GB T 9387.2-1995 信息处理系统 开放系统互连 基本参考模型 第2部分 安全体系结构.pdf

《GB T 9387.2-1995 信息处理系统 开放系统互连 基本参考模型 第2部分 安全体系结构.pdf》由会员分享，可在线阅读，更多相关《GB T 9387.2-1995 信息处理系统 开放系统互连 基本参考模型 第2部分 安全体系结构.pdf（36页珍藏版）》请在麦多课文档分享上搜索。

1、中华人民共和国国家标准信息处理系统开放系统互连基本参考模型第部分安全体系结构发布实施国家技术监督局发布中华人民共和国国家标准信息处理系统开放系统互连基本参考模型第部分安全体系结构国家技术监督局批准实施本标准等同采用国际标准信息处理系统开放系统互连基本参考模型第部分安全体系结构引言为开放系统互连描述了基本参考模型它为协调开发现有的与未来的系统互连标准建立起一个框架开放系统互连基本参考模型的目的是让异构型计算机系统的互连能达到应用进程之间的有效通信在各种不同场合都必须建立安全控制以便保护在应用进程之间交换的信息这种控制应该使得非法获取或修改数据所花的代价大于这样做的潜在价值或者使其为得到所需数据而

2、花费的时间很长以致失去该数据的价值本标准确立了与安全体系结构有关的一般要素它们能适用于开放系统之间需要通信保护的各种场合为了安全通信而完善与开放系统互连相关的现有标准或开发新标准本标准在参考模型的框架内建立起一些指导原则与制约条件从而提供了一个解决中安全问题的一致性方法知道安全方面的一些背景对于了解本标准是有益的我们建议对安全问题不够熟悉的读者先读附录参考件本标准扩充了基本参考模型涉及到了安全问题的一些方面这些方面是通信协议体系结构的一般要素但并没有在基本参考模型中予以讨论主题内容与适用范围本标准的任务是提供安全服务与有关机制的一般描述这些服务与机制可以为参考模型所配备确定在参考模型内部可以提

3、供这些服务与机制的位置本标准扩充了的应用领域包括了开放系统之间的安全通信对基本的安全服务与机制以及它们的恰当配置按基本参考模型作了逐层说明此外还说明了这些安全服务与机制对于参考模型而言在体系结构上的关系在某些端系统设备和组织结构中可能还需要附加某些别的安全措施这些措施也适用于各种不同的应用上下文中确定为支持这种附加的安全措施所需要的安全服务不在本标准的工作范围之内开放系统互连的安全功能仅仅涉及能让端系统之间进行信息的安全传送的通信通路的可见方面不考虑在端系统设备或组织内所需要的安全措施除非牵连到在中可见性安全服务的选择与定位安全结构问题的这些方面也可以进行标准化但不在标准的工作范围之内本标准对

4、在中定义的概念与原则作了补充但并未改动它们本标准既不是一个实施规范也不是评价实际执行方案一致性的基准引用标准信息处理系统开放系统互连基本参考模型信息处理系统开放系统互连网络层的内部组织结构信息处理系统开放系统互连基本参考模型第部分管理框架补篇信息处理系统开放系统互连基本参考模型补篇无连结方式传送定义与缩略语本标准以在中建立的概念为基础并使用在该标准中定义的下列术语连接数据传输实体业务层开放系统对等实体协议协议数据单元中继路由选择排序服务服务数据单元用户数据子网资源传送语法本标准使用的下列术语取自相应的国家标准和国际标准无连接方式传输补篇端系统中继与路由功能单元数据管理信息库此外还使用了下面这些

5、缩写开放系统互连服务数据单元安全管理信息库管理信息库本标准采用下列定义访问控制防止对资源的未授权使用包括防止以未授权方式使用某一资源访问控制表带有访问权限的实体表这些访问权是授予它们访问某一资源的可确认性这样一种性质它确保一个实体的作用可以被独一无二地跟踪到该实体主动威胁这种威胁是对系统的状态进行故意的非授权的改变注与安全有关的主动威胁的例子可能是篡改消息重发消息插入伪消息冒充已授权实体以及服务拒绝等审计见安全审计审计跟踪见安全审计跟踪鉴别见数据原发鉴别与对等实体鉴别注在本标准中当涉及数据完整性时不使用术语鉴别而另用术语数据完整性鉴别信息用以建立身份有效性的信息鉴别交换通过信息交换来保证实体身

6、份的一种机制授权授予权限包括允许基于访问权的访问可用性根据授权实体的请求可被访问与使用权力作为资源标识符使用的权标拥有它便拥有对该资源的访问权信道信息传送通路密文经加密处理而产生的数据其语义内容是不可用的注密文本身可以是加密算法的输入这时候产生超加密输出明文可理解的数据其语义内容是可用的机密性这一性质使信息不泄露给非授权的个人实体或进程不为其所用凭证用来为一个实体建立所需身份而传送的数据密码分析为了得到保密变量或包括明文在内的敏感性数据而对密码系统或它的输入输出进行的分析密码校验值通过在数据单元上执行密码变换见密码学而得到的信息注密码校验值可经一步或多步操作后得出它是依赖于密钥与数据单元的一个

