信息安全體系結(jié)構(gòu)開(kāi)放系統(tǒng)互連安全服務(wù)框架

第 3章 開(kāi)放系統(tǒng)互連安全服務(wù)框架 3.1 安全框架概況 安全框架標(biāo)準(zhǔn)是安全服務(wù)、安全機(jī)制及其相應(yīng) 安全協(xié)議的基礎(chǔ)，是信息系統(tǒng)安全的理論基礎(chǔ)。 GB/T9387.2-1995（等同于 ISO7498-2）定義了 進(jìn)程之間交換信息時(shí)保證其安全的體系結(jié)構(gòu)中 的安全術(shù)語(yǔ)、過(guò)程和涉及范圍。 安全框架標(biāo)準(zhǔn)（ ISO/IEC 10181-110181-7）全 面惟一地準(zhǔn)確定義安全技術(shù)術(shù)語(yǔ)、過(guò)程和涉及 范圍的標(biāo)準(zhǔn)。 安全框架的內(nèi)容 描述安全框架的組織結(jié)構(gòu) 定義安全框架各個(gè)部分要求的安全概念 描述框架多個(gè)部分確定的安全業(yè)務(wù)與機(jī)制之間 的關(guān)系。 3.2 鑒別（ Authentication）框架 ISO/IEC10181-2是開(kāi)放系統(tǒng)互連安全框架的鑒別框架 部分。 主要內(nèi)容 鑒別目的 鑒別的一般原理 鑒別的階段 可信第三方的參與 主體類(lèi)型 人類(lèi)用戶(hù)鑒別 針對(duì)鑒別的攻擊種類(lèi) 3.2.1 鑒別目的 人 進(jìn)程 實(shí)開(kāi)放系統(tǒng) OSI層實(shí)體 組織機(jī)構(gòu)（如企業(yè)） 主 體 類(lèi) 型 鑒別目的： 對(duì)抗冒充和重放攻擊 主體 實(shí)體 可辨別標(biāo)識(shí)符 鑒別服務(wù) 一個(gè)主體可以擁有 一個(gè)或多個(gè) 驗(yàn)證主體所宣稱(chēng)的 身份 3.2.2 鑒別的一般原理 可辨別標(biāo)識(shí)符 同一安全域中，可辨別標(biāo)識(shí)符具有唯一性。 在粗粒度等級(jí)上，組擁有可辨別標(biāo)識(shí)符； 在細(xì)粒度等級(jí)上，實(shí)體擁有可辨別標(biāo)識(shí)符。 在不同安全域中，各安全域可能使用同一個(gè)可辨別 標(biāo)識(shí)符。這種情況下，可辨別標(biāo)識(shí)符須與安全域標(biāo) 識(shí)符連接使用，達(dá)到為實(shí)體提供明確標(biāo)識(shí)符的目的。 舉例 Windows NT系統(tǒng)中有兩種模式： 工作組 域 用戶(hù)帳戶(hù)（用戶(hù)名、密碼），組帳戶(hù)是一個(gè)可 辨別標(biāo)識(shí)符； 在不同域之間的用戶(hù)帳戶(hù)鑒別，鑒別時(shí)需要提 供域的信息。 鑒別的一般原理 鑒別方法 已知，如一個(gè)秘密的通行字 擁有的，如 IC卡 不可改變的特性，如生物學(xué)測(cè)定的標(biāo)識(shí)特征 相信可靠的第三方建立的鑒別 環(huán)境（如主機(jī)地址） 通過(guò)“擁有的”某物進(jìn)行鑒別，一般是鑒別擁 有的東西而不是鑒別擁有者。它是否由一個(gè)特 定主體所唯一擁有，是此方法的關(guān)鍵所在，也 是此方法的不足之處。 鑒別的一般原理 在涉及雙向鑒別時(shí)，實(shí)體同時(shí)充當(dāng)申請(qǐng)者和驗(yàn)證者的角色 可信第三方：描述安全權(quán)威機(jī)構(gòu)或它的代理。在安全相關(guān)的活 動(dòng)中，它被其他實(shí)體所信任?？尚诺谌皆阼b別中受到申請(qǐng)者 和 /或驗(yàn)證者的信任。 主體 實(shí)體 申請(qǐng)者 驗(yàn)證者 就是 /或者代表鑒別主體。 代表主體參與鑒別交換 所必需的功能。 就是 /或者代表被鑒別身 份的實(shí)體。參與鑒別交 換所必需的功能。 鑒別信息（ AI） “鑒別信息”指申請(qǐng)者要求鑒別至鑒別過(guò)程結(jié) 束所生成、使用和交換的信息。 鑒別信息的類(lèi)型 申請(qǐng) AI：用來(lái)生成交換 AI，以鑒別一個(gè)主體的信息。 如：通行字，秘密密鑰，私鑰； 驗(yàn)證 AI：通過(guò)交換 AI，驗(yàn)證所聲稱(chēng)身份的信息。如： 通行字，秘密密鑰，公鑰； 交換 AI：申請(qǐng)者與驗(yàn)證者之間在鑒別一個(gè)主體期間 所交換的信息。如：可辨別標(biāo)識(shí)符，通行字，質(zhì)詢(xún)， 咨詢(xún)響應(yīng)，聯(lián)機(jī)證書(shū)，脫機(jī)證書(shū)等。 申請(qǐng)者、驗(yàn)證者、可信第三方之間的關(guān)系 申請(qǐng) AI 申請(qǐng)者 驗(yàn)證 AI 驗(yàn)證者 驗(yàn)證 AI 可信第三方 申請(qǐng) AI 交換 AI 交換 AI 交換 AI和 /或 驗(yàn)證 AI 指示潛在的信息 流 用來(lái)生成交換 AI，以鑒別 一個(gè)主體的信息。如：通 行字，秘密密鑰，私鑰 在鑒別一個(gè)主體期間所交 換的信息。如：可辨別標(biāo) 識(shí)符，通行字，質(zhì)詢(xún) 驗(yàn)證所聲稱(chēng)身份的信息。 如：通行字，秘密密鑰， 公共密鑰 3.2.3 鑒別的階段 階段 安裝 修改鑒別信息 分發(fā) 獲取 傳送 驗(yàn)證 ?；?重新激活階段 取消安裝 并不要求所有這些階段 或順序 舉例 創(chuàng)建一個(gè)帳戶(hù) 分發(fā)帳戶(hù) 獲取帳戶(hù) 修改帳戶(hù)信息 驗(yàn)證帳戶(hù) 禁止帳戶(hù) 激活帳戶(hù) 刪除帳戶(hù) 3.2.4 可信第三方的參與 鑒別機(jī)制可按可信第三方的參與數(shù)分類(lèi) 無(wú)需可信第三方參與的鑒別 可信第三方參與的鑒別 一、無(wú)需可信第三方參與的鑒別 申請(qǐng) AI 申請(qǐng)者 驗(yàn)證 AI 驗(yàn)證者 交換 AI 無(wú)論申請(qǐng)者還是驗(yàn)證者，在生成和驗(yàn)證交 換 AI時(shí)都無(wú)需得到其他實(shí)體的支持。 二、可信第三方參與的鑒別 驗(yàn)證 AI可以通過(guò)與可信 第三方的交互中得到， 必須保證這一信息的完 整性。 維持可信第三方的申請(qǐng) AI的機(jī)密性，以及在申 請(qǐng) AI可從驗(yàn)證 AI推演出 來(lái)時(shí)，維持驗(yàn)證 AI的機(jī) 密性是必要的。 例如 公鑰體制（公鑰，私鑰） 對(duì)應(yīng)申請(qǐng) AI和驗(yàn)證 AI （一）在線(xiàn)鑒別 可信第三方（仲裁者）直接參與申請(qǐng)者與驗(yàn)證 者之間的鑒別交換。 