信息安全體系結(jié)構(gòu)開(kāi)放系統(tǒng)互連安全服務(wù)框架PPT課件

《信息安全體系結(jié)構(gòu)開(kāi)放系統(tǒng)互連安全服務(wù)框架PPT課件》由會(huì)員分享，可在線閱讀，更多相關(guān)《信息安全體系結(jié)構(gòu)開(kāi)放系統(tǒng)互連安全服務(wù)框架PPT課件（99頁(yè)珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

1、信息安全體系結(jié)構(gòu)開(kāi)放系統(tǒng)互連安全服務(wù)框架第第3章章 開(kāi)放系統(tǒng)互連安全服務(wù)框架開(kāi)放系統(tǒng)互連安全服務(wù)框架信息安全體系結(jié)構(gòu)開(kāi)放系統(tǒng)互連安全服務(wù)框架3.1 安全框架概況安全框架概況 安全框架標(biāo)準(zhǔn)是安全服務(wù)、安全機(jī)制及其相應(yīng)安全框架標(biāo)準(zhǔn)是安全服務(wù)、安全機(jī)制及其相應(yīng)安全協(xié)議的基礎(chǔ)，是信息系統(tǒng)安全的理論基礎(chǔ)。安全協(xié)議的基礎(chǔ)，是信息系統(tǒng)安全的理論基礎(chǔ)。 GB/T9387.2-1995（等同于（等同于ISO7498-2）定義了）定義了進(jìn)程之間交換信息時(shí)保證其安全的體系結(jié)構(gòu)中進(jìn)程之間交換信息時(shí)保證其安全的體系結(jié)構(gòu)中的安全術(shù)語(yǔ)、過(guò)程和涉及范圍。的安全術(shù)語(yǔ)、過(guò)程和涉及范圍。 安全框架標(biāo)準(zhǔn)（安全框架標(biāo)準(zhǔn)（ISO/IEC

2、 10181-110181-7）全）全面惟一地準(zhǔn)確定義安全技術(shù)術(shù)語(yǔ)、過(guò)程和涉及面惟一地準(zhǔn)確定義安全技術(shù)術(shù)語(yǔ)、過(guò)程和涉及范圍的標(biāo)準(zhǔn)。范圍的標(biāo)準(zhǔn)。信息安全體系結(jié)構(gòu)開(kāi)放系統(tǒng)互連安全服務(wù)框架安全框架的內(nèi)容安全框架的內(nèi)容 描述安全框架的組織結(jié)構(gòu)描述安全框架的組織結(jié)構(gòu) 定義安全框架各個(gè)部分要求的安全概念定義安全框架各個(gè)部分要求的安全概念 描述框架多個(gè)部分確定的安全業(yè)務(wù)與機(jī)制之間描述框架多個(gè)部分確定的安全業(yè)務(wù)與機(jī)制之間的關(guān)系。的關(guān)系。信息安全體系結(jié)構(gòu)開(kāi)放系統(tǒng)互連安全服務(wù)框架3.2 鑒別（鑒別（Authentication）框架）框架 ISO/IEC10181-2是開(kāi)放系統(tǒng)互連安全框架的鑒別框架是開(kāi)放系統(tǒng)互連

3、安全框架的鑒別框架部分。部分。 主要內(nèi)容主要內(nèi)容鑒別目的鑒別目的鑒別的一般原理鑒別的一般原理鑒別的階段鑒別的階段可信第三方的參與可信第三方的參與主體類型主體類型人類用戶鑒別人類用戶鑒別針對(duì)鑒別的攻擊種類針對(duì)鑒別的攻擊種類信息安全體系結(jié)構(gòu)開(kāi)放系統(tǒng)互連安全服務(wù)框架3.2.1 鑒別目的鑒別目的人人進(jìn)程進(jìn)程實(shí)開(kāi)放系統(tǒng)實(shí)開(kāi)放系統(tǒng)OSI層實(shí)體層實(shí)體組織機(jī)構(gòu)（如企業(yè)）組織機(jī)構(gòu)（如企業(yè)）主主體體類類型型鑒別目的：鑒別目的：對(duì)抗冒充和重放攻擊對(duì)抗冒充和重放攻擊主體主體實(shí)體實(shí)體可辨別標(biāo)識(shí)符可辨別標(biāo)識(shí)符鑒別服務(wù)鑒別服務(wù)一個(gè)主體可以擁有一一個(gè)主體可以擁有一個(gè)或多個(gè)個(gè)或多個(gè)驗(yàn)證主體所宣稱的驗(yàn)證主體所宣稱的身份身份信息安

4、全體系結(jié)構(gòu)開(kāi)放系統(tǒng)互連安全服務(wù)框架3.2.2 鑒別的一般原理鑒別的一般原理 可辨別標(biāo)識(shí)符可辨別標(biāo)識(shí)符同一安全域中，可辨別標(biāo)識(shí)符具有唯一性。同一安全域中，可辨別標(biāo)識(shí)符具有唯一性。 在粗粒度等級(jí)上，組擁有可辨別標(biāo)識(shí)符；在粗粒度等級(jí)上，組擁有可辨別標(biāo)識(shí)符； 在細(xì)粒度等級(jí)上，實(shí)體擁有可辨別標(biāo)識(shí)符。在細(xì)粒度等級(jí)上，實(shí)體擁有可辨別標(biāo)識(shí)符。在不同安全域中，各安全域可能使用同一個(gè)可辨別在不同安全域中，各安全域可能使用同一個(gè)可辨別標(biāo)識(shí)符。這種情況下，可辨別標(biāo)識(shí)符須與安全域標(biāo)標(biāo)識(shí)符。這種情況下，可辨別標(biāo)識(shí)符須與安全域標(biāo)識(shí)符連接使用，達(dá)到為實(shí)體提供明確標(biāo)識(shí)符的目的。識(shí)符連接使用，達(dá)到為實(shí)體提供明確標(biāo)識(shí)符的目的。信息

5、安全體系結(jié)構(gòu)開(kāi)放系統(tǒng)互連安全服務(wù)框架舉例舉例 Windows NT系統(tǒng)中有兩種模式：系統(tǒng)中有兩種模式：工作組工作組域域 用戶帳戶（用戶名、密碼），組帳戶是一個(gè)可用戶帳戶（用戶名、密碼），組帳戶是一個(gè)可辨別標(biāo)識(shí)符；辨別標(biāo)識(shí)符； 在不同域之間的用戶帳戶鑒別，鑒別時(shí)需要提在不同域之間的用戶帳戶鑒別，鑒別時(shí)需要提供域的信息。供域的信息。信息安全體系結(jié)構(gòu)開(kāi)放系統(tǒng)互連安全服務(wù)框架鑒別的一般原理鑒別的一般原理 鑒別方法鑒別方法已知，如一個(gè)秘密的通行字已知，如一個(gè)秘密的通行字擁有的，如擁有的，如IC卡卡不可改變的特性，如生物學(xué)測(cè)定的標(biāo)識(shí)特征不可改變的特性，如生物學(xué)測(cè)定的標(biāo)識(shí)特征相信可靠的第三方建立的鑒別相信可

6、靠的第三方建立的鑒別環(huán)境（如主機(jī)地址）環(huán)境（如主機(jī)地址）通過(guò)通過(guò)“擁有的擁有的”某物進(jìn)行鑒別，一般是鑒別擁某物進(jìn)行鑒別，一般是鑒別擁有的東西而不是鑒別擁有者。它是否由一個(gè)特有的東西而不是鑒別擁有者。它是否由一個(gè)特定主體所唯一擁有，是此方法的關(guān)鍵所在，也定主體所唯一擁有，是此方法的關(guān)鍵所在，也是此方法的不足之處。是此方法的不足之處。信息安全體系結(jié)構(gòu)開(kāi)放系統(tǒng)互連安全服務(wù)框架鑒別的一般原理鑒別的一般原理 在涉及雙向鑒別時(shí)，實(shí)體同時(shí)充當(dāng)申請(qǐng)者和驗(yàn)證者的角色在涉及雙向鑒別時(shí)，實(shí)體同時(shí)充當(dāng)申請(qǐng)者和驗(yàn)證者的角色 可信第三方：描述安全權(quán)威機(jī)構(gòu)或它的代理。在安全相關(guān)的活可信第三方：描述安全權(quán)威機(jī)構(gòu)或它的代理。在

7、安全相關(guān)的活動(dòng)中，它被其他實(shí)體所信任。可信第三方在鑒別中受到申請(qǐng)者動(dòng)中，它被其他實(shí)體所信任?？尚诺谌皆阼b別中受到申請(qǐng)者和和/或驗(yàn)證者的信任。或驗(yàn)證者的信任。主體主體實(shí)體實(shí)體申請(qǐng)者申請(qǐng)者驗(yàn)證者驗(yàn)證者就是就是/或者代表鑒別主體?；蛘叽龛b別主體。代表主體參與鑒別交換代表主體參與鑒別交換所必需的功能。所必需的功能。就是就是/或者代表被鑒別身或者代表被鑒別身份的實(shí)體。參與鑒別交份的實(shí)體。參與鑒別交換所必需的功能。換所必需的功能。信息安全體系結(jié)構(gòu)開(kāi)放系統(tǒng)互連安全服務(wù)框架鑒別信息（鑒別信息（AI） “鑒別信息鑒別信息”指申請(qǐng)者要求鑒別至鑒別過(guò)程結(jié)指申請(qǐng)者要求鑒別至鑒別過(guò)程結(jié)束所生成、使用和交換的信息。束

8、所生成、使用和交換的信息。 鑒別信息的類型鑒別信息的類型申請(qǐng)申請(qǐng)AI：用來(lái)生成交換：用來(lái)生成交換AI，以鑒別一個(gè)主體的信，以鑒別一個(gè)主體的信息。如：通行字，秘密密鑰，私鑰；息。如：通行字，秘密密鑰，私鑰；驗(yàn)證驗(yàn)證AI：通過(guò)交換：通過(guò)交換AI，驗(yàn)證所聲稱身份的信息。，驗(yàn)證所聲稱身份的信息。如：通行字，秘密密鑰，公鑰；如：通行字，秘密密鑰，公鑰；交換交換AI：申請(qǐng)者與驗(yàn)證者之間在鑒別一個(gè)主體期間：申請(qǐng)者與驗(yàn)證者之間在鑒別一個(gè)主體期間所交換的信息。如：可辨別標(biāo)識(shí)符，通行字，質(zhì)詢，所交換的信息。如：可辨別標(biāo)識(shí)符，通行字，質(zhì)詢，咨詢響應(yīng)，聯(lián)機(jī)證書，脫機(jī)證書等。咨詢響應(yīng)，聯(lián)機(jī)證書，脫機(jī)證書等。信息安全體系

