GB/T 9387.2-1995
基本信息
标准号: GB/T 9387.2-1995
中文名称:信息处理系统 开放系统互连基本参考模型 第2部分:安全体系结构
标准类别:国家标准(GB)
标准状态:现行
发布日期:1995-06-02
实施日期:1996-02-01
出版语种:简体中文
下载格式:.rar.pdf
下载大小:KB
标准分类号
标准ICS号:信息技术、办公机械设备>>开放系统互连(OSI)>>35.100.01开放系统互连(OSI)综合
中标分类号:电子元器件与信息技术>>信息处理技术>>L79计算机开放与系统互连
关联标准
采标情况:ISO 7498-2-1989
出版信息
出版社:中国标准出版社
页数:平装16开, 页数:38, 字数:70千字
标准价格:18.0 元
相关单位信息
首发日期:1995-06-21
复审日期:2004-10-14
起草单位:复旦大学
归口单位:全国信息技术标准化技术委员会
发布部门:国家技术监督局
主管部门:国家标准化管理委员会
标准简介
本标准的任务是:a.提供安全服务与有关机制的一般描述,这些服务与机制可以为GB 9387-88参考模型所配备;b.确定在参考模型内部可以提供这些服务与机制的位置。本标准扩充了GB 9387—88的应用领域,包括了开放系统之间的安全通信。对基本的安全服务与机制以及它们的恰当配置按基本参考模型作了逐层说明。此外还说明了这些安全服务与机制对于参考模型而言在体系结构上的关系。在某些端系统、设备和组织结构中,可能还需要附加某些别的安全措施,这些措施也适用于各种不同的应用上下文中。确定为支持这种附加的安全措施所需要的安全服务不在本标准的工作范围之内。开放系统互连(OSI)的安全功能仅仅涉及能让端系统之间进行信息的安全传送的通信通路的可见方面,不考虑在端系统、设备或组织内所需要的安全措施,除非牵连到在OSI中可见性安全服务的选择与定位。安全结构问题的这些方面也可以进行标准化,但不在OSI标准的工作范围之内。本标准对在GB 9387-88中定义的概念与原则作了补充,但并未改动它们。本标准既不是一个实施规范,也不是评价实际执行方案一致性的基准。 GB/T 9387.2-1995 信息处理系统 开放系统互连基本参考模型 第2部分:安全体系结构 GB/T9387.2-1995 标准下载解压密码:www.bzxz.net
标准图片预览
标准内容
中华人民共和国国家标准
信息处理系统开放系统互连
基本参考模型
第2部分:安全体系结构
Informationprocessingsystem-OpenSystemsInterconnection-Basic Reference Model-Part2:Security architectureGB/T 9387.2-1995
ISO 7498-2-1989
本标准等同采用国际标准ISO7498-2-1989《信息处理系统开放系统互连基本参考模型第2部分:安全体系结构》。
0引言
GB9387--88为开放系统互连(OSI)描述了基本参考模型,它为协调开发现有的与未来的系统互连标准建立起个框架。
开放系统互连基本参考模型的目的是让异构型计算机系统的互连能达到应用进程之间的有效通信。在各种不同场合都必须建立安全控制,以便保护在应用进程之间交换的信息。这种控制应该使得非法获取或修改数据所花的代价大于这样做的潜在价值,或者使其为得到所需数据而花费的时间很长,以致失去该数据的价值。
本标准确立了与安全体系结构有关的一般要素,它们能适用于开放系统之间需要通信保护的各种场台。为了安全通信而完善与开放系统互连相关的现有标准或开发新标准,本标准在参考模型的框架内建立起一些指导原则与制约条件,从而提供了一个解决OSI中安全问题的一致性方法。知道安全方面的一些背景对于了解本标准是有益的。我们建议对安全问题不够熟悉的读者先读附录A(参考件)。
本标准扩充了基本参考模型,涉及到了安全问题的一些方面。这些方面是通信协议体系结构的一般要素,但并没有在基本参考模型中予以讨论。1主题内容与适用范围
本标准的任务是:
a,提供安全服务与有关机制的一般描述,这些服务与机制可以为GB9387一88参考模型所配备,
b..确定在参考模型内部可以提供这些服务与机制的位置。本标准扩充了GB9387--88的应用领域,包括了开放系统之间的安全通信。对基本的安全服务与机制以及它们的恰当配置按基本参考模型作了逐层说明。此外还说明了这些安全服务与机制对于参考模型而言在体系结构上的关系。在某些端系统、设备和组织结构中,可能还需要附加某些别的安全措施,这些措施也适用于各种不同的应用上下文中。确定为支持这种附加的安全措施所需要的安全服务不在本标准的工作范围之内。开放系统互连(OSI)的安全功能仅仅涉及能让端系统之间进行信息的安全传送的通信通路的可见方面,不考虑在端系统、设备或组织内所需要的安全措施,除非牵连到在 OSI中可见性安全服务的选择国家技术监督局1995-06-21批准1996-02-01实施
GB/T 9387.2—1995
与定位。安全结构问题的这些方面也可以进行标准化,但不在OSI标准的工作范围之内。本标准对在GB9387一88中定义的概念与原则作了补充,但并未改动它们。本标准既不是~个实施规范,也不是评价实际执行方案一致性的基准。2引用标准
信息处理系统开放系统互连基本参考模型GB 9387--88
GB/T15274信息处理系统开放系统互连网络层的内部组织结构IS()7498-4信息处理系统开放系统互连基本参考模型第4部分:管理框架IS0)7498/补篇1信息处理系统开放系统互连基本参考模型补篇1:无连结方式传送3定义与缩略语
本标准以在GB9387---88中建立的概念为基础,并使用在该标准中定义的下列术语;3.1
(N)连接;
(N)数据传输;
(N)实体;
(N)业务;
(N)层;
开放系统;
对等实体;
(N)协议;
(N)协议数据单元;
(N)中继;
路由选择;
排序;
(N)服务;
(N)服务数据单元;
(N)用户数据;
子网;
OSI资源;
传送语法。
本标准使用的下列术语取自相应的国家标准(GB)和国际标准(ISO):3.2
无连接方式传输
端系统
中继与路由功能
单元数据
管理信息库
(ISO7498补篇1)
(GB 9387—88)
(GB/T 15274)
(GB 9387~-88)
(ISO 7498-4)
此外,还使用了下面这些缩写:OSI:开放系统互连;
SDU:服务数据单元;
SMIB:安全管理信息库;
MIB:管理信息库。
3.3本标准采用下列定义:
3.3.1 访间控制 access control571
GB/T 9387.2—1995
防止对资源的未授权使用,包括防止以未授权方式使用某一资源。3.3.2访间控制表access control list带有访问权限的实体表,这些访问权是授予它们访问某一资源的。3.3.3可确认性accountability
这样一种性质,它确保一个实体的作用可以被独一无二地跟踪到该实体。3.3.4主动威胁active threat
这种威胁是对系统的状态进行故意的非授权的改变。注:与安全有关的主动威胁的例子可能是:篡改消息、重发消息、插入伪消息、冒充已授权实体以及服务拒绝等3.3.5审计audit
见“安全审计”。
3.3.6 审计跟踪 audit trail见“安全审计跟踪”。
3.3.7 鉴别 authentication
见“数据原发鉴别”与“对等实体鉴别”。注:在本标准中,当涉及数据完整性时不使用术语“鉴别”,而另用术语“数据完整性”。3.3.8鉴别信息authentication information用以建立身份有效性的信息。
3.3.9 鉴别交换 authentication exchange通过信息交换来保证实体身份的一种机制。3.3.10' 授权authorization
授予权限,包括允许基于访问权的访问。3.3.11可用性availability
根据授权实体的请求可被访问与使用。3.3.12权力capability
作为资源标识符使用的权标,拥有它便拥有对该资源的访问权。3.3.13信道channel
信息传送通路。
3.3.14密文ciphertext
经加密处理而产生的数据,其语义内容是不可用的。注:密文本身可以是加密算法的输入,这时候产生超加密输出。3.3.15明文 cleartext
