GB/T 18794.6-2003
基本信息
标准号: GB/T 18794.6-2003
中文名称:信息技术 开放系统互连 开放系统安全框架 第6部分:完整性框架
标准类别:国家标准(GB)
标准状态:现行
发布日期:2003-11-24
实施日期:2004-08-01
出版语种:简体中文
下载格式:.rar.pdf
下载大小:637330
标准分类号
标准ICS号:信息技术、办公机械设备>>开放系统互连(OSI)>>35.100.01开放系统互连(OSI)综合
中标分类号:电子元器件与信息技术>>信息处理技术>>L79计算机开放与系统互连
关联标准
采标情况:ISO/IEC 10181-6:1996
出版信息
出版社:中国标准出版社
书号:155066.1-20586
页数:16开, 页数:19, 字数:36千字
标准价格:14.0 元
出版日期:2004-08-01
相关单位信息
首发日期:2003-11-24
复审日期:2004-10-14
起草人:罗万伯、罗建中、赵泽良、戴宗坤、崔玉华、陈一民、祝世雄
起草单位:四川大学信息安全研究所
归口单位:全国信息技术标准化技术委员会
提出单位:中华人民共和国信息产业部
发布部门:中华人民共和国国家质量监督检验检疫总局
主管部门:国家标准化管理委员会
标准简介
本部分为GB/T18794的第6部分,等同采用国际标准ISO/IEC10181-6:1996《信息技术开放系统互连开放系统安全框架:完整性框架》(英文版)。 GB/T 18794.6-2003 信息技术 开放系统互连 开放系统安全框架 第6部分:完整性框架 GB/T18794.6-2003 标准下载解压密码:www.bzxz.net
标准图片预览
标准内容
GB/T18794.6—2003/ISO/IEC10181-6:1996前言
GH/T二B794信息技术开被系统.连并敬系统安全相架3前包据以下几个部分:第1部分即/7:187.11:概述
--第2部分(即GB/T9791.2):鉴别握—第3部分(即(H/3794.3):访向控制架第4带分(即GH/T18794.4),航抵预框架第5部分(即GIT18791.5):机寄推架第6部分(即GBT13794.6>完整性框架一第7部分(即/T13794.7):安全审计和报替抵架本部分为信R/18734的第6都分,等同采月国际标赠1S0/上10181-6:1995信息技术元改系乾五连开系统安全拆架:完剪性架(装文版)。找照GB/T1.1230的见定,对IS0/TEC10R1件了下列辆性收:增了我的\前言\,
1)“本标准\词改为\GB/工18794的本部分\或\血部分\:c)对\现范性可用文件,章的语接(H/112100的要衣进行了整改)册除“规范性州文件\一章中未被本郭分引用的标准在引用的标准中,凡已制定了没用标满的务项标准,均用我国相应标准溯代替。对“就范性引用文件”一章中约标准,按黑GB/T」,[一2390的规定重勃进行抹序:米部分的附录A至附录C帮层资料性附录:本部分出中作人民共和国信息产业部提出本部分由中国电子批术标准化研究所归。本部分总草羊位:匹川大学信息安全研究所、本分工要起草人:罗万作、要建中,必泽良、散宗坤、集平华、陈一民、祝世姓GH/T18794.6—2003/ISO/LKC10181-6;1996引
iKAoNiKAca=
许多效系统应用都有依赖小敏据完整性的安全需求。这样的需求叫包括效谢的保护,这些数据在援供其他安全服务如整别、访问挖制,机密性,库支抗抵项时快历,好果攻击者整格改这些数据,则能使这些脏务的效力障抵或无效。数据没有以未设权的方式修改或破坏的这一最性称为完整性。公部分定义一个提供完整性最等前通用性拖渠:
1范围
CBT18794.E—2003/1S0/FC10181-6:1396倍息技术开放系统互连
开放系统安全框架
第6部分:完整性框架
本开放系统案全却架的标准论盗在并政系统计境中安企腔务的造用.此处本说“并放系统\包抵销如凝据库,分币式应用,大放分布式处写知开改系统互连这详一此领域。安全柜架涉点定义对系统和系统内的对象提供保护的方法,以及系统询的交互,交安全架不龄改均难系统或机制的方法学。安全框架论述数据元索和操作的序列(雨不是初议元索)这两者可献用来状将特定的安全服务,这当安全谢务可应用于系绕正在通偏的实体,要统问交换的数期.以改承统雪理的数新。本部分西述了信息检案、传巡及管垂中数据的完忙:二)足义教始完整性判基本瓶念2识品可能约完性机制分类;
3识劳每一类完整性机制的设施;4!识另支热完整比机制才类所需的管理:5)函逆完整性机制和支持服务与其他安余务和机制的交互..有许多不同美型的标非可使用产拖架,包活:)体现完整性概念的杯准;
2)规定含有完整性的抽象服务书标准:3)划定使完整联务的标准;
1)规定代开效系统体系结构可提供完整性股务力法的标业5)定完整性桃制的标准。
这些标准可要下述本式使用本据果:标准类雅122),多>,4及51菲使用本性势的术语一:标准券型2,3),1及谨使用第7否所识别的设施:标准楚型5能寸本框果第。查家义的挑制类别实安企框架中推还的一些现程通主虑用密码技术裁得完整性,这个框架净不依频于使用特定的密再算法或其他算达,回然某此类别能完整性机制可能赖持定筛法的特性,经:函马费么及英张记忆量底书合我国有关好定、木部分论还的完整性是通过数期值的不变性求定义的。(数期值不逆性)选一概念包命所有的实,这些实例巾一个数值的不同衣常该认为是等价的[例如同一值的不同的A1.端码!:我此排院其地肾式的不变仆
木部分中术许数据的使用包括数据结构的一类型!诺刻数据集会或汇案,数据序列,文件系统和据连)
本框架制述给理些始认为叫被落在效击者孕话问的效据供完整性。因此.它有重于通选密码和非整码的机制据供实整车,并非专依赖干控制访问,2规范性引用文性
下述女件中的杀款道过(%/T1%794的木部分的引用前成为本帮分的系款,凡是注月期的引用文性,共的所有的停改单(不包括期温的内穿)或情改版与不造用十术部分,然血,效动据本部分达版CB/T18794.6—2003/ISO/IEC10181-6;1996-TTKAONLKACa
协议的各方研究是否寸使月这些文件的虽新版本,儿是不注日期的用文准,其尽新版本适月于否部分
R/J387.—信息投术改系统车H本参考模E算部公H本模(t[SO:1C 7498 1:1994)
GI3/T9887.2-1S95信总处理票统开放录统五注基本参考模型第2部分:零全体系结构(l: TS0 749H-2:19/9)
GB/T1350-·199信息处理系统开放互连面向连按的运输协议规范(idIIS心B)73:186)
(5/T17D3--2CC5信息技术开放系练连网第层安全协议(EtISO/FC11577:1D5C比/T18794.12002信急装术光政系绕马谱开效系统安全机架第?部开:格逆(ict5(/10181-1:1995)
G/T18794.2—202信息装术
开收系统立过开改系统安企框架第2分:整附恒
(t0/1181-2.1996)
IS/,1管息教系统间证疫通信和信息交换运输层安全协放3术语和定文
下列术诺和实义适用于GB/T187创1的本部办,3.1基本参者模型术语
GB/US6.1确章的下列术语和定义适用于GB/T_974的本部分。a)
()连接
(N)connerriomi
(N)实体
Ns-facility
(N)设商
(Ni星(n)yhr?
