信息安全體系結構開放系統互連安全服務框架.ppt

《信息安全體系結構開放系統互連安全服務框架.ppt》由會員分享，可在線閱讀，更多相關《信息安全體系結構開放系統互連安全服務框架.ppt（98頁珍藏版）》請在裝配圖網上搜索。

第3章開放系統互連安全服務框架 3 1安全框架概況 安全框架標準是安全服務 安全機制及其相應安全協議的基礎 是信息系統安全的理論基礎 GB T9387 2 1995 等同于ISO7498 2 定義了進程之間交換信息時保證其安全的體系結構中的安全術語 過程和涉及范圍 安全框架標準 ISO IEC10181 1 10181 7 全面惟一地準確定義安全技術術語 過程和涉及范圍的標準 安全框架的內容 描述安全框架的組織結構定義安全框架各個部分要求的安全概念描述框架多個部分確定的安全業(yè)務與機制之間的關系 3 2鑒別 Authentication 框架 ISO IEC10181 2是開放系統互連安全框架的鑒別框架部分 主要內容鑒別目的鑒別的一般原理鑒別的階段可信第三方的參與主體類型人類用戶鑒別針對鑒別的攻擊種類 3 2 1鑒別目的 人進程實開放系統OSI層實體組織機構 如企業(yè) 主體類型 鑒別目的 對抗冒充和重放攻擊 可辨別標識符 鑒別服務 一個主體可以擁有一個或多個 驗證主體所宣稱的身份 3 2 2鑒別的一般原理 可辨別標識符同一安全域中 可辨別標識符具有唯一性 在粗粒度等級上 組擁有可辨別標識符 在細粒度等級上 實體擁有可辨別標識符 在不同安全域中 各安全域可能使用同一個可辨別標識符 這種情況下 可辨別標識符須與安全域標識符連接使用 達到為實體提供明確標識符的目的 舉例 WindowsNT系統中有兩種模式 工作組域用戶帳戶 用戶名 密碼 組帳戶是一個可辨別標識符 在不同域之間的用戶帳戶鑒別 鑒別時需要提供域的信息 鑒別的一般原理 鑒別方法已知 如一個秘密的通行字擁有的 如IC卡不可改變的特性 如生物學測定的標識特征相信可靠的第三方建立的鑒別環(huán)境 如主機地址 通過 擁有的 某物進行鑒別 一般是鑒別擁有的東西而不是鑒別擁有者 它是否由一個特定主體所唯一擁有 是此方法的關鍵所在 也是此方法的不足之處 鑒別的一般原理 在涉及雙向鑒別時 實體同時充當申請者和驗證者的角色可信第三方 描述安全權威機構或它的代理 在安全相關的活動中 它被其他實體所信任 可信第三方在鑒別中受到申請者和 或驗證者的信任 申請者 驗證者 就是 或者代表鑒別主體 代表主體參與鑒別交換所必需的功能 就是 或者代表被鑒別身份的實體 參與鑒別交換所必需的功能 鑒別信息 AI 鑒別信息 指申請者要求鑒別至鑒別過程結束所生成 使用和交換的信息 鑒別信息的類型申請AI 用來生成交換AI 以鑒別一個主體的信息 如 通行字 秘密密鑰 私鑰 驗證AI 通過交換AI 驗證所聲稱身份的信息 如 通行字 秘密密鑰 公鑰 交換AI 申請者與驗證者之間在鑒別一個主體期間所交換的信息 如 可辨別標識符 通行字 質詢 咨詢響應 聯機證書 脫機證書等 申請者 驗證者 可信第三方之間的關系 指示潛在的信息流 用來生成交換AI 以鑒別一個主體的信息 如 通行字 秘密密鑰 私鑰 在鑒別一個主體期間所交換的信息 如 可辨別標識符 通行字 質詢 驗證所聲稱身份的信息 如 通行字 秘密密鑰 公共密鑰 3 2 3鑒別的階段 階段安裝修改鑒別信息分發(fā)獲取傳送驗證停活重新激活階段取消安裝并不要求所有這些階段或順序 舉例創(chuàng)建一個帳戶分發(fā)帳戶獲取帳戶修改帳戶信息驗證帳戶禁止帳戶激活帳戶刪除帳戶 3 2 4可信第三方的參與 鑒別機制可按可信第三方的參與數分類無需可信第三方參與的鑒別可信第三方參與的鑒別 一 無需可信第三方參與的鑒別 無論申請者還是驗證者 在生成和驗證交換AI時都無需得到其他實體的支持 