開放系統(tǒng)互連安全體系結(jié)構(gòu)

第6章 開放系統(tǒng)互連安全體系結(jié)構(gòu)6.1 網(wǎng) 絡(luò) 體 系 結(jié) 構(gòu) 及 協(xié) 議6.2 OSI安 全 體 系 結(jié) 構(gòu) 的 5類 安 全 服 務(wù)6.3 OSI安 全 體 系 結(jié) 構(gòu) 的 安 全 機 制6.4 OSI安 全 服 務(wù) 與 安 全 機 制 的 關(guān) 系6.5 在 OSI層 中 的 安 全 服 務(wù) 配 置 6.6 OSI安 全 體 系 的 安 全 管 理6.7 本 章 小 結(jié)習(xí) 題 網(wǎng)絡(luò)體系結(jié)構(gòu)是計算機之間相互通信的層次，以及各層中的協(xié)議和層次之間接口的集合。網(wǎng)絡(luò)協(xié)議是計算機網(wǎng)絡(luò)和分布系統(tǒng)中互相通信的對等實體間交換信息時所必須遵守的規(guī)則的集合。6.1 網(wǎng)絡(luò)體系結(jié)構(gòu)及協(xié)議 共享計算機網(wǎng)絡(luò)的資源，以及在網(wǎng)絡(luò)中交換信息，就需要實現(xiàn)不同系統(tǒng)中的實體的通信。實體包括用戶應(yīng)用程序、文件傳送包、數(shù)據(jù)庫管理系統(tǒng)、電子郵件設(shè)備以及終端等，系統(tǒng)包括計算機、終端和各種設(shè)備等。一般來說，實體是能發(fā)送和接收信息的任何東西，而系統(tǒng)是物理上明顯的物體，它包含一個或多個實體。兩個實體要想成功地通信，必須具有同樣的語言。交流什么，怎樣交流及何時交流，都必須遵從實體間都能接受的一些規(guī)則，這些規(guī)則的集合稱為協(xié)議。6.1.1 分層和協(xié)議 協(xié)議包含如下關(guān)鍵成分：（1） 語法(syntax)，包括數(shù)據(jù)格式、編碼及信號電平等。（2） 語義(semantics)，包括用于協(xié)調(diào)和差錯處理的控制信息。（3） 定時(timing)，包括速度匹配和排序。由于不同系統(tǒng)中的實體間通信的任務(wù)十分復(fù)雜，不可能作為一個整體來處理，否則任何一方面發(fā)生變化，就要修改整個軟件包。一種替代的辦法是使用結(jié)構(gòu)式的設(shè)計和實現(xiàn)技術(shù)，用分層或?qū)哟谓Y(jié)構(gòu)的協(xié)議集合。較低級別的、更原始的功能在較低級別的實體上實現(xiàn)，而它們又向較高級別的實體提供服務(wù)。圖6.1表示一般的結(jié)構(gòu)或協(xié)議集合，并畫出了兩個站經(jīng)由多個交換網(wǎng)連接的情況。 圖6.1 通信協(xié)議之間的關(guān)系 1號站和2號站都有一個或多個希望通信的應(yīng)用程序。在圖6.1中每一對通信協(xié)議之間的關(guān)系相似的實體中需要一種面向應(yīng)用的協(xié)議，以協(xié)調(diào)兩個應(yīng)用模塊的行動，并保證共同的語法和語義。這一協(xié)議無須知道有關(guān)中間通信網(wǎng)絡(luò)設(shè)施的情況，但是要利用網(wǎng)絡(luò)服務(wù)實體所提供的服務(wù)。網(wǎng)絡(luò)服務(wù)實體與另一個站中的相應(yīng)實體要有一個進程的協(xié)議，這一協(xié)議要處理諸如信息流控制和差錯控制之類的事務(wù)。在1號站和A網(wǎng)之間以及2號站和B網(wǎng)之間也必須有協(xié)議。 國際標(biāo)準(zhǔn)化組織ISO在1979年建立了一個分委員會來專門研究一種用于開放系統(tǒng)的體系結(jié)構(gòu)，提出了開放系統(tǒng)互連（Open System Interconnection，OSI）模型，這是一個定義連接異種計算機的標(biāo)準(zhǔn)主體結(jié)構(gòu)。