可理解的数据,其语义内容是可用的。3.3.16机密性confidentiality
这一性质使信息不泄露给非授权的个人、实体或进程,不为其所用。3.3.17 凭证 credentials
用来为一·个实体建立所需身份而传送的数据。3.3.18密码分析cryptanalysis
为了得到保密变量或包括明文在内的敏感性数据而对密码系统或它的输入输出进行的分析。3.3.19密码校验值cryptographic checkvalue通过在数据单元上执行密码变换(见“密码学”)而得到的信息。注:密码校验值可经一步或多步操作后得出,它是依赖于密钥与数据单元的一个数学函数的结果,常被用来校验数据单元的完整性。
3.3.20密码学cryptography
GB/T 9387.2—1995
这门学科包含了对数据进行变换的原理、手段和方法,其目的是掩藏数据的内容,防止对它作了篡改而不被识破或非授权使用。
注:密码学决定在加密和解密中使用的方法。对密码原理,手段,或方法的攻击就是密码分析。3.3.21数据完整性data integrity这一性质表明数据没有遭受以非授权方式所作的算改或破坏。3.3.22数据原发鉴别data origin authentication确认接收到的数据的来源是所要求的。3.3.23 解密 decipherment
与个可逆的加密过程相对应的反过程。3.3.24解密处理decryption
见“解密”。
3.3.25服务拒绝denial of service阻止对资源的授权访问或拖延时限操作。3.3.26数字签名digital signature附加在数据单元上的一些数据,或是对数据单元所作的密码变换(见“密码学\),这种数据或变换允许数据单元的接收者用以确认数据单元来源和数据单元的完整性,并保护数据,防止被人(例如接收者)进行伪造。
3.3.27 加密 encipherment
对数据进行密码变换(见“密码学”)以产生密文。注:加密可以是不可逆的,在这种情况下,相应的解密过程便不能实际实现了。3.3.28加密处理encryption
见“加密”。
3.3.29 端-端加密 end-to-end encipherment数据在源端系统内进行加密,而相应的解密仅仅发生在目的端系统之内。(见“逐链加密”)3.3.30基于身份的安全策略identity-based securitypolicy这种安全策略的基础是用户或用户群的身份或属性,或者是代表用户进行活动的实体以及被访问的资源或客体的身份或属性。
3.3.31完整性integrity
见“数据完整性”。
3.3.32密钥key
控制加密与解密操作的一序列符号。3.3.33密钥管理key management在一种安全策略指导下密钥的产生,存储,分配,删除,归档及应用。3.3.34 逐链加密 link-by-link encipherment在通信系统的每段链路上对数据分别进行加密。(见“端-端加密\)注:逐链加密意味着在中继实体中数据将以明文形式出现。3.3.35操作检测manipulation detection用来检测数据单元是否被修改过的一种机制。(这种修改或是偶然发生的,或是故意进行的。)3.3.36冒充masquerade
一个实体伪装为另一个不同的实体。3.3.37 公证 notarization
由可信赖的第三方对数据进行登记,以便保证数据的特征如内容,原发,时间,交付等的准确性不致改变。
3.3.38被动威胁passive threatGB/T 9387.2
这种威胁对信息的非授权泄露而未改变系统状态。3.3.39口令password
机密的鉴别信息,通常由一串字符组成。3.3.40对等实体鉴别peer-entity authentication确认有关的对等实体是所需的实体。3.3.41物理安全physical security—1995
为防范蓄意的和意外的威胁而对资源提供物理保护所采取的措施。3.3.42策略policy
见“安全策略”。bzxZ.net
3.3.43私密privacy
一种个人权限,它控制和影响与这些个体有关的哪些信息可以被收集,存储以及这些信息可以被谁泄露和泄露给谁。
注;由于这一术语涉及到私人权限,不可能精确地予以限定,因此,除了作为要求安全保护的一种动机外,应避免使用。
3.3.44抵赖repudiation
在次通信中涉及到的那些实体之一不承认参加了该通信的全部或一部分。3.3.45路由选择控制routing control在路由选择过程中应用规则,以便具体地选取或回避某些网络、链路或中继。3.3.46基于规则的安全策略rule-based security policy这种安全策略的基础是强加于全体用户的总体规则。这些规则往往依赖于把被访问资源的敏感性与用户、用户群、或代表用户活动的实体的相应属性进行比较。3.3.47安全审计 security audit为了测试出系统的控制是否足够,为了保证与已建立的策略和操作规程相符合,为了发现安全中的漏洞,以及为了建议在控制、策略和规程中作任何指定的改变,而对系统记录与活动进行的独立观察和考核。
3.3.48 安全审计跟踪 security audit trail收集起来并可用来使安全审计易于进行的数据。3.3.49 安全标记 security label与某一资源可以是数据单元)密切相联的标记,为该资源命名或指定安全属性。注:这种标记或约束可以是明显的,也可以是隐含的。3.3.50 安全策略 security policy提供安全服务的一套准则。(见“基于身份的安全策略”与“基于规则的安全策略”)注:一种完备的安全策略势将涉及超出OSI范围之外的许多事项。3.3.51安全服务security service由参与通信的开放系统的层所提供的服务,它确保该系统或数据传送具有足够的安全性。3.3.52选择字段保护selectivefieldprotection对将被传输的消息中的特定字段实施的保护。3.3.53敏感性sensitivity
资源所具有的一种特征,它意味着该资源的价值或重要性,也可能包含这一资源的脆弱性。3.3.54签名signature
见“数字签名”。
3.3.55威胁threat
种潜在的对安全的侵害。
GB/T9387.2—1995
3.3.56.通信业务分析trafficanalysis通过对通信业务流的观察(出现、消失、总量、方向与频度),而对信息作出推断。3.3.57通信业务流机密性traffic flowconfidentiality抵抗通信业.务分析的一种机密性服务3.3.58通信业务填充1rafficpadding制造通信的假实例,产生欺骗性数据单元或数据单元中的伪数据。3.3.59可信功能度trusted functionality就某种标准,例如按某种安全策略确立的准则而言,这种功能被认为是正确无误的。4记法
本标准中使用的层次记法与GB9387-88中确定的相同。如果不作另外说明,“服务”一词就用来指安全服务。5安全服务与安全机制的一般描述5.1概述
本章讨论包括在OSI安全体系结构中的安全服务以及实现这些服务的机制。下面描述的安全服务是基本的安全服务。实际上,为了满足安全策略或用户的要求,它们将应用在适当的功能层上,通常还要与非OSI服务与机制结合起来使用。一些特定的安全机制能用来实现这些基本安全服务的组合。实际建立的系统为了直接引用的方便可以执行这些基本的安全服务的某些特定的组合。5.2安全服务
下面所列被认为是在OSI参考模型的框架中能提供的可选的安全服务。其中的鉴别服务需要有鉴别信息,它包括用于鉴别而存储在当地的信息和经传送而得到的数据(凭证)两部分。5.2.1鉴别
这种安全服务提供对通信中的对等实体和数据来源的鉴别,分述如下:“5.2.1.1对等实体鉴别
这种服务当由(N)层提供时,将使(N十1)实体确信与之打交道的对等实体正是它所需要的(N+1)实体。
这种服务在连接建立或在数据传送阶段的某些时刻提供使用,用以证实一个或多个连接实体的身份。使用这种服务可以确信(仅仅在使用时间内):一个实体此时没有试图冒充别的实体,或没有试图将先前的连接作非授权地重演。实施单向或双向对等实体鉴别是可能的,可以带有效期检验,也可以不带。这种服务能够提供各种不同程度的保护。5.2.1.2数据原发鉴别