二 可信第三方參與的鑒別 驗證AI可以通過與可信第三方的交互中得到 必須保證這一信息的完整性 維持可信第三方的申請AI的機密性 以及在申請AI可從驗證AI推演出來時 維持驗證AI的機密性是必要的 例如公鑰體制 公鑰 私鑰 對應申請AI和驗證AI 一 在線鑒別 可信第三方 仲裁者 直接參與申請者與驗證者之間的鑒別交換 二 聯機鑒別 不同于在線鑒別 聯機鑒別的可信第三方并不直接處于申請者與驗證者鑒別交換的路徑上 實例 可信第三方為密鑰分配中心 聯機鑒別服務器 三 脫機鑒別 要求使用被撤銷證書的證明清單 被撤銷證書的證書清單 證書時限或其他用于撤銷驗證AI的非即時方法等特征 三 申請者信任驗證者 申請者信任驗證者 如果驗證者的身份未得到鑒別 那么其可信度是不可知的 例如 在鑒別中簡單使用的通行字 必須確信驗證者不會保留或重用該通行字 3 2 5主體類型 指紋 視網膜等被動特征具有信息交換和處理能力具有信息存儲能力具有唯一固定的位置 在實際鑒別中 最終鑒別的必須是人類用戶而不是鑒別代表人類用戶行為的進程 人類用戶的鑒別方法必須是人類可接受的方法 且是經濟和安全的 3 2 6針對鑒別的攻擊種類 重放攻擊對同一驗證者進行重放攻擊 可以通過使用惟一序列號或質詢來對抗 惟一序列號由申請者生成 且不會被同一驗證者兩次接受 對不同驗證者進行重放攻擊 通過質詢來對抗 在計算交換AI時使用驗證者惟一擁有的特性可防止這種攻擊 延遲攻擊入侵者發(fā)起的延遲攻擊入侵者響應的延遲攻擊 入侵者發(fā)起的延遲攻擊 C告訴A說它是B 要求A對B進行鑒別 然后告訴B說它是A 并且提供自身的鑒別信息 對抗方法 不能同時作為申請者和驗證者 作為申請者的交換AI和作為響應者的交換AI不同 入侵者響應的延遲攻擊 入侵者處于鑒別交換的中間位置 它截獲鑒別信息并且轉發(fā) 接管發(fā)起者的任務 對抗方法 提供完整性和機密性服務 網絡地址集成到交換AI中 3 3訪問控制 AccessControl 框架 ISO IEC10181 3是開放系統互連安全框架的訪問控制框架部分 決定開放系統環(huán)境中允許使用哪些資源 在什么地方適合阻止未授權訪問的過程叫做訪問控制 3 3 1訪問控制 訪問控制的目標 對抗涉及計算機或通信系統非授權操作的威脅 非授權使用泄露 修改 破壞 拒絕服務訪問控制安全框架的目標對數據 進程或計算資源進行訪問控制在一個安全域中或跨越多個安全域的訪問控制根據上下文進行訪問控制 如依靠試圖訪問的時間 訪問者地點或訪問路線對訪問過程中的授權變化作出反應的訪問控制 實系統中的訪問控制活動 建立一個訪問控制策略的表達式建立ACI 訪問控制信息 的表達式分配ACI給元素 發(fā)起者 目標或訪問請求 綁定ACI到元素使ADI 訪問控制判決信息 對ADF有效執(zhí)行訪問控制功能ACI的修改ADI的撤銷 基本訪問控制功能 發(fā)起者 訪問控制執(zhí)行功能 AEF 訪問判決功能 ADF 目標 代表訪問或試圖訪問目標的人和基于計算機的實體 被試圖訪問或由發(fā)起者訪問的 基于計算機或通信的實體 如文件 訪問請求代表構成試圖訪問部分的操作和操作數 訪問判決功能 ADF 發(fā)起者ADI 目標ADI 訪問控制策略規(guī)則 保持的ADI 上下文背景信息 判決請求 判決 訪問請求ADI 發(fā)起者的位置 訪問時間或使用中的特殊通信路徑 ADI由綁定到發(fā)起者的ACI導出 允許或禁止發(fā)起者試圖對目標進行訪問的判決 3 3 2訪問控制策略 訪問控制策略表達安全域中的確定安全需求 訪問控制策略體現為一組作用在ADF上的規(guī)則 訪問控制策略分類 基于規(guī)則的安全策略 被發(fā)起者施加在安全域中任何目標上的所有訪問請求 