GB/T 17965-2000
基本信息
标准号: GB/T 17965-2000
中文名称:信息技术 开放系统互连 高层安全模型
标准类别:国家标准(GB)
标准状态:现行
发布日期:2000-01-03
实施日期:2000-08-01
出版语种:简体中文
下载格式:.rar.pdf
下载大小:856473
标准分类号
标准ICS号:信息技术、办公机械设备>>开放系统互连(OSI)>>35.100.01开放系统互连(OSI)综合
中标分类号:电子元器件与信息技术>>信息处理技术>>L79计算机开放与系统互连
关联标准
采标情况:idt ISO/IEC 10745:1995
出版信息
出版社:中国标准出版社
书号:155066.1-16825
页数:24页
标准价格:13.0 元
出版日期:2004-04-16
相关单位信息
首发日期:2000-01-03
复审日期:2004-10-14
起草单位:中国电子技术标准化研究所
归口单位:全国信息技术标准化技术委员会
发布部门:中华人民共和国国家质量监督检验检疫总局
主管部门:国家标准化管理委员会
标准简介
本标准定义了一个体系结构模型,以此为基础:a)开发OSI高层独立于应用的安全服务和协议;b)利用这些服务和协议满足各种应用的安全要求,以便使包含内部安全服务的应用特定的ASE的需求最少。本标准特别规定:a)OSI高层中通信的安全;b)高层中对开放系统OSI安全体系结构和安全框架中定义的安全服务的支持;c)根据GB/T9387.2和GB/T17176,高层中安全服务和机制的放置及其之间的关系;d)提供和使用安全服务时,高层之间的交互及高层和低层之间的交互;e)高层中管理安全信息的要求。 GB/T 17965-2000 信息技术 开放系统互连 高层安全模型 GB/T17965-2000 标准下载解压密码:www.bzxz.net
标准图片预览
标准内容
GB/T 17965--2000
本标准等同采用国际标准ISO/IEC10745:1995《信息技术开放系统互连
本标准的附录A和附录B是提示的附录。本标准由中华人民共和国信息产业部提出。本标准由中国电子技术标准化研究所归口。本标准起草单位:中国电子技术标准化研究所。本标准主要起草人:徐云驰、罗韧鸿、郑洪仁。高层安全模型》。
GB/T17965--2000
ISO/IEC前言
ISO(国际标准化组织)和IEC(国际电工委员会)是世界性的标准化专门机构。国家成员体(它们都是ISO或IEC的成员国)通过国际组织建立的各个技术委员会参与制定对特定技术范围的国际标准:ISO和IEC的各个技术委员会在共同感兴趣的领域内进行合作。与ISO和IEC有联系的其他官方和非官方国际组织也可参与国际标准的制定工作。对于信息技术,ISO和IEC建立了一个联合技术委员会,即ISO/IECJTC1。由联合技术委员会提出的国际标准草案需分发给国家成员体进行表决。发布…·项国际标准,至少需要75%的参与表决的国家成员体投票赞成。
国际标准ISO/IEC10745是由ISO/IECJTC1“信息技术”联合技术委员会的SC21“开放系统互连、数据管理和开放分布式处理”分委员会与ITU-T共同制定的。等同文本为ITU-TX.803。本标准的附录A和附录B仅提供参考信息。304
GB/T 17965—2000
OSI安全体系结构(GB/T9387.2)定义了当开放系统环境中要求安全保护时对应用适用的、与安全有关的体系结构元素。
本标准描述OSI参考模式高层(应用、表示和会话)中选择、放置和使用安全服务和机制。305
1范围
中华人民共和国国家标准
信息技术开放系统互连
高层安全模型
Information technology- Open SystemsInterconnection--Upper layers security model1.1本标准定义个体系结构模型,以此为基础:a)开发OSI高层独立于应用的安全服务和协议:GB/T 17965—2000
idt ISO/IEC 10745:1995
b)利用这些服务和协议满足各种应用的安全要求,以便使包含内部安全服务的应用特定的ASE的需求最少。
1.2本标准特别规定:
a)(OSI高层中通信的安全;
b)高层中对开放系统OSI安全体系结构和安全框架中定义的安全服务的支持;c)根据GB/T9387.2和GB/T17176,高层中安全服务和机制的放置及其之间的关系;d)提供和使用安全服务时,高层之间的交互及高层和低层之间的交互;e)高层中管理安全信息的要求。1.3在访问控制方面,本标准的范围包括控制访问()SI资源和通过OSI可接近的资源的服务和机制。1.4本标准不包括:
a)OSI服务的定义或(OSI协议的规范;b)安全技术和机制、它们的操作及其协议要求的规范;或c)与(SI通信无关的保证安全的内容。1.5本标准既不是系统的实现规范也不是评价实现一一致性的依据注:本标准的范围包括无连接应用和分布式应用(如:存储和转发应用、链接应用及代表其他应用的应用)的安全,2 引用标准
下列标准所包含的条文,通过在本标准中引用而构成为本标准的条文。本标准出版时,所示版本均为有效。所有标准都会被修订,使用本标准的各方应探讨使用下列标准最新版本的可能性。GB/T9387.1-1998信息技术开放系统互连基本参考模型第1部分:基本模型(idt ISO/IEC 7498-1:1994)
GB/T9387.2—1995信息处理系统开放系统互连(idt ISO/IEC 7498-2:1989)
基本参考模型第2部分:安全体系结构GB/T9387.4—1996信息处理系统开放系统互连第4部分:管理框架
基本参考模型
(idt ISO/IEC 7498-4 : 1989)
GB/T15695—1995
信息处理系统开放系统互连
主面向连接的表示服务定义
(idt ISO 8822: 1988)
国家质量技术监督局2000-01-03批准306
2000-08-01实施
GB/T 17965 -- 2000
GB/T16688—1996信息处理系统开放系统互连联系控制服务元素服务定义(idt ISO 8649:1988)
GB/T17176-1997信息技术开放系统互连应用层结构(idtISO/IEC9545:1994)ISO/IEC 10181-2:1996
信息技术开放系统的安全框架:鉴别框架ISO/IEC10181-3:1996
3定义