这种服务当由(N)层提供时,将使(N+1)实体确信数据来源正是所要求的对等(N十1)实体。数据原发鉴别服务对数据单元的来源提供确证。这种服务对数据单元的重复或篡改不提供保护。5.2.2访问控制
这种服务提供保护以对付OSI可访问资源的非授权使用。这些资源可以是经OSI协议访问到的OSI资源或非OSI资源。这种保护服务可应用于对资源的各种不同类型的访问(例如:使用通信资源;读、写或删除信息资源;处理资源的执行)或应用于对一种资源的所有访问。这种访问控制要与不同的安全策略协调-一致(见6.2.1.1条)。5.2.3数据机密性
这种服务对数据提供保护使之不被非授权地泄露;分述如下:5.2.3.1连接机密性
GB/T 9387.2—1995
这种服务为一-次(N)连接上的全部(N)用户数据保证其机密性。注:在某些使用中和层次上,保护所有数据可能是不适宜的,例如加速数据或连接请求中的数据。5.2.3.2无连接机密性
这种服务为单个无连接的(N)SDU中的全部(N)用户数据保证其机密性。5.2.3.3选择字段机密性
这种服务为那些被选择的字段保证其机密性,这些字段或处于(N)连接的(N)用户数据中,或为单个无连接的(N)SDU中的字段。
5.2.3.4通信业务流机密性
这种服务提供的保护,使得通过观察通信业务流而不可能推断出其中的机密信息。5.2.4数据完整性
这种服务对付主动威胁,可取如下所述的各种形式之一。注:在一次连接上,连接开始时使用对等实体鉴别服务,并在连接的存活期使用数据完整性服务就能联合起来为在此连接上传送的所有数据单元的来源提供确证,为这些数据单元的完整性提供确证,而且,例如使用顺序号,还能另外为数据单元的重复提供检测。5.2.4.1带恢复的连接完整性
这种服务为(N)连接上的所有(N)用户数据保证其完整性,并检测整个SDU序列中的数据遭到的任何篡改、插入、删除或重演(同时试图补救恢复)。5.2.4.2不带恢复的连接完整性
与5.2.4.1条的服务相同,只是不作补救恢复5.2.4.3选择字段的连接完整性
这种服务为在一次连接上传送的(N)-SDU的(N)用户数据中的选择字段保证其完整性,所取形式是确定这些被选字段是否遭到了篡改、插入、删除或重演。5.2.4.4无连接完整性
这种服务当由(N)层提供时,对发出请求的那个(N十1)实体提供完整性保证。这种服务为单个的无连接SDU保证其完整性,所取形式可以是确定一个接受到的SDU是否遭受了改。另外,在一定程度上也能提供对重演的检测。5.2.4.5选择字段无连接完整性
这种服务为单个无连接的SDU中的被选字段保证其完整性,所取形式为确定被选字段是否遭受了算改。
5.2.5抗抵赖
这种服务可取如下两种形式,或两者之一。5.2.5.1有数据原发证明的抗抵赖为数据的接收者提供数据来源的证据。这将使发送者谎称未发送过这些数据或否认它的内容的企图不能得遥。
5.2.5.2有交付证明的抗抵赖
为数据的发送者提供数据交付证据。这将使得接收者事后谎称未收到过这些数据或否认它的内容的企图不能得谨。
5.3特定的安全机制
下面所列的这些安全机制可以设置在适当的(N)层上,以便提供在5.2条中所述的某些服务。5.3.1加密
5.3.1.1加密既能为数据提供机密性,也能为通信业务流信息提供机密性,并且还成为在下面所述的一些别的安全机制中的一部分或起补充作用。5.3.1.2加密算法可以是可逆的,也可以是不可逆的。可逆加密算法有两大类:579
GB/T 9387.2—1995
a.对称(即秘密密钥)加密。对于这种加密,知道了加密密钥也就意味着知道了解密密钥,反之亦b。非对称(例如公开密钥)加密。对于这种加密,知道了加密密钥并不意味着也知道解密密钥,反之亦然。这种系统的这样两个密钥有时称之为“公钥”与“私钥”。不可逆加密算法可以使用密钥,也可以不使用。若使用密钥,这密钥可以是公开的,也可以是秘密的。5.3.1.3除了某些不可逆加密算法的情况外,加密机制的存在便意味着要使用密钥管理机制。密钥管理方法上的-些准则将在8.4条中给出。5.3.2数字签名机制
这种机制确定两个过程:
a.对数据单元签名;
b验证签过名的数据单元。
第一个过程使用签名者所私有的(即独有的和机密的)信息。第二个过程所用的规程与信息是公之于众的,但不能够从它们推断出该签名者的私有信息。5.3.2.1签名过程涉及到使用签名者的私有信息作为私钥,或对数据单元进行加密,或产生出该数据单元的一个密码校验值。
5.3.2.2验证过程涉及到使用公开的规程与信息来决定该签名是不是用签名者的私有信息产生的。5.3.2.3签名机制的本质特征为该签名只有使用签名者的私有信息才能产生出来。因而,当该签名得到验证后,它能在事后的任何时候向第三方(例如法官或仲裁人)证明:只有那私有信息的唯一拥有者才能产生这个签名。
5.3.3访问控制机制
5.3.3.1为了决定和实施个实体的访问权,访问控制机制可以使用该实体已鉴别的身份,或使用有关该实体的信息(例如它与个已知的实体集的从属关系),或使用该实体的权力。如果这个实体试图使用非授权的资源,或者以不正当方式使用授权资源,那么访问控制功能将拒绝这一企图,另外还可能产生一个报警信号或记录它作为安全审计跟踪的一个部分来报告这一事件。对于无连接数据传输,发给发送者的拒绝访问的通知只能作为强加于原发的访问控制结果而被提供。5.3.3.2访问控制机制,可以建立在使用下列所举的一种或多种手段之上:a,访问控制信息库,在这里保存有对等实体的访问权限。这些信息可以由授权中心保存,或由正被访问的那个实体保存。这信息的形式可以是一个访问控制表,或是等级结构或分布式结构的矩阵。还要预先假定对等实体的鉴别已得到保证:b.鉴别信息,例如口令,对这一信息的占有和出示便证明正在进行访问的实体已被授权;c.权力:对它的占有和出示便证明有权访问由该权力所规定的实体或资源;注:权力应是不可伪造的并以可信赖的方式进行运送。d.安全标记:当与一个实体相关联时,这种安全标记可用来表示同意或拒绝访问,通常根据安全策略而定;
e.试图访问的时间;
f.试图访问的路由;
g.访问持续期。
5.3.3.3访问控制机制可应用于通信联系中的一端点,或应用于任一中间点。涉及原发点或任一中间点的访问控制是用来决定发送者是否被授权与指定的接收者进行通信,或是否被授权使用所要求的通信资源。在无连接数据传输目的端上的对等级访问控制机制的要求在源发点必须事先知道,还必须记录在安全管理信息库中(见6.2条与8.1条)。5.3.4数据完整性机制
GB/T 9387.2-1995
5.3.4.1数据完整性有两个方面:单个数据单元或字段的完整性以及数据单元流或字段流的完整性。一般来说,用来提供这两种类型完整性服务的机制是不相同的,尽管没有第一类完整性服务,第二类服务是无法提供的。
5.3.4.2决定单个数据单元的完整性涉及两个过程,一个在发送实体上,一个在接收实体上。发送实体给数据单元附加上一个量,这个量为该数据的函数。这个量可以是如象分组校验码那样的补充信息,或是一个密码校验值,而且它本身可以被加密。接收实体产生一个相应的量,并把它与接收到的那个量进行比较以决定该数据是否在转送中被篡改过。单靠这种机制不能防止单个数据单元的重演。在网络体系结构的适当层上,操作检测可能在本层或较高层上导致恢复作用(例如经重传或纠错)。5.3.4.3对于连接方式数据传送,保护数据单元序列的完整性(即防止乱序、数据的丢失、重演、插入和篡改)还另外需要某种明显的排序形式,例如顺序号、时间标记或密码链。5.3.4.4对于无连接数据传送,时间标记可以用来在一定程度上提供保护,防止个个数据单元的重演。5.3.5鉴别交换机制
5.3.5.1可用于鉴别交换的些技术是:a.使用鉴别信息,例如口令,由发送实体提供而由接收实体验证;b.密码技术;
c.使用该实体的特征或占有物。5.3.5.2这种机制可设置在(N)层以提供对等实体鉴别。如果在鉴别实体时,这一机制得到否定的结果,就会导致连接的拒绝或终止,也可能使在安全审计跟踪中增加一个记录,或给安全管理中心一个报告。
5.3.5.3当采用密码技术时,这些技术可以与“握手”协议结合起来以防止重演(即确保存活期)。5.3.5.4鉴别交换技术的选用取决于使用它们的环境。在许多场合,它们将必须与下列各项结合使用:a时间标记与同步时钟;