基于身份的訪問控制策略 基于特定的單個發(fā)起者 一群發(fā)起者 代表發(fā)起者行為的實體或扮演特定角色的原發(fā)者的規(guī)則 上下文能夠修改基于規(guī)則或基于身份的訪問控制策略 上下文規(guī)則可在實際上定義整體策略 群組和角色 根據發(fā)起者群組或扮演特定角色發(fā)起者含義陳述的訪問控制策略 是基于身份策略的特殊類型 群組是一組發(fā)起者 群組中的成員是平等的 群組允許一組發(fā)起者訪問特定的目標 不必在目標ACI中包括單個發(fā)起者的身份 也不必特意將相同的ACI分配給每個發(fā)起者 群組的組成是由管理行為決定的 創(chuàng)建或修改群組的能力必須服從訪問控制的需要 角色對某個用戶在組織內允許執(zhí)行的功能進行特征化 給定的角色適用于單個個體或幾個個體 可按層次使用群組和角色 對發(fā)起者身份 群組和角色進行組合 安全標簽 根據安全標簽含義陳述的訪問控制策略 是基于規(guī)則的安全策略的特殊類型 發(fā)起者和目標分別與命名的安全標簽關聯 訪問決策是將發(fā)起者和目標安全標簽進行比較為參考的 多發(fā)起者訪問控制策略 可對個體發(fā)起者 相同或不同的群組成員的發(fā)起者 扮演不同角色的發(fā)起者 或這些發(fā)起者的組合進行識別 策略管理 固定策略 一直應用又不能被改變的策略 管理性強加策略 一直應用而只能被適當授權的人才能改變的策略 用戶選擇策略 對發(fā)起者和目標的請求可用 而且只應用于涉及發(fā)起者或目標 發(fā)起者或目標資源的訪問請求的策略 粒度和容度 每個粒度級別可有它自己的邏輯分離策略 還可以對不同AEF和ADF組件的使用進行細化 容度用來控制對目標組的訪問 通過指定一個只有當其允許對一個包含目標組的目標進行訪問時 才允許對目標組內的這些目標進行訪問的策略實現 繼承規(guī)則 新元素可以通過拷貝 修改 組合現有元素或構造來創(chuàng)建 新元素的ACI依賴于這些元素 創(chuàng)建者的ACI 或者拷貝過 修改過 合并過的元素的ACI 繼承規(guī)則是訪問控制策略的組成部分 訪問控制策略規(guī)則中的優(yōu)先原則 訪問控制策略規(guī)則有可能相互沖突 優(yōu)先規(guī)則規(guī)定了被應用的訪問控制策略的次序和規(guī)則中優(yōu)先的規(guī)則 如果訪問控制策略的規(guī)則A和規(guī)則B分別讓ADF對一個請求訪問作出不同決策 那么優(yōu)先規(guī)則將賦予規(guī)則A優(yōu)先權 而不考慮B中的規(guī)則 或者優(yōu)先規(guī)則要求兩個規(guī)則都允許請求 得到允許的訪問 當發(fā)起者作為群組成員或特定角色時 優(yōu)先規(guī)則可能需要用于發(fā)起者綁定ACI的使用 優(yōu)先規(guī)則可能允許發(fā)起者自己的ACI與假定群組或角色的ACI結合起來 此時 還須指定怎樣對有沖突的ACI進行組合 默認訪問控制策略規(guī)則 訪問控制策略可以包括默認訪問控制策略規(guī)則 當一個或多個發(fā)起者還沒有特意要求允許或拒絕的特定訪問目標時 可以使用這些規(guī)則 通過合作安全域的策略映射 在合作安全域間為訪問請求提供訪問控制時 有時需要映射或轉化綁定到訪問請求的ACI 因為不同的合作安全域有不同的ACI表達式 或者相同ACI在不同安全域有不同的安全策略解釋 3 3 3訪問控制信息 發(fā)起者ACI目標ACI訪問請求ACI操作數ACI上下文信息發(fā)起者綁定ACI目標綁定ACI訪問請求綁定ACI 發(fā)起者ACI的實例 個體的訪問控制身份分層群組標識符 可確定成員在分層群組中的位置功能群組標識符 