由于ISO組織的權(quán)威性，使OSI協(xié)議成為廣大廠商努力遵循的標(biāo)準(zhǔn)。OSI為連接分布式應(yīng)用處理的“開放”系統(tǒng)提供了基礎(chǔ)，“開放”這個詞表示能使任何兩個遵守參考模型的有關(guān)標(biāo)準(zhǔn)的系統(tǒng)進行連接。6.1.2 開放系統(tǒng)互連參考模型 OSI采用了分層的結(jié)構(gòu)化技術(shù)。ISO分委員會的任務(wù)是定義一組層次和每層所完成的服務(wù)。劃分層次時應(yīng)該從邏輯上對功能進行分組。層次應(yīng)該足夠多，以使每一層小到易于管理，但是也不能太多，否則匯集各層的處理開銷太大。OSI參考模型共有7層：物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層、會話層、表示層和應(yīng)用層。如圖6.2所示。 圖6.2 OSI參考模型 OSI參考模型具有如下特性：它是一種將異構(gòu)系統(tǒng)互連的分層結(jié)構(gòu)；它提供了控制互連系統(tǒng)交互規(guī)則的標(biāo)準(zhǔn)骨架；它定義了一種抽象結(jié)構(gòu)，而并非具體實現(xiàn)的描述；不同系統(tǒng)上的相同層的實體為同等層實體；同等層實體之間的通信由該層的協(xié)議管理；相鄰層間的接口定義了原語操作的低層向上層提供的服務(wù)； 它所提供的公共服務(wù)是面向連接的或無連接的數(shù)據(jù)服務(wù)；直接的數(shù)據(jù)傳送僅在最低層實現(xiàn)；每層完成所定義的功能，修改本層的功能并不影響其他層。下面簡要介紹各層的功能。 1.物理層（1） 提供為建立、維護和拆除物理鏈路所需要的機械的、電氣的、功能的和規(guī)程的特性。（2） 提供有關(guān)在物理鏈路上傳輸非結(jié)構(gòu)的位流以及故障檢測指示。2.數(shù)據(jù)鏈路層（1） 在網(wǎng)絡(luò)層實體間提供數(shù)據(jù)發(fā)送和接收的功能和過程。（2） 提供數(shù)據(jù)鏈路的流控。 3.網(wǎng)絡(luò)層（1） 控制分組傳送系統(tǒng)的操作、路由選擇、擁擠控制、網(wǎng)絡(luò)互聯(lián)等功能，它的作用是將具體的物理傳送對高層透明。（2） 根據(jù)傳輸層的要求選擇服務(wù)質(zhì)量。（3） 向傳輸層報告未恢復(fù)的差錯。4.傳輸層（1） 提供建立、維護和拆除傳送連接的功能。（2） 選擇網(wǎng)絡(luò)層提供最合適的服務(wù)。（3） 在系統(tǒng)之間提供可靠的、透明的數(shù)據(jù)傳送，提供端到端的錯誤恢復(fù)和流量控制。 5.會話層（1） 提供兩進程之間建立、維護和結(jié)束會話連接的功能。（2） 提供交互會話的管理功能，如3種數(shù)據(jù)流方向的控制，即一路交互、兩路交替和兩路同時會話模式。6.表示層（1） 代表應(yīng)用進程協(xié)商數(shù)據(jù)表示。（2） 完成數(shù)據(jù)轉(zhuǎn)換、格式化和文本壓縮。 7.應(yīng)用層提供OSI用戶服務(wù)，例如事務(wù)處理程序、文件傳送協(xié)議和網(wǎng)絡(luò)管理等。開放系統(tǒng)互連參考模型的基本構(gòu)造技術(shù)是分層。每層的目的都是為上層提供某種服務(wù)，把這些層與提供服務(wù)的細節(jié)分開就形成結(jié)構(gòu)化模型。在互連的開放系統(tǒng)中，各子系統(tǒng)的同一層共同構(gòu)成開放系統(tǒng)中的一層，一般表示為N層某一特定層；N+1層相鄰的高層；N-1層相鄰的低層。 在OSI參考模型中，對等實體的通信必須通過相鄰低層以及下面各層通信來完成。從N+1實體看，對等N+1實體間的通信只能通過相鄰對等N實體完成。N實體向N+1實體提供相互通信的能力稱N服務(wù)，即N+1實體通過請求N服務(wù)完成對等實體通信。