7、数学函数的结果常被用来校验数据单元的完整性密码学这门学科包含了对数据进行变换的原理手段和方法其目的是掩藏数据的内容防止对它作了篡改而不被识破或非授权使用注密码学决定在加密和解密中使用的方法对密码原理手段或方法的攻击就是密码分析数据完整性这一性质表明数据没有遭受以非授权方式所作的篡改或破坏数据原发鉴别确认接收到的数据的来源是所要求的解密与一个可逆的加密过程相对应的反过程解密处理见解密服务拒绝阻止对资源的授权访问或拖延时限操作数字签名附加在数据单元上的一些数据或是对数据单元所作的密码变换见密码学这种数据或变换允许数据单元的接收者用以确认数据单元来源和数据单元的完整性并保护数据防止被人例如接收者进行

8、伪造加密对数据进行密码变换见密码学以产生密文注加密可以是不可逆的在这种情况下相应的解密过程便不能实际实现了加密处理见加密端端加密数据在源端系统内进行加密而相应的解密仅仅发生在目的端系统之内见逐链加密基于身份的安全策略这种安全策略的基础是用户或用户群的身份或属性或者是代表用户进行活动的实体以及被访问的资源或客体的身份或属性完整性见数据完整性密钥控制加密与解密操作的一序列符号密钥管理在一种安全策略指导下密钥的产生存储分配删除归档及应用逐链加密在通信系统的每段链路上对数据分别进行加密见端端加密注逐链加密意味着在中继实体中数据将以明文形式出现操作检测用来检测数据单元是否被修改过的一种机制这种修改或是偶

9、然发生的或是故意进行的冒充一个实体伪装为另一个不同的实体公证由可信赖的第三方对数据进行登记以便保证数据的特征如内容原发时间交付等的准确性不致改变被动威胁这种威胁对信息的非授权泄露而未改变系统状态口令机密的鉴别信息通常由一串字符组成对等实体鉴别确认有关的对等实体是所需的实体物理安全为防范蓄意的和意外的威胁而对资源提供物理保护所采取的措施策略见安全策略私密一种个人权限它控制和影响与这些个体有关的哪些信息可以被收集存储以及这些信息可以被谁泄露和泄露给谁注由于这一术语涉及到私人权限不可能精确地予以限定因此除了作为要求安全保护的一种动机外应避免使用抵赖在一次通信中涉及到的那些实体之一不承认参加了该通信的

10、全部或一部分路由选择控制在路由选择过程中应用规则以便具体地选取或回避某些网络链路或中继基于规则的安全策略这种安全策略的基础是强加于全体用户的总体规则这些规则往往依赖于把被访问资源的敏感性与用户用户群或代表用户活动的实体的相应属性进行比较安全审计为了测试出系统的控制是否足够为了保证与已建立的策略和操作规程相符合为了发现安全中的漏洞以及为了建议在控制策略和规程中作任何指定的改变而对系统记录与活动进行的独立观察和考核安全审计跟踪收集起来并可用来使安全审计易于进行的数据安全标记与某一资源可以是数据单元密切相联的标记为该资源命名或指定安全属性注这种标记或约束可以是明显的也可以是隐含的安全策略提供安全服务

11、的一套准则见基于身份的安全策略与基于规则的安全策略注一种完备的安全策略势将涉及超出范围之外的许多事项安全服务由参与通信的开放系统的层所提供的服务它确保该系统或数据传送具有足够的安全性选择字段保护对将被传输的消息中的特定字段实施的保护敏感性资源所具有的一种特征它意味着该资源的价值或重要性也可能包含这一资源的脆弱性签名见数字签名威胁一种潜在的对安全的侵害通信业务分析通过对通信业务流的观察出现消失总量方向与频度而对信息作出推断通信业务流机密性抵抗通信业务分析的一种机密性服务通信业务填充制造通信的假实例产生欺骗性数据单元或数据单元中的伪数据可信功能度就某种标准例如按某种安全策略确立的准则而言这种功能被

12、认为是正确无误的记法本标准中使用的层次记法与中确定的相同如果不作另外说明服务一词就用来指安全服务安全服务与安全机制的一般描述概述本章讨论包括在安全体系结构中的安全服务以及实现这些服务的机制下面描述的安全服务是基本的安全服务实际上为了满足安全策略或用户的要求它们将应用在适当的功能层上通常还要与非服务与机制结合起来使用一些特定的安全机制能用来实现这些基本安全服务的组合实际建立的系统为了直接引用的方便可以执行这些基本的安全服务的某些特定的组合安全服务下面所列被认为是在参考模型的框架中能提供的可选的安全服务其中的鉴别服务需要有鉴别信息它包括用于鉴别而存储在当地的信息和经传送而得到的数据凭证两部分鉴别这