可確定成員在功能群組中的位置可被假定的角色標識符敏感性標記完整性標記 目標ACI的實例 目標訪問控制身份敏感性標記完整性標記包含一個目標的包容者標識符 訪問請求ACI的實例 被允許的操作種類 如讀 寫 用于操作所需的完整性等級操作的數據類型 操作數ACI的實例 敏感性標記完整性標記 上下文信息的實例 時限 只有在用天 周 月 年等精確規(guī)定的時間內才準許訪問 路由 只有使用的路由具有指定特征時才準許訪問 位置 只有對特定系統 工作站或終端上的發(fā)起者 或者特定的物理位置上的發(fā)起者 訪問才被準許 系統狀態(tài) 發(fā)起者綁定ACI 包括發(fā)起者ACI 某些目標ACI和經過選擇的上下文信息 如發(fā)起者ACI目標訪問控制身份和對目標的可允許訪問 如權力 發(fā)起者位置 目標綁定ACI 包括某些發(fā)起者ACI 目標ACI和經過選擇的上下文信息 形式 標簽和訪問控制表如個體發(fā)起者訪問控制身份 允許或拒絕它們對目標的訪問分層群組成員訪問控制身份 允許或拒絕它們對目標的訪問功能群組成員訪問控制身份 允許或拒絕它們對目標的訪問角色訪問控制身份 允許或拒絕它們對目標的訪問授權和對它們授權的訪問 訪問請求綁定ACI 包括發(fā)起者ACI 目標ACI和上下文信息 如允許參與訪問的發(fā)起者 目標對允許參與訪問的目標允許參與訪問的發(fā)起者 Windows2000server 活動目錄在運行Windows2000server系統的計算機上安裝活動目錄 實際上就是一種把服務器轉換成域控制器的操作 域控制器存儲整個域的目錄數據 如系統安全策略和用戶身份驗證數據 并管理用戶和域的交互過程 包括用戶登錄 身份驗證以及目錄搜索 活動目錄由一個或多個域組成 目錄樹是指具有連續(xù)名稱的一個或多個域的集合 這些域通過雙向 可傳遞的信任關系鏈接 一個目錄林由一個或多個域組成 目錄林中每個域目錄樹的根域都會與目錄林根域建立一種可傳遞的信任關系 信任關系是建立在兩個域之間的關系 它使得一個域中的域控制器能夠識別另一個域內的用戶 Windows2000訪問控制機制 Windows2000使用訪問控制技術來保證已被授權的主體對客體的使用 安全主體 SecurityPrincipal 不僅僅包括用戶 還包括組和服務等主動的實體 客體包括文件 文件夾 打印機 注冊表 活動目錄項以及其它對象 訪問控制技術即決定安全主體能夠在對象上執(zhí)行何種類型的操作 如某個用戶是否能夠讀取 寫入還是執(zhí)行某個文件 Windows2000訪問控制機制 訪問令牌 accesstoken Windows2000系統在用戶登錄時 為該用戶創(chuàng)建一個訪問令牌 該訪問令牌包含該用戶的SID 用戶所屬組的SID和用戶的特權 該令牌為用戶在該計算機上的任何操作提供了安全環(huán)境 當用戶每啟動一個應用程序時 所執(zhí)行的每一個線程都會得到一份該訪問令牌的副本 每當線程請求對某個受到權限控制保護的對象進行任何級別的訪問時 該線程都要把此訪問令牌提交給操作系統 然后操作系統就使用該令牌對對象的安全信息來執(zhí)行訪問檢查 這種檢查確保主體是在經過授權之后才進行訪問的 Windows2000訪問控制機制 安全描述 securitydescriptor 從訪問控制的客體角度出發(fā) 安全描述定義了客體 被訪問的對象 的安全信息 安全描述中除了對象所有者自身的SID外 主要說明了哪些用戶和組被允許還是被拒絕訪問 這通過一個由訪問控制項 accesscontrolentries ACE 組成的自由訪問控制列表 DACL 來實現 Windows2000系統通過尋找ACL中的項 ACE 來匹配訪問令牌中的用戶SID和組SID 