應(yīng)注意的是，N服務(wù)同時也要使用較低層提供的服務(wù)功能。OSI安全體系結(jié)構(gòu)的研究始于1982年，于1988年完成，其成果標(biāo)志是ISO發(fā)布了ISO7498-2標(biāo)準(zhǔn)，作為OSI基本參考模型的補充。這是基于OSI參考模型的七層協(xié)議之上的信息安全體系結(jié)構(gòu)。它定義了5類安全服務(wù)、8種特定的安全機制、5種普遍性安全機制。它確定了安全服務(wù)與安全機制的關(guān)系以及在OSI七層模型中安全服務(wù)的配置。它還確定了OSI安全體系的安全管理。 1.鑒別鑒別服務(wù)提供對通信中的對等實體和數(shù)據(jù)來源的鑒別，分述如下。（1） 對等實體鑒別確認有關(guān)的對等實體是所需的實體。這種服務(wù)由N層提供時，將使N+1層實體確信與之打交道的對等實體正是它所需要的N+1實體。6.2 OSI安全體系結(jié)構(gòu)的5類安全服務(wù) 這種服務(wù)在連接建立或在數(shù)據(jù)傳送階段的某些時刻提供使用，用以證實一個或多個連接實體的身份。使用這種服務(wù)可以（僅僅在使用時間內(nèi)）確信：一個實體此時沒有試圖冒充（一個實體偽裝為另一個不同的實體）別的實體，或沒有試圖將先前的連接作非授權(quán)地重放（出于非法的目的而重新發(fā)送截獲的合法通信數(shù)據(jù)項的拷貝）；實施單向或雙向?qū)Φ葘嶓w鑒別也是可能的，可以帶有效期檢驗，也可以不帶。這種服務(wù)能夠提供各種不同程度的鑒別保護。 （2） 數(shù)據(jù)原發(fā)鑒別確認接收到的數(shù)據(jù)的來源是所要求的。這種服務(wù)當(dāng)由N層提供時，將使N+1實體確信數(shù)據(jù)來源正是所要求的對等N+1實體。數(shù)據(jù)原發(fā)鑒別服務(wù)對數(shù)據(jù)單元的來源提供確認。這種服務(wù)對數(shù)據(jù)單元的重放或篡改不提供鑒別保護。 2.訪問控制防止對資源的未授權(quán)使用，包括防止以未授權(quán)方式使用某一資源。這種服務(wù)提供保護以對付開放系統(tǒng)互連可訪問資源的非授權(quán)使用。這些資源可以是經(jīng)開放系統(tǒng)互連協(xié)議訪問到的OSI資源或非OSI資源。這種保護服務(wù)可應(yīng)用于對資源的各種不同類型的訪問（例如，使用通信資源、讀寫或刪除信息資源、處理資源的操作），或應(yīng)用于對某種資源的所有訪問。這種訪問控制要與不同的安全策略協(xié)調(diào)一致。 3.數(shù)據(jù)機密性這種服務(wù)對數(shù)據(jù)提供保護，使之不被非授權(quán)地泄露。具體分為以下幾種：（1） 連接機密性這種服務(wù)為一次N連接上的全部N用戶數(shù)據(jù)保證其機密性。但對于某些使用中的數(shù)據(jù)，或在某些層次上，將所有數(shù)據(jù)（例如加速數(shù)據(jù)或連接請求中的數(shù)據(jù)）都保護起來反而是不適宜的。（2） 無連接機密性這種服務(wù)為單個無連接的N SDU(N層服務(wù)數(shù)據(jù)單元)中的全部N用戶數(shù)據(jù)提供機密性保護。 （3） 選擇字段機密性這種服務(wù)為那些被選擇的字段保證其機密性，這些字段或處于N連接的N用戶數(shù)據(jù)中，或為單個無連接的N-SDU中的字段。（4） 通信業(yè)務(wù)流機密性這種服務(wù)提供的保護，使得無法通過觀察通信業(yè)務(wù)流推斷出其中的機密信息。 4.數(shù)據(jù)完整性這種服務(wù)對付主動威脅。在一次連接上，連接開始時使用對某實體的鑒別服務(wù)，并在連接的存活期使用數(shù)據(jù)完整性服務(wù)就能聯(lián)合起來為在此連接上傳送的所有數(shù)據(jù)單元的來源提供確證，為這些數(shù)據(jù)單元的完整性提供確證，例如使用順序號，可為數(shù)據(jù)單元的重放提供檢測。