《信息安全体系结构安全机制PPT课件》由会员分享,可在线阅读,更多相关《信息安全体系结构安全机制PPT课件(88页珍藏版)》请在金锄头文库上搜索。
1、第第4章章 安全机制安全机制信息安全体系结构安全机制安全机制是信息系统安全服务的基础,具有安安全机制是信息系统安全服务的基础,具有安全的安全机制,才能有可靠的安全服务。全的安全机制,才能有可靠的安全服务。一种安全服务的实施可以使用不同的机制,单一种安全服务的实施可以使用不同的机制,单独使用或组合使用多种机制。独使用或组合使用多种机制。信息安全体系结构安全机制4.1 加密机制加密机制密码技术与加密密码技术与加密加密加密密码算法密码算法密钥及密钥管理密钥及密钥管理信息安全体系结构安全机制4.1.1 密码技术与加密密码技术与加密密码学是许多安全服务与机制的基础。密码学是许多安全服务与机制的基础。密码
2、函数可以作为加密、解密、数据完整性、密码函数可以作为加密、解密、数据完整性、鉴别交换、口令存储与校验等的一部分,借以鉴别交换、口令存储与校验等的一部分,借以达到保密、完整性和鉴别的目的。达到保密、完整性和鉴别的目的。用于机密性的加密把敏感数据(即受保护的数用于机密性的加密把敏感数据(即受保护的数据)变换成敏感性较弱的形式。据)变换成敏感性较弱的形式。用于完整性或鉴别时,密码技术用来计算不可用于完整性或鉴别时,密码技术用来计算不可伪造的函数。伪造的函数。信息安全体系结构安全机制4.1.2 加密加密加密是安全机制中最基础、最核心的机制加密是安全机制中最基础、最核心的机制。加。加密是把可以理解的明文
3、消息,通过密码算法变密是把可以理解的明文消息,通过密码算法变换成不可理解的密文的过程;换成不可理解的密文的过程;解密是加密过程的逆操作。解密是加密过程的逆操作。信息安全体系结构安全机制加密加密信源信源编码器编码器信道信道译码器译码器信宿信宿随机干扰随机干扰mm受到干扰的通信系统模型受到干扰的通信系统模型信源信源加密加密信道信道解密解密信宿信宿mm通信保密系统模型通信保密系统模型密文密文密文密文密钥密钥K1分析者分析者密钥密钥K2信息安全体系结构安全机制4.1.3 密码算法密码算法密码算法是在密钥控制下的一簇数学运算,根密码算法是在密钥控制下的一簇数学运算,根据消息的密级的不同,密码算法的强度可
4、以不据消息的密级的不同,密码算法的强度可以不同,其强度和算法本身由相应的审批机关进行同,其强度和算法本身由相应的审批机关进行审批。审批。信息安全体系结构安全机制密码算法分类密码算法分类传统密码算法(对称密码算法)传统密码算法(对称密码算法)加密和解密密钥相同加密和解密密钥相同明文:待加密的信息和解密后的信息明文:待加密的信息和解密后的信息密文:加密后的信息密文:加密后的信息加密:加密装置或密码算法加密:加密装置或密码算法密钥:密码算法中可变的部分密钥:密码算法中可变的部分加密加密秘密传送秘密传送解密解密 K1明文明文密钥密钥 E1明文明文 E2 K2密钥密钥信息安全体系结构安全机制密码算法分类
5、密码算法分类公开密钥密码算法(非对称密码算法)公开密钥密码算法(非对称密码算法)加密密钥是公开的,解密密钥不公开加密密钥是公开的,解密密钥不公开非对称密码体制非对称密码体制E1和和E2分别代表加密算法和解密算法,不相同分别代表加密算法和解密算法,不相同加密加密解密解密 K1明文明文密钥密钥 E1明文明文 E2 K2密钥密钥信息安全体系结构安全机制序列密码算法序列密码算法序列密码又称流密码。序列密码又称流密码。序列产生器序列产生器明文数据明文数据密文密文 K(密钥)(密钥)+加、解密器加、解密器伪随机序列伪随机序列序列密码体制序列密码体制信息安全体系结构安全机制序列密码优缺点序列密码优缺点对称密
6、钥体制使用方便,加、解密速度较高对称密钥体制使用方便,加、解密速度较高低的错误扩散,明文和密文是逐比特对应加、低的错误扩散,明文和密文是逐比特对应加、解密的,传输过程中的每比特错误只能影响该解密的,传输过程中的每比特错误只能影响该比特的明文比特的明文最大的缺陷是密钥分发问题最大的缺陷是密钥分发问题,n(n-1)/2个密钥个密钥信息安全体系结构安全机制分组密码体制分组密码体制分组密码体制,是一种数据扩散体制(在一有分组密码体制,是一种数据扩散体制(在一有限的分组内)。采用数量固定的明文加上全部限的分组内)。采用数量固定的明文加上全部密钥,产生与明文分组长度相同的密文分组。密钥,产生与明文分组长度
7、相同的密文分组。分组分组加密加密算法算法Y bit 密密钥钥X bit 明文明文X bit 密文密文分组分组加密加密算法算法Y bit 密密钥钥X bit 密文密文X bit 明文明文分组密码体制分组密码体制信息安全体系结构安全机制分组密码体制优缺点分组密码体制优缺点分组密码具有良好的扩散特性分组密码具有良好的扩散特性对插入和修改具有免疫性对插入和修改具有免疫性分组密码加密速度慢分组密码加密速度慢分组密码错误扩散特性分组密码错误扩散特性信息安全体系结构安全机制公开密钥密码体制公开密钥密码体制1976年由年由Deffie和和Hellman提出的,最初的目的提出的,最初的目的是解决网上众多用户密钥
8、分配时,全网密钥数是解决网上众多用户密钥分配时,全网密钥数量过大的问题。量过大的问题。贡献在于:引入了一个与传统密码体制不同的贡献在于:引入了一个与传统密码体制不同的概念,概念,密钥成对出现密钥成对出现,一个为,一个为加密密钥加密密钥,另一,另一个为个为解密密钥解密密钥,不能从一个推导出另一个不能从一个推导出另一个。特点:特点:加密和解密密钥不相同且加、解密算法加密和解密密钥不相同且加、解密算法也不相同,加密密钥可以公开的密码体制也不相同,加密密钥可以公开的密码体制。信息安全体系结构安全机制公开密钥密码算法的优缺点公开密钥密码算法的优缺点加密速度低加密速度低简化密钥管理简化密钥管理可以提供比传
