网络安全(五)
本章要点:
可信系统体系结构及其要素;网络安全的分层体系结构;OSI安全体系结构的安全服务与安全机制;ISO/IEC网络安全体系结构。
第五章 安全体系结构
系统安全体系结构
可信系统体系结构概述
-
提要
- 当构建一个计算机系统时,需要做出很多基本的设计决定
- 安全是计算机系统的一个非常重要的目标
-
要素
- 定义主体和客体的子集、可信计算基、安全边界、基准监控器和安全内核、安全域、资源隔离、安全策略和最小特权等
-
定义主体和客体的子集
- 计算机系统中并非所有部件都必须是可信的,也不属于可信计算基
- 可信主体和客体需要被识别,放在一个指定的子集
-
可信计算基
-
定义
- 在计算机系统中全部保护机制的组合定义为可信计算基(trusted computing base, TCB)
-
来源
- 美国国防部标准5200.28——可信计算机系统评估准则TCSEC(橘皮书)
-
包括
- 硬件
- 软件
- 固件
-
并非系统的每个部分都需要是可信的,评估一个系统的可信级别是由构成TCB的结构、安全服务及保障机制确定的
-
-
安全边界
- 不是每个部件和资源都在TCB内,用安全边界来区分可信和不可信
- 某些资源不在TCB内即在安全边界外
- 在可信部件和非可信部件之间的通信必须加以控制,以确保保密信息不以非期望的方式流动,通过控制接口保护通信
-
基准监控器和安全内核
- 基准监控器是一个抽象的机器,用来协调所有的访问主体和客体,以确保主体有必需的访问权,以及保护客体不被非授权访问、修改和破坏
- 基准监控器是一个访问控制概念,故又可称为基准监控器概念
- 安全内核由TCB内的一些机制构成,以实施和执行基准监控器概念
- 安全内核是TCB的核心,是最常用的构造可信计算系统的方案
-
安全域
-
域定义为主体能访问的客体的集合
-
域必须是能识别的、分开的,而且必须严格实施
-
操作系统工作模式
-
特权模式
- 具有更大的工作域,即更多资源可访问
-
用户模式
- 应用程序不能直接访问内存,资源的应用有更多限制
-
-
一个安全域和赋予主体或客体的保护环有直接的关联关系
-
越是小的保护环号,特权越高,安全域越大
-
-
资源隔离
-
目的
- 为了正确实施访问控制、审计、决定什么样的主体和客体存在于专门的域,每个资源必须清楚地相互分开
-
隔离方法和实施是系统的体系结构及其安全模型的需求
-
进程也是需要隔离的资源,通常通过不同的地址分配来实现
-
对高可信级的系统,需要实施内存的硬件分段用于不同的进程
-
-
安全策略
- 操作系统和应用程序的安全策略
- 安全策略是一些规则的集合,指明敏感信息是如何管理、保护和分布的
- 安全策略指明什么样的主体能访问什么样的客体,以及什么样的行为是可接受的或不可接受的
-
最小特权
- 一旦资源和进程被恰当地隔离,就需要实施最小特权。意味着只需要为了满足其功能必需的特权
- 进程需要占有特权的时间只是在真正需要的时候
- 只有需要完全特权的进程分布在内核,其他较低特权的进程调用它来处理敏感的操作
-
分层、数据隐蔽和抽象
-
分层
- 分层使不同进程工作在不同层,即在系统的不同层产生不同的功能
-
数据隐蔽
- 要求不同层的进程不能通信,这种进程称为数据隐蔽
-
抽象
- 当一类客体被赋予一定的允许权,定义可接受的活动,称为抽象
-
分层、数据隐蔽和抽象都是保护主体、客体及客体内的数据的方法
-
ISO/IEC网络安全体系结构
ISO/IEC安全体系结构参考模型
-