(>)服务数格单元
(N)-SDL:
(N) seres
g)(N:用户效(N)usw da...
3.2安全体系结构术语
G/387.2确的下语和定义适用」G19的部分。)请可控制:
接端华性canrcetionintegriry
整据完整daaatugriys
解密dccipheraetit;
解密处理derrypion
数宇签名ligil sikmr:
a密anejpiernert:
出crcryption
苯」身份的宽会策降ideniiyhaaeasecuritypalicsj完整生iateg-ity;
钥eyi
路山选祥控制-meint-al;
于规则的安会策略路Tu.c-baaedsznuitypulicy。2
GB/T18794.6-2003/IS0/TEC101Bt-6:1996计:的没有其他说明时,137的去部分中的遇\完兼性\费指数品完格作,3.3安全框渠概选术语
GB/T13791.1确立的下列术语定义适用于B/T13794的交部分a)数宇指纹lieiulfinxerrinl
hand, funtti,;
1)敏判函激
)·单尚函数
wuylutiunt:
jirivi.te key:
)私有窑韧
)公开离制
julsikey:
8)帮寄老创
ShiTed keyi
\rk rd ilirl pirty:
)可偿第三厅
3.4鉴别症架术语
GB/87S4.2确的下列术语和定义适币GB$54的本部分.时间变止季
cincvar.antparamecer
3.5时加定义
下列术逆和定义适用于正/T1泌本部分3.5.1
inlegrily-pruteeled ehanael
完整性保护值道
施加广光游性旅务的通估估道
性:用两自伯穿争的两种式款用1/2397.2一9,达些试连享的可热的完惊性在附求A中说明,
完整性保护球境inteyrity-protected enrironment冲坏境,在这神以境中术经设权的数据修改(包括创利测除)变到函山或可检测。3. 5. 3
完整性保护数据Integrity-proteclellale栏完整性保护外境户的数帮利所有相关长。3.5. 4
屏蔽shleld
游数据转换或受完整性保文的数制。3. 5. 5
去屏蔽unshield
将受完整性护数别转演到原好的教酸效烟3.5.6
证买aldate
检验完墨性保扩数是否变失完整性。4缩略谱
D协改款据单元(1)
SD服务数据元Serviea1aTJril)
S原献究鉴性佳息Shinl:l Inirzrily[mfairmalir】M格改检阅究整信息(MmlifiainuleetiunlegrityIufunnaon)3
GR/T18794.6——2003/ISO/1EC10181-6:1996LI去屏账完快性信息(Uiishirl:lIr1egrilyInfr.rma=on)5完整性的一般性论述
-TTKAONTKACa-
完格性服务的的显保护数考及其格关可生的完带性,能避免下列.不同方式的危者:1)术授权的数据静改,
2)米投的数据射除:
3)末授极的数据刻速:
4》未末授权的数据基入:
5)未授权的数据重放
完整性服务还过预的错施或者消注带恢复或不带伤复的控测,案规对这此成助的态护。效果必恶的控制信息《谐如案期和SII)的完整性和/或机密性性有得划保护,则不可能实现有效的完整性保护:这种保护经常所依赖的原则,无论隐式总感是式地依赖,部不问于疫人在保护数据的制果的原划。在这一排渠中明确地独用了受保护环境的概念,以把握这样一种思想,甲充惜性保护包活防止术登权创追附/或谢除,因此,未授权的数操创唑/研除能整有作是对一些受保护环境的太提权修,整激地,拖人和要放能减召作量对结构化数据案(诸如“个序列,或种数括结构》的修政。应该注忘列,对数据的某些改变能被以为对其完整性井无影响。妇,如果ASV.1摘述包括一个SEOF效据类型,版设对这种数据类型的成与再新排序,划不存在破坏实临性高级的完能性机制司认到某此结构化数据的负换关不损声效据完整性,这样的机制分许对签名的或对印的敏据进行变换,而不必分到年新计算相应的数字贫名或均印。完整性服务的目的是所止成检测未授权的效挪惨改,也括术授权的数据创建和删除,完些性服务的提供通过下列活动定现:
1)屏蔽:由数据生或完整性保护的数起:2)证实;对受完整性保护数据逆行检变,以便探操谢完整件定产失收:3)去屏做虫受完快性保护效据重新生虚数据,这些活动人需要使用指码技术,如果使用了密码技,则不需要对数据过行变次。阅如,师蔽操作可通过给数期除加一封印或数字签名来实现。在双种情改下,证实底功之后,题过去除封印/数字签行完成去屏盘。
完整性服务按如下力式应用丁信息检索、传和性地:1)对于在一个ST环境中份送的信息,通过组台屏蔽协作、使用个(N-1)设范传送去屏蔽操作以形成个(N服务的传输部分,从而渠供完整性服务:2)刘干数期的存储和格案,通对部合屏邀和存堵以及控案和去屏,从而提供完整性能务。屏蔓和去屏蔽两种操作能件为并行操作摄供:这样,相间的数据|例划,一个(V>迁接的全部数侧可同时由还末被屏的部分,得到完整件保护的部分和去解截的部分纠成,光整性执制提供保护环境,因此,屏萨和去屏蔽价都涉及到在受保护坏璃之间专送微,当完些性保护数据危认-个受完整性机制保护的环境传送系另一个受完整邮证制保护的环最时,第二个机起的屏融操作宜先于第个的去屏蓝举作,以便数据要测近的保护,5.1.基本概念
对儿种染型的完整性服务进区分,取达寸所涉及的效据活动创座、别除、修改,插人和/减重放)。取决于是需要提供我改保护还是仅检违规行为以及取决+在个完整性遗到害的孕件中是季支持效据的快复。不同的完整性吸类型止5.2批还:依据在企图进行的完整性使害中系统活动的层次,能对需其可长其这当服务的方法所使用的挑制4
进行更广的分类。不司的机制类型在5.3中措进5.2完整性务类型
完性服务根据下列准购分类:
1)根据要险护的弗疑类型。违规的类型是:a)米授权的数据炼改;
b未授的数期创建;
)术授权的数探剧除,
山术授权的数据拖人!