b.两方握手和三方握手(分别对应于单方鉴别和相互鉴别);c.由数字签名和公证机制实现的抗抵赖服务。5.3.6通信业务填充机制
通信业务填充机制能用来提供各种不同级别的保护,抵抗通信业务分析。这种机制只有在通信业务填充受到机密服务保护时才是有效的。5.3.7路由选择控制机制
5.3.7.1路由能动态地或预定地选取,以便只使用物理上安全的子网络、中继站或链路。5.3.7.2在检测到持续的操作攻击时,端系统可希望指示网络服务的提供者经不同的路由建立连接。5.3.7.3带有某些安全标记的数据可能被安全策略禁止通过某些子网络、中继或链路。连接的发起者(或无连接数据单元的发送者)可以指定路由选择说明,由它请求回避某些特定的子网络、链路或中继。5.3.8公证机制
有关在两个或多个实体之间通信的数据的性质,如它的完整性、原发、时间和目的地等能够借助公证机制而得到确保。这种保证是由第三方公证人提供的。公证人为通信实体所信任,并掌握必要信息以一种可证实方式提供所需的保证。每个通信事例可使用数字签名、加密和完整性机制以适应公证人提供的那种服务。当这种公证机制被用到时,数据便在参与通信的实体之间经由受保护的通信实例和公证方进行通信。
5.4普遍性安全机制
在本条说明的几种安全机制不是为任何特定的服务而特设的,因此在后面的第7章中,在任一特定的层上,对它们都不作明确的说明。某些这样的普遍性安全机制可认为属于安全管理方面(见第8章)。这些机制的重要性,一般说来与所要求的安全级别直接有关。5.4.1可信功能度
GB/T9387.2—1995
5.4.1.1为了扩充其他安全机制的范围,或为了建立这些安全机制的有效性必须使用可信功能度。任何功能度,只要它是直接提供安全机制,或提供对安全机制的访问都应该是可信赖的。5.4.1.2用来保证可对这样的硬件与软件寄托信任的手段已超出本标准的范围,而且在任何情况下,这些手段随已察觉到的威胁的级别和被保护信息的价值而改变。5.4.1.3一般说来,这些手段的代价高而且难于实现。能大大简化这一难题的办法是选取一个体系结构,它允许安全功能在这样一些模块中实现,这些模块能与非安全功能分开来制作,并由非安全功能来提供。
5.4.1.4应用于一个层而对该层之上的联系所作的任何保护必须由另外的手段来提供,例如通过适当的可信功能度。
5.4.2安全标记
包含数据项的资源可能具有与这些数据相关联的安全标记,例如指明数据敏感性级别的标记。常常必须在转送中与数据一起运送适当的安全标记。安全标记可能是与被传送的数据相连的附加数据,也可能是隐含的信息,例如使用一个特定密钥加密数据所隐含的信息,或由该数据的上下文所隐含的信息,例如数据来源或路由来隐含。明显的安全标记必须是清晰可辨认的,以便对它们作适当的验证。此外,它们还必须安全可靠地依附于与之关联的数据。5.4.3事件检测
5.4.3.1与安全有关的事件检测包括对安全明显侵害的检测,也可以包括对\正常”事件的检测,例如一次成功的访问(或注册)。与安全有关的事件的检测可由OSI内部含有安全机制的实体来做。构成一个事件的技术规范由事件处置管理来维护(见8.3.1条)。对各种安全事件的检测,可能引起一个或多个如下动作:
在本地报告这一事件,
远程报告这一事件;
c.对事件作记录(见5.4.3条);进行恢复(见5.4.4条)。
这种安全事件的例子为:
特定的安全侵害;
b.特定的选择事件;
c.对事件发生次数计数的溢出。5.4.3.2这一领域的标准化将考虑对事件报告与事件记录有关信息的传输,以及为了传输事件报告与事件记录所使用的语法和语义的定义。5.4.4安全审计跟踪
5.4.4.1安全审计跟踪提供了一种不可忽视的安全机制,它的潜在价值在于经事后的安全审计得以检测和调查安全的漏洞。安全审计就是对系统的记录与行为进行独立的品评考查,目的是测试系统的控制是否恰当,保证与既定策略和操作规程的协调一致,有助于作出损害评估,以及对在控制、策略与规程中指明的改变作出评价。安全审计要求在安全审计跟踪中记录有关安全的信息,分析和报告从安全审计跟踪中得来的信息。这种日志记录或记录被认为是一种安全机制并在本条中予以描述,而把分析和报告视为-~种安全管理功能(见8.3.2条)。5.4.4.2收集审计跟踪的信息,通过列举被记录的安全事件的类别(例如对安全要求的明显违反或成功操作的完成),能适应各种不同的需要。已知安全审计的存在可对某些潜在的侵犯安全的攻击源起到威摄作用。5.4.4.30S1安全审计跟踪将考虑要选择记录什么信息,在什么条件下记录信息,以及为了交换安全审计跟踪信息所采用的语法和语义定义。5.4.5安全恢复
GB/T9387.2—1995
5.4.5.1安全恢复处理来自诸如事件处置与管理功能等机制的请求,并把恢复动作当作是应用一组规则的结果。这种恢复动作可能有三种:a.
立即的;
暂时的;
长期的。
例如:
立即动作可能造成操作的立即放弃,如断开。暂时动作可能使一个实体暂时无效。长期动作可能是把一个实体记入“黑名单”,或改变密钥。5.4.5.2对于标准化的课题包括恢复动作的协议,以及安全恢复管理的协议(见8.3.3条)。5.5安全服务与安全机制间关系的实例对于每一种服务的提供,表1标明哪些机制被认为有时是适宜的,或由一种机制单独提供,或几种机制联合提供。此表展示了这些关系的一个概貌,而且也不是一一成不变的。在表中引述的服务和机制在5.2条与5.3条中作了描述,在第6章将对这些关系作更充分的说明。表1
对等实体鉴别
数据原发鉴别
访问控制服务
连接机密性
无连接机密性
选择字段机密性
通信业务流机密性
带恢复的连接完整性
不带恢复的连接完整性
选择字段连接完整性
无连接完整性
选择字段无连接完整性
抗抵赖,带数据原发证据
抗抵赖,带交付证据
说明:Y
完整性
这种机制被认为是适宜的,或单独使用,或与别的机制联合使用。这种机制被认为是不适宜的。
6服务、机制与层的关系
6.1安全分层原则
通信业
务填充
6.1.1为了决定安全服务对层的分配以及伴随而来的安全机制在这些层上的配置用到了下列原则:2.实现一种服务的不同方法越少越好;583
GB/T 9387.2—1995
b.在多个层上提供安全服务来建立安全系统是可取的;c.为安全所需的附加功能度不应该不必要地重复OSI的现有功能;d.避免破坏层的独立性;
e.可信功能度的总量应尽量少;f.只要一个实体依赖于由位于较低层的实体提供的安全机制,那么任何中间层应该按不违反安全的方式构作;
g。只要可能,应以不排除作为自容纳模块起作用的方法来定义一个层的附加安全功能;h。本标准被认定应用于由包含所有七层的端系统组成的开放系统,以及中继系统。6.1.2各层上的服务定义可能需要修改以便满足安全服务的请求,不论所要求的安全服务是由该层提供或下面提供。
6.2保护(N)服务的调用、管理与使用模型本条应与第8章结合起来读,该章包含了对安全管理问题的一般讨论。本条说明安全服务与机制能够由管理实体通过管理接口使之激活,或由服务调用使之激活。6.2.1通信实例保护特点的确定
6.2.1.1概述
本条说明对于面向连接与无连接通信实例保护的调用。在面向连接通信的情形,请求和获准保护通常是在连接建立时刻。在无连接服务调用的情形,请求和获准保护是对每个“单元数据”请求进行的。为了简化下面的说明,“服务请求”一词将用来指连接建立或单元数据请求。对被选数据调用保护能够通过请求选择字段保护来达到。例如,可以这样进行:建立几个连接,每个连接带有不同类型或级别的保护。
这种安全体系结构适应多种安全策略,包括基于规则的,基于身份的,或二者兼而有之的安全策略。这安全体系结构也适应多种保护:行政管理强加的,动态选定的,或二者兼有的。6.2.1.2服务请求
对于每个(N)服务请求,(N+1)实体可以请求安全保护以达到所要求的目标。(N)服务请求将与参数以及附加的相关信息(如敏感性信息或安全标记)一起指明安全服务以达到这一目标安全保护。在每个通信实例之先,(N)层必须访问安全管理信息库(SMIB)(见8.1条)。SMIB保存有与所涉及的(N十1)实体相关联的行政管理强加保护要求的信息。还需要可信功能度来实施这些行政管理强加的安全要求。