數(shù)據(jù)完整性可分為以下幾種：（1） 帶恢復(fù)的連接完整性這種服務(wù)為N連接上的所有N用戶數(shù)據(jù)保證其完整性，并檢測整個SDU序列中的數(shù)據(jù)遭到的任何篡改、插入、刪除或同時進行補救或恢復(fù)。(2) 無恢復(fù)的連接完整性與上款的服務(wù)相同，只是不做補救或恢復(fù)。 (3) 選擇字段的連接完整性這種服務(wù)為在一次連接上傳送的N SDU的N用戶數(shù)據(jù)中的選擇字段保證其完整性，所取形式是確定這些被選字段是否遭受了篡改、插入、刪除或不可用。(4) 無連接完整性這種服務(wù)當(dāng)由N層提供時，對發(fā)出請求的那個N+1實體提供了完整保護。這種服務(wù)為單個的無連接的SDU保證其完整性，所取形式可以是一個接收到的SDU是否遭受了篡改。此外，在一定程度上也能提供對連接重放的檢測。(5) 選擇字段無連接完整性這種服務(wù)為單個連接上的SDU中的被選字段保證其完整性，所取形式為被選字段是否遭受了篡改。 5.抗否認這種服務(wù)可取如下兩種形式，或兩者之一：（1） 有數(shù)據(jù)原發(fā)證明的抗否認為數(shù)據(jù)的接收者提供數(shù)據(jù)的原發(fā)證據(jù)。這將使發(fā)送者不承認未發(fā)送過這些數(shù)據(jù)或否認其內(nèi)容的企圖不能得逞。（2） 有交付證明的抗否認為數(shù)據(jù)的發(fā)送者提供數(shù)據(jù)交付證據(jù)。這將使接收者事后不承認收到過這些數(shù)據(jù)或否認其內(nèi)容的企圖不能得逞。 1.特定的安全機制本節(jié)所列的8種安全機制可以設(shè)置在適當(dāng)?shù)腘層上，以提供6.2中所述的某些安全服務(wù)，分述如下。（1） 加密對數(shù)據(jù)進行密碼變換以產(chǎn)生密文。加密可以是不可逆的，在這種情況下，相應(yīng)的解密過程便不能實現(xiàn)了。 加密既能為數(shù)據(jù)提供機密性，也能為通信業(yè)務(wù)流信息提供機密性，并且是其他安全機制中的一部分或?qū)Π踩珯C制起補充作用。6.3 OSI安全體系結(jié)構(gòu)的安全機制 大多數(shù)應(yīng)用不要求在多個層加密，加密層的選取主要取決于下列幾個因素： 如果要求全通信業(yè)務(wù)流機密性，那么將選取物理層加密，或傳輸安全手段（例如，適當(dāng)?shù)臄U頻技術(shù)）。足夠的物理安全，可信任的路由選擇以及在中繼上的類似機制能夠滿足所有的機密性要求。如果要求細粒度保護（即對不同應(yīng)用提供不同的密鑰），和抗否認或選擇字段保護，那么將選取表示層加密。由于加密算法耗費大量的處理能力，所以選擇字段保護是很重要的。在表示層中的加密能提供不帶恢復(fù)的完整性、抗否認以及所有的機密性。 如果希望實現(xiàn)所有端系統(tǒng)到端系統(tǒng)通信的簡單塊保護，或希望有一個外部的加密設(shè)備（例如，為了給算法和密鑰加物理保護，或防止錯誤軟件），那么將選取網(wǎng)絡(luò)層加密。這能夠提供機密性與不帶恢復(fù)的完整性。雖然在網(wǎng)絡(luò)層不提供恢復(fù)，但傳輸層的正常的恢復(fù)機制能夠恢復(fù)網(wǎng)絡(luò)層檢測到的攻擊。如果要求帶恢復(fù)的完整性，同時又具有細粒度保護，那么將選取傳輸層加密。這能提供機密性、帶恢復(fù)的完整性或不帶恢復(fù)的完整性。對于今后的實施，不推薦在數(shù)據(jù)鏈路層上加密。當(dāng)關(guān)系到這些主要因素中的兩項或多項時，可能需要在多個層上提供加密。 加密算法可以是可逆的，也可以是不可逆的?？赡婕用芩惴ㄓ袃纱箢悾簩ΨQ（即秘密密鑰）加密。對于這種加密，知道了加密密鑰也就意味著知道了解密密鑰，反之亦然。非對稱（即公開密鑰）加密。對于這種加密，知道了加密密鑰并不意味著也知道了解密密鑰，反之亦然。