13、种安全服务提供对通信中的对等实体和数据来源的鉴别分述如下对等实体鉴别这种服务当由层提供时将使实体确信与之打交道的对等实体正是它所需要的实体这种服务在连接建立或在数据传送阶段的某些时刻提供使用用以证实一个或多个连接实体的身份使用这种服务可以确信仅仅在使用时间内一个实体此时没有试图冒充别的实体或没有试图将先前的连接作非授权地重演实施单向或双向对等实体鉴别是可能的可以带有效期检验也可以不带这种服务能够提供各种不同程度的保护数据原发鉴别这种服务当由层提供时将使实体确信数据来源正是所要求的对等实体数据原发鉴别服务对数据单元的来源提供确证这种服务对数据单元的重复或篡改不提供保护访问控制这种服务提供保护以对

14、付可访问资源的非授权使用这些资源可以是经协议访问到的资源或非资源这种保护服务可应用于对资源的各种不同类型的访问例如使用通信资源读写或删除信息资源处理资源的执行或应用于对一种资源的所有访问这种访问控制要与不同的安全策略协调一致见条数据机密性这种服务对数据提供保护使之不被非授权地泄露分述如下连接机密性这种服务为一次连接上的全部用户数据保证其机密性注在某些使用中和层次上保护所有数据可能是不适宜的例如加速数据或连接请求中的数据无连接机密性这种服务为单个无连接的中的全部用户数据保证其机密性选择字段机密性这种服务为那些被选择的字段保证其机密性这些字段或处于连接的用户数据中或为单个无连接的中的字段通信业务流

15、机密性这种服务提供的保护使得通过观察通信业务流而不可能推断出其中的机密信息数据完整性这种服务对付主动威胁可取如下所述的各种形式之一注在一次连接上连接开始时使用对等实体鉴别服务并在连接的存活期使用数据完整性服务就能联合起来为在此连接上传送的所有数据单元的来源提供确证为这些数据单元的完整性提供确证而且例如使用顺序号还能另外为数据单元的重复提供检测带恢复的连接完整性这种服务为连接上的所有用户数据保证其完整性并检测整个序列中的数据遭到的任何篡改插入删除或重演同时试图补救恢复不带恢复的连接完整性与条的服务相同只是不作补救恢复选择字段的连接完整性这种服务为在一次连接上传送的的用户数据中的选择字段保证其完整

16、性所取形式是确定这些被选字段是否遭到了篡改插入删除或重演无连接完整性这种服务当由层提供时对发出请求的那个实体提供完整性保证这种服务为单个的无连接保证其完整性所取形式可以是确定一个接受到的是否遭受了篡改另外在一定程度上也能提供对重演的检测选择字段无连接完整性这种服务为单个无连接的中的被选字段保证其完整性所取形式为确定被选字段是否遭受了篡改抗抵赖这种服务可取如下两种形式或两者之一有数据原发证明的抗抵赖为数据的接收者提供数据来源的证据这将使发送者谎称未发送过这些数据或否认它的内容的企图不能得逞有交付证明的抗抵赖为数据的发送者提供数据交付证据这将使得接收者事后谎称未收到过这些数据或否认它的内容的企图不

17、能得逞特定的安全机制下面所列的这些安全机制可以设置在适当的层上以便提供在条中所述的某些服务加密加密既能为数据提供机密性也能为通信业务流信息提供机密性并且还成为在下面所述的一些别的安全机制中的一部分或起补充作用加密算法可以是可逆的也可以是不可逆的可逆加密算法有两大类对称即秘密密钥加密对于这种加密知道了加密密钥也就意味着知道了解密密钥反之亦然非对称例如公开密钥加密对于这种加密知道了加密密钥并不意味着也知道解密密钥反之亦然这种系统的这样两个密钥有时称之为公钥与私钥不可逆加密算法可以使用密钥也可以不使用若使用密钥这密钥可以是公开的也可以是秘密的除了某些不可逆加密算法的情况外加密机制的存在便意味着要使用

18、密钥管理机制密钥管理方法上的一些准则将在条中给出数字签名机制这种机制确定两个过程对数据单元签名验证签过名的数据单元第一个过程使用签名者所私有的即独有的和机密的信息第二个过程所用的规程与信息是公之于众的但不能够从它们推断出该签名者的私有信息签名过程涉及到使用签名者的私有信息作为私钥或对数据单元进行加密或产生出该数据单元的一个密码校验值验证过程涉及到使用公开的规程与信息来决定该签名是不是用签名者的私有信息产生的签名机制的本质特征为该签名只有使用签名者的私有信息才能产生出来因而当该签名得到验证后它能在事后的任何时候向第三方例如法官或仲裁人证明只有那私有信息的唯一拥有者才能产生这个签名访问控制机制为了

