GB/T 18794.1-2002
基本信息
标准号: GB/T 18794.1-2002
中文名称:信息技术 开放系统互连 开放系统安全框架 第1部分:概述
标准类别:国家标准(GB)
标准状态:现行
发布日期:2002-07-18
实施日期:2002-12-01
出版语种:简体中文
下载格式:.rar.pdf
下载大小:896084
标准分类号
标准ICS号:信息技术、办公机械设备>>开放系统互连(OSI)>>35.100.01开放系统互连(OSI)综合
中标分类号:电子元器件与信息技术>>信息处理技术>>L79计算机开放与系统互连
关联标准
采标情况:ISO/IEC 10181-1:1996
出版信息
出版社:中国标准出版社
书号:155066.1-19089
页数:平装16开, 页数:23, 字数:40千字
标准价格:14.0 元
出版日期:2002-12-01
相关单位信息
首发日期:2002-07-18
复审日期:2004-10-14
起草人:郑磊、张莺、周珍妮
起草单位:信息产业部电子第十五研究所
归口单位:全国信息技术标准化技术委员会
提出单位:中华人民共和国信息产业部
发布部门:中华人民共和国国家质量监督检验检疫总局
主管部门:国家标准化管理委员会
标准简介
安全框架涉及在开放系统环境中安全服务的应用,其中术语“开放系统”系指包括诸如数据库、分布式应用、ODP和OSI一类的领域。安全框架主要用来提供在系统内和系统间交互时对系统和客体的保护方法。安全框架不考虑用于构造系统或者机制的方法学。 GB/T 18794.1-2002 信息技术 开放系统互连 开放系统安全框架 第1部分:概述 GB/T18794.1-2002 标准下载解压密码:www.bzxz.net
标准图片预览
标准内容
1cs_35- 100. 01
中华人民共和国国家标准
CB/T 18794. 1:-2002
Idt 1S0/1EC 10181-1:1996
信息技术
开放系统互连
开放系统安全框架
第1部分:概述
Information technology-Open Systems Interconneetion--Security frameworks for open systems-Part 1:Overview2002 -07 -18 发布
中华人民共和国
国家质量监督检验检总局
2002-12-01实施
CB/T19794.12002
ISO/1FC前言
引用标准
术语利定义
缩略语
组织结构
公共概念
遇用安全肯息
通月安全没施
安全机制间的交瓦
拒绝服等和可用性
12其你带求
附崇A(提示的附染)
有关安全证书保扩机制的候子
附录H(提示的附求)参考致料
EKANKAca
GB/T18794.12002
本标准间果用国际标准[S0>/TE10181·1.1996信息技术:开放系统立连开放系统安全框果概述。
GB/T18794在4信费投术T放系统近连开放系统安金框案>总标翘下,目前包括以下川个部分:
第1部分(即GB/T18754.1).概选英2部分迎R!871.2:鉴别架
本标准的附录4、录[都是提示的附录。本标推由中华人民共和国信息产业市提出:车标准出中国电子技卡标准化研究所口本标准起学单位:信岛产业部电子策士五研究所本标准主多尼豆人:郑药、张莺、用妮GB.T18794-3-2002
ISO/IEC前言
S门(国际标准化矩织)和1EC(国际电工委员会》层世界性的标准化专门机构。国家成员体它们部是IS或E的成员国)通过国际组织生文的各个技术委员会参与制定计对特定技术范用的国际标准。TSO和TFC的务技术委员会在并同感兴趣的领内进行合作,与TS)和TF有联系的其他官方和非官为国殊组织也可参与因际标雅的划定工作。对于借息技.代.ISO和IEC辞立.了一个收合技术要员会,即ISO)/IECITC1:由联合技未委员会提出的国际标准草来需分发给尽家成易体进行表决。发布一顶国际标推,至少需要75乐的参与表决的国家成员体投票销成。
国际标准ISCEC1C19?-1无由1SO/IECJTCI\信息技术\联合技术委员会的以:21“开放系统可连.要据警测和开农分布式处到!\分按术委员会与1TU-T共向制定的.等同交本为X.810.ISO/IECI81在信息装术开效系统立连开效系胱要全框架》总标题下.日的包拆以下-E个帮分:
第1部分:概述
第2郝分,鉴别邦架
..第3郝分,访间整制框架
第4部分:抗抵额推案
第5部分,保密性架
一第6部分完整件架
第?部分:安全审计和告架
本标难的附录A和录B据供参考信息KAN KAa
HT18794.1—22