不可逆加密算法可以使用密鑰，也可以不使用。若使用密鑰，密鑰可以是公開的，也可以是秘密的。 除了某些不可逆加密算法的情況外，加密機制的存在便意味著要使用密鑰管理機制。密鑰管理方法上的一些準(zhǔn)則將在第18章中給出。 （2） 數(shù)字簽名機制數(shù)字簽名是附加在數(shù)據(jù)單元上的一些數(shù)據(jù)，或是對數(shù)據(jù)單元所作的密碼變換，這種數(shù)據(jù)或變換允許數(shù)據(jù)單元的接收者確認數(shù)據(jù)單元來源和數(shù)據(jù)單元的完整性，并保護數(shù)據(jù)，防止被人（例如接收者）偽造。數(shù)字簽名機制確定兩個過程：對數(shù)據(jù)單元簽名；驗證簽過名的數(shù)據(jù)單元。第一個過程使用簽名者所私有的（即獨有的和機密的）信息。第二個過程所用的規(guī)程與信息是公之于眾的，但不能從它們推斷出該簽名者的私有信息。 數(shù)字簽名機制具有如下特點： 簽名過程使用簽名者的私有信息作為私鑰，或?qū)?shù)據(jù)單元進行加密，或產(chǎn)生出該數(shù)據(jù)單元的一個密碼校驗值。 驗證過程使用公開的規(guī)程與信息來決定該簽名是否是用簽名者的私有信息產(chǎn)生的。 簽名機制的本質(zhì)特征為該簽名只有使用簽名者的私有信息才能產(chǎn)生出來。因而，當(dāng)該簽名得到驗證后，它能在事后的任何時候向第三方（例如法官或仲裁人）證明只有那個私有信息的惟一擁有者才能產(chǎn)生這個簽名。 （3） 訪問控制機制為了決定和實施一個實體的訪問權(quán)，訪問控制機制可以使用該實體已鑒別的身份，或使用有關(guān)該實體的信息（例如它與一個已知的實體集的從屬關(guān)系），或使用該實體的權(quán)利。如果這個實體試圖使用非授權(quán)的資源，或者以不正當(dāng)方式使用授權(quán)資源，那么訪問控制功能將拒絕這一企圖，另外還可能產(chǎn)生一個報警信號或記錄它作為安全審計跟蹤的一個部分來報告這一事件。對于無連接數(shù)據(jù)傳輸，發(fā)給發(fā)送者的拒絕訪問的通知只能作為強加于原發(fā)的訪問控制結(jié)果而被提供。 訪問控制機制可以使用下列一種或多種手段。 訪問控制信息庫： 保存對等實體的訪問權(quán)限。信息可以由授權(quán)中心保存，或由正被訪問的那個實體保存。信息的形式可以是一個訪問控制表，或是等級結(jié)構(gòu)的矩陣。使用這一手段要預(yù)先假定對等實體的鑒別已得到保證。 鑒別信息： 例如口令，對這一信息的占有和出示便證明正在進行訪問的實體已被授權(quán)。 權(quán)利： 對它的占有和出示便證明有權(quán)訪問由該權(quán)利所規(guī)定的實體或資源，權(quán)利應(yīng)是不可偽造的并以可信賴的方式進行運送。 安全標(biāo)記： 當(dāng)與一個實體相關(guān)聯(lián)時，這種安全標(biāo)記可用來表示同意或拒絕訪問，通常根據(jù)安全策略而定。訪問控制機制可應(yīng)用于通信聯(lián)系中的端點，或應(yīng)用于任一中間點。涉及原發(fā)點或任一中間點的訪問控制，是用來決定發(fā)送者是否被授權(quán)與指定的接收者進行通信，或是否被授權(quán)使用所要求的通信資源。在無連接數(shù)據(jù)傳輸目的端上的對等級訪問控制機制的要求在原發(fā)點必須事先知道，還必須記錄在安全管理信息庫中。 （4） 數(shù)據(jù)完整性機制數(shù)據(jù)完整性有兩個方面：單個數(shù)據(jù)單元或字段的完整性和數(shù)據(jù)單元流或字段流的完整性。一般來說，用來提供這兩種類型完整性服務(wù)的機制是不相同的。決定單個數(shù)據(jù)單元的完整性涉及兩個過程，一個在發(fā)送實體上，一個在接收實體上。發(fā)送實體給數(shù)據(jù)單元附加一個量，這個量為該數(shù)據(jù)的函數(shù)。