当为面向连接通信事例时,安全特点的提供可以要求对所需的安全服务进行协商。机制与参数的协商过程可以作为一个单独的过程,或作为正常的连接建立过程的一部分。当协商是作为一个单独的过程实现时,取得一致的结果(即为了提供这样的安全服务而必需的安全机制的类型和安全参数)便进入安全管理信息库(见8.1条)。当协商是作为正常的连接建立过程的一部分实现时,(N)实体之间协商的结果将暂时存储在SMIB之中。在进行协商之前,(N)实体将访问SMIB以获得协商所需要的信息。如果服务请求违反了记录在SMIB中为该(N+1)实体所作的行政管理强加的要求,(N)层将拒绝这一服务请求。
(N)层也将给被请求的保护服务添加上安全服务,这一所要求的安全服务在SMIB中是作为“委托者”而被定义的,以达到这一目标安全保护。如果(N+1)实体不指明一个目标安全保护,那么(N)层将遵循与SMIB相一致的安全策略。这可能是使用在SMIB中为这个(N十1)实体定义的区段内缺省安全保护而继续进行通信。6.2.2提供保护服务
在已决定了行政管理强加与动态选取安全要求相结合之后,如在6.2.1条中所述,该(N)层将试图最低限度地达到自标保护。这将由下述方法实现,或用其一,或两者兼用。58.4
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
信息处理系统开放系统互连
基本参考模型
第2部分:安全体系结构
Informationprocessingsystem-OpenSystemsInterconnection-Basic Reference Model-Part2:Security architectureGB/T 9387.2-1995
ISO 7498-2-1989
本标准等同采用国际标准ISO7498-2-1989《信息处理系统开放系统互连基本参考模型第2部分:安全体系结构》。
0引言
GB9387--88为开放系统互连(OSI)描述了基本参考模型,它为协调开发现有的与未来的系统互连标准建立起个框架。
开放系统互连基本参考模型的目的是让异构型计算机系统的互连能达到应用进程之间的有效通信。在各种不同场合都必须建立安全控制,以便保护在应用进程之间交换的信息。这种控制应该使得非法获取或修改数据所花的代价大于这样做的潜在价值,或者使其为得到所需数据而花费的时间很长,以致失去该数据的价值。
本标准确立了与安全体系结构有关的一般要素,它们能适用于开放系统之间需要通信保护的各种场台。为了安全通信而完善与开放系统互连相关的现有标准或开发新标准,本标准在参考模型的框架内建立起一些指导原则与制约条件,从而提供了一个解决OSI中安全问题的一致性方法。知道安全方面的一些背景对于了解本标准是有益的。我们建议对安全问题不够熟悉的读者先读附录A(参考件)。
本标准扩充了基本参考模型,涉及到了安全问题的一些方面。这些方面是通信协议体系结构的一般要素,但并没有在基本参考模型中予以讨论。1主题内容与适用范围
本标准的任务是:
a,提供安全服务与有关机制的一般描述,这些服务与机制可以为GB9387一88参考模型所配备,
b..确定在参考模型内部可以提供这些服务与机制的位置。本标准扩充了GB9387--88的应用领域,包括了开放系统之间的安全通信。对基本的安全服务与机制以及它们的恰当配置按基本参考模型作了逐层说明。此外还说明了这些安全服务与机制对于参考模型而言在体系结构上的关系。在某些端系统、设备和组织结构中,可能还需要附加某些别的安全措施,这些措施也适用于各种不同的应用上下文中。确定为支持这种附加的安全措施所需要的安全服务不在本标准的工作范围之内。开放系统互连(OSI)的安全功能仅仅涉及能让端系统之间进行信息的安全传送的通信通路的可见方面,不考虑在端系统、设备或组织内所需要的安全措施,除非牵连到在 OSI中可见性安全服务的选择国家技术监督局1995-06-21批准1996-02-01实施
GB/T 9387.2—1995
与定位。安全结构问题的这些方面也可以进行标准化,但不在OSI标准的工作范围之内。本标准对在GB9387一88中定义的概念与原则作了补充,但并未改动它们。本标准既不是~个实施规范,也不是评价实际执行方案一致性的基准。2引用标准
信息处理系统开放系统互连基本参考模型GB 9387--88
GB/T15274信息处理系统开放系统互连网络层的内部组织结构IS()7498-4信息处理系统开放系统互连基本参考模型第4部分:管理框架IS0)7498/补篇1信息处理系统开放系统互连基本参考模型补篇1:无连结方式传送3定义与缩略语
本标准以在GB9387---88中建立的概念为基础,并使用在该标准中定义的下列术语;3.1
(N)连接;
(N)数据传输;
(N)实体;
(N)业务;
(N)层;
开放系统;
对等实体;
(N)协议;
(N)协议数据单元;
(N)中继;
路由选择;
排序;
(N)服务;
(N)服务数据单元;
(N)用户数据;
子网;
OSI资源;
传送语法。
本标准使用的下列术语取自相应的国家标准(GB)和国际标准(ISO):3.2
无连接方式传输
端系统
中继与路由功能
单元数据
管理信息库
(ISO7498补篇1)
(GB 9387—88)
(GB/T 15274)
(GB 9387~-88)
(ISO 7498-4)
此外,还使用了下面这些缩写:OSI:开放系统互连;
SDU:服务数据单元;
SMIB:安全管理信息库;
MIB:管理信息库。
3.3本标准采用下列定义:
3.3.1 访间控制 access control571
GB/T 9387.2—1995
防止对资源的未授权使用,包括防止以未授权方式使用某一资源。3.3.2访间控制表access control list带有访问权限的实体表,这些访问权是授予它们访问某一资源的。3.3.3可确认性accountability
这样一种性质,它确保一个实体的作用可以被独一无二地跟踪到该实体。3.3.4主动威胁active threat
这种威胁是对系统的状态进行故意的非授权的改变。注:与安全有关的主动威胁的例子可能是:篡改消息、重发消息、插入伪消息、冒充已授权实体以及服务拒绝等3.3.5审计audit
见“安全审计”。
3.3.6 审计跟踪 audit trail见“安全审计跟踪”。
3.3.7 鉴别 authentication
见“数据原发鉴别”与“对等实体鉴别”。注:在本标准中,当涉及数据完整性时不使用术语“鉴别”,而另用术语“数据完整性”。3.3.8鉴别信息authentication information用以建立身份有效性的信息。
3.3.9 鉴别交换 authentication exchange通过信息交换来保证实体身份的一种机制。3.3.10' 授权authorization
授予权限,包括允许基于访问权的访问。3.3.11可用性availability
根据授权实体的请求可被访问与使用。3.3.12权力capability
作为资源标识符使用的权标,拥有它便拥有对该资源的访问权。3.3.13信道channel
信息传送通路。
3.3.14密文ciphertext
经加密处理而产生的数据,其语义内容是不可用的。注:密文本身可以是加密算法的输入,这时候产生超加密输出。3.3.15明文 cleartext
可理解的数据,其语义内容是可用的。3.3.16机密性confidentiality
这一性质使信息不泄露给非授权的个人、实体或进程,不为其所用。3.3.17 凭证 credentials
用来为一·个实体建立所需身份而传送的数据。3.3.18密码分析cryptanalysis
为了得到保密变量或包括明文在内的敏感性数据而对密码系统或它的输入输出进行的分析。3.3.19密码校验值cryptographic checkvalue通过在数据单元上执行密码变换(见“密码学”)而得到的信息。注:密码校验值可经一步或多步操作后得出,它是依赖于密钥与数据单元的一个数学函数的结果,常被用来校验数据单元的完整性。
3.3.20密码学cryptography
GB/T 9387.2—1995
这门学科包含了对数据进行变换的原理、手段和方法,其目的是掩藏数据的内容,防止对它作了篡改而不被识破或非授权使用。
注:密码学决定在加密和解密中使用的方法。对密码原理,手段,或方法的攻击就是密码分析。3.3.21数据完整性data integrity这一性质表明数据没有遭受以非授权方式所作的算改或破坏。3.3.22数据原发鉴别data origin authentication确认接收到的数据的来源是所要求的。3.3.23 解密 decipherment
