SJ 20880-2003 军用信息传送安全标记.pdf

1、寸民共和国电FL 0137 SJ 20880 2003 Security label for the milita巧rinfOllllation transfer 2003-12-15发布2004-03-01实施中华人民共和国信息产业部批准目IJ本标准的附录A为资料性附录。本标准由信息产业部电子第四研究所归口。本标准起草单位:中国电子科技集团公司第三十研究所.本标准主要起草人z祝世雄、林望重、李毅、范亮。SJ 20880 2003 二、SJ 2088-2003 引信息安全传送标记携带的信息可以用来控制访问、指定保护措施和通信安全策略所需要的附加处理限制.本标准定义了数据网上信息交换的安全标记语

2、法，并提供了在应用层和网络层采用这种语法的编码方法.本标准中定义的语法结构可与授权方提供的信息交换保护安全策略语义一起使用。标记语法从标记语义中的分离就可以只用少量的基本标记结构来支持大量的安全策略。支持军用计算机安全策略的基本处理规则参见附录A。本标准给出的标记定义了安全标签，它能组合到携带有安全相关信息的标签中.有五种基本安全标签用来把安全信息表示成比特图谱、属性列举、属性范围选择、不同的安全级别或用户定义数据。因为各层在功能上的内在区别，本标准中定义的安全标记既表示OSI应用层的抽象标记语法规范，又表示用在网络层的编码优化。本标准不讨论信息或存储介质的物理标记和显示在显示器或其它外围设备

3、上的信息。存储在内存和存储介质(RP!盘、软盘、磁带等)上的信息的标记也不在本标准的范围之内。由于传输中数据的保护和关联标记(连同数据和标记间的绑定)是涉及通信协议的任务，所以也不在本标准的讨论范围之内。遵循本标准并不保证能根据指定的安全策略来实现数据保护，这种判断必须通过恰当的评估和认证过程才能作出.II SJ 20880-2003 军用信息传送安全标记范围本标准规定了敏感数据在计算机网络上交换时传送安全标记信息的语法结构，包括通用安全标记语法、应用层安全标记语法、网络层安全标记规范。本标准适用于在需要通过安全代理策略来标记在数据网上交换的敏感数据的通信系统。f喀、;U. 阴阳思鸭、.，_写

4、协C-.o.兔栩飞h引用文件2 下列文件中的有关条款通过引用而成为本标准的条款。凡注日期或版次的引用文件，其后的任何修改单(不包括勘误的内容)或修订版本都不适用于本标准，但提倡使用本标准的各方探讨使用其最新版本的可能性。凡不注日期或版次的引用文件，其最新版本适用于本标准.3 3. 1 GB厅9387.1一1998信息技术开放系统互连基本参考模型第l部分:基本模型GB厅9387.2一1995信息处理系统开放系统互连基本参考模型第2部分:安全体系结构GB厅16262-1996信息处理系统开放系统互联抽象语法记法1(ASN.1)规范术语和定义及缩赂i喜术语和定义GB厅9387.1-1998和JGBr

5、r9387.2一1995确立的以及下列术语和1定义适用于本标准.3. 1. 1 计算机安全客体(CSO)computer security object 在计算机化的通信中，支持安全状态的资源、工具或者机制.这些客体是根据所拥有的属性、执行或被执行的操作以及与其它客体之间的联系来定义的。3. 1. 2 计算机安全客体登记表computer security objects register 由登记机构保存的CSO名字和I定义的集合。3. 1. 3 命名标签集named tag set 包含标签集名称和相关的支全标签组的域。3. 1. 4 网络字节顺序network byte order 当传输

6、大子l个8位位组的协议字段时，网络定义的一种顺序。本标准假定最高有效8位位组居先.3. 1. 5 登记机构reg i strat i on author ty. 严，0负责向被登记的客体分发唯一标识的机构。3. 1. 6 安全属性securityattribute 客体与安全有关的性质。安全属性可以表示为不同的级别、比特图中的比特、数字.3. 1. 7 安全级另IJsecurity level 针对某种威胁呈现出等级灵敏度的指示器。根据强制的安全策略，它表示一种具体的保护级别。3. 1. 8 安全策赂security pol icy 为安全服务条例所定的一系列准则。为了维护系统和数据的安全状况

7、，它定义和包含了数据处理设施的活动。3. 1. 9 安全标签security tag 包含某些表示安全相关信息的信息单元(如受限的属性比特图)0 3. 1. 10标签集名tag set name 、-SJ 20880 2003 与一组安全标签相关的数字标识符g3.2 缩路语下列缩略语适用于本标准。ASN.I一一抽象语法记法一:CSO一一计算机安全客体:CSOR一一计算机安全客体登记表:LSB-一最低有效位二进制): MSB一一最高有效位(二进制): OID一一客体标识符:OSI一一开放系统互连:PDU 协议数据单元e4 通用安全标记语法安全标记是一个或多个命名标签集的集合。每个命名标签集都包含