以此ACE來確定用戶是否有權進行所請求的訪問 安全描述與訪問令牌 遍歷每個ACE 直到找到匹配內容 系統訪問控制列表 自由訪問控制列表 安全標識符 SID Windows2000使用安全標識符 SID 來標識安全主體和安全組 SID是在主體賬戶或安全組創(chuàng)建時生成的 SID的創(chuàng)建者和作用范圍依賴于賬戶類型 對于用戶賬戶 由本地安全授權機構生成在該系統內惟一的SID 對于域用戶則由域安全授權機構來生成SID SID出現在以下一些訪問控制結構中 訪問令牌 包括一個用戶的SID和用戶所屬組的SID安全描述包含與安全描述相關聯對象所有者的SID安全描述中的每個ACE把SID與相應的訪問權限關聯起來 訪問令牌 訪問令牌是一個受保護的對象 其中包含與用戶賬戶有關的標識和特權信息 用戶登錄到一臺Windows2000系統時 對登錄資格進行認證 若認證成功 返回該用戶的SID和該用戶的安全組的SID列表 據此安全授權機構創(chuàng)建一個訪問令牌 安全描述 安全描述結構頭部所有者主組自由訪問控制列表系統訪問控制列表 用戶和組基礎 用戶賬戶可為用戶提供登錄到域以訪問網絡資源或登錄到計算機以訪問該機資源的能力 Windows2000提供兩種用戶賬戶本地用戶賬戶 登錄到特定計算機訪問該機資源 域用戶賬戶 登錄到域獲得對網絡資源的訪問 用戶在登錄Windows2000計算機 非域控制器 的時候可以選擇是登錄到域還是本地計算機 組作用域 組作用域用來決定在網絡的什么位置可以使用組 也可以決定能以不同的方式分配權限 在Windows2000中有3個組作用域通用組 有通用作用域的組稱為通用組 有通用作用域的組可將其成員作為來自域樹或樹林中任何Windows2000域的組和賬戶 并且在域樹或樹林的任何域中都可獲得權限 全局組 有全局作用域的組稱作全局組 可將其成員作為僅來自所定義的域的組合賬戶 并且在樹林的任何域中都可獲得權限 本地組 具有本地作用域的組稱作本地組 可將其成員作為來自Windows2000或WindowsNT域的組和賬戶 并且可用于僅在域中授予權限 如果具有多個樹林 僅在一個樹林中定義的用戶不能放入在另一個樹林中定義的組 并且僅在一個樹林中定義的組不能指派另一個樹林中的權限 不同類型組作用域之間的區(qū)別 本地組 本地組 localgroup 是本地計算機上的用戶賬戶的集合 可使用本地組給本地組所在計算機上的資源分配權限 使用本地組的原則只可在創(chuàng)建本地組的計算機上使用本地組在Windows2000的非域控制器的計算機上使用本地組 不能在域控制器上創(chuàng)建本地組 可使用本地組來限制本地用戶和組訪問網絡資源的能力 能夠添加到本地組的成員本地組所在計算機的本地用戶賬戶本地組不能是任何組的成員 Windows2000默認創(chuàng)建的用戶組 成員服務器AdministratorsBackupOperatorsGuestsPowerUsersReplicatorUsers域控制器AccountOperatorsPrintOperatorsServerOperators Windows2000組策略管理舉例 全局組 域本地組規(guī)劃一個公司包括四個部門 每個部分由相對獨立的人員管理 用Windows2000進行管理 可以為每個部門劃分一個子域 實現用戶管理 現在 假設有兩個共享資源A和B為公司員工提供訪問 A和B兩種資源都有不同的訪問權限 只讀 完全控制 用組策略實現管理 請問 如何規(guī)劃組 全局組和本地組 即需要多少個全局組和域本地組 3 4抗抵賴 non repudiation 框架 ISO IEC10181 4是開放系統互連安全框架的抗抵賴框架部分 目的提供有關特定事件或行為的證據 