9、結(jié)構(gòu)開(kāi)放系統(tǒng)互連安全服務(wù)框架申請(qǐng)者、驗(yàn)證者、可信第三方之間的關(guān)系申請(qǐng)者、驗(yàn)證者、可信第三方之間的關(guān)系申請(qǐng)申請(qǐng)AI申請(qǐng)者申請(qǐng)者驗(yàn)證驗(yàn)證AI驗(yàn)證者驗(yàn)證者驗(yàn)證驗(yàn)證AI可信第三方可信第三方申請(qǐng)申請(qǐng)AI交換交換AI交換交換AI交換交換AI和和/或或驗(yàn)證驗(yàn)證AI指示潛在的信息指示潛在的信息流流用來(lái)生成交換用來(lái)生成交換AI，以鑒別，以鑒別一個(gè)主體的信息。如：通一個(gè)主體的信息。如：通行字，秘密密鑰，私鑰行字，秘密密鑰，私鑰在鑒別一個(gè)主體期間所交在鑒別一個(gè)主體期間所交換的信息。如：可辨別標(biāo)換的信息。如：可辨別標(biāo)識(shí)符，通行字，質(zhì)詢識(shí)符，通行字，質(zhì)詢驗(yàn)證所聲稱身份的信息。驗(yàn)證所聲稱身份的信息。如：通行字，秘密密鑰，

10、如：通行字，秘密密鑰，公共密鑰公共密鑰信息安全體系結(jié)構(gòu)開(kāi)放系統(tǒng)互連安全服務(wù)框架3.2.3 鑒別的階段鑒別的階段 階段階段安裝安裝修改鑒別信息修改鑒別信息分發(fā)分發(fā)獲取獲取傳送傳送驗(yàn)證驗(yàn)證停活?；钪匦录せ铍A段重新激活階段取消安裝取消安裝 并不要求所有這些階段并不要求所有這些階段或順序或順序 舉例舉例創(chuàng)建一個(gè)帳戶創(chuàng)建一個(gè)帳戶分發(fā)帳戶分發(fā)帳戶獲取帳戶獲取帳戶修改帳戶信息修改帳戶信息驗(yàn)證帳戶驗(yàn)證帳戶禁止帳戶禁止帳戶激活帳戶激活帳戶刪除帳戶刪除帳戶信息安全體系結(jié)構(gòu)開(kāi)放系統(tǒng)互連安全服務(wù)框架3.2.4 可信第三方的參與可信第三方的參與 鑒別機(jī)制可按可信第三方的參與數(shù)分類鑒別機(jī)制可按可信第三方的參與數(shù)分類無(wú)需可

11、信第三方參與的鑒別無(wú)需可信第三方參與的鑒別可信第三方參與的鑒別可信第三方參與的鑒別信息安全體系結(jié)構(gòu)開(kāi)放系統(tǒng)互連安全服務(wù)框架一、無(wú)需可信第三方參與的鑒別一、無(wú)需可信第三方參與的鑒別申請(qǐng)申請(qǐng)AI申請(qǐng)者申請(qǐng)者驗(yàn)證驗(yàn)證AI驗(yàn)證者驗(yàn)證者交換交換AI無(wú)論申請(qǐng)者還是驗(yàn)證者，在生成和驗(yàn)證交無(wú)論申請(qǐng)者還是驗(yàn)證者，在生成和驗(yàn)證交換換AI時(shí)都無(wú)需得到其他實(shí)體的支持。時(shí)都無(wú)需得到其他實(shí)體的支持。信息安全體系結(jié)構(gòu)開(kāi)放系統(tǒng)互連安全服務(wù)框架二、可信第三方參與的鑒別二、可信第三方參與的鑒別 驗(yàn)證驗(yàn)證AI可以通過(guò)與可信可以通過(guò)與可信第三方的交互中得到，第三方的交互中得到，必須保證這一信息的完必須保證這一信息的完整性。整性。 維

12、持可信第三方的申請(qǐng)維持可信第三方的申請(qǐng)AI的機(jī)密性，以及在申的機(jī)密性，以及在申請(qǐng)請(qǐng)AI可從驗(yàn)證可從驗(yàn)證AI推演出推演出來(lái)時(shí)，維持驗(yàn)證來(lái)時(shí)，維持驗(yàn)證AI的機(jī)的機(jī)密性是必要的。密性是必要的。 例如例如公鑰體制（公鑰，私鑰）公鑰體制（公鑰，私鑰）對(duì)應(yīng)申請(qǐng)對(duì)應(yīng)申請(qǐng)AI和驗(yàn)證和驗(yàn)證AI信息安全體系結(jié)構(gòu)開(kāi)放系統(tǒng)互連安全服務(wù)框架（一）在線鑒別（一）在線鑒別 可信第三方（仲裁者）直接參與申請(qǐng)者與驗(yàn)證可信第三方（仲裁者）直接參與申請(qǐng)者與驗(yàn)證者之間的鑒別交換。者之間的鑒別交換。申請(qǐng)申請(qǐng)AI申請(qǐng)者申請(qǐng)者驗(yàn)證驗(yàn)證AI驗(yàn)證者驗(yàn)證者仲裁者仲裁者驗(yàn)證驗(yàn)證AI仲裁者仲裁者驗(yàn)證驗(yàn)證AI交換交換AI交換交換AI信息安全體系結(jié)構(gòu)開(kāi)

13、放系統(tǒng)互連安全服務(wù)框架（二）聯(lián)機(jī)鑒別（二）聯(lián)機(jī)鑒別 不同于在線鑒別，聯(lián)機(jī)鑒別的可信第三方并不直接處于不同于在線鑒別，聯(lián)機(jī)鑒別的可信第三方并不直接處于申請(qǐng)者與驗(yàn)證者鑒別交換的路徑上。申請(qǐng)者與驗(yàn)證者鑒別交換的路徑上。 實(shí)例：可信第三方為密鑰分配中心，聯(lián)機(jī)鑒別服務(wù)器。實(shí)例：可信第三方為密鑰分配中心，聯(lián)機(jī)鑒別服務(wù)器。申請(qǐng)申請(qǐng)AI申請(qǐng)者申請(qǐng)者權(quán)威機(jī)構(gòu)權(quán)威機(jī)構(gòu)驗(yàn)證驗(yàn)證AI驗(yàn)證者驗(yàn)證者驗(yàn)證驗(yàn)證AI可信第三方可信第三方權(quán)威機(jī)構(gòu)權(quán)威機(jī)構(gòu)申請(qǐng)申請(qǐng)AI交換交換AI交換交換AI交換交換AI指示可能發(fā)生的指示可能發(fā)生的信息安全體系結(jié)構(gòu)開(kāi)放系統(tǒng)互連安全服務(wù)框架（三）脫機(jī)鑒別（三）脫機(jī)鑒別 要求使用被撤銷證書的證明清單、被

14、撤銷證書要求使用被撤銷證書的證明清單、被撤銷證書的證書清單、證書時(shí)限或其他用于撤銷驗(yàn)證的證書清單、證書時(shí)限或其他用于撤銷驗(yàn)證AI的非即時(shí)方法等特征。的非即時(shí)方法等特征。申請(qǐng)申請(qǐng)AI申請(qǐng)者申請(qǐng)者權(quán)威機(jī)構(gòu)權(quán)威機(jī)構(gòu)驗(yàn)證驗(yàn)證AI驗(yàn)證者驗(yàn)證者驗(yàn)證驗(yàn)證AI可信第三方可信第三方權(quán)威機(jī)構(gòu)權(quán)威機(jī)構(gòu)申請(qǐng)申請(qǐng)AI交換交換AI交換交換AI表示脫機(jī)方式（可能經(jīng)由表示脫機(jī)方式（可能經(jīng)由申請(qǐng)者）中驗(yàn)證申請(qǐng)者）中驗(yàn)證AI的發(fā)布的發(fā)布信息安全體系結(jié)構(gòu)開(kāi)放系統(tǒng)互連安全服務(wù)框架三、申請(qǐng)者信任驗(yàn)證者三、申請(qǐng)者信任驗(yàn)證者 申請(qǐng)者信任驗(yàn)證者。申請(qǐng)者信任驗(yàn)證者。 如果驗(yàn)證者的身份未得到鑒別，那么其可信度如果驗(yàn)證者的身份未得到鑒別，那么其可

15、信度是不可知的。是不可知的。 例如：在鑒別中簡(jiǎn)單使用的通行字，必須確信例如：在鑒別中簡(jiǎn)單使用的通行字，必須確信驗(yàn)證者不會(huì)保留或重用該通行字。驗(yàn)證者不會(huì)保留或重用該通行字。信息安全體系結(jié)構(gòu)開(kāi)放系統(tǒng)互連安全服務(wù)框架3.2.5 主體類型主體類型 指紋、視網(wǎng)膜等被動(dòng)特征指紋、視網(wǎng)膜等被動(dòng)特征 具有信息交換和處理能力具有信息交換和處理能力 具有信息存儲(chǔ)能力具有信息存儲(chǔ)能力 具有唯一固定的位置具有唯一固定的位置在實(shí)際鑒別中，最終鑒別的必須是人類用戶而不是在實(shí)際鑒別中，最終鑒別的必須是人類用戶而不是鑒別代表人類用戶行為的進(jìn)程。鑒別代表人類用戶行為的進(jìn)程。人類用戶的鑒別方法必須是人類可接受的方法，且人類用戶的

16、鑒別方法必須是人類可接受的方法，且是經(jīng)濟(jì)和安全的。是經(jīng)濟(jì)和安全的。信息安全體系結(jié)構(gòu)開(kāi)放系統(tǒng)互連安全服務(wù)框架3.2.6 針對(duì)鑒別的攻擊種類針對(duì)鑒別的攻擊種類 重放攻擊重放攻擊對(duì)同一驗(yàn)證者進(jìn)行重放攻對(duì)同一驗(yàn)證者進(jìn)行重放攻擊。可以通過(guò)使用惟一序擊。可以通過(guò)使用惟一序列號(hào)或質(zhì)詢來(lái)對(duì)抗，惟一列號(hào)或質(zhì)詢來(lái)對(duì)抗，惟一序列號(hào)由申請(qǐng)者生成，且序列號(hào)由申請(qǐng)者生成，且不會(huì)被同一驗(yàn)證者兩次接不會(huì)被同一驗(yàn)證者兩次接受。受。對(duì)不同驗(yàn)證者進(jìn)行重放攻對(duì)不同驗(yàn)證者進(jìn)行重放攻擊。通過(guò)質(zhì)詢來(lái)對(duì)抗。在擊。通過(guò)質(zhì)詢來(lái)對(duì)抗。在計(jì)算交換計(jì)算交換AI時(shí)使用驗(yàn)證者時(shí)使用驗(yàn)證者惟一擁有的特性可防止這惟一擁有的特性可防止這種攻擊。種攻擊。 延遲攻

17、擊延遲攻擊入侵者發(fā)起的延遲攻擊入侵者發(fā)起的延遲攻擊入侵者響應(yīng)的延遲攻擊入侵者響應(yīng)的延遲攻擊信息安全體系結(jié)構(gòu)開(kāi)放系統(tǒng)互連安全服務(wù)框架入侵者發(fā)起的延遲攻擊入侵者發(fā)起的延遲攻擊 C告訴告訴A說(shuō)它是說(shuō)它是B，要求，要求A對(duì)對(duì)B進(jìn)行鑒別，然后告進(jìn)行鑒別，然后告訴訴B說(shuō)它是說(shuō)它是A，并且提供自身的鑒別信息。，并且提供自身的鑒別信息。A申請(qǐng)者申請(qǐng)者A-響應(yīng)者響應(yīng)者B驗(yàn)證者驗(yàn)證者B-響應(yīng)者響應(yīng)者A（C）申請(qǐng)者申請(qǐng)者C-發(fā)起者發(fā)起者B（C）驗(yàn)證者驗(yàn)證者入侵者入侵者對(duì)抗方法：對(duì)抗方法：不能同時(shí)作為申請(qǐng)者和驗(yàn)證者；不能同時(shí)作為申請(qǐng)者和驗(yàn)證者；作為申請(qǐng)者的交換作為申請(qǐng)者的交換AI和作為響應(yīng)和作為響應(yīng)者的交換者的交換A

