《计算机网络安全第6章开放系统互连安全体系结构》由会员分享,可在线阅读,更多相关《计算机网络安全第6章开放系统互连安全体系结构(81页珍藏版)》请在金锄头文库上搜索。
1、第6章 开放系统互连安全体系结构,6.1 网络体系结构及协议 6.2 OSI安全体系结构的5类安全服务 6.3 OSI安全体系结构的安全机制 6.4 OSI安全服务与安全机制的关系 6.5 在OSI层中的安全服务配置,6.6 OSI安全体系的安全管理 6.7 本章小结 习题,网络体系结构是计算机之间相互通信的层次,以及各层中的协议和层次之间接口的集合。网络协议是计算机网络和分布系统中互相通信的对等实体间交换信息时所必须遵守的规则的集合。,6.1 网络体系结构及协议,共享计算机网络的资源,以及在网络中交换信息,就需要实现不同系统中的实体的通信。实体包括用户应用程序、文件传送包、数据库管理系统、电
2、子邮件设备以及终端等,系统包括计算机、终端和各种设备等。一般来说,实体是能发送和接收信息的任何东西,而系统是物理上明显的物体,它包含一个或多个实体。两个实体要想成功地通信,必须具有同样的语言。交流什么,怎样交流及何时交流,都必须遵从实体间都能接受的一些规则,这些规则的集合称为协议。,6.1.1 分层和协议,协议包含如下关键成分: (1) 语法(syntax),包括数据格式、编码及信号电平等。 (2) 语义(semantics),包括用于协调和差错处理的控制信息。 (3) 定时(timing),包括速度匹配和排序。 由于不同系统中的实体间通信的任务十分复杂,不可能作为一个整体来处理,否则任何一方
3、面发生变化,就要修改整个软件包。一种替代的办法是使用结构式的设计和实现技术,用分层或层次结构的协议集合。较低级别的、更原始的功能在较低级别的实体上实现,而它们又向较高级别的实体提供服务。图6.1表示一般的结构或协议集合,并画出了两个站经由多个交换网连接的情况。,图6.1 通信协议之间的关系,1号站和2号站都有一个或多个希望通信的应用程序。在图6.1中每一对通信协议之间的关系相似的实体中需要一种面向应用的协议,以协调两个应用模块的行动,并保证共同的语法和语义。这一协议无须知道有关中间通信网络设施的情况,但是要利用网络服务实体所提供的服务。网络服务实体与另一个站中的相应实体要有一个进程的协议,这一
4、协议要处理诸如信息流控制和差错控制之类的事务。在1号站和A网之间以及2号站和B网之间也必须有协议。,国际标准化组织ISO在1979年建立了一个分委员会来专门研究一种用于开放系统的体系结构,提出了开放系统互连(Open System Interconnection,OSI)模型,这是一个定义连接异种计算机的标准主体结构。由于ISO组织的权威性,使OSI协议成为广大厂商努力遵循的标准。OSI为连接分布式应用处理的“开放”系统提供了基础,“开放”这个词表示能使任何两个遵守参考模型的有关标准的系统进行连接。,6.1.2 开放系统互连参考模型,OSI采用了分层的结构化技术。ISO分委员会的任务是定义一组
5、层次和每层所完成的服务。划分层次时应该从逻辑上对功能进行分组。层次应该足够多,以使每一层小到易于管理,但是也不能太多,否则汇集各层的处理开销太大。OSI参考模型共有7层:物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。如图6.2所示。,图6.2 OSI参考模型,OSI参考模型具有如下特性: 它是一种将异构系统互连的分层结构; 它提供了控制互连系统交互规则的标准骨架; 它定义了一种抽象结构,而并非具体实现的描述; 不同系统上的相同层的实体为同等层实体; 同等层实体之间的通信由该层的协议管理; 相邻层间的接口定义了原语操作的低层向上层提供的服务;,它所提供的公共服务是面向连接的或无连接
