收藏
下载资源

第2章 信息安全体系结构

上传人:资****亨 文档编号:133870828 上传时间:2020-05-31 格式:PPT 页数:89 大小:1.74MB
返回 下载 相关 举报
第2章 信息安全体系结构_第1页
第1页 / 共89页
第2章 信息安全体系结构_第2页
第2页 / 共89页
第2章 信息安全体系结构_第3页
第3页 / 共89页
第2章 信息安全体系结构_第4页
第4页 / 共89页
第2章 信息安全体系结构_第5页
第5页 / 共89页
点击查看更多>>
资源描述

《第2章 信息安全体系结构》由会员分享,可在线阅读,更多相关《第2章 信息安全体系结构(89页珍藏版)》请在金锄头文库上搜索。

1、 第2章信息安全体系结构 主讲 蒋朝惠13007856289jiangchaohui 第2章信息安全体系结构 建立安全体系结构的目的 则是从管理和技术上保证安全策略得以完整准确地实现 安全需求全面准确地得以满足 包括确定必需的安全服务 安全机制和技术管理 以及它们在系统上的合理部署和关系配置 本章在详细介绍开放系统 OSI 互联和因特网 TCP IP 两大安全体系结构所提供的安全服务 安全机制及安全服务与安全机制之间的关系等的基础上 阐述了基于技术体系 组织机构体系和管理体系的信息系统的安全体系框架 第2章信息安全体系结构 2 2因特网安全体系结构 2 1开放系统互联安全体系结构 2 3信息系

2、统安全体系框架 2 1开放系统互联安全体系结构 2 1 1OSI安全体系概述2 1 2OSI的安全服务2 1 3OSI的安全机制2 1 4OSI的安全服务与安全机制之间的关系2 1 5在OSI层中的安全服务配置2 1 6OSI安全体系的安全管理 2 1 1OSI安全体系概述 ISO于1988年发布了OSI安全体系结构标准 ISO7498 2 作为OSI基本参考模型的新补充 1990年 国际电信联盟 ITU 决定采用ISO7498 2作为它的X 800推荐标准 我国依据ISO IEC7498 2 1989制定了 GB 9387 2 1995信息处理系统开放系统互连基本参考模型第2部分 安全体系结

3、构 标准 2 1 1OSI安全体系概述 续 OSI安全体系结构标准定义了5大类安全服务 提供这些服务的8类安全机制以及相应的开放系统互连的安全管理 并可根据具体系统适当地配置于OSI模型的七层协议中 2 1 1OSI安全体系概述 续 图2 1ISO7498 2的三维体系结构图 2 1 2OSI的安全服务 ISO7498 2定义的如下5大类安全服务也被称作安全防护措施 认证 Authentication 服务 提供对通信中对等实体和数据来源的认证 访问控制 AccessControl 服务 对资源提供保护 以对抗其非授权使用和操纵 数据保密性 DataConfidentiality 服务 保护信

4、息不被泄露或暴露给未授权的实体 数据完整性 Dataintegrity 服务 对数据提供保护 以对抗未授权的改变 删除或替代 抗否认性 Non reputation 服务 防止参与某次通信交换的任何一方事后否认本次通信或通信的内容 2 1 2OSI的安全服务 续 2 1 2OSI的安全服务 续 表2 3对付典型威胁所采用的安全服务 2 1 3OSI的安全机制 为了实现安全体系结构中5大类安全服务 ISO7498 2制定了8种基本安全机制 加密机制数字签名机制访问控制机制数据完整性机制认证交换机制通信业务填充机制路由控制机制公证机制 2 1 3OSI的安全机制 续 加密机制加密机制 Enciph

5、ermentMechanisms 是各种安全服务和其他许多安全机制的基础 它既可以为数据提供保密性 也能为通信业务流信息提供保密性 并且还能成为其他安全服务和安全机制的一部分 起支持和补充的作用 加密机制涉及加密层的选取 加密算法的选取 密钥管理问题 2 1 3OSI的安全机制 续 数字签名机制数字签名 DigitalSignatureMechanisms 是对一段附加数据或数据单元的密码变换的结果 主要用于证实消息的真实来源 也是一个消息 例如检验或商业文件 的发送者和接收者间争端的根本解决方法 数字签名机制被用来提供如抗否认与认证等安全保护 数字签名机制要求使用非对称密码算法 数字签名机制