信息技术开放系统的安全框架:访问控制框架3.1本标准采用GB/T9387.1中定义的下列术语:a)抽象语法abstract syntax;b)应用实体application-entity;c)应用进程application-process; application-process-invocation;d)应用进程调用
e)应用协议控制信息application-protocol-control-information;f)应用协议数据单元application-protocol-data-unit;g)本地系统环境local system environment;h)(N)功能(N)-function;
i)(N)中继(N)-relay;
j)开放系统open system;
k)表示上下文 presentation context;1) 表示实体 presentation-entity;m)开放实系统 real open system;n)系统管理system-management;o)传送语法transfer syntax。3.2本标准采用GB/T9387.2中定义的下列术语:a)访问控制access control;
b)鉴别authentication;
c)机密性confidentiality;
d)数据完整性data integrity;e)数据原发鉴别data origin authentication;f) 解密 decipherment;
g)加密
encipherment;
h)密钥key;
i)抗抵赖non-repudiation;
j)公证notarization;
k)对等实体鉴别peer-entity authentication;1)安全审计security audit;
m)安全管理信息库Security Management Information Base;n)安全策略security policy;
o)选择字段保护selective field protection;p)签名signature;
g)流量机密性traffic flow confidentiality;r)可信功能trusted functionality。3.3本标准采用GB/T9738.4中定义的下列术语:307
5-2000
GB/T17965
a)管理信息Management Information;b) OSI 管理 OSI Managcmcnt。3.4本标准采用GB/T17176中定义的下列术语:a)应用联系application-association;b)应用上下文application-context;c)应用实体调用(AEI)application-entiiy-invocation(AED);d)应用服务元素(ASE)application-service-element(ASE);e)ASE 类型 ASE-typc;
f)应用服务客体(ASO)application-service-object(ASO);g) ASO 联系 AS(O-association;h)ASO上下文ASO-context;
i)AS调用ASO-invocation;
j) ASO 类型ASO-typc;
k)挖制功能(CF)control funetion(CF)。3.5本标准采用GB/T15695中定义的下列术语:丧示数据值 presentation data value。3.6本标准采用ISO/IEC10181-2中定义的下列术语:a)鉴别交换authentication exchange;b)声称鉴别信息claim authentication information;c)声称体claimant;
d)交换鉴别信息exchange authentication information;e)实体鉴别cntity authentication;f) 本体 principal:
g)验证鉴别信息verification authentication information;h)验证者verifier。
3.7本标准采用IS0/IEC10181-3中定义的下列术语:a)访问控制证书access control certificate;b)访问控制信息access control information。3.8本标准采用下列定义:
3.8.1联系安全状态association security state:与安全联系有关的安全状态。
3.8.2 保护表示上下文 protecting presentation context使保护传送语法和抽象语法联系在一起的表示上下文。3.8.3保护传送语法protecting transfer syntax以采用安全变换的编码/解码过程为基础的传送语法。3.8.4密封seal
支持完整性但不能避免接收者伪造的密码检验值(即不支持抗抵赖)。3.8.5安全联系securityassociation两个或多个实体间的一种关系。这些实体具有管理包含这些实体本身的安全服务的属性(状态信息和规则)。
3.8.6安全通信功能security communication function支持开放系统之间传送与安全有关的信息的功能。3.8.7 安全域 security domain308
组元素、项安全策略、
GB/T 17965-—2000
个安全机构和一组与安全有关的活动。在安全域中,对于特定的活动,该组元素受到安全策略约束,并由安全机构管理。3.8.8安全交换security exchange作为一个或多个安全机制的操作的一部分,开放系统之间应用协议控制信息的-一次传送或系列传送。
3.8-9 安全交换项security exchange item安全交换中,对应于单个传送(在一系列传送中)的信息的逻辑独特片断。3.8.10安全交换功能securityexchange function位十应用层的,为AE调用间通信安全信息提供方法的安全通信功能3.8.11 可靠交互规则 secure interaction rules为在安全域之间发生交互必需的公共规则。3.8.12安全状态security state开放系统中保持且为提供安全服务所要求的状态信息。3.8.13系统安全功能system security function开放系统进行有关安全处理的能力。3.8.14系统安伞客体system security object代表组有关系统安全功能的客体。3.8.15安全变换security transformation通信或存储期间,以特殊的方式组合起来在用户数据项上操作以保护这些数据项的组功能(系统安全功能和安全通信功能)。