)未授权的数据重放:
2)根据所支持的保护类型。保护的类型是:6)完整性损害的预防:
6)完整性揽害的划,
3)根据它们是否包含使复机制:5B/T18794.6-2003/50/[EC10181-6:199E在前一种情说(具有恢贷,一且证实操作指示发生了数期改变,则去屏菌操行可能恢左原始数据(并可能发出信号表示们动一个恢复动作或指示一个供审计的错谈)。在后种情况(不具有恢豆},证实换作无论何时指示发生了数据改变,去屏蔽操作也不脂恢豆原始据,
5.3完费性机制类型
通常,保护救据的脂力依赖干使用的介质。有些介适,出于它们的自然性质,很难保护(比妇可移动存储介质成通信齐质),因此,末授长力能随意获得防问并策动修改数书,在这样的介质中,家整性机制的甘的是提供对修改的检谢,并且可能的话,恢受受影响的数据。此,下列完惜性机制事例是有区别的:
二)消止访问介质的机制:这类机制包括,a)物理隔离的、无噪音的后道:1)路虫选择控制!
(访问接到。
2)检测对数据或效据顶库列术投权修改的机制,其中包括术授权的数据创建,数抵剧除和数斯复制,这类礼制包括,
a)印:
h)数字名:
数据发用作对付其他宝规究整的手投!d)与密码变换站会的数宁指纹:e)消息序列号。
按搬机制的保护竭,可分禁如下,1尤保护;
2)检得修政和创理:
3!检您改、创变、出除和复制,4)作恢友的检测整改利带恢复的检测!5)带恢冬的检测静改,创挫、酮弥剂复制。5. 4对光整性的感断
按照提供的服务,感数可分类划下GB/T18794.6—20C3/[S0/TEC10181-6:1996TrKAoNirKca=
1)在通过预防情施支拓数押光路性的环境里未投权的剑违/改/删除推人/重放。示例:安个广说的样按听。
2通过检测错纯支持点整性的坏境里末投权不末检测的创望/整收/制除:插人/重放小划:刻:1中描逆的那择,效据完快性可通过加留受保护的效与相关的改整和州到像证,果迅作实体A正在川相同的实支持寄,数指源未得究恢性保产那么·从A发活到的完整检保护的效据,函后文能提交龄,就灯像处以改发送的样(“种攻击》。按照数据驻留的介所,成可分类如下:1)付对数扣存储个质的威胁:
2)针对数势传输介所的威:
3)与介质无关的战断。
在本部分范围内把完频生使害视为术经授权的动作,这并不涉及授权内候改向题.刘源在附录TI中描述的邮祥(树如假账)这种改可能违反敬据的外带一效性,因此,本部分不像礼密性标架,它不函速内部人员的攻击司题(机整性框粤润述炎于信息的连续保护问题,划接权的访问可批随者有盘成元意地未接权地发布受机密保位点之类的可能;5.5完些性攻击类型
上应归列举的年·个成融都对店券个或多个攻击,这就是讨论中的威助实创,政击的的在于的部提供定整性的桃,它可分类如下【!攻击日的在十瓦解能码机制或利用这出机制的将点。此类改走包括:\)等涉需码机制,
)(有说择第)除和复制
2)攻击的在于瓦解仅用的下文机制(上下文机制在特定时间和/或池方交接数捆。此类攻未您活:
a:人血协同均史改数制项的转见;b)举透上下文违立机制。
改击月正于瓦解检副和确认机制。此类攻左包拉:a假:
b)利用确认乱制与刘接收到的数期的处理过程之闰的人完著排序,4)或击目范在于瓦解预防却司暗中鼓坏效防权制、要缺其作假须防,比类改未包括a攻出析制本身:
[)渗透机划依赖的酸务;
:)利用带有意滤不到的副作用判公用程序,6完整性策略
完些莱略是安全策些的一部分,用来好理完整性服务苗提供与传压可竭,受完龄此保护的数据带营已受格制的实体据些1创建、变更和所除们,因此,一个完格性策确必频退别受控制的效据并护明企图创票、变要感除落数能实本。根据不同数据类型宽整产的相对量要性,对那些处用来对每种不同的整握送型提供完整性聚等作机制·完整性策略也可措明机制的类型利强度,木部分户不涉及完整安全策路的管理。6.1策酪衰示
士表示完情性策晓时:需要识别被涉度的估点和效按及的实年的方法。.个安全策咯能获考出成是-·个规则集,完整性策略中的每一规则邮能关联一个数越的表征描GB/I 18794.62003/(SO/IFC 10181-E,1996会,-个实体药表证蒲续和一个允许的数据活动荣(典型的有创建、变更和刑除)。在某怀策略中,这些规斯翌有直接陈述出末,但能从该策路秀示中子山,下刘条款插述许多可以表示完整性策略的方式:注意,然某些完整机制在特定的策略表示类型中将有类供的彩式,但月该方式表示策路并不白整意床著使用一个特定的机制率实临该策略,6.1.1数拥表征
个策服川以用多种方法出数据。阅如:1)通过认别投权创弹/变更/利踪这些数据的实位:2)通过其位:
3)适过诉数据表示所妇范上下文(例如它预定的功丧).6.1.2实体表征
有许多方法间施如完整性策略的实体:下面给白间个费求阅。6.1.2.1于身份的单陷
在这种黄略表示善式中女体是安一个的个体被识别的,是作为等价实体纠部分来认别为「完端料策略的目的)的,欧是依提它将满的角色来识别的。医此,被成功并诈参与一个数对活动的每个安伴特扭有一个用来刻画它的个体身份,组身份或案色身份,在角色情说下,光照性策略可或定为每个实休叫H的具有排他性的角也粗,使来自不司组的用也不时能同由你称是同·角色
6.1.2.2基于规则的策略
在这种完整肯策略表示杉式中,具过性与每·“变本和与每一完蜓性保护的数堰项相关欣,在讼数据的国性上和车该实体的底性上操作的全局规划确定所准改的动作。安全拥架独述刘基干现则的第略有更计通内讨论(见GB/T18794.1)。7完整性思设施
本资对在个实整性股务中述行下确择作新必要的信意以及使用或生成所时论的这此信息的设前过行分
7.1完整性信点
为广数据可被屏蔽、证实或去屏蔽,闪比过能要缺用辅即信。这些辅所信总被你为完整亡信息完整性信息可分类刘下。
7. 1. 1屏险完整性信息
屏收究整性信息(11>是用于原酸数据的信息,示例包括:1)松有密钥
2)格密座钢
算法标识符相关整码参效:
:时回免母参效(例如时间截),7.1.2渗改检耐完整性信息
德改检洲完整性信息(MD1)无为于逆实完整准保护数的信息。示例包,1)分升翻销;
2)秘密密镇.