申請(qǐng) AI 申請(qǐng)者 驗(yàn)證 AI 驗(yàn)證者 仲裁者 驗(yàn)證 AI 仲裁者 驗(yàn)證 AI 交換 AI 交換 AI （二）聯(lián)機(jī)鑒別 不同于在線(xiàn)鑒別，聯(lián)機(jī)鑒別的可信第三方并不直接處于 申請(qǐng)者與驗(yàn)證者鑒別交換的路徑上。 實(shí)例：可信第三方為密鑰分配中心，聯(lián)機(jī)鑒別服務(wù)器。 申請(qǐng) AI 申請(qǐng)者 權(quán)威機(jī)構(gòu) 驗(yàn)證 AI 驗(yàn)證者 驗(yàn)證 AI 可信第三方 權(quán)威機(jī)構(gòu) 申請(qǐng) AI 交換 AI 交換 AI 交換 AI 指示可能發(fā)生的 （三）脫機(jī)鑒別 要求使用被撤銷(xiāo)證書(shū)的證明清單、被撤銷(xiāo)證書(shū) 的證書(shū)清單、證書(shū)時(shí)限或其他用于撤銷(xiāo)驗(yàn)證 AI 的非即時(shí)方法等特征。 申請(qǐng) AI 申請(qǐng)者 權(quán)威機(jī)構(gòu) 驗(yàn)證 AI 驗(yàn)證者 驗(yàn)證 AI 可信第三方 權(quán)威機(jī)構(gòu) 申請(qǐng) AI 交換 AI 交換 AI 表示脫機(jī)方式（可能經(jīng)由 申請(qǐng)者）中驗(yàn)證 AI的發(fā)布 三、申請(qǐng)者信任驗(yàn)證者 申請(qǐng)者信任驗(yàn)證者。 如果驗(yàn)證者的身份未得到鑒別，那么其可信度 是不可知的。 例如：在鑒別中簡(jiǎn)單使用的通行字，必須確信 驗(yàn)證者不會(huì)保留或重用該通行字。 3.2.5 主體類(lèi)型 指紋、視網(wǎng)膜等被動(dòng)特征 具有信息交換和處理能力 具有信息存儲(chǔ)能力 具有唯一固定的位置 在實(shí)際鑒別中，最終鑒別的必須是人類(lèi)用戶(hù)而不是 鑒別代表人類(lèi)用戶(hù)行為的進(jìn)程。 人類(lèi)用戶(hù)的鑒別方法必須是人類(lèi)可接受的方法，且 是經(jīng)濟(jì)和安全的。 3.2.6 針對(duì)鑒別的攻擊種類(lèi) 重放攻擊 對(duì)同一驗(yàn)證者進(jìn)行重放攻 擊?？梢酝ㄟ^(guò)使用惟一序 列號(hào)或質(zhì)詢(xún)來(lái)對(duì)抗，惟一 序列號(hào)由申請(qǐng)者生成，且 不會(huì)被同一驗(yàn)證者兩次接 受。 對(duì)不同驗(yàn)證者進(jìn)行重放攻 擊。通過(guò)質(zhì)詢(xún)來(lái)對(duì)抗。在 計(jì)算交換 AI時(shí)使用驗(yàn)證者 惟一擁有的特性可防止這 種攻擊。 延遲攻擊 入侵者發(fā)起的延遲攻擊 入侵者響應(yīng)的延遲攻擊 入侵者發(fā)起的延遲攻擊 C告訴 A說(shuō)它是 B，要求 A對(duì) B進(jìn)行鑒別，然后告 訴 B說(shuō)它是 A，并且提供自身的鑒別信息。 A 申請(qǐng)者 A-響應(yīng)者 B 驗(yàn)證者 B-響應(yīng)者 A（ C） 申請(qǐng)者 C-發(fā)起者 B（ C） 驗(yàn)證者 入侵者 對(duì)抗方法： 不能同時(shí)作為申請(qǐng)者和驗(yàn)證者； 作為申請(qǐng)者的交換 AI和作為響應(yīng) 者的交換 AI不同。 入侵者響應(yīng)的延遲攻擊 入侵者處于鑒別交換的中間位置，它截獲鑒別 信息并且轉(zhuǎn)發(fā)，接管發(fā)起者的任務(wù)。 A A-發(fā)起者 B B-響應(yīng)者 A（ C） 響應(yīng)者 C-發(fā)起者 B（ C） 入侵者 對(duì)抗方法： 提供完整性和機(jī)密性服務(wù)； 網(wǎng)絡(luò)地址集成到交換 AI中。 3.3 訪(fǎng)問(wèn)控制（ Access Control）框架 ISO/IEC10181-3是開(kāi)放系統(tǒng)互連安全框架的訪(fǎng) 問(wèn)控制框架部分。決定開(kāi)放系統(tǒng)環(huán)境中允許使 用哪些資源、在什么地方適合阻止未授權(quán)訪(fǎng)問(wèn) 的過(guò)程叫做訪(fǎng)問(wèn)控制。 3.3.1 訪(fǎng)問(wèn)控制 訪(fǎng)問(wèn)控制的目標(biāo)：對(duì)抗涉及計(jì)算機(jī)或通信系統(tǒng) 非授權(quán)操作的威脅。 非授權(quán)使用 泄露，修改，破壞，拒絕服務(wù) 訪(fǎng)問(wèn)控制安全框架的目標(biāo) 對(duì)數(shù)據(jù)、進(jìn)程或計(jì)算資源進(jìn)行訪(fǎng)問(wèn)控制 在一個(gè)安全域中或跨越多個(gè)安全域的訪(fǎng)問(wèn)控制 根據(jù)上下文進(jìn)行訪(fǎng)問(wèn)控制，如依靠試圖訪(fǎng)問(wèn)的時(shí)間、 訪(fǎng)問(wèn)者地點(diǎn)或訪(fǎng)問(wèn)路線(xiàn) 對(duì)訪(fǎng)問(wèn)過(guò)程中的授權(quán)變化作出反應(yīng)的訪(fǎng)問(wèn)控制 實(shí)系統(tǒng)中的訪(fǎng)問(wèn)控制活動(dòng) 建立一個(gè)訪(fǎng)問(wèn)控制策略的表達(dá)式 建立 ACI（訪(fǎng)問(wèn)控制信息）的表達(dá)式 分配 ACI給元素（發(fā)起者、目標(biāo)或訪(fǎng)問(wèn)請(qǐng)求） 綁定 ACI到元素 使 ADI（訪(fǎng)問(wèn)控制判決信息）對(duì) ADF有效 執(zhí)行訪(fǎng)問(wèn)控制功能 ACI的修改 ADI的撤銷(xiāo) 基本訪(fǎng)問(wèn)控制功能 發(fā)起者 訪(fǎng)問(wèn)控制執(zhí)行功能 （ AEF） 訪(fǎng)問(wèn)判決功能 （ ADF） 目標(biāo) 遞交訪(fǎng)問(wèn)請(qǐng) 求 呈遞訪(fǎng)問(wèn)請(qǐng) 求 判決 請(qǐng)求 判決 代表訪(fǎng)問(wèn)或試圖 訪(fǎng)問(wèn)目標(biāo)的人和 基于計(jì)算機(jī)的實(shí) 體 被試圖訪(fǎng)問(wèn)或由發(fā) 起者訪(fǎng)問(wèn)的，基于 計(jì)算機(jī)或通信的實(shí) 體，如文件。 訪(fǎng)問(wèn)請(qǐng)求代表構(gòu)成試圖訪(fǎng)問(wèn) 部分的操作和操作數(shù) 訪(fǎng)問(wèn)判決功能（ ADF） 發(fā)起者 ADI 目標(biāo) ADI 訪(fǎng)問(wèn)控制 策略規(guī)則 保持的 ADI 上下文背景信息 判決 請(qǐng)求 判決 訪(fǎng)問(wèn)請(qǐng)求 ADI 發(fā)起者的位置、 訪(fǎng)問(wèn)時(shí)間或使 用中的特殊通 信路徑。 