注:系统安全功能和系统安全客体的规范不是OSI层服务定义或协议规定的…部分。4缩略语
本标准采用下列缩略语:
ACSE联系控制服务元素
AE应用实体
AEI应用实体调用
ASE应用服务元素
ASN.1抽象语法记法-
ASO应用服务客体
CF控制功能
FTAM文件传送、访问和管理
OSI开放系统互连
PE 表示实体
表示实体调用
表示数据值
安全交换项
SSO系统安全客体
5概念
本安全模型阐述了安全服务措施,以抵御GB/T9387.2--1995附录A中描述的那些与OSI高层有关的威胁。它包括保护通过应用中继系统的信息。5.1安全策略
GB/T 17965--2000
如果两个或多个开放实系统要安全地通信,它们必须遵循在各自安全域中有效的安全策略;如果通信发生在不同的安全域之间,还要遵循安全交互策略。安全交互策略体现不同安全域中安全策略的共同方面并决定它们之间发生通信的条件。组安全交互规则可以描述安全交互策略措施。这些规则还用于特殊通信实例的ASO)上下文(包括应用上下文)的选择。
5.2安全联系
安全联系是两个或多个实体间的关系,即管理包含这些实体安全服务的属性(状态信息和规则)。安全联系隐含着在两个系统中存在安全交互规则和保持一致的安全状态。从(SI高层的角度来看,安全联系可映射到ASO)联系。两种特殊的情形是:应用联系安全联系:两个系统之间的安全联系通过应用联系来支持被保护的通信。-中继安全联系:两个系统之间通过应用中继来支持被保护的通信的安全联系(如:在存储转发或链接应用中)。www.bzxz.net
不同类型安全联系的其他例子是:通过多个应用联系和/或多个无连接数据单元通信被此直接通信的两个系统之间的安全联系。一个将被保护的信息写入数据存储(如:文件存储或目录)的实体和读取此信息的所有实体之间的安全联系。
两个对等低层安全协议实体之间的安全联系。在应用进程内,一个安全联系可能依赖于保持另一个系统(例如:鉴别服务器或其他类型的可信任第三方)的另一个安全联系。
5.3安全状态
安全状态是开放实系统中保持且为安全服务措施所要求的状态信息。两个应用进程之间存在安全联系隐含存在共享的安全状态。试图建立通信之前,一个或多个应用进程里可能要求某些安全状态信息,通信进行时状态信息应予以保持,和/或通信结束后仍保留。这一状态信息的确切特性依赖特殊的安全机制和应用。
两种安全状态类型是:
a)系统安全状态:不考虑是否存在任何通信行为及其状态。在开放实系统中建立.和保持的与安全有关的状态信息;
b)联系安全状态:与安全联系有关的安全状态。在OSI的高层中,共享安全状态决定ASO调用之间的ASO上下文(的安全特性)和/或新建立的应用联系的初始安全状态。两种特殊的情形是:一当安全联系映射到单一应用联系时:安全状态代表“应用联系安全状态”。它与控制那一应用联系的通信安全有关。
当安全联系映射到通过应用中继系统在两个终端用户系统之间的信息传送的ASO联系时:共享安全状态与端用户系统之间使用的安全机制有关,而独立于与用应用中继系统建立的单个应用联系有关的安全机制。
安全状态的例子包括:
a)与密码链接或完整性恢复相关联的状态信息;b)允许交换信息的一组安全标记;c)高层中安全服务措施采用的密钥或密钥标识符。这可能包括已知可信的认证机构密钥(见GB/T16264.8)或使其能和密钥分发中心通信的密钥;d)前面已鉴别的身份;
e)顺序号和密码同步变量。
安全状态可以不同的方式初始化,例如;a)采用安全管理功能,这种情况下,安全信息驻留在安全管理信息库中;310
GB/T17965—2000
b)初始化层前面通信行为的残留信息;c)OSI之外的手段。
5.4应用层要求
:为了使应用进程安全通信,它们在采用的ASO)上下文(或应用上下文)中必须有适当的安全措施。ASO上下文定义可包括:
a)要求用来支持安全协议的ASO类型和/或ASE类型;b)协商和选择与应用和表示层有关的安全功能的规则;c)选择底层安全服务的规则;
d)将特殊安全服务用于特殊交换信息类别的规则:e)整个联系生存期间重新鉴别有关身份的规则;f)(如果采用基于密钥的机制)整个AS()联系生存期间改变密钥的规则;g)通信失败或检测出安全冲突时采取的规则。注:可参考ASO类型定义来定义ASO上下文。应用上下文是ASO上下文的特殊情形,它描述ASO上下文参与应用联系的两个ASO调用可能的一组通信行为。本条中描述的安全方面的内容适用于应用上下文。6体系结构
6.1总体模型
OSI安全服务措施包括根据特定安全机制的规程产生、交换和处理安全信息。包含的两个独特功能类型是:
a)系统安全功能:系统执行与安全有关的处理能力,这类处理如:加密/解密、数字签名或产生或处理在鉴别交换中运送的安全权标或证书。这些实现功能不是OSI层服务或协议的实现部分;b)安全通信功能:支持开放系统之间传送与安全有关的信息的功能。这种功能在OSI应用实体或表示实体中实现。安全通信功能的例子有:安全交换功能,如6.3中描述;
一制定用来传递加密或数字签名信息的表示层协议元素的编码/解码;与安全服务器(如:鉴别服务器或密钥分发中心)进行通信的协议。系统安全功能和安全通信功能之间有两方面重大差别。首先,它描述了标准的两种不同类型。系统安全功能在安全机制或安全技术标准中规定。这些标准常常制订为通用的且不必与任何特定通信协议和层关联。系统安全功能标准可能对非通信安全有用。另一方面,安全通信功能是特殊通信协议规范(如:OSI高层)的一部分且不必与特定安全机制或技术关联。另一重大差别是:它用模型来分开实现中的安全功能和通信功能。系统安全功能的集合将当作典型的可靠模型实现,如:作为可用的软件子系统或防干扰的硬件模块,易于用到各种通信或其他环境。因此,系统安全功能和安全通信功能之间的边界可为定义标准化的实现界面(如:安全应用程序界面(API))提供一个有力的开始点。在体系结构方面,引入了“系统安全客体”(SSO)的概念。一个SSO是一组有关的系统安全功能的客体。
SSO)能通过个抽象的服务边界(界面)和安全通信功能交互来提供要求的安全服务。SSO产生和处理在应用和表示层中用OSI协议交换的安全信息。交换的安全信息的逻辑结构可在SI中标准化,因此,它能在OSI协议交换中表出。-一个SSO调用是一个执行SSO实例。动态模型中,SSO调用可以和OSI实体调用(如:AE调用)交。
SSO的操作可包括:
GB/T 17965—2000