6、需确定两个过程 对数据单元签名和验证签过名的数据单元 2 1 3OSI的安全机制 续 访问控制机制访问控制机制 AccessControlMechanisms 被用来实施对资源访问或操作加以限制的策略 这种策略是将对资源的访问只限于那些被授权的用户 而授权就是指资源的所有者或控制者允许其他人访问这种资源 访问控制还可以直接支持数据保密性 数据完整性 可用性以及合法使用的安全目标 它对数据保密性 数据完整性和合法使用所起的作用是十分明显的 2 1 3OSI的安全机制 续 数据完整性机制数据完整性机制 DataIntegrityMechanisms 的目的是保护数据 以避免未授权的数据乱序 丢失

7、重放 插入和篡改 2 1 3OSI的安全机制 续 认证交换机制 AuthenticationMechanisms 可用于认证交换的一些技术 使用认证信息 例如口令 由发送实体提供而由接收实体验证 密码技术 使用该实体的特征或占有物 时间标记与同步时钟 两方握手和三方握手 分别对应于单向认证与相互认证 由数字签名和公证机制实现的抗否认服务 2 1 3OSI的安全机制 续 通信业务填充机制 TrafficPaddingMechanisms 通信业务填充机制是提供通信业务流保密性的一个基本机制 它包含生成伪造的通信实例 伪造的数据单元和 或伪造的数据单元中的数据 伪造通信业务和将协议数据单元填充到一

8、个固定的长度 能够为防止通信业务分析提供有限的保护 为了提供成功的保护 伪造通信业务级别必须接近实际通信业务的最高预期等级 此外 协议数据单元的内容必须加密或隐藏起来 使得虚假业务不会被识别 而与真实业务区分开 通信业务填充机制能用来提供各种不同级别的保护 对抗通信业务分析 这种机制只有在通信业务填充受到保密服务保护时才是有效的 2 1 3OSI的安全机制 续 路由控制机制路由控制机制 RoutingControlMechanisms 使得路由能被动态地或预定地选取 以便只使用物理上安全的子网络 中继站或链路来进行通信 保证敏感数据只在具有适当保护级别的路由上传输 2 1 3OSI的安全机制

9、续 公证机制 NotarizationMechanisms 公证机制有关在两个或多个实体之间通信的数据的性质 如它的完整性 数据源 时间和目的地等 能够借助公证机制而得到确保 这种保证是由第三方公证人提供的 公证人为通信实体所信任 并掌握必要信息以一种可证实方式提供所需的保证 每个通信事例可使用数字签名 加密和完整性机制以适应公证人提供的那种服务 当这种公证机制被用到时 数据便在参与通信的实体之间经由受保护的通信实例和公证方进行通信 2 1 4OSI的安全服务与安全机制之间的关系 对于每一种安全服务可以由一种机制单独提供 也可由几种机制联合提供 OSI所能提供的5大类安全服务与8种安全机制的对

10、应关系如表2 5所示 2 1 5在OSI层中的安全服务配置 各项安全服务在OSI七层中的适当配置位置 参见表2 6 OSI各层提供的主要安全服务 物理层 提供连接机密性和 或 业务流机密服务 这一层没有无连接服务 数据链路层 提供连接机密性和无连接机密服务 物理层以上不能提供完全的业务流机密性 网络层 可以在一定程度上提供认证 访问控制 机密性 除了选择字段机密性 和完整性 除了可恢复的连接完整性 选择字段的连接完整性 服务 OSI各层提供的主要安全服务 运输层 可以提供认证 访问控制 机密性 除了选择字段机密性 业务流机密性 和完整性 除了选择字段的连接完整性 服务 会话层 不提供安全服务

11、表示层 本身不提供完全服务 但其提供的设施可支持应用层向应用程序提供安全服务 所以 规定表示层的设施支持基本的数据机密服务 支持认证 完整性和抗否认服务 应用层 必须提供所有的安全服务 它是惟一能提供选择字段服务和抗否认服务的一层 2 1 6OSI安全体系的安全管理 OSI安全管理涉及到OSI安全服务的管理与安全机制的管理 这样的管理要求给这些服务与机制分配管理信息 并收集与这些服务和机制的操作有关的信息 例如 密钥的分配 设置行政管理设定的安全选择参数 报告正常的与异常的安全事件 审计跟踪 以及服务的激活与停止等等 2 1 6OSI安全体系的安全管理 续 安全管理信息库 SMIB 是一个概念

