信息安全概论 徐茂智 邹维 1_ 信息安全概论第4讲新.pptVIP

信息安全概论 第4讲 2008年x月y日 第2章 信息安全体系结构 2.3 OSI安全体系结构 目标 意义和方法 2.3.1 OSI的7层网络与TCP/IP模型 1.OSI的7层协议模型 2.一些术语 3. 通信机制 4. TCP/IP模型 2.3.2 OSI的安全服务 五类安全服务的分类 1. 鉴别 2. 机密性 3. 完整性 4. 访问控制与抗抵赖 2.3.3 OSI安全机制 2.3.4 安全服务与特定安全机制的关系 2.3.5 层次化结构中服务的配置 作业 * * 2.1 技术体系结构概述 2.2安全机制 2.3 OSI安全体系结构 2.4应用体系结构 2.5 组织体系结构与管理体系结构 标准组织 ISO——国际标准化组织 OSI ——开放系统互连 ITU——国际电信联盟 OSI安全体系结构的颁布 ISO于1988年发布了7498-2标准——开放系统互连（OSI）参考模型的安全体系结构部分。 ITU于 1990年把它作为X.800推荐标准。 中国于1995年我国把它作为国家标准GB/T9387.2-1995颁布。 体系结构定义的回顾 信息安全的技术体系结构是研究在特定应用环境或类别下，采用妥善定义的信息安全机制，构建、实现相关的安全目标或安全服务的科学。 OSI安全体系结构的目标 把安全特征按照功能目标分配给OSI的层，以加强OSI结构的安全性。 提供一个结构化的框架，以便供应商和用户据此评估安全产品。 OSI安全体系结构对于构建网络环境下的信息安全解决方案具有指导意义。 其核心内容是为异构计算机的进程与进程之间的通信安全性，定义了五类安全服务、八类安全机制以及安全服务分层的思想，并描述了OSI的安全管理框架，最后又描述了这些安全服务、安全机制在7层中的配置关系。从而为网络通信安全体系结构的研究奠定了重要基础。 层次化结构有效地实现了各个层次功能的划分并定义了规范的接口，使得每一层的功能简单、易于实现和维护。 物理层 物理层 数据链路层 数据链路层 网络层 网络层 传输层 传输层 会话层 会话层 表示层 表示层 应用层 应用层 图2.3 OSI的7层协议模型 层次化结构有效地实现了各个层次功能的划分并定义了规范的接口，使得每一层的功能简单、易于实现和维护。 例如，它使网络的设计者不需要把注意力放在具体物理传输媒介、具体应用细节上，而专注于网络的拓扑结构。 每一层中的活动元素称为实体。位于不同系统上同一层的实体称为对等实体。不同系统之间的通信可以由对等实体间的逻辑通信来实现。对某一层上的通信所使用的规则称为该层上的通信协议。协议按照所属的层次顺序排列而成的协议序列称为协议栈。 事实上，除了在最底层——物理层，上进行的是实际的通信之外，其余各对等实体之间进行的都是虚通信或逻辑通信。高层实体之间的通信是调用相邻低层实体之间的通信实现的，如此下去总是要经过物理层才能实现通信。 N+1层实体要想把数据D传送到对等实体手中，它将调用N层提供的通信服务，在被称为服务数据单元（SDU）的D前面加上协议头（PH），传送到对等的N层实体手中，而N层实体去掉协议头，把信息D交付到N+1层对等实体手中。 我们熟悉的英特网（Internet）实际上不是由7层组成，而是由应用层、传输层（TCP/UDP）、网络互联层（IP）和网络接口层组成。它们的位置关系参看图2.4。 它的通信模式和OSI的7层模型差不多。 网络接口层 网络互联层 传输层 应用层 应用层对应于OSI的应用层、表示层和会话层的组合，为应用程序访问网络通信提供接口。常见的协议包括FTP（文件传输协议）、TELNET（远程终端协议）、SMTP（简单邮件传输协议）、HTTP（超文本传输协议）等。 传输层对应于OSI的传输层，为高层提供一定的数据可靠性和完整性。包括两个传输协议TCP和UDP，前者提供面向连接的传输服务，后者提供面向非连接的传输服务。 网络互联层与OSI的网络层对应，处理建立、保持、释放连接，以及路由等功能，该层上的协议为IP协议。 网络接口层对应于OSI的数据链路层和物理层的组合，负责把IP包封装为适合于物理网络上传输的帧，并解决数据帧和比特传输的纠错问题。不同的网络介质有不同的协议。 OSI的五类安全服务是 鉴别 机密性 完整性 访问控制 抗抵赖 实际上是一些要实现的安全目标，但在OSI框架之下，认为每一层和它的上一层是一种服务关系，因此，把这些安全目标称为安全服务是相当自然的。 选择字段的无连接 完整性 无连接完整性 通信业务流机密性 选择字段的连接完整性 选择字段机密性 有交付证明的 抗抵赖 不带恢复的连接完整性 无连接机密性 数据原发鉴别 有数据原发证明的抗抵赖 访问控制