从代表SS()可发送和/或接收信息的OSI安全通信功能中接收信息或向它提供信息;导致和其他开放系统(如:第三方鉴别服务器)建立应用联系,并在SSO)系统安全功能的措施中使用此应用联系;
建立·个随后在安全服务中要使用的安全联系。注
1特殊系统安全功能、SSO或抽象服务边界等的规范不在本安全模型的范围内。2实现SSO)可用于非(SI安全的目的,然而,任这种应用都超过了本安全模型的范围。图1给出与应用和表示层有关的安全功能的基本模型。模型中的客体包括应用实体(AE)、表示实体(PE)、SSO和支持OSI服务(OSI第1~5层中)。支持(SI服务为交换与安全有关的(及非安全有关的)信息提供基本的通信基础结构。SSO-OSI
系统安
全客体
系统安全
安全通信
OSI高层
支持OSI服务
SI璃层
与OSI高层有关的安全功能
高层中的OSI层实体在安全服务措施中起如下作用:sso-ost
系统安
全客体
在应用层,各AE将应用进程通信方面模型化并且能按照ASE、ASO来精炼,还要控制GB/T17176中描述的功能。AE可含有安全通信功能措施的多个ASE和/或ASO。各ASE和/或ASO也可能过采用安全变换(见6.4)和/或要求来自下层的合适的服务质量对被保护信息加以排列。一在表示层,表示实体提供安全通信功能,这些功能可以和将抽象语法映射到传送语法(见6.4)中使用的系统安全功能(如:加密)一起工作。在会话层中不提供安全服务。然而,6.2.1指出了在OSI环境内可能对安全措施产生影响的会话层操作的某些方面。
上面的基本模型有利于OSI部件和SSO之间抽象服务边界的一般定义,并允许安排/使用各种信任方案(如:如ISO/IEC10181-2中规定的)。注3:图1所示的AE和PE之间的交互在6.4和8.1中讨论。6.2安全联系
高层中,安全联系要映射到ASO联系。本安全模型不为建立或终止安全联系规定特定的方法。通常,这种建立/终止可和标准化的ASO联系建立过程一起获得,或者通过其他方法获得。特殊的体系结构考患将用于5.2中所确定的两种特殊类型的安全联系。6.2.1应用联系安全联系
应用联系安全联系映射到一个应用联系。安全服务通过使用下列功能和服务来实现:a)应用层中的安全通信功能及相关的系统安全功能;b)表示层中的安全通信功能及相关的系统安全功能:c)低层提供的安全服务。
注1:正如GB/T9378.2中指出的,会话层中没有安全机制。然而.设计高层安全协议时要考虑会话层操作的两个方面:用可能引起数据不传送的会话服务的潜在影响(见8.2),和连续重用支持几个会话连接(见8.3)的运输312
连接。
GB/T179652000
某些情况下,可能要求组合应用层和表示层中及与系统安全功能相关的安全通信功能来提供安全服务。
应用上下文规定欲在应用联系中使用的安全服务和安全机制。个别或组合地使用与…个多个ASE和/或ASO有关的功能可提供这些安全服务。在联系建立期间,需按以下任方式或两种方式考虑应用联系的安全要求:a)通过使用安全服务来保护应用联系建立;b)通过选择包括合适安全服务的应用上下文。ACSE提供的服务用来建立应用联系和选择合适的应用上下文。所选择的应用上下文规则间包据与安全有关的规则。这些规则可能要求其他(在其他事情中)可能提供安全服务的ASE在联系建立时与ACSE-起操作。
注2:在表示层中的安全通信功能和有关的系统安全功能可用作应用联系建立规程的一部分。初始联系安全状态由应用联系建立规程决定。它可能依赖于系统安全状态和/或任何围绕安全联系的联系安全状态。应用上下文的规则可能允许或要求ASE之间进一一步的协议交换来改变这·联系安全状态。这些变化可能作为应用联系建立之后初始化进程的一部分和/或并入AE调用的正常操作的完整部分实现。
在安全联系生命期内,可允许修改某些种类的安全状态信息。(如:完整性顺序号),而其他种类的安全状态信息可能不允许修改(如:安全标签)。ACSE提供的服务用来终止应用联系。应用联系应用上下文的规则可要求可提供安全服务的其他ASE在应用联系终止时与ACSE-并操作。6.2.2中继安全联系
在存储和发送应用或链接应用等分布式应用中可能会出现中继安全联系。中继安全联系很可能和图2所示的应用联系安全联系一起出现。被保护的中继信息是通往中继安全联系各方(图2中的系统A和C)之间传递的信息。用SSOz1和z2中的系统安全功能来提供保护。被保护的中继信息嵌入在系统A和B之间的应用联系中传递的PDVs中,并且也嵌入在系统B和C之间的应用联系中传递的PDVs中。当被保护的中继信息在应用联系中传递时,它可受到进一步的保护,如:在系统A和B之间传递时,它将使用SSOxl和x2中的安全功能。当传递被保护的中继信息的PDV嵌入到另一个按应用联系安全联系保护的PDV中时,含出现这种情况。
应用中继系统可以不具有必要的参数(如:密码密钥)使开放系统中的表示实体解码/编码传递被保护中继信息的表示数据值。在这种类型的开放系统中。编码表示数据值可以保留以便随后传输。后面的传输限制在具有和收到的表示数据值相同的抽象和传送语法的表示上下文。因此,识别抽象语法和传送语法的信息必须和中继系统中的编码…-起保存。当中继系统具有解码中继信息必需的信息时上面的情形可能会出现变化。例如:它可能具有用来验证那信息上签名的公开密钥(如:支持数据原发鉴别)。然而,编码需要按上面的描述保存时,可能必须将签名的信息中继到另一个系统上。313
系统A
应用联系安全联系
中继安全联系
系统安全客体调用
GB/T 17965-
—2000
系统B
(应用中继)
图2应用中继情形
6.3安全交换功能
系统C
安全交换功能是一类应用层的安全通信功能,它为AE调用之间安全信息通信提供手段。安全交换功能产生和处理应用协议控制信息来支持这种信息的通信。这些功能由ASO或ASE提供。
这--功能的·个例子是如ISO/IEC10181-2中描述的对鉴别交换的通信支持,在这里,声称体AE调用处产生的一条交换鉴别信息被传递到验证AE调用处。6.3.1安全交换
安全交换使开放系统之间作为成为安全机制操作部分传送应用协议控制信息模型化。安全交换可能包括下面二者之一:a)一个开放系统和另个开放系统之间传输单条信息;例如:访问控制证书;
公开密钥证书;或
安全权标。
b)开放系统之间构成安全机制操作部分的全顺序中的信息传输顺序;例如:与2-向或3-向鉴别交换有关的信息传输;或双向会话密钥约定(如:Diffie-Hellman指数密钥交换\)。给不同类型的安全交换分配唯一的标识符以使在协议中指明它们的作用。6.3.2安全交换信息