ISO和IEC(国际电工委员会)18028-2定义了一个标准安全结构,描述支持网络安全规划、设计和实施的一致框架,以提供端到端的网络安全
-
该结构将一组复杂的端到端网络安全相关的特性逻辑上分解成各个结构组成,从而生成端到端安全的有序的方案,既可用于评估生成现有网络的安全,也可用于规划新的安全方案
-
结构组件
-
安全维
- 访问控制
- 身份鉴别
- 不可否认
- 数据保密
- 通信流安全
- 数据完整性
- 可用性
- 隐私
-
安全层
-
定义
- 安全维必须应用到网络设备和设施的层次结构上,称为安全层
-
基础设施安全层
-
服务安全层
-
应用安全层
-
-
安全面
-
定义
- 安全面是为实施安全维的机制所保护的某种类型的网络活动
-
管理安全面
-
控制安全面
-
最终用户安全面
-
-
安全体系结构参考模型的应用
- 安全体系结构能应用到安全程序的所有方面,安全程序包括策略、过程及技术
- 安全体系结构能应用到任何类型网络的协议栈的任何层
OSI安全体系结构
提要
- ISO7498-2标准定义了5类安全服务、8种特定的安全机制、5种普遍性安全机制。
- 它确定了安全服务与安全机制的关系以及在OSI七层模型中安全服务的配置。它还确定了OSI安全体系的安全管理。
OSI安全体系结构的5类安全服务
-
鉴别
-
分类
-
对等实体鉴别
- 确认有关的对等实体是所需的实体
- 在连接建立或在数据传送阶段的某些时刻提供使用,用以证实一个或多个连接实体的身份
- 使用这种服务可以(仅仅在使用时间内)确信:一个实体此时没有试图冒充别的实体,或没有试图将先前的连接作非授权地重放
- 实施单向或双向对等实体鉴别也是可能的,可以带有效期检验,也可以不带
- 能够提供各种不同程度的鉴别保护
-
数据原发鉴别
- 确认接收到的数据的来源是所要求的
- 数据原发鉴别服务对数据单元的来源提供确认,对数据单元的重放或篡改不提供鉴别保护
-
-
-
访问控制
- 防止对资源的未授权使用,包括防止以未授权方式使用某一资源
- 提供保护以对付开放系统互连可访问资源的非授权使用。这些资源可以是经开放系统互连协议访问到的OSI资源或非OSI资源
- 可应用于对资源的各种不同类型的访问(例如,使用通信资源、读写或删除信息资源、处理资源的操作),或应用于对某种资源的所有访问
- 要与不同的安全策略协调一致
-
数据机密性
-
定义
- 对数据提供保护,使之不被非授权地泄露
-
分类
- 连接机密性
- 无连接机密性
- 选择字段机密性
- 通信业务流机密性
-
-
数据完整性
-
概述
- 对付主动威胁
- 在一次连接上,连接开始时使用对某实体的鉴别服务,并在连接的存活期使用数据完整性服务就能联合起来为在此连接上传送的所有数据单元的来源提供确证,为这些数据单元的完整性提供确证
-
分类
- 带恢复的连接完整性
- 无恢复的连接完整性
- 选择字段的连接完整性
- 无连接完整性
- 选择字段无连接完整性
-
-
抗否认
- 有数据原发证明的抗否认
- 有交付证明的抗否认
OSI安全体系结构的安全机制
-
概述
-
8种特定的安全机制
- 可以设置在适当的N层上,以提供OSI安全体系结构的某些安全服务
-
5种普遍性安全机制
- 不是为任何特定的服务而特设的,因此在任一特定的层上,对它们都不作明确的说明
- 某些普遍性安全机制可认为属于安全管理方面
-
-
特定的安全机制
-
加密机制
- 加密既能为数据提供机密性,也能为通信业务流信息提供机密性,并且是其他安全机制中的一部分或对安全机制起补充作用