9、统密码体制更多的安全服务可以提供比传统密码体制更多的安全服务寻找更有效的算法难度大。寻找更有效的算法难度大。信息安全体系结构安全机制4.1.4 密钥及密钥管理密钥及密钥管理密钥的产生密钥的产生密钥的分发密钥的分发密钥输入和输出密钥输入和输出密钥的更换密钥的更换密钥的存储密钥的存储密钥的保存和备份密钥的保存和备份密钥的寿命密钥的寿命密钥的销毁密钥的销毁信息安全体系结构安全机制4.2 访问控制机制访问控制机制访问控制的目的是防止对信息系统资源的非授访问控制的目的是防止对信息系统资源的非授权访问和非授权使用信息系统资源。权访问和非授权使用信息系统资源。为了从整体上维护系统的安全,访问控制应遵为了从整
10、体上维护系统的安全,访问控制应遵循循最小特权原则最小特权原则,即用户和代表用户的进程只,即用户和代表用户的进程只应拥有完成其职责的最小的访问权限的集合,应拥有完成其职责的最小的访问权限的集合,系统不应给用户超过执行任务所需特权以外的系统不应给用户超过执行任务所需特权以外的特权。特权。信息安全体系结构安全机制客体、主体客体、主体客体(客体(Object):在系统中,包含有数据的实):在系统中,包含有数据的实体通常称之为客体,是一种信息实体,或者它体通常称之为客体,是一种信息实体,或者它们是从主体或客体接收信息的实体。如:文件,们是从主体或客体接收信息的实体。如:文件,I/O设备,数据库中的表、记
11、录等。设备,数据库中的表、记录等。主体(主体(Subject),能访问或使用客体的活动实),能访问或使用客体的活动实体称为主体,可使信息在客体之间流动。用户体称为主体,可使信息在客体之间流动。用户是主体,系统内代表用户进行操作的进程自然是主体,系统内代表用户进行操作的进程自然被看作是主体。被看作是主体。系统内所有的活动都可看作是主体对客体的一系统内所有的活动都可看作是主体对客体的一系列操作。系列操作。信息安全体系结构安全机制访问权限访问权限主体对客体的访问权一般可以分为以下几种类主体对客体的访问权一般可以分为以下几种类型:读(型:读(r),写(),写(w),添加(),添加(a),删除),删除(
12、d),程序执行(),程序执行(e)权。)权。拥有权(拥有权(Own):客体):客体o是由主体是由主体s所创建的,所创建的,则主体则主体s对对o具有拥有权,称具有拥有权,称s是是o的拥有者。的拥有者。控制权(控制权(c):若主体):若主体s对客体对客体o具有控制权,则具有控制权,则意味着意味着s有权授予或撤销其他主体对客体有权授予或撤销其他主体对客体o的访的访问权。问权。信息安全体系结构安全机制4.2.1 访问控制距阵模型访问控制距阵模型实施了访问控制的系统,其状态可以用一个三实施了访问控制的系统,其状态可以用一个三元组(元组(S,O,A)来表示,其中:)来表示,其中:S主体的集合主体的集合O客
13、体的集合客体的集合A访问矩阵。行对应主体,列队应客体,访问矩阵。行对应主体,列队应客体,第第i行行j列的元素列的元素aij 是访问权的集合,列出了允许是访问权的集合,列出了允许主体主体si对客体对客体oj可进行的访问权。可进行的访问权。信息安全体系结构安全机制4.2.1 访问控制距阵模型访问控制距阵模型例如,有两个进程、两个存储器段和两个文件例如,有两个进程、两个存储器段和两个文件的简单系统的访问矩阵。的简单系统的访问矩阵。M1 M2 F1 F2 P1 P2 P1A = P2r,w,er,w,a,d,er,ar,w,a,dS= P1,P2 , O= M1,M2,F1,F2,P1, P2 信息安
14、全体系结构安全机制访问控制类型访问控制类型两种类型的访问控制:两种类型的访问控制:自主访问控制(自主访问控制(Discretionary Access Control,简称,简称DAC)强制访问控制(强制访问控制(Mandatory Access Control,简称,简称MAC)信息安全体系结构安全机制4.2.2 自主访问控制自主访问控制什么是自主访问控制?什么是自主访问控制?对某个客体具有拥有权的主体能够将对该客体的一对某个客体具有拥有权的主体能够将对该客体的一种访问权或多种访问权自主地授予其他主体,并在种访问权或多种访问权自主地授予其他主体,并在随后的任何时刻将这些授权予以撤销,也就是说
15、,随后的任何时刻将这些授权予以撤销,也就是说,在自主访问控制下,用户可以按自己的意愿,有选在自主访问控制下,用户可以按自己的意愿,有选择地与其他用户共享他的文件。择地与其他用户共享他的文件。若主体若主体s创建了客体创建了客体o,则,则s是是o的拥有者,对的拥有者,对o具具有拥有权,与此同时,也具有对客体有拥有权,与此同时,也具有对客体o的所有可的所有可能的访问权。特别是,能的访问权。特别是,s也自动具有了对也自动具有了对o的控的控制权,即制权,即s能在系统中决定哪些主体对能在系统中决定哪些主体对o有访问有访问权,有什么样的访问权。权,有什么样的访问权。信息安全体系结构安全机制4.2.2 自主访
16、问控制自主访问控制在实施自主访问控制的系统中,访问控制矩阵在实施自主访问控制的系统中,访问控制矩阵提供的信息必须以某种形式保存在系统中,以提供的信息必须以某种形式保存在系统中,以便系统在主体发出访问客体的请求时,监控程便系统在主体发出访问客体的请求时,监控程序作相应的安全检测,并在主体进行自主授权序作相应的安全检测,并在主体进行自主授权或撤销授权时,动态地维护这些信息。或撤销授权时,动态地维护这些信息。在操作系统实现自主访问控制时,都不是将矩在操作系统实现自主访问控制时,都不是将矩阵整个地保存起来,因为这样做效率很低,实阵整个地保存起来,因为这样做效率很低,实际上是际上是用基于矩阵的行或列来表
17、达访问控制信用基于矩阵的行或列来表达访问控制信息息。基于能力表的自主访问控制基于能力表的自主访问控制基于授权表的自主访问控制基于授权表的自主访问控制信息安全体系结构安全机制基于能力表的自主访问控制基于能力表的自主访问控制用二元组(用二元组(x,y)表示对一个客体的访问能力。)表示对一个客体的访问能力。其中,其中,x是该客体的唯一的名字;是该客体的唯一的名字;y是对是对x的一组的一组访问权的集合,并称(访问权的集合,并称(x,y)为能力)为能力(Capability)。能力()。能力(x,y)是一个许可证,)是一个许可证,持有者可对客体持有者可对客体x进行进行y中所允许的访问。中所允许的访问。在