ADI由綁定到 發(fā)起者的 ACI 導(dǎo)出 允許或禁止發(fā) 起者試圖對(duì)目 標(biāo)進(jìn)行訪(fǎng)問(wèn)的 判決 3.3.2 訪(fǎng)問(wèn)控制策略 訪(fǎng)問(wèn)控制策略表達(dá)安全域中的確定安全需求。 訪(fǎng)問(wèn)控制策略體現(xiàn)為一組作用在 ADF上的規(guī)則。 訪(fǎng)問(wèn)控制策略分類(lèi) 基于規(guī)則的安全策略：被發(fā)起者施加在安全域 中任何目標(biāo)上的所有訪(fǎng)問(wèn)請(qǐng)求。 基于身份的訪(fǎng)問(wèn)控制策略：基于特定的單個(gè)發(fā) 起者、一群發(fā)起者、代表發(fā)起者行為的實(shí)體或 扮演特定角色的原發(fā)者的規(guī)則。 上下文能夠修改基于規(guī)則或基于身份的訪(fǎng)問(wèn)控 制策略。上下文規(guī)則可在實(shí)際上定義整體策略。 群組和角色 根據(jù)發(fā)起者群組或扮演特定角色發(fā)起者含義陳述的訪(fǎng) 問(wèn)控制策略，是基于身份策略的特殊類(lèi)型。 群組是一組發(fā)起者，群組中的成員是平等的。 群組允許一組發(fā)起者訪(fǎng)問(wèn)特定的目標(biāo)，不必在目標(biāo) ACI中包括單個(gè)發(fā)起者的身份，也不必特意將相同的 ACI分配給每個(gè)發(fā)起者。 群組的組成是由管理行為決定的，創(chuàng)建或修改群組的 能力必須服從訪(fǎng)問(wèn)控制的需要。 角色對(duì)某個(gè)用戶(hù)在組織內(nèi)允許執(zhí)行的功能進(jìn)行特征化。 給定的角色適用于單個(gè)個(gè)體或幾個(gè)個(gè)體。 可按層次使用群組和角色，對(duì)發(fā)起者身份、群組和角 色進(jìn)行組合。 安全標(biāo)簽 根據(jù)安全標(biāo)簽含義陳述的訪(fǎng)問(wèn)控制策略，是基 于規(guī)則的安全策略的特殊類(lèi)型。 發(fā)起者和目標(biāo)分別與命名的安全標(biāo)簽關(guān)聯(lián)。 訪(fǎng)問(wèn)決策是將發(fā)起者和目標(biāo)安全標(biāo)簽進(jìn)行比較 為參考的。 多發(fā)起者訪(fǎng)問(wèn)控制策略 可對(duì)個(gè)體發(fā)起者、相同或不同的群組成員的發(fā) 起者、扮演不同角色的發(fā)起者，或這些發(fā)起者 的組合進(jìn)行識(shí)別。 策略管理 固定策略：一直應(yīng)用又不能被改變的策略。 管理性強(qiáng)加策略：一直應(yīng)用而只能被適當(dāng)授權(quán) 的人才能改變的策略。 用戶(hù)選擇策略：對(duì)發(fā)起者和目標(biāo)的請(qǐng)求可用， 而且只應(yīng)用于涉及發(fā)起者或目標(biāo)、發(fā)起者或目 標(biāo)資源的訪(fǎng)問(wèn)請(qǐng)求的策略。 粒度和容度 每個(gè)粒度級(jí)別可有它自己的邏輯分離策略，還 可以對(duì)不同 AEF和 ADF組件的使用進(jìn)行細(xì)化。 容度用來(lái)控制對(duì)目標(biāo)組的訪(fǎng)問(wèn)。通過(guò)指定一個(gè) 只有當(dāng)其允許對(duì)一個(gè)包含目標(biāo)組的目標(biāo)進(jìn)行訪(fǎng) 問(wèn)時(shí)，才允許對(duì)目標(biāo)組內(nèi)的這些目標(biāo)進(jìn)行訪(fǎng)問(wèn) 的策略實(shí)現(xiàn)。 繼承規(guī)則 新元素可以通過(guò)拷貝、修改、組合現(xiàn)有元素或 構(gòu)造來(lái)創(chuàng)建。 新元素的 ACI依賴(lài)于這些元素：創(chuàng)建者的 ACI， 或者拷貝過(guò)、修改過(guò)、合并過(guò)的元素的 ACI。 繼承規(guī)則是訪(fǎng)問(wèn)控制策略的組成部分。 訪(fǎng)問(wèn)控制策略規(guī)則中的優(yōu)先原則 訪(fǎng)問(wèn)控制策略規(guī)則有可能相互沖突，優(yōu)先規(guī)則規(guī)定了 被應(yīng)用的訪(fǎng)問(wèn)控制策略的次序和規(guī)則中優(yōu)先的規(guī)則。 如果訪(fǎng)問(wèn)控制策略的規(guī)則 A和規(guī)則 B分別讓 ADF對(duì)一個(gè) 請(qǐng)求訪(fǎng)問(wèn)作出不同決策，那么優(yōu)先規(guī)則將賦予規(guī)則 A 優(yōu)先權(quán)，而不考慮 B中的規(guī)則?；蛘邇?yōu)先規(guī)則要求兩 個(gè)規(guī)則都允許請(qǐng)求，得到允許的訪(fǎng)問(wèn)。 當(dāng)發(fā)起者作為群組成員或特定角色時(shí)，優(yōu)先規(guī)則可能 需要用于發(fā)起者綁定 ACI的使用。優(yōu)先規(guī)則可能允許 發(fā)起者自己的 ACI與假定群組或角色的 ACI結(jié)合起來(lái)。 此時(shí)，還須指定怎樣對(duì)有沖突的 ACI進(jìn)行組合。 默認(rèn)訪(fǎng)問(wèn)控制策略規(guī)則 訪(fǎng)問(wèn)控制策略可以包括默認(rèn)訪(fǎng)問(wèn)控制策略規(guī)則。 當(dāng)一個(gè)或多個(gè)發(fā)起者還沒(méi)有特意要求允許或拒 絕的特定訪(fǎng)問(wèn)目標(biāo)時(shí)，可以使用這些規(guī)則。 通過(guò)合作安全域的策略映射 在合作安全域間為訪(fǎng)問(wèn)請(qǐng)求提供訪(fǎng)問(wèn)控制時(shí)， 有時(shí)需要映射或轉(zhuǎn)化綁定到訪(fǎng)問(wèn)請(qǐng)求的 ACI。 因?yàn)椴煌暮献靼踩蛴胁煌?ACI表達(dá)式， 或者相同 ACI在不同安全域有不同的安全策略 解釋。 