19、决定和实施一个实体的访问权访问控制机制可以使用该实体已鉴别的身份或使用有关该实体的信息例如它与一个已知的实体集的从属关系或使用该实体的权力如果这个实体试图使用非授权的资源或者以不正当方式使用授权资源那么访问控制功能将拒绝这一企图另外还可能产生一个报警信号或记录它作为安全审计跟踪的一个部分来报告这一事件对于无连接数据传输发给发送者的拒绝访问的通知只能作为强加于原发的访问控制结果而被提供访问控制机制可以建立在使用下列所举的一种或多种手段之上访问控制信息库在这里保存有对等实体的访问权限这些信息可以由授权中心保存或由正被访问的那个实体保存这信息的形式可以是一个访问控制表或是等级结构或分布式结构的矩阵还

20、要预先假定对等实体的鉴别已得到保证鉴别信息例如口令对这一信息的占有和出示便证明正在进行访问的实体已被授权权力对它的占有和出示便证明有权访问由该权力所规定的实体或资源注权力应是不可伪造的并以可信赖的方式进行运送安全标记当与一个实体相关联时这种安全标记可用来表示同意或拒绝访问通常根据安全策略而定试图访问的时间试图访问的路由访问持续期访问控制机制可应用于通信联系中的一端点或应用于任一中间点涉及原发点或任一中间点的访问控制是用来决定发送者是否被授权与指定的接收者进行通信或是否被授权使用所要求的通信资源在无连接数据传输目的端上的对等级访问控制机制的要求在原发点必须事先知道还必须记录在安全管理信息库中见条

21、与条数据完整性机制数据完整性有两个方面单个数据单元或字段的完整性以及数据单元流或字段流的完整性一般来说用来提供这两种类型完整性服务的机制是不相同的尽管没有第一类完整性服务第二类服务是无法提供的决定单个数据单元的完整性涉及两个过程一个在发送实体上一个在接收实体上发送实体给数据单元附加上一个量这个量为该数据的函数这个量可以是如象分组校验码那样的补充信息或是一个密码校验值而且它本身可以被加密接收实体产生一个相应的量并把它与接收到的那个量进行比较以决定该数据是否在转送中被篡改过单靠这种机制不能防止单个数据单元的重演在网络体系结构的适当层上操作检测可能在本层或较高层上导致恢复作用例如经重传或纠错对于连接

22、方式数据传送保护数据单元序列的完整性即防止乱序数据的丢失重演插入和篡改还另外需要某种明显的排序形式例如顺序号时间标记或密码链对于无连接数据传送时间标记可以用来在一定程度上提供保护防止个个数据单元的重演鉴别交换机制可用于鉴别交换的一些技术是使用鉴别信息例如口令由发送实体提供而由接收实体验证密码技术使用该实体的特征或占有物这种机制可设置在层以提供对等实体鉴别如果在鉴别实体时这一机制得到否定的结果就会导致连接的拒绝或终止也可能使在安全审计跟踪中增加一个记录或给安全管理中心一个报告当采用密码技术时这些技术可以与握手协议结合起来以防止重演即确保存活期鉴别交换技术的选用取决于使用它们的环境在许多场合它们将

23、必须与下列各项结合使用时间标记与同步时钟两方握手和三方握手分别对应于单方鉴别和相互鉴别由数字签名和公证机制实现的抗抵赖服务通信业务填充机制通信业务填充机制能用来提供各种不同级别的保护抵抗通信业务分析这种机制只有在通信业务填充受到机密服务保护时才是有效的路由选择控制机制路由能动态地或预定地选取以便只使用物理上安全的子网络中继站或链路在检测到持续的操作攻击时端系统可希望指示网络服务的提供者经不同的路由建立连接带有某些安全标记的数据可能被安全策略禁止通过某些子网络中继或链路连接的发起者或无连接数据单元的发送者可以指定路由选择说明由它请求回避某些特定的子网络链路或中继公证机制有关在两个或多个实体之间通

24、信的数据的性质如它的完整性原发时间和目的地等能够借助公证机制而得到确保这种保证是由第三方公证人提供的公证人为通信实体所信任并掌握必要信息以一种可证实方式提供所需的保证每个通信事例可使用数字签名加密和完整性机制以适应公证人提供的那种服务当这种公证机制被用到时数据便在参与通信的实体之间经由受保护的通信实例和公证方进行通信普遍性安全机制在本条说明的几种安全机制不是为任何特定的服务而特设的因此在后面的第章中在任一特定的层上对它们都不作明确的说明某些这样的普遍性安全机制可认为属于安全管理方面见第章这些机制的重要性一般说来与所要求的安全级别直接有关可信功能度为了扩充其他安全机制的范围或为了建立这些安全机制

25、的有效性必须使用可信功能度任何功能度只要它是直接提供安全机制或提供对安全机制的访问都应该是可信赖的用来保证可对这样的硬件与软件寄托信任的手段已超出本标准的范围而且在任何情况下这些手段随已察觉到的威胁的级别和被保护信息的价值而改变一般说来这些手段的代价高而且难于实现能大大简化这一难题的办法是选取一个体系结构它允许安全功能在这样一些模块中实现这些模块能与非安全功能分开来制作并由非安全功能来提供应用于一个层而对该层之上的联系所作的任何保护必须由另外的手段来提供例如通过适当的可信功能度安全标记包含数据项的资源可能具有与这些数据相关联的安全标记例如指明数据敏感性级别的标记常常必须在转送中与数据一起运送适

