GB T 18794.5-2003 信息技术 开放系统互连 开放系统安全框架 第5部分;机密性框架.pdf

《GB T 18794.5-2003 信息技术 开放系统互连 开放系统安全框架 第5部分;机密性框架.pdf》由会员分享，可在线阅读，更多相关《GB T 18794.5-2003 信息技术 开放系统互连 开放系统安全框架 第5部分;机密性框架.pdf（18页珍藏版）》请在麦多课文档分享上搜索。

1、GB/T 18794.5一2003/ISO/IEC10181-5 ,1996 前士-同GB/T 18794 (信息技术开放系统互连开放系统安全框架目前包括以下几个部分:第1部分(pGB/T 18794. 1) ，概述第2部分(即GB/T18794.2)鉴别框架第3部分(即GB/T18794.3)，访问控制框架一一第4部分(即GB/T18794.4)，抗抵赖框架第5部分(即GB/T18794.5) ，机密性框架第6部分(即GB/T18794.6) ，完整性框架第7部分(即GB/T18794.7)，安全审计和报警框架本部分为GB/T18794的第5部分，等同采用国际标准ISO/IEC10181-5

2、，1996(信息技术开放系统互连开放系统安全框架3机密性框架)(英文版)。按照GB/T1. 1-2000的规定，对ISO/IEC10181-5作了下列编辑性修改=a) 增加了我国的前言气b) n本标准一词改为GB/T18794的本部分或本部分c) 对规范性引用文件一章的导语按GB/于1.1-2000的要求进行了修改gd) 删除规范性引用文件一章中未被本部分引用的标准;e) 在引用的标准中，凡己制定了我国标准的各项标准，均用我国的相应标准编号代替。对规范性引用文件一章中的标准，按照GB/T1. 1-2000的规定重新进行了排序。本部分的附录A至附录E都是资料性附录。本部分由中华人民共和国信息产业

3、部提出。本部分由中国电子技术标准化研究所归口。本部分起草单位四川大学信息安全研究所。本部分主要起草人z戴宗坤、罗万伯、欧晓聪、龚海澎、周安民、赵勇、李焕洲。皿GB/T 18794.5-2003/ISO/IEC 10181-5: 1996 百|言许多开放系统应用都有与防止信息泄露有关的安全需求。这样的需求可能包括信息的保护，这些信息在其他安全服务如鉴别、访问控制或完整性中使用。如果这些信息被攻击者所知，就会使那些服务的效用减弱或无效。凹机密性是信息对未授权个人、实体或进程不予提供或不予泄露的特性。本部分定义提供机密性服务的通用性框架。GB/T 18794.5-2003/ISO/IEC 10181

4、-5 ,1996 信息技术开放系统互连开版系统安全框架第5部分:机密性框架1 范围本开放系统安全框架的标准论述在开放系统环境中安全服务的应用，此处术语开放系统包括诸如数据库、分布式应用、开放分布式处理和开放系统互连这样一些领域。安全框架涉及定义对系统和系统内的对象提供保护的方法，以及系统间的交互。本安全框架不涉及构建系统或机制的方法学。安全框架论述数据元素和操作的序列(而不是协议元素)，这两者可被用来获得特定的安全服务。这些安全服务可应用于系统正在通信的实体，系统间交换的数据，以及系统管理的数据。本部分阐述在检索、传送和管理过程中信息的机密性。本部分-1) 定义机密性的基本概念g2) 识别可能

5、的机密性机制类型p3) 对每种机密性机制的设施进行分类和识别;4) 识别用来支持各种类别的机密性机制所需的管理;5) 阐述机密性机制和支持服务与其他安全服务和机制的交互。许多不同类型的标准能使用这个框架，其中包括:1) 体现机密性概念的标准，2) 规定含有机密性的抽象服务的标准;3) 规定使用机密性服务的标准;4) 规定在开放系统体系结构内机密性服务的提供方法的标准，5) 规定机密性机制的标准。这些标准能以如下方式使用本框架g一一标准类型1)、2)、3)、4)和5)能使用本框架的术语;标准类型2)、3)、4)和5)能用本框架第7章定义的设施;标准类型5)能基于本框架第8章定义的机制类别。与其他

6、的安全服务一样，机密性仅能在为一个特定应用而定义的安全策略上下文中提供。特定安全策略的定义不在本部分范围之内。规定那些为了实现机密性所需要执行的协议交换的细节也不在本部分之内。本部分不规定支持这些机密性服务的特殊机制，也不规定安全管理服务和协议的全部细节。支持机密性的通用机制在第8章中描述。本安全框架中所描述的有些规程，通过应用密码技术来实现机密性。m本框架与特定的密码技术或其他算法的使用并无依赖关系，当然某些类别的机密性机制可能要依靠特殊的算法特性。注:密码算法及其登记规程应符合我国有关规定。本框架阐述当信息被表示成潜在攻击者可访问的数据时如何提供机密性保护。它的范围包括业务流机密性。2 规

