2009‐10‐291信息网络安全防护技术授课教师:刘建伟/毛剑 2009-09-252009‐10‐291信息网络安全防护技术‐讲义2.1 开放系统互连安全体系结构2.2 计算机网络基础2.3 底层协议安全性2.4 高层协议安全性2.5 小结2009‐10‐29信息网络安全防护技术‐讲义2GB/T 9387.2‐1995《信息系统处理 开放系统互连 基本参考模型 第2部分:安全体系结构》(等同于ISO/IEC 7498‐2)•给出了OSI参考模型的七层协议之上的信息安全体系结构 •核心内容是保证异构计算机进程与进程之间远距离交换信息的2009‐10‐293安全GB/T 9387.2‐1995定义了•五大类安全服务 •提供这些服务的八类安全机制 •相应的开放系统互连的安全管理 •并可根据具体系统适当地配置于OSI模型的七层协议中五类安全服务2009‐10‐29国家计算机网络入侵防范中心 X.800对安全服务的定义:即为保证系统或数 据传输有足够的安全性,通信开发系统协议所 提供的服务 • RFC 2828定义:安全服务时一种由系统提供对 资源进行特殊保护的进程或通信服务安全服务通过安全机制实现安全策略2009‐10‐295鉴别服务• 提供对通信中对 等实体和数据来 源的鉴别;访问控制服务• 对资源提供保护, 以对抗其非授权 使用和操纵;机密服务• 保护信息不被泄 漏或暴露给未授 权的实体;2009‐10‐296源鉴别;用操;实;完整服务•对数据提供保护, 以对抗未授权的 改变、删除或替 代;抗抵赖服务•防止参与某次通 信交换的任何一 方事后否认本次 通信或通信内容。
2009‐10‐292?鉴别服务提供了对通信中对等实体和数据来源的鉴 别即每当某个实体声称具有一个特定的身份时, 鉴别服务将提供某种方法来征实这一声明的正确性鉴别分为两种情形: 对等实体鉴别在开放系统的两个同层对等实体2009‐10‐297对等实体鉴别:在开放系统的两个同层对等实体 间建立连接和数据传输间,为提供连接实体身份鉴 别而规定的一种服务 数据源鉴别: 用于鉴别某个指定的数据项是否来源 于某个特定实体的服务鉴别服务提供了对通信中对等实体和数据来源的鉴 别即每当某个实体声称具有一个特定的身份时, 鉴别服务将提供某种方法来征实这一声明的正确性鉴别分为两种情形: 对等实体鉴别在开放系统的两个同层对等实体2009‐10‐298对等实体鉴别:在开放系统的两个同层对等实体 间建立连接和数据传输间,为提供连接实体身份鉴 别而规定的一种服务 数据源鉴别: 用于鉴别某个指定的数据项是否来源 于某个特定实体的服务数据源鉴别既不是孤立的鉴别一个实体,也 不是为了允许实体执行下一步的操作而鉴别 它的身份,而是为了确定被鉴别的实体与一 些特定数据项有着静态的不可分割的关系Eve•Message from Eve that appears to be from BobAuthentication services counter this threatHello I’m Bob!Internet or other comm. facilityBobAliceHello, Im Bob! Pls. give me your ID. No.!访问控制实现的安全目标是• 防止对可访问资源进行未授权的访问未授权访问包括• 未授权使用、泄漏、修改、破坏和拒绝服务等2009‐10‐2910未务等主体与客体• 主动的实体‐发起者或主体。
• 主体试图访问的一些被动资源‐目标或者客体访问控制决策控制主体对客体的访问• 决策以某一访问策略的形式反映出来 • 访问控制模型由两部分组成:实施功能+决策功能通过进程对数据、不同进程或其它计 算资源的访问控制;在一个安全域内的访问控制或跨越一 个或多个安全域的访问控制;2009‐10‐2911访问控制实现的安 全目标是:个或多个安全域的访问控制;按照其上下文进行的访问控制如, 根据试图访问的时间、访问者地点或 访问路由等因素的访问控制;在访问期间对授权更改作出反应的访 问控制Accounting System•maintain its books •try to embezzle money by sending it overseas • hiding the transactionsHackerAccountant•breaks into the system •tries to modify the accounting datahiding the transactions2009‐10‐293?数据机密服务就是保护信息不泄漏或不暴露给那 些未授权掌握这一信息的实体。
两种不同类型的机密服务 数据机密服务:使得攻击者想要从某个数据项中2009‐10‐2913推出敏感信息是十分困难的; 业务流机密服务:使得攻击者想要通过观察通信 系统的业务流来获得敏感信息是十分困难的机密性还可细分为:连接机密性、无连接机密性、 选择字段机密性、通信业务流机密性Eve•Wiretapping •Read contents of message from Bob to AliceConfidentiality services counter this threat Exp. :Encrypt the Ok! These guys are getting an important conference call!Internet or other comm. facilityBobAliceBob to Alicepyp message!Eve•Observe pattern of messages from Bob to Alice G th t f Confidentiality services counter this threat Exp.: Insert These guys like to talk at 8:00 AM!!Internet or other comm. facilityBobAlice•Guess the nature of the communicationp Redundancy?完整服务用于对抗信息在存储、传输等处理过程 中受到非授权的修改。