得多应用具有安全待求额也信息通后山退到的减成助。-些共认的或势及对代这些成助可以使用的安全服务机别在G/939/2中描述,本标推定文了开系统安全服新中的框紫1
1范围
中华人民共和国国家标准
信息技术开放系统互连
开放系统安全框架,第1部分:概述Infnrmaliou lechnnlogyfxen Systenis Interconnertion-Securlly Trmneuorks for open systens-- Parl 1:OverviewGB/T 18794.1—2002
idt1S0/1Ec101811:1996
交金相架收并升放案统环境中变合时的册已,其内语,开蔽系统“指包括诺妇数提库,分式应用O1P和0S类的领城:安全排剩主要用末提供在系统内环系统间交时对系统客体的保护方法。实全框架不号态用于构选累统或者机制的方法学。安会握架球及用变取品这安全服多质快用的数据元素和举作序列(但不是协设元率)。这皆安全服务可适用于系续的逆信实伴,也可以用丁系统间交换的效谢利山系统管理的数期。安会相架款供,进步标谁化前英班,别特定安个需求的通刀抽象服务接口提供了效性的术语和是交:安全握票还对能够用于实现这此需求的机制进行了分类一种安全服务经常农赖丁其起的安全服务,使侣安全的部分与其他的部分进行隔离很国准,安全拒架注必特定的安全服受,描还能整压丁提供这其安全累务的规制范带,来标压这些股务和机制间的相关系,这当机制的端述可能及对不同交卡服务的依赖关系:安全据架用此日式描述个安全眼务列·个安全服等的依赖关系
安全据架的木部分色括:
一安全的整体纪
定义率个安全证架中所高要出发全瓶念一描逆在非架的其他部分所标认的眼务和划制间的剂立关系2引用标准
下列标准所包含的条义·题在本标推中引用而均收步本标准的亲文,木标准题时、所不虑本均为有效所有标谨都会被计,使本杯谁的务方应探时性川下列标准最新版本的可性,GB87.1一1信息技术开放系统库本参号模型第1部分,本模型tidt IS/IEC 74ns 1:1)
G下08872—15S信息处理系统可表系统7连器本需考模型第2部分:安全件体系药将(d:150/IF 718-2:198)
3术语和定义
下列术语和尽义可月丁本概述或安全据架的其他部分,3.1本参考模或定义
本标准果用GBT936?.」中定文的下列术:(N)(N)-layer:
中华人民共和国国家质监督检验检盛总局2002N0728批准200212 01实旅
实体N
GB/T 18794. 1 2002
V办没数露元(Nprotocol-catawnit;应用进式applicatio:proccaa
实系统ealopesu
实系绝ualsyste
3.2安全林系站构定义
本标亚采用(B/T9387.2中定义的下列本语:访控制acess centrol
可下性aa:labiliry
密文riplrrlexl;
密码校验伯cryptographiccheckvalue;密decipherner
--服务ccaal of scrvier
-数了签名igiul sgmalm:e
寄:er
闪部或游insiderthrea1;
索新key:
密钢管理kcgen
明jlaimiex
外部脚uteider-hreal;
安审计serurity andi:
安全标等serityel;
安全攻策Nrmitprliry
敏感性sensitiviry
奥动threat;
3.3补充求义
本标准采用下列定义。
3.3.1非对称:密码德arymmeirecryatographicadguritbm在热行阳密或与之应的阐中用划渐和解案的钥是大可的算法。注:使平果与可你管码学法些文的样案或数宇整的一成要求用个以上的乱有。3. 3.?证t#certidicaron autt:triy创建声一类或多类家全相关数据的安全证节的可信实体(在安全收策上下文十)3.3.3条件可信实体nnlirirna.Jytrustedcntity在安全政策上下交中的可信实床,但共本能违制案全收策光被发现。3.3.2码编鞋rypragraphiethuiniag见上密码算去的,钟式,其宁山算法执行的安换快赖于前一过程的简人政推出的伯:3.3.5数字指纹digil fingrrprint激据项的行,请如您科校变效新礼行单向放列效的结果其定以代表教据贝均业行性·国按十有相同特性的另教据项在计节上层本可行节33.可区分识符distngishingidunier呢一标识一个实体的数韧:
3.3.7敬例函数skmr1nn
将一个(可能非节)大乱的值映射到较小范的值竹(教学)函数.?