18、系统中,为每一个主体分配一个能力表,主在系统中,为每一个主体分配一个能力表,主体体s的能力表由访问控制矩阵中的能力表由访问控制矩阵中s所对应的行中所对应的行中所有非空项所组成。所有非空项所组成。信息安全体系结构安全机制基于能力表的自主访问控制基于能力表的自主访问控制进程进程P1的能力表的能力表客体客体权限权限M1r,w,eF1r,w,a,d,e信息安全体系结构安全机制优缺点优缺点能力方案能力方案当目标很少时,此方案是方便的;当目标很少时,此方案是方便的;在撤销对一个目标集上的目标的访问时,是不方便在撤销对一个目标集上的目标的访问时,是不方便的的对发起者对发起者SDA撤销发起者访问权而言,方便撤
19、销发起者访问权而言,方便在访问控制由发起者一方实施管理的情况下,方便在访问控制由发起者一方实施管理的情况下,方便在有在有“许多许多”用户或用户或“许多许多”组用户对组用户对“很少很少”目目标进行访问,并且目标和用户处于不同安全域的情标进行访问,并且目标和用户处于不同安全域的情况下,权力是非常方便的。况下,权力是非常方便的。信息安全体系结构安全机制基于授权表的自主访问控制基于授权表的自主访问控制可以为每一个客体可以为每一个客体o分配分配一张授权表,授权表由一张授权表,授权表由被授权访问客体被授权访问客体o的所有的所有主体及其对主体及其对o所进行的访所进行的访问权限组成。问权限组成。主体主体权限权
20、限P1r,w,a,d,e信息安全体系结构安全机制优缺点优缺点访问控制列表方案访问控制列表方案需要极为细粒度的访问控制时,此方案是方便的需要极为细粒度的访问控制时,此方案是方便的只有少量发起者或发起者组时,此方案十分方便只有少量发起者或发起者组时,此方案十分方便撤销对目标或目标组的访问十分方便撤销对目标或目标组的访问十分方便基于每个目标而不是每个发起者时,访问控制方便基于每个目标而不是每个发起者时,访问控制方便当发起者个人或组内成员整体不断改变时,此方案当发起者个人或组内成员整体不断改变时,此方案不方便。不方便。信息安全体系结构安全机制4.2.3 强制访问控制强制访问控制自主访问控制是保护系统资
21、源不被非法访问的自主访问控制是保护系统资源不被非法访问的一种有效手段。但这种控制是自主的,是以保一种有效手段。但这种控制是自主的,是以保护用户的个人资源的安全为目标并以个人的意护用户的个人资源的安全为目标并以个人的意志为转移的。志为转移的。自主性满足了用户个人的安全要求,并为用户自主性满足了用户个人的安全要求,并为用户提供了很大的灵活性,但对系统安全的保护力提供了很大的灵活性,但对系统安全的保护力度是相当薄弱的。度是相当薄弱的。当系统中存放有大量数据,而这些数据的属主当系统中存放有大量数据,而这些数据的属主是国家,是整个组织或整个公司时,为了保护是国家,是整个组织或整个公司时,为了保护系统的整
22、体安全,必须采取更强有力的访问控系统的整体安全,必须采取更强有力的访问控制手段来控制用户对资源的访问,这就是强制制手段来控制用户对资源的访问,这就是强制访问控制。访问控制。信息安全体系结构安全机制4.2.3 强制访问控制强制访问控制在一个实施了强制访问控制的系统中,一个主在一个实施了强制访问控制的系统中,一个主体对哪些客体被允许进行访问以及可以进行什体对哪些客体被允许进行访问以及可以进行什么样的访问,都必须事先经过系统对该主体授么样的访问,都必须事先经过系统对该主体授权,否则其访问会遭到拒绝。权,否则其访问会遭到拒绝。强制访问控制往往可以通过给主、客体分别赋强制访问控制往往可以通过给主、客体分
23、别赋予安全标记并通过比较主、客体的安全标记来予安全标记并通过比较主、客体的安全标记来决定,也可以通过限制主体只能执行某些程序决定,也可以通过限制主体只能执行某些程序来实现。来实现。信息安全体系结构安全机制优缺点优缺点基于标记的方案基于标记的方案使用可分配给发起者、目标以及传输于系统之间的使用可分配给发起者、目标以及传输于系统之间的数据的安全标记。数据的安全标记。在多个发起者对多个目标进行访问、且只需要粗粒在多个发起者对多个目标进行访问、且只需要粗粒度访问控制的情况下尤其方便度访问控制的情况下尤其方便对提供安全域之间的访问控制也是方便的对提供安全域之间的访问控制也是方便的信息安全体系结构安全机制
24、安全策略安全策略计算机系统的安全策略是为了描述系统的安全计算机系统的安全策略是为了描述系统的安全需求而制定的对用户行为进行约束的一套严谨需求而制定的对用户行为进行约束的一套严谨的规则,这些规则明确规定系统中哪些访问是的规则,这些规则明确规定系统中哪些访问是允许的,哪些访问是不允许的。用计算机能表允许的,哪些访问是不允许的。用计算机能表达的方式表达出来,用以指导建立相应的强制达的方式表达出来,用以指导建立相应的强制访问控制机制。访问控制机制。系统在实施强制访问控制之前,制定其安全策系统在实施强制访问控制之前,制定其安全策略是十分必要的。略是十分必要的。信息安全体系结构安全机制军事安全策略军事安全
25、策略军事系统中最重要的安全需求是信息的保密性,军事系统中最重要的安全需求是信息的保密性,往往根据信息的机密程度对信息分类,将机密往往根据信息的机密程度对信息分类,将机密程度不同的信息限制在不同的范围内,防止用程度不同的信息限制在不同的范围内,防止用户取得不应该得到的密级较高的信息。户取得不应该得到的密级较高的信息。多级安全的概念始于多级安全的概念始于20世纪世纪60年代,是军事安年代,是军事安全策略的一种数学描述,并用计算机可实现的全策略的一种数学描述,并用计算机可实现的方式来定义。方式来定义。信息安全体系结构安全机制军事安全策略军事安全策略在实施多级安全策略的系统中,系统为每一个在实施多级安