7、范性引用文件下述文件中的条款通过GBjT18794的本部分的引用而成为本部分的条款。凡是注日期的引用文GB/T 18794.5-2003/ISO/IEC 10181-5: 1996 件，其随后所有的修改单(不包括勘误的内容)或修改版均不适用于本部分，然而，鼓励根据本部分达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本部分。GB/T 9387. 1-1998信息技术开放系统互连基本参考模型第1部分:基本模型CidtISO 7498-1:1994) GB/T 9387. 2-1995信息处理系统开放系统互连基本参考模型第2部分z安全体系结构Cidt ISO

8、 7498-2:1989) GB/T 17179.1:1997 信息技术提供元连接方式网络服务的协议第1部分:协议规范CidtISO/IEC 8473-1 :1 994) GB/T 17963-2000信息技术开放系统互连网络层安全协议CidtISO/IEC 11577: 1995) GB/T 18794. 1-2002信息技术开放系统互连开放系统安全框架第1部分:概述CidtISO/ IEC 10181-1 :1 996) GB/T 18794. 3-2003信息技术开放系统互连开放系统安全框架第3部分=访问控制框架Cidt ISO/IEC 10181-3: 1996) 3 术语和定义下列术

9、语和定义适用于GB/T18794的本部分。3.1 基本模型定义GB/T 9387. 1-1998确立的下列术语和定义适用于GB/T18794的本部分。a) CN)连接(N)-connection; b) CN)实体CN)-entity; c) CN)设施CN)-facility; d) CN)层CN)-layer;e) (N)PDU CN)-PDU; f) CN)SDU (N)-SDU; g) CN)服务CN)-service; h) CN)单元数据CN)-unitdata; i) CN)用户数据(N) -userda ta; j) 分段segmentmg o 3.2 安全体系结构定义GB/T

10、 9387.2-1995确立的下列术语和定义适用于GB/T18794的本部分。a) 主动威胁active threat; b) 机密性confidentiality; c) 解密decipherment; d) 解密处理decryptio町的加密enciphermentj f) 加密处理encryptlO川g) 基于身份的安全策略identity-based security policy; h) 密钥key; i) 被动威胁passive threat; j) 路由选择控制routing control; k) 基于规则的安全策略rule- based security policy; )

11、敏感性sensItlVl ty; GB/T 18794.5-2003/ISO/IEC 10181号，1996m) 通信业务分析traffic analysis; n) 通信业务填充traffic paddi吨。3.3 安全框架概述定义GB/T 18794. 1确立的下列术语和定义适用于GB/T18794的本部分。a) 秘密密钥secret key; b) 私奋密钥private key; c) 公开密钥public key, 3.4 附加定义下列术语和定义适用于GB!T18794的本部分。3.4.1 机密性保护环境confidentiality-protected-environment 一种

12、环境，它或是通过阻止未授权的查看数据来防止未授权的信息泄露，或是防止通过查看数据来未授权地导出敏感信息。敏感信息可包括某些或所有的数据属性(例如，数值，数据量大小，或存在等)。3.4.2 机密性保护数据confidentiality-protected-data 在一个受机密性保护环境中的数据。注:一个受机密性保护的环境也可以保护某些(或所有)受机密性保护数据的属性。3.4.3 机密性保护信息confidentiality-protected-information 其有形编码(即数据)的全部受到机密性保护的信息。3.4.4 隐藏hide 一种操作，它对未保护的数据施加机密性保护或对已经被保护

13、的数据施加附加的机密性保护。3.4.5 显现rev四I种操作，它去除某些或所有以前所施加的机密性保护。3.4.6 隐藏机密性的信息hiding confidentiality information 用来执行隐藏操作的信息。3.4.7 显现机密性的信息rev阳Iingconfidentiality information 用来执行显现操作的信息。3.4.8 直接攻击direct altack 一种针对系统进行的攻击，它基于基础算法、原理或安全机制特性方面的缺陷进行攻击。3.4.9 间接攻击indir，配taltack 一种针对系统进行的攻击，这些攻击并不是基于特定安全机制的缺陷(例如，绕过安全

