安全體系結構與模型張偉南京郵電大學計算機學院信息安全系Email:1999zhangwei@163.com安全體系結構與模型張偉1四個概念安全體系結構：定義了最一般的關于安全體系結構的概念,如安全服務、安全機制安全框架：定義了提供安全服務的最一般的方法，如數(shù)據(jù)源、操作方法以及它們之間的數(shù)據(jù)流向等安全模型：指在特定的環(huán)境里，為保證提供一定級別的安全保護所奉行的基本思想安全技術：一些基本模塊，它們構成了安全服務的基礎，同時可以相互任意組合，以提供更強大的安全服務四個概念安全體系結構：定義了最一般的關于安全體系結構的概念,21.5安全體系

1.6安全模型1.5安全體系

1.6安全模型3IOS/OSI安全體系結構ISO：InternationalOrganizationforStandardizationOSI:OpenSystemInterconnect/RM安全服務安全機制安全管理其它,如安全威脅IOS/OSI安全體系結構ISO：International4ISO-7498-2安全架構ISO-7498-2安全架構51982ISOJTC1/JCT211988ISO7498-21990ITU-TX.800《信息處理系統(tǒng)開發(fā)系統(tǒng)互聯(lián)基本參考模型-第二部分：安全體系結構》GB/T9387.2-1985《Internet安全體系結構》RFC24011982ISOJTC1/JCT216安全服務（x.800）安全服務（x.800）7安全服務X.800定義：為了保證系統(tǒng)或者數(shù)據(jù)傳輸有足夠的安全性，開發(fā)系統(tǒng)通信協(xié)議所提供的服務。RFC2828：安全服務是一種由系統(tǒng)提供的對資源進行特殊保護的進程或通信服務。安全服務通過安全機制來實現(xiàn)安全策略。安全服務X.800定義：為了保證系統(tǒng)或者數(shù)據(jù)傳輸有足夠的安全8安全服務(五類十四個服務)對象認證安全服務訪問控制安全服務數(shù)據(jù)保密安全服務數(shù)據(jù)完整性安全服務防抵賴性安全服務匿名性安全服務（可選）安全服務(五類十四個服務)對象認證安全服務91對象認證安全服務

用于識別對象的身份和對身份的證實。OSI環(huán)境可提供對等實體認證和信源認證等安全服務。對等實體認證是用來驗證在某一關聯(lián)的實體中，對等實體的聲稱是一致的，它可以確認對等實體沒有假冒；信源認證是用于無連接時驗證所收到的數(shù)據(jù)來源與所聲稱的來源是一致的，但不提供防止數(shù)據(jù)中途被修改的功能。1對象認證安全服務用于識別對象的身份和對身份的證實。10對象認證安全服務實例

AA‘服務器Internet討論：假如A和A‘用戶名是一樣的，且都是合法用戶，服務器是否能分別認怔A和A’？對象認證安全服務實例AA‘服務器Interne112訪問控制安全服務

提供對越權使用資源的防御措施。訪問控制策略可分為自主訪問控制、強制訪問控制、基于角色的訪問控制。實現(xiàn)機制可以是基于訪問控制屬性的訪問控制表，基于安全標簽或用戶和資源分檔的多級訪問控制等2訪問控制安全服務12WindowsNT文件訪問控制WindowsNT文件訪問控制133數(shù)據(jù)保密性安全服務針對信息泄漏而采取的防御措施,可分為連接保密性無連接保密性選擇域保密性流量保密性

3數(shù)據(jù)保密性安全服務針對信息泄漏而采取的防御措施,可144數(shù)據(jù)完整性安全服務防止非法纂改信息，如修改、復制、插入和刪除等。它有五種形式：可恢復功能連接完整性、無恢復連接完整性、選擇字段連接完整性、無連接完整性和選擇字段無連接完整性4數(shù)據(jù)完整性安全服務防止非法纂改信息，如修改、復制、155防抵賴性安全服務是針對對方抵賴的防范措施，用來證實發(fā)生過的操作，它可分為對發(fā)送防抵賴、對遞交防抵賴和進行公證。 源點的不可否認性信宿的不可否認性