18、I不同。不同。信息安全體系結(jié)構(gòu)開(kāi)放系統(tǒng)互連安全服務(wù)框架入侵者響應(yīng)的延遲攻擊入侵者響應(yīng)的延遲攻擊 入侵者處于鑒別交換的中間位置，它截獲鑒別入侵者處于鑒別交換的中間位置，它截獲鑒別信息并且轉(zhuǎn)發(fā)，接管發(fā)起者的任務(wù)。信息并且轉(zhuǎn)發(fā)，接管發(fā)起者的任務(wù)。AA-發(fā)起者發(fā)起者BB-響應(yīng)者響應(yīng)者A（C）響應(yīng)者響應(yīng)者C-發(fā)起者發(fā)起者B（C）入侵者入侵者對(duì)抗方法：對(duì)抗方法：提供完整性和機(jī)密性服務(wù)；提供完整性和機(jī)密性服務(wù)；網(wǎng)絡(luò)地址集成到交換網(wǎng)絡(luò)地址集成到交換AI中。中。 信息安全體系結(jié)構(gòu)開(kāi)放系統(tǒng)互連安全服務(wù)框架3.3 訪問(wèn)控制（訪問(wèn)控制（Access Control）框架）框架 ISO/IEC10181-3是開(kāi)放系統(tǒng)互

19、連安全框架的訪是開(kāi)放系統(tǒng)互連安全框架的訪問(wèn)控制框架部分。決定開(kāi)放系統(tǒng)環(huán)境中允許使問(wèn)控制框架部分。決定開(kāi)放系統(tǒng)環(huán)境中允許使用哪些資源、在什么地方適合阻止未授權(quán)訪問(wèn)用哪些資源、在什么地方適合阻止未授權(quán)訪問(wèn)的過(guò)程叫做訪問(wèn)控制。的過(guò)程叫做訪問(wèn)控制。信息安全體系結(jié)構(gòu)開(kāi)放系統(tǒng)互連安全服務(wù)框架3.3.1 訪問(wèn)控制訪問(wèn)控制 訪問(wèn)控制的目標(biāo)：對(duì)抗涉及計(jì)算機(jī)或通信系統(tǒng)訪問(wèn)控制的目標(biāo)：對(duì)抗涉及計(jì)算機(jī)或通信系統(tǒng)非授權(quán)操作的威脅。非授權(quán)操作的威脅。非授權(quán)使用非授權(quán)使用泄露，修改，破壞，拒絕服務(wù)泄露，修改，破壞，拒絕服務(wù) 訪問(wèn)控制安全框架的目標(biāo)訪問(wèn)控制安全框架的目標(biāo)對(duì)數(shù)據(jù)、進(jìn)程或計(jì)算資源進(jìn)行訪問(wèn)控制對(duì)數(shù)據(jù)、進(jìn)程或計(jì)算資源

20、進(jìn)行訪問(wèn)控制在一個(gè)安全域中或跨越多個(gè)安全域的訪問(wèn)控制在一個(gè)安全域中或跨越多個(gè)安全域的訪問(wèn)控制根據(jù)上下文進(jìn)行訪問(wèn)控制，如依靠試圖訪問(wèn)的時(shí)間、根據(jù)上下文進(jìn)行訪問(wèn)控制，如依靠試圖訪問(wèn)的時(shí)間、訪問(wèn)者地點(diǎn)或訪問(wèn)路線訪問(wèn)者地點(diǎn)或訪問(wèn)路線對(duì)訪問(wèn)過(guò)程中的授權(quán)變化作出反應(yīng)的訪問(wèn)控制對(duì)訪問(wèn)過(guò)程中的授權(quán)變化作出反應(yīng)的訪問(wèn)控制信息安全體系結(jié)構(gòu)開(kāi)放系統(tǒng)互連安全服務(wù)框架實(shí)系統(tǒng)中的訪問(wèn)控制活動(dòng)實(shí)系統(tǒng)中的訪問(wèn)控制活動(dòng) 建立一個(gè)訪問(wèn)控制策略的表達(dá)式建立一個(gè)訪問(wèn)控制策略的表達(dá)式 建立建立ACI（訪問(wèn)控制信息）的表達(dá)式（訪問(wèn)控制信息）的表達(dá)式 分配分配ACI給元素（發(fā)起者、目標(biāo)或訪問(wèn)請(qǐng)求）給元素（發(fā)起者、目標(biāo)或訪問(wèn)請(qǐng)求） 綁定綁定

21、ACI到元素到元素 使使ADI（訪問(wèn)控制判決信息）對(duì)（訪問(wèn)控制判決信息）對(duì)ADF有效有效 執(zhí)行訪問(wèn)控制功能執(zhí)行訪問(wèn)控制功能 ACI的修改的修改 ADI的撤銷的撤銷信息安全體系結(jié)構(gòu)開(kāi)放系統(tǒng)互連安全服務(wù)框架基本訪問(wèn)控制功能基本訪問(wèn)控制功能發(fā)起者發(fā)起者 訪問(wèn)控制執(zhí)行功能訪問(wèn)控制執(zhí)行功能（AEF） 訪問(wèn)判決功能訪問(wèn)判決功能（ADF） 目標(biāo)目標(biāo) 遞交訪問(wèn)請(qǐng)遞交訪問(wèn)請(qǐng)求求呈遞訪問(wèn)請(qǐng)呈遞訪問(wèn)請(qǐng)求求判決判決請(qǐng)求請(qǐng)求判決判決代表訪問(wèn)或試圖代表訪問(wèn)或試圖訪問(wèn)目標(biāo)的人和訪問(wèn)目標(biāo)的人和基于計(jì)算機(jī)的實(shí)基于計(jì)算機(jī)的實(shí)體體被試圖訪問(wèn)或由發(fā)被試圖訪問(wèn)或由發(fā)起者訪問(wèn)的，基于起者訪問(wèn)的，基于計(jì)算機(jī)或通信的實(shí)計(jì)算機(jī)或通信的實(shí)體，如

22、文件。體，如文件。訪問(wèn)請(qǐng)求代表構(gòu)成試圖訪問(wèn)訪問(wèn)請(qǐng)求代表構(gòu)成試圖訪問(wèn)部分的操作和操作數(shù)部分的操作和操作數(shù)信息安全體系結(jié)構(gòu)開(kāi)放系統(tǒng)互連安全服務(wù)框架訪問(wèn)判決功能（訪問(wèn)判決功能（ADF）發(fā)起者發(fā)起者ADI目標(biāo)目標(biāo)ADI訪問(wèn)控制訪問(wèn)控制策略規(guī)則策略規(guī)則保持的保持的ADI上下文背景信息上下文背景信息判決判決請(qǐng)求請(qǐng)求判決判決訪問(wèn)請(qǐng)求訪問(wèn)請(qǐng)求ADI發(fā)起者的位置、發(fā)起者的位置、訪問(wèn)時(shí)間或使訪問(wèn)時(shí)間或使用中的特殊通用中的特殊通信路徑。信路徑。ADI由綁定到由綁定到發(fā)起者的發(fā)起者的ACI導(dǎo)出導(dǎo)出允許或禁止發(fā)允許或禁止發(fā)起者試圖對(duì)目起者試圖對(duì)目標(biāo)進(jìn)行訪問(wèn)的標(biāo)進(jìn)行訪問(wèn)的判決判決信息安全體系結(jié)構(gòu)開(kāi)放系統(tǒng)互連安全服務(wù)框架3

23、.3.2 訪問(wèn)控制策略訪問(wèn)控制策略 訪問(wèn)控制策略表達(dá)安全域中的確定安全需求。訪問(wèn)控制策略表達(dá)安全域中的確定安全需求。 訪問(wèn)控制策略體現(xiàn)為一組作用在訪問(wèn)控制策略體現(xiàn)為一組作用在ADF上的規(guī)則。上的規(guī)則。信息安全體系結(jié)構(gòu)開(kāi)放系統(tǒng)互連安全服務(wù)框架訪問(wèn)控制策略分類訪問(wèn)控制策略分類 基于規(guī)則的安全策略：被發(fā)起者施加在安全域基于規(guī)則的安全策略：被發(fā)起者施加在安全域中任何目標(biāo)上的所有訪問(wèn)請(qǐng)求。中任何目標(biāo)上的所有訪問(wèn)請(qǐng)求。 基于身份的訪問(wèn)控制策略：基于特定的單個(gè)發(fā)基于身份的訪問(wèn)控制策略：基于特定的單個(gè)發(fā)起者、一群發(fā)起者、代表發(fā)起者行為的實(shí)體或起者、一群發(fā)起者、代表發(fā)起者行為的實(shí)體或扮演特定角色的原發(fā)者的規(guī)則。

24、扮演特定角色的原發(fā)者的規(guī)則。 上下文能夠修改基于規(guī)則或基于身份的訪問(wèn)控上下文能夠修改基于規(guī)則或基于身份的訪問(wèn)控制策略。上下文規(guī)則可在實(shí)際上定義整體策略。制策略。上下文規(guī)則可在實(shí)際上定義整體策略。信息安全體系結(jié)構(gòu)開(kāi)放系統(tǒng)互連安全服務(wù)框架群組和角色群組和角色 根據(jù)發(fā)起者群組或扮演特定角色發(fā)起者含義陳述的訪根據(jù)發(fā)起者群組或扮演特定角色發(fā)起者含義陳述的訪問(wèn)控制策略，是基于身份策略的特殊類型。問(wèn)控制策略，是基于身份策略的特殊類型。 群組是一組發(fā)起者，群組中的成員是平等的。群組是一組發(fā)起者，群組中的成員是平等的。 群組允許一組發(fā)起者訪問(wèn)特定的目標(biāo)，不必在目標(biāo)群組允許一組發(fā)起者訪問(wèn)特定的目標(biāo)，不必在目標(biāo)AC

25、I中包括單個(gè)發(fā)起者的身份，也不必特意將相同的中包括單個(gè)發(fā)起者的身份，也不必特意將相同的ACI分配給每個(gè)發(fā)起者。分配給每個(gè)發(fā)起者。 群組的組成是由管理行為決定的，創(chuàng)建或修改群組的群組的組成是由管理行為決定的，創(chuàng)建或修改群組的能力必須服從訪問(wèn)控制的需要。能力必須服從訪問(wèn)控制的需要。 角色對(duì)某個(gè)用戶在組織內(nèi)允許執(zhí)行的功能進(jìn)行特征化。角色對(duì)某個(gè)用戶在組織內(nèi)允許執(zhí)行的功能進(jìn)行特征化。給定的角色適用于單個(gè)個(gè)體或幾個(gè)個(gè)體。給定的角色適用于單個(gè)個(gè)體或幾個(gè)個(gè)體。 可按層次使用群組和角色，對(duì)發(fā)起者身份、群組和角可按層次使用群組和角色，對(duì)發(fā)起者身份、群組和角色進(jìn)行組合。色進(jìn)行組合。信息安全體系結(jié)構(gòu)開(kāi)放系統(tǒng)互連安全服