3.3.3 訪(fǎng)問(wèn)控制信息 發(fā)起者 ACI 目標(biāo) ACI 訪(fǎng)問(wèn)請(qǐng)求 ACI 操作數(shù) ACI 上下文信息 發(fā)起者綁定 ACI 目標(biāo)綁定 ACI 訪(fǎng)問(wèn)請(qǐng)求綁定 ACI 發(fā)起者 ACI的實(shí)例 個(gè)體的訪(fǎng)問(wèn)控制身份 分層群組標(biāo)識(shí)符，可確定成員在分層群組中的 位置 功能群組標(biāo)識(shí)符，可確定成員在功能群組中的 位置 可被假定的角色標(biāo)識(shí)符 敏感性標(biāo)記 完整性標(biāo)記 目標(biāo) ACI的實(shí)例 目標(biāo)訪(fǎng)問(wèn)控制身份 敏感性標(biāo)記 完整性標(biāo)記 包含一個(gè)目標(biāo)的包容者標(biāo)識(shí)符 訪(fǎng)問(wèn)請(qǐng)求 ACI的實(shí)例 被允許的操作種類(lèi)（如讀、寫(xiě)） 用于操作所需的完整性等級(jí) 操作的數(shù)據(jù)類(lèi)型 操作數(shù) ACI的實(shí)例 敏感性標(biāo)記 完整性標(biāo)記 上下文信息的實(shí)例 時(shí)限，只有在用天、周、月、年等精確規(guī)定的 時(shí)間內(nèi)才準(zhǔn)許訪(fǎng)問(wèn)。 路由，只有使用的路由具有指定特征時(shí)才準(zhǔn)許 訪(fǎng)問(wèn)。 位置，只有對(duì)特定系統(tǒng)、工作站或終端上的發(fā) 起者，或者特定的物理位置上的發(fā)起者，訪(fǎng)問(wèn) 才被準(zhǔn)許。 系統(tǒng)狀態(tài) 發(fā)起者綁定 ACI 包括發(fā)起者 ACI、某些目標(biāo) ACI和經(jīng)過(guò)選擇的 上下文信息。 如 發(fā)起者 ACI 目標(biāo)訪(fǎng)問(wèn)控制身份和對(duì)目標(biāo)的可允許訪(fǎng)問(wèn)（如權(quán)力） 發(fā)起者位置 目標(biāo)綁定 ACI 包括某些發(fā)起者 ACI，目標(biāo) ACI和經(jīng)過(guò)選擇的上下文 信息。 形式 : 標(biāo)簽和訪(fǎng)問(wèn)控制表 如 個(gè)體發(fā)起者訪(fǎng)問(wèn)控制身份，允許或拒絕它們對(duì)目標(biāo)的訪(fǎng)問(wèn) 分層群組成員訪(fǎng)問(wèn)控制身份，允許或拒絕它們對(duì)目標(biāo)的訪(fǎng)問(wèn) 功能群組成員訪(fǎng)問(wèn)控制身份，允許或拒絕它們對(duì)目標(biāo)的訪(fǎng)問(wèn) 角色訪(fǎng)問(wèn)控制身份，允許或拒絕它們對(duì)目標(biāo)的訪(fǎng)問(wèn) 授權(quán)和對(duì)它們授權(quán)的訪(fǎng)問(wèn) 訪(fǎng)問(wèn)請(qǐng)求綁定 ACI 包括發(fā)起者 ACI、目標(biāo) ACI和上下文信息。 如 允許參與訪(fǎng)問(wèn)的發(fā)起者 /目標(biāo)對(duì) 允許參與訪(fǎng)問(wèn)的目標(biāo) 允許參與訪(fǎng)問(wèn)的發(fā)起者 Windows 2000 server 活動(dòng)目錄 在運(yùn)行 Windows 2000 server 系統(tǒng)的計(jì)算機(jī)上安裝活動(dòng)目錄， 實(shí)際上就是一種把服務(wù)器轉(zhuǎn)換成域控制器的操作。域控制器 存儲(chǔ)整個(gè)域的目錄數(shù)據(jù)（如系統(tǒng)安全策略和用戶(hù)身份驗(yàn)證數(shù) 據(jù)），并管理用戶(hù)和域的交互過(guò)程，包括用戶(hù)登錄、身份驗(yàn) 證以及目錄搜索。 活動(dòng)目錄由一個(gè)或多個(gè)域組成。 目錄樹(shù)是指具有連續(xù)名稱(chēng)的一個(gè)或多個(gè)域的集合，這些域通 過(guò)雙向、可傳遞的信任關(guān)系鏈接。 一個(gè)目錄林由一個(gè)或多個(gè)域組成。目錄林中每個(gè)域目錄樹(shù)的 根域都會(huì)與目錄林根域建立一種可傳遞的信任關(guān)系。 信任關(guān)系是建立在兩個(gè)域之間的關(guān)系，它使得一個(gè)域 中的域控制器能夠識(shí)別另一個(gè)域內(nèi)的用戶(hù)。 Windows 2000 訪(fǎng)問(wèn)控制機(jī)制 Windows 2000 使用訪(fǎng)問(wèn)控制技術(shù)來(lái)保證已被授 權(quán)的主體對(duì)客體的使用。 安全主體（ Security Principal）不僅僅包括用戶(hù)， 還包括組和服務(wù)等主動(dòng)的實(shí)體。 客體包括文件、文件夾、打印機(jī)、注冊(cè)表、活動(dòng)目 錄項(xiàng)以及其它對(duì)象。 訪(fǎng)問(wèn)控制技術(shù)即決定安全主體能夠在對(duì)象上執(zhí) 行何種類(lèi)型的操作，如某個(gè)用戶(hù)是否能夠讀取、 寫(xiě)入還是執(zhí)行某個(gè)文件。 Windows 2000 訪(fǎng)問(wèn)控制機(jī)制 訪(fǎng)問(wèn)令牌（ access token） Windows 2000系統(tǒng)在用戶(hù)登錄時(shí)，為該用戶(hù)創(chuàng)建一 個(gè)訪(fǎng)問(wèn)令牌。該訪(fǎng)問(wèn)令牌包含該用戶(hù)的 SID，用戶(hù) 所屬組的 SID和用戶(hù)的特權(quán)。 該令牌為用戶(hù)在該計(jì)算機(jī)上的任何操作提供了安全 環(huán)境。 當(dāng)用戶(hù)每啟動(dòng)一個(gè)應(yīng)用程序時(shí)，所執(zhí)行的每一個(gè)線(xiàn) 程都會(huì)得到一份該訪(fǎng)問(wèn)令牌的副本。 每當(dāng)線(xiàn)程請(qǐng)求對(duì)某個(gè)受到權(quán)限控制保護(hù)的對(duì)象進(jìn)行 任何級(jí)別的訪(fǎng)問(wèn)時(shí)，該線(xiàn)程都要把此訪(fǎng)問(wèn)令牌提交 給操作系統(tǒng)，然后操作系統(tǒng)就使用該令牌對(duì)對(duì)象的 安全信息來(lái)執(zhí)行訪(fǎng)問(wèn)檢查。這種檢查確保主體是在 經(jīng)過(guò)授權(quán)之后才進(jìn)行訪(fǎng)問(wèn)的。 Windows 2000 訪(fǎng)問(wèn)控制機(jī)制 安全描述（ security descriptor） 從訪(fǎng)問(wèn)控制的客體角度出發(fā)，安全描述定義了客體 （被訪(fǎng)問(wèn)的對(duì)象）的安全信息。 安全描述中除了對(duì)象所有者自身的 SID外，主要說(shuō) 明了哪些用戶(hù)和組被允許還是被拒絕訪(fǎng)問(wèn)。這通過(guò) 一個(gè)由訪(fǎng)問(wèn)控制項(xiàng)（ access control entries, ACE） 組成的自由訪(fǎng)問(wèn)控制列表（ DACL）來(lái)實(shí)現(xiàn)。 