3.3.8单向的效>rr-wymlian
GB/T18794.1-2002
一和易丁计算,但如果知道结果,个叫能通过计算惜出得到该结果的莅的(教学)函数3.3-9单前划明数ng-waybasafunctian,种既尺单向函数义是故到函效药数学)函数。3.3. 10松密相[nivate kuy
在非对你案码其法中使用的并且其拥有者是受限制(通窄只能书一十实体拥)的率朗,3.3.11公开密钥publickcy
在非对称密码算次中停用的并月可以被公并的密朝3.3.12搬消证节revncatian ercificate支明某个特定的案全还多已然撤消耐由某个安全机构额发的安全证书3.3.13消证书rlin-lis:cerifiral月丁认别个已撤销安全证书列表的安全订书3.3.14)3eal
一种支持东整件但不能房上户接女者伪造的你码疫晚值(即实不港实抗据精)。当对与一个数据元系相关账时,该数海元载被你为已被封印注:尽带过印身摄供指抵放,其共九抵赖机制可以快用封印变供的频性要务,叫川可第三方详护通位3.3.15秘密纳srekcy
用于对称案码算法的案制。秘密密朗的拥有者是受限制翁(通常仅取两个实体)。3.3.16安全音员sccuricydninistrator项走定义诚实施一部分或多部你安全收策的人员,3.3.17安机caurity autlioniry负质定实、实规实邮安全致策旧实3.3.18安全证3secl:iyrerificate由安全机对或可信第一办缺发的一组安企相关的数机式片十为这些数机书供实帖性和数源整则最务的安企尚息。
兰:有内证书实女全证D/233中的关定文,该证书术的用为了免与FF4.录剂准的术严冲资,
3.3.19安全il:3链ecuritycerificate chain·组有的安全证书床列、其十的第一个安全运书包會安全相关的信息·每一后续的安全让他含可刃来验证前一个安全证书的安全停息。3.3.20安全域r
正若下元素、一个安全收策、·个安企机构和一组安全柜义的活动构成拍案企·在儿中这我元我受控于活于某些其体活动的安企攻策·并日案个收策出安全成的安全机动所管圳!33-21安全城rtrydomninuhorit
负变实现安全域户安全收策的安全机构。3.3-22安全信息uilyirtalin
实现安全服务所需要的信息,
3.3.23夜全恢复security Tecovery与发现或快疑!:经发生索全当观附所采用的独作和执行的观程。.32安全交生规sceureiatorautiounir既定安余眼间交互的安全政策规则。3.3.25我全晚说见则serriynticyle在实系统中安全域的安全酸策的表示达,K-3
3-3.26安全校标tturilynken
GB/T18794.12002
在调信实体间被传送的,一个或多个安全虐务保书的纠激据以及提供那此安全务所使用的安全信息
3.3.27对码算送aymrutriecryproganlinalyorinhm在加诺或与之对血的解害中使用相司密钥进行如密和解密的算法3.3.28信任Irux1
当且议当实体依赖于实体Y以特定控扩式行事付,实体×被称为信实体的一组活动。3.3.29[信实述trustedenlity
假投执行了其不会热行的动作,残是术能够成功地放行能改其会执行的动作心违犯安全此策的实体。
可信第三trustedthire,party
就采些安全捐关的活动间在安会致策的上下文中)是可信美安全扩传或其代理。3.3-31无条件可倍实达ucninically:rualedcntity违犯安全政策而不费发现的可信实伴:4确略语
本标准定义了如下略语:
ACI访向举制信息(AcceaaCnntrolInformalion)(sT放系统互连OpenSyatemalntereannretian)ODn并放分布式处所(OnenDslrilulP:aeigS)安全信启(Seueriylnarrminr.)ITP可信带三力(TrusredThirdPar:y5记法
本标准所使同的层记法与4:9387.实义相:如果术语“股务“术做展·测指发全服务。如果术语\证书\末做限定,州安全证书。6组织结构
本安全非架是61/T18794系列标准的一部分这些安全据架在下面描述.其他的安全指架川能在将来说明,密钥管理机架是6. 1 第1部分,述
见第1,
6.2第2部分:笼别
本恒架据述了提供给并放系统的些别的所右方再,并捕述了鉴别汀其他安全功能如访问格制的关到的需求等内。
本柜架:
)定文鉴别内基本概念1
b)定可能的监乐利制类,
)定义用十这比禁别机类的最务)确定为支这些鉴别机制类的协的功能近求“)确定鉴别的通用曾理求。
GB/I 18794.12002
鉴别横案是位下提供账少,术酒和鉴别力法分类的鉴录标准的层改结构的量弹层,直接十其下的标准如/18(实体账别机制)提供「一套对这些方式更洋细的特案说,在层次结构的最低层如心11.6254,3(日录临别据架)等标准在具体应或需求的工下文中使用这些概忘利方法,些框架描述广晓别的模型,整别活动川被分类成的一哗阶段,可借第三方的快用、为必换别信息使用的鉴别证书,基」些阶投的通用监别服务,以提供这些通用监别限务的举少类整所机制。这其整别凯制包括防止整别信息过露的机制,在相同(和/或不同)检证者的防泄避和防再发保护机制.
6.3装3部分访向密
本据案描述开放系统宁拍全部访们控制(刘用户到进程,肖户到数新·进程到边我,进我到数期》,以及与其也安全功能如些和审计的关系和访问控制的各抑需求.:
a)室义防问控制的基本据念:
)举例说明用下支持一些公认的均间控制服务利机制的访问控制的基本方式;c)定义这些服受种相底的访而控制机副;d硫定为支持这些讨问控制脏务和机制的议的功整需求;确定火支热这些访问制脏务机制的营理需求:!述及访问控制股务和机制马其他安全服务和机判的交工。本安全拒类辅述访同控制的接型,相其中防间控制活动可以分类成前一些阶段基十这些价段的延用访问控制股务,以及这些通用访问控制吸务的系少二类访问控制机制:这出访问整制机制包括访向控制表、能力和标袋:www.bzxz.net
6.4筒4部分:抗抵赖
本柜更印化和扩充了GB/TS387.2中错述的抗据预服务的概念,井且提供了开发和提供这比服务的#举
本板架:
1)定义动抵顿的基本概念;
!定文酒用抵成!