26、全策略的系统中,系统为每一个主体和每一个客体分配一个安全级。主体和每一个客体分配一个安全级。对于主体来说,安全级表示他在系统中被信任的程对于主体来说,安全级表示他在系统中被信任的程度或他在系统中访问信息的能力,有时也称为该主度或他在系统中访问信息的能力,有时也称为该主体的许可证;体的许可证;对于客体来说,安全级表示该客体所包含信息的敏对于客体来说,安全级表示该客体所包含信息的敏感程度或机密性。感程度或机密性。信息安全体系结构安全机制军事安全策略军事安全策略安全级由两部分组成,用有序二元组(密级,范畴集)安全级由两部分组成,用有序二元组(密级,范畴集)表示。表示。密级用来反映信息(或可访问信息)
27、的机密程度,通常有一密级用来反映信息(或可访问信息)的机密程度,通常有一般、秘密、机密和绝密般、秘密、机密和绝密4个级别,根据需要可以将其扩充到个级别,根据需要可以将其扩充到任意多个级别,他们间的关系用全序(一般任意多个级别,他们间的关系用全序(一般秘密秘密机密机密绝密)来表示,这意味着,若某主体具有访问密级绝密)来表示,这意味着,若某主体具有访问密级a的能力,的能力,则对任意则对任意b a,该主体也具有访问,该主体也具有访问b的能力,反之,则不然。的能力,反之,则不然。范畴集也可理解为部门或类别集。范畴集也可理解为部门或类别集。对于客体来说,范畴集可以定义为该客体所包含的信息所涉及的范对于客
28、体来说,范畴集可以定义为该客体所包含的信息所涉及的范围,如所涉及的部门或所具有的类别属性。围,如所涉及的部门或所具有的类别属性。对于主体来说,范畴集可以定义为该主体能访问的信息所涉及的范对于主体来说,范畴集可以定义为该主体能访问的信息所涉及的范围或部门。围或部门。信息安全体系结构安全机制军事安全策略军事安全策略例如,某应用系统中密级定义为例如,某应用系统中密级定义为4个级别,分别用个级别,分别用U、C、S和和TS表示一般、秘密、机密和绝密。表示一般、秘密、机密和绝密。令令A=U,C,S,TS,这里,这里U C S TS,“”是是A上的全上的全序,他们构成偏序集序,他们构成偏序集。设部门集设部门
29、集B=科技处,生产处,情报处,财务处科技处,生产处,情报处,财务处 ,集合集合B的幂级的幂级PB=S | S B 。PB中的元素均是中的元素均是B的的子集。子集。也构成偏序集。也构成偏序集。笛卡尔积笛卡尔积A PB =(a,H)| aA,H PB 中的元中的元素可用来表示系统中主、客体的安全级。素可用来表示系统中主、客体的安全级。信息安全体系结构安全机制军事安全策略军事安全策略例如,假设系统中有主体例如,假设系统中有主体u和和3个客体个客体o1,o2,o3,他们的安全级,他们的安全级分别如下:分别如下:Class(u)=(S,科技处,财务处科技处,财务处 )Class(o1)=(C,科技处科技
30、处 )Class(o2)=(TS,科技处,情报处,财务处科技处,情报处,财务处 )Class(o3)=(C,情报处情报处 )通过比较主、客体的安全级,便可决定是否允许主体对客体通过比较主、客体的安全级,便可决定是否允许主体对客体的访问以及什么样的访问。的访问以及什么样的访问。在笛卡尔积在笛卡尔积A PB 上定义一个二元关系上定义一个二元关系“”:对任意:对任意(a1,H1),(a2,H2) A PB ,当且仅当当且仅当a1a2,H1 H2时,时,有(有(a1,H1)(a2,H2)根据上述主体和客体根据上述主体和客体o1,o2,o3的安全级,可知的安全级,可知Class(u) Class(o2)
31、, Class(o1) Class(u) ,Class(u) 和和Class(o3)不可比。不可比。信息安全体系结构安全机制军事安全策略军事安全策略在一偏序集在一偏序集 中,对任意中,对任意l1,l2 L,若,若l1l2 ,则称,则称l2支支配配l1。如,主体如,主体u的安全级支配客体的安全级支配客体o1的安全级,客体的安全级,客体o2的安全级支配主体的安全级支配主体u的安全级,主体的安全级,主体u和客体和客体o3的安全级相互不可支配。的安全级相互不可支配。多级安全策略可以这样描述:多级安全策略可以这样描述:仅当主体的安全级支配客体的安全级时,允许该主体读访问该客体。仅当主体的安全级支配客体的
32、安全级时,允许该主体读访问该客体。仅当客体的安全级支配主体的安全级时,允许该主体写访问该客体。仅当客体的安全级支配主体的安全级时,允许该主体写访问该客体。这一策略简称为这一策略简称为“向下读,向上写向下读,向上写”,执行的结果是信息只,执行的结果是信息只能由低安全级的客体流向高安全级的客体,高安全级的客体能由低安全级的客体流向高安全级的客体,高安全级的客体的信息不允许流向低安全级的客体。的信息不允许流向低安全级的客体。若要使一个主体既能读访问客体,又能写访问这个客体,两若要使一个主体既能读访问客体,又能写访问这个客体,两者的安全级必须相同。者的安全级必须相同。信息安全体系结构安全机制军事安全策
33、略军事安全策略前例中,主体前例中,主体u可以读访问客体可以读访问客体o1,可以写访问,可以写访问o2,但,但u对于对于o3既不能读访问,也不能写访问。既不能读访问,也不能写访问。多级安全策略不仅适用于军事系统,也可适用于政多级安全策略不仅适用于军事系统,也可适用于政府及企业的办公自动化系统,具有层次结构的组织府及企业的办公自动化系统,具有层次结构的组织机构均可使用多级安全策略来保护信息的机密性。机构均可使用多级安全策略来保护信息的机密性。信息安全体系结构安全机制4.3 完整性机制完整性机制信息安全体系结构安全机制完整性机制分类完整性机制分类1. 通过密码学提供完整性通过密码学提供完整性2. 通