Windows 2000 系統(tǒng)通過(guò)尋找 ACL中的項(xiàng)（ ACE） 來(lái)匹配訪(fǎng)問(wèn)令牌中的用戶(hù) SID和組 SID，以此 ACE 來(lái)確定用戶(hù)是否有權(quán)進(jìn)行所請(qǐng)求的訪(fǎng)問(wèn)。 安全描述與訪(fǎng)問(wèn)令牌 用戶(hù) SID 組 SID 特權(quán)信息 其它訪(fǎng)問(wèn)信息 用戶(hù)令牌信息 所有者 SID 組 SID SACL ACE ACE DACL ACE ACE ACE 對(duì)象的安全描述 遍歷每個(gè) ACE，直到找到匹配內(nèi)容 系統(tǒng) 訪(fǎng)問(wèn) 控制 列表 自由 訪(fǎng)問(wèn) 控制 列表 安全標(biāo)識(shí)符（ SID） Windows 2000 使用安全標(biāo)識(shí)符（ SID）來(lái)標(biāo)識(shí)安全主 體和安全組。 SID是在主體賬戶(hù)或安全組創(chuàng)建時(shí)生成的。 SID的創(chuàng)建者和作用范圍依賴(lài)于賬戶(hù)類(lèi)型。對(duì)于用戶(hù) 賬戶(hù)，由本地安全授權(quán)機(jī)構(gòu)生成在該系統(tǒng)內(nèi)惟一的 SID。對(duì)于域用戶(hù)則由域安全授權(quán)機(jī)構(gòu)來(lái)生成 SID。 SID出現(xiàn)在以下一些訪(fǎng)問(wèn)控制結(jié)構(gòu)中： 訪(fǎng)問(wèn)令牌，包括一個(gè)用戶(hù)的 SID和用戶(hù)所屬組的 SID 安全描述包含與安全描述相關(guān)聯(lián)對(duì)象所有者的 SID 安全描述中的每個(gè) ACE把 SID與相應(yīng)的訪(fǎng)問(wèn)權(quán)限關(guān)聯(lián)起來(lái)。 訪(fǎng)問(wèn)令牌 訪(fǎng)問(wèn)令牌是一個(gè)受保護(hù)的對(duì)象，其中包含與用 戶(hù)賬戶(hù)有關(guān)的標(biāo)識(shí)和特權(quán)信息。 用戶(hù)登錄到一臺(tái) Windows 2000系統(tǒng)時(shí)，對(duì)登錄 資格進(jìn)行認(rèn)證。 若認(rèn)證成功，返回該用戶(hù)的 SID和該用戶(hù)的安 全組的 SID列表，據(jù)此安全授權(quán)機(jī)構(gòu)創(chuàng)建一個(gè) 訪(fǎng)問(wèn)令牌。 安全描述 安全描述結(jié)構(gòu) 頭部 所有者 主組 自由訪(fǎng)問(wèn)控制列表 系統(tǒng)訪(fǎng)問(wèn)控制列表 用戶(hù)和組基礎(chǔ) 用戶(hù)賬戶(hù)可為用戶(hù)提供登錄到域以訪(fǎng)問(wèn)網(wǎng)絡(luò)資 源或登錄到計(jì)算機(jī)以訪(fǎng)問(wèn)該機(jī)資源的能力。 Windows 2000 提供兩種用戶(hù)賬戶(hù) 本地用戶(hù)賬戶(hù)：登錄到特定計(jì)算機(jī)訪(fǎng)問(wèn)該機(jī)資源。 域用戶(hù)賬戶(hù)：登錄到域獲得對(duì)網(wǎng)絡(luò)資源的訪(fǎng)問(wèn)。 用戶(hù)在登錄 Windows 2000計(jì)算機(jī)（非域控制器） 的時(shí)候可以選擇是登錄到域還是本地計(jì)算機(jī)。 組作用域 組作用域用來(lái)決定在網(wǎng)絡(luò)的什么位置可以使用組，也 可以決定能以不同的方式分配權(quán)限。 在 Windows 2000中有 3個(gè)組作用域 通用組：有通用作用域的組稱(chēng)為通用組，有通用作用域的組 可將其成員作為來(lái)自域樹(shù)或樹(shù)林中任何 Windows 2000 域的 組和賬戶(hù)，并且在域樹(shù)或樹(shù)林的任何域中都可獲得權(quán)限。 全局組：有全局作用域的組稱(chēng)作全局組?？蓪⑵涑蓡T作為僅 來(lái)自所定義的域的組合賬戶(hù)，并且在樹(shù)林的任何域中都可獲 得權(quán)限。 本地組：具有本地作用域的組稱(chēng)作本地組，可將其成員作為 來(lái)自 Windows 2000或 Windows NT 域的組和賬戶(hù)，并且可 用于僅在域中授予權(quán)限。 如果具有多個(gè)樹(shù)林，僅在一個(gè)樹(shù)林中定義的用戶(hù)不能 放入在另一個(gè)樹(shù)林中定義的組，并且僅在一個(gè)樹(shù)林中 定義的組不能指派另一個(gè)樹(shù)林中的權(quán)限。 不同類(lèi)型組作用域之間的區(qū)別 區(qū)別內(nèi)容 全局組 域本地組 通用組 可添加的成員來(lái)源 本地域 任何域 任何域 可訪(fǎng)問(wèn)的資源范圍 任何域內(nèi) 本地域內(nèi) 任何域內(nèi) 常見(jiàn)的應(yīng)用環(huán)境 用來(lái)對(duì)具有類(lèi)似 網(wǎng)絡(luò)訪(fǎng)問(wèn)要求的 用戶(hù)進(jìn)行組織 用來(lái)給資源分配 權(quán)限 用來(lái)給多個(gè)域內(nèi) 的相關(guān)資源分配 權(quán)限 本地組 本地組（ local group）是本地計(jì)算機(jī)上的用戶(hù)賬戶(hù)的 集合。 可使用本地組給本地組所在計(jì)算機(jī)上的資源分配權(quán)限。 使用本地組的原則 只可在創(chuàng)建本地組的計(jì)算機(jī)上使用本地組 在 Windows 2000的非域控制器的計(jì)算機(jī)上使用本地組，不 能在域控制器上創(chuàng)建本地組。 可使用本地組來(lái)限制本地用戶(hù)和組訪(fǎng)問(wèn)網(wǎng)絡(luò)資源的能力。 能夠添加到本地組的成員 本地組所在計(jì)算機(jī)的本地用戶(hù)賬戶(hù) 本地組不能是任何組的成員 Windows 2000 默認(rèn)創(chuàng)建的用戶(hù)組 成員服務(wù)器 Administrators Backup Operators Guests Power Users Replicator Users 域控制器 Account Operators Print Operators Server Operators Windows 2000 組策略管理舉例 全局組、域本地組規(guī)劃 一個(gè)公司包括四個(gè)部門(mén)，每個(gè)部分由相對(duì)獨(dú)立 的人員管理，用 Windows 2000進(jìn)行管理，可以 為每個(gè)部門(mén)劃分一個(gè)子域，實(shí)現(xiàn)用戶(hù)管理，現(xiàn) 在，假設(shè)有兩個(gè)共享資源 A和 B為公司員工提供 訪(fǎng)問(wèn)， A和 B兩種資源都有不同的訪(fǎng)問(wèn)權(quán)限：只 讀，完全控制； 用組策略實(shí)現(xiàn)管理，請(qǐng)問(wèn)，如何規(guī)劃組（全局 組和本地組），即需要多少個(gè)全局組和域本地 組？ 