硫定按供抗抵按股净的可能的机制:!:确定抗抵赖服务和机制的通用竺摄需求6.5第5部分:保案性
保击性求务的月的卡保护信息免于非授权的泄联。木批还及恢基、传送以放肾抑中的任息保件
本框类
)定义保密性的基平概念!
h拥实可能约议整性机制突:
)定文一奖保密件机制收设施
)确定为支为误性规制类的管理齿求:)让及保密性比到和H支学账务与其安会坚济和机制的拼互关系在安全证架中持还范禁注期程通过密耐效术的应用实到保密作:停州齐机架不依随于特定案码啦其他笋法的使用尽性菜新保案性机制美三能夜赖」特的法车质,5.E等1.部处:元悦代
数据木被以非授权的力式改变成龄内的性质最;孕完整准。本恒举述及信息恢复,传送和受理中的数据完整性.
公装:
KANKAca
&!定义完整性的放本概念!
b)定可能拍完性机制类
)益义每一类完整挥挑制的设施GB/T 18794.1—2002
d)确为支传完整生机制的营理需求)述完整性机制和支撑取务与其池安全版务机的扫大系拒描述的某此规程池过出码技术的应来实规完些:他用本据架不依频于楚密或其他算法的使用、尽管某种完整性制炎可能能题工情定的算法三必。个拒架理效的完整生是指数划的不变性、细不是数机敏认为所代表的负息的不变性。其他形式的不变性亦排除在外.
6.7第:部分:安全年和告营
变指契
)实安全审计相告普的基不概;h!按供会市计和告快的通用楼型()谢定安全中和告股务与其地变全报资职资系:止如实他安主服务一详、索金市量以能在二实索全收策的上下文中提共,要全政策格由表全域中的安全批吗定义,属丁本延常的标准所说别的机制应该能够支持务补的安全政策:6密钥管理
帮并埋带聚(17,1)与其他安企框架间的特沫关系在于具涉及到那准非直按号GB中确定的安全服务关的必差:邮货助能活用训整成数宁袋名适用的长候信总我术环境,
本柜架:
)确宝坚钢肾理的日的;
)端逆密钊管理机制基的还历模型!定义对」这人多部分标各部分公用的窖制营理的基木期d)完义害钊普理服务;
e)确定新钥管纪凯制的物征
f;现定密佣在其生行期内的营理求:描述密切在其生学期内的管理忙架。子公共按念
许多诺感被用于多个安会作深中,本研提定义这些概今以月了本系列标准其余能部分中。7.1安全信息
安全端息51)无实现案企监务所需安的信息,安全信息包治索今收策效则!
实现具体安企服务药信,如鉴别信息(A:和问控制信息(A1与案全机制相关书信息,如安全标等,密码校验值、安全等书和安全性标。多个安个恒架公共的类型在第8产中以论7.2安全域
安域是由单个安个机构为特定的与安全相关拍活动制完树安政策下的元求荣,安全或节活动也活来自了该安全域的,成可来」其他安公域的一个家总个元,活动包括:
对元案的间:
一N层产接的坐或他月;
·与具体管理功能相关的操作
一他含公证的扰抵概操作,
GB/I 18794.1—2002
活动可以是安全关的,邮便它现弃不尽能够懂制实旅有关其使用的任意收策的乱制的主体。持则起,不舶防止发生在作查元其纠的活动能够是与安全相关的,并卫将来可以变成为整制机制的土体。并放系统坏统中安全赋元索的例于包括逆料元案和物理元末·如实开放系统,月进程,V!实体(V)协议数据单元,中继以及人类用户的实开放系统等,存在安全域中闪人类用户必须与其地元求区分开的某些情形。这类捐况下,为区分非人类示素,将使用术谱“教据客体”。7.2.1安全政策和安全政策规则
安企政策以通用术语表达广安全域的案全需求,刚如,安全收第可以确定库用十在具体环境下操作的安全域中所有成的需求,成应用于安全破中所有倍点的需求。安全政策的实现物导效满是这此安企收装的安全眠务被确定,并月将会选择千发企机制以便实现这些安全服务。选挥展些安全机制的决策受到所预见的成胁和所保护的资源价值的影响,安全改策一般越描述成类似自然语言中的著意所。这些承则巨喉了特定组织变安全城成最的变全需求,车这些安全需求被反晚在实元放承统之前.安全致策必纵被细化以融能从中推导出一组安上策,作为安全政策规则解群这些需求见一项工程活动,安全政策通过充许使用某种行动或蔡止特定行为来限制述背该案会政策的元禁的行为,安全收策还可以给于元索参与特偿活动的许可,这是·个较色含年G1/19337.2的全收策更义的安全政策解释,GB/938.2中的安全政策只与91有关,符定安全服务柜关的安全政策将在那些服务的安全椎架中法论。安全域的安全政策现则位活两种类取,即在安全城之内循动的发全政策舰别和发全域之间后动的安全政策项则。后类型的安全政策规则被栋之为安全的义互规州,安全策还以以定义邮当规则应用于与良他断有些企增的关系哪业规刚应出十与特定安全减的关系,安全版的安全收策规则必刻在系统变化或这此活动和安全域的安全改策被燃改时仍保持有效:注,安全拒架不涉及安全收此策的下列方而:建立效准护安会政策·方术身;或地护安兰收的过程!