26、当的安全标记安全标记可能是与被传送的数据相连的附加数据也可能是隐含的信息例如使用一个特定密钥加密数据所隐含的信息或由该数据的上下文所隐含的信息例如数据来源或路由来隐含明显的安全标记必须是清晰可辨认的以便对它们作适当的验证此外它们还必须安全可靠地依附于与之关联的数据事件检测与安全有关的事件检测包括对安全明显侵害的检测也可以包括对正常事件的检测例如一次成功的访问或注册与安全有关的事件的检测可由内部含有安全机制的实体来做构成一个事件的技术规范由事件处置管理来维护见条对各种安全事件的检测可能引起一个或多个如下动作在本地报告这一事件远程报告这一事件对事件作记录见条进行恢复见条这种安全事件的例子为特定的安

27、全侵害特定的选择事件对事件发生次数计数的溢出这一领域的标准化将考虑对事件报告与事件记录有关信息的传输以及为了传输事件报告与事件记录所使用的语法和语义的定义安全审计跟踪安全审计跟踪提供了一种不可忽视的安全机制它的潜在价值在于经事后的安全审计得以检测和调查安全的漏洞安全审计就是对系统的记录与行为进行独立的品评考查目的是测试系统的控制是否恰当保证与既定策略和操作规程的协调一致有助于作出损害评估以及对在控制策略与规程中指明的改变作出评价安全审计要求在安全审计跟踪中记录有关安全的信息分析和报告从安全审计跟踪中得来的信息这种日志记录或记录被认为是一种安全机制并在本条中予以描述而把分析和报告视为一种安全管理

28、功能见条收集审计跟踪的信息通过列举被记录的安全事件的类别例如对安全要求的明显违反或成功操作的完成能适应各种不同的需要已知安全审计的存在可对某些潜在的侵犯安全的攻击源起到威摄作用安全审计跟踪将考虑要选择记录什么信息在什么条件下记录信息以及为了交换安全审计跟踪信息所采用的语法和语义定义安全恢复安全恢复处理来自诸如事件处置与管理功能等机制的请求并把恢复动作当作是应用一组规则的结果这种恢复动作可能有三种立即的暂时的长期的例如立即动作可能造成操作的立即放弃如断开暂时动作可能使一个实体暂时无效长期动作可能是把一个实体记入黑名单或改变密钥对于标准化的课题包括恢复动作的协议以及安全恢复管理的协议见条安全服务与

29、安全机制间关系的实例对于每一种服务的提供表标明哪些机制被认为有时是适宜的或由一种机制单独提供或几种机制联合提供此表展示了这些关系的一个概貌而且也不是一成不变的在表中引述的服务和机制在条与条中作了描述在第章将对这些关系作更充分的说明表机制服务加密数字签名访问控制数据完整性鉴别交换通信业务填充路由控制公证对等实体鉴别数据原发鉴别访问控制服务连接机密性无连接机密性选择字段机密性通信业务流机密性带恢复的连接完整性不带恢复的连接完整性选择字段连接完整性无连接完整性选择字段无连接完整性抗抵赖带数据原发证据抗抵赖带交付证据说明这种机制被认为是适宜的或单独使用或与别的机制联合使用这种机制被认为是不适宜的服务机

30、制与层的关系安全分层原则为了决定安全服务对层的分配以及伴随而来的安全机制在这些层上的配置用到了下列原则实现一种服务的不同方法越少越好在多个层上提供安全服务来建立安全系统是可取的为安全所需的附加功能度不应该不必要地重复的现有功能避免破坏层的独立性可信功能度的总量应尽量少只要一个实体依赖于由位于较低层的实体提供的安全机制那么任何中间层应该按不违反安全的方式构作只要可能应以不排除作为自容纳模块起作用的方法来定义一个层的附加安全功能本标准被认定应用于由包含所有七层的端系统组成的开放系统以及中继系统各层上的服务定义可能需要修改以便满足安全服务的请求不论所要求的安全服务是由该层提供或下面提供保护服务的调用

31、管理与使用模型本条应与第章结合起来读该章包含了对安全管理问题的一般讨论本条说明安全服务与机制能够由管理实体通过管理接口使之激活或由服务调用使之激活通信实例保护特点的确定概述本条说明对于面向连接与无连接通信实例保护的调用在面向连接通信的情形请求和获准保护通常是在连接建立时刻在无连接服务调用的情形请求和获准保护是对每个单元数据请求进行的为了简化下面的说明服务请求一词将用来指连接建立或单元数据请求对被选数据调用保护能够通过请求选择字段保护来达到例如可以这样进行建立几个连接每个连接带有不同类型或级别的保护这种安全体系结构适应多种安全策略包括基于规则的基于身份的或二者兼而有之的安全策略这一安全体系结构也