26、務(wù)框架安全標(biāo)簽安全標(biāo)簽 根據(jù)安全標(biāo)簽含義陳述的訪問(wèn)控制策略，是基根據(jù)安全標(biāo)簽含義陳述的訪問(wèn)控制策略，是基于規(guī)則的安全策略的特殊類型。于規(guī)則的安全策略的特殊類型。 發(fā)起者和目標(biāo)分別與命名的安全標(biāo)簽關(guān)聯(lián)。發(fā)起者和目標(biāo)分別與命名的安全標(biāo)簽關(guān)聯(lián)。 訪問(wèn)決策是將發(fā)起者和目標(biāo)安全標(biāo)簽進(jìn)行比較訪問(wèn)決策是將發(fā)起者和目標(biāo)安全標(biāo)簽進(jìn)行比較為參考的。為參考的。信息安全體系結(jié)構(gòu)開(kāi)放系統(tǒng)互連安全服務(wù)框架多發(fā)起者訪問(wèn)控制策略多發(fā)起者訪問(wèn)控制策略 可對(duì)個(gè)體發(fā)起者、相同或不同的群組成員的發(fā)可對(duì)個(gè)體發(fā)起者、相同或不同的群組成員的發(fā)起者、扮演不同角色的發(fā)起者，或這些發(fā)起者起者、扮演不同角色的發(fā)起者，或這些發(fā)起者的組合進(jìn)行識(shí)別。的

27、組合進(jìn)行識(shí)別。信息安全體系結(jié)構(gòu)開(kāi)放系統(tǒng)互連安全服務(wù)框架策略管理策略管理 固定策略：一直應(yīng)用又不能被改變的策略。固定策略：一直應(yīng)用又不能被改變的策略。 管理性強(qiáng)加策略：一直應(yīng)用而只能被適當(dāng)授權(quán)管理性強(qiáng)加策略：一直應(yīng)用而只能被適當(dāng)授權(quán)的人才能改變的策略。的人才能改變的策略。 用戶選擇策略：對(duì)發(fā)起者和目標(biāo)的請(qǐng)求可用，用戶選擇策略：對(duì)發(fā)起者和目標(biāo)的請(qǐng)求可用，而且只應(yīng)用于涉及發(fā)起者或目標(biāo)、發(fā)起者或目而且只應(yīng)用于涉及發(fā)起者或目標(biāo)、發(fā)起者或目標(biāo)資源的訪問(wèn)請(qǐng)求的策略。標(biāo)資源的訪問(wèn)請(qǐng)求的策略。信息安全體系結(jié)構(gòu)開(kāi)放系統(tǒng)互連安全服務(wù)框架粒度和容度粒度和容度 每個(gè)粒度級(jí)別可有它自己的邏輯分離策略，還每個(gè)粒度級(jí)別可有它

28、自己的邏輯分離策略，還可以對(duì)不同可以對(duì)不同AEF和和ADF組件的使用進(jìn)行細(xì)化。組件的使用進(jìn)行細(xì)化。 容度用來(lái)控制對(duì)目標(biāo)組的訪問(wèn)。通過(guò)指定一個(gè)容度用來(lái)控制對(duì)目標(biāo)組的訪問(wèn)。通過(guò)指定一個(gè)只有當(dāng)其允許對(duì)一個(gè)包含目標(biāo)組的目標(biāo)進(jìn)行訪只有當(dāng)其允許對(duì)一個(gè)包含目標(biāo)組的目標(biāo)進(jìn)行訪問(wèn)時(shí)，才允許對(duì)目標(biāo)組內(nèi)的這些目標(biāo)進(jìn)行訪問(wèn)問(wèn)時(shí)，才允許對(duì)目標(biāo)組內(nèi)的這些目標(biāo)進(jìn)行訪問(wèn)的策略實(shí)現(xiàn)。的策略實(shí)現(xiàn)。信息安全體系結(jié)構(gòu)開(kāi)放系統(tǒng)互連安全服務(wù)框架繼承規(guī)則繼承規(guī)則 新元素可以通過(guò)拷貝、修改、組合現(xiàn)有元素或新元素可以通過(guò)拷貝、修改、組合現(xiàn)有元素或構(gòu)造來(lái)創(chuàng)建。構(gòu)造來(lái)創(chuàng)建。 新元素的新元素的ACI依賴于這些元素：創(chuàng)建者的依賴于這些元素：創(chuàng)建者的A

29、CI，或者拷貝過(guò)、修改過(guò)、合并過(guò)的元素的或者拷貝過(guò)、修改過(guò)、合并過(guò)的元素的ACI。 繼承規(guī)則是訪問(wèn)控制策略的組成部分。繼承規(guī)則是訪問(wèn)控制策略的組成部分。信息安全體系結(jié)構(gòu)開(kāi)放系統(tǒng)互連安全服務(wù)框架訪問(wèn)控制策略規(guī)則中的優(yōu)先原則訪問(wèn)控制策略規(guī)則中的優(yōu)先原則 訪問(wèn)控制策略規(guī)則有可能相互沖突，優(yōu)先規(guī)則規(guī)定了訪問(wèn)控制策略規(guī)則有可能相互沖突，優(yōu)先規(guī)則規(guī)定了被應(yīng)用的訪問(wèn)控制策略的次序和規(guī)則中優(yōu)先的規(guī)則。被應(yīng)用的訪問(wèn)控制策略的次序和規(guī)則中優(yōu)先的規(guī)則。 如果訪問(wèn)控制策略的規(guī)則如果訪問(wèn)控制策略的規(guī)則A和規(guī)則和規(guī)則B分別讓分別讓ADF對(duì)一個(gè)對(duì)一個(gè)請(qǐng)求訪問(wèn)作出不同決策，那么優(yōu)先規(guī)則將賦予規(guī)則請(qǐng)求訪問(wèn)作出不同決策，那么優(yōu)先

30、規(guī)則將賦予規(guī)則A優(yōu)先權(quán)，而不考慮優(yōu)先權(quán)，而不考慮B中的規(guī)則?；蛘邇?yōu)先規(guī)則要求兩中的規(guī)則?；蛘邇?yōu)先規(guī)則要求兩個(gè)規(guī)則都允許請(qǐng)求，得到允許的訪問(wèn)。個(gè)規(guī)則都允許請(qǐng)求，得到允許的訪問(wèn)。 當(dāng)發(fā)起者作為群組成員或特定角色時(shí)，優(yōu)先規(guī)則可能當(dāng)發(fā)起者作為群組成員或特定角色時(shí)，優(yōu)先規(guī)則可能需要用于發(fā)起者綁定需要用于發(fā)起者綁定ACI的使用。優(yōu)先規(guī)則可能允許的使用。優(yōu)先規(guī)則可能允許發(fā)起者自己的發(fā)起者自己的ACI與假定群組或角色的與假定群組或角色的ACI結(jié)合起來(lái)。結(jié)合起來(lái)。此時(shí)，還須指定怎樣對(duì)有沖突的此時(shí)，還須指定怎樣對(duì)有沖突的ACI進(jìn)行組合。進(jìn)行組合。信息安全體系結(jié)構(gòu)開(kāi)放系統(tǒng)互連安全服務(wù)框架默認(rèn)訪問(wèn)控制策略規(guī)則默認(rèn)訪問(wèn)

31、控制策略規(guī)則 訪問(wèn)控制策略可以包括默認(rèn)訪問(wèn)控制策略規(guī)則。訪問(wèn)控制策略可以包括默認(rèn)訪問(wèn)控制策略規(guī)則。 當(dāng)一個(gè)或多個(gè)發(fā)起者還沒(méi)有特意要求允許或拒當(dāng)一個(gè)或多個(gè)發(fā)起者還沒(méi)有特意要求允許或拒絕的特定訪問(wèn)目標(biāo)時(shí)，可以使用這些規(guī)則。絕的特定訪問(wèn)目標(biāo)時(shí)，可以使用這些規(guī)則。信息安全體系結(jié)構(gòu)開(kāi)放系統(tǒng)互連安全服務(wù)框架通過(guò)合作安全域的策略映射通過(guò)合作安全域的策略映射 在合作安全域間為訪問(wèn)請(qǐng)求提供訪問(wèn)控制時(shí)，在合作安全域間為訪問(wèn)請(qǐng)求提供訪問(wèn)控制時(shí)，有時(shí)需要映射或轉(zhuǎn)化綁定到訪問(wèn)請(qǐng)求的有時(shí)需要映射或轉(zhuǎn)化綁定到訪問(wèn)請(qǐng)求的ACI。 因?yàn)椴煌暮献靼踩蛴胁煌囊驗(yàn)椴煌暮献靼踩蛴胁煌腁CI表達(dá)式，表達(dá)式，或者相同或者相同A

32、CI在不同安全域有不同的安全策略在不同安全域有不同的安全策略解釋。解釋。信息安全體系結(jié)構(gòu)開(kāi)放系統(tǒng)互連安全服務(wù)框架3.3.3 訪問(wèn)控制信息訪問(wèn)控制信息 發(fā)起者發(fā)起者ACI 目標(biāo)目標(biāo)ACI 訪問(wèn)請(qǐng)求訪問(wèn)請(qǐng)求ACI 操作數(shù)操作數(shù)ACI 上下文信息上下文信息 發(fā)起者綁定發(fā)起者綁定ACI 目標(biāo)綁定目標(biāo)綁定ACI 訪問(wèn)請(qǐng)求綁定訪問(wèn)請(qǐng)求綁定ACI信息安全體系結(jié)構(gòu)開(kāi)放系統(tǒng)互連安全服務(wù)框架發(fā)起者發(fā)起者ACI的實(shí)例的實(shí)例 個(gè)體的訪問(wèn)控制身份個(gè)體的訪問(wèn)控制身份 分層群組標(biāo)識(shí)符，可確定成員在分層群組中的分層群組標(biāo)識(shí)符，可確定成員在分層群組中的位置位置 功能群組標(biāo)識(shí)符，可確定成員在功能群組中的功能群組標(biāo)識(shí)符，可確定成員

33、在功能群組中的位置位置 可被假定的角色標(biāo)識(shí)符可被假定的角色標(biāo)識(shí)符 敏感性標(biāo)記敏感性標(biāo)記 完整性標(biāo)記完整性標(biāo)記信息安全體系結(jié)構(gòu)開(kāi)放系統(tǒng)互連安全服務(wù)框架目標(biāo)目標(biāo)ACI的實(shí)例的實(shí)例 目標(biāo)訪問(wèn)控制身份目標(biāo)訪問(wèn)控制身份 敏感性標(biāo)記敏感性標(biāo)記 完整性標(biāo)記完整性標(biāo)記 包含一個(gè)目標(biāo)的包容者標(biāo)識(shí)符包含一個(gè)目標(biāo)的包容者標(biāo)識(shí)符信息安全體系結(jié)構(gòu)開(kāi)放系統(tǒng)互連安全服務(wù)框架訪問(wèn)請(qǐng)求訪問(wèn)請(qǐng)求ACI的實(shí)例的實(shí)例 被允許的操作種類（如讀、寫）被允許的操作種類（如讀、寫） 用于操作所需的完整性等級(jí)用于操作所需的完整性等級(jí) 操作的數(shù)據(jù)類型操作的數(shù)據(jù)類型信息安全體系結(jié)構(gòu)開(kāi)放系統(tǒng)互連安全服務(wù)框架操作數(shù)操作數(shù)ACI的實(shí)例的實(shí)例 敏感性標(biāo)記