- 加密算法可以是可逆的,也可以是不可逆的
- 可逆加密算法包括对称密钥加密算法和非对称密钥加密算法两种
- 除了某些不可逆加密算法的情况外,加密机制的存在意味着要使用密钥管理机制
-
数字签名机制
-
数字签名是附加在数据单元上的一些数据,或是对数据单元所作的密码变换,这种数据或变换允许数据单元的接收者确认数据单元来源和数据单元的完整性,并保护数据,防止被人(例如接收者)伪造
-
确定两个过程
- 对数据单元签名
- 验证签过名的数据单元
-
数字签名是解决网络通信中特有的安全问题的有效方法。
-
针对通信双方发生争执时可能产生的安全问题
- 否认
- 伪造
- 冒充
- 篡改
-
数字签名机制具有可证实性、不可否认性、不可伪造性和不可重用性
-
特点
- 签名过程使用签名者的私有信息作为私钥,或对数据单元进行加密,或产生出该数据单元的一个密码校验值
- 验证过程使用公开的规程与信息来决定该签名是否是用签名者的私有信息产生的
- 签名机制的本质特征为该签名只有使用签名者的私有信息才能产生出来。因而,当该签名得到验证后,它能在事后的任何时候向第三方(例如法官或仲裁人)证明只有那个私有信息的惟一拥有者才能产生这个签名
-
-
访问控制机制
-
为了决定和实施一个实体的访问权,访问控制机制可以使用该实体已鉴别的身份,或使用有关该实体的信息(例如它与一个已知的实体集的从属关系),或使用该实体的权利
-
如果这个实体试图使用非授权的资源,或者以不正当方式使用授权资源,那么访问控制功能将拒绝这一企图,另外还可能产生一个报警信号或记录它作为安全审计跟踪的一个部分来报告这一事件
-
手段
- 访问控制信息库
- 鉴别信息
- 权力
- 安全标记
-
访问控制机制可应用于通信联系中的端点,或应用于任一中间点
-
涉及原发点或任一中间点的访问控制,是用来决定发送者是否被授权与指定的接收者进行通信,或是否被授权使用所要求的通信资源
-
在无连接数据传输目的端上的对等级访问控制机制的要求在原发点必须事先知道,还必须记录在安全管理信息库中
-
-
数据完整性机制
-
两个方面
- 单个数据单元或字段的完整性
- 数据单元流或字段流的完整性
-
一般来说,用来提供这两种类型完整性服务的机制是不相同的
-
对于连接方式数据传送,保护数据单元序列(即数据单元流)的完整性(即防止乱序、数据的丢失、重放、插入或篡改)还另外需要某种明显的排序形式,例如,顺序号、时间标记等
-
对于无连接数据传送,时间标记可以用来在一定程度上提供保护,防止个别数据单元的重放
-
-
鉴别交换机制
-
可设置在N层以提供对等实体鉴别
-
如果在鉴别实体时,这一机制得到否定的结果,就会导致连接的拒绝或终止,也可能使在安全审计跟踪中增加一个记录,或给安全管理中心一个报告
-
技术
- 使用鉴别信息(eg.口令),由发送实体提供而有接收实体验证
- 密码技术
- 使用该实体的特征或占有物
-
当采用密码技术时,这些技术可以与“握手”协议结合起来以防止重放(即确保存活期)
-
鉴别交换技术的选用取决于使用它们的环境。在许多场合,它们必须与下列各项结合使用
- 时间标记与同步时钟
- 双方握手和三方握手(分别对应于单方鉴别和相互鉴别)
- 由数字签名和公证机制实现的抗否认服务
-
-
通信业务填充机制
- 能用来提供各种不同级别的保护,对抗通信业务分析
- 这种机制只有在通信业务填充受到机制服务保护时才是有效的
-
路由选择控制机制
-
特点
- 路由能动态地或预定地选取,以便只使用物理上安全的子网络、中继站或链路