7.1.3去屏蔽完整性情息
去屏蔽完描性合息(U)用十究整性谋护效据的大避的信总。示例包括:1)公井帮讨:
GB/T 18794.6—2003/150/IEC 10181-6:19962)秘案寄闭。
7.2完题性设临
TYKoNrKa
在附录C中列出了芳干宽整性设糖能按照与操作相关和与肾州拍关的原则对均们进行感分7.2.1与操作相关的设施
这毕没施:
这一没施对数断实施完整性保扩,候选输人包销:待保护的效据;
→ sth
机制专用标识符,如像在对示心中供的娜评,候选施出包指,
变完整性保护的数据:
“完成/返回码
2)证实
这一没施格查完费性保护数据尽否激改,候碑推人包括,流燃性保护整据
杭制专用标识,如您在射录中提效的耶样,候选舱出包括,
数替完性是否梦摄害的指示。
3)太斥龄
避一设施将完性护数据实换成原始屏敢的数整据。选输人包括:受完整性保护数据;
一执制专用标识符,如像在附取中提及的通样。夜选始山包持,
嫩据:
旁成/返回码:
7.2.?与音理相关的设施
完些逆普理设施光许出获敢修改和拆除提供完整性所必再的洁息(比妇举相)。广地讲这比设流后:
1)安聚管理信息:
2)修改督理信息
划隆管理信息;wwW.bzxz.Net
列表管划息:
禁用管理信息:
6)重房用管理信息。
6完整性机制分类
本单安照用丁提供完整性取务的方运对完路性机制分先。8.1通过密码提供亮整性
以考虑的密码完整牛划制存两类:1)出于对选鸿技本的完能性机制.逆注用*并蔽数据的司一移击案钥的知识,可能证实完整作3
保护数察
CB/T 18794.E-2003/IX0/IEC 10*81-6,13962)基十费利你制料技术的完整性机谢返过屏敲数语的税心出钢所利整引公并密识的知法,可能证实完热保护数据。
第一种类型的机制对定于断印.而第二种对应数字器名。时间安量参数可与范于案码双术的光能性机起实,以阻止重效。8.1.)通过封印提供易整性
印辆作通过把出码校股估断划净保护的数摄上以表供完整性。封印对过程中,使用相同的秘密密朗保扩并证实数据完整性。当使用这类机制时,所有潜在的证实者要么预先判道诚秘密快钥,要么心乐有方问该秘密密制的方法。
根据该制的这个定义,能够别效式封印的离4案和能够对数据证实的实体化恰巧是乱含的,这一视制多持如下的使效格测:适过把一个审码校验值制划在所违行究将性保护的数据上<例如,造及待保护的数供计算出个总向两数,其值通过加室机制变换>实现原蔽通过便用激恶,密码格验和徽密密钥,确定教据是否与村知匹配例如,没施能将数抵利秘齿销提安给员蔽没施,正拍结果的射与与实际期加在做数您上的值进行比验>实现证实。始失匹配,赠认为数据没有被修改,一一在数据证实后,通过去除密球校验值实现去原敲。日,1.2通过数签名据握供完整性数字签名使用私有密期和非对称密码样法计持出章。屏藏的数需(数据剂上加的数字等名)能停正对应的公开害销来证实,项带,公开密销能被公开些使用,数宁等名允许实本来能够证实们总大小和H成的数谢:这一机制文持如下的整收格测
源过把个密码校验值附血在情进行整性保护的教期上案实现屏藏(伺如。汁算待保护啦献的数字指数,并件此值与私有密们,以及可能的话不感个收多个值内其他数费结会自一起,剂架形成数字签名》。
一通过便用效收到药数据的数字指收、数学签名以及带有数证该教字签各誉法的公儿密制实现证其:如来数于签冬验证失败,则认为数据已经被出!:一在效制愉让后,逆过去降密码校验佐以实现去弄嵌。这一机制五可以支持数韧源整别和抗抵赖。日.1.3通过穴余数据加密提供完整性北余教据(例如自热语言的完整作可以通过加密每到主持,包活错快测代码部数丫指纹在内的数据影是九余的.并日它们的完整性可以逆过如密得别保护(只要妥旧的加算达便得人们不能预款加数据的收变,在解坚后将反映刻原给数竭上》。较话层的安全议充C3/工17953和1S3/1以10736用这一类型的机对机谢性保数推提供完整性保护。
这一执制支持如下的够收检别:通社品密究余数诺实版,
通过解密尿散效抛正确定它们量告满足原始效制满延的不变性实现证实,示创折,)如果源筛数斯是一个ACSII学符字列,恢后的数据应具有同单的属性;2)如果京始数堰是以验定证夜示的人类话计,恢复后的数考一微应足(或产生厂微小的变动)共同司救受的同语言的人类请语:如果原始数据包雪校验年,基于该保护数据的相关部分能计量出同详的校验和,扑后效结果31
与成人在该二解李数据中的验和的低龙否匹配!9
GB/T 18794.6-—2003/1S0/1E: 1Q181-8,1996一通过解密楼密数据以实现去蔽。-TKAONKAca
在:已双这一制不适合元程育的余形式谢和人自销累检两马的数达沉余与实用能们你形式何如分组库码,妇键接的求链接的D5>结合虑川,下而岳一个相对简单担脂游状看快的的示测:加A文事:例加满的件迈加密保护的可送过成新方产法测的情改(当然你非像须需所做的拟择,评即作头量忽含个长恶措示器),B.2通过上下文规供完整性
完整性可以延过在一个影个预光约定的下文小存请或传输效据的机制得到支持。这样的机制能保护激据及数机:结构(刻妇数据单儿序列!。泛们招:8.2.1数据制
这炎完整托机削是基于容间(如儿个存这或时间像如在不同的间的数锯制,它假定满在的效击者不闻对危害超过定致量的副术,并,经检谢到攻击,就能长新真主的副车重建数据,
作火示优,这种机制被据用米对付得透改音,这其机制摄供带恢使的删除宽整忙份测并能与其他安全机制结合便用,它们提供的完整性如下:一酒过对间数与提供时上注较的多份本或保存不回地方的多份本来实现屏。一通过收集(每个给定时间或竹世上的款据到车实现运实:将它们进行比校,如量他们不一,则定心发生丁完整授告
从能停范些题无指定的量度(效错误该复暂)呆小化的数值中选拉,个作为正确值,当其满是某此预光建这的准则时(到如“9必或更多的慎柜符\)实现大屏率只有恢豆)。应当注意列,当所有的值相符时我们的疾复准则必筑得乳满足,并在这些市识下那个最小化该量度的恒应该元带月的间,
8.2.2约定的上下文
这些机制描类完格烂保护数期的制涤检测并约常与茗他整性扰当结合便:通达在所给变花范用内了拍元物时间利/或上供数谢效实现房一通延预期激据在所薪的时间析或位置以实现证实。如具不出现,则其定发生了光拍性设半,为了预励用别的效据哲代·如上所逆·这一机制必须马其他究帮性机制续:8.3通过检财和确认提供完整性