根据完整性保护所针对的客体类型,可分为: 1)连接完整服务:对某个连接上传输的所有数 据进行完整性保护2009‐10‐2916据进行完整性保护; 2)无连接完整服务:对构成一个无连接数据单 元的所有数据进行完整性保护; 3)选择字段完整服务:仅对某个数据单元中所 指定的字段进行完整性保护Eve•Passive capture message from Bob to Alice; •Later replay message to AliceIntegrity services counter this threat Exp.: Authentication, Internet or other comm. facilityBobAliceTimestampEve•Eve modifies message from Bob to AliceIntegrity services counter this threat Exp.: AuthenticationFrom Bob: “we need pay Eve Internet or other comm. facilityBobAliceAuthenticationFrom Bob: we need pay Eve $2000! ” “we need pay Mike $500! ”2009‐10‐294News leak Government A•Data integrity (O) •Source integrity (X)•The information is printed as received from enterprise B: …News leak from G.Aprinted as received •Its source is incorrectEditorPublished the news?根据完整性保护所提供的措施力度,可分为: 1)带恢复的完整服务:服务不仅检测到信息完 整性被破坏,而且能正确的将信息恢复到被破坏前 的样子; 2)不带恢复完整服务:服务检测到信息完整性 被破坏仅做报告处理而不采取进一步措施;2009‐10‐2920被破坏,仅做报告处理,而不采取进一步措施;?在GB/T9387.2-1995给出的安全体系结构中,完 整服务概括为:带恢复的连接完整性、不带恢复 的连接完整性、选择字段的连接完整性、无连接完 整性、选择字段无连接完整性。
抗抵赖服务——防止通信的任何一方抵赖所进行的 传输及传输的内容?抗抵赖服务的主要目的是保护通信实体免遭来自系 统中其它合法实体的威胁,而不是来自未知攻击者 的威胁 抗抵赖服务分为种形式2009‐10‐2921?抗抵赖服务可分为两种形式 数据原发证明的抗抵赖性:为数据的接受者提供数 据的原发证明使发送者事后不能否认曾发送过该 数据及其内容 交付证明的抗抵赖性:为数据发送着提供数据交付 证明使接受者事后不能否认曾经接收到过该数据 及其内容•Repudiation of origin •After a successful communication, Bob said: “I didn’t sent the message.”Non‐repudiation service counter this threat•Denial of receipt •After a successful communication, Internet or other comm. facilityBobAliceAfter a successful communication, Alice said: “I didn’t receive the message.”安全威胁安全服务安全威胁安全服务假冒攻击鉴别服务非授权接入访问控制服务2009‐10‐2923非授权泄漏机密服务完整性破坏完整服务抵赖抗抵赖服务拒绝服务鉴别服务,访问控制服务, 数据完整服务等GB/T 9387.2‐1995安全体系结 构列出的八类基本安全机制:•加密机制 •数字签名机制GB/T 9387.2‐1995安全体系 结构列出五类其它安全机制•可信功能模块(可信软硬件 系统部件)数字签名机制 •访问控制机制 •数据完整性机制 •鉴别交换机制 •通信业务流填充机制 •路由选择控制机制 •公证机制2009‐10‐2924•安全标记 •时间检测 •安全审计跟踪 •安全恢复2009‐10‐295?加密机制是各种安全服务和其它许多安全机制的基 础。
加密机制既能为数据提供机密性,也能为通信业务 流信息提供机密性加密机制能够成为其它安全服务和安全机制种的2009‐10‐2925?加密机制能够成为其它安全服务和安全机制种的一 部分,起支持或补充作用加密机制涉及:加密层选取、加密算法类别以及密 钥管理等三方面内容大多数应用不要求在多个层上加密,加密层对选 取主要取决于下面几个因素:?如果要求全通信业务流机密性,那么将选取物理层 加密或传输安全手段(如适当的扩频技术)如果要求细粒度的保护(如对每个应用提供不同的 密钥)和抗抵赖或选择字段保护那么将选取表示2009‐10‐2926密钥)和抗抵赖或选择字段保护,那么将选取表示 层加密如果希望的是所有端到端系统通信的机密性保护, 或者希望有一个外部的加密设备,则选取网络层加 密如果要求带恢复的完整性,同时又具有细粒度保护。