安全交换信息是安全交换中开放系统间通信的信息。对应于单个传送(可能在传送顺序中)的安全交换信息的逻辑区别部分称为安全交换项(SEI)。为了数据定义目的,SEI可被分解成较小的元素。当没有为定义安全交换信息规定特定的抽象语法记法时,如果对该信息使用和其他抽象语法相同的记法,含有安全交换信息的完整抽象语法的结构将简化。ISO/IEC11586-1提供了与ASN.1记法…起使用的记法工具。
6.3.3安全交换功能
为给任意给定的ASO上下文的安全交换提供支持,必须在该ASO上下文中的某些ASE和/或ASO中加入安全交换功能。它包括:1)DIFFIE(W.),HELLMAN(M.):密码学的新方向,IEEE信息理论会刊IT-22卷,1976年第6号第644-645页,314
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
本标准等同采用国际标准ISO/IEC10745:1995《信息技术开放系统互连
本标准的附录A和附录B是提示的附录。本标准由中华人民共和国信息产业部提出。本标准由中国电子技术标准化研究所归口。本标准起草单位:中国电子技术标准化研究所。本标准主要起草人:徐云驰、罗韧鸿、郑洪仁。高层安全模型》。
GB/T17965--2000
ISO/IEC前言
ISO(国际标准化组织)和IEC(国际电工委员会)是世界性的标准化专门机构。国家成员体(它们都是ISO或IEC的成员国)通过国际组织建立的各个技术委员会参与制定对特定技术范围的国际标准:ISO和IEC的各个技术委员会在共同感兴趣的领域内进行合作。与ISO和IEC有联系的其他官方和非官方国际组织也可参与国际标准的制定工作。对于信息技术,ISO和IEC建立了一个联合技术委员会,即ISO/IECJTC1。由联合技术委员会提出的国际标准草案需分发给国家成员体进行表决。发布…·项国际标准,至少需要75%的参与表决的国家成员体投票赞成。
国际标准ISO/IEC10745是由ISO/IECJTC1“信息技术”联合技术委员会的SC21“开放系统互连、数据管理和开放分布式处理”分委员会与ITU-T共同制定的。等同文本为ITU-TX.803。本标准的附录A和附录B仅提供参考信息。304
GB/T 17965—2000
OSI安全体系结构(GB/T9387.2)定义了当开放系统环境中要求安全保护时对应用适用的、与安全有关的体系结构元素。
本标准描述OSI参考模式高层(应用、表示和会话)中选择、放置和使用安全服务和机制。305
1范围
中华人民共和国国家标准
信息技术开放系统互连
高层安全模型
Information technology- Open SystemsInterconnection--Upper layers security model1.1本标准定义个体系结构模型,以此为基础:a)开发OSI高层独立于应用的安全服务和协议:GB/T 17965—2000
idt ISO/IEC 10745:1995
b)利用这些服务和协议满足各种应用的安全要求,以便使包含内部安全服务的应用特定的ASE的需求最少。
1.2本标准特别规定:
a)(OSI高层中通信的安全;
b)高层中对开放系统OSI安全体系结构和安全框架中定义的安全服务的支持;c)根据GB/T9387.2和GB/T17176,高层中安全服务和机制的放置及其之间的关系;d)提供和使用安全服务时,高层之间的交互及高层和低层之间的交互;e)高层中管理安全信息的要求。1.3在访问控制方面,本标准的范围包括控制访问()SI资源和通过OSI可接近的资源的服务和机制。1.4本标准不包括:
a)OSI服务的定义或(OSI协议的规范;b)安全技术和机制、它们的操作及其协议要求的规范;或c)与(SI通信无关的保证安全的内容。1.5本标准既不是系统的实现规范也不是评价实现一一致性的依据注:本标准的范围包括无连接应用和分布式应用(如:存储和转发应用、链接应用及代表其他应用的应用)的安全,2 引用标准
下列标准所包含的条文,通过在本标准中引用而构成为本标准的条文。本标准出版时,所示版本均为有效。所有标准都会被修订,使用本标准的各方应探讨使用下列标准最新版本的可能性。GB/T9387.1-1998信息技术开放系统互连基本参考模型第1部分:基本模型(idt ISO/IEC 7498-1:1994)
GB/T9387.2—1995信息处理系统开放系统互连(idt ISO/IEC 7498-2:1989)
基本参考模型第2部分:安全体系结构GB/T9387.4—1996信息处理系统开放系统互连第4部分:管理框架
基本参考模型
(idt ISO/IEC 7498-4 : 1989)
GB/T15695—1995
信息处理系统开放系统互连
主面向连接的表示服务定义
(idt ISO 8822: 1988)
国家质量技术监督局2000-01-03批准306
2000-08-01实施
GB/T 17965 -- 2000
GB/T16688—1996信息处理系统开放系统互连联系控制服务元素服务定义(idt ISO 8649:1988)
GB/T17176-1997信息技术开放系统互连应用层结构(idtISO/IEC9545:1994)ISO/IEC 10181-2:1996
信息技术开放系统的安全框架:鉴别框架ISO/IEC10181-3:1996
3定义
信息技术开放系统的安全框架:访问控制框架3.1本标准采用GB/T9387.1中定义的下列术语:a)抽象语法abstract syntax;b)应用实体application-entity;c)应用进程application-process; application-process-invocation;d)应用进程调用
e)应用协议控制信息application-protocol-control-information;f)应用协议数据单元application-protocol-data-unit;g)本地系统环境local system environment;h)(N)功能(N)-function;
i)(N)中继(N)-relay;
j)开放系统open system;
k)表示上下文 presentation context;1) 表示实体 presentation-entity;m)开放实系统 real open system;n)系统管理system-management;o)传送语法transfer syntax。3.2本标准采用GB/T9387.2中定义的下列术语:a)访问控制access control;