34、过上下文提供完整性通过上下文提供完整性3. 通过探测和确认提供完整性通过探测和确认提供完整性4. 通过阻止提供完整性通过阻止提供完整性信息安全体系结构安全机制1. 通过密码学提供完整性通过密码学提供完整性两类密码学完整性机制两类密码学完整性机制基于对称密码技术的完整性机制基于对称密码技术的完整性机制对隐藏数据的相同秘密密钥的理解,有效获得数据的完对隐藏数据的相同秘密密钥的理解,有效获得数据的完整性保护整性保护这种机制相当于密封这种机制相当于密封基于非对称密码技术的完整性机制基于非对称密码技术的完整性机制对隐藏数据的公钥对应的私钥的理解,获得数据完整性对隐藏数据的公钥对应的私钥的理解,获得数据完
35、整性保护保护这种机制相当于数字签名这种机制相当于数字签名信息安全体系结构安全机制1. 通过密码学提供完整性通过密码学提供完整性通过密封提供完整性通过密封提供完整性为待保护数据添加一个密码检查值提供完整性。为待保护数据添加一个密码检查值提供完整性。使用相同的秘密密钥保护和证实数据的完整性。使用相同的秘密密钥保护和证实数据的完整性。要么所有的潜在证实者事先知道秘密密钥,要么有访问秘密要么所有的潜在证实者事先知道秘密密钥,要么有访问秘密密钥的方法密钥的方法对修改的检测方法对修改的检测方法屏蔽通过为受完整性保护的数据屏蔽通过为受完整性保护的数据证实通过使用数据、密码检验值、秘密密钥,判断数据与密证实通
36、过使用数据、密码检验值、秘密密钥,判断数据与密封是否一致来获得。封是否一致来获得。一旦数据被证实,通过去除密码校验值实现去屏蔽。一旦数据被证实,通过去除密码校验值实现去屏蔽。信息安全体系结构安全机制1. 通过密码学提供完整性通过密码学提供完整性通过数字签名提供完整性通过数字签名提供完整性数字签名是通过一个私有密钥和一个非对称密码算法进行计数字签名是通过一个私有密钥和一个非对称密码算法进行计算的。被屏蔽数据(数据加上附加的数字签名)可用相应的算的。被屏蔽数据(数据加上附加的数字签名)可用相应的公钥进行证实。公钥进行证实。对修改的检测方法对修改的检测方法为受完整性保护的数据附加一个密码检查值,达到
37、数据屏蔽。为受完整性保护的数据附加一个密码检查值,达到数据屏蔽。通过使用收到数据的数字指纹、数字签名以及证实数字签名通过使用收到数据的数字指纹、数字签名以及证实数字签名的算法和公钥完整证实。的算法和公钥完整证实。一旦数据被证实,通过去除密码检查值实现去屏蔽。一旦数据被证实,通过去除密码检查值实现去屏蔽。信息安全体系结构安全机制1. 通过密码学提供完整性通过密码学提供完整性通过冗余数据加密提供完整性通过冗余数据加密提供完整性通过加密可以支持冗余数据的完整性,包括出错检通过加密可以支持冗余数据的完整性,包括出错检测代码和数字指纹的数据是冗余的,完整性通过加测代码和数字指纹的数据是冗余的,完整性通过
38、加密得到保护。密得到保护。对修改的检测方法对修改的检测方法对冗余数据加密实现屏蔽对冗余数据加密实现屏蔽通过解密被屏蔽数据,以及判断它们是否满足原数通过解密被屏蔽数据,以及判断它们是否满足原数据应满足的任何不变性,从而获得证实。据应满足的任何不变性,从而获得证实。通过解密被加密数据实现去屏蔽。通过解密被加密数据实现去屏蔽。信息安全体系结构安全机制2. 通过上下文提供完整性通过上下文提供完整性通过在一个或多个预先达成共识的上下文条件通过在一个或多个预先达成共识的上下文条件下,存储或传送数据的机制得到支持。下,存储或传送数据的机制得到支持。分类分类数据重复数据重复预共识上下文预共识上下文信息安全体系
39、结构安全机制2. 通过上下文提供完整性通过上下文提供完整性数据重复数据重复基于数据在空间或时间上的重复出现。通常假定攻击者不能基于数据在空间或时间上的重复出现。通常假定攻击者不能同时损毁超过某个有限数目的复制件,一旦任何数据检测到同时损毁超过某个有限数目的复制件,一旦任何数据检测到攻击,数据都可从原拷贝进行重构。攻击,数据都可从原拷贝进行重构。提供完整性的方式提供完整性的方式通过依时间顺序或在不同场所提供同一个数据的多份拷贝,达到屏通过依时间顺序或在不同场所提供同一个数据的多份拷贝,达到屏蔽数据的目的。蔽数据的目的。通过收集每个给定时间或地点的拷贝,作出比较以达到证实目的。通过收集每个给定时间
40、或地点的拷贝,作出比较以达到证实目的。通过选择某个预定的最小度量值作为正确值,当预先设定的标准得通过选择某个预定的最小度量值作为正确值,当预先设定的标准得到满足时,可成功实现屏蔽。到满足时,可成功实现屏蔽。预共识上下文预共识上下文提供完整性保护数据的删除检测服务,常与其它完整性机制提供完整性保护数据的删除检测服务,常与其它完整性机制结合使用。结合使用。在给定偏差范围内的特定时间和在给定偏差范围内的特定时间和/或地点上提供数据,达到或地点上提供数据,达到屏蔽的目的;屏蔽的目的;在给定的时间和在给定的时间和/或地点上预期得到数据实现证实目的;如或地点上预期得到数据实现证实目的;如果预期数据不存在,
41、断定数据发生了完整性损坏。果预期数据不存在,断定数据发生了完整性损坏。信息安全体系结构安全机制3. 通过探测和确认提供完整性通过探测和确认提供完整性使用一种总是执行正馈等幂运算的完整性探测。使用一种总是执行正馈等幂运算的完整性探测。正馈等幂:多次循环执行的运算都产生惟一的结果,正馈等幂:多次循环执行的运算都产生惟一的结果,这种运算被认为是等幂的。这种运算被认为是等幂的。这种机制不适用于数据存储。这种机制不适用于数据存储。通过重复相同的动作,直到完整性策略作出否认指示,通过重复相同的动作,直到完整性策略作出否认指示,或者收到一个肯定的确认,从而实现屏蔽。或者收到一个肯定的确认,从而实现屏蔽。对每
42、份被屏蔽数据都实行证实,成功的证实会对每份被屏蔽数据都实行证实,成功的证实会向实施向实施屏蔽操作的实体发出肯定的确认信号。屏蔽操作的实体发出肯定的确认信号。信息安全体系结构安全机制4. 通过阻止提供完整性通过阻止提供完整性通过阻止对数据存储或传输媒体的物理访问。通过阻止对数据存储或传输媒体的物理访问。通过访问控制提供。通过访问控制提供。信息安全体系结构安全机制4.4 鉴别机制鉴别机制鉴别机制是以交换信息的方式,确认实体真实鉴别机制是以交换信息的方式,确认实体真实身份的一种安全机制。身份的一种安全机制。鉴别机制用来对抗假冒威胁。鉴别机制用来对抗假冒威胁。信息安全体系结构安全机制鉴别技术分类鉴别技