与个可逆的加密过程相对应的反过程。3.3.24解密处理decryption
见“解密”。
3.3.25服务拒绝denial of service阻止对资源的授权访问或拖延时限操作。3.3.26数字签名digital signature附加在数据单元上的一些数据,或是对数据单元所作的密码变换(见“密码学\),这种数据或变换允许数据单元的接收者用以确认数据单元来源和数据单元的完整性,并保护数据,防止被人(例如接收者)进行伪造。
3.3.27 加密 encipherment
对数据进行密码变换(见“密码学”)以产生密文。注:加密可以是不可逆的,在这种情况下,相应的解密过程便不能实际实现了。3.3.28加密处理encryption
见“加密”。
3.3.29 端-端加密 end-to-end encipherment数据在源端系统内进行加密,而相应的解密仅仅发生在目的端系统之内。(见“逐链加密”)3.3.30基于身份的安全策略identity-based securitypolicy这种安全策略的基础是用户或用户群的身份或属性,或者是代表用户进行活动的实体以及被访问的资源或客体的身份或属性。
3.3.31完整性integrity
见“数据完整性”。
3.3.32密钥key
控制加密与解密操作的一序列符号。3.3.33密钥管理key management在一种安全策略指导下密钥的产生,存储,分配,删除,归档及应用。3.3.34 逐链加密 link-by-link encipherment在通信系统的每段链路上对数据分别进行加密。(见“端-端加密\)注:逐链加密意味着在中继实体中数据将以明文形式出现。3.3.35操作检测manipulation detection用来检测数据单元是否被修改过的一种机制。(这种修改或是偶然发生的,或是故意进行的。)3.3.36冒充masquerade
一个实体伪装为另一个不同的实体。3.3.37 公证 notarization
由可信赖的第三方对数据进行登记,以便保证数据的特征如内容,原发,时间,交付等的准确性不致改变。
3.3.38被动威胁passive threatGB/T 9387.2
这种威胁对信息的非授权泄露而未改变系统状态。3.3.39口令password
机密的鉴别信息,通常由一串字符组成。3.3.40对等实体鉴别peer-entity authentication确认有关的对等实体是所需的实体。3.3.41物理安全physical security—1995
为防范蓄意的和意外的威胁而对资源提供物理保护所采取的措施。3.3.42策略policy
见“安全策略”。bzxZ.net
3.3.43私密privacy
一种个人权限,它控制和影响与这些个体有关的哪些信息可以被收集,存储以及这些信息可以被谁泄露和泄露给谁。
注;由于这一术语涉及到私人权限,不可能精确地予以限定,因此,除了作为要求安全保护的一种动机外,应避免使用。
3.3.44抵赖repudiation
在次通信中涉及到的那些实体之一不承认参加了该通信的全部或一部分。3.3.45路由选择控制routing control在路由选择过程中应用规则,以便具体地选取或回避某些网络、链路或中继。3.3.46基于规则的安全策略rule-based security policy这种安全策略的基础是强加于全体用户的总体规则。这些规则往往依赖于把被访问资源的敏感性与用户、用户群、或代表用户活动的实体的相应属性进行比较。3.3.47安全审计 security audit为了测试出系统的控制是否足够,为了保证与已建立的策略和操作规程相符合,为了发现安全中的漏洞,以及为了建议在控制、策略和规程中作任何指定的改变,而对系统记录与活动进行的独立观察和考核。
3.3.48 安全审计跟踪 security audit trail收集起来并可用来使安全审计易于进行的数据。3.3.49 安全标记 security label与某一资源可以是数据单元)密切相联的标记,为该资源命名或指定安全属性。注:这种标记或约束可以是明显的,也可以是隐含的。3.3.50 安全策略 security policy提供安全服务的一套准则。(见“基于身份的安全策略”与“基于规则的安全策略”)注:一种完备的安全策略势将涉及超出OSI范围之外的许多事项。3.3.51安全服务security service由参与通信的开放系统的层所提供的服务,它确保该系统或数据传送具有足够的安全性。3.3.52选择字段保护selectivefieldprotection对将被传输的消息中的特定字段实施的保护。3.3.53敏感性sensitivity
资源所具有的一种特征,它意味着该资源的价值或重要性,也可能包含这一资源的脆弱性。3.3.54签名signature
见“数字签名”。
3.3.55威胁threat
种潜在的对安全的侵害。
GB/T9387.2—1995
3.3.56.通信业务分析trafficanalysis通过对通信业务流的观察(出现、消失、总量、方向与频度),而对信息作出推断。3.3.57通信业务流机密性traffic flowconfidentiality抵抗通信业.务分析的一种机密性服务3.3.58通信业务填充1rafficpadding制造通信的假实例,产生欺骗性数据单元或数据单元中的伪数据。3.3.59可信功能度trusted functionality就某种标准,例如按某种安全策略确立的准则而言,这种功能被认为是正确无误的。4记法
本标准中使用的层次记法与GB9387-88中确定的相同。如果不作另外说明,“服务”一词就用来指安全服务。5安全服务与安全机制的一般描述5.1概述
本章讨论包括在OSI安全体系结构中的安全服务以及实现这些服务的机制。下面描述的安全服务是基本的安全服务。实际上,为了满足安全策略或用户的要求,它们将应用在适当的功能层上,通常还要与非OSI服务与机制结合起来使用。一些特定的安全机制能用来实现这些基本安全服务的组合。实际建立的系统为了直接引用的方便可以执行这些基本的安全服务的某些特定的组合。5.2安全服务
下面所列被认为是在OSI参考模型的框架中能提供的可选的安全服务。其中的鉴别服务需要有鉴别信息,它包括用于鉴别而存储在当地的信息和经传送而得到的数据(凭证)两部分。5.2.1鉴别
这种安全服务提供对通信中的对等实体和数据来源的鉴别,分述如下:“5.2.1.1对等实体鉴别
这种服务当由(N)层提供时,将使(N十1)实体确信与之打交道的对等实体正是它所需要的(N+1)实体。
这种服务在连接建立或在数据传送阶段的某些时刻提供使用,用以证实一个或多个连接实体的身份。使用这种服务可以确信(仅仅在使用时间内):一个实体此时没有试图冒充别的实体,或没有试图将先前的连接作非授权地重演。实施单向或双向对等实体鉴别是可能的,可以带有效期检验,也可以不带。这种服务能够提供各种不同程度的保护。5.2.1.2数据原发鉴别
这种服务当由(N)层提供时,将使(N+1)实体确信数据来源正是所要求的对等(N十1)实体。数据原发鉴别服务对数据单元的来源提供确证。这种服务对数据单元的重复或篡改不提供保护。5.2.2访问控制
这种服务提供保护以对付OSI可访问资源的非授权使用。这些资源可以是经OSI协议访问到的OSI资源或非OSI资源。这种保护服务可应用于对资源的各种不同类型的访问(例如:使用通信资源;读、写或删除信息资源;处理资源的执行)或应用于对一种资源的所有访问。这种访问控制要与不同的安全策略协调-一致(见6.2.1.1条)。5.2.3数据机密性
这种服务对数据提供保护使之不被非授权地泄露;分述如下:5.2.3.1连接机密性
GB/T 9387.2—1995
这种服务为一-次(N)连接上的全部(N)用户数据保证其机密性。注:在某些使用中和层次上,保护所有数据可能是不适宜的,例如加速数据或连接请求中的数据。5.2.3.2无连接机密性
这种服务为单个无连接的(N)SDU中的全部(N)用户数据保证其机密性。5.2.3.3选择字段机密性
这种服务为那些被选择的字段保证其机密性,这些字段或处于(N)连接的(N)用户数据中,或为单个无连接的(N)SDU中的字段。