14、机制，或依赖于系统不正确地使用安全机制)进行攻击。4 缩略语下列缩略语适用于GB!T18794的本部分。HCI 隐藏机密性的信息(HidingConfidentiality Information) GB/T 18794.5-2003/ISO/IEC 10181-5 ,1996 PDU协议数据单元(ProtocolData Unit) RCI 显现机密性的信息RevealingConfidentiality Information) SDU服务数据单元(ServiceData Unit) 5 机密性的一艘性论述5.1 基本概念机密性服务的目的是确保信息仅仅对被授权者可用。由于信息是通过数据表示

15、的，而且数据可导致上下文的变化(如文件操作可能导致目录改变或可用存储区域数目的改变)，因此信息能通过许多不同的方式从数据中导出z1) 通过理解数据的语义优n数据的值);2) 通过使用可以推理的数据的相关属性(比如其存在，也建的日期，数据大小，最后一次更新的日期等等);3) 通过研究数据的上下文关系，即其他那些与之相关的数据对象34) 通过观察数据表示的动态变化。信息能通过确保数据被限制于授权者而得到保护，或通过如下的表示数据方式来得到保护，即数据的语义只对那些掌握有某种关键信息的人才是可访问的。有效的机密性保护要求必要的控制信息(比如密钥和其他RCD是受保护的。这种保护可采用与保护数据的机制不

16、同的机制来提供(比如密钥可以通过物理手段保护。在本框架中用到保护环境和交迭的保护环境的概念。在保护环撞中的数据通过应用一个特定的安全机制(或多个机制)保护。在一个保护环境中的所有数据以类似方法受到保护。当两个或更多环境交迭的时候，交迭中的数据是受多重保护的。可以推断，从一个环境移到另一个环境的数据的连续保护必需包含交迭的保护环境。5. 1. 1 信息的保护信息的通信或存储是通过将这些信息表示成数据项实现的.机密性机制通过保护上述5.1中列出的某些或所有项来防止信息的泄露。实现机密性的方法包括31) 保护数据存在或数据特性(比如数据大小或数据创建日期)的消息;2) 防止对数据的读访问;3) 保护

17、数据语义的知识。机密性机制通过下面的方式防止信息泄露21) 保护信息项的表示不被泄露;2) 保护表示规则不被泄露，在第二种情况中，通过把几个数据项组合成一个复合数据项，以及通过保护这个复合数据项的表示规则不被泄露，能实现防止数据项的存在或其他属性的泄露。5. 1. 2 隐藏和显现操作隐藏操作能作为信息从环境A移动到A与另一个环境C的交迭区域(B)的模型。显现操作可以被看作是隐藏操作的逆操作。操作过程在附录B中加以描述。当信息从一种机密性机制保护的环绕移到另-种机密性机制保护的环境时1) 如果第二个机制的隐藏操作优先于第一个机制的显现操作，则信息连续地受到保护;2) 如果第一个机制的显现操作优先

18、于第二个机制的隐藏操作，则信息不能连续地受到保护。为了使上面1)中的情况可行，在旧机制的显现操作和新机制的隐藏操作之间必须存在某种形式的交替性。当一个环境通过访问控制或物理方式受到保护而另一个通过密码变换受到保护时，就是一个隐藏操作和显现操作互相交替的例子。GB/T 18794.5-2003/ISO/IEC 10181-5 ,1996 机密性以下列方式影响信息的检索、传送以及管理z1) 当隐藏操作、使用(N-1)设施的传送操作以及显现操作被组合起来形成一个(N)服务的传输部分时，就提供了在使用OSI进行的信息传送过程中的机密性;2) 当隐藏操作、存储与检索操作以及显现操作被组合成一个更高层的存

19、储和检索服务时，就提供了在数据存储检索中的机密性;3) 通过将隐藏和显现与其他操作(比如用于数据管理的操作)组合起来，可以提供其他形式的机密性。与某些机密性机制一起，稳藏设施使受机密性保护的部分数据在设施完成对所有数据的处理之前对服务用户是可用的。类似地，与某些机密性机制一起，显现设施有能力在所有的数据项可用之前，就开始处理部分受机密性保护数据项。这样，个数据项可以同时包括还没有被隐藏的部分、已被隐藏的部分和已被显现的部分。5.2 机密性服务的分类机密性服务可以按它们支持的信息保护类型进行分类。这些信息保护的类型是=1) 保护数据语义;2) 保护数据语义和相关属性;3) 保护数据语义及其属性，

20、以及可从该数据导出的任何信息。此外，机密性服务可以按存在于服务运行和信息被保护的环境中的威胁种类来分类。按照这一准则，机密性服务可分类如下:1) 防止外部威胁这类服务假设能合法访问信息者将不会把信息泄露给未授权者。这类服务不保护泄露给己授权方的信息，并且在它们拥有先前已被保护的信息时，也不限制这些授权方的行为。示例2在A中的敏感文件通过加密受到保护。但是拥有所需解密密钥的进程可以读取被保护的文件，并且随后又对不受保护的文件进行写操作。2) 防止内部威胁这类服务假设对重要信息和数据有访问权的授权者可以自觉地或不自觉地从事那些最终会损坏被保护信息的机密性的活动。示例z安全性标签与许可证被附加到被保