43、术分类按保护等级分类按保护等级分类0级鉴别(无保护)级鉴别(无保护)1级鉴别(抗泄露保护)级鉴别(抗泄露保护)2级鉴别(抗泄露和对不同验证者重放的保护)级鉴别(抗泄露和对不同验证者重放的保护)3级鉴别(抗泄露和对同一验证者重放的保护)级鉴别(抗泄露和对同一验证者重放的保护)4级鉴别(抗泄露和对相同级鉴别(抗泄露和对相同/不同验证者重放的不同验证者重放的保护)保护)信息安全体系结构安全机制鉴别技术分类鉴别技术分类按保护等级分类按保护等级分类0级鉴别(无保护)级鉴别(无保护)申请申请AI连同可辨别标识符一起,作为申请者到验证连同可辨别标识符一起,作为申请者到验证者的交换者的交换AI简单地被发送简单
44、地被发送。如,发送一个口令如,发送一个口令可用于数据源和实体鉴别可用于数据源和实体鉴别缺点:易于暴露鉴别信息和受到重放攻击缺点:易于暴露鉴别信息和受到重放攻击申请者申请者验证者验证者鉴别请求,可辨别标识符,鉴别请求,可辨别标识符,申请申请AI, 数字指纹数字指纹信息安全体系结构安全机制鉴别技术分类鉴别技术分类按保护等级分类按保护等级分类1级鉴别(抗泄露保护)级鉴别(抗泄露保护)提供防止申请提供防止申请AI泄露的保护泄露的保护可用于数据源和实体鉴别可用于数据源和实体鉴别使用变换函数,将申请使用变换函数,将申请AI和可辨别标识符一起利用函数进行和可辨别标识符一起利用函数进行变换,且与可辨别标识符一
45、起传输,变换,且与可辨别标识符一起传输,实际的申请实际的申请AI并不在通并不在通信信道中传输信信道中传输。如,传送经单向函数变换后的通行字;传送利用秘密密钥加如,传送经单向函数变换后的通行字;传送利用秘密密钥加密的数字指纹等。密的数字指纹等。缺点:易于受重放攻击缺点:易于受重放攻击申请者申请者验证者验证者鉴别请求,可辨别标识符,鉴别请求,可辨别标识符,F(申请(申请AI,可辨别标识符,可辨别标识符,数字指纹数字指纹)信息安全体系结构安全机制鉴别技术分类鉴别技术分类按保护等级分类按保护等级分类2级鉴别(抗泄露和对不同验证者重放的保护)级鉴别(抗泄露和对不同验证者重放的保护)提供申请提供申请AI抗
46、泄露和对于不同验证者的重放保护。抗泄露和对于不同验证者的重放保护。在数据项中含有一个惟一特征(预期的验证者),在数据项中含有一个惟一特征(预期的验证者),作为变换函数的输入,其他与作为变换函数的输入,其他与1级保护机制一样。级保护机制一样。缺点:不能对抗对同一验证者的重放。缺点:不能对抗对同一验证者的重放。申请者申请者验证者验证者鉴别请求,可辨别标识符,鉴别请求,可辨别标识符,F(申请(申请AI,可辨别标识符,可辨别标识符,验证者验证者,数字指纹数字指纹)信息安全体系结构安全机制鉴别技术分类鉴别技术分类按保护等级分类按保护等级分类3级鉴别(抗泄露和对同一验证者重放的保护)级鉴别(抗泄露和对同一
47、验证者重放的保护)提供申请提供申请AI的抗泄露和对于同一验证者的重放保护。的抗泄露和对于同一验证者的重放保护。申请者申请者验证者验证者鉴别请求,可辨别标识符,鉴别请求,可辨别标识符,惟一编号惟一编号F(申请(申请AI,惟一数惟一数,可辨别标识符可辨别标识符,数字指纹数字指纹)惟一数来源:惟一数来源:随机数或伪随机数。在申请随机数或伪随机数。在申请AI的生命期内,不可有意重复。的生命期内,不可有意重复。时间戳。从可信来源得到,在申请时间戳。从可信来源得到,在申请AI的生命期内,惟一性。的生命期内,惟一性。计数器。惟一数是计数器的值。计数器。惟一数是计数器的值。密码链。由(密码)分组链在申请者与验
48、证者之间先前交换的数据密码链。由(密码)分组链在申请者与验证者之间先前交换的数据内容导出。内容导出。信息安全体系结构安全机制鉴别技术分类鉴别技术分类按保护等级分类按保护等级分类4级鉴别(抗泄露和对相同级鉴别(抗泄露和对相同/不同验证者重放的不同验证者重放的保护)保护)4A)惟一数机制惟一数机制4B)质询机制质询机制4C) 专用加密质询机制专用加密质询机制4D)计算响应机制)计算响应机制信息安全体系结构安全机制惟一数机制惟一数机制在数据项中包含一个对预期验证者是惟一的特在数据项中包含一个对预期验证者是惟一的特征,惟一特征作为变换函数的输入。其他与征,惟一特征作为变换函数的输入。其他与3级级相同。
49、相同。申请者申请者验证者验证者鉴别请求,可辨别标识符,鉴别请求,可辨别标识符,惟一编号惟一编号F(申请(申请AI,惟一数,惟一数,验证者验证者,可辨别标识符可辨别标识符,数字指纹数字指纹)信息安全体系结构安全机制质询机制质询机制对抗重放攻击。对抗重放攻击。验证者以带有惟一值的数据项形式对申请者发出质询,验证者以带有惟一值的数据项形式对申请者发出质询,申请者利用某个函数对质询信息和申请申请者利用某个函数对质询信息和申请AI进行变换,进行变换,且向验证者返回变换结果。且向验证者返回变换结果。可应用于数据源和实体鉴别可应用于数据源和实体鉴别申请者申请者验证者验证者可辨别标识符可辨别标识符,F(申请(
50、申请AI,质询,质询,可辨别标识符可辨别标识符,数字指纹数字指纹)鉴别请求,鉴别请求,可辨别标识符可辨别标识符质询质询信息安全体系结构安全机制专用加密质询机制专用加密质询机制适用于实体鉴别,但不适用于数据源鉴别适用于实体鉴别,但不适用于数据源鉴别申请者申请者验证者验证者质询质询鉴别请求,可辨别标识符鉴别请求,可辨别标识符F(质询,验证质询,验证AI, 可辨别标识符可辨别标识符)信息安全体系结构安全机制计算响应机制计算响应机制发送带有经挑选的供选择值和身份信息的鉴别请求发送带有经挑选的供选择值和身份信息的鉴别请求发出质询,指出验证者所选中的值发出质询,指出验证者所选中的值发出一个响应,包含利用适