34、敏感性標(biāo)記 完整性標(biāo)記完整性標(biāo)記信息安全體系結(jié)構(gòu)開(kāi)放系統(tǒng)互連安全服務(wù)框架上下文信息的實(shí)例上下文信息的實(shí)例 時(shí)限，只有在用天、周、月、年等精確規(guī)定的時(shí)限，只有在用天、周、月、年等精確規(guī)定的時(shí)間內(nèi)才準(zhǔn)許訪問(wèn)。時(shí)間內(nèi)才準(zhǔn)許訪問(wèn)。 路由，只有使用的路由具有指定特征時(shí)才準(zhǔn)許路由，只有使用的路由具有指定特征時(shí)才準(zhǔn)許訪問(wèn)。訪問(wèn)。 位置，只有對(duì)特定系統(tǒng)、工作站或終端上的發(fā)位置，只有對(duì)特定系統(tǒng)、工作站或終端上的發(fā)起者，或者特定的物理位置上的發(fā)起者，訪問(wèn)起者，或者特定的物理位置上的發(fā)起者，訪問(wèn)才被準(zhǔn)許。才被準(zhǔn)許。 系統(tǒng)狀態(tài)系統(tǒng)狀態(tài) 信息安全體系結(jié)構(gòu)開(kāi)放系統(tǒng)互連安全服務(wù)框架發(fā)起者綁定發(fā)起者綁定ACI 包括發(fā)起者包括

35、發(fā)起者ACI、某些目標(biāo)、某些目標(biāo)ACI和經(jīng)過(guò)選擇的和經(jīng)過(guò)選擇的上下文信息。上下文信息。 如如發(fā)起者發(fā)起者ACI目標(biāo)訪問(wèn)控制身份和對(duì)目標(biāo)的可允許訪問(wèn)（如權(quán)力）目標(biāo)訪問(wèn)控制身份和對(duì)目標(biāo)的可允許訪問(wèn)（如權(quán)力）發(fā)起者位置發(fā)起者位置信息安全體系結(jié)構(gòu)開(kāi)放系統(tǒng)互連安全服務(wù)框架目標(biāo)綁定目標(biāo)綁定ACI 包括某些發(fā)起者包括某些發(fā)起者ACI，目標(biāo)，目標(biāo)ACI和經(jīng)過(guò)選擇的上下文和經(jīng)過(guò)選擇的上下文信息。信息。 形式形式: 標(biāo)簽和訪問(wèn)控制表標(biāo)簽和訪問(wèn)控制表 如如個(gè)體發(fā)起者訪問(wèn)控制身份，允許或拒絕它們對(duì)目標(biāo)的訪問(wèn)個(gè)體發(fā)起者訪問(wèn)控制身份，允許或拒絕它們對(duì)目標(biāo)的訪問(wèn)分層群組成員訪問(wèn)控制身份，允許或拒絕它們對(duì)目標(biāo)的訪問(wèn)分層群組成

36、員訪問(wèn)控制身份，允許或拒絕它們對(duì)目標(biāo)的訪問(wèn)功能群組成員訪問(wèn)控制身份，允許或拒絕它們對(duì)目標(biāo)的訪問(wèn)功能群組成員訪問(wèn)控制身份，允許或拒絕它們對(duì)目標(biāo)的訪問(wèn)角色訪問(wèn)控制身份，允許或拒絕它們對(duì)目標(biāo)的訪問(wèn)角色訪問(wèn)控制身份，允許或拒絕它們對(duì)目標(biāo)的訪問(wèn)授權(quán)和對(duì)它們授權(quán)的訪問(wèn)授權(quán)和對(duì)它們授權(quán)的訪問(wèn)信息安全體系結(jié)構(gòu)開(kāi)放系統(tǒng)互連安全服務(wù)框架訪問(wèn)請(qǐng)求綁定訪問(wèn)請(qǐng)求綁定ACI 包括發(fā)起者包括發(fā)起者ACI、目標(biāo)、目標(biāo)ACI和上下文信息。和上下文信息。 如如允許參與訪問(wèn)的發(fā)起者允許參與訪問(wèn)的發(fā)起者/目標(biāo)對(duì)目標(biāo)對(duì)允許參與訪問(wèn)的目標(biāo)允許參與訪問(wèn)的目標(biāo)允許參與訪問(wèn)的發(fā)起者允許參與訪問(wèn)的發(fā)起者信息安全體系結(jié)構(gòu)開(kāi)放系統(tǒng)互連安全服務(wù)框架W

37、indows 2000 server 活動(dòng)目錄活動(dòng)目錄在運(yùn)行在運(yùn)行Windows 2000 server 系統(tǒng)的計(jì)算機(jī)上安裝活動(dòng)目錄，系統(tǒng)的計(jì)算機(jī)上安裝活動(dòng)目錄，實(shí)際上就是一種把服務(wù)器轉(zhuǎn)換成域控制器的操作。域控制器實(shí)際上就是一種把服務(wù)器轉(zhuǎn)換成域控制器的操作。域控制器存儲(chǔ)整個(gè)域的目錄數(shù)據(jù)（如系統(tǒng)安全策略和用戶身份驗(yàn)證數(shù)存儲(chǔ)整個(gè)域的目錄數(shù)據(jù)（如系統(tǒng)安全策略和用戶身份驗(yàn)證數(shù)據(jù)），并管理用戶和域的交互過(guò)程，包括用戶登錄、身份驗(yàn)據(jù)），并管理用戶和域的交互過(guò)程，包括用戶登錄、身份驗(yàn)證以及目錄搜索。證以及目錄搜索?；顒?dòng)目錄由一個(gè)或多個(gè)域組成?；顒?dòng)目錄由一個(gè)或多個(gè)域組成。目錄樹(shù)是指具有連續(xù)名稱的一個(gè)或多個(gè)域的

38、集合，這些域通目錄樹(shù)是指具有連續(xù)名稱的一個(gè)或多個(gè)域的集合，這些域通過(guò)雙向、可傳遞的信任關(guān)系鏈接。過(guò)雙向、可傳遞的信任關(guān)系鏈接。一個(gè)目錄林由一個(gè)或多個(gè)域組成。目錄林中每個(gè)域目錄樹(shù)的一個(gè)目錄林由一個(gè)或多個(gè)域組成。目錄林中每個(gè)域目錄樹(shù)的根域都會(huì)與目錄林根域建立一種可傳遞的信任關(guān)系。根域都會(huì)與目錄林根域建立一種可傳遞的信任關(guān)系。 信任關(guān)系是建立在兩個(gè)域之間的關(guān)系，它使得一個(gè)域信任關(guān)系是建立在兩個(gè)域之間的關(guān)系，它使得一個(gè)域中的域控制器能夠識(shí)別另一個(gè)域內(nèi)的用戶。中的域控制器能夠識(shí)別另一個(gè)域內(nèi)的用戶。信息安全體系結(jié)構(gòu)開(kāi)放系統(tǒng)互連安全服務(wù)框架Windows 2000 訪問(wèn)控制機(jī)制訪問(wèn)控制機(jī)制 Windows

39、2000 使用訪問(wèn)控制技術(shù)來(lái)保證已被授使用訪問(wèn)控制技術(shù)來(lái)保證已被授權(quán)的主體對(duì)客體的使用。權(quán)的主體對(duì)客體的使用。安全主體（安全主體（Security Principal）不僅僅包括用戶，）不僅僅包括用戶，還包括組和服務(wù)等主動(dòng)的實(shí)體。還包括組和服務(wù)等主動(dòng)的實(shí)體?？腕w包括文件、文件夾、打印機(jī)、注冊(cè)表、活動(dòng)目客體包括文件、文件夾、打印機(jī)、注冊(cè)表、活動(dòng)目錄項(xiàng)以及其它對(duì)象。錄項(xiàng)以及其它對(duì)象。 訪問(wèn)控制技術(shù)即決定安全主體能夠在對(duì)象上執(zhí)訪問(wèn)控制技術(shù)即決定安全主體能夠在對(duì)象上執(zhí)行何種類型的操作，如某個(gè)用戶是否能夠讀取、行何種類型的操作，如某個(gè)用戶是否能夠讀取、寫入還是執(zhí)行某個(gè)文件。寫入還是執(zhí)行某個(gè)文件。信息安全

40、體系結(jié)構(gòu)開(kāi)放系統(tǒng)互連安全服務(wù)框架Windows 2000 訪問(wèn)控制機(jī)制訪問(wèn)控制機(jī)制 訪問(wèn)令牌（訪問(wèn)令牌（access token） Windows 2000系統(tǒng)在用戶登錄時(shí)，為該用戶創(chuàng)建一系統(tǒng)在用戶登錄時(shí)，為該用戶創(chuàng)建一個(gè)訪問(wèn)令牌。該訪問(wèn)令牌包含該用戶的個(gè)訪問(wèn)令牌。該訪問(wèn)令牌包含該用戶的SID，用戶，用戶所屬組的所屬組的SID和用戶的特權(quán)。和用戶的特權(quán)。該令牌為用戶在該計(jì)算機(jī)上的任何操作提供了安全該令牌為用戶在該計(jì)算機(jī)上的任何操作提供了安全環(huán)境。環(huán)境。當(dāng)用戶每啟動(dòng)一個(gè)應(yīng)用程序時(shí)，所執(zhí)行的每一個(gè)線當(dāng)用戶每啟動(dòng)一個(gè)應(yīng)用程序時(shí)，所執(zhí)行的每一個(gè)線程都會(huì)得到一份該訪問(wèn)令牌的副本。程都會(huì)得到一份該訪問(wèn)令牌

41、的副本。每當(dāng)線程請(qǐng)求對(duì)某個(gè)受到權(quán)限控制保護(hù)的對(duì)象進(jìn)行每當(dāng)線程請(qǐng)求對(duì)某個(gè)受到權(quán)限控制保護(hù)的對(duì)象進(jìn)行任何級(jí)別的訪問(wèn)時(shí)，該線程都要把此訪問(wèn)令牌提交任何級(jí)別的訪問(wèn)時(shí)，該線程都要把此訪問(wèn)令牌提交給操作系統(tǒng)，然后操作系統(tǒng)就使用該令牌對(duì)對(duì)象的給操作系統(tǒng)，然后操作系統(tǒng)就使用該令牌對(duì)對(duì)象的安全信息來(lái)執(zhí)行訪問(wèn)檢查。這種檢查確保主體是在安全信息來(lái)執(zhí)行訪問(wèn)檢查。這種檢查確保主體是在經(jīng)過(guò)授權(quán)之后才進(jìn)行訪問(wèn)的。經(jīng)過(guò)授權(quán)之后才進(jìn)行訪問(wèn)的。信息安全體系結(jié)構(gòu)開(kāi)放系統(tǒng)互連安全服務(wù)框架Windows 2000 訪問(wèn)控制機(jī)制訪問(wèn)控制機(jī)制 安全描述（安全描述（security descriptor）從訪問(wèn)控制的客體角度出發(fā)，安全描述定