32、适应多种保护行政管理强加的动态选定的或二者兼有的服务请求对于每个服务请求实体可以请求安全保护以达到所要求的目标服务请求将与参数以及附加的相关信息如敏感性信息或安全标记一起指明安全服务以达到这一目标安全保护在每个通信实例之先层必须访问安全管理信息库见条保存有与所涉及的实体相关联的行政管理强加保护要求的信息还需要可信功能度来实施这些行政管理强加的安全要求当为面向连接通信事例时安全特点的提供可以要求对所需的安全服务进行协商机制与参数的协商过程可以作为一个单独的过程或作为正常的连接建立过程的一部分当协商是作为一个单独的过程实现时取得一致的结果即为了提供这样的安全服务而必需的安全机制的类型和安全参数便进

33、入安全管理信息库见条当协商是作为正常的连接建立过程的一部分实现时实体之间协商的结果将暂时存储在之中在进行协商之前实体将访问以获得协商所需要的信息如果服务请求违反了记录在中为该实体所作的行政管理强加的要求层将拒绝这一服务请求层也将给被请求的保护服务添加上安全服务这一所要求的安全服务在中是作为委托者而被定义的以达到这一目标安全保护如果实体不指明一个目标安全保护那么层将遵循与相一致的安全策略这可能是使用在中为这个实体定义的区段内缺省安全保护而继续进行通信提供保护服务在已决定了行政管理强加与动态选取安全要求相结合之后如在条中所述该层将试图最低限度地达到目标保护这将由下述方法实现或用其一或两者兼用在层中

34、直接调用安全机制从层请求保护这时经可信功能度和或层中特定的安全机制的结合保护的范围必须扩展到该服务注这并不一定意味着层中所有的功能度必须是可信任的因此层决定它是否能达到受请求的目标保护如果它不能达到通信就不发生受保护连接的建立下面的讨论是讲在层内提供服务与之相对的是对服务的依赖在某些协议中为达到满意的目标保护操作的顺序是至关重要的出访问控制层可以担负出访问控制即它可以在本地从决定是否可以试图建立保护连接或是禁止建立对等实体鉴别如果目标保护包含了对等实体鉴别或者如果知道从目的地的实体将要求对等实体鉴别那么就必须发生鉴别交换这可以利用两方或三方握手来提供所需的单方或相互鉴别有的时候此种鉴别交换可结

35、合到通常的连接建立规程中去在别的情况下鉴别交换可以与连接的建立分开来单独完成访问控制服务目的实体或中间实体可以强加访问控制约束如果特定的信息为一个远程访问控制机制所要求那么始发实体便在层协议中或经由管理信道提供这一信息机密性如果全机密服务或选择性机密服务被选定就一定得建立一个保护连接这必须包括建立恰当的工作密钥和协商对于此次连接的密码参数在鉴别交换中这可以预定或由一个单独的协议来完成数据完整性如果选定了全部用户数据的完整性带或不带恢复或选定了选择字段的完整性就一定得建立一个保护连接这可能是为提供机密性服务而建立的同一个连接而且它可以提供鉴别同样的考虑适用于对保护连接的机密性服务抗抵赖服务如果选

36、定了数据原发证明的抗抵赖就必须建立适当的密码参数或者建立带公证实体的保护连接如果选定了交付证明的抗抵赖就必须建立适当的参数它不同于对数据原发证明的抗抵赖所要求的参数或者建立带有公证实体的保护连接注保护连接的建立可能由于在密码参数上没有遵守协议而失败可能包括不占有恰当的密钥或者由于遭到一个访问控制机制的拒绝而失败保护连接的操作在保护连接的数据传送阶段必须提供经协商的保护服务在服务范围内下列各项是可见的对等实体鉴别间隔进行选择字段的保护报告主动攻击例如当数据操作已在进行而且正在提供的服务为不带恢复的连接完整性时见条此外还可能需要安全审计跟踪记录事件检测与处理对选择性应用能起作用的服务为机密性数据完

37、整性可能与鉴别一起抗抵赖接收方或发送方注为了标明选来作服务应用的那些数据项有两种办法第一种办法是使用粗体预先假定表示层将识别某些字体知道它们要求应用某种保护服务第二种办法是用某种形式的标志符去标记那些对它们将应用指定的保护服务的数据项可以认为提供抗抵赖服务的选择应用的一个理由可能来自下述情况在双方实体就某一数据项的最后版本取得相互认可之前某种形式的协商对话在联系中发生这时所指的接受者可以要求发送者把抗抵赖服务带数据原发和交付证据应用于该数据项的最后同意的版本发送者请求并获得这些服务将这些数据项发送出去然后接收通知该数据项已被收到并为接收者所承认这种抗抵赖服务使数据项的发出者与接受者确信该数据已