3.4 抗抵賴(lài)（ non-repudiation）框架 ISO/IEC10181-4是開(kāi)放系統(tǒng)互連安全框架的抗 抵賴(lài)框架部分。 目的 提供有關(guān)特定事件或行為的證據(jù)。 事件或行為本身以外的其他實(shí)體可以請(qǐng)求抗抵賴(lài)服 務(wù)。 什么是證據(jù)？ 可用于解決糾紛的信息，稱(chēng)為證據(jù)。 證據(jù)保存： 證據(jù)使用者在本地保存 可信第三方保存 特殊形式的證據(jù) 數(shù)字簽名（與公鑰技術(shù)一起使用） 安全信封和安全令牌（與秘密密鑰技術(shù)一起使用） 什么是證據(jù)？ 可以組成證據(jù)信息的例子： 抗抵賴(lài)安全策略的標(biāo)識(shí)符 原發(fā)者可辨別標(biāo)識(shí)符 接收者可辨別標(biāo)識(shí)符 數(shù)字簽名或安全信封 證據(jù)生成者可辨別標(biāo)識(shí)符 3.4.1 抗抵賴(lài)的一般討論 抗抵賴(lài)服務(wù)包括 證據(jù)生成 驗(yàn)證 記錄 在解決糾紛時(shí)進(jìn)行的證據(jù)恢復(fù)和再次驗(yàn)證 除非證據(jù)已被記錄，否則無(wú)法解決糾紛。 3.4.1 抗抵賴(lài)的一般討論 對(duì)于消息的抗抵賴(lài)服務(wù) 為提供原發(fā)證明，必須確認(rèn)數(shù)據(jù)原發(fā)者身份和數(shù)據(jù) 完整性。 為提供遞交證明，必須確認(rèn)接收者身份和數(shù)據(jù)完整 性。 某些場(chǎng)合，可能涉及上下文關(guān)系（如日期、時(shí)間、 原發(fā)者 /接收者地點(diǎn)）的證據(jù) 糾紛解決 可在糾紛雙方之間直接通過(guò)檢查證據(jù)解決 通過(guò)仲裁者解決（ 仲裁者的權(quán)威性 ） 3.4.2 可信第三方的角色 可信第三方（ TTP）分類(lèi) 脫機(jī) TTP，支持抗抵賴(lài)，而不主動(dòng)地參與到每個(gè)服 務(wù)的使用過(guò)程的可信第三方 聯(lián)機(jī) TTP，主動(dòng)地介入證據(jù)生成或驗(yàn)證的 TTP 在線(xiàn) TTP，在所有交互中充當(dāng)中介的聯(lián)機(jī) TTP 可充當(dāng)?shù)慕巧?公證者、時(shí)間戳、監(jiān)視、密鑰證書(shū)、簽名生成、簽 名驗(yàn)證和遞交權(quán)威機(jī)構(gòu) 3.4.2 可信第三方的角色 可充當(dāng)?shù)慕巧?在證據(jù)生成的角色中， TTP與抗抵賴(lài)服務(wù)的請(qǐng)求者協(xié)調(diào)，生 成證據(jù)； 在證據(jù)的記錄角色中， TTP記錄證據(jù)； 在時(shí)間戳的角色中， TTP受委托提供包含收到時(shí)間戳請(qǐng)求時(shí) 的時(shí)間的證據(jù)； 在密鑰證書(shū)角色中， TTP提供與證據(jù)生成器相關(guān)的抗抵賴(lài)證 書(shū)，以保證用于抗抵賴(lài)目的公鑰是有效的； 在密鑰分發(fā)角色中， TTP向證據(jù)生成者和 /或證據(jù)的驗(yàn)證者 提供密鑰； 3.4.3 抗抵賴(lài)的階段 四個(gè)獨(dú)立的階段 證據(jù)生成 證據(jù)傳輸、存儲(chǔ) 和檢索 證據(jù)驗(yàn)證 解決糾紛 證據(jù)主體 證據(jù)生成 請(qǐng)求者 證據(jù)生成 請(qǐng)求者 證據(jù) 使用者 有關(guān)信息 觀察 證據(jù)生成器 證據(jù)驗(yàn)證者 傳輸和 存儲(chǔ) /檢索 可信第三方 請(qǐng)求生成 請(qǐng)求驗(yàn)證 是 /否 證據(jù)和其他信息 證據(jù)和其他信息 證據(jù) 證據(jù) 抗抵賴(lài)的前三個(gè)階段 卷入事件或 行為中的實(shí) 體，稱(chēng)為證 據(jù)主體 公認(rèn)仲裁者 被告 抗抵賴(lài)的解決糾紛階段 原告 抗抵賴(lài)策略 從糾紛雙方和 /或 可信第三方收集 證據(jù) 本階段不是一定必要的：如所有利益方對(duì)事件或行為 的發(fā)生（或沒(méi)有發(fā)生）達(dá)成一致意見(jiàn)，就沒(méi)有糾紛需 要解決；即使出現(xiàn)糾紛，有時(shí)也可通過(guò)爭(zhēng)議雙方直接 解決而不需要仲裁者。 3.4.4 抗抵賴(lài)服務(wù)的一些形式 傳輸消息至少涉及兩個(gè)實(shí)體：原發(fā)者和接收者。 涉及的潛在糾紛： 原發(fā)者受到懷疑，如被指控的原發(fā)者聲稱(chēng)消息被接 收者偽造，或者被偽裝的攻擊者偽造 接收者受到懷疑，如被指控的接收者聲稱(chēng)消息沒(méi)有 發(fā)送，或者在傳輸中丟失，或者被偽裝的攻擊者接 收。 3.4.5 OSI抗抵賴(lài)證據(jù)例子 對(duì)原發(fā)抗抵賴(lài)包括證據(jù) 原發(fā)者可辨別標(biāo)識(shí)符 被發(fā)送的數(shù)據(jù)，或數(shù)據(jù)的 數(shù)字指紋。 對(duì)遞交抗抵賴(lài) 接收者可辨別標(biāo)識(shí)符 被接收的數(shù)據(jù)，或數(shù)據(jù)的 數(shù)字指紋。 3.4.6 抗抵賴(lài)策略 證據(jù)生成規(guī)則：如用于生成證據(jù)的 TTP的規(guī)范 證據(jù)驗(yàn)證規(guī)則：如其證據(jù)是可接受的 TTP規(guī)范 證據(jù)存儲(chǔ)規(guī)則：如，用于保證所存儲(chǔ)證據(jù)完整性的手 段 證據(jù)使用規(guī)則：如，使用證據(jù)的用途的規(guī)范 仲裁規(guī)則：一致公認(rèn)的可解決糾紛的仲裁者規(guī)范 這些規(guī)則可由不同的權(quán)威機(jī)構(gòu)定義。如證據(jù)生成規(guī)則可 由系統(tǒng)所有者定義，仲裁者可由系統(tǒng)所在國(guó)家的法律 定義。 3.5 機(jī)密性（ confidentiality）框架 ISO/IEC10181-5是開(kāi)放系統(tǒng)互連安全框架的機(jī) 密性框架部分。 本安全框架只涉及對(duì)提供系統(tǒng)和系統(tǒng)內(nèi)部對(duì)象 保護(hù)方式以及系統(tǒng)之間交互作用的定義，不涉 及構(gòu)建這些系統(tǒng)或機(jī)制的方法學(xué)。 機(jī)密性框架闡述信息在 檢索、傳輸 和 管理 中的 機(jī)密性問(wèn)題。 