21、护的资源和能访问它们的实体上.访问则通过良好定义且可理解的流控制模型加以限制。提供防止内部威胁机密性保护的服务，必须要么禁止隐蔽通道(见附录0)，要么将它们的信息传送率限制在一个可接受的水平。此外，他们必须禁止非授权的推理，这种推理可以来自于合法信息通道的意外使用例如，基于仔细构建的数据库查询的推理而每一个查询单独看来都是合法的，或者，基于系统公用程序的能力(或去能力)执行一个命令的推理。5.3 机密性机制的类型机密性机制的目标是防止未授权的信息泄露。为此，机密性机制可以21) 防止对数据的访问(比如一个通道的物理保护)。可以用访问控制机制(如在GB/T18794的第3部分中描述的那样)来使只

22、有授权的实体才能访问数据p物理保护技术不在本部分范围之内。然而它们包含在其他标准中，比如ISO1022(集成电路卡的安全体系结构)和ANSIX9.17 /ISO 8734(金融公共设施密钥管理批售)。2) 采用映射技术使信息相应地受到保护，除拥有关于映射技术重要信息的人以外，其他人都是不可访问的。这类技术包括:a) 加密;b) 数据填充;GB/T 18794.5-2003/ISO/IEC 10181-5 ,1996 c) 展频。每种类型的机密性机制都能和其他相同或不同类型的机制结合起来使用。机密性机制能实现各种不同的保护一保护数据语义;保护数据属性(包括数据的存在)，抗推理。这些类别机制的示例

23、包括21) 加密以隐藏数据p2) 加密与分段和填充相结合以隐藏PDU的长度(见8.2), 3) 隐藏通信通道存在性的展频技术。5.4 对机密性的威胁对受机密性保护信息存在着一种单一类型的、通用的威胁，称为对被保护信息的泄露。有几种对受机密性保护数据的威胁，相应地就有几种能从数据中导出机密性保护信息的方式。下面的条款描述在不同的环境中对受机密性保护数据的一些威胁。5.4.1 对通过禁止访问提供机密性的威胁这类威胁包括:1) 穿透禁止访问的机制，比如.a) 利用在物理保护通道中的弱点gb) 冒充或不恰当地使用证书;c) 利用在禁止访问机制实现中的弱点(比如用户可能要求对文件A的访问，并被允许对A访

24、问，然后该用户对提交的访问文件名进行修改，从而获得对另一文件B的访问hd) 在可信软件中嵌入特洛伊木马。2) 穿透禁止机制所依赖的服务(比如当访问是基于身份鉴别时的冒名顶替，证书的不正当使用，或穿透用来保护证书的完整性机制)，3) 利用系统公用程序直接或间接地泄露奋关系统的信息;4) 隐蔽通道。5.4.2 对通过隐藏信息提供机密性的威胁这类威胁包括:1) 穿透密码机制(通过密码分析，通过窃取密钥，选择性明码攻击，或通过其他方式)，2) 业务流分析;3) PDU头分析p4) 隐蔽通道。5.5 对机密性攻击的类型以上列举的每种威胁都与一种或几种攻击(即所讨论的威胁实例)相对应。可以区分为主动攻击和

25、被动攻击，即导致系统变化的机密性攻击和不导致系统变化的攻击。注g不管攻击是主动的或被动的，都可通过攻击下的矗统的特征和攻击者采取的行动来确定。被动攻击的示例是-1) 窃取和搭接;2) 业务流分析;3) 出于非法目的对PDU头进行分析;。将PDU数据复制到非目标地的系统中;5) 密码分析。主动攻击的示例子是:GB/T 18794.5-2003/ISO/IEC 10181-5: 1996 1) 特洛伊木马(代码，其未纳入正式文档的特性极易造成安全性破坏);2) 隐蔽通道p3) 穿透支持机密性的机制，如穿透鉴别机制(比如成功地假冒一个被授权实体).穿透访问控制机制，以及截获密钥;4) 密码机制的欺骗