6、的数据服务; 直接的数据传送仅在最低层实现; 每层完成所定义的功能,修改本层的功能并不影响其他层。 下面简要介绍各层的功能。,1.物理层 (1) 提供为建立、维护和拆除物理链路所需要的机械的、电气的、功能的和规程的特性。 (2) 提供有关在物理链路上传输非结构的位流以及故障检测指示。 2.数据链路层 (1) 在网络层实体间提供数据发送和接收的功能和过程。 (2) 提供数据链路的流控。,3.网络层 (1) 控制分组传送系统的操作、路由选择、拥挤控制、网络互联等功能,它的作用是将具体的物理传送对高层透明。 (2) 根据传输层的要求选择服务质量。 (3) 向传输层报告未恢复的差错。 4.传输层 (1
7、) 提供建立、维护和拆除传送连接的功能。 (2) 选择网络层提供最合适的服务。 (3) 在系统之间提供可靠的、透明的数据传送,提供端到端的错误恢复和流量控制。,5.会话层 (1) 提供两进程之间建立、维护和结束会话连接的功能。 (2) 提供交互会话的管理功能,如3种数据流方向的控制,即一路交互、两路交替和两路同时会话模式。 6.表示层 (1) 代表应用进程协商数据表示。 (2) 完成数据转换、格式化和文本压缩。,7.应用层 提供OSI用户服务,例如事务处理程序、文件传送协议和网络管理等。 开放系统互连参考模型的基本构造技术是分层。每层的目的都是为上层提供某种服务,把这些层与提供服务的细节分开就
8、形成结构化模型。 在互连的开放系统中,各子系统的同一层共同构成开放系统中的一层,一般表示为N层某一特定层;N+1层相邻的高层;N-1层相邻的低层。,在OSI参考模型中,对等实体的通信必须通过相邻低层以及下面各层通信来完成。从N+1实体看,对等N+1实体间的通信只能通过相邻对等N实体完成。N实体向N+1实体提供相互通信的能力称N服务,即N+1实体通过请求N服务完成对等实体通信。应注意的是,N服务同时也要使用较低层提供的服务功能。 OSI安全体系结构的研究始于1982年,于1988年完成,其成果标志是ISO发布了ISO7498-2标准,作为OSI基本参考模型的补充。这是基于OSI参考模型的七层协议
9、之上的信息安全体系结构。它定义了5类安全服务、8种特定的安全机制、5种普遍性安全机制。它确定了安全服务与安全机制的关系以及在OSI七层模型中安全服务的配置。它还确定了OSI安全体系的安全管理。,1.鉴别 鉴别服务提供对通信中的对等实体和数据来源的鉴别,分述如下。 (1) 对等实体鉴别 确认有关的对等实体是所需的实体。这种服务由N层提供时,将使N+1层实体确信与之打交道的对等实体正是它所需要的N+1实体。,6.2 OSI安全体系结构的5类安全服务,这种服务在连接建立或在数据传送阶段的某些时刻提供使用,用以证实一个或多个连接实体的身份。使用这种服务可以(仅仅在使用时间内)确信:一个实体此时没有试图
10、冒充(一个实体伪装为另一个不同的实体)别的实体,或没有试图将先前的连接作非授权地重放(出于非法的目的而重新发送截获的合法通信数据项的拷贝);实施单向或双向对等实体鉴别也是可能的,可以带有效期检验,也可以不带。这种服务能够提供各种不同程度的鉴别保护。,(2) 数据原发鉴别 确认接收到的数据的来源是所要求的。这种服务当由N层提供时,将使N+1实体确信数据来源正是所要求的对等N+1实体。数据原发鉴别服务对数据单元的来源提供确认。这种服务对数据单元的重放或篡改不提供鉴别保护。,2.访问控制 防止对资源的未授权使用,包括防止以未授权方式使用某一资源。这种服务提供保护以对付开放系统互连可访问资源的非授权使
11、用。这些资源可以是经开放系统互连协议访问到的OSI资源或非OSI资源。这种保护服务可应用于对资源的各种不同类型的访问(例如,使用通信资源、读写或删除信息资源、处理资源的操作),或应用于对某种资源的所有访问。 这种访问控制要与不同的安全策略协调一致。,3.数据机密性 这种服务对数据提供保护,使之不被非授权地泄露。具体分为以下几种: (1) 连接机密性 这种服务为一次N连接上的全部N用户数据保证其机密性。但对于某些使用中的数据,或在某些层次上,将所有数据(例如加速数据或连接请求中的数据)都保护起来反而是不适宜的。 (2) 无连接机密性 这种服务为单个无连接的NSDU(N层服务数据单元)中的全部N用