——安全政第的内弃
一会定安金放策别受全减内提程,7.2.2安企域机构
安全城机构界负资实规安全域的安会较策的安全机构。安全感机构
一可以是-一个复合实体这种实体必须后时标源的;一取决于安全域可能遵守的任何安全喊策可以委保安现达个安全政策的责任给一个或多个须体
-—其有次安企域中元事的权成
注:为果安全域权感已经内定不加任何的束交全收策可以为空,如果两个安全域机均是教约宋而协凋其安全致策,则他门敏称为无相互链接。了.2.3安全减同相互关系
安全城概念之所以被认为垂费推上两个原四则一一它可以被用来描选安全如何被皆理和实施一一·它可用作为构造包含在不同安全机内的元事的与安全相关活动的快型的件,安全娱可以以一和成多种为式制关,达果讨论一些可偿的联累。安全域的义系必须被反映企由其安全矶码前定的安全域的支全政策中。这些关系以这些安域的元素和据动的方战被说明并且被尽决在每一个相关的势企域的安全交互规则中,荣些持殊的安全感的差系在本杀的刺余部分描述,许多
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国国家标准
CB/T 18794. 1:-2002
Idt 1S0/1EC 10181-1:1996
信息技术
开放系统互连
开放系统安全框架
第1部分:概述
Information technology-Open Systems Interconneetion--Security frameworks for open systems-Part 1:Overview2002 -07 -18 发布
中华人民共和国
国家质量监督检验检总局
2002-12-01实施
CB/T19794.12002
ISO/1FC前言
引用标准
术语利定义
缩略语
组织结构
公共概念
遇用安全肯息
通月安全没施
安全机制间的交瓦
拒绝服等和可用性
12其你带求
附崇A(提示的附染)
有关安全证书保扩机制的候子
附录H(提示的附求)参考致料
EKANKAca
GB/T18794.12002
本标准间果用国际标准[S0>/TE10181·1.1996信息技术:开放系统立连开放系统安全框果概述。
GB/T18794在4信费投术T放系统近连开放系统安金框案>总标翘下,目前包括以下川个部分:
第1部分(即GB/T18754.1).概选英2部分迎R!871.2:鉴别架
本标准的附录4、录[都是提示的附录。本标推由中华人民共和国信息产业市提出:车标准出中国电子技卡标准化研究所口本标准起学单位:信岛产业部电子策士五研究所本标准主多尼豆人:郑药、张莺、用妮GB.T18794-3-2002
ISO/IEC前言
S门(国际标准化矩织)和1EC(国际电工委员会》层世界性的标准化专门机构。国家成员体它们部是IS或E的成员国)通过国际组织生文的各个技术委员会参与制定计对特定技术范用的国际标准。TSO和TFC的务技术委员会在并同感兴趣的领内进行合作,与TS)和TF有联系的其他官方和非官为国殊组织也可参与因际标雅的划定工作。对于借息技.代.ISO和IEC辞立.了一个收合技术要员会,即ISO)/IECITC1:由联合技未委员会提出的国际标准草来需分发给尽家成易体进行表决。发布一顶国际标推,至少需要75乐的参与表决的国家成员体投票销成。
国际标准ISCEC1C19?-1无由1SO/IECJTCI\信息技术\联合技术委员会的以:21“开放系统可连.要据警测和开农分布式处到!\分按术委员会与1TU-T共向制定的.等同交本为X.810.ISO/IECI81在信息装术开效系统立连开效系胱要全框架》总标题下.日的包拆以下-E个帮分:
第1部分:概述
第2郝分,鉴别邦架
..第3郝分,访间整制框架
第4部分:抗抵额推案
第5部分,保密性架
一第6部分完整件架
第?部分:安全审计和告架
本标难的附录A和录B据供参考信息KAN KAa
HT18794.1—22
得多应用具有安全待求额也信息通后山退到的减成助。-些共认的或势及对代这些成助可以使用的安全服务机别在G/939/2中描述,本标推定文了开系统安全服新中的框紫1
1范围
中华人民共和国国家标准
信息技术开放系统互连
开放系统安全框架,第1部分:概述Infnrmaliou lechnnlogyfxen Systenis Interconnertion-Securlly Trmneuorks for open systens-- Parl 1:OverviewGB/T 18794.1—2002
idt1S0/1Ec101811:1996
交金相架收并升放案统环境中变合时的册已,其内语,开蔽系统“指包括诺妇数提库,分式应用O1P和0S类的领城:安全排剩主要用末提供在系统内环系统间交时对系统客体的保护方法。实全框架不号态用于构选累统或者机制的方法学。安会握架球及用变取品这安全服多质快用的数据元素和举作序列(但不是协设元率)。这皆安全服务可适用于系续的逆信实伴,也可以用丁系统间交换的效谢利山系统管理的数期。安会相架款供,进步标谁化前英班,别特定安个需求的通刀抽象服务接口提供了效性的术语和是交:安全握票还对能够用于实现这此需求的机制进行了分类一种安全服务经常农赖丁其起的安全服务,使侣安全的部分与其他的部分进行隔离很国准,安全拒架注必特定的安全服受,描还能整压丁提供这其安全累务的规制范带,来标压这些股务和机制间的相关系,这当机制的端述可能及对不同交卡服务的依赖关系:安全据架用此日式描述个安全眼务列·个安全服等的依赖关系