5防抵賴性安全服務是針對對方抵賴的防范措施，用來證實發(fā)16ISO安全服務的不足缺少防止DoS攻擊的定義對入侵檢測，幾乎沒有涉及大多數(shù)安全服務是對同級實體的，缺少多級或分層實體的內涵本質上是一個被動安全服務定義其它，如授權ISO安全服務的不足缺少防止DoS攻擊的定義17安全機制安全機制18兩類安全機制特殊安全機制：在特定協(xié)議層實現(xiàn)，8種普遍安全機制：不屬于任何協(xié)議層或安全服務，5種兩類安全機制特殊安全機制：在特定協(xié)議層實現(xiàn)，8種191加密機制使用各種加密算法對存放的數(shù)據(jù)和流通的信息進行加密RSADESRC2/RC4/RC5VPN1加密機制使用各種加密算法對存放的數(shù)據(jù)和流通的信息進行加密202數(shù)字簽名采用非對稱密鑰體制，使用私鑰進行數(shù)字簽名，使用公鑰對簽名信息進行驗證RSAMD4/MD5SHA/SHA-1數(shù)字簽名模型2數(shù)字簽名采用非對稱密鑰體制，使用私鑰進行數(shù)字簽名，使用公213訪問(存取)控制機制根據(jù)訪問者的身份和其它信息，來決定實體的訪問權限ATM卡安全令牌TokenWindowsNT實例3訪問(存取)控制機制根據(jù)訪問者的身份和其它信息，來決定實224數(shù)據(jù)完整性機制判斷信息在傳輸過程中是否被篡改、增加、刪除過，確保信息的完整MD4/MD5SHA/SHA-14數(shù)據(jù)完整性機制判斷信息在傳輸過程中是否被篡改、增加、刪除235認證交換機制用來實現(xiàn)同級之間的身份認證ATM卡口令討論：怎樣防止中繼重放攻擊？5認證交換機制用來實現(xiàn)同級之間的身份認證246防業(yè)務流量分析機制通過填充冗余的業(yè)務流量，防止攻擊者對流量進行分析，填充過的流量需通過加密進行保護討論：為什么？6防業(yè)務流量分析機制通過填充冗余的業(yè)務流量，防止攻擊者對流257路由控制機制防止不利、不良信息通過路由，進入子網(wǎng)或利用子網(wǎng)作為中繼攻擊平臺選擇特殊的物理安全線路，允許路由變化網(wǎng)絡層防火墻7路由控制機制防止不利、不良信息通過路由，進入子網(wǎng)或利用子268公證機制有公證人（第三方）參與數(shù)字簽名，它基于通信雙方對第三方的絕對信任CA（CertificateAuthority)Hotmail/yahoo郵件服務登陸認證8公證機制有公證人（第三方）參與數(shù)字簽名，它基于通信雙方對27另外5種普遍安全機制可信功能度安全標志事件檢測安全審計跟蹤安全恢復另外5種普遍安全機制可信功能度28安全管理安全管理29安全管理為了更有效地運用安全服務，需要有其它措施來支持它們的操作，這些措施即為安全管理。安全管理是對安全服務和安全機制進行管理，把管理信息分配到有關的安全服務和安全機制中去，并收集與它們的操作有關的信息