42、義了客體從訪問(wèn)控制的客體角度出發(fā)，安全描述定義了客體（被訪問(wèn)的對(duì)象）的安全信息。（被訪問(wèn)的對(duì)象）的安全信息。安全描述中除了對(duì)象所有者自身的安全描述中除了對(duì)象所有者自身的SID外，主要說(shuō)外，主要說(shuō)明了哪些用戶和組被允許還是被拒絕訪問(wèn)。這通過(guò)明了哪些用戶和組被允許還是被拒絕訪問(wèn)。這通過(guò)一個(gè)由訪問(wèn)控制項(xiàng)（一個(gè)由訪問(wèn)控制項(xiàng)（access control entries, ACE）組成的自由訪問(wèn)控制列表（組成的自由訪問(wèn)控制列表（DACL）來(lái)實(shí)現(xiàn)。）來(lái)實(shí)現(xiàn)。 Windows 2000 系統(tǒng)通過(guò)尋找系統(tǒng)通過(guò)尋找ACL中的項(xiàng)（中的項(xiàng)（ACE）來(lái)匹配訪問(wèn)令牌中的用戶來(lái)匹配訪問(wèn)令牌中的用戶SID和組和組SID，以

43、此，以此ACE來(lái)確定用戶是否有權(quán)進(jìn)行所請(qǐng)求的訪問(wèn)。來(lái)確定用戶是否有權(quán)進(jìn)行所請(qǐng)求的訪問(wèn)。信息安全體系結(jié)構(gòu)開(kāi)放系統(tǒng)互連安全服務(wù)框架安全描述與訪問(wèn)令牌安全描述與訪問(wèn)令牌用戶用戶SID組組SID特權(quán)信息特權(quán)信息其它訪問(wèn)信息其它訪問(wèn)信息用戶令牌信息用戶令牌信息所有者所有者SID組組SIDSACLACEACE DACLACEACEACE 對(duì)象的安全描述對(duì)象的安全描述遍歷每個(gè)遍歷每個(gè)ACE，直到找到匹配內(nèi)容，直到找到匹配內(nèi)容系統(tǒng)系統(tǒng)訪問(wèn)訪問(wèn)控制控制列表列表自由自由訪問(wèn)訪問(wèn)控制控制列表列表信息安全體系結(jié)構(gòu)開(kāi)放系統(tǒng)互連安全服務(wù)框架安全標(biāo)識(shí)符（安全標(biāo)識(shí)符（SID） Windows 2000 使用安全標(biāo)識(shí)符（使用安

44、全標(biāo)識(shí)符（SID）來(lái)標(biāo)識(shí)安全主）來(lái)標(biāo)識(shí)安全主體和安全組。體和安全組。 SID是在主體賬戶或安全組創(chuàng)建時(shí)生成的。是在主體賬戶或安全組創(chuàng)建時(shí)生成的。 SID的創(chuàng)建者和作用范圍依賴于賬戶類型。對(duì)于用戶的創(chuàng)建者和作用范圍依賴于賬戶類型。對(duì)于用戶賬戶，由本地安全授權(quán)機(jī)構(gòu)生成在該系統(tǒng)內(nèi)惟一的賬戶，由本地安全授權(quán)機(jī)構(gòu)生成在該系統(tǒng)內(nèi)惟一的SID。對(duì)于域用戶則由域安全授權(quán)機(jī)構(gòu)來(lái)生成。對(duì)于域用戶則由域安全授權(quán)機(jī)構(gòu)來(lái)生成SID。 SID出現(xiàn)在以下一些訪問(wèn)控制結(jié)構(gòu)中：出現(xiàn)在以下一些訪問(wèn)控制結(jié)構(gòu)中：訪問(wèn)令牌，包括一個(gè)用戶的訪問(wèn)令牌，包括一個(gè)用戶的SID和用戶所屬組的和用戶所屬組的SID安全描述包含與安全描述相關(guān)聯(lián)對(duì)象所

45、有者的安全描述包含與安全描述相關(guān)聯(lián)對(duì)象所有者的SID安全描述中的每個(gè)安全描述中的每個(gè)ACE把把SID與相應(yīng)的訪問(wèn)權(quán)限關(guān)聯(lián)起來(lái)。與相應(yīng)的訪問(wèn)權(quán)限關(guān)聯(lián)起來(lái)。信息安全體系結(jié)構(gòu)開(kāi)放系統(tǒng)互連安全服務(wù)框架訪問(wèn)令牌訪問(wèn)令牌 訪問(wèn)令牌是一個(gè)受保護(hù)的對(duì)象，其中包含與用訪問(wèn)令牌是一個(gè)受保護(hù)的對(duì)象，其中包含與用戶賬戶有關(guān)的標(biāo)識(shí)和特權(quán)信息。戶賬戶有關(guān)的標(biāo)識(shí)和特權(quán)信息。 用戶登錄到一臺(tái)用戶登錄到一臺(tái)Windows 2000系統(tǒng)時(shí)，對(duì)登錄系統(tǒng)時(shí)，對(duì)登錄資格進(jìn)行認(rèn)證。資格進(jìn)行認(rèn)證。 若認(rèn)證成功，返回該用戶的若認(rèn)證成功，返回該用戶的SID和該用戶的安和該用戶的安全組的全組的SID列表，據(jù)此安全授權(quán)機(jī)構(gòu)創(chuàng)建一個(gè)列表，據(jù)此安全授

46、權(quán)機(jī)構(gòu)創(chuàng)建一個(gè)訪問(wèn)令牌。訪問(wèn)令牌。信息安全體系結(jié)構(gòu)開(kāi)放系統(tǒng)互連安全服務(wù)框架安全描述安全描述 安全描述結(jié)構(gòu)安全描述結(jié)構(gòu)頭部頭部所有者所有者主組主組自由訪問(wèn)控制列表自由訪問(wèn)控制列表系統(tǒng)訪問(wèn)控制列表系統(tǒng)訪問(wèn)控制列表信息安全體系結(jié)構(gòu)開(kāi)放系統(tǒng)互連安全服務(wù)框架用戶和組基礎(chǔ)用戶和組基礎(chǔ) 用戶賬戶可為用戶提供登錄到域以訪問(wèn)網(wǎng)絡(luò)資用戶賬戶可為用戶提供登錄到域以訪問(wèn)網(wǎng)絡(luò)資源或登錄到計(jì)算機(jī)以訪問(wèn)該機(jī)資源的能力。源或登錄到計(jì)算機(jī)以訪問(wèn)該機(jī)資源的能力。 Windows 2000 提供兩種用戶賬戶提供兩種用戶賬戶本地用戶賬戶：登錄到特定計(jì)算機(jī)訪問(wèn)該機(jī)資源。本地用戶賬戶：登錄到特定計(jì)算機(jī)訪問(wèn)該機(jī)資源。域用戶賬戶：登錄到域獲

47、得對(duì)網(wǎng)絡(luò)資源的訪問(wèn)。域用戶賬戶：登錄到域獲得對(duì)網(wǎng)絡(luò)資源的訪問(wèn)。 用戶在登錄用戶在登錄Windows 2000計(jì)算機(jī)（非域控制器）計(jì)算機(jī)（非域控制器）的時(shí)候可以選擇是登錄到域還是本地計(jì)算機(jī)。的時(shí)候可以選擇是登錄到域還是本地計(jì)算機(jī)。信息安全體系結(jié)構(gòu)開(kāi)放系統(tǒng)互連安全服務(wù)框架組作用域組作用域 組作用域用來(lái)決定在網(wǎng)絡(luò)的什么位置可以使用組，也組作用域用來(lái)決定在網(wǎng)絡(luò)的什么位置可以使用組，也可以決定能以不同的方式分配權(quán)限?？梢詻Q定能以不同的方式分配權(quán)限。 在在Windows 2000中有中有3個(gè)組作用域個(gè)組作用域通用組：有通用作用域的組稱為通用組，有通用作用域的組通用組：有通用作用域的組稱為通用組，有通用作用

48、域的組可將其成員作為來(lái)自域樹(shù)或樹(shù)林中任何可將其成員作為來(lái)自域樹(shù)或樹(shù)林中任何Windows 2000 域的域的組和賬戶，并且在域樹(shù)或樹(shù)林的任何域中都可獲得權(quán)限。組和賬戶，并且在域樹(shù)或樹(shù)林的任何域中都可獲得權(quán)限。全局組：有全局作用域的組稱作全局組?？蓪⑵涑蓡T作為僅全局組：有全局作用域的組稱作全局組?？蓪⑵涑蓡T作為僅來(lái)自所定義的域的組合賬戶，并且在樹(shù)林的任何域中都可獲來(lái)自所定義的域的組合賬戶，并且在樹(shù)林的任何域中都可獲得權(quán)限。得權(quán)限。本地組：具有本地作用域的組稱作本地組，可將其成員作為本地組：具有本地作用域的組稱作本地組，可將其成員作為來(lái)自來(lái)自Windows 2000或或Windows NT 域的組

49、和賬戶，并且可用域的組和賬戶，并且可用于僅在域中授予權(quán)限。于僅在域中授予權(quán)限。 如果具有多個(gè)樹(shù)林，僅在一個(gè)樹(shù)林中定義的用戶不能如果具有多個(gè)樹(shù)林，僅在一個(gè)樹(shù)林中定義的用戶不能放入在另一個(gè)樹(shù)林中定義的組，并且僅在一個(gè)樹(shù)林中放入在另一個(gè)樹(shù)林中定義的組，并且僅在一個(gè)樹(shù)林中定義的組不能指派另一個(gè)樹(shù)林中的權(quán)限。定義的組不能指派另一個(gè)樹(shù)林中的權(quán)限。信息安全體系結(jié)構(gòu)開(kāi)放系統(tǒng)互連安全服務(wù)框架不同類型組作用域之間的區(qū)別不同類型組作用域之間的區(qū)別區(qū)別內(nèi)容區(qū)別內(nèi)容全局組全局組域本地組域本地組通用組通用組可添加的成員來(lái)源可添加的成員來(lái)源本地域本地域任何域任何域任何域任何域可訪問(wèn)的資源范圍可訪問(wèn)的資源范圍任何域內(nèi)任何域內(nèi)

50、本地域內(nèi)本地域內(nèi)任何域內(nèi)任何域內(nèi)常見(jiàn)的應(yīng)用環(huán)境常見(jiàn)的應(yīng)用環(huán)境用來(lái)對(duì)具有類似用來(lái)對(duì)具有類似網(wǎng)絡(luò)訪問(wèn)要求的網(wǎng)絡(luò)訪問(wèn)要求的用戶進(jìn)行組織用戶進(jìn)行組織用來(lái)給資源分配用來(lái)給資源分配權(quán)限權(quán)限用來(lái)給多個(gè)域內(nèi)用來(lái)給多個(gè)域內(nèi)的相關(guān)資源分配的相關(guān)資源分配權(quán)限權(quán)限信息安全體系結(jié)構(gòu)開(kāi)放系統(tǒng)互連安全服務(wù)框架本地組本地組 本地組（本地組（local group）是本地計(jì)算機(jī)上的用戶賬戶的）是本地計(jì)算機(jī)上的用戶賬戶的集合。集合。 可使用本地組給本地組所在計(jì)算機(jī)上的資源分配權(quán)限?？墒褂帽镜亟M給本地組所在計(jì)算機(jī)上的資源分配權(quán)限。 使用本地組的原則使用本地組的原則只可在創(chuàng)建本地組的計(jì)算機(jī)上使用本地組只可在創(chuàng)建本地組的計(jì)算機(jī)上使用本