26、性使用，比如选择明文攻击。6 机密性策略机密性策略是安全策略的一部分，它处理机密性服务的提供和使用。代表信息的数据必须在所有实体可以读取它的整个过程中受到保护。机密性策略因此必须识别那些受到控制的信息，并指出哪些实体预期被允许读取它。机密性策略也可以根据不同类型信息机密性的相对重要性，对为每种不同类型信息提供机密性服务的机制指出其类型和强度。6.1 策略表达在表达机密性策略时，需要识别所涉及信息和所涉及实体的方法。安全策略可被认为是一个规则集。机密性策略中的每条规则能与一个数据特征和一个实体特征相关联。在有些策略中，这些规则并不明确地表示出来，但能由策略推导出来。下面的条款描述许多可以表达机密

27、性策略的方法。注意，尽管有些机密性机制在特定的策略表达式类型中是并列的，但是表达这些策略的方法中，并不意味着直接使用这些机制来实现这一策略。6. 1. 1 倍息表征策略可以用不同方式标识信息。例如z1) 通过标识创建它的实体:2) 通过标识可以读取它的任何实体组;3) 通过它的位置g4) 通过标识提交数据的上下文(比如它的预期功能)。6. 1. 2 实体表征许多方式用来对机密性策略规则中涉及到的实体进行特征化。有两种常见的方式，种是一个一个地和惟一地标识这些实体，另一种是将属性与每个实体关联起来。这两种实体特征化的形式产生了两种策略类型2基于身份的策略和和基于规则的策略。这些策略在访问控制框架

28、中进行了充分的讨论(见GB/T18794.3)。7 机密性信息和设施7.1 机密性信息在5.1.2中，讨论了隐藏和显现操作。附录B通过图B.1显示了使用这些操作时数据从一个受机密性保护环境到另一个受机密性保护环境时的流向。与某些机密性机制一起，隐藏和显现操作利用了辅助信息。这种辅助信息相应地被分别称为隐藏机密性的信息(HCD和显现机密性的信息(RCD。7. 1. 1 隐藏机密性的信息隐藏机密性的信息HCD是被隐藏操作所使用的信息。示例包括:1) 公开密钥$2) 对称密钥;3) 数据存储的位置g4) 分段规则。GB/T 18794.5一2003/ISO/IEC10181-5: 1996 7. 1

29、. 2 显现机密性的信息显现机密性信息(RCl)是被显现操作使用的信息。示例包括21) 私有密钥;2) 对称密钥;3) 数据存储的位置;4) 分段规则。7.2 机密性设施许多机密性设施已被加以区分，并列于附录E中。机密性设施可区分成与操作方面相关的设施或与管理方面相关的设施。7.2.1 与操作相关的设施7.2. 1. 1 隐藏这一设施对数据进行机密性保护。这一设施可能的候选输入包括:1) (可能受机密性保护的)数据;2) HCI, 3) 机制特有标识符，如附录E所示。候选输出包括z1) 受机密性保护的数据;2) 执行隐藏操作的其他结果;3) 机密性保护环境的区分标识符，在这个环境中已存放了受机

30、密性保护的数据。7.2. 1. 2 显现这一设施去除了先前施加给数据的隐藏操作。这一设施的候选输入包括1) 受机密性保护的数据;2) RCI, 3) 机制特有标识符，如附录E所示。候选输出包括1) (可能是机密性保护的)数据pD 执行显现操作后的其他结果;3) 环境的区别标识符，在这个环境中已存放了输出的数据。7.2.2 与管理相关的设施机密性管理设施允许用户获得、修改和去除HCI和RCI信息(比如密钥)，这对提供机密性是必须的。广义地讲，这些设施是z1) 安装管理信息g2) 修改管理信息;3) 删除管理信息;4) 列表管理信息。8 机密性机制数据的机密性可能与数据驻留和运送的介质有关。因此1

31、) 存储的数据，其机密性能通过使用隐藏数据语义(比如加密)或将数据分段的机制来保证;2) 在运送中的数据，其机密性能通过禁止访问(比如受物理保护的通道或路由选择控制)的机制，通过隐藏数据语义(比如加密)的机制，或通过分散数据(例如展频)的机制得以保证。能单独或者组合使用这些类型的机制。以上的分类表明机密性机制可进行如下的分类2) 禁止对数据进行非授权访问的机制;2) 将数据隐藏但允许被访问的加密机制;GB/T 18794.5-2003/ISO/IEC 10181-5 ,1996 3) 使数据仅能被部分访问的上下文机制，以致完全不能从收集到的有限数据中重建数据。8.1 通过访问禁止提供机密性通过