- 在检测到持续的操作攻击时,端系统可以指示网络服务的提供者经不同的路由建立连接
- 带有某些安全标记的数据可能被安全策略禁止通过某些子网络、中继站或链路。连接的发起者(或无连接数据单元的发送者)可以指定路由选择说明,由它请求回避某些特定的子网络、中继站或链路
-
路由控制机制可使信息发送者选择特殊的路由,以保证数据安全
-
-
公证机制
- 有关在两个或多个实体之间通信的数据的性质,如它的完整性、原发、时间和目的地等能够借助公证机制得到确保。这种保证是由第三方公证人提供的
- 公证人为通信实体所信任,并掌握必要信息以一种可证实方式提供所需的保证
- 当这种公证机制被用到时,数据便在参与通信的实体之间经由受保护的通信实体和公证方进行通信
-
-
普遍安全机制
-
概述
- 不失为任何特定的服务而特设的,因此在任何一层上对他们都不做明确的说明
- 管理者的角度
-
可信功能度
- 可以扩充其他安全机制的范围,或建立这些安全机制的有效性;用来保证对硬件与软件寄托信任的手段已超出本标准的范围,而且在任何情况下,这些手段随已察觉到的威胁的级别和被保护信息的价值而改变
- 解决办法是选取一个体系结构,它允许安全功能在一些模块中实现,这些模块能与非安全功能分开来制作,并由非安全功能来提供
-
安全标记
- 安全标记是与某一资源(可以是数据单元)密切相关联的标记,为该资源命名或指定安全属性
-
事件检测
- 与安全有关的事件检测包括对安全明显事件的检测,也可以包括对“正常”事件的检测,例如,一次成功的访问(或注册)
-
安全审计跟踪
-
安全审计就是对系统的记录与行为进行独立的评估考查,目的是测试系统的控制是否恰当,保证与既定策略和操作的协调一致,有助于做出损害评估,以及对在控制、策略与规程中指明的改变做出评价
-
目的
- 安全审计跟踪提供了一种不可忽视的安全机制,它的潜在价值在于经事后的安全审计可以检测和调查安全的漏洞。安全审计要求在安全审计跟踪中记录有关安全的信息,分析和报告从安全审计跟踪中得来的信息
- 搜集审计跟踪的信息,通过列举被记录的安全事件的类别,能适应各种不同的需要。安全审计可对某些潜在的侵犯安全的攻击源起到威慑作用
- OSI安全审计跟踪将考虑要选择记录什么信息、在什么条件下记录信息,以及为了交换安全审计跟踪信息所采用的语法和语义定义
-
-
安全恢复
-
安全恢复处理来自诸如事件处置与管理功能等机制的请求,并把恢复动作当作应用一组规则的结果
-
恢复动作
- 立即动作
- 暂时动作
- 长期动作
-
-
三维信息系统安全体系结构框架
- 反映了信息系统安全需求和体系结构的共性
- 安全特性是基于ISO7498-2的5种安全服务,包括鉴别、访问控制、数据机密性、数据完整性、抗否认
- 系统单元包括信息处理单元、网络系统、安全管理及物理和行政的环境
网络安全体系结构
提要
- 网络体系结构是计算机之间相互通信的层次,以及各层中的协议和层次之间接口的集合
- 威胁和漏洞可能存在于网络体系结构的不同层次,因此有必要深入了解网络的各个层次,以及如何保护每个层
不同层次的安全
- 安全的层次结构是抽象的,表示在各层次设置屏障以防止攻击和威胁
- 仅仅在工作站上运行防病毒软件并非抵制病毒的层次结构
- 必须在每个工作站、文件服务器、邮件服务器,以及通过代理服务器实施内容过滤才是抵制病毒的层次结构
网络体系结构的观点
- 不同类型的漏洞、攻击和威胁存在于网络的不同层次,需要研究网络环境的各种技术,实施不同层次的保护
XMind: ZEN - Trial Version