51、地組在在Windows 2000的非域控制器的計(jì)算機(jī)上使用本地組，不的非域控制器的計(jì)算機(jī)上使用本地組，不能在域控制器上創(chuàng)建本地組。能在域控制器上創(chuàng)建本地組?？墒褂帽镜亟M來(lái)限制本地用戶和組訪問(wèn)網(wǎng)絡(luò)資源的能力?？墒褂帽镜亟M來(lái)限制本地用戶和組訪問(wèn)網(wǎng)絡(luò)資源的能力。 能夠添加到本地組的成員能夠添加到本地組的成員本地組所在計(jì)算機(jī)的本地用戶賬戶本地組所在計(jì)算機(jī)的本地用戶賬戶本地組不能是任何組的成員本地組不能是任何組的成員信息安全體系結(jié)構(gòu)開(kāi)放系統(tǒng)互連安全服務(wù)框架Windows 2000 默認(rèn)創(chuàng)建的用戶組默認(rèn)創(chuàng)建的用戶組 成員服務(wù)器成員服務(wù)器 Administrators Backup Operators Gu

52、ests Power Users Replicator Users 域控制器域控制器 Account Operators Print Operators Server Operators信息安全體系結(jié)構(gòu)開(kāi)放系統(tǒng)互連安全服務(wù)框架Windows 2000 組策略管理舉例組策略管理舉例 全局組、域本地組規(guī)劃全局組、域本地組規(guī)劃一個(gè)公司包括四個(gè)部門，每個(gè)部分由相對(duì)獨(dú)立一個(gè)公司包括四個(gè)部門，每個(gè)部分由相對(duì)獨(dú)立的人員管理，用的人員管理，用Windows 2000進(jìn)行管理，可以進(jìn)行管理，可以為每個(gè)部門劃分一個(gè)子域，實(shí)現(xiàn)用戶管理，現(xiàn)為每個(gè)部門劃分一個(gè)子域，實(shí)現(xiàn)用戶管理，現(xiàn)在，假設(shè)有兩個(gè)共享資源在，假設(shè)有兩個(gè)共

53、享資源A和和B為公司員工提供為公司員工提供訪問(wèn)，訪問(wèn)，A和和B兩種資源都有不同的訪問(wèn)權(quán)限：只兩種資源都有不同的訪問(wèn)權(quán)限：只讀，完全控制；讀，完全控制；用組策略實(shí)現(xiàn)管理，請(qǐng)問(wèn)，如何規(guī)劃組（全局用組策略實(shí)現(xiàn)管理，請(qǐng)問(wèn)，如何規(guī)劃組（全局組和本地組），即需要多少個(gè)全局組和域本地組和本地組），即需要多少個(gè)全局組和域本地組？組？信息安全體系結(jié)構(gòu)開(kāi)放系統(tǒng)互連安全服務(wù)框架3.4 抗抵賴（抗抵賴（non-repudiation）框架）框架 ISO/IEC10181-4是開(kāi)放系統(tǒng)互連安全框架的抗是開(kāi)放系統(tǒng)互連安全框架的抗抵賴框架部分。抵賴框架部分。 目的目的提供有關(guān)特定事件或行為的證據(jù)。提供有關(guān)特定事件或行為的證

54、據(jù)。事件或行為本身以外的其他實(shí)體可以請(qǐng)求抗抵賴服事件或行為本身以外的其他實(shí)體可以請(qǐng)求抗抵賴服務(wù)。務(wù)。信息安全體系結(jié)構(gòu)開(kāi)放系統(tǒng)互連安全服務(wù)框架什么是證據(jù)？什么是證據(jù)？ 可用于解決糾紛的信息，稱為證據(jù)?？捎糜诮鉀Q糾紛的信息，稱為證據(jù)。 證據(jù)保存：證據(jù)保存：證據(jù)使用者在本地保存證據(jù)使用者在本地保存可信第三方保存可信第三方保存 特殊形式的證據(jù)特殊形式的證據(jù)數(shù)字簽名（與公鑰技術(shù)一起使用）數(shù)字簽名（與公鑰技術(shù)一起使用）安全信封和安全令牌（與秘密密鑰技術(shù)一起使用）安全信封和安全令牌（與秘密密鑰技術(shù)一起使用）信息安全體系結(jié)構(gòu)開(kāi)放系統(tǒng)互連安全服務(wù)框架什么是證據(jù)？什么是證據(jù)？ 可以組成證據(jù)信息的例子：可以組成證據(jù)

55、信息的例子：抗抵賴安全策略的標(biāo)識(shí)符抗抵賴安全策略的標(biāo)識(shí)符原發(fā)者可辨別標(biāo)識(shí)符原發(fā)者可辨別標(biāo)識(shí)符接收者可辨別標(biāo)識(shí)符接收者可辨別標(biāo)識(shí)符 數(shù)字簽名或安全信封數(shù)字簽名或安全信封證據(jù)生成者可辨別標(biāo)識(shí)符證據(jù)生成者可辨別標(biāo)識(shí)符 信息安全體系結(jié)構(gòu)開(kāi)放系統(tǒng)互連安全服務(wù)框架3.4.1 抗抵賴的一般討論抗抵賴的一般討論 抗抵賴服務(wù)包括抗抵賴服務(wù)包括證據(jù)生成證據(jù)生成驗(yàn)證驗(yàn)證記錄記錄在解決糾紛時(shí)進(jìn)行的證據(jù)恢復(fù)和再次驗(yàn)證在解決糾紛時(shí)進(jìn)行的證據(jù)恢復(fù)和再次驗(yàn)證 除非證據(jù)已被記錄，否則無(wú)法解決糾紛。除非證據(jù)已被記錄，否則無(wú)法解決糾紛。信息安全體系結(jié)構(gòu)開(kāi)放系統(tǒng)互連安全服務(wù)框架3.4.1 抗抵賴的一般討論抗抵賴的一般討論 對(duì)于消息的

56、抗抵賴服務(wù)對(duì)于消息的抗抵賴服務(wù)為提供原發(fā)證明，必須確認(rèn)數(shù)據(jù)原發(fā)者身份和數(shù)據(jù)為提供原發(fā)證明，必須確認(rèn)數(shù)據(jù)原發(fā)者身份和數(shù)據(jù)完整性。完整性。為提供遞交證明，必須確認(rèn)接收者身份和數(shù)據(jù)完整為提供遞交證明，必須確認(rèn)接收者身份和數(shù)據(jù)完整性。性。某些場(chǎng)合，可能涉及上下文關(guān)系（如日期、時(shí)間、某些場(chǎng)合，可能涉及上下文關(guān)系（如日期、時(shí)間、原發(fā)者原發(fā)者/接收者地點(diǎn)）的證據(jù)接收者地點(diǎn)）的證據(jù) 糾紛解決糾紛解決可在糾紛雙方之間直接通過(guò)檢查證據(jù)解決可在糾紛雙方之間直接通過(guò)檢查證據(jù)解決通過(guò)仲裁者解決（通過(guò)仲裁者解決（仲裁者的權(quán)威性仲裁者的權(quán)威性）信息安全體系結(jié)構(gòu)開(kāi)放系統(tǒng)互連安全服務(wù)框架3.4.2 可信第三方的角色可信第三方的

57、角色 可信第三方（可信第三方（TTP）分類）分類脫機(jī)脫機(jī)TTP，支持抗抵賴，而不主動(dòng)地參與到每個(gè)服，支持抗抵賴，而不主動(dòng)地參與到每個(gè)服務(wù)的使用過(guò)程的可信第三方務(wù)的使用過(guò)程的可信第三方聯(lián)機(jī)聯(lián)機(jī)TTP，主動(dòng)地介入證據(jù)生成或驗(yàn)證的，主動(dòng)地介入證據(jù)生成或驗(yàn)證的TTP在線在線TTP，在所有交互中充當(dāng)中介的聯(lián)機(jī)，在所有交互中充當(dāng)中介的聯(lián)機(jī)TTP 可充當(dāng)?shù)慕巧沙洚?dāng)?shù)慕巧C者、時(shí)間戳、監(jiān)視、密鑰證書、簽名生成、簽公證者、時(shí)間戳、監(jiān)視、密鑰證書、簽名生成、簽名驗(yàn)證和遞交權(quán)威機(jī)構(gòu)名驗(yàn)證和遞交權(quán)威機(jī)構(gòu)信息安全體系結(jié)構(gòu)開(kāi)放系統(tǒng)互連安全服務(wù)框架3.4.2 可信第三方的角色可信第三方的角色 可充當(dāng)?shù)慕巧沙洚?dāng)?shù)慕巧?/p>

58、證據(jù)生成的角色中，在證據(jù)生成的角色中，TTP與抗抵賴服務(wù)的請(qǐng)求者協(xié)調(diào)，生與抗抵賴服務(wù)的請(qǐng)求者協(xié)調(diào)，生成證據(jù)；成證據(jù)；在證據(jù)的記錄角色中，在證據(jù)的記錄角色中，TTP記錄證據(jù)；記錄證據(jù)；在時(shí)間戳的角色中，在時(shí)間戳的角色中，TTP受委托提供包含收到時(shí)間戳請(qǐng)求時(shí)受委托提供包含收到時(shí)間戳請(qǐng)求時(shí)的時(shí)間的證據(jù)；的時(shí)間的證據(jù)；在密鑰證書角色中，在密鑰證書角色中，TTP提供與證據(jù)生成器相關(guān)的抗抵賴證提供與證據(jù)生成器相關(guān)的抗抵賴證書，以保證用于抗抵賴目的公鑰是有效的；書，以保證用于抗抵賴目的公鑰是有效的；在密鑰分發(fā)角色中，在密鑰分發(fā)角色中，TTP向證據(jù)生成者和向證據(jù)生成者和/或證據(jù)的驗(yàn)證者或證據(jù)的驗(yàn)證者提供密鑰；

59、提供密鑰； 信息安全體系結(jié)構(gòu)開(kāi)放系統(tǒng)互連安全服務(wù)框架3.4.3 抗抵賴的階段抗抵賴的階段 四個(gè)獨(dú)立的階段四個(gè)獨(dú)立的階段證據(jù)生成證據(jù)生成證據(jù)傳輸、存儲(chǔ)證據(jù)傳輸、存儲(chǔ) 和檢索和檢索證據(jù)驗(yàn)證證據(jù)驗(yàn)證解決糾紛解決糾紛信息安全體系結(jié)構(gòu)開(kāi)放系統(tǒng)互連安全服務(wù)框架證據(jù)主體證據(jù)主體證據(jù)生成證據(jù)生成請(qǐng)求者請(qǐng)求者證據(jù)生成證據(jù)生成請(qǐng)求者請(qǐng)求者證據(jù)證據(jù)使用者使用者有關(guān)信息有關(guān)信息觀察觀察證據(jù)生成器證據(jù)生成器證據(jù)驗(yàn)證者證據(jù)驗(yàn)證者傳輸和傳輸和存儲(chǔ)存儲(chǔ)/檢索檢索可信第三方可信第三方有關(guān)信息有關(guān)信息觀察觀察請(qǐng)求生成請(qǐng)求生成請(qǐng)求驗(yàn)證請(qǐng)求驗(yàn)證是是/否否證據(jù)和其他信息證據(jù)和其他信息證據(jù)和其他信息證據(jù)和其他信息證據(jù)證據(jù)證據(jù)證據(jù)抗抵賴的