3.5.1 機(jī)密性的一般討論 機(jī)密性服務(wù)的目的 確保信息僅僅是對(duì)被授權(quán)者可用。 信息是通過(guò)數(shù)據(jù)表示的，信息從數(shù)據(jù)中導(dǎo)出的 不同方式 理解數(shù)據(jù)的含義 使用數(shù)據(jù)相關(guān)的屬性 研究數(shù)據(jù)的上下文關(guān)系 通過(guò)觀察數(shù)據(jù)表達(dá)式的動(dòng)態(tài)變化 3.5.1 機(jī)密性的一般討論 被保護(hù)的環(huán)境 在被保護(hù)環(huán)境中的數(shù)據(jù)通過(guò)使用特別的安全機(jī)制 （或多個(gè)機(jī)制）保護(hù)，所有數(shù)據(jù)以類(lèi)似方法受到保 護(hù)。 被交疊保護(hù)的環(huán)境 當(dāng)兩個(gè)或更多的環(huán)境交疊時(shí)，交疊中的數(shù)據(jù)能被多 重保護(hù)。 信息的保護(hù) 機(jī)密性保護(hù)的方法 防止數(shù)據(jù)存在性和數(shù)據(jù)特性（如數(shù)據(jù)大小或數(shù)據(jù)創(chuàng) 建日期）的知識(shí)被人理解； 防止對(duì)數(shù)據(jù)的讀訪(fǎng)問(wèn)； 防止數(shù)據(jù)語(yǔ)義的知識(shí)被人理解； 防止信息泄露的方法 保護(hù)信息項(xiàng)的表達(dá)式（內(nèi)容）不被泄露 保護(hù)表達(dá)式規(guī)則（信息項(xiàng)表示格式）不被泄露 隱藏和揭示操作 “隱藏”操作可以模型化為信息從一個(gè)環(huán)境 A， 移動(dòng)到 A和另一個(gè)環(huán)境 C交疊的區(qū)域（ B）。 “揭示”操作可以看作隱藏操作的逆操作。 當(dāng)信息從一個(gè)被機(jī)密性機(jī)制保護(hù)的環(huán)境移到被 另一個(gè)機(jī)制保護(hù)的環(huán)境時(shí)： 如第二個(gè)機(jī)制的隱藏操作優(yōu)先于第一個(gè)機(jī)制的揭示 操作，信息連續(xù)地受到保護(hù)； 如第一個(gè)機(jī)制的揭示操作優(yōu)先于第二個(gè)機(jī)制的隱藏 操作，信息不能連續(xù)地受到保護(hù)。 通過(guò)不同機(jī)密性保護(hù)環(huán)境的例子 數(shù)據(jù)從一個(gè)初始環(huán)境 A輸送到一個(gè)環(huán)境 E時(shí)保留了機(jī)密性。假 設(shè)環(huán)境 A和 E通過(guò)訪(fǎng)問(wèn)控制支持機(jī)密性，環(huán)境 C通過(guò)加密保護(hù)機(jī) 密性。交疊環(huán)境 B（ A和 C）和 D（ C和 E）通過(guò)加密和訪(fǎng)問(wèn)控制 保護(hù)數(shù)據(jù)。 C A B D E 表示 1 表示 2 表示 2 表示 2 表示 1 t u v w 隱藏操作， 數(shù)據(jù)加密 揭示操作，去 除訪(fǎng)問(wèn)控制 隱藏操作，添 加訪(fǎng)問(wèn)控制 揭示操作， 數(shù)據(jù)解密 機(jī)密性服務(wù)的分類(lèi) 按信息保護(hù)類(lèi)型分類(lèi) 數(shù)據(jù)語(yǔ)義的保護(hù) 數(shù)據(jù)語(yǔ)義和相關(guān)屬性的保護(hù) 數(shù)據(jù)語(yǔ)義、屬性及導(dǎo)出的任何信息的保護(hù) 按威脅的種類(lèi)分類(lèi) 防止外部威脅 假設(shè)合法訪(fǎng)問(wèn)信息者不會(huì)把信息泄露給未授權(quán)者。 如在 A中的敏感文件通過(guò)加密受到保護(hù)，但是擁有所需解密密鑰的進(jìn) 程可以讀取被保護(hù)的文件，然后把它寫(xiě)到一個(gè)不受保護(hù)的文件中。 防止內(nèi)部威脅 假設(shè)有訪(fǎng)問(wèn)重要信息和數(shù)據(jù)的授權(quán)者，可以自愿或不自愿地從事將被 保護(hù)信息的機(jī)密性泄露出去的活動(dòng)。 如，安全性標(biāo)簽與許可證附加到被保護(hù)的資源和能夠訪(fǎng)問(wèn)它們的實(shí)體 上，訪(fǎng)問(wèn)可通過(guò)良好定義且可理解的流控制模式加以限制。 機(jī)密性機(jī)制的類(lèi)型 禁止對(duì)數(shù)據(jù)的訪(fǎng)問(wèn) 采用訪(fǎng)問(wèn)控制機(jī)制 采用映射技術(shù)使信息相應(yīng)地受到保護(hù) 加密 數(shù)據(jù)填充 發(fā)散譜（ spread spectrum） 示例：用加密隱藏?cái)?shù)據(jù)；采用分段和填充的加 密，隱藏 PDU的長(zhǎng)度；采用發(fā)散譜技術(shù)，隱藏 通信通道的存在性。 對(duì)機(jī)密性的威脅 通過(guò)禁止訪(fǎng)問(wèn)提供機(jī)密性時(shí)的威脅 穿透禁止訪(fǎng)問(wèn)機(jī)制 物理保護(hù)通道中的弱點(diǎn) 禁止訪(fǎng)問(wèn)機(jī)制實(shí)現(xiàn)（方法）中的弱點(diǎn) 特洛伊木馬 穿透禁止訪(fǎng)問(wèn)機(jī)制所依賴(lài)的服務(wù) 對(duì)可能直接或間接地泄露系統(tǒng)信息的系統(tǒng)工具進(jìn)行 開(kāi)發(fā) 隱蔽通道 對(duì)機(jī)密性的威脅 通過(guò)隱藏信息提供機(jī)密性時(shí)的威脅 穿透加密機(jī)制 密碼分析 偷竊密鑰 選擇性明碼攻擊 通信流分析 PDU頭分析 隱蔽通道 機(jī)密性攻擊的類(lèi)型 主動(dòng)攻擊 特洛伊木馬 隱蔽通道 穿透支持機(jī)密性的機(jī)制，如穿透鑒別機(jī)制，穿透訪(fǎng)問(wèn)控制機(jī) 制，以及密鑰截獲； 密碼機(jī)制的欺騙性請(qǐng)求，如選擇性明文攻擊。 被動(dòng)攻擊 非法竊取信息和搭線(xiàn)竊聽(tīng) 通信流分析 出于 非法目的對(duì) PDU頭進(jìn)行的分析 除了指定的目的之外，將 PDU數(shù)據(jù)復(fù)制到系統(tǒng)中； 密碼分析 3.5.2 機(jī)密性策略 機(jī)密性策略是安全策略的一部分，安全策略處 理機(jī)密服務(wù)的提供和使用。 表達(dá)機(jī)密性策略的方法 信息特征 策略可用各種方式識(shí)別信息，如識(shí)別創(chuàng)建它的實(shí)體，通 過(guò)識(shí)別讀取它的任何實(shí)體組；通過(guò)位置；通過(guò)識(shí)別數(shù)據(jù) 被提交的上下文關(guān)系。 