事件或行為本身以外的其他實體可以請求抗抵賴服務 什么是證據 可用于解決糾紛的信息 稱為證據 證據保存 證據使用者在本地保存可信第三方保存特殊形式的證據數字簽名 與公鑰技術一起使用 安全信封和安全令牌 與秘密密鑰技術一起使用 什么是證據 可以組成證據信息的例子 抗抵賴安全策略的標識符原發(fā)者可辨別標識符接收者可辨別標識符數字簽名或安全信封證據生成者可辨別標識符 3 4 1抗抵賴的一般討論 抗抵賴服務包括證據生成驗證記錄在解決糾紛時進行的證據恢復和再次驗證除非證據已被記錄 否則無法解決糾紛 3 4 1抗抵賴的一般討論 對于消息的抗抵賴服務為提供原發(fā)證明 必須確認數據原發(fā)者身份和數據完整性 為提供遞交證明 必須確認接收者身份和數據完整性 某些場合 可能涉及上下文關系 如日期 時間 原發(fā)者 接收者地點 的證據糾紛解決可在糾紛雙方之間直接通過檢查證據解決通過仲裁者解決 仲裁者的權威性 3 4 2可信第三方的角色 可信第三方 TTP 分類脫機TTP 支持抗抵賴 而不主動地參與到每個服務的使用過程的可信第三方聯機TTP 主動地介入證據生成或驗證的TTP在線TTP 在所有交互中充當中介的聯機TTP可充當的角色公證者 時間戳 監(jiān)視 密鑰證書 簽名生成 簽名驗證和遞交權威機構 3 4 2可信第三方的角色 可充當的角色在證據生成的角色中 TTP與抗抵賴服務的請求者協調 生成證據 在證據的記錄角色中 TTP記錄證據 在時間戳的角色中 TTP受委托提供包含收到時間戳請求時的時間的證據 在密鑰證書角色中 TTP提供與證據生成器相關的抗抵賴證書 以保證用于抗抵賴目的公鑰是有效的 在密鑰分發(fā)角色中 TTP向證據生成者和 或證據的驗證者提供密鑰 3 4 3抗抵賴的階段 四個獨立的階段證據生成證據傳輸 存儲和檢索證據驗證解決糾紛 證據主體 證據生成請求者 證據生成請求者 證據使用者 有關信息 觀察 證據生成器 證據驗證者 傳輸和存儲 檢索 可信第三方 有關信息 觀察 請求生成 請求驗證 是 否 證據和其他信息 證據和其他信息 證據 證據 抗抵賴的前三個階段 卷入事件或行為中的實體 稱為證據主體 公認仲裁者 被告 抗抵賴的解決糾紛階段 原告 抗抵賴策略 從糾紛雙方和 或可信第三方收集證據 本階段不是一定必要的 如所有利益方對事件或行為的發(fā)生 或沒有發(fā)生 達成一致意見 就沒有糾紛需要解決 即使出現糾紛 有時也可通過爭議雙方直接解決而不需要仲裁者 3 4 4抗抵賴服務的一些形式 傳輸消息至少涉及兩個實體 原發(fā)者和接收者 涉及的潛在糾紛 原發(fā)者受到懷疑 如被指控的原發(fā)者聲稱消息被接收者偽造 或者被偽裝的攻擊者偽造接收者受到懷疑 如被指控的接收者聲稱消息沒有發(fā)送 或者在傳輸中丟失 或者被偽裝的攻擊者接收 3 4 5OSI抗抵賴證據例子 對原發(fā)抗抵賴包括證據原發(fā)者可辨別標識符被發(fā)送的數據 或數據的數字指紋 對遞交抗抵賴接收者可辨別標識符被接收的數據 或數據的數字指紋 3 4 6抗抵賴策略 證據生成規(guī)則 如用于生成證據的TTP的規(guī)范證據驗證規(guī)則 如其證據是可接受的TTP規(guī)范證據存儲規(guī)則 如 用于保證所存儲證據完整性的手段證據使用規(guī)則 如 使用證據的用途的規(guī)范仲裁規(guī)則 一致公認的可解決糾紛的仲裁者規(guī)范這些規(guī)則可由不同的權威機構定義 如證據生成規(guī)則可由系統所有者定義 仲裁者可由系統所在國家的法律定義 3 5機密性 confidentiality 框架 ISO IEC10181 5是開放系統互連安全框架的機密性框架部分 本安全框架只涉及對提供系統和系統內部對象保護方式以及系統之間交互作用的定義 