60、前三個(gè)階段抗抵賴的前三個(gè)階段卷入事件或卷入事件或行為中的實(shí)行為中的實(shí)體，稱為證體，稱為證據(jù)主體據(jù)主體信息安全體系結(jié)構(gòu)開(kāi)放系統(tǒng)互連安全服務(wù)框架公認(rèn)仲裁者公認(rèn)仲裁者被告被告抗抵賴的解決糾紛階段抗抵賴的解決糾紛階段原告原告抗抵賴策略抗抵賴策略從糾紛雙方和從糾紛雙方和/或或可信第三方收集可信第三方收集證據(jù)證據(jù) 本階段不是一定必要的：如所有利益方對(duì)事件或行為本階段不是一定必要的：如所有利益方對(duì)事件或行為的發(fā)生（或沒(méi)有發(fā)生）達(dá)成一致意見(jiàn)，就沒(méi)有糾紛需的發(fā)生（或沒(méi)有發(fā)生）達(dá)成一致意見(jiàn)，就沒(méi)有糾紛需要解決；即使出現(xiàn)糾紛，有時(shí)也可通過(guò)爭(zhēng)議雙方直接要解決；即使出現(xiàn)糾紛，有時(shí)也可通過(guò)爭(zhēng)議雙方直接解決而不需要仲裁者。

61、解決而不需要仲裁者。信息安全體系結(jié)構(gòu)開(kāi)放系統(tǒng)互連安全服務(wù)框架3.4.4 抗抵賴服務(wù)的一些形式抗抵賴服務(wù)的一些形式 傳輸消息至少涉及兩個(gè)實(shí)體：原發(fā)者和接收者。傳輸消息至少涉及兩個(gè)實(shí)體：原發(fā)者和接收者。 涉及的潛在糾紛：涉及的潛在糾紛：原發(fā)者受到懷疑，如被指控的原發(fā)者聲稱消息被接原發(fā)者受到懷疑，如被指控的原發(fā)者聲稱消息被接收者偽造，或者被偽裝的攻擊者偽造收者偽造，或者被偽裝的攻擊者偽造接收者受到懷疑，如被指控的接收者聲稱消息沒(méi)有接收者受到懷疑，如被指控的接收者聲稱消息沒(méi)有發(fā)送，或者在傳輸中丟失，或者被偽裝的攻擊者接發(fā)送，或者在傳輸中丟失，或者被偽裝的攻擊者接收。收。信息安全體系結(jié)構(gòu)開(kāi)放系統(tǒng)互連安全

62、服務(wù)框架3.4.5 OSI抗抵賴證據(jù)例子抗抵賴證據(jù)例子 對(duì)原發(fā)抗抵賴包括證據(jù)對(duì)原發(fā)抗抵賴包括證據(jù)原發(fā)者可辨別標(biāo)識(shí)符原發(fā)者可辨別標(biāo)識(shí)符被發(fā)送的數(shù)據(jù)，或數(shù)據(jù)的被發(fā)送的數(shù)據(jù)，或數(shù)據(jù)的數(shù)字指紋。數(shù)字指紋。 對(duì)遞交抗抵賴對(duì)遞交抗抵賴接收者可辨別標(biāo)識(shí)符接收者可辨別標(biāo)識(shí)符被接收的數(shù)據(jù)，或數(shù)據(jù)的被接收的數(shù)據(jù)，或數(shù)據(jù)的數(shù)字指紋。數(shù)字指紋。信息安全體系結(jié)構(gòu)開(kāi)放系統(tǒng)互連安全服務(wù)框架3.4.6 抗抵賴策略抗抵賴策略 證據(jù)生成規(guī)則：如用于生成證據(jù)的證據(jù)生成規(guī)則：如用于生成證據(jù)的TTP的規(guī)范的規(guī)范 證據(jù)驗(yàn)證規(guī)則：如其證據(jù)是可接受的證據(jù)驗(yàn)證規(guī)則：如其證據(jù)是可接受的TTP規(guī)范規(guī)范 證據(jù)存儲(chǔ)規(guī)則：如，用于保證所存儲(chǔ)證據(jù)完整性的

63、手證據(jù)存儲(chǔ)規(guī)則：如，用于保證所存儲(chǔ)證據(jù)完整性的手段段 證據(jù)使用規(guī)則：如，使用證據(jù)的用途的規(guī)范證據(jù)使用規(guī)則：如，使用證據(jù)的用途的規(guī)范 仲裁規(guī)則：一致公認(rèn)的可解決糾紛的仲裁者規(guī)范仲裁規(guī)則：一致公認(rèn)的可解決糾紛的仲裁者規(guī)范這些規(guī)則可由不同的權(quán)威機(jī)構(gòu)定義。如證據(jù)生成規(guī)則可這些規(guī)則可由不同的權(quán)威機(jī)構(gòu)定義。如證據(jù)生成規(guī)則可由系統(tǒng)所有者定義，仲裁者可由系統(tǒng)所在國(guó)家的法律由系統(tǒng)所有者定義，仲裁者可由系統(tǒng)所在國(guó)家的法律定義。定義。信息安全體系結(jié)構(gòu)開(kāi)放系統(tǒng)互連安全服務(wù)框架3.5 機(jī)密性（機(jī)密性（confidentiality）框架）框架 ISO/IEC10181-5是開(kāi)放系統(tǒng)互連安全框架的機(jī)是開(kāi)放系統(tǒng)互連安全框架

64、的機(jī)密性框架部分。密性框架部分。 本安全框架只涉及對(duì)提供系統(tǒng)和系統(tǒng)內(nèi)部對(duì)象本安全框架只涉及對(duì)提供系統(tǒng)和系統(tǒng)內(nèi)部對(duì)象保護(hù)方式以及系統(tǒng)之間交互作用的定義，不涉保護(hù)方式以及系統(tǒng)之間交互作用的定義，不涉及構(gòu)建這些系統(tǒng)或機(jī)制的方法學(xué)。及構(gòu)建這些系統(tǒng)或機(jī)制的方法學(xué)。 機(jī)密性框架闡述信息在機(jī)密性框架闡述信息在檢索、傳輸檢索、傳輸和和管理管理中的中的機(jī)密性問(wèn)題。機(jī)密性問(wèn)題。信息安全體系結(jié)構(gòu)開(kāi)放系統(tǒng)互連安全服務(wù)框架3.5.1 機(jī)密性的一般討論機(jī)密性的一般討論 機(jī)密性服務(wù)的目的機(jī)密性服務(wù)的目的確保信息僅僅是對(duì)被授權(quán)者可用。確保信息僅僅是對(duì)被授權(quán)者可用。 信息是通過(guò)數(shù)據(jù)表示的，信息從數(shù)據(jù)中導(dǎo)出的信息是通過(guò)數(shù)據(jù)表示的

65、，信息從數(shù)據(jù)中導(dǎo)出的不同方式不同方式理解數(shù)據(jù)的含義理解數(shù)據(jù)的含義使用數(shù)據(jù)相關(guān)的屬性使用數(shù)據(jù)相關(guān)的屬性研究數(shù)據(jù)的上下文關(guān)系研究數(shù)據(jù)的上下文關(guān)系通過(guò)觀察數(shù)據(jù)表達(dá)式的動(dòng)態(tài)變化通過(guò)觀察數(shù)據(jù)表達(dá)式的動(dòng)態(tài)變化信息安全體系結(jié)構(gòu)開(kāi)放系統(tǒng)互連安全服務(wù)框架3.5.1 機(jī)密性的一般討論機(jī)密性的一般討論 被保護(hù)的環(huán)境被保護(hù)的環(huán)境在被保護(hù)環(huán)境中的數(shù)據(jù)通過(guò)使用特別的安全機(jī)制在被保護(hù)環(huán)境中的數(shù)據(jù)通過(guò)使用特別的安全機(jī)制（或多個(gè)機(jī)制）保護(hù)，所有數(shù)據(jù)以類似方法受到保（或多個(gè)機(jī)制）保護(hù)，所有數(shù)據(jù)以類似方法受到保護(hù)。護(hù)。 被交疊保護(hù)的環(huán)境被交疊保護(hù)的環(huán)境當(dāng)兩個(gè)或更多的環(huán)境交疊時(shí)，交疊中的數(shù)據(jù)能被多當(dāng)兩個(gè)或更多的環(huán)境交疊時(shí)，交疊中的數(shù)

66、據(jù)能被多重保護(hù)。重保護(hù)。信息安全體系結(jié)構(gòu)開(kāi)放系統(tǒng)互連安全服務(wù)框架信息的保護(hù)信息的保護(hù) 機(jī)密性保護(hù)的方法機(jī)密性保護(hù)的方法防止數(shù)據(jù)存在性和數(shù)據(jù)特性（如數(shù)據(jù)大小或數(shù)據(jù)創(chuàng)防止數(shù)據(jù)存在性和數(shù)據(jù)特性（如數(shù)據(jù)大小或數(shù)據(jù)創(chuàng)建日期）的知識(shí)被人理解；建日期）的知識(shí)被人理解；防止對(duì)數(shù)據(jù)的讀訪問(wèn)；防止對(duì)數(shù)據(jù)的讀訪問(wèn)；防止數(shù)據(jù)語(yǔ)義的知識(shí)被人理解；防止數(shù)據(jù)語(yǔ)義的知識(shí)被人理解； 防止信息泄露的方法防止信息泄露的方法保護(hù)信息項(xiàng)的表達(dá)式（內(nèi)容）不被泄露保護(hù)信息項(xiàng)的表達(dá)式（內(nèi)容）不被泄露保護(hù)表達(dá)式規(guī)則（信息項(xiàng)表示格式）不被泄露保護(hù)表達(dá)式規(guī)則（信息項(xiàng)表示格式）不被泄露信息安全體系結(jié)構(gòu)開(kāi)放系統(tǒng)互連安全服務(wù)框架隱藏和揭示操作隱藏和揭示操作 “隱藏隱藏”操作可以模型化為信息從一個(gè)環(huán)境操作可以模型化為信息從一個(gè)環(huán)境A，移動(dòng)到移動(dòng)到A和另一個(gè)環(huán)境和另一個(gè)環(huán)境C交疊的區(qū)域（交疊的區(qū)域（B）。）。 “揭示揭示”操作可以看作隱藏操作的逆操作。操作可以看作隱藏操作的逆操作。 當(dāng)信息從一個(gè)被機(jī)密性機(jī)制保護(hù)的環(huán)境移到被當(dāng)信息從一個(gè)被機(jī)密性機(jī)制保護(hù)的環(huán)境移到被另一個(gè)機(jī)制保護(hù)的環(huán)境時(shí)：另一個(gè)機(jī)制保護(hù)的環(huán)境時(shí)：如第二個(gè)機(jī)制的隱藏操作優(yōu)先于第一個(gè)機(jī)制的