實(shí)體特征 獨(dú)立和惟一地識(shí)別實(shí)體 屬性與實(shí)體進(jìn)行關(guān)聯(lián) 3.5.3 機(jī)密性信息和設(shè)備 機(jī)密性信息 隱藏機(jī)密信息（ HCI） 公共密鑰 對(duì)稱(chēng)密鑰 數(shù)據(jù)存儲(chǔ)位置 分段規(guī)則 揭示機(jī)密信息（ RCI） 私鑰 對(duì)稱(chēng)密鑰 數(shù)據(jù)存儲(chǔ)位置 分段規(guī)則 機(jī)密性操作設(shè)備 隱藏 對(duì)數(shù)據(jù)進(jìn)行機(jī)密性保護(hù) 輸入：數(shù)據(jù)、 HCI、該機(jī)制特有 的標(biāo)識(shí)符； 輸出：受機(jī)密性保護(hù)的數(shù)據(jù)、被 執(zhí)行隱藏操作的其它結(jié)果、受機(jī) 密性保護(hù)環(huán)境的可辨別標(biāo)識(shí)符， 存放受機(jī)密性保護(hù)的數(shù)據(jù)。 揭示 拆除以前隱藏操作對(duì)數(shù)據(jù)進(jìn)行的 保護(hù) 輸入：受機(jī)密性保護(hù)的數(shù)據(jù)、 RCI、機(jī)制特有標(biāo)識(shí)符； 輸出：數(shù)據(jù)、被執(zhí)行揭示操作的 其它結(jié)果、環(huán)境的可辨別標(biāo)識(shí)符， 在這環(huán)境中存放了輸出的數(shù)據(jù)。 3.5.4 機(jī)密性機(jī)制 數(shù)據(jù)的機(jī)密性依賴(lài)于所駐留和傳輸?shù)慕橘|(zhì)。 存儲(chǔ)數(shù)據(jù)的機(jī)密性：隱藏?cái)?shù)據(jù)語(yǔ)義（加密）、數(shù)據(jù)分片 傳輸中的機(jī)密性：禁止訪(fǎng)問(wèn)，隱藏?cái)?shù)據(jù)語(yǔ)義，分散數(shù)據(jù)的機(jī) 制 分類(lèi) 通過(guò)禁止訪(fǎng)問(wèn)提供機(jī)密性 通過(guò)加密提供機(jī)密性 通過(guò)其他機(jī)制提供機(jī)密性 通過(guò)數(shù)據(jù)填充提供機(jī)密性 通過(guò)虛假事件提供機(jī)密性 通過(guò)保護(hù) PDU頭提供機(jī)密性 通過(guò)時(shí)間可變域提供機(jī)密性 通過(guò)上下文位置提供機(jī)密性 3.6 完整性（ integrity）框架 ISO/IEC 10181-6是開(kāi)放系統(tǒng)互連安全框架的完 整性框架部分。 所謂完整性，就是數(shù)據(jù)不以未經(jīng)授權(quán)方式進(jìn)行 改變或損壞的特性。 3.6.1 完整性服務(wù)的目的 保護(hù)可能遭受不同方式危害的數(shù)據(jù)的完整性及 其相關(guān)屬性的完整性。 這些危害包括 未授權(quán)的數(shù)據(jù)修改 未授權(quán)的數(shù)據(jù)刪除 未授權(quán)的數(shù)據(jù)創(chuàng)建 未授權(quán)的數(shù)據(jù)插入 未授權(quán)的數(shù)據(jù)重放 完整性服務(wù)的類(lèi)型 根據(jù)防范的違規(guī)分類(lèi) 未授權(quán)的數(shù)據(jù)修改 未授權(quán)的數(shù)據(jù)刪除 未授權(quán)的數(shù)據(jù)創(chuàng)建 未授權(quán)的數(shù)據(jù)插入 未授權(quán)的數(shù)據(jù)重放 根據(jù)提供的保護(hù)方法分類(lèi) 阻止完整性損壞 檢測(cè)完整性損壞 根據(jù)是否包括恢復(fù)機(jī)制分類(lèi) 帶恢復(fù)功能 不帶恢復(fù)功能 完整性機(jī)制的類(lèi)型 阻止對(duì)介質(zhì)訪(fǎng)問(wèn)的機(jī)制 物理隔離的、不受干擾的信道 路由控制 訪(fǎng)問(wèn)控制 用于探測(cè)對(duì)數(shù)據(jù)或數(shù)據(jù)項(xiàng)序列的非授權(quán)修改的 機(jī)制 密封 數(shù)字簽名 數(shù)據(jù)重復(fù) 與密碼變換相結(jié)合的數(shù)字指紋 消息序列碼 對(duì)完整性的威脅 按提供的服務(wù)，威脅可被分為 通過(guò)阻止威脅，支持?jǐn)?shù)據(jù)完整性的環(huán)境中的未授權(quán) 的創(chuàng)建、修改、刪除、插入和重放 通過(guò)探測(cè)威脅，提供完整性保護(hù)環(huán)境中的未授權(quán)或 未被探測(cè)的創(chuàng)建、修改、刪除、插入和重放。 根據(jù)數(shù)據(jù)駐留的媒體不同，威脅可分為 針對(duì)存儲(chǔ)數(shù)據(jù)的介質(zhì)的威脅 針對(duì)傳輸數(shù)據(jù)的介質(zhì)的威脅 與介質(zhì)無(wú)關(guān)的威脅 對(duì)完整性攻擊的分類(lèi) 旨在攻破密碼學(xué)機(jī)制或利用這些機(jī)制的弱點(diǎn)的攻擊。 包括：對(duì)密碼機(jī)制的穿透；（有選擇地）刪除和重復(fù) 旨在攻破所使用的上下文機(jī)制（上下文機(jī)制在特定的 時(shí)間和 /或地點(diǎn)交換數(shù)據(jù)）。攻擊包括：大量的、協(xié)同 的數(shù)據(jù)項(xiàng)復(fù)制品改變；穿透上下文建立機(jī)制。 旨在攻破探測(cè)和確認(rèn)機(jī)制的攻擊。攻擊包括：假確認(rèn)； 利用確認(rèn)機(jī)制和處理接收到的數(shù)據(jù)之間的錯(cuò)誤順序； 旨在摧毀、破壞或采用不正當(dāng)手段獲取阻止機(jī)制的攻 擊。攻擊包括：對(duì)機(jī)制本身的攻擊；穿透機(jī)制所依賴(lài) 的服務(wù)；開(kāi)發(fā)并不期望的邊界效應(yīng)的效能。 3.6.2 完整性策略 完整性策略是安全策略的一部分，處理安全服 務(wù)的提供與使用。 數(shù)據(jù)特征 通過(guò)識(shí)別被授權(quán)創(chuàng)建、改變、刪除該數(shù)據(jù)的實(shí)體 通過(guò)數(shù)據(jù)位置 通過(guò)識(shí)別上下文 實(shí)體特征 基于身份的策略 基于規(guī)則的策略 3.6.3 完整性信息和設(shè)備 完整性信息 屏蔽完整性信息：私鑰、秘密密鑰、算法標(biāo)識(shí)符和 相關(guān)密碼參數(shù)、時(shí)變參數(shù)； 變換檢測(cè)完整性的信息：公鑰、私鑰； 去屏蔽完整性信息：公鑰、秘密密鑰。 完整性設(shè)備 屏蔽：對(duì)數(shù)據(jù)實(shí)施完整性保護(hù) 證實(shí)：檢查受完整性保護(hù)的數(shù)據(jù)是否被修改 去屏蔽：將受完整性保護(hù)的數(shù)據(jù)轉(zhuǎn)換為最初被屏蔽 的數(shù)據(jù) 3.7 本章小結(jié)