安全管理為了更有效地運用安全服務，需要有其它措施來支持它30OSI安全服務和安全機制的關系

機制服務加密數(shù)字簽名訪問控制數(shù)據(jù)完整認證交換防流量分析路由控制公證對象認證▲▲▲訪問控制▲▲數(shù)據(jù)保密▲▲▲數(shù)據(jù)完整▲▲▲防抵賴性▲▲▲OSI安全服務和安全機制的關系機制加密數(shù)字簽名訪問控31在OSI層中的服務配置OSI安全體系最重要的貢獻是總結了各種安全服務在OSI參考模型的七層中的適當配置。主要集中在3/4層和6/7層在OSI層中的服務配置OSI安全體系最重要的貢獻是總結了各種321.6動態(tài)的自適應網(wǎng)絡安全模型單純的防護技術不能解決網(wǎng)絡安全問題不了解安全威脅和安全現(xiàn)狀靜態(tài)、被動的防御，而安全威脅、安全漏洞都具有動態(tài)的特性安全的概念局限于信息的保護不能正確評價網(wǎng)絡安全的風險，導致安全系統(tǒng)過高或過低的建設1.6動態(tài)的自適應網(wǎng)絡安全模型單純的防護技術不能解決網(wǎng)絡安33PDR模型的背景對于網(wǎng)絡系統(tǒng)的攻擊日趨頻繁，安全的概念已經(jīng)不僅僅局限于靜態(tài)的、被動的信息防護，人們需要的是對整個信息和網(wǎng)絡系統(tǒng)的保護和防御，以確保它們的安全性，包括對系統(tǒng)的保護、檢測和反應能力等。安全模型已經(jīng)從以前的被動轉到了現(xiàn)在的主動防御，強調整個生命周期的防御和恢復PDR模型的背景對于網(wǎng)絡系統(tǒng)的攻擊日趨頻繁，安全的概念已經(jīng)不34PDR模型ProtectionDetectionReaction/ResponsePDR模型Protection35P2DR模型PolicyProtectionDetectionResponseP2DR模型Policy36ISS公司的P2DR模型PolicyResponseProtectionDetectionISS公司的P2DR模型PolicyResponseProt37安全策略--Policy根據(jù)安全風險分析產生的安全策略描述了系統(tǒng)中哪些資源要得到保護，以及如何實現(xiàn)對它們的保護等。安全策略是P2DR安全模型的核心，所有的防護、檢測、響應都是依據(jù)安全策略實施的，企業(yè)安全策略為安全管理提供管理方向和支持手段安全策略--Policy根據(jù)安全風險分析產生的安全策略描述了38防護--Protection通過修復系統(tǒng)漏洞、正確設計開發(fā)和安裝系統(tǒng)來預防安全事件的發(fā)生；通過定期檢測來發(fā)現(xiàn)可能存在的系統(tǒng)脆弱性；通過教育等手段，是用戶和操作員正確使用系統(tǒng)，防止意外威脅；通過訪問控制、監(jiān)視等手段來防止惡意威脅防護--Protection通過修復系統(tǒng)漏洞、正確設計開發(fā)和39檢測--Detection在P2DR模型中，檢測是一個非常重要的環(huán)節(jié)，檢測是動態(tài)響應和加強防護的依據(jù)，它也是強制落實安全策略的有力工具，通過不斷地檢測和監(jiān)控網(wǎng)絡和系統(tǒng)，來發(fā)現(xiàn)新的威脅和弱點，通過循環(huán)反饋來及時作出有效的響應檢測--Detection在P2DR模型中，檢測是一個非常重40響應--Response緊急響應在安全系統(tǒng)中占有重要的地位，是解決安全潛在問題最有效的辦法。從某種意義上來說，安全問題就是要解決緊急響應和異常處理問題。響應--Response緊急響應在安全系統(tǒng)中占有重要的地位，41響應的時間攻擊時間Pt：從入侵開始到侵入系統(tǒng)的時間檢測時間Dt：檢測新的安全脆弱性或網(wǎng)絡安全攻擊的時間。響應時間Rt：包括檢測到系統(tǒng)漏洞或監(jiān)控到非法攻擊到系統(tǒng)啟動處理措施的時間系統(tǒng)暴露時間Et：系統(tǒng)處于不安全狀態(tài)的時間,可定義為Et=D