32、访问禁止的机密性，能利用在GB/T18794. 3中描述的访问控制，通过物理介质保护，以及通过路由选择控制获得，如下所述。8. 1. 1 通过物理介质保护的机密性保护可以采取物理方法来保证介质中的数据只能通过特殊的一组有限的机制才能观察到。数据机密性是通过确保只有授权的实体本身才能利用这些机制而实现的。8.1.2 通过路由选择控制的机密性保护这一机制的目的是防止未授权泄露由被传送的数据项所表示的信息。这一机制通过只使用可信和安全的设施来路由数据，达到支持机密性服务。8.2 通过加密提供机密性这些机制的目的是防止在运送过程中或是存储过程中泄露数据语义。这些机制被认为是运行在两个实体集中:在第一个

33、集中的任何实体可以首先掌握数据(对数据语义可访问)，在第二个集中的任何实体是该数据所表示信息的一个授权接收者。不同种类的机密性机制可以考虑为21) 基于对称加密的机密性机制，其中相同的密钥被用来加密(隐藏操作)和解密(显现操作)数据;2) 基于非对称加密的机密性机制，其中公开密钥被用来加密隐藏操作)数据，相应的私有密钥用来解密(显现操作)数据。两种基本机制之间的主要差异是，在1)中，能实现隐藏操作的实体也能实现显现操作，反之亦然;然而在2)中，所有的实体或几乎所有的实体都能实现隐藏操作，而只有能访问私有密钥的实体才能实现显现操作。8.2.1 通过数据填充提供机密性这一机制的目的是防止知道以数据

34、项的大小所表示的信息。这一机制增加了数据项的大小，使被填充的数据项的大小与数据项原来的大小没什么关系。一种填充方式是给这个数据项的开始或末端增添随机数据。这必须以这样的方式实现，即填充能被授权实体所识别，而未授权的实体却不能将其与数据区别开来。为了达到这一要求，数据填充能和密码变换结合使用。这一机制能和GB/T17963-2000描述的网络层数据分段结合使用。数据填充能用于保护作为隐蔽通道使用的数据项的大小。8.2.2 通过虚假事件提供机密性这一机制的目的是防止基于对-给定事件的发生率进行推理。这一机制的实例能在网络层安全协议中找到，这些安全协议试图隐藏在不可信链路上交换的业务量。这一机制产生

35、虚假事件(比如伪造的PDU).只有授权方才能识别它是假的。这一机制能被用来对抗隐蔽通道攻击，这类攻击根据一个行为频度的变化形成信令。注s数据和业务量填充是这机制的示例。在这两个实例中，这机制通过将目标的属性嵌入个更大的目标中并加密保护整个目标而实现隐藏目标的属性。8.2.3 通过保护PDU头提供机密性这一机制的目的是在通信期间防止基于PDU头的推理。这一机制的一个实例是GB/T17963-2000中描述的地址隐藏。一个中间系统X可以接受个PDU.将其加密，并嵌入一个新的PDU中，新PDU的源看起来是X.目的地是Y.在Y这一对等系统GB/T 18794.5-2003月SO/IEC10181-5:

36、 1996 中，数据被解密，原来的PDU被恢复。因为原来的PDU头(包括地址)被加密，除了X和Y正在交换加密的PDU所暗示的信息外，不存在任何基于头信息推理的可能性。另外一个实例是对每个由系统A发送的真实的PDU，生成n个具有可变目的地址和PDU头的附加拷贝(即系统创建了虚假的广播业务;这一机制也是在上面8.2.2中描述的那些机制的一个实例)。GB/T 17963-2000中描述了在网络层中的地址隐藏。地址隐藏也能在其他层中进行比如GB/T 16284.4，被称为MHS(消息处理系统)，描述了在应用层中地址隐藏的使用。这种机制具体化了类似于下面8.3中所列的思想。8.2.4 通过时间变化字段提

37、供机密性这一机制和加密结合使用，防止基于数据项的动态变化进行的推理。说到底，它把时间变化字段和被保护的数据以这样的方式组合起来，即攻击者不能判定数据表示的变化是由数据的改变引起的，还是由时间变化字段中的变化所引起的。理论上讲，这一机制为被保护数据的每个富有意义的潜在观察产生不同的数据表示，因此基于缺少动态变化的推理也是行不通的。示例包括21) PDU传输个时间变化字段被放在每个PDU被保护的部分的前面;然后将这样得到的组合数据用具有链(即变化字段对相继的数据的加密产生影响)的密码机制进行加密;2) 存储时间变化字段被存放在存储文件的开始处，以便隐藏其变化(或其需要的东四)。这个机制能与填充和分