這個量可以是分組校驗碼那樣的補充信息，或是一個密碼校驗值，而且它本身可以被加密。接收實體產(chǎn)生一個相應(yīng)的量，確定這個量中的數(shù)據(jù)是否在傳送中被篡改過。 單靠這種機制不能防止單個數(shù)據(jù)單元的重放。在網(wǎng)絡(luò)體系結(jié)構(gòu)的適當(dāng)層上，操作檢測可能在本層或較高層上起到恢復(fù)作用（例如，重傳或糾錯）。對于連接方式數(shù)據(jù)傳送，保護數(shù)據(jù)單元序列的完整性（即防止亂序、數(shù)據(jù)的丟失、重放、插入或篡改）還另外需要某種明顯的排序形式，例如，順序號、時間標(biāo)記或密碼鏈。對于無連接數(shù)據(jù)傳送，時間標(biāo)記可以用來在一定程度上提供保護，防止個別數(shù)據(jù)單元的重放。 （5） 鑒別交換機制可用于鑒別交換的一些技術(shù)是：使用鑒別信息，例如口令，由發(fā)送實體提供而由接收實體驗證；密碼技術(shù)；使用該實體的特征或占有物。這種機制可設(shè)置在N層以提供對等實體鑒別。如果在鑒別實體時，這一機制得到否定的結(jié)果，就會導(dǎo)致連接的拒絕或終止，也可能使在安全審計跟蹤中增加一個記錄，或給安全管理中心一個報告。 當(dāng)采用密碼技術(shù)時，這些技術(shù)可以與“握手”協(xié)議結(jié)合起來以防止重放（即確保存活期）。鑒別交換技術(shù)的選用取決于使用它們的環(huán)境。在許多場合，它們必須與下列各項結(jié)合使用：時間標(biāo)記與同步時鐘；雙方握手和三方握手（分別對應(yīng)于單方鑒別和相互鑒別）；由數(shù)字簽名和公證機制實現(xiàn)的抗否認服務(wù)。 （6） 通信業(yè)務(wù)填充機制通信業(yè)務(wù)填充機制能用來提供各種不同級別的保護，對抗通信業(yè)務(wù)分析。這種機制只有在通信業(yè)務(wù)填充受到機制服務(wù)保護時才是有效的。 （7） 路由選擇控制機制路由選擇控制機制具有以下特點： 路由能動態(tài)地或預(yù)定地選取，以便只使用物理上安全的子網(wǎng)絡(luò)、中繼站或鏈路。 在檢測到持續(xù)的操作攻擊時，端系統(tǒng)可以指示網(wǎng)絡(luò)服務(wù)的提供者經(jīng)不同的路由建立連接。 帶有某些安全標(biāo)記的數(shù)據(jù)可能被安全策略禁止通過某些子網(wǎng)絡(luò)、中繼站或鏈路。連接的發(fā)起者（或無連接數(shù)據(jù)單元的發(fā)送者）可以指定路由選擇說明，由它請求回避某些特定的子網(wǎng)絡(luò)、中繼站或鏈路。 （8） 公證機制有關(guān)在兩個或多個實體之間通信的數(shù)據(jù)的性質(zhì)，如它的完整性、原發(fā)、時間和目的地等能夠借助公證機制得到確保。這種保證是由第三方公證人提供的。公證人為通信實體所信任，并掌握必要信息以一種可證實方式提供所需的保證。每個通信事例可使用數(shù)字簽名、加密和完整性機制以適應(yīng)公證人提供的那種服務(wù)。當(dāng)這種公證機制被用到時，數(shù)據(jù)便在參與通信的實體之間經(jīng)由受保護的通信實體和公證方進行通信。 2.普遍性安全機制普遍性安全機制不是為任何特定的服務(wù)而特設(shè)的，因此在任一特定的層上，對它們都不作明確的說明。某些普遍性安全機制可認為屬于安全管理方面。普遍性安全機制可分為以下幾種。 （1） 可信功能度可信功能度可以擴充其他安全機制的范圍，或建立這些安全機制的有效性；可以保證對硬件與軟件寄托信任的手段已超出本標(biāo)準(zhǔn)的范圍，而且在任何情況下，這些手段隨已察覺到的威脅的級別和被保護信息的價值而改變。一般說來，這些手段的代價高而且難于實現(xiàn)。解決辦法是選取一個體系結(jié)構(gòu)，它允許安全功能在一些模塊中實現(xiàn)，這些模塊能與非安全功能分開來制作，并由非安全功能來提供。