12、上的集存地 存储开放系统所需的与安全有关的全部信息 每个 终 端系统必须包含必需的本地信息 使它能执行某个适当的安全策略 SMIB对于在端系统的一个 逻辑的或物理的 组中执行一种协调的安全策略是必不可少的 在这一点上 SMIB是一个分布式信息库 在实际中 SMIB的某些部分可以与MIB 管理信息库 结合成一体 也可以分开 OSI安全管理活动有3类 系统安全管理 安全服务管理和安全机制管理 此外 还必须考虑到OSI管理本身的安全 2 2因特网安全体系结构 TCP IP作为因特网体系结构 由于其具有简单 易于实现等特点 所以成为了 事实上 的国际标准 随着因特网的发展与普及 因特网安全变得越来越来

13、重要 本节在概述了TCP IP协议安全的基础上 将介绍因特网 Internet 安全体系结构 IPSec 着重阐述IPSec协议中的安全验证头 AH 与封装安全有效负载 ESP 机制 密钥管理协议 ISAKMP 密钥交换协议 IKE 和加密与验证算法 最后将介绍了OSI安全体系到TCP IP安全体系的影射 2 2因特网安全体系结构 2 2 1TCP IP协议安全概述2 2 2因特网安全体系结构2 2 3IPSec安全协议2 2 4IPSec密钥管理2 2 5IPSec加密和验证算法2 2 6OSI安全体系到TCP IP安全体系的影射 2 2 1TCP IP协议安全概述 在Internet中存在

14、着大量特制的协议 专门用来保障网络各个层次的安全 同层次的TCP IP层提供的安全性也不同 例如 在IP层提供IP安全协议 IPSecurity IPSec 在传输层上提供安全套接服务 SecuritySocketLayer SSL 等 如图2 3所示 2 2 1TCP IP协议安全概述 图2 3基于TCP IP协议的网络安全体系结构基础框架 2 2 2因特网安全体系结构 针对因特网的安全需求 因特网工程任务组 InternetEngineeringTaskForce IETF 于1998年11月颁布了IP层安全标准IPSec IPSecurity 其目标是为IPv4和IPv6提供具有较强的互

15、操作能力 高质量和基于密码的安全 在IP层实现多种安全服务 包括访问控制 无连接完整性 数据源认证 抗重播 机密性 加密 和有限的业务流机密性 虽然IPSec中的一些组件 如安全策略等 仍在研究之中 但可以预料 IPSec必将成为网络安全的产业标准 IETFIPSec工作组为在IP层提供通信安全而制定的IPSec协议标准 是针对IP层较为完整的安全体系结构 2 2 2因特网安全体系结构 续 IPSec协议IPSec核心文档集包括以下内容 Internet协议安全结构 RFC2401 IP验证头 AuthenticationHeader AH RFC2402 IP封装安全负载ESP IPEnca

16、psulatingSecurityPayload RFC2406 Internet密钥交换 RFC2409 ESPDES CBC变换 RFC1829 ESP和AH中HMAC MD5 96的采用 RFC2403 ESP和AH中HMAC SHA 1 96的采用 RFC2404 NUULL加密算法 NUULLEncryptionAlgorithm 及其在IPSec中的应用 RFC2410 等 2 2 2因特网安全体系结构 续 IPSec安全体系结构IPSec是指IETF以RFC形式公布的一组安全IP协议集 是在IP包级为IP业务提供保护的安全协议标准 其基本目的就是把安全机制引入IP协议 通过使用现代密码学方法支持机密性和认证服务 使用户能有选择地使用 并得到所期望的安全服务 IPSec将几种安全技术结合形成一个比较完整的安全体系结构 它通过在IP协议中增加两个基于密码的安全机制一一验证头 AH 和封装安全有效负载 ESP 来支持IP数据项的认证 完整性和机密性 2 2 2因特网安全体系结构 续 IPSec中有两个重要概念 安全联盟 SA 和隧道 Tunneling 安全联盟 SA

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 高等教育 > 大学课件

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号