信息安全体系结构开放系统互连安全服务框架..pptVIP

第3章 开放系统互连安全服务框架 3.1 安全框架概况 安全框架标准是安全服务、安全机制及其相应安全协议的基础，是信息系统安全的理论基础。 GB/T9387.2-1995（等同于ISO7498-2）定义了进程之间交换信息时保证其安全的体系结构中的安全术语、过程和涉及范围。 安全框架标准（ISO/IEC 10181-1~10181-7）全面惟一地准确定义安全技术术语、过程和涉及范围的标准。 安全框架的内容 描述安全框架的组织结构 定义安全框架各个部分要求的安全概念 描述框架多个部分确定的安全业务与机制之间的关系。 3.2 鉴别（Authentication）框架 ISO/IEC10181-2是开放系统互连安全框架的鉴别框架部分。 主要内容 鉴别目的 鉴别的一般原理 鉴别的阶段 可信第三方的参与 主体类型 人类用户鉴别 针对鉴别的攻击种类 3.2.1 鉴别目的 人 进程 实开放系统 OSI层实体 组织机构（如企业） 3.2.2 鉴别的一般原理 可辨别标识符 同一安全域中，可辨别标识符具有唯一性。 在粗粒度等级上，组拥有可辨别标识符； 在细粒度等级上，实体拥有可辨别标识符。 在不同安全域中，各安全域可能使用同一个可辨别标识符。这种情况下，可辨别标识符须与安全域标识符连接使用，达到为实体提供明确标识符的目的。 举例 Windows NT系统中有两种模式： 工作组 域 用户帐户（用户名、密码），组帐户是一个可辨别标识符； 在不同域之间的用户帐户鉴别，鉴别时需要提供域的信息。 鉴别的一般原理 鉴别方法 已知，如一个秘密的通行字 拥有的，如IC卡 不可改变的特性，如生物学测定的标识特征 相信可靠的第三方建立的鉴别 环境（如主机地址） 鉴别的一般原理 在涉及双向鉴别时，实体同时充当申请者和验证者的角色 可信第三方：描述安全权威机构或它的代理。在安全相关的活动中，它被其他实体所信任。可信第三方在鉴别中受到申请者和/或验证者的信任。 鉴别信息（AI） “鉴别信息”指申请者要求鉴别至鉴别过程结束所生成、使用和交换的信息。 鉴别信息的类型 申请AI：用来生成交换AI，以鉴别一个主体的信息。如：通行字，秘密密钥，私钥； 验证AI：通过交换AI，验证所声称身份的信息。如：通行字，秘密密钥，公钥； 交换AI：申请者与验证者之间在鉴别一个主体期间所交换的信息。如：可辨别标识符，通行字，质询，咨询响应，联机证书，脱机证书等。 申请者、验证者、可信第三方之间的关系 3.2.3 鉴别的阶段 阶段 安装 修改鉴别信息 分发 获取 传送 验证 停活 重新激活阶段 取消安装 并不要求所有这些阶段或顺序 举例 创建一个帐户 分发帐户 获取帐户 修改帐户信息 验证帐户 禁止帐户 激活帐户 删除帐户 3.2.4 可信第三方的参与 鉴别机制可按可信第三方的参与数分类 无需可信第三方参与的鉴别 可信第三方参与的鉴别 一、无需可信第三方参与的鉴别 二、可信第三方参与的鉴别 验证AI可以通过与可信第三方的交互中得到，必须保证这一信息的完整性。 维持可信第三方的申请AI的机密性，以及在申请AI可从验证AI推演出来时，维持验证AI的机密性是必要的。 例如 公钥体制（公钥，私钥）对应申请AI和验证AI （一）在线鉴别 可信第三方（仲裁者）直接参与申请者与验证者之间的鉴别交换。 （二）联机鉴别 不同于在线鉴别，联机鉴别的可信第三方并不直接处于申请者与验证者鉴别交换的路径上。 实例：可信第三方为密钥分配中心，联机鉴别服务器。 （三）脱机鉴别 要求使用被撤销证书的证明清单、被撤销证书的证书清单、证书时限或其他用于撤销验证AI的非即时方法等特征。 三、申请者信任验证者 申请者信任验证者。 如果验证者的身份未得到鉴别，那么其可信度是不可知的。 例如：在鉴别中简单使用的通行字，必须确信验证者不会保留或重用该通行字。 3.2.5 主体类型 指纹、视网膜等被动特征 具有信息交换和处理能力 具有信息存储能力 具有唯一固定的位置 3.2.6 针对鉴别的攻击种类 重放攻击 对同一验证者进行重放攻击。可以通过使用惟一序列号或质询来对抗，惟一序列号由申请者生成，且不会被同一验证者两次接受。 对不同验证者进行重放攻击。通过质询来对抗。在计算交换AI时使用验证者惟一拥有的特性可防止这种攻击。 延迟攻击 入侵者发起的延迟攻击 入侵者响应的延迟攻击 入侵者发起的延迟攻击 C告诉A说它是B，要求A对B进行鉴别，然后告诉B说它是A，并且提供自身的鉴别信息。 入侵者响应的延迟攻击 入侵者处于鉴别交换的中间位置，它截获鉴别信息并且转发，接管发起者的任务。 3.3 访问控制（Access Control）框架 ISO/IEC10181-3是开放系统互连安全框架的访问控制框架部分。决定开放系统环境中允许使用哪些资源、在什么地方适合