38、段机制结合使用，以便隐藏被保护数据大小的变化。8.3 通过上下文位置提供机密性当可以通过大量不同的上下文找到数据时，能够通过防止对数据的访问来实现机密性保护。如果在所用的上下文被改变之前不能检测到所有可能的上下文(由于计算上的或物理的原因)，则能够获得某种等级的机密性。这种机制的示例包括:1) 提供大量传输信息的物理的或虚拟的通道(比如展频使用由许多无线电频率中选出的个频率);2) 提供大量存储数据的地方(比如在磁盘上的地址h3) 通过隐藏在主通信通道中的隐密辅助通信通道传输信息(隐写术)。这种形式的机密性假设非授权接收者不能得到识别当前正确上下文所需的信息。因此这一信息本身必须受到机密性服务

39、的保护。9 与其他安全服务和机制的交互本章描述了如何使用其他安全服务和机制来支持机密性。使用机密性机制支持其他安全服务的问题则不在此处描述。9.1 访问控制访问控制，如GB/T18794.3部分中所描述的那样，能够用来管理对数据的访问。10 GB/T 18794.5-2003/ISO/IEC 10181-5: 1996 附录A(资料性附录)在OSI参考模型中的机密性安全服务与OSI参考模型的相关关系在GB/T9387. 2中定义。本附录概述与机密性相关的一些内容。所考虑的不同机密性的安全服务是:连接机密性p元连接机密性p选择字段机密性，一一业务流机密性。A.1 连接机密性连接机密性为一个CN)

40、连接上的所有CN)用户数据提供机密性。A.2 无连接的机密性无连接机密性为单个元连接的CN)SDU中CN)用户数据内部的选择字段提供机密性。A.3 选择字段机密性选择字段机密性为一个CN)连接上或单个元连接的CN)SDU中CN)用户数据内的选择字段提供机密性。A.4 业务流机密性业务流机密性为那些可能从业务流观察中推导出的信息提供保护。A.5 在OSI层使用机密性机密性服务与下列OSI层相关z物理层(第1层)，一一数据链路层(第2层)，一一-网络层(第3层)，一一运输层(第4层)，表示层(第6层), 应用层(第7层)。A.5.1 在物理层上使用机密性连接机密性和业务流机密性，无论是单独使用还是

41、组合使用，是在物理层上惟一提供的机密性服务。业务流机密性采取了两种形式z只能在某些种类的传输中提供的全业务流机密性，以及可在任何情况下都能提供的有限业务流机密性。A. 5. 2 在鼓据链路层上使用机密性在数据链路层上提供的安全服务仅有连接机密性和元连接机密性。这些服务使用密码机制。A. 5. 3 在网络层上使用机密性在网络层上提供的机密性服务仅有连接机密性、无连接机密性和业务流机密性。连接机密性和无连接机密性可以通过一种密码机制和/或路由选择控制提供。业务流机密性可由业务流填充机制，并与11 GB/T 18794.5-2003/ISO/IEC 10181-5: 1996 在网络层或其下层的机密

42、性服务和/或路由选择控制相结合来提供。这些服务允许在网络节点、子网节点或中继之间建立机密性。A. 5. 4 在运输层上使用机密性在运输层上提供的机密性服务仅有连接机密性和无连接机密性。连接机密性和无连接机密性可以由密码机制提供。这些服务允许在端系统之间建立机密性。A.5.5 在表示层上使用机密性连接机密性、无连接机密性以及选择字段机密性均可在表示层中提供。在选择字段机密性的情况，由应用层提供受到机密性保护字段的指茸A. 5. 6 在应用层上使用机密性所有的机密性服务，也就是说，连接机密性、无连接机密性、选择字段机密性以及业务流机密性都可在应用层提供。能够用低层的密码机制来支持连接机密性和元连接

43、机密性，能够在表示层用密码机制来支持选择字段机密性;能够在应用层应用业务流填充机制并与更低层的机密性服务相结合来支持有限业务流机密性服务。12 GB/T 18794.5-2003/ISO/IEC 10181-5 ,1996 附录B(资料性附录)在不周的受机密性保护环境申的移动序列示例图B.l是一个德藏/显现操作序列的示例，它们在数据从一个初始环境A移动到一个环境E时保持数据的机密性。这个示例假设环境A和E通过访问控制支持机密性，而环境C则通过加密来保护机密性。交迭环境B(A和C)和D(C和E)通过加密以及访问控制来保护数据。这个图描述了下列操作z1) 隐藏操作t，对数据加密，然后将其放进交迭环

44、境B中;Z) 显现操作11，把数据从B移动到C。这个显现操作去除来自被访问控制保护环境中的数据，但并不影响由隐藏操作t施加的机密性保护;3) 隐藏操作v，再次施加访问控制保护，办法是把数据移动到交迭环境D，在这里通过加密以及E的访问控制来保护数据;4) 显现操作W，对数据解密并将其从D移出到E中。固B.1被保护区域的描述13 GB/T 18794.5-2003/ISO/IEC 10181-5: 1996 附录C(资料性附录)倍息的表示信息项的通信或存储是用该信息项的一种表示来实现的比如数字十七可被表示成十进制数17.十六进制数11.第丸个奇数，第七个素数，或289Cl7X17)。信息或者从它的