b)鉴别authentication;
c)机密性confidentiality;
d)数据完整性data integrity;e)数据原发鉴别data origin authentication;f) 解密 decipherment;
g)加密
encipherment;
h)密钥key;
i)抗抵赖non-repudiation;
j)公证notarization;
k)对等实体鉴别peer-entity authentication;1)安全审计security audit;
m)安全管理信息库Security Management Information Base;n)安全策略security policy;
o)选择字段保护selective field protection;p)签名signature;
g)流量机密性traffic flow confidentiality;r)可信功能trusted functionality。3.3本标准采用GB/T9738.4中定义的下列术语:307
5-2000
GB/T17965
a)管理信息Management Information;b) OSI 管理 OSI Managcmcnt。3.4本标准采用GB/T17176中定义的下列术语:a)应用联系application-association;b)应用上下文application-context;c)应用实体调用(AEI)application-entiiy-invocation(AED);d)应用服务元素(ASE)application-service-element(ASE);e)ASE 类型 ASE-typc;
f)应用服务客体(ASO)application-service-object(ASO);g) ASO 联系 AS(O-association;h)ASO上下文ASO-context;
i)AS调用ASO-invocation;
j) ASO 类型ASO-typc;
k)挖制功能(CF)control funetion(CF)。3.5本标准采用GB/T15695中定义的下列术语:丧示数据值 presentation data value。3.6本标准采用ISO/IEC10181-2中定义的下列术语:a)鉴别交换authentication exchange;b)声称鉴别信息claim authentication information;c)声称体claimant;
d)交换鉴别信息exchange authentication information;e)实体鉴别cntity authentication;f) 本体 principal:
g)验证鉴别信息verification authentication information;h)验证者verifier。
3.7本标准采用IS0/IEC10181-3中定义的下列术语:a)访问控制证书access control certificate;b)访问控制信息access control information。3.8本标准采用下列定义:
3.8.1联系安全状态association security state:与安全联系有关的安全状态。
3.8.2 保护表示上下文 protecting presentation context使保护传送语法和抽象语法联系在一起的表示上下文。3.8.3保护传送语法protecting transfer syntax以采用安全变换的编码/解码过程为基础的传送语法。3.8.4密封seal
支持完整性但不能避免接收者伪造的密码检验值(即不支持抗抵赖)。3.8.5安全联系securityassociation两个或多个实体间的一种关系。这些实体具有管理包含这些实体本身的安全服务的属性(状态信息和规则)。
3.8.6安全通信功能security communication function支持开放系统之间传送与安全有关的信息的功能。3.8.7 安全域 security domain308
组元素、项安全策略、
GB/T 17965-—2000
个安全机构和一组与安全有关的活动。在安全域中,对于特定的活动,该组元素受到安全策略约束,并由安全机构管理。3.8.8安全交换security exchange作为一个或多个安全机制的操作的一部分,开放系统之间应用协议控制信息的-一次传送或系列传送。
3.8-9 安全交换项security exchange item安全交换中,对应于单个传送(在一系列传送中)的信息的逻辑独特片断。3.8.10安全交换功能securityexchange function位十应用层的,为AE调用间通信安全信息提供方法的安全通信功能3.8.11 可靠交互规则 secure interaction rules为在安全域之间发生交互必需的公共规则。3.8.12安全状态security state开放系统中保持且为提供安全服务所要求的状态信息。3.8.13系统安全功能system security function开放系统进行有关安全处理的能力。3.8.14系统安伞客体system security object代表组有关系统安全功能的客体。3.8.15安全变换security transformation通信或存储期间,以特殊的方式组合起来在用户数据项上操作以保护这些数据项的组功能(系统安全功能和安全通信功能)。
注:系统安全功能和系统安全客体的规范不是OSI层服务定义或协议规定的…部分。4缩略语
本标准采用下列缩略语:
ACSE联系控制服务元素
AE应用实体
AEI应用实体调用
ASE应用服务元素
ASN.1抽象语法记法-
ASO应用服务客体
CF控制功能
FTAM文件传送、访问和管理
OSI开放系统互连
PE 表示实体
表示实体调用
表示数据值
安全交换项
SSO系统安全客体
5概念
本安全模型阐述了安全服务措施,以抵御GB/T9387.2--1995附录A中描述的那些与OSI高层有关的威胁。它包括保护通过应用中继系统的信息。5.1安全策略
GB/T 17965--2000
如果两个或多个开放实系统要安全地通信,它们必须遵循在各自安全域中有效的安全策略;如果通信发生在不同的安全域之间,还要遵循安全交互策略。安全交互策略体现不同安全域中安全策略的共同方面并决定它们之间发生通信的条件。组安全交互规则可以描述安全交互策略措施。这些规则还用于特殊通信实例的ASO)上下文(包括应用上下文)的选择。