8、了携带安全信息的标签，位于标签集名后。标签集名标识了登记项，每项定义了标签集和相关的语义e安全标签携带了交换数据的安全属性。安全属性可以用多种方法表示，因此需要使用多种标签类型。4. 1 命名标签集如图l所示，每个标记可包含多个命名标签集。每个集含有一个标签集名以及一个或多个安全标签。标签集名要么是非负整数或是ASN.l客体标识符，其中ASN.I符合GB厅16262-1996的规定.具有整数值的标签集名适用于低层协议的标记。ASN.I客体标识符(OlOs)具有遍历登记机构树的分支的路径形式。OlOs适用于应用层协议。有5类安全标签可以组合以便携带与安全有关的数据，协议实体用该数据来维护系统资源

9、的安全状态(如通信系统、数据文件、应用进程)。标签集名图1安全标签(类型)受限比特图标签许可比特囚标签枚举型标签范围标签自由格式标签通用安全标记命名标签集每个标记至少携带一个命名标签集.多个命名标签集的使用由所执行的安全策略和采用标记的协议附加的限制确定。在单个标记上使用多个命名标签集的原因是由于多重安全策略下保护的要求。当数据是跨安全域共享时，维持相应保护水平是很有用的。4.2 安全标签为了保持与非OSI通信系统的标记方案的兼容性，这5种安全标签类型没有按连续顺序进行编号。标签类型1和6在语法上是相同的，仅是位设置的解释不同。尽管这种差异能通过登记来处理，但是包含类型6是为了与其它标准兼容。

10、4. 2. 1 安全标签类型l2 J SJ 20880-一2003标签类型1是受限比特图类型，包含其类型、一个非负整数和一个比特串。非负整数表达安全级，即一种分级安全属性。属性值越大，标记的PDU安全级越高。该安全级用于限制访问，以便只接收其安全标记低于或等于接收端最高级的PDU.这种限制还可以扩展来不接受其级别低于接收端的最低安全级的PDU.比特串用来表示适用于标记PDU的一组无分级的属性。比特被分配给每个既定安全策略规定的属性。对于限制属性的应用比特被设置为1.否则设置为0。只有属性值是接收端属性值的子集的那些PDU，才能被访问。4.2.2 安全标签类型2标签类型2是枚举类型，包含其类型以

11、及一个或多个非负整数。非负整数表达安全级别，即一种分级安全属性。属性值越大，对应标记的PDU的安全级越高。随后的每个整数表示应用于被标记的PDU的非分级属性。这是一种在标签类型I硝半可供选存的比特注2言也在应用于PDU的仅有少数属性超出大集合范围的情况下，应力图使标记长度最小化。白这种类型的标签枚举的属性可能是受限的或许可的。只有属性集为接收端属性的一个子集的那些P6UJ牙元许访问。另外;如果接收端居于PDU标记上的发布许可表中的任意一个发布组J那么PDU才能被接受。己登记的标签集语义指明如何解释在这种类型的标签上的安全属性J/ 4.2.3安全标签类型5/Jd中户一句飞z王飞标签类型5是范围类

12、型，J包含它的类型和1一个或多个非负整数。:非负整数表达安全级，即一种分级安全属性。属性值越南，1王t己PDU的支金级越高.随后的整数成对出现，它们分别表示用于被标记的PDU的非分级属性范围的上限和下限这是一种在标签类型l和6中可供选择的比特表示法。如果从上限开始到下限结束的全部属性都用于PDU，应力图使标记长度最小化。单个标签可以指示多个安全属性范围。这些范围将以数字递减的方式列出，并且不重叠。每个上限和下限属性由固定氏度的数字表示.这种类型标签标识的属性可能是受限的，只有属性集合为接收端属性的一个子集的那些PDU，才允许访问，另外，如果接收端属于PDU标记上发布许可列表中的任意一个发布组，

13、那么PDU才可能被按受.4.2.4 安全标签类型6标签类型6是许可比特图类型，包含它的类型、一个非负整数和一个比特串。非负整数表达安全级，p一种分级安全属性属性值越高，标记的PDU的安全级越高。比特串用来表达应用于被标记的PDU的一组非分级属性的集合J每个既定安全策略许可属性分配一个比特位。fuf/发布标志是许可安全属性的例子，将允许对PDU访问的实体类型或组的相应比特直为0，其它所有的比特置为1 、队在如果接收端属于PDU标记上J.IJ/叩叫叫. ，山比品I 1X.IIJ且，川Aruu心目巳TtX.l.(X Q 4.2.5 安全标签类型7签类型7是自由格式类型，1 定义的数据类型。这种字段格

14、式的完整说明应以登记的方式提供。可能用这种标签类型表示的数据例子包括人/机可读的时间戳、人可读的策略标识符和专用记号。5 应用层安全标记语法应用层安全标记语法允许在单一标记上使用多个命名标签集，因而，实现忽略不可识别的标签集，直到找到可识别的标记集或标记结尾。当搜索标记不能识别命名标签集时，就可能构成一个安全相关事件(例如，可能表示违反了要求进一步动作的安全策略)。由所有的通用安全标记实现提供事件的指示、日志和所有安全相关事件。安全标记的ASN.l定义2StandardSecurityLabel NamedTagSet :=SET OF NamedTagSet :=SEQUENCE 3 、-飞