45、表示能够获得，或者从表示的属性能够得到。因此，我们能够通过下列方法得到信息1) 己知表示的约定和相关的信息时查看数据值;2) 查明数据项是否存在;3) 数据项的大IJ; 4) 表示的动态变化。例如，信息国王驾崩可由以下方法推理出来:通过查看一个布尔量，当国王去世时它的值为真，反之为假，通过查明一个文件目录中被称作国王死亡报告的文件的存在或不存在g通过查看去世君主列表并发现长度是否在增长;通过建立一个计数器，指示这个国家处于无君主状态的天数，这样能观察到每天变化的情况。由一寸去示fJlIj集定义信息项和其某些表示之间的映射。表示规则描述:一一信息怎样被编码成数据g一一一怎样才能够从数据中得到被编

46、码的信息;当信息编码时必然要发生的显式的或隐式的上下文变化(比如创建文件可以导致目录发生变化)。本框架阐述的机密性机制通过以下方式之一保护信息项z1) 通过确保信息项的表示是在一个合适的环结中，来防止信息项表示的泄露;2) 防止表示规则的知识的泄露。不同的环境被认为有不同的机密性强度，这取决于防止泄露的范围，这些防范是提供给在那些环境中的表示的。同时，不同的表示规则集也被认为有不同的机密性强度，这取决于表示规则被未授权实体所了解的难度。作为描述不同类型机密性机制的特性的基础，用到优密位保护主T文这一概念。机密性保护上下文(对任何信息项来说)是在一个特定环境中存在的那个信息项的一种特定表示。只要

47、认识到信息的传送是可能涉及穿越一系列不同机密性保护上下文所进行的移动，那么就不难理解机密性机制的行为。表示的变化或环境的变化构成了从一个机密性保护上下文到另一个机密性保护上下文的移动。一个表示的变化通常或者是变成一种更强(更多保护)的表示，或者是变成更弱(更少保护)的表示。类似地，一个环境的改变也将或者形成一个更强(更多保护)的环境，或者形成一个更弱(更少保护)的环境。附录B提供了一个通过不同机密性保护上下文进行移动的示例。14 GB/T 18794.5-2003/ISO/IEC 10181-5: 1996 附录D(资料性附录)隐蔽通道术语隐蔽通道指的是这样一些机制，这些通道并不打算用于通信，

48、而是能够用来以违反安全策略的方式传送信息。隐蔽通道攻击是由某些数据的发送者在系统内部进行的攻击。这种企图并不限定于使用特定的信息传送方法，比如那些通常为此目的丽特别提供的方法。在一个充分复杂的环境中，在为了交流数据以及存储和检索数据而提供的机制之外，通常还存在一种或多种传送信息的方法。这些方法就叫做隐蔽通道。许多隐蔽通道涉及到对状态或事件的授权调整，而这一调整对接收来自该调整源头信息的未授权实体来说则是可见的。信息通过对这类调整意义的共识在调整源和接受者之间传送。在数据交流机制中的通道示例包括如下含义=CN)PDU的不同的有效长度;不同的目的地址，这些地址能够被(N)连接或CN)元连接方式传送

49、上的隐蔽通道接收或拦截g同一个CN)连接上的或来自同一个(N)实体的(N)PDU传送之间的不同的有效持续时间。后者是定时隐蔽通道的一个示例。在数据存储和检索机制中的通道示例包括如下含义给予存储区域的名字;特定命名的已存数据的存在与否;已存数据的数量;进一步存储数据的能力g特定命名数据被(或不被)存储的持续时间。像第个示例，数据(名字)能够被存储并且而后被检索，这就叫做存储隐蔽通道。系统资源和通信协议能够被规定和模型化为抽象的对象，这些对象被定义来提供许多具体的原语操作。因此，更一般地讲，这些示例包括以下含义z挑选一个有效操作g使用服务原语的顺序$一当操作的使用可能为隐蔽通道接收者所见时，使用一种操作的持续时间。当传送信息的所有方式被识别(包括隐蔽通道)并且每种方式都通过使用适当的机密性机制加以控制时，信息的机密性才能被保证。在许多实例中，(由于技术的、组织机构的、经济的或其他的原因)完全禁止隐蔽通道是不可能的。然而，还是可能将信息通过这样的通道传输的比率降到个人们认为可接受的水平。15 GB/T