5.2安全联系
安全联系是两个或多个实体间的关系,即管理包含这些实体安全服务的属性(状态信息和规则)。安全联系隐含着在两个系统中存在安全交互规则和保持一致的安全状态。从(SI高层的角度来看,安全联系可映射到ASO)联系。两种特殊的情形是:应用联系安全联系:两个系统之间的安全联系通过应用联系来支持被保护的通信。-中继安全联系:两个系统之间通过应用中继来支持被保护的通信的安全联系(如:在存储转发或链接应用中)。www.bzxz.net
不同类型安全联系的其他例子是:通过多个应用联系和/或多个无连接数据单元通信被此直接通信的两个系统之间的安全联系。一个将被保护的信息写入数据存储(如:文件存储或目录)的实体和读取此信息的所有实体之间的安全联系。
两个对等低层安全协议实体之间的安全联系。在应用进程内,一个安全联系可能依赖于保持另一个系统(例如:鉴别服务器或其他类型的可信任第三方)的另一个安全联系。
5.3安全状态
安全状态是开放实系统中保持且为安全服务措施所要求的状态信息。两个应用进程之间存在安全联系隐含存在共享的安全状态。试图建立通信之前,一个或多个应用进程里可能要求某些安全状态信息,通信进行时状态信息应予以保持,和/或通信结束后仍保留。这一状态信息的确切特性依赖特殊的安全机制和应用。
两种安全状态类型是:
a)系统安全状态:不考虑是否存在任何通信行为及其状态。在开放实系统中建立.和保持的与安全有关的状态信息;
b)联系安全状态:与安全联系有关的安全状态。在OSI的高层中,共享安全状态决定ASO调用之间的ASO上下文(的安全特性)和/或新建立的应用联系的初始安全状态。两种特殊的情形是:一当安全联系映射到单一应用联系时:安全状态代表“应用联系安全状态”。它与控制那一应用联系的通信安全有关。
当安全联系映射到通过应用中继系统在两个终端用户系统之间的信息传送的ASO联系时:共享安全状态与端用户系统之间使用的安全机制有关,而独立于与用应用中继系统建立的单个应用联系有关的安全机制。
安全状态的例子包括:
a)与密码链接或完整性恢复相关联的状态信息;b)允许交换信息的一组安全标记;c)高层中安全服务措施采用的密钥或密钥标识符。这可能包括已知可信的认证机构密钥(见GB/T16264.8)或使其能和密钥分发中心通信的密钥;d)前面已鉴别的身份;
e)顺序号和密码同步变量。
安全状态可以不同的方式初始化,例如;a)采用安全管理功能,这种情况下,安全信息驻留在安全管理信息库中;310
GB/T17965—2000
b)初始化层前面通信行为的残留信息;c)OSI之外的手段。
5.4应用层要求
:为了使应用进程安全通信,它们在采用的ASO)上下文(或应用上下文)中必须有适当的安全措施。ASO上下文定义可包括:
a)要求用来支持安全协议的ASO类型和/或ASE类型;b)协商和选择与应用和表示层有关的安全功能的规则;c)选择底层安全服务的规则;
d)将特殊安全服务用于特殊交换信息类别的规则:e)整个联系生存期间重新鉴别有关身份的规则;f)(如果采用基于密钥的机制)整个AS()联系生存期间改变密钥的规则;g)通信失败或检测出安全冲突时采取的规则。注:可参考ASO类型定义来定义ASO上下文。应用上下文是ASO上下文的特殊情形,它描述ASO上下文参与应用联系的两个ASO调用可能的一组通信行为。本条中描述的安全方面的内容适用于应用上下文。6体系结构
6.1总体模型
OSI安全服务措施包括根据特定安全机制的规程产生、交换和处理安全信息。包含的两个独特功能类型是:
a)系统安全功能:系统执行与安全有关的处理能力,这类处理如:加密/解密、数字签名或产生或处理在鉴别交换中运送的安全权标或证书。这些实现功能不是OSI层服务或协议的实现部分;b)安全通信功能:支持开放系统之间传送与安全有关的信息的功能。这种功能在OSI应用实体或表示实体中实现。安全通信功能的例子有:安全交换功能,如6.3中描述;
一制定用来传递加密或数字签名信息的表示层协议元素的编码/解码;与安全服务器(如:鉴别服务器或密钥分发中心)进行通信的协议。系统安全功能和安全通信功能之间有两方面重大差别。首先,它描述了标准的两种不同类型。系统安全功能在安全机制或安全技术标准中规定。这些标准常常制订为通用的且不必与任何特定通信协议和层关联。系统安全功能标准可能对非通信安全有用。另一方面,安全通信功能是特殊通信协议规范(如:OSI高层)的一部分且不必与特定安全机制或技术关联。另一重大差别是:它用模型来分开实现中的安全功能和通信功能。系统安全功能的集合将当作典型的可靠模型实现,如:作为可用的软件子系统或防干扰的硬件模块,易于用到各种通信或其他环境。因此,系统安全功能和安全通信功能之间的边界可为定义标准化的实现界面(如:安全应用程序界面(API))提供一个有力的开始点。在体系结构方面,引入了“系统安全客体”(SSO)的概念。一个SSO是一组有关的系统安全功能的客体。
SSO)能通过个抽象的服务边界(界面)和安全通信功能交互来提供要求的安全服务。SSO产生和处理在应用和表示层中用OSI协议交换的安全信息。交换的安全信息的逻辑结构可在SI中标准化,因此,它能在OSI协议交换中表出。-一个SSO调用是一个执行SSO实例。动态模型中,SSO调用可以和OSI实体调用(如:AE调用)交。
SSO的操作可包括:
GB/T 17965—2000
从代表SS()可发送和/或接收信息的OSI安全通信功能中接收信息或向它提供信息;导致和其他开放系统(如:第三方鉴别服务器)建立应用联系,并在SSO)系统安全功能的措施中使用此应用联系;
建立·个随后在安全服务中要使用的安全联系。注
1特殊系统安全功能、SSO或抽象服务边界等的规范不在本安全模型的范围内。2实现SSO)可用于非(SI安全的目的,然而,任这种应用都超过了本安全模型的范围。图1给出与应用和表示层有关的安全功能的基本模型。模型中的客体包括应用实体(AE)、表示实体(PE)、SSO和支持OSI服务(OSI第1~5层中)。支持(SI服务为交换与安全有关的(及非安全有关的)信息提供基本的通信基础结构。SSO-OSI
系统安
全客体
系统安全
安全通信
OSI高层
支持OSI服务
SI璃层
与OSI高层有关的安全功能
高层中的OSI层实体在安全服务措施中起如下作用:sso-ost
系统安
全客体