安全据架的木部分色括:
一安全的整体纪
定义率个安全证架中所高要出发全瓶念一描逆在非架的其他部分所标认的眼务和划制间的剂立关系2引用标准
下列标准所包含的条义·题在本标推中引用而均收步本标准的亲文,木标准题时、所不虑本均为有效所有标谨都会被计,使本杯谁的务方应探时性川下列标准最新版本的可性,GB87.1一1信息技术开放系统库本参号模型第1部分,本模型tidt IS/IEC 74ns 1:1)
G下08872—15S信息处理系统可表系统7连器本需考模型第2部分:安全件体系药将(d:150/IF 718-2:198)
3术语和定义
下列术语和尽义可月丁本概述或安全据架的其他部分,3.1本参考模或定义
本标准果用GBT936?.」中定文的下列术:(N)(N)-layer:
中华人民共和国国家质监督检验检盛总局2002N0728批准200212 01实旅
实体N
GB/T 18794. 1 2002
V办没数露元(Nprotocol-catawnit;应用进式applicatio:proccaa
实系统ealopesu
实系绝ualsyste
3.2安全林系站构定义
本标亚采用(B/T9387.2中定义的下列本语:访控制acess centrol
可下性aa:labiliry
密文riplrrlexl;
密码校验伯cryptographiccheckvalue;密decipherner
--服务ccaal of scrvier
-数了签名igiul sgmalm:e
寄:er
闪部或游insiderthrea1;
索新key:
密钢管理kcgen
明jlaimiex
外部脚uteider-hreal;
安审计serurity andi:
安全标等serityel;
安全攻策Nrmitprliry
敏感性sensitiviry
奥动threat;
3.3补充求义
本标准采用下列定义。
3.3.1非对称:密码德arymmeirecryatographicadguritbm在热行阳密或与之应的阐中用划渐和解案的钥是大可的算法。注:使平果与可你管码学法些文的样案或数宇整的一成要求用个以上的乱有。3. 3.?证t#certidicaron autt:triy创建声一类或多类家全相关数据的安全证节的可信实体(在安全收策上下文十)3.3.3条件可信实体nnlirirna.Jytrustedcntity在安全政策上下交中的可信实床,但共本能违制案全收策光被发现。3.3.2码编鞋rypragraphiethuiniag见上密码算去的,钟式,其宁山算法执行的安换快赖于前一过程的简人政推出的伯:3.3.5数字指纹digil fingrrprint激据项的行,请如您科校变效新礼行单向放列效的结果其定以代表教据贝均业行性·国按十有相同特性的另教据项在计节上层本可行节33.可区分识符distngishingidunier呢一标识一个实体的数韧:
3.3.7敬例函数skmr1nn
将一个(可能非节)大乱的值映射到较小范的值竹(教学)函数.?
3.3.8单向的效>rr-wymlian
GB/T18794.1-2002
一和易丁计算,但如果知道结果,个叫能通过计算惜出得到该结果的莅的(教学)函数3.3-9单前划明数ng-waybasafunctian,种既尺单向函数义是故到函效药数学)函数。3.3. 10松密相[nivate kuy
在非对你案码其法中使用的并且其拥有者是受限制(通窄只能书一十实体拥)的率朗,3.3.11公开密钥publickcy
在非对称密码算次中停用的并月可以被公并的密朝3.3.12搬消证节revncatian ercificate支明某个特定的案全还多已然撤消耐由某个安全机构额发的安全证书3.3.13消证书rlin-lis:cerifiral月丁认别个已撤销安全证书列表的安全订书3.3.14)3eal
一种支持东整件但不能房上户接女者伪造的你码疫晚值(即实不港实抗据精)。当对与一个数据元系相关账时,该数海元载被你为已被封印注:尽带过印身摄供指抵放,其共九抵赖机制可以快用封印变供的频性要务,叫川可第三方详护通位3.3.15秘密纳srekcy
用于对称案码算法的案制。秘密密朗的拥有者是受限制翁(通常仅取两个实体)。3.3.16安全音员sccuricydninistrator项走定义诚实施一部分或多部你安全收策的人员,3.3.17安机caurity autlioniry负质定实、实规实邮安全致策旧实3.3.18安全证3secl:iyrerificate由安全机对或可信第一办缺发的一组安企相关的数机式片十为这些数机书供实帖性和数源整则最务的安企尚息。
兰:有内证书实女全证D/233中的关定文,该证书术的用为了免与FF4.录剂准的术严冲资,
3.3.19安全il:3链ecuritycerificate chain·组有的安全证书床列、其十的第一个安全运书包會安全相关的信息·每一后续的安全让他含可刃来验证前一个安全证书的安全停息。3.3.20安全域r
正若下元素、一个安全收策、·个安企机构和一组安全柜义的活动构成拍案企·在儿中这我元我受控于活于某些其体活动的安企攻策·并日案个收策出安全成的安全机动所管圳!33-21安全城rtrydomninuhorit