不涉及構建這些系統或機制的方法學 機密性框架闡述信息在檢索 傳輸和管理中的機密性問題 3 5 1機密性的一般討論 機密性服務的目的確保信息僅僅是對被授權者可用 信息是通過數據表示的 信息從數據中導出的不同方式理解數據的含義使用數據相關的屬性研究數據的上下文關系通過觀察數據表達式的動態(tài)變化 3 5 1機密性的一般討論 被保護的環(huán)境在被保護環(huán)境中的數據通過使用特別的安全機制 或多個機制 保護 所有數據以類似方法受到保護 被交疊保護的環(huán)境當兩個或更多的環(huán)境交疊時 交疊中的數據能被多重保護 信息的保護 機密性保護的方法防止數據存在性和數據特性 如數據大小或數據創(chuàng)建日期 的知識被人理解 防止對數據的讀訪問 防止數據語義的知識被人理解 防止信息泄露的方法保護信息項的表達式 內容 不被泄露保護表達式規(guī)則 信息項表示格式 不被泄露 隱藏和揭示操作 隱藏 操作可以模型化為信息從一個環(huán)境A 移動到A和另一個環(huán)境C交疊的區(qū)域 B 揭示 操作可以看作隱藏操作的逆操作 當信息從一個被機密性機制保護的環(huán)境移到被另一個機制保護的環(huán)境時 如第二個機制的隱藏操作優(yōu)先于第一個機制的揭示操作 信息連續(xù)地受到保護 如第一個機制的揭示操作優(yōu)先于第二個機制的隱藏操作 信息不能連續(xù)地受到保護 通過不同機密性保護環(huán)境的例子 數據從一個初始環(huán)境A輸送到一個環(huán)境E時保留了機密性 假設環(huán)境A和E通過訪問控制支持機密性 環(huán)境C通過加密保護機密性 交疊環(huán)境B A和C 和D C和E 通過加密和訪問控制保護數據 表示1 表示2 表示2 表示2 表示1 t u v w 隱藏操作 數據加密 揭示操作 去除訪問控制 隱藏操作 添加訪問控制 揭示操作 數據解密 機密性服務的分類 按信息保護類型分類數據語義的保護數據語義和相關屬性的保護數據語義 屬性及導出的任何信息的保護按威脅的種類分類防止外部威脅假設合法訪問信息者不會把信息泄露給未授權者 如在A中的敏感文件通過加密受到保護 但是擁有所需解密密鑰的進程可以讀取被保護的文件 然后把它寫到一個不受保護的文件中 防止內部威脅假設有訪問重要信息和數據的授權者 可以自愿或不自愿地從事將被保護信息的機密性泄露出去的活動 如 安全性標簽與許可證附加到被保護的資源和能夠訪問它們的實體上 訪問可通過良好定義且可理解的流控制模式加以限制 機密性機制的類型 禁止對數據的訪問采用訪問控制機制采用映射技術使信息相應地受到保護加密數據填充發(fā)散譜 spreadspectrum 示例 用加密隱藏數據 采用分段和填充的加密 隱藏PDU的長度 采用發(fā)散譜技術 隱藏通信通道的存在性 對機密性的威脅 通過禁止訪問提供機密性時的威脅穿透禁止訪問機制物理保護通道中的弱點禁止訪問機制實現 方法 中的弱點特洛伊木馬穿透禁止訪問機制所依賴的服務對可能直接或間接地泄露系統信息的系統工具進行開發(fā)隱蔽通道 對機密性的威脅 通過隱藏信息提供機密性時的威脅穿透加密機制密碼分析偷竊密鑰選擇性明碼攻擊 通信流分析PDU頭分析隱蔽通道 機密性攻擊的類型 主動攻擊特洛伊木馬隱蔽通道穿透支持機密性的機制 如穿透鑒別機制 穿透訪問控制機制 以及密鑰截獲 密碼機制的欺騙性請求 如選擇性明文攻擊 被動攻擊非法竊取信息和搭線竊聽通信流分析出于非法目的對PDU頭進行的分析除了指定的目的之外 將PDU數據復制到系統中 密碼分析 3 5 2機密性策略 機密性策略是安全策略的一部分 安全策略處理機密服務的提供和使用 表達機密性策略的方法信息特征策略可用各種方式識別信息 如識別創(chuàng)建它的實體 