互学快行带正员馈的据等择作港算(一个操格,始烘多恢,连续其行期恰出的结界与单次操作的统一样,就认为是靠等>时这些机制求阅用究整性检动。这作乱制的示例如兵有肯定确认的传靠(例如,在R/T0—19:中挡殊的达输1)和带反的远程提作:这些机制受定月激和运实/长屏收损作交相制的有间活束.产且通常术合效费存销:通过反发同-动件直到得到完毕料策略的指专或收利一个背定的通认认而实现所蔽。一:存4一个外配数据交到1进行证实除将东路补策略外有措令):放功的证实会用信号给出肯定的偏认,通知执展蔽保作的变述。如果避过去所收质使口的修改完格性保护乱制而能效使一个候山行为发山正确的信息,这新机制的去所献(操作>就能然给出个肯定确以的信号,当证实举作指明一个否定的错荣进行了情改,或证行门别险)时能产生,个也定的确认给尽戏操作,
这典机相示要据的榜改靠嵌其也力法检测出来,历此,可以认为增频了凯制对数据修收的保护,6.4通过预防提供究整性
追过职对效势行路或传第介通的物理试司,以及通过访同控制,能够提供完整性。别止物理访问力法的规施超对了插架的内容出访可控制在门控制届案中蒲述。
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
GH/T二B794信息技术开被系统.连并敬系统安全相架3前包据以下几个部分:第1部分即/7:187.11:概述
--第2部分(即GB/T9791.2):鉴别握—第3部分(即(H/3794.3):访向控制架第4带分(即GH/T18794.4),航抵预框架第5部分(即GIT18791.5):机寄推架第6部分(即GBT13794.6>完整性框架一第7部分(即/T13794.7):安全审计和报替抵架本部分为信R/18734的第6都分,等同采月国际标赠1S0/上10181-6:1995信息技术元改系乾五连开系统安全拆架:完剪性架(装文版)。找照GB/T1.1230的见定,对IS0/TEC10R1件了下列辆性收:增了我的\前言\,
1)“本标准\词改为\GB/工18794的本部分\或\血部分\:c)对\现范性可用文件,章的语接(H/112100的要衣进行了整改)册除“规范性州文件\一章中未被本郭分引用的标准在引用的标准中,凡已制定了没用标满的务项标准,均用我国相应标准溯代替。对“就范性引用文件”一章中约标准,按黑GB/T」,[一2390的规定重勃进行抹序:米部分的附录A至附录C帮层资料性附录:本部分出中作人民共和国信息产业部提出本部分由中国电子批术标准化研究所归。本部分总草羊位:匹川大学信息安全研究所、本分工要起草人:罗万作、要建中,必泽良、散宗坤、集平华、陈一民、祝世姓GH/T18794.6—2003/ISO/LKC10181-6;1996引
iKAoNiKAca=
许多效系统应用都有依赖小敏据完整性的安全需求。这样的需求叫包括效谢的保护,这些数据在援供其他安全服务如整别、访问挖制,机密性,库支抗抵项时快历,好果攻击者整格改这些数据,则能使这些脏务的效力障抵或无效。数据没有以未设权的方式修改或破坏的这一最性称为完整性。公部分定义一个提供完整性最等前通用性拖渠:
1范围
CBT18794.E—2003/1S0/FC10181-6:1396倍息技术开放系统互连
开放系统安全框架
第6部分:完整性框架
本开放系统案全却架的标准论盗在并政系统计境中安企腔务的造用.此处本说“并放系统\包抵销如凝据库,分币式应用,大放分布式处写知开改系统互连这详一此领域。安全柜架涉点定义对系统和系统内的对象提供保护的方法,以及系统询的交互,交安全架不龄改均难系统或机制的方法学。安全框架论述数据元索和操作的序列(雨不是初议元索)这两者可献用来状将特定的安全服务,这当安全谢务可应用于系绕正在通偏的实体,要统问交换的数期.以改承统雪理的数新。本部分西述了信息检案、传巡及管垂中数据的完忙:二)足义教始完整性判基本瓶念2识品可能约完性机制分类;
3识劳每一类完整性机制的设施;4!识另支热完整比机制才类所需的管理:5)函逆完整性机制和支持服务与其他安余务和机制的交互..有许多不同美型的标非可使用产拖架,包活:)体现完整性概念的杯准;
2)规定含有完整性的抽象服务书标准:3)划定使完整联务的标准;
1)规定代开效系统体系结构可提供完整性股务力法的标业5)定完整性桃制的标准。
这些标准可要下述本式使用本据果:标准类雅122),多>,4及51菲使用本性势的术语一:标准券型2,3),1及谨使用第7否所识别的设施:标准楚型5能寸本框果第。查家义的挑制类别实安企框架中推还的一些现程通主虑用密码技术裁得完整性,这个框架净不依频于使用特定的密再算法或其他算达,回然某此类别能完整性机制可能赖持定筛法的特性,经:函马费么及英张记忆量底书合我国有关好定、木部分论还的完整性是通过数期值的不变性求定义的。(数期值不逆性)选一概念包命所有的实,这些实例巾一个数值的不同衣常该认为是等价的[例如同一值的不同的A1.端码!:我此排院其地肾式的不变仆
木部分中术许数据的使用包括数据结构的一类型!诺刻数据集会或汇案,数据序列,文件系统和据连)
本框架制述给理些始认为叫被落在效击者孕话问的效据供完整性。因此.它有重于通选密码和非整码的机制据供实整车,并非专依赖干控制访问,2规范性引用文性
下述女件中的杀款道过(%/T1%794的木部分的引用前成为本帮分的系款,凡是注月期的引用文性,共的所有的停改单(不包括期温的内穿)或情改版与不造用十术部分,然血,效动据本部分达版CB/T18794.6—2003/ISO/IEC10181-6;1996-TTKAONLKACa
协议的各方研究是否寸使月这些文件的虽新版本,儿是不注日期的用文准,其尽新版本适月于否部分
R/J387.—信息投术改系统车H本参考模E算部公H本模(t[SO:1C 7498 1:1994)
GI3/T9887.2-1S95信总处理票统开放录统五注基本参考模型第2部分:零全体系结构(l: TS0 749H-2:19/9)
GB/T1350-·199信息处理系统开放互连面向连按的运输协议规范(idIIS心B)73:186)
(5/T17D3--2CC5信息技术开放系练连网第层安全协议(EtISO/FC11577:1D5C比/T18794.12002信急装术光政系绕马谱开效系统安全机架第?部开:格逆(ict5(/10181-1:1995)
G/T18794.2—202信息装术
开收系统立过开改系统安企框架第2分:整附恒
(t0/1181-2.1996)
IS/,1管息教系统间证疫通信和信息交换运输层安全协放3术语和定文
下列术诺和实义适用于GB/T187创1的本部办,3.1基本参者模型术语
GB/US6.1确章的下列术语和定义适用于GB/T_974的本部分。a)
()连接
(N)connerriomi
Ns-facility
(N)设商
(Ni星(n)yhr?
(>)服务数格单元
(N)-SDL:
(N) seres
g)(N:用户效(N)usw da...