5.2.3.4通信业务流机密性
这种服务提供的保护,使得通过观察通信业务流而不可能推断出其中的机密信息。5.2.4数据完整性
这种服务对付主动威胁,可取如下所述的各种形式之一。注:在一次连接上,连接开始时使用对等实体鉴别服务,并在连接的存活期使用数据完整性服务就能联合起来为在此连接上传送的所有数据单元的来源提供确证,为这些数据单元的完整性提供确证,而且,例如使用顺序号,还能另外为数据单元的重复提供检测。5.2.4.1带恢复的连接完整性
这种服务为(N)连接上的所有(N)用户数据保证其完整性,并检测整个SDU序列中的数据遭到的任何篡改、插入、删除或重演(同时试图补救恢复)。5.2.4.2不带恢复的连接完整性
与5.2.4.1条的服务相同,只是不作补救恢复5.2.4.3选择字段的连接完整性
这种服务为在一次连接上传送的(N)-SDU的(N)用户数据中的选择字段保证其完整性,所取形式是确定这些被选字段是否遭到了篡改、插入、删除或重演。5.2.4.4无连接完整性
这种服务当由(N)层提供时,对发出请求的那个(N十1)实体提供完整性保证。这种服务为单个的无连接SDU保证其完整性,所取形式可以是确定一个接受到的SDU是否遭受了改。另外,在一定程度上也能提供对重演的检测。5.2.4.5选择字段无连接完整性
这种服务为单个无连接的SDU中的被选字段保证其完整性,所取形式为确定被选字段是否遭受了算改。
5.2.5抗抵赖
这种服务可取如下两种形式,或两者之一。5.2.5.1有数据原发证明的抗抵赖为数据的接收者提供数据来源的证据。这将使发送者谎称未发送过这些数据或否认它的内容的企图不能得遥。
5.2.5.2有交付证明的抗抵赖
为数据的发送者提供数据交付证据。这将使得接收者事后谎称未收到过这些数据或否认它的内容的企图不能得谨。
5.3特定的安全机制
下面所列的这些安全机制可以设置在适当的(N)层上,以便提供在5.2条中所述的某些服务。5.3.1加密
5.3.1.1加密既能为数据提供机密性,也能为通信业务流信息提供机密性,并且还成为在下面所述的一些别的安全机制中的一部分或起补充作用。5.3.1.2加密算法可以是可逆的,也可以是不可逆的。可逆加密算法有两大类:579
GB/T 9387.2—1995
a.对称(即秘密密钥)加密。对于这种加密,知道了加密密钥也就意味着知道了解密密钥,反之亦b。非对称(例如公开密钥)加密。对于这种加密,知道了加密密钥并不意味着也知道解密密钥,反之亦然。这种系统的这样两个密钥有时称之为“公钥”与“私钥”。不可逆加密算法可以使用密钥,也可以不使用。若使用密钥,这密钥可以是公开的,也可以是秘密的。5.3.1.3除了某些不可逆加密算法的情况外,加密机制的存在便意味着要使用密钥管理机制。密钥管理方法上的-些准则将在8.4条中给出。5.3.2数字签名机制
这种机制确定两个过程:
a.对数据单元签名;
b验证签过名的数据单元。
第一个过程使用签名者所私有的(即独有的和机密的)信息。第二个过程所用的规程与信息是公之于众的,但不能够从它们推断出该签名者的私有信息。5.3.2.1签名过程涉及到使用签名者的私有信息作为私钥,或对数据单元进行加密,或产生出该数据单元的一个密码校验值。
5.3.2.2验证过程涉及到使用公开的规程与信息来决定该签名是不是用签名者的私有信息产生的。5.3.2.3签名机制的本质特征为该签名只有使用签名者的私有信息才能产生出来。因而,当该签名得到验证后,它能在事后的任何时候向第三方(例如法官或仲裁人)证明:只有那私有信息的唯一拥有者才能产生这个签名。
5.3.3访问控制机制
5.3.3.1为了决定和实施个实体的访问权,访问控制机制可以使用该实体已鉴别的身份,或使用有关该实体的信息(例如它与个已知的实体集的从属关系),或使用该实体的权力。如果这个实体试图使用非授权的资源,或者以不正当方式使用授权资源,那么访问控制功能将拒绝这一企图,另外还可能产生一个报警信号或记录它作为安全审计跟踪的一个部分来报告这一事件。对于无连接数据传输,发给发送者的拒绝访问的通知只能作为强加于原发的访问控制结果而被提供。5.3.3.2访问控制机制,可以建立在使用下列所举的一种或多种手段之上:a,访问控制信息库,在这里保存有对等实体的访问权限。这些信息可以由授权中心保存,或由正被访问的那个实体保存。这信息的形式可以是一个访问控制表,或是等级结构或分布式结构的矩阵。还要预先假定对等实体的鉴别已得到保证:b.鉴别信息,例如口令,对这一信息的占有和出示便证明正在进行访问的实体已被授权;c.权力:对它的占有和出示便证明有权访问由该权力所规定的实体或资源;注:权力应是不可伪造的并以可信赖的方式进行运送。d.安全标记:当与一个实体相关联时,这种安全标记可用来表示同意或拒绝访问,通常根据安全策略而定;
e.试图访问的时间;
f.试图访问的路由;
g.访问持续期。
5.3.3.3访问控制机制可应用于通信联系中的一端点,或应用于任一中间点。涉及原发点或任一中间点的访问控制是用来决定发送者是否被授权与指定的接收者进行通信,或是否被授权使用所要求的通信资源。在无连接数据传输目的端上的对等级访问控制机制的要求在源发点必须事先知道,还必须记录在安全管理信息库中(见6.2条与8.1条)。5.3.4数据完整性机制
GB/T 9387.2-1995
5.3.4.1数据完整性有两个方面:单个数据单元或字段的完整性以及数据单元流或字段流的完整性。一般来说,用来提供这两种类型完整性服务的机制是不相同的,尽管没有第一类完整性服务,第二类服务是无法提供的。
5.3.4.2决定单个数据单元的完整性涉及两个过程,一个在发送实体上,一个在接收实体上。发送实体给数据单元附加上一个量,这个量为该数据的函数。这个量可以是如象分组校验码那样的补充信息,或是一个密码校验值,而且它本身可以被加密。接收实体产生一个相应的量,并把它与接收到的那个量进行比较以决定该数据是否在转送中被篡改过。单靠这种机制不能防止单个数据单元的重演。在网络体系结构的适当层上,操作检测可能在本层或较高层上导致恢复作用(例如经重传或纠错)。5.3.4.3对于连接方式数据传送,保护数据单元序列的完整性(即防止乱序、数据的丢失、重演、插入和篡改)还另外需要某种明显的排序形式,例如顺序号、时间标记或密码链。5.3.4.4对于无连接数据传送,时间标记可以用来在一定程度上提供保护,防止个个数据单元的重演。5.3.5鉴别交换机制
5.3.5.1可用于鉴别交换的些技术是:a.使用鉴别信息,例如口令,由发送实体提供而由接收实体验证;b.密码技术;
c.使用该实体的特征或占有物。5.3.5.2这种机制可设置在(N)层以提供对等实体鉴别。如果在鉴别实体时,这一机制得到否定的结果,就会导致连接的拒绝或终止,也可能使在安全审计跟踪中增加一个记录,或给安全管理中心一个报告。
5.3.5.3当采用密码技术时,这些技术可以与“握手”协议结合起来以防止重演(即确保存活期)。5.3.5.4鉴别交换技术的选用取决于使用它们的环境。在许多场合,它们将必须与下列各项结合使用:a时间标记与同步时钟;
b.两方握手和三方握手(分别对应于单方鉴别和相互鉴别);c.由数字签名和公证机制实现的抗抵赖服务。5.3.6通信业务填充机制
通信业务填充机制能用来提供各种不同级别的保护,抵抗通信业务分析。这种机制只有在通信业务填充受到机密服务保护时才是有效的。5.3.7路由选择控制机制
5.3.7.1路由能动态地或预定地选取,以便只使用物理上安全的子网络、中继站或链路。5.3.7.2在检测到持续的操作攻击时,端系统可希望指示网络服务的提供者经不同的路由建立连接。5.3.7.3带有某些安全标记的数据可能被安全策略禁止通过某些子网络、中继或链路。连接的发起者(或无连接数据单元的发送者)可以指定路由选择说明,由它请求回避某些特定的子网络、链路或中继。5.3.8公证机制
有关在两个或多个实体之间通信的数据的性质,如它的完整性、原发、时间和目的地等能够借助公证机制而得到确保。这种保证是由第三方公证人提供的。公证人为通信实体所信任,并掌握必要信息以一种可证实方式提供所需的保证。每个通信事例可使用数字签名、加密和完整性机制以适应公证人提供的那种服务。当这种公证机制被用到时,数据便在参与通信的实体之间经由受保护的通信实例和公证方进行通信。