應(yīng)用于一個層而對該層之上的聯(lián)系所作的任何保護必須由另外的手段來提供，例如通過適當(dāng)?shù)目尚殴δ芏取?（2） 安全標(biāo)記安全標(biāo)記是與某一資源（可以是數(shù)據(jù)單元）密切相關(guān)聯(lián)的標(biāo)記，為該資源命名或指定安全屬性（這種標(biāo)記或約束可以是明顯的，也可以是隱含的）。包含數(shù)據(jù)項的資源可能具有與這些數(shù)據(jù)相關(guān)聯(lián)的安全標(biāo)記，例如指明數(shù)據(jù)敏感性級別的標(biāo)記。常常必須在傳送中與數(shù)據(jù)一起運送適當(dāng)?shù)陌踩珮?biāo)記。安全標(biāo)記可能是與被傳送的數(shù)據(jù)相連的附加數(shù)據(jù)，也可能是隱含的信息。例如，使用一個特定密鑰加密數(shù)據(jù)所隱含的信息，或由該數(shù)據(jù)的上下文所隱含的信息。明顯的安全標(biāo)記必須是清晰可辨的，以便對它們作適當(dāng)?shù)尿炞C。此外，它們還必須安全可靠地依附于與之關(guān)聯(lián)的數(shù)據(jù)。 (3) 事件檢測與安全有關(guān)的事件檢測包括對安全明顯事件的檢測，也可以包括對“正?！笔录臋z測，例如，一次成功的訪問（或注冊）。與安全有關(guān)的事件的檢測可由OSI內(nèi)部含有安全機制的實體來做。構(gòu)成一個事件的技術(shù)規(guī)范由事件處置管理來維護。對各種安全事件的檢測，可能引起一個或多個如下動作：在本地報告這一事件；遠程報告這一事件；對事件作記錄；進行恢復(fù)。這種安全事件的例子為：特定的安全侵害；特定的選擇事件；對事件發(fā)生次數(shù)計數(shù)的溢出。這一領(lǐng)域的標(biāo)準(zhǔn)化將考慮對事件報告與事件記錄有關(guān)信息的傳輸，以及為了傳輸事件報告與事件記錄所使用的語法和語義的定義。 (4) 安全審計跟蹤安全審計就是對系統(tǒng)的記錄與行為進行獨立的評估考查，目的是測試系統(tǒng)的控制是否恰當(dāng)，保證與既定策略和操作的協(xié)調(diào)一致，有助于做出損害評估，以及對在控制、策略與規(guī)程中指明的改變做出評價。其目的在于： 安全審計跟蹤提供了一種不可忽視的安全機制，它的潛在價值在于經(jīng)事后的安全審計可以檢測和調(diào)查安全的漏洞。安全審計要求在安全審計跟蹤中記錄有關(guān)安全的信息，分析和報告從安全審計跟蹤中得來的信息。這種日志或記錄被認為是一種安全機制并予以描述，而把分析和報告視為一種安全管理功能。 搜集審計跟蹤的信息，通過列舉被記錄的安全事件的類別（例如對安全要求的明顯違反或成功操作的完成），能適應(yīng)各種不同的需要。安全審計可對某些潛在的侵犯安全的攻擊源起到威懾作用。 OSI安全審計跟蹤將考慮要選擇記錄什么信息、在什么條件下記錄信息，以及為了交換安全審計跟蹤信息所采用的語法和語義定義。 (5) 安全恢復(fù)安全恢復(fù)處理來自諸如事件處置與管理功能等機制的請求，并把恢復(fù)動作當(dāng)作是應(yīng)用一組規(guī)則的結(jié)果。恢復(fù)動作可能有3種：立即動作，可能造成操作的立即放棄，如斷開；暫時動作，可能使一個實體暫時無效；長期動作，可能是把一個實體記入“黑名單”，或改變密鑰。對于標(biāo)準(zhǔn)化的課題包括恢復(fù)動作的協(xié)議，以及安全恢復(fù)管理的協(xié)議。 ISO7498-2標(biāo)準(zhǔn)說明了實現(xiàn)哪些安全服務(wù)應(yīng)該采用哪種機制，參見表6-1。這張表只是說明性的，而不是確定性的。（見書中表6-1 OSI安全服務(wù)與安全機制的關(guān)系）6.4 OSI安全服務(wù)與安全機制的關(guān)系 OSI安全體系結(jié)構(gòu)最重要的貢獻是它總結(jié)了各項安全服務(wù)在OSI七層中的適當(dāng)配置位置，參見表6-2。