51、当函数变换的惟一数、质发出一个响应,包含利用适当函数变换的惟一数、质询或计算响应被选中的值以及申请询或计算响应被选中的值以及申请AI。申请者申请者验证者验证者F(质询或选中的值,请求(质询或选中的值,请求AI,数字指纹数字指纹) 鉴别请求,可辨别标识符,惟一数,供选择的值鉴别请求,可辨别标识符,惟一数,供选择的值质询,被选中的值质询,被选中的值信息安全体系结构安全机制鉴别技术分类鉴别技术分类按机制的配置分类按机制的配置分类涉及可信第三方的模型涉及可信第三方的模型阶段模型阶段模型使用初始化信息知识的模型使用初始化信息知识的模型介入鉴别的可信第三方之间的关系介入鉴别的可信第三方之间的关系联机可信第
52、三方联机可信第三方脱机可信第三方脱机可信第三方信息安全体系结构安全机制鉴别方案鉴别方案A实体实体A与可信第三方进行鉴别交换后,从第三方得到与可信第三方进行鉴别交换后,从第三方得到申请申请AI;实体实体B从可信第三方得到验证从可信第三方得到验证AI;实体实体B对实体对实体A执行本地验证。执行本地验证。A 方方可信第三方可信第三方B 方方获取获取分发分发传输传输申请者申请者验证者验证者信息安全体系结构安全机制鉴别方案鉴别方案B实体实体A与可信第三方进行鉴别交换后,从第三方得到与可信第三方进行鉴别交换后,从第三方得到申请申请AI;实体实体B从实体从实体A收到的交换收到的交换AI提交给可信第三方,以便
53、提交给可信第三方,以便验证。验证。A 方方可信第三方可信第三方B 方方获取获取验证验证传输传输信息安全体系结构安全机制鉴别方案鉴别方案C实体实体A与可信第三方进行鉴别交换后,从第三与可信第三方进行鉴别交换后,从第三方得到申请方得到申请AI,以及对实体,以及对实体B执行本地验证必执行本地验证必需的验证需的验证AI。A 方方可信第三方可信第三方B 方方获取获取传输传输信息安全体系结构安全机制鉴别方案鉴别方案D实体实体A得到对实体得到对实体B执行本地验证必需的验证执行本地验证必需的验证AI,且在本地生成交换,且在本地生成交换AI;交换交换AI与验证与验证AI一并提交给实体一并提交给实体B。A 方方可
54、信第三方可信第三方B 方方分发分发传输传输信息安全体系结构安全机制鉴别方案鉴别方案E实体实体A在本地生成交换在本地生成交换AI,并且提交给实体,并且提交给实体B;实体实体B从可信第三方得到必要的验证从可信第三方得到必要的验证AI,实现,实现本地验证。本地验证。A 方方可信第三方可信第三方B 方方分发分发传输传输信息安全体系结构安全机制鉴别方案鉴别方案F实体实体A在本地生成交换在本地生成交换AI,并且提交给实体,并且提交给实体B;实体实体B将从实体将从实体A收到的交换收到的交换AI提交给可信第三提交给可信第三方进行验证。方进行验证。A 方方可信第三方可信第三方B 方方验证验证传输传输信息安全体系
55、结构安全机制鉴别方案鉴别方案G一种在线式的委托关系,实体一种在线式的委托关系,实体A在本地生成交在本地生成交换换AI,并且提交给可信第三方;,并且提交给可信第三方;可信第三方向实体可信第三方向实体B发送鉴别证书以及执行本地发送鉴别证书以及执行本地验证所必需的验证验证所必需的验证AI。A 方方可信第三方可信第三方B 方方传输传输传输传输/分发分发信息安全体系结构安全机制鉴别方案鉴别方案H另一种在线式的委托关系,实体另一种在线式的委托关系,实体A在本地生成在本地生成交换交换AI,并且提交给可信第三方;,并且提交给可信第三方;可信第三方向实体可信第三方向实体B发出实体发出实体A的身份已被验证的身份已
56、被验证的通知。的通知。A 方方可信第三方可信第三方B 方方传输传输传输传输信息安全体系结构安全机制使用初始化信息知识的模型使用初始化信息知识的模型申请者和可信第三方之间共享初始化信息申请者和可信第三方之间共享初始化信息申请者和可信第三方之间共享的秘密密钥为申请者申请者和可信第三方之间共享的秘密密钥为申请者和可信第三方所了解和可信第三方所了解申请者的私钥只有申请者知道,申请者的公钥为可申请者的私钥只有申请者知道,申请者的公钥为可信第三方所了解信第三方所了解申请者的私钥为申请者和可信第三方所知道申请者的私钥为申请者和可信第三方所知道验证者和可信第三方共享初始化信息验证者和可信第三方共享初始化信息验
57、证者和可信第三方之间共享的秘密密钥为验证者验证者和可信第三方之间共享的秘密密钥为验证者和可信第三方所了解和可信第三方所了解可信第三方的公钥被验证者所了解可信第三方的公钥被验证者所了解信息安全体系结构安全机制4.5 带附录的数字签名机制带附录的数字签名机制数字签名是在数据单元上附加数据,或对数据数字签名是在数据单元上附加数据,或对数据单元进行的密码变换。通过这一附加数据或密单元进行的密码变换。通过这一附加数据或密码变换,使数据单元的接收者证实数据单元的码变换,使数据单元的接收者证实数据单元的来源及其完整性,同时对数据进行保护。来源及其完整性,同时对数据进行保护。数字签名机制基于非对称密码技术,用
58、来提供数字签名机制基于非对称密码技术,用来提供实体鉴别、数据源发鉴别、数据完整性和抗抵实体鉴别、数据源发鉴别、数据完整性和抗抵赖等服务。赖等服务。两种机制两种机制带附录的签名机制带附录的签名机制带消息恢复的签名机制带消息恢复的签名机制信息安全体系结构安全机制一般概念一般概念ISO/IEX 14888中规定的机制都是基于非对称密中规定的机制都是基于非对称密码技术。码技术。每个非对称数字签名机制包括三个基本操作每个非对称数字签名机制包括三个基本操作生成密钥对的进程(签名密钥和验证密钥)生成密钥对的进程(签名密钥和验证密钥)使用签名密钥的进程,也称签名进程使用签名密钥的进程,也称签名进程使用验证密钥
59、的进程,也称验证进程使用验证密钥的进程,也称验证进程信息安全体系结构安全机制一般原理一般原理数字签名机制应当满足的要求数字签名机制应当满足的要求只给定验证密钥而不给签名密钥,产生任何消息及只给定验证密钥而不给签名密钥,产生任何消息及其有效的签名是计算上不可行的。其有效的签名是计算上不可行的。签名者产生的签名不能用来产生任何新的消息及其签名者产生的签名不能用来产生任何新的消息及其有效的签名,也不能用来恢复签名密钥有效的签名,也不能用来恢复签名密钥即使是签名者,找到具有相同签名的两个不同消息,即使是签名者,找到具有相同签名的两个不同消息,也是计算上不可行的。也是计算上不可行的。计算可行性依赖于特定