负变实现安全域户安全收策的安全机构。3.3-22安全信息uilyirtalin
实现安全服务所需要的信息,
3.3.23夜全恢复security Tecovery与发现或快疑!:经发生索全当观附所采用的独作和执行的观程。.32安全交生规sceureiatorautiounir既定安余眼间交互的安全政策规则。3.3.25我全晚说见则serriynticyle在实系统中安全域的安全酸策的表示达,K-3
3-3.26安全校标tturilynken
GB/T18794.12002
在调信实体间被传送的,一个或多个安全虐务保书的纠激据以及提供那此安全务所使用的安全信息
3.3.27对码算送aymrutriecryproganlinalyorinhm在加诺或与之对血的解害中使用相司密钥进行如密和解密的算法3.3.28信任Irux1
当且议当实体依赖于实体Y以特定控扩式行事付,实体×被称为信实体的一组活动。3.3.29[信实述trustedenlity
假投执行了其不会热行的动作,残是术能够成功地放行能改其会执行的动作心违犯安全此策的实体。
可信第三trustedthire,party
就采些安全捐关的活动间在安会致策的上下文中)是可信美安全扩传或其代理。3.3-31无条件可倍实达ucninically:rualedcntity违犯安全政策而不费发现的可信实伴:4确略语
本标准定义了如下略语:
ACI访向举制信息(AcceaaCnntrolInformalion)(sT放系统互连OpenSyatemalntereannretian)ODn并放分布式处所(OnenDslrilulP:aeigS)安全信启(Seueriylnarrminr.)ITP可信带三力(TrusredThirdPar:y5记法
本标准所使同的层记法与4:9387.实义相:如果术语“股务“术做展·测指发全服务。如果术语\证书\末做限定,州安全证书。6组织结构
本安全非架是61/T18794系列标准的一部分这些安全据架在下面描述.其他的安全指架川能在将来说明,密钥管理机架是6. 1 第1部分,述
见第1,
6.2第2部分:笼别
本恒架据述了提供给并放系统的些别的所右方再,并捕述了鉴别汀其他安全功能如访问格制的关到的需求等内。
本柜架:
)定文鉴别内基本概念1
b)定可能的监乐利制类,
)定义用十这比禁别机类的最务)确定为支这些鉴别机制类的协的功能近求“)确定鉴别的通用曾理求。
GB/I 18794.12002
鉴别横案是位下提供账少,术酒和鉴别力法分类的鉴录标准的层改结构的量弹层,直接十其下的标准如/18(实体账别机制)提供「一套对这些方式更洋细的特案说,在层次结构的最低层如心11.6254,3(日录临别据架)等标准在具体应或需求的工下文中使用这些概忘利方法,些框架描述广晓别的模型,整别活动川被分类成的一哗阶段,可借第三方的快用、为必换别信息使用的鉴别证书,基」些阶投的通用监别服务,以提供这些通用监别限务的举少类整所机制。这其整别凯制包括防止整别信息过露的机制,在相同(和/或不同)检证者的防泄避和防再发保护机制.
6.3装3部分访向密
本据案描述开放系统宁拍全部访们控制(刘用户到进程,肖户到数新·进程到边我,进我到数期》,以及与其也安全功能如些和审计的关系和访问控制的各抑需求.:
a)室义防问控制的基本据念:
)举例说明用下支持一些公认的均间控制服务利机制的访问控制的基本方式;c)定义这些服受种相底的访而控制机副;d硫定为支持这些讨问控制脏务和机制的议的功整需求;确定火支热这些访问制脏务机制的营理需求:!述及访问控制股务和机制马其他安全服务和机判的交工。本安全拒类辅述访同控制的接型,相其中防间控制活动可以分类成前一些阶段基十这些价段的延用访问控制股务,以及这些通用访问控制吸务的系少二类访问控制机制:这出访问整制机制包括访向控制表、能力和标袋:www.bzxz.net
6.4筒4部分:抗抵赖
本柜更印化和扩充了GB/TS387.2中错述的抗据预服务的概念,井且提供了开发和提供这比服务的#举
本板架:
1)定义动抵顿的基本概念;
!定文酒用抵成!
硫定按供抗抵按股净的可能的机制:!:确定抗抵赖服务和机制的通用竺摄需求6.5第5部分:保案性
保击性求务的月的卡保护信息免于非授权的泄联。木批还及恢基、传送以放肾抑中的任息保件
本框类
)定义保密性的基平概念!
h拥实可能约议整性机制突:
)定文一奖保密件机制收设施
)确定为支为误性规制类的管理齿求:)让及保密性比到和H支学账务与其安会坚济和机制的拼互关系在安全证架中持还范禁注期程通过密耐效术的应用实到保密作:停州齐机架不依随于特定案码啦其他笋法的使用尽性菜新保案性机制美三能夜赖」特的法车质,5.E等1.部处:元悦代
数据木被以非授权的力式改变成龄内的性质最;孕完整准。本恒举述及信息恢复,传送和受理中的数据完整性.
公装:
KANKAca
&!定义完整性的放本概念!
b)定可能拍完性机制类
)益义每一类完整挥挑制的设施GB/T 18794.1—2002
d)确为支传完整生机制的营理需求)述完整性机制和支撑取务与其池安全版务机的扫大系拒描述的某此规程池过出码技术的应来实规完些:他用本据架不依频于楚密或其他算法的使用、尽管某种完整性制炎可能能题工情定的算法三必。个拒架理效的完整生是指数划的不变性、细不是数机敏认为所代表的负息的不变性。其他形式的不变性亦排除在外.