3.2安全体系结构术语
G/387.2确的下语和定义适用」G19的部分。)请可控制:
接端华性canrcetionintegriry
整据完整daaatugriys
解密dccipheraetit;
解密处理derrypion
数宇签名ligil sikmr:
a密anejpiernert:
出crcryption
苯」身份的宽会策降ideniiyhaaeasecuritypalicsj完整生iateg-ity;
钥eyi
路山选祥控制-meint-al;
于规则的安会策略路Tu.c-baaedsznuitypulicy。2
GB/T18794.6-2003/IS0/TEC101Bt-6:1996计:的没有其他说明时,137的去部分中的遇\完兼性\费指数品完格作,3.3安全框渠概选术语
GB/T13791.1确立的下列术语定义适用于B/T13794的交部分a)数宇指纹lieiulfinxerrinl
hand, funtti,;
1)敏判函激
)·单尚函数
wuylutiunt:
jirivi.te key:
)私有窑韧
)公开离制
julsikey:
8)帮寄老创
ShiTed keyi
\rk rd ilirl pirty:
)可偿第三厅
3.4鉴别症架术语
GB/87S4.2确的下列术语和定义适币GB$54的本部分.时间变止季
cincvar.antparamecer
3.5时加定义
下列术逆和定义适用于正/T1泌本部分3.5.1
inlegrily-pruteeled ehanael
完整性保护值道
施加广光游性旅务的通估估道
性:用两自伯穿争的两种式款用1/2397.2一9,达些试连享的可热的完惊性在附求A中说明,
完整性保护球境inteyrity-protected enrironment冲坏境,在这神以境中术经设权的数据修改(包括创利测除)变到函山或可检测。3. 5. 3
完整性保护数据Integrity-proteclellale栏完整性保护外境户的数帮利所有相关长。3.5. 4
屏蔽shleld
游数据转换或受完整性保文的数制。3. 5. 5
去屏蔽unshield
将受完整性护数别转演到原好的教酸效烟3.5.6
证买aldate
检验完墨性保扩数是否变失完整性。4缩略谱
D协改款据单元(1)
SD服务数据元Serviea1aTJril)
S原献究鉴性佳息Shinl:l Inirzrily[mfairmalir】M格改检阅究整信息(MmlifiainuleetiunlegrityIufunnaon)3
GR/T18794.6——2003/ISO/1EC10181-6:1996LI去屏账完快性信息(Uiishirl:lIr1egrilyInfr.rma=on)5完整性的一般性论述
-TTKAONTKACa-
完格性服务的的显保护数考及其格关可生的完带性,能避免下列.不同方式的危者:1)术授权的数据静改,
2)米投的数据射除:
3)末授极的数据刻速:
4》未末授权的数据基入:
5)未授权的数据重放
完整性服务还过预的错施或者消注带恢复或不带伤复的控测,案规对这此成助的态护。效果必恶的控制信息《谐如案期和SII)的完整性和/或机密性性有得划保护,则不可能实现有效的完整性保护:这种保护经常所依赖的原则,无论隐式总感是式地依赖,部不问于疫人在保护数据的制果的原划。在这一排渠中明确地独用了受保护环境的概念,以把握这样一种思想,甲充惜性保护包活防止术登权创追附/或谢除,因此,未授权的数操创唑/研除能整有作是对一些受保护环境的太提权修,整激地,拖人和要放能减召作量对结构化数据案(诸如“个序列,或种数括结构》的修政。应该注忘列,对数据的某些改变能被以为对其完整性井无影响。妇,如果ASV.1摘述包括一个SEOF效据类型,版设对这种数据类型的成与再新排序,划不存在破坏实临性高级的完能性机制司认到某此结构化数据的负换关不损声效据完整性,这样的机制分许对签名的或对印的敏据进行变换,而不必分到年新计算相应的数字贫名或均印。完整性服务的目的是所止成检测未授权的效挪惨改,也括术授权的数据创建和删除,完些性服务的提供通过下列活动定现:
1)屏蔽:由数据生或完整性保护的数起:2)证实;对受完整性保护数据逆行检变,以便探操谢完整件定产失收:3)去屏做虫受完快性保护效据重新生虚数据,这些活动人需要使用指码技术,如果使用了密码技,则不需要对数据过行变次。阅如,师蔽操作可通过给数期除加一封印或数字签名来实现。在双种情改下,证实底功之后,题过去除封印/数字签行完成去屏盘。
完整性服务按如下力式应用丁信息检索、传和性地:1)对于在一个ST环境中份送的信息,通过组台屏蔽协作、使用个(N-1)设范传送去屏蔽操作以形成个(N服务的传输部分,从而渠供完整性服务:2)刘干数期的存储和格案,通对部合屏邀和存堵以及控案和去屏,从而提供完整性能务。屏蔓和去屏蔽两种操作能件为并行操作摄供:这样,相间的数据|例划,一个(V>迁接的全部数侧可同时由还末被屏的部分,得到完整件保护的部分和去解截的部分纠成,光整性执制提供保护环境,因此,屏萨和去屏蔽价都涉及到在受保护坏璃之间专送微,当完些性保护数据危认-个受完整性机制保护的环境传送系另一个受完整邮证制保护的环最时,第二个机起的屏融操作宜先于第个的去屏蓝举作,以便数据要测近的保护,5.1.基本概念
对儿种染型的完整性服务进区分,取达寸所涉及的效据活动创座、别除、修改,插人和/减重放)。取决于是需要提供我改保护还是仅检违规行为以及取决+在个完整性遗到害的孕件中是季支持效据的快复。不同的完整性吸类型止5.2批还:依据在企图进行的完整性使害中系统活动的层次,能对需其可长其这当服务的方法所使用的挑制4
进行更广的分类。不司的机制类型在5.3中措进5.2完整性务类型
完性服务根据下列准购分类:
1)根据要险护的弗疑类型。违规的类型是:a)米授权的数据炼改;
b未授的数期创建;
)术授权的数探剧除,
山术授权的数据拖人!
)未授权的数据重放:
2)根据所支持的保护类型。保护的类型是:6)完整性损害的预防:
6)完整性揽害的划,
3)根据它们是否包含使复机制:5B/T18794.6-2003/50/[EC10181-6:199E在前一种情说(具有恢贷,一且证实操作指示发生了数期改变,则去屏菌操行可能恢左原始数据(并可能发出信号表示们动一个恢复动作或指示一个供审计的错谈)。在后种情况(不具有恢豆},证实换作无论何时指示发生了数据改变,去屏蔽操作也不脂恢豆原始据,
5.3完费性机制类型
通常,保护救据的脂力依赖干使用的介质。有些介适,出于它们的自然性质,很难保护(比妇可移动存储介质成通信齐质),因此,末授长力能随意获得防问并策动修改数书,在这样的介质中,家整性机制的甘的是提供对修改的检谢,并且可能的话,恢受受影响的数据。此,下列完惜性机制事例是有区别的:
二)消止访问介质的机制:这类机制包括,a)物理隔离的、无噪音的后道:1)路虫选择控制!