通過識別讀取它的任何實體組 通過位置 通過識別數據被提交的上下文關系 實體特征獨立和惟一地識別實體屬性與實體進行關聯 3 5 3機密性信息和設備 機密性信息隱藏機密信息 HCI 公共密鑰對稱密鑰數據存儲位置分段規(guī)則揭示機密信息 RCI 私鑰對稱密鑰數據存儲位置分段規(guī)則 機密性操作設備隱藏對數據進行機密性保護輸入 數據 HCI 該機制特有的標識符 輸出 受機密性保護的數據 被執(zhí)行隱藏操作的其它結果 受機密性保護環(huán)境的可辨別標識符 存放受機密性保護的數據 揭示拆除以前隱藏操作對數據進行的保護輸入 受機密性保護的數據 RCI 機制特有標識符 輸出 數據 被執(zhí)行揭示操作的其它結果 環(huán)境的可辨別標識符 在這環(huán)境中存放了輸出的數據 3 5 4機密性機制 數據的機密性依賴于所駐留和傳輸的介質 存儲數據的機密性 隱藏數據語義 加密 數據分片傳輸中的機密性 禁止訪問 隱藏數據語義 分散數據的機制分類通過禁止訪問提供機密性通過加密提供機密性通過其他機制提供機密性通過數據填充提供機密性通過虛假事件提供機密性通過保護PDU頭提供機密性通過時間可變域提供機密性通過上下文位置提供機密性 3 6完整性 integrity 框架 ISO IEC10181 6是開放系統互連安全框架的完整性框架部分 所謂完整性 就是數據不以未經授權方式進行改變或損壞的特性 3 6 1完整性服務的目的 保護可能遭受不同方式危害的數據的完整性及其相關屬性的完整性 這些危害包括未授權的數據修改未授權的數據刪除未授權的數據創(chuàng)建未授權的數據插入未授權的數據重放 完整性服務的類型 根據防范的違規(guī)分類未授權的數據修改未授權的數據刪除未授權的數據創(chuàng)建未授權的數據插入未授權的數據重放根據提供的保護方法分類阻止完整性損壞檢測完整性損壞根據是否包括恢復機制分類帶恢復功能不帶恢復功能 完整性機制的類型 阻止對介質訪問的機制物理隔離的 不受干擾的信道路由控制訪問控制用于探測對數據或數據項序列的非授權修改的機制密封數字簽名數據重復與密碼變換相結合的數字指紋消息序列碼 對完整性的威脅 按提供的服務 威脅可被分為通過阻止威脅 支持數據完整性的環(huán)境中的未授權的創(chuàng)建 修改 刪除 插入和重放通過探測威脅 提供完整性保護環(huán)境中的未授權或未被探測的創(chuàng)建 修改 刪除 插入和重放 根據數據駐留的媒體不同 威脅可分為針對存儲數據的介質的威脅針對傳輸數據的介質的威脅與介質無關的威脅 對完整性攻擊的分類 旨在攻破密碼學機制或利用這些機制的弱點的攻擊 包括 對密碼機制的穿透 有選擇地 刪除和重復旨在攻破所使用的上下文機制 上下文機制在特定的時間和 或地點交換數據 攻擊包括 大量的 協同的數據項復制品改變 穿透上下文建立機制 旨在攻破探測和確認機制的攻擊 攻擊包括 假確認 利用確認機制和處理接收到的數據之間的錯誤順序 旨在摧毀 破壞或采用不正當手段獲取阻止機制的攻擊 攻擊包括 對機制本身的攻擊 穿透機制所依賴的服務 開發(fā)并不期望的邊界效應的效能 3 6 2完整性策略 完整性策略是安全策略的一部分 處理安全服務的提供與使用 數據特征通過識別被授權創(chuàng)建 改變 刪除該數據的實體通過數據位置通過識別上下文實體特征基于身份的策略基于規(guī)則的策略 3 6 3完整性信息和設備 完整性信息屏蔽完整性信息 私鑰 秘密密鑰 算法標識符和相關密碼參數 時變參數 變換檢測完整性的信息 公鑰 私鑰 去屏蔽完整性信息 公鑰 秘密密鑰 完整性設備屏蔽 對數據實施完整性保護證實 檢查受完整性保護的數據是否被修改去屏蔽 將受完整性保護的數據轉換為最初被屏蔽的數據 3 7本章小結