38、被成功地发送两种抗抵赖服务即数据原发证明和交付证明由发出者调用提供保护无连接数据传输不是所有在面向连接协议中可用的安全服务都能用于无连接协议具体地说抗删除插入与重演攻击的保护如果需要必须在面向连接的更高的层次上提供对重演攻击的有限的保护可由时间标记机制提供此外一些其他的安全服务不能提供面向连接协议能够达到的同样的安全强度适宜于无连接数据传输的保护服务如下对等实体鉴别见条数据原发鉴别见条访问控制服务见条无连接机密性见条选择字段机密性见条无连接完整性见条选择字段无连接完整性见条带数据原发证明的抗抵赖见条提供的这些服务机制为加密签名机制访问控制机制路由选择机制数据完整性机制和公证机制见条无连接数据传

39、输的发出者将必须保证它发出的单个包含了使它在目的地被接受所需的全部信息安全服务与安全机制的配置本章规定在基本参考模型的框架内提供的安全服务并简要说明实现它们的方式任何一个安全服务都是按要求来选择提供的本章中在识别某一具体的安全服务时是由一个特定层选择提供的除非特别说明这种安全服务就由运行在该层的安全机制来提供如第章中所述多个层能提供特定的安全服务这样的层不总是从它们本身提供这些安全服务而可以使用在较低层中提供的适当的安全服务即使在一个层内没有提供安全服务该层的服务定义也可能需要修改以便容许安全服务的请求传递到较低层注普通性安全机制见条不在本章中讨论为各种应用选取加密机制的位置在附录参考件中讨论

40、物理层服务在物理层上或单独或联合提供的安全服务仅有连接机密性通信业务流机密性通信业务流机密性采取两种形式全通信业务流机密性它只在某些情况下提供例如双向同时同步点对点传输有限通信业务流机密性它能为其他传输类型而提供例如异步传输这些安全服务只限于对付被动威胁能应用于点对点或多对等实体通信机制数据流的总加密是物理层上主要的安全机制一种只能用于物理层的特有的加密形式为传输安全即展宽频谱安全物理层保护是借助一个操作透明的加密设备来提供的物理层保护的目标是保护整个物理服务数据比特流以及提供通信业务流的机密性数据链路层服务在数据链路层上提供的安全服务仅为连接机密性无连接机密性机制加密机制用来提供数据链路层中

41、的安全服务见附录参考件链路层的这些附加安全保护功能度是在为传输而运行的正常层功能之前和为接收而运行的正常层功能之后执行即是说安全机制基于并使用了所有这些正常的层功能在数据链路层上的加密机制对链路层协议是敏感的网络层网络层是在内部组织起来提供执行下列操作的协议子网访问与子网有关的收敛与子网无关的收敛中继与路由选择服务执行与网络服务相关联的子网访问功能该功能的协议可以提供下列安全服务对等实体鉴别数据原发鉴别访问控制服务连接机密性无连接机密性通信业务流机密性不带恢复的连接完整性无连接完整性这些安全服务可以单独或联合提供与提供网络服务相关联从端系统到端系统的中继与路由选择操作的协议能提供的安全服务与执

42、行子网访问操作的协议所提供的相同机制执行与网络服务相关联的子网访问协议和从端系统到端系统的中继与路由选择操作的协议使用相同的安全机制路由选择在这一层上执行所以路由选择控制也在这一层执行上面列举的那些安全服务以如下机制予以提供对等实体鉴别服务由密码导出的或受保护的鉴别交换受保护口令交换与签名机制的适当配合来提供数据原发鉴别服务能够由加密或签名机制提供访问控制服务通过恰当使用特定的访问控制机制来提供连接机密性服务由加密机制和路由选择控制提供无连接机密性服务由加密机制与路由选择控制提供通信业务流保密服务由通信业务填充机制并配以网络层或在网络层以下的一种机密性服务或路由选择控制来获得不带恢复的连接完整

43、性服务通过使用数据完整性机制有时结合加密机制来提供无连接完整性服务通过使用数据完整性机制有时配合上加密机制来提供执行与从端系统到端系统网络服务相关联的子网访问操作的协议中的机制提供跨越单个子网的服务子网管理强制实现的子网保护将应用在子网访问协议的支配之下但通常在正常的子网传输功能之前和正常的子网接收功能之后应用跨越一个或多个互连网络的服务机制由执行端系统到端系统与提供网络服务相关联的中继与路由选择操作的协议来提供这些机制将在传输时的中继与路由功能之前和接收时的中继与路由选择功能之后调用在路由选择控制机制的情形从导出适当的约束信息然后数据与这些必要的路由选择约束一起被传递给中继与路由选择功能网络

