(shù)據(jù)是否被篡改、檢查SDU序列沒(méi)有被刪除、插入或亂序。一旦出現(xiàn)差錯(cuò)該服務(wù)將提供重傳或糾錯(cuò)等恢復(fù)操作。（8）不帶恢復(fù)的連接完整性與帶恢復(fù)的連接完整性的唯一不同是，檢查到差錯(cuò)后不進(jìn)行補(bǔ)救。（9）選擇字段的連接完整性為一層的一個(gè)連接傳輸?shù)乃x擇部分字段提供完整性檢查。檢查這些SDU字段序列中的數(shù)據(jù)是否被篡改、檢查字段序列沒(méi)有被刪除、插入或亂序。（10）無(wú)連接完整性對(duì)一層上協(xié)議的某個(gè)服務(wù)數(shù)據(jù)單元SDU提供完整性檢查服務(wù)，確認(rèn)是否被篡改

9、。（11）選擇字段的無(wú)連接完整性僅對(duì)一層上協(xié)議的某個(gè)服務(wù)數(shù)據(jù)單元SDU的部分字段提供完整性檢查服務(wù)，確認(rèn)是否被篡改。4. 訪問(wèn)控制與抗抵賴（12）訪問(wèn)控制 是防止對(duì)資源的非授權(quán)使用?？沟仲嚪?wù)又分為為數(shù)據(jù)的發(fā)送方（13）提供交付證據(jù)和為數(shù)據(jù)的接收方提供（14）原發(fā)證據(jù)。 2.3.3 OSI安全機(jī)制身份識(shí)別在OSI中稱為鑒別交換特定安全機(jī)制加密、數(shù)字簽名、訪問(wèn)控制、數(shù)據(jù)完整性、鑒別交換、通信量填充、路由控制、公證共8種普遍性安全機(jī)制可信功能度、安全標(biāo)記、事件檢測(cè)、安全審計(jì)追蹤、安全恢復(fù)共5種特定安全機(jī)制中除了數(shù)據(jù)完整性外都屬于我們定義的安全防護(hù)范疇，而OSI的普遍安全機(jī)制除了可信功能度外對(duì)應(yīng)于我

10、們的安全檢測(cè)和恢復(fù)范圍。2.3.4 安全服務(wù)與特定安全機(jī)制的關(guān)系 機(jī)制服務(wù)加密數(shù)字簽名訪問(wèn)控制數(shù)據(jù)完整性鑒別交換通信量填充路由控制公證對(duì)等實(shí)體鑒別YYY數(shù)據(jù)原發(fā)鑒別YY訪問(wèn)控制Y連接機(jī)密性YY無(wú)連接機(jī)密性YY選擇字段機(jī)密性Y通信業(yè)務(wù)流機(jī)密性YYY帶恢復(fù)的連接完整性YY不帶恢復(fù)的連接完整性YY選擇字段的連接完整性YY無(wú)連接完整性YYY選擇字段的無(wú)連接完整性YYY有數(shù)據(jù)原發(fā)證明的抗抵賴YYY有交付證明的抗抵賴YYY2.3.5 層次化結(jié)構(gòu)中服務(wù)的配置 協(xié)議層 服務(wù)1234567對(duì)等實(shí)體鑒別YYY數(shù)據(jù)原發(fā)鑒別YYY訪問(wèn)控制YYY連接機(jī)密性YYYYYY無(wú)連接機(jī)密性YYYYY選擇字段機(jī)密性YY通信業(yè)務(wù)流機(jī)密性Y