5.4普遍性安全机制
在本条说明的几种安全机制不是为任何特定的服务而特设的,因此在后面的第7章中,在任一特定的层上,对它们都不作明确的说明。某些这样的普遍性安全机制可认为属于安全管理方面(见第8章)。这些机制的重要性,一般说来与所要求的安全级别直接有关。5.4.1可信功能度
GB/T9387.2—1995
5.4.1.1为了扩充其他安全机制的范围,或为了建立这些安全机制的有效性必须使用可信功能度。任何功能度,只要它是直接提供安全机制,或提供对安全机制的访问都应该是可信赖的。5.4.1.2用来保证可对这样的硬件与软件寄托信任的手段已超出本标准的范围,而且在任何情况下,这些手段随已察觉到的威胁的级别和被保护信息的价值而改变。5.4.1.3一般说来,这些手段的代价高而且难于实现。能大大简化这一难题的办法是选取一个体系结构,它允许安全功能在这样一些模块中实现,这些模块能与非安全功能分开来制作,并由非安全功能来提供。
5.4.1.4应用于一个层而对该层之上的联系所作的任何保护必须由另外的手段来提供,例如通过适当的可信功能度。
5.4.2安全标记
包含数据项的资源可能具有与这些数据相关联的安全标记,例如指明数据敏感性级别的标记。常常必须在转送中与数据一起运送适当的安全标记。安全标记可能是与被传送的数据相连的附加数据,也可能是隐含的信息,例如使用一个特定密钥加密数据所隐含的信息,或由该数据的上下文所隐含的信息,例如数据来源或路由来隐含。明显的安全标记必须是清晰可辨认的,以便对它们作适当的验证。此外,它们还必须安全可靠地依附于与之关联的数据。5.4.3事件检测
5.4.3.1与安全有关的事件检测包括对安全明显侵害的检测,也可以包括对\正常”事件的检测,例如一次成功的访问(或注册)。与安全有关的事件的检测可由OSI内部含有安全机制的实体来做。构成一个事件的技术规范由事件处置管理来维护(见8.3.1条)。对各种安全事件的检测,可能引起一个或多个如下动作:
在本地报告这一事件,
远程报告这一事件;
c.对事件作记录(见5.4.3条);进行恢复(见5.4.4条)。
这种安全事件的例子为:
特定的安全侵害;
b.特定的选择事件;
c.对事件发生次数计数的溢出。5.4.3.2这一领域的标准化将考虑对事件报告与事件记录有关信息的传输,以及为了传输事件报告与事件记录所使用的语法和语义的定义。5.4.4安全审计跟踪
5.4.4.1安全审计跟踪提供了一种不可忽视的安全机制,它的潜在价值在于经事后的安全审计得以检测和调查安全的漏洞。安全审计就是对系统的记录与行为进行独立的品评考查,目的是测试系统的控制是否恰当,保证与既定策略和操作规程的协调一致,有助于作出损害评估,以及对在控制、策略与规程中指明的改变作出评价。安全审计要求在安全审计跟踪中记录有关安全的信息,分析和报告从安全审计跟踪中得来的信息。这种日志记录或记录被认为是一种安全机制并在本条中予以描述,而把分析和报告视为-~种安全管理功能(见8.3.2条)。5.4.4.2收集审计跟踪的信息,通过列举被记录的安全事件的类别(例如对安全要求的明显违反或成功操作的完成),能适应各种不同的需要。已知安全审计的存在可对某些潜在的侵犯安全的攻击源起到威摄作用。5.4.4.30S1安全审计跟踪将考虑要选择记录什么信息,在什么条件下记录信息,以及为了交换安全审计跟踪信息所采用的语法和语义定义。5.4.5安全恢复
GB/T9387.2—1995
5.4.5.1安全恢复处理来自诸如事件处置与管理功能等机制的请求,并把恢复动作当作是应用一组规则的结果。这种恢复动作可能有三种:a.
立即的;
暂时的;
长期的。
例如:
立即动作可能造成操作的立即放弃,如断开。暂时动作可能使一个实体暂时无效。长期动作可能是把一个实体记入“黑名单”,或改变密钥。5.4.5.2对于标准化的课题包括恢复动作的协议,以及安全恢复管理的协议(见8.3.3条)。5.5安全服务与安全机制间关系的实例对于每一种服务的提供,表1标明哪些机制被认为有时是适宜的,或由一种机制单独提供,或几种机制联合提供。此表展示了这些关系的一个概貌,而且也不是一一成不变的。在表中引述的服务和机制在5.2条与5.3条中作了描述,在第6章将对这些关系作更充分的说明。表1
对等实体鉴别
数据原发鉴别
访问控制服务
连接机密性
无连接机密性
选择字段机密性
通信业务流机密性
带恢复的连接完整性
不带恢复的连接完整性
选择字段连接完整性
无连接完整性
选择字段无连接完整性
抗抵赖,带数据原发证据
抗抵赖,带交付证据
说明:Y
完整性
这种机制被认为是适宜的,或单独使用,或与别的机制联合使用。这种机制被认为是不适宜的。
6服务、机制与层的关系
6.1安全分层原则
通信业
务填充
6.1.1为了决定安全服务对层的分配以及伴随而来的安全机制在这些层上的配置用到了下列原则:2.实现一种服务的不同方法越少越好;583
GB/T 9387.2—1995
b.在多个层上提供安全服务来建立安全系统是可取的;c.为安全所需的附加功能度不应该不必要地重复OSI的现有功能;d.避免破坏层的独立性;
e.可信功能度的总量应尽量少;f.只要一个实体依赖于由位于较低层的实体提供的安全机制,那么任何中间层应该按不违反安全的方式构作;
g。只要可能,应以不排除作为自容纳模块起作用的方法来定义一个层的附加安全功能;h。本标准被认定应用于由包含所有七层的端系统组成的开放系统,以及中继系统。6.1.2各层上的服务定义可能需要修改以便满足安全服务的请求,不论所要求的安全服务是由该层提供或下面提供。
6.2保护(N)服务的调用、管理与使用模型本条应与第8章结合起来读,该章包含了对安全管理问题的一般讨论。本条说明安全服务与机制能够由管理实体通过管理接口使之激活,或由服务调用使之激活。6.2.1通信实例保护特点的确定
6.2.1.1概述
本条说明对于面向连接与无连接通信实例保护的调用。在面向连接通信的情形,请求和获准保护通常是在连接建立时刻。在无连接服务调用的情形,请求和获准保护是对每个“单元数据”请求进行的。为了简化下面的说明,“服务请求”一词将用来指连接建立或单元数据请求。对被选数据调用保护能够通过请求选择字段保护来达到。例如,可以这样进行:建立几个连接,每个连接带有不同类型或级别的保护。
这种安全体系结构适应多种安全策略,包括基于规则的,基于身份的,或二者兼而有之的安全策略。这安全体系结构也适应多种保护:行政管理强加的,动态选定的,或二者兼有的。6.2.1.2服务请求
对于每个(N)服务请求,(N+1)实体可以请求安全保护以达到所要求的目标。(N)服务请求将与参数以及附加的相关信息(如敏感性信息或安全标记)一起指明安全服务以达到这一目标安全保护。在每个通信实例之先,(N)层必须访问安全管理信息库(SMIB)(见8.1条)。SMIB保存有与所涉及的(N十1)实体相关联的行政管理强加保护要求的信息。还需要可信功能度来实施这些行政管理强加的安全要求。
当为面向连接通信事例时,安全特点的提供可以要求对所需的安全服务进行协商。机制与参数的协商过程可以作为一个单独的过程,或作为正常的连接建立过程的一部分。当协商是作为一个单独的过程实现时,取得一致的结果(即为了提供这样的安全服务而必需的安全机制的类型和安全参数)便进入安全管理信息库(见8.1条)。当协商是作为正常的连接建立过程的一部分实现时,(N)实体之间协商的结果将暂时存储在SMIB之中。在进行协商之前,(N)实体将访问SMIB以获得协商所需要的信息。如果服务请求违反了记录在SMIB中为该(N+1)实体所作的行政管理强加的要求,(N)层将拒绝这一服务请求。
(N)层也将给被请求的保护服务添加上安全服务,这一所要求的安全服务在SMIB中是作为“委托者”而被定义的,以达到这一目标安全保护。如果(N+1)实体不指明一个目标安全保护,那么(N)层将遵循与SMIB相一致的安全策略。这可能是使用在SMIB中为这个(N十1)实体定义的区段内缺省安全保护而继续进行通信。6.2.2提供保护服务
在已决定了行政管理强加与动态选取安全要求相结合之后,如在6.2.1条中所述,该(N)层将试图最低限度地达到自标保护。这将由下述方法实现,或用其一,或两者兼用。58.4
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。