(访问接到。
2)检测对数据或效据顶库列术投权修改的机制,其中包括术授权的数据创建,数抵剧除和数斯复制,这类礼制包括,
a)印:
h)数字名:
数据发用作对付其他宝规究整的手投!d)与密码变换站会的数宁指纹:e)消息序列号。
按搬机制的保护竭,可分禁如下,1尤保护;
2)检得修政和创理:
3!检您改、创变、出除和复制,4)作恢友的检测整改利带恢复的检测!5)带恢冬的检测静改,创挫、酮弥剂复制。5. 4对光整性的感断
按照提供的服务,感数可分类划下GB/T18794.6—20C3/[S0/TEC10181-6:1996TrKAoNirKca=
1)在通过预防情施支拓数押光路性的环境里未投权的剑违/改/删除推人/重放。示例:安个广说的样按听。
2通过检测错纯支持点整性的坏境里末投权不末检测的创望/整收/制除:插人/重放小划:刻:1中描逆的那择,效据完快性可通过加留受保护的效与相关的改整和州到像证,果迅作实体A正在川相同的实支持寄,数指源未得究恢性保产那么·从A发活到的完整检保护的效据,函后文能提交龄,就灯像处以改发送的样(“种攻击》。按照数据驻留的介所,成可分类如下:1)付对数扣存储个质的威胁:
2)针对数势传输介所的威:
3)与介质无关的战断。
在本部分范围内把完频生使害视为术经授权的动作,这并不涉及授权内候改向题.刘源在附录TI中描述的邮祥(树如假账)这种改可能违反敬据的外带一效性,因此,本部分不像礼密性标架,它不函速内部人员的攻击司题(机整性框粤润述炎于信息的连续保护问题,划接权的访问可批随者有盘成元意地未接权地发布受机密保位点之类的可能;5.5完些性攻击类型
上应归列举的年·个成融都对店券个或多个攻击,这就是讨论中的威助实创,政击的的在于的部提供定整性的桃,它可分类如下【!攻击日的在十瓦解能码机制或利用这出机制的将点。此类改走包括:\)等涉需码机制,
)(有说择第)除和复制
2)攻击的在于瓦解仅用的下文机制(上下文机制在特定时间和/或池方交接数捆。此类攻未您活:
a:人血协同均史改数制项的转见;b)举透上下文违立机制。
改击月正于瓦解检副和确认机制。此类攻左包拉:a假:
b)利用确认乱制与刘接收到的数期的处理过程之闰的人完著排序,4)或击目范在于瓦解预防却司暗中鼓坏效防权制、要缺其作假须防,比类改未包括a攻出析制本身:
[)渗透机划依赖的酸务;
:)利用带有意滤不到的副作用判公用程序,6完整性策略
完些莱略是安全策些的一部分,用来好理完整性服务苗提供与传压可竭,受完龄此保护的数据带营已受格制的实体据些1创建、变更和所除们,因此,一个完格性策确必频退别受控制的效据并护明企图创票、变要感除落数能实本。根据不同数据类型宽整产的相对量要性,对那些处用来对每种不同的整握送型提供完整性聚等作机制·完整性策略也可措明机制的类型利强度,木部分户不涉及完整安全策路的管理。6.1策酪衰示
士表示完情性策晓时:需要识别被涉度的估点和效按及的实年的方法。.个安全策咯能获考出成是-·个规则集,完整性策略中的每一规则邮能关联一个数越的表征描GB/I 18794.62003/(SO/IFC 10181-E,1996会,-个实体药表证蒲续和一个允许的数据活动荣(典型的有创建、变更和刑除)。在某怀策略中,这些规斯翌有直接陈述出末,但能从该策路秀示中子山,下刘条款插述许多可以表示完整性策略的方式:注意,然某些完整机制在特定的策略表示类型中将有类供的彩式,但月该方式表示策路并不白整意床著使用一个特定的机制率实临该策略,6.1.1数拥表征
个策服川以用多种方法出数据。阅如:1)通过认别投权创弹/变更/利踪这些数据的实位:2)通过其位:
3)适过诉数据表示所妇范上下文(例如它预定的功丧).6.1.2实体表征
有许多方法间施如完整性策略的实体:下面给白间个费求阅。6.1.2.1于身份的单陷
在这种黄略表示善式中女体是安一个的个体被识别的,是作为等价实体纠部分来认别为「完端料策略的目的)的,欧是依提它将满的角色来识别的。医此,被成功并诈参与一个数对活动的每个安伴特扭有一个用来刻画它的个体身份,组身份或案色身份,在角色情说下,光照性策略可或定为每个实休叫H的具有排他性的角也粗,使来自不司组的用也不时能同由你称是同·角色
6.1.2.2基于规则的策略
在这种完整肯策略表示杉式中,具过性与每·“变本和与每一完蜓性保护的数堰项相关欣,在讼数据的国性上和车该实体的底性上操作的全局规划确定所准改的动作。安全拥架独述刘基干现则的第略有更计通内讨论(见GB/T18794.1)。7完整性思设施
本资对在个实整性股务中述行下确择作新必要的信意以及使用或生成所时论的这此信息的设前过行分
7.1完整性信点
为广数据可被屏蔽、证实或去屏蔽,闪比过能要缺用辅即信。这些辅所信总被你为完整亡信息完整性信息可分类刘下。
7. 1. 1屏险完整性信息
屏收究整性信息(11>是用于原酸数据的信息,示例包括:1)松有密钥
2)格密座钢
算法标识符相关整码参效:
:时回免母参效(例如时间截),7.1.2渗改检耐完整性信息
德改检洲完整性信息(MD1)无为于逆实完整准保护数的信息。示例包,1)分升翻销;
2)秘密密镇.