15、也SJ 20880 2003 6 TagSetName SecurityTags TagSetN田neTagSetName, SEQUENCE OF SecruityTag :OBJECT IDENTIFIER SecurityTag :严CHOICE-一一Type1 - for restrictive security at甘ibutesrestrictivebitMap lIMPLlCIT SEQUENCE securityLevel Security Attribu饵，attributeFlags BIT ST则NG一一Type2- security attributes by numb

16、er enumeratedAttributes 2 IMPLICIT SEQUENCE securityLevel attributeList SecurityAttribute, SET OF Securi飞yAttribute)一-Type5- all security attributes in the range(s) rangeSet 5 IMPLICIT SEQUENCE securityLevel Security A吐ribu饨，rangelList SET OF Security AttributeRange 一一Type6- for permissive security

17、attributes permissivebitMap 6 IMPLICIT SEQUENCE securityLevel SecurityAttribu钮，attributeFlags BIT STR孙JG -一一Type7-format specified via registration freeFormField 7IMPLICT ANY DEFINED BY TagSetName ) Security A ttributeRange upperBound lowerBound Security Attribute 网络层安全标记语法:=SEQUENCE Security Attrib

18、ute, SecurityAttribute .:=孙yAfc/f 尽管规定的差错PDU格式与协议有关，但是还有可能要求发送方通知的一组通用事件。这些事件有za) 非法进入i巧.-_.，-_，.-，-. , 1 fe一飞 1) 标记值越界z对于相应的安全关联1. -标记至少有一个安全属性值超出了可接收值的范围;2) 不能识到的标记:对相应的安全关联，进入标t己的标签集名是无效的(或者不能被接收端识别); 4) 坏标记i在分解进入标记时;至少发现了一个错误。这些错误包括在夫能允许接收一个命名标签集的标记中出现了多个命名标签集:t i标记丢失:虽然安全关联要求一个安全标记，但没有发现安全标记或者在

19、PDU头中出现了多个标记ob) 非法的转发由于策略的限制或者没有能力获得有效的安全关联，中间系统不能转发PDU。会再产生差错WF啕、豆苗44/ 体和主体.在可发毒或由客阳一亲自，叫主机俨应用)称为主体。每个客体都有飞、-A., _ 1- 一个关联的敏感性标记。每个主体被分配-fi:范围的标记值用于发送和接受的授权。这些标记都有一种分级敏感级别和一组敏感类别。主体对客体的访问应该遵循以下准则:a) 主体接收范围的上界必须高于或等于客体的敏感级:b) 主体接收范围的下界必须低于或等于客体的敏感级:c) 主体的敏感类别组必须包括客体的所有敏感类JlrJ，d) 标签类型1支持受限的安全策略，并且能得到

20、相应的处理。如果能够明确指定并经过了登记，标签类型2和5也将支持同样的策略。基于发布授权或发布记号的补充安全策略也是可行的.在这种策略下，客体和主体有一个发布分类列表.主体要获得对客体访问的权利必须至少要有一个发布类别与客体相同.例如，代表人事部职员行为的主体，能对带有该部门发布记号的客体进行访问。标签类型6支持许可的安全策略，并且应当得到相应的处理。如果能够明确指定并经过了登记，标签类型2和5也可支持同样的策略。9 一一一一飞 气、SJ 20880 2003 希望大多数安全标记实现都支持这些策略。可定义和登记支持两种或其中任何一种策略的命名标签集，在通信终端之间建立安全关联时，应预先建立用于

21、通信实例的特定值范围。如果在一个标记中出现了支持两种策略的标签，那么受限的标签(支持敏感性策略)将优先处理。如果处理成功，那么许可标签(支持发布策略)将会得到处理。在受限的安全标签中，分级部件(敏感级被优先处理.仅当敏感级在安全关联的有效值范围内，敏感类别才被测试。在许可的标签中，安全级字段可以表示敏感级，如同受限的标签或无效值一样。如果同一个标记上包括受限标签和许可标签，那么只有在受限标签中的安全级字段才会包含有意义的信息，而许可标签在相应字段内将是无效值.在所有测试通过后，才会处理发布记号.10 凹OON-。时d中华人民共和国电子行业军用标准军用信息传送安全标记SJ 20880 2003 * 版刷行山山阳山寸带A中国电子技术标准化研究所中国电子技术标准化研究所中国电于技术标准化研究所电话，(010) 84029065 传真，(010) 64007812 地址2北京市安定门东大街1号邮编，100007 网址阿w.ceSl时.cn 字数28千字7 8 * 印张1/16 开本，880X 1230 2004年7月第一次印刷2004年7月第一版