44、层中的访问控制能够为多种目的服务例如它允许端系统去控制网络连接的建立和拒绝不需要的呼叫它也允许一个或多个子网去控制网络层资源的使用在某些情况下这后一目的与使用网络的费用有关注网络连接的建立常可能导致子网管理上的收费通过控制访问和选取反向付费或其他网络特定参数能使费用降到最低限度一特定子网的要求可能把访问控制机制强加在执行从端系统到端系统与提供网络服务相关联的子网访问操作的协议上当访问控制机制是由执行从端系统到端系统与提供网络服务相关联的中继与路由选择操作的协议提供时既可用它们来控制中继实体对子网的访问也可用来控制对端系统的访问显而易见访问控制的这种隔离程度是相当粗糙的只能在网络层实体之间进行区

45、分如果通信业务填充与网络层中的一种加密机制配合起来使用或是从物理层来的机密性服务将会使通信业务流的机密性达到相当高的水准运输层服务在运输层上可以单独或联合提供的安全服务如下对等实体鉴别数据原发鉴别访问控制服务连接机密性无连接机密性带恢复的连接完整性不带恢复的连接完整性无连接完整性机制上面列举的那些安全服务以如下机制予以提供对等实体鉴别服务是由密码导出的或受保护的鉴别交换受保护口令交换与签名机制的适当配合来提供的数据原发鉴别服务由加密或签名机制提供访问控制服务通过适当使用特定的访问控制机制来提供连接机密性服务由加密机制提供无连接机密性服务由加密机制提供带恢复的连接完整性服务的提供是使用数据完整性

46、机制有时由加密机制与之配合不带恢复的连接完整性服务的提供是使用数据完整性机制有时由加密机制与之配合无连接完整性服务是使用数据完整性机制有时配合上加密机制来提供的这些保护机制将按使得安全服务可以为单个运输连接所调用的方式运行保护的结果将是此运输连接个体能被隔离于所有其他运输连接之外会话层服务在会话层不提供安全服务表示层服务表示层将提供设施以支持经应用层向应用进程提供下列安全服务连接机密性无连接机密性选择字段机密性在表示层中的设施也可以支持经应用层向应用进程提供下列安全服务通信业务流机密性对等实体鉴别数据原发鉴别带恢复的连接完整性不带恢复的连接完整性选择字段连接完整性无连接完整性选择字段无连接完整

47、性数据原发证明的抗抵赖交付证证明的抗低赖注由表示层提供的设施依赖于只能运行在数据传送语法编码上的机制也包括例如基于密码技术的设施机制对于下面所列的安全服务支持机制可以设置在表示层上如果这样就可以用来与应用层安全机制相配合以提供应用层安全服务对等实体鉴别服务能够由语法变换机制例如加密支持数据原发鉴别服务能够由加密或签名机制支持连接机密性服务能够由加密机制支持无连接机密性服务能够由加密机制支持选择字段机密性服务能够由加密机制支持通信业务流机密性服务能够由加密机制支持带恢复的连接完整性能够由数据完整性机制支持有时由加密机制与之配合不带恢复的连接完整性服务能够由数据完整性机制支持有时由加密机制与之配合

48、选择字段连接完整性服务能够由数据完整性机制支持有时由加密机制与之配合无连接完整性服务能够由数据完整性机制支持有时由加密机制与之配合选择字段无连接完整性服务能够由数据完整性机制支持有时由加密机制与之配合数据原发证明的抗抵赖服务能够由数据完整性签名与公证机制的适当结合来支持交付证明的抗抵赖服务能够由数据完整性签名与公证机制的适当结合来支持应用于数据传送的加密机制当它设置在较高层时将包含在表示层中上面所列的某些安全服务也能由完全包含在应用层中的安全机制来选择提供只有那些机密性安全服务能够由包含在表示层的安全机制完全提供在表示层中的安全机制发送时运行于传送语法变换的最后阶段接收时运行于该变换过程的初始

49、阶段应用层服务应用层可以提供一项或多项下列基本的安全服务或单独提供或联合提供对等实体鉴别数据原发鉴别访问控制服务连接机密性无连接机密性选择字段机密性通信业务流机密性带恢复的连接完整性不带恢复的连接完整性选择字段连接完整性无连接完整性选择字段无连接完整性数据原发证明的抗抵赖交付证明的抗抵赖在实开放系统中认定的通信各方的鉴别对资源和非资源例如文件软件终端打印机等的访问控制提供支持在一次通信事例中要决定特定的安全要求包括数据机密性完整性与鉴别可以由安全管理或由应用层管理按在中的信息以及应用进程提出的请求来作出机制在应用层中的安全服务借助下列机制予以提供对等实体鉴别服务能够通过在应用实体之间传送的鉴别信息来提供这些信息受到表示层或较低层的加密机制的保护数据原发鉴别服务能够通过使用签名机制或较低层的加密机制予以支持对一个实开放系统的与有关的那些方面例如与特定系统或远程应用实体通信的能力的访问控制服务可由在应用层中的访问控制机制与在较低层的访问控制机制联合起来提供连接机密性服务能够通过使用一个较低层的加密机制予以支持无连接机密性服务能够通过使用一个较低层的加密机制予以支持选择字段机密性服务能够通过使用在表示层上的加密