6.7第:部分:安全年和告营
变指契
)实安全审计相告普的基不概;h!按供会市计和告快的通用楼型()谢定安全中和告股务与其地变全报资职资系:止如实他安主服务一详、索金市量以能在二实索全收策的上下文中提共,要全政策格由表全域中的安全批吗定义,属丁本延常的标准所说别的机制应该能够支持务补的安全政策:6密钥管理
帮并埋带聚(17,1)与其他安企框架间的特沫关系在于具涉及到那准非直按号GB中确定的安全服务关的必差:邮货助能活用训整成数宁袋名适用的长候信总我术环境,
本柜架:
)确宝坚钢肾理的日的;
)端逆密钊管理机制基的还历模型!定义对」这人多部分标各部分公用的窖制营理的基木期d)完义害钊普理服务;
e)确定新钥管纪凯制的物征
f;现定密佣在其生行期内的营理求:描述密切在其生学期内的管理忙架。子公共按念
许多诺感被用于多个安会作深中,本研提定义这些概今以月了本系列标准其余能部分中。7.1安全信息
安全端息51)无实现案企监务所需安的信息,安全信息包治索今收策效则!
实现具体安企服务药信,如鉴别信息(A:和问控制信息(A1与案全机制相关书信息,如安全标等,密码校验值、安全等书和安全性标。多个安个恒架公共的类型在第8产中以论7.2安全域
安域是由单个安个机构为特定的与安全相关拍活动制完树安政策下的元求荣,安全或节活动也活来自了该安全域的,成可来」其他安公域的一个家总个元,活动包括:
对元案的间:
一N层产接的坐或他月;
·与具体管理功能相关的操作
一他含公证的扰抵概操作,
GB/I 18794.1—2002
活动可以是安全关的,邮便它现弃不尽能够懂制实旅有关其使用的任意收策的乱制的主体。持则起,不舶防止发生在作查元其纠的活动能够是与安全相关的,并卫将来可以变成为整制机制的土体。并放系统坏统中安全赋元索的例于包括逆料元案和物理元末·如实开放系统,月进程,V!实体(V)协议数据单元,中继以及人类用户的实开放系统等,存在安全域中闪人类用户必须与其地元求区分开的某些情形。这类捐况下,为区分非人类示素,将使用术谱“教据客体”。7.2.1安全政策和安全政策规则
安企政策以通用术语表达广安全域的案全需求,刚如,安全收第可以确定库用十在具体环境下操作的安全域中所有成的需求,成应用于安全破中所有倍点的需求。安全政策的实现物导效满是这此安企收装的安全眠务被确定,并月将会选择千发企机制以便实现这些安全服务。选挥展些安全机制的决策受到所预见的成胁和所保护的资源价值的影响,安全改策一般越描述成类似自然语言中的著意所。这些承则巨喉了特定组织变安全城成最的变全需求,车这些安全需求被反晚在实元放承统之前.安全致策必纵被细化以融能从中推导出一组安上策,作为安全政策规则解群这些需求见一项工程活动,安全政策通过充许使用某种行动或蔡止特定行为来限制述背该案会政策的元禁的行为,安全收策还可以给于元索参与特偿活动的许可,这是·个较色含年G1/19337.2的全收策更义的安全政策解释,GB/938.2中的安全政策只与91有关,符定安全服务柜关的安全政策将在那些服务的安全椎架中法论。安全域的安全政策现则位活两种类取,即在安全城之内循动的发全政策舰别和发全域之间后动的安全政策项则。后类型的安全政策规则被栋之为安全的义互规州,安全策还以以定义邮当规则应用于与良他断有些企增的关系哪业规刚应出十与特定安全减的关系,安全版的安全收策规则必刻在系统变化或这此活动和安全域的安全改策被燃改时仍保持有效:注,安全拒架不涉及安全收此策的下列方而:建立效准护安会政策·方术身;或地护安兰收的过程!
——安全政第的内弃
一会定安金放策别受全减内提程,7.2.2安企域机构
安全城机构界负资实规安全域的安会较策的安全机构。安全感机构
一可以是-一个复合实体这种实体必须后时标源的;一取决于安全域可能遵守的任何安全喊策可以委保安现达个安全政策的责任给一个或多个须体
-—其有次安企域中元事的权成
注:为果安全域权感已经内定不加任何的束交全收策可以为空,如果两个安全域机均是教约宋而协凋其安全致策,则他门敏称为无相互链接。了.2.3安全减同相互关系
安全城概念之所以被认为垂费推上两个原四则一一它可以被用来描选安全如何被皆理和实施一一·它可用作为构造包含在不同安全机内的元事的与安全相关活动的快型的件,安全娱可以以一和成多种为式制关,达果讨论一些可偿的联累。安全域的义系必须被反映企由其安全矶码前定的安全域的支全政策中。这些关系以这些安域的元素和据动的方战被说明并且被尽决在每一个相关的势企域的安全交互规则中,荣些持殊的安全感的差系在本杀的刺余部分描述,许多
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。