在应用层,各AE将应用进程通信方面模型化并且能按照ASE、ASO来精炼,还要控制GB/T17176中描述的功能。AE可含有安全通信功能措施的多个ASE和/或ASO。各ASE和/或ASO也可能过采用安全变换(见6.4)和/或要求来自下层的合适的服务质量对被保护信息加以排列。一在表示层,表示实体提供安全通信功能,这些功能可以和将抽象语法映射到传送语法(见6.4)中使用的系统安全功能(如:加密)一起工作。在会话层中不提供安全服务。然而,6.2.1指出了在OSI环境内可能对安全措施产生影响的会话层操作的某些方面。
上面的基本模型有利于OSI部件和SSO之间抽象服务边界的一般定义,并允许安排/使用各种信任方案(如:如ISO/IEC10181-2中规定的)。注3:图1所示的AE和PE之间的交互在6.4和8.1中讨论。6.2安全联系
高层中,安全联系要映射到ASO联系。本安全模型不为建立或终止安全联系规定特定的方法。通常,这种建立/终止可和标准化的ASO联系建立过程一起获得,或者通过其他方法获得。特殊的体系结构考患将用于5.2中所确定的两种特殊类型的安全联系。6.2.1应用联系安全联系
应用联系安全联系映射到一个应用联系。安全服务通过使用下列功能和服务来实现:a)应用层中的安全通信功能及相关的系统安全功能;b)表示层中的安全通信功能及相关的系统安全功能:c)低层提供的安全服务。
注1:正如GB/T9378.2中指出的,会话层中没有安全机制。然而.设计高层安全协议时要考虑会话层操作的两个方面:用可能引起数据不传送的会话服务的潜在影响(见8.2),和连续重用支持几个会话连接(见8.3)的运输312
连接。
GB/T179652000
某些情况下,可能要求组合应用层和表示层中及与系统安全功能相关的安全通信功能来提供安全服务。
应用上下文规定欲在应用联系中使用的安全服务和安全机制。个别或组合地使用与…个多个ASE和/或ASO有关的功能可提供这些安全服务。在联系建立期间,需按以下任方式或两种方式考虑应用联系的安全要求:a)通过使用安全服务来保护应用联系建立;b)通过选择包括合适安全服务的应用上下文。ACSE提供的服务用来建立应用联系和选择合适的应用上下文。所选择的应用上下文规则间包据与安全有关的规则。这些规则可能要求其他(在其他事情中)可能提供安全服务的ASE在联系建立时与ACSE-起操作。
注2:在表示层中的安全通信功能和有关的系统安全功能可用作应用联系建立规程的一部分。初始联系安全状态由应用联系建立规程决定。它可能依赖于系统安全状态和/或任何围绕安全联系的联系安全状态。应用上下文的规则可能允许或要求ASE之间进一一步的协议交换来改变这·联系安全状态。这些变化可能作为应用联系建立之后初始化进程的一部分和/或并入AE调用的正常操作的完整部分实现。
在安全联系生命期内,可允许修改某些种类的安全状态信息。(如:完整性顺序号),而其他种类的安全状态信息可能不允许修改(如:安全标签)。ACSE提供的服务用来终止应用联系。应用联系应用上下文的规则可要求可提供安全服务的其他ASE在应用联系终止时与ACSE-并操作。6.2.2中继安全联系
在存储和发送应用或链接应用等分布式应用中可能会出现中继安全联系。中继安全联系很可能和图2所示的应用联系安全联系一起出现。被保护的中继信息是通往中继安全联系各方(图2中的系统A和C)之间传递的信息。用SSOz1和z2中的系统安全功能来提供保护。被保护的中继信息嵌入在系统A和B之间的应用联系中传递的PDVs中,并且也嵌入在系统B和C之间的应用联系中传递的PDVs中。当被保护的中继信息在应用联系中传递时,它可受到进一步的保护,如:在系统A和B之间传递时,它将使用SSOxl和x2中的安全功能。当传递被保护的中继信息的PDV嵌入到另一个按应用联系安全联系保护的PDV中时,含出现这种情况。
应用中继系统可以不具有必要的参数(如:密码密钥)使开放系统中的表示实体解码/编码传递被保护中继信息的表示数据值。在这种类型的开放系统中。编码表示数据值可以保留以便随后传输。后面的传输限制在具有和收到的表示数据值相同的抽象和传送语法的表示上下文。因此,识别抽象语法和传送语法的信息必须和中继系统中的编码…-起保存。当中继系统具有解码中继信息必需的信息时上面的情形可能会出现变化。例如:它可能具有用来验证那信息上签名的公开密钥(如:支持数据原发鉴别)。然而,编码需要按上面的描述保存时,可能必须将签名的信息中继到另一个系统上。313
系统A
应用联系安全联系
中继安全联系
系统安全客体调用
GB/T 17965-
—2000
系统B
(应用中继)
图2应用中继情形
6.3安全交换功能
系统C
安全交换功能是一类应用层的安全通信功能,它为AE调用之间安全信息通信提供手段。安全交换功能产生和处理应用协议控制信息来支持这种信息的通信。这些功能由ASO或ASE提供。
这--功能的·个例子是如ISO/IEC10181-2中描述的对鉴别交换的通信支持,在这里,声称体AE调用处产生的一条交换鉴别信息被传递到验证AE调用处。6.3.1安全交换
安全交换使开放系统之间作为成为安全机制操作部分传送应用协议控制信息模型化。安全交换可能包括下面二者之一:a)一个开放系统和另个开放系统之间传输单条信息;例如:访问控制证书;
公开密钥证书;或
安全权标。
b)开放系统之间构成安全机制操作部分的全顺序中的信息传输顺序;例如:与2-向或3-向鉴别交换有关的信息传输;或双向会话密钥约定(如:Diffie-Hellman指数密钥交换\)。给不同类型的安全交换分配唯一的标识符以使在协议中指明它们的作用。6.3.2安全交换信息
安全交换信息是安全交换中开放系统间通信的信息。对应于单个传送(可能在传送顺序中)的安全交换信息的逻辑区别部分称为安全交换项(SEI)。为了数据定义目的,SEI可被分解成较小的元素。当没有为定义安全交换信息规定特定的抽象语法记法时,如果对该信息使用和其他抽象语法相同的记法,含有安全交换信息的完整抽象语法的结构将简化。ISO/IEC11586-1提供了与ASN.1记法…起使用的记法工具。
6.3.3安全交换功能
为给任意给定的ASO上下文的安全交换提供支持,必须在该ASO上下文中的某些ASE和/或ASO中加入安全交换功能。它包括:1)DIFFIE(W.),HELLMAN(M.):密码学的新方向,IEEE信息理论会刊IT-22卷,1976年第6号第644-645页,314
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。