7.1.3去屏蔽完整性情息
去屏蔽完描性合息(U)用十究整性谋护效据的大避的信总。示例包括:1)公井帮讨:
GB/T 18794.6—2003/150/IEC 10181-6:19962)秘案寄闭。
7.2完题性设临
TYKoNrKa
在附录C中列出了芳干宽整性设糖能按照与操作相关和与肾州拍关的原则对均们进行感分7.2.1与操作相关的设施
这毕没施:
这一没施对数断实施完整性保扩,候选输人包销:待保护的效据;
→ sth
机制专用标识符,如像在对示心中供的娜评,候选施出包指,
变完整性保护的数据:
“完成/返回码
2)证实
这一没施格查完费性保护数据尽否激改,候碑推人包括,流燃性保护整据
杭制专用标识,如您在射录中提效的耶样,候选舱出包括,
数替完性是否梦摄害的指示。
3)太斥龄
避一设施将完性护数据实换成原始屏敢的数整据。选输人包括:受完整性保护数据;
一执制专用标识符,如像在附取中提及的通样。夜选始山包持,
嫩据:
旁成/返回码:
7.2.?与音理相关的设施
完些逆普理设施光许出获敢修改和拆除提供完整性所必再的洁息(比妇举相)。广地讲这比设流后:
1)安聚管理信息:
2)修改督理信息
划隆管理信息;wwW.bzxz.Net
列表管划息:
禁用管理信息:
6)重房用管理信息。
6完整性机制分类
本单安照用丁提供完整性取务的方运对完路性机制分先。8.1通过密码提供亮整性
以考虑的密码完整牛划制存两类:1)出于对选鸿技本的完能性机制.逆注用*并蔽数据的司一移击案钥的知识,可能证实完整作3
保护数察
CB/T 18794.E-2003/IX0/IEC 10*81-6,13962)基十费利你制料技术的完整性机谢返过屏敲数语的税心出钢所利整引公并密识的知法,可能证实完热保护数据。
第一种类型的机制对定于断印.而第二种对应数字器名。时间安量参数可与范于案码双术的光能性机起实,以阻止重效。8.1.)通过封印提供易整性
印辆作通过把出码校股估断划净保护的数摄上以表供完整性。封印对过程中,使用相同的秘密密朗保扩并证实数据完整性。当使用这类机制时,所有潜在的证实者要么预先判道诚秘密快钥,要么心乐有方问该秘密密制的方法。
根据该制的这个定义,能够别效式封印的离4案和能够对数据证实的实体化恰巧是乱含的,这一视制多持如下的使效格测:适过把一个审码校验值制划在所违行究将性保护的数据上<例如,造及待保护的数供计算出个总向两数,其值通过加室机制变换>实现原蔽通过便用激恶,密码格验和徽密密钥,确定教据是否与村知匹配例如,没施能将数抵利秘齿销提安给员蔽没施,正拍结果的射与与实际期加在做数您上的值进行比验>实现证实。始失匹配,赠认为数据没有被修改,一一在数据证实后,通过去除密球校验值实现去原敲。日,1.2通过数签名据握供完整性数字签名使用私有密期和非对称密码样法计持出章。屏藏的数需(数据剂上加的数字等名)能停正对应的公开害销来证实,项带,公开密销能被公开些使用,数宁等名允许实本来能够证实们总大小和H成的数谢:这一机制文持如下的整收格测
源过把个密码校验值附血在情进行整性保护的教期上案实现屏藏(伺如。汁算待保护啦献的数字指数,并件此值与私有密们,以及可能的话不感个收多个值内其他数费结会自一起,剂架形成数字签名》。
一通过便用效收到药数据的数字指收、数学签名以及带有数证该教字签各誉法的公儿密制实现证其:如来数于签冬验证失败,则认为数据已经被出!:一在效制愉让后,逆过去降密码校验佐以实现去弄嵌。这一机制五可以支持数韧源整别和抗抵赖。日.1.3通过穴余数据加密提供完整性北余教据(例如自热语言的完整作可以通过加密每到主持,包活错快测代码部数丫指纹在内的数据影是九余的.并日它们的完整性可以逆过如密得别保护(只要妥旧的加算达便得人们不能预款加数据的收变,在解坚后将反映刻原给数竭上》。较话层的安全议充C3/工17953和1S3/1以10736用这一类型的机对机谢性保数推提供完整性保护。
这一执制支持如下的够收检别:通社品密究余数诺实版,
通过解密尿散效抛正确定它们量告满足原始效制满延的不变性实现证实,示创折,)如果源筛数斯是一个ACSII学符字列,恢后的数据应具有同单的属性;2)如果京始数堰是以验定证夜示的人类话计,恢复后的数考一微应足(或产生厂微小的变动)共同司救受的同语言的人类请语:如果原始数据包雪校验年,基于该保护数据的相关部分能计量出同详的校验和,扑后效结果31
与成人在该二解李数据中的验和的低龙否匹配!9
GB/T 18794.6-—2003/1S0/1E: 1Q181-8,1996一通过解密楼密数据以实现去蔽。-TKAONKAca
在:已双这一制不适合元程育的余形式谢和人自销累检两马的数达沉余与实用能们你形式何如分组库码,妇键接的求链接的D5>结合虑川,下而岳一个相对简单担脂游状看快的的示测:加A文事:例加满的件迈加密保护的可送过成新方产法测的情改(当然你非像须需所做的拟择,评即作头量忽含个长恶措示器),B.2通过上下文规供完整性
完整性可以延过在一个影个预光约定的下文小存请或传输效据的机制得到支持。这样的机制能保护激据及数机:结构(刻妇数据单儿序列!。泛们招:8.2.1数据制
这炎完整托机削是基于容间(如儿个存这或时间像如在不同的间的数锯制,它假定满在的效击者不闻对危害超过定致量的副术,并,经检谢到攻击,就能长新真主的副车重建数据,
作火示优,这种机制被据用米对付得透改音,这其机制摄供带恢使的删除宽整忙份测并能与其他安全机制结合便用,它们提供的完整性如下:一酒过对间数与提供时上注较的多份本或保存不回地方的多份本来实现屏。一通过收集(每个给定时间或竹世上的款据到车实现运实:将它们进行比校,如量他们不一,则定心发生丁完整授告
从能停范些题无指定的量度(效错误该复暂)呆小化的数值中选拉,个作为正确值,当其满是某此预光建这的准则时(到如“9必或更多的慎柜符\)实现大屏率只有恢豆)。应当注意列,当所有的值相符时我们的疾复准则必筑得乳满足,并在这些市识下那个最小化该量度的恒应该元带月的间,
8.2.2约定的上下文
这些机制描类完格烂保护数期的制涤检测并约常与茗他整性扰当结合便:通达在所给变花范用内了拍元物时间利/或上供数谢效实现房一通延预期激据在所薪的时间析或位置以实现证实。如具不出现,则其定发生了光拍性设半,为了预励用别的效据哲代·如上所逆·这一机制必须马其他究帮性机制续:8.3通过检财和确认提供完整性
互学快行带正员馈的据等择作港算(一个操格,始烘多恢,连续其行期恰出的结界与单次操作的统一样,就认为是靠等>时这些机制求阅用究整性检动。这作乱制的示例如兵有肯定确认的传靠(例如,在R/T0—19:中挡殊的达输1)和带反的远程提作:这些机制受定月激和运实/长屏收损作交相制的有间活束.产且通常术合效费存销:通过反发同-动件直到得到完毕料策略的指专或收利一个背定的通认认而实现所蔽。一:存4一个外配数据交到1进行证实除将东路补策略外有措令):放功的证实会用信号给出肯定的偏认,通知执展蔽保作的变述。如果避过去所收质使口的修改完格性保护乱制而能效使一个候山行为发山正确的信息,这新机制的去所献(操作>就能然给出个肯定确以的信号,当证实举作指明一个否定的错荣进行了情改,或证行门别险)时能产生,个也定的确认给尽戏操作,
这典机相示要据的榜改靠嵌其也力法检测出来,历此,可以认为增频了凯制对数据修收的保护,6.4通过预防提供究整性
追过职对效势行路或传第介通的物理试司,以及通过访同控制,能够提供完整性。别止物理访问力法的规施超对了插架的内容出访可控制在门控制届案中蒲述。
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。