12、户数据提供机密性保护。,(3) 选择字段机密性 这种服务为那些被选择的字段保证其机密性,这些字段或处于N连接的N用户数据中,或为单个无连接的N-SDU中的字段。 (4) 通信业务流机密性 这种服务提供的保护,使得无法通过观察通信业务流推断出其中的机密信息。,4.数据完整性 这种服务对付主动威胁。在一次连接上,连接开始时使用对某实体的鉴别服务,并在连接的存活期使用数据完整服务就能联合起来为在此连接上传送的所有数据单元的来源提供确证,为这些数据单元的完整性提供确证,例如使用顺序号,可为数据单元的重放提供检测。数据完整性可分为以下几种: (1) 带恢复的连接完整性 这种服务为N连接上的所有N用户数据
13、保证其完整性,并检测整个SDU序列中的数据遭到的任何篡改、插入、删除或同时进行补救或恢复。 (2) 无恢复的连接完整性 与上款的服务相同,只是不做补救或恢复。,(3) 选择字段的连接完整性 这种服务为在一次连接上传送的NSDU的N用户数据中的选择字段保证其完整性,所取形式是确定这些被选字段是否遭受了篡改、插入、删除或不可用。 (4) 无连接完整性 这种服务当由N层提供时,对发出请求的那个N+1实体提供了完整保护。 这种服务为单个的无连接的SDU保证其完整性,所取形式可以是一个接收到的SDU是否遭受了篡改。此外,在一定程度上也能提供对连接重放的检测。 (5) 选择字段无连接完整性 这种服务为单个
14、连接上的SDU中的被选字段保证其完整性,所取形式为被选字段是否遭受了篡改。,5.抗否认 这种服务可取如下两种形式,或两者之一: (1) 有数据原发证明的抗否认 为数据的接收者提供数据的原发证据。这将使发送者不承认未发送过这些数据或否认其内容的企图不能得逞。 (2) 有交付证明的抗否认 为数据的发送者提供数据交付证据。这将使接收者事后不承认收到过这些数据或否认其内容的企图不能得逞。,1.特定的安全机制 本节所列的8种安全机制可以设置在适当的N层上,以提供6.2中所述的某些安全服务,分述如下。 (1) 加密 对数据进行密码变换以产生密文。加密可以是不可逆的,在这种情况下,相应的解密过程便不能实现了
15、。 加密既能为数据提供机密性,也能为通信业务流信息提供机密性,并且是其他安全机制中的一部分或对安全机制起补充作用。,6.3 OSI安全体系结构的安全机制,大多数应用不要求在多个层加密,加密层的选取主要取决于下列几个因素: 如果要求全通信业务流机密性,那么将选取物理层加密,或传输安全手段(例如,适当的扩频技术)。足够的物理安全,可信任的路由选择以及在中继上的类似机制能够满足所有的机密性要求。 如果要求细粒度保护(即对不同应用提供不同的密钥),和抗否认或选择字段保护,那么将选取表示层加密。由于加密算法耗费大量的处理能力,所以选择字段保护是很重要的。在表示层中的加密能提供不带恢复的完整性、抗否认以及
16、所有的机密性。,如果希望实现所有端系统到端系统通信的简单块保护,或希望有一个外部的加密设备(例如,为了给算法和密钥加物理保护,或防止错误软件),那么将选取网络层加密。这能够提供机密性与不带恢复的完整性。虽然在网络层不提供恢复,但传输层的正常的恢复机制能够恢复网络层检测到的攻击。 如果要求带恢复的完整性,同时又具有细粒度保护,那么将选取传输层加密。这能提供机密性、带恢复的完整性或不带恢复的完整性。 对于今后的实施,不推荐在数据链路层上加密。 当关系到这些主要因素中的两项或多项时,可能需要在多个层上提供加密。, 加密算法可以是可逆的,也可以是不可逆的。 可逆加密算法有两大类: 对称(即秘密密钥)加密。对于这种加密,知道了加密密钥也就意味着知道了解密密钥,反之亦然。 非对称(即公开密钥)加密。对于这种加密,知道了加密密钥并不意味着也知道了解密密钥,反之亦然。 不可逆加密算法可以使用密钥,也可以不使用。若使用密钥,密钥可以是公开的,也可以是秘密的。 除了某些不可逆加密算法的情况外,加密机制的存在便意味着要使用密钥管理机制。密钥管理方法上的一些准则将在第18章中给出。