在標(biāo)準(zhǔn)中這張表起到了“航標(biāo)”作用，因為它說明了參考模型中的各個層次應(yīng)提供哪些安全服務(wù)。（見書表6-2 安全服務(wù)與層之間的關(guān)系）6.5 在OSI層中的安全服務(wù)配置 1.安全分層及服務(wù)配置原則為了決定安全服務(wù)對層的分配以及伴隨而來的安全機制在這些層上的配置，用到了下列原則：實現(xiàn)一種服務(wù)的不同方法越少越好；在多個層上提供安全來建立安全系統(tǒng)是可取的；為安全所需的附加功能不應(yīng)該不必要地重復(fù)OSI的現(xiàn)有功能；避免破壞層的獨立性；可信功能度的總量應(yīng)盡量少；只要一個實體依賴于由位于較低層的實體提供的安全機制，那么任何中間層應(yīng)該按不違反安全的方式構(gòu)作； 只要可能，應(yīng)以不排除作為自容納模塊起作用的方法來定義一個層的附加安全功能；本標(biāo)準(zhǔn)被認定應(yīng)用于由包含所有七層的端系統(tǒng)組成的開放系統(tǒng)，以及中繼系統(tǒng)。各層上的服務(wù)定義可能需要修改以便滿足安全服務(wù)的請求，不論所要求的安全服務(wù)是由該層提供還是由下層提供。 2.在OSI各層中的安全服務(wù)配置有關(guān)各層提供的主要安全服務(wù)如下。物理層：提供連接機密性和（或）業(yè)務(wù)流機密性服務(wù)（這一層沒有無連接服務(wù)）。數(shù)據(jù)鏈路層：提供連接機密性和無連接機密性服務(wù)（物理層以上不能提供完全的業(yè)務(wù)流機密性）。網(wǎng)絡(luò)層：可以在一定程度上提供認證、訪問控制、機密性（除了選擇字段機密性）和完整性（除了可恢復(fù)的連接完整性、選擇字段的連接完整性）服務(wù)。 運輸層：可以提供認證、訪問控制、機密性（除了選擇字段機密性、業(yè)務(wù)流機密性）和完整性（除了選擇字段的連接完整性）服務(wù)。會話層：不提供安全服務(wù)。表示層：本身不提供完全服務(wù)。但其提供的設(shè)施可支持應(yīng)用層向應(yīng)用程序提供安全服務(wù)。所以，規(guī)定表示層的設(shè)施支持基本的數(shù)據(jù)機密性服務(wù)，支持認證、完整性和抗否認服務(wù)。應(yīng)用層：必須提供所有的安全服務(wù)，它是惟一能提供選擇字段服務(wù)和抗否認服務(wù)的一層。 OSI安全管理涉及與OSI有關(guān)的安全管理以及OSI管理的安全兩個方面。OSI安全管理與這樣一些操作有關(guān)，它們不是正常的通信情況但卻為支持與控制這些通信的安全所必需。由分布式開放系統(tǒng)的行政管理設(shè)定的安全策略可以是各種各樣的，OSI安全管理標(biāo)準(zhǔn)應(yīng)該支持這些策略。從屬于單一的安全策略、受單個授權(quán)機構(gòu)管理的多個實體構(gòu)成的集合稱之為“安全域”。安全域以及它們的相互作用是有待進一步研究的重要領(lǐng)域。6.6 OSI安全體系的安全管理 OSI安全管理包括OSI安全服務(wù)的管理與安全機制的管理。這樣的管理要求給這些服務(wù)與機制分配管理信息，并搜集與這些服務(wù)和機制的操作有關(guān)的信息。例如，密鑰的分配，設(shè)置行政管理設(shè)定的安全選擇參數(shù)，報告正常的與異常的安全事件（審計跟蹤），以及服務(wù)的激活與停止。安全管理并不強調(diào)在調(diào)用特定的安全服務(wù)的協(xié)議中（例如連接請求的參數(shù)中）傳遞與安全有關(guān)的信息。 安全管理信息庫（SMIB）是一個概念上的集存地，存儲開放系統(tǒng)所需的與安全有關(guān)的全部信息。這一概念對信息的存儲形式與實施方式不提出要求。但是每個端系統(tǒng)必須包含必需的本地信息，使它能執(zhí)行某個適當(dāng)?shù)陌踩呗浴MIB對于在端系統