60、的安全要求和环境计算可行性依赖于特定的安全要求和环境信息安全体系结构安全机制绑定签名机制和散列函数绑定签名机制和散列函数当数字签名机制使用散列函数时,应将签名机当数字签名机制使用散列函数时,应将签名机制与所使用的散列函数绑定。制与所使用的散列函数绑定。使用特定签名机制时,要求使用特定散列函数使用特定签名机制时,要求使用特定散列函数提供一组散列函数,且在每个已签名消息中通过散提供一组散列函数,且在每个已签名消息中通过散列函数标识符,明确指出所使用的散列函数,散列列函数标识符,明确指出所使用的散列函数,散列函数标识符作为签名计算的一部分。函数标识符作为签名计算的一部分。提供一组散列函数,且在证书域
61、参数中明确指出所提供一组散列函数,且在证书域参数中明确指出所使用的散列函数。使用的散列函数。提供一组散列函数,并且通过其他方法指出所使用提供一组散列函数,并且通过其他方法指出所使用的散列函数,如在消息中指出或双方协商。的散列函数,如在消息中指出或双方协商。使用弱散列函数,伪造签名。使用弱散列函数,伪造签名。信息安全体系结构安全机制密钥生成进程密钥生成进程密钥生成进程包括两个过程密钥生成进程包括两个过程生成域参数。在域建立时被执行一次。生成域参数。在域建立时被执行一次。生成签名密钥和验证密钥生成签名密钥和验证密钥信息安全体系结构安全机制签名进程签名进程签名进程需要的数据项签名进程需要的数据项域参
62、数域参数Z签名密钥签名密钥X消息消息M散列函数标识符(可选)散列函数标识符(可选)其他上下文(可选)其他上下文(可选)带附录的签名机制签名进程包括带附录的签名机制签名进程包括产生预签名(可选)产生预签名(可选)为签名准备消息为签名准备消息计算证据计算证据计算签名计算签名信息安全体系结构安全机制带确定证据的签名进程带确定证据的签名进程消息消息M准备消息准备消息签名密钥签名密钥 X产生预签名产生预签名计算证据计算证据计算签名计算签名签名签名MMMKHXSR信息安全体系结构安全机制带随机化证据的签名进程带随机化证据的签名进程消息消息M准备消息准备消息签名密钥签名密钥 X产生预签名产生预签名签名签名M
63、M2KXSR计算证据计算证据第二步第二步计算签名计算签名M1信息安全体系结构安全机制验证进程验证进程验证进程需要的数据项验证进程需要的数据项域参数域参数Z验证密钥验证密钥Y消息消息M签名签名散列函数标识符散列函数标识符其它上下文(可选)其它上下文(可选)带附录的签名机制的验证过程包括带附录的签名机制的验证过程包括为验证准备消息为验证准备消息检索证据检索证据计算验证函数计算验证函数验证证据验证证据信息安全体系结构安全机制带确定证据的验证进程带确定证据的验证进程消息消息M准备消息准备消息验证密钥验证密钥 Y计算验证函数计算验证函数验证证据验证证据是是/否否M签名签名检索证据检索证据M1M2S RY
64、HH信息安全体系结构安全机制带随机化证据的验证进程带随机化证据的验证进程消息消息M准备消息准备消息验证密钥验证密钥 Y验证证据验证证据是是/否否M签名签名M1M2S RYRR验证的第一步验证的第一步重算证据重算证据计算验证函数计算验证函数信息安全体系结构安全机制4.6 抗抵赖机制抗抵赖机制使用使用TTP安全令牌的抗抵赖技术安全令牌的抗抵赖技术使用安全令牌和防篡改模块的抗抵赖技术使用安全令牌和防篡改模块的抗抵赖技术使用数字签名的抗抵赖技术使用数字签名的抗抵赖技术使用时间戳的抗抵赖技术使用时间戳的抗抵赖技术使用在线可信第三方的抗抵赖技术使用在线可信第三方的抗抵赖技术使用公证的抗抵赖技术使用公证的抗
65、抵赖技术信息安全体系结构安全机制抗抵赖面临的威胁抗抵赖面临的威胁密钥泄露密钥泄露实体生成密钥泄露实体生成密钥泄露TTP生成秘钥的泄露生成秘钥的泄露替换实体验证密钥替换实体验证密钥替换替换TTP验证密钥验证密钥泄露证据泄露证据证据的未授权修改和破坏证据的未授权修改和破坏破坏证据或使之无效破坏证据或使之无效伪造证据伪造证据外部人员伪造证据外部人员伪造证据证据的虚假验证证据的虚假验证可信第三方伪造证据可信第三方伪造证据信息安全体系结构安全机制4.7 安全审计和报警机制安全审计和报警机制安全审计跟踪是一种很有价值的安全机制,可以通过事后的安安全审计跟踪是一种很有价值的安全机制,可以通过事后的安全审计来
66、检测和调查安全策略执行的情况以及安全遭到的破坏全审计来检测和调查安全策略执行的情况以及安全遭到的破坏情况。情况。安全审计是对系统记录和活动的独立评估、考核、以测试系统安全审计是对系统记录和活动的独立评估、考核、以测试系统控制是否充分,确保与既定策略和操作规程相一致,有助于对控制是否充分,确保与既定策略和操作规程相一致,有助于对入侵进行评估,指出控制、策略和程序的变化。入侵进行评估,指出控制、策略和程序的变化。安全审计需要安全审计跟踪中与安全有关的记录信息,和从安安全审计需要安全审计跟踪中与安全有关的记录信息,和从安全审计跟踪中得到的分析和报告信息。全审计跟踪中得到的分析和报告信息。日志或记录被
67、视为一种安全机制,而分析和报告生成被视为一日志或记录被视为一种安全机制,而分析和报告生成被视为一种安全管理功能。种安全管理功能。通过指明所记录的与安全有关的事件的类别,安全审计跟踪信通过指明所记录的与安全有关的事件的类别,安全审计跟踪信息的收集可以适应各种需要。息的收集可以适应各种需要。安全审计跟踪的存在对潜在的安全攻击源的攻击可以起到威慑安全审计跟踪的存在对潜在的安全攻击源的攻击可以起到威慑作用。作用。信息安全体系结构安全机制4.8公证机制和普遍安全机制公证机制和普遍安全机制公证机制公证机制普遍安全机制普遍安全机制可信机制可信机制安全标记安全标记事件检测机制事件检测机制安全恢复机制安全恢复机制路由选择机制路由选择机制信息安全体系结构安全机制4.9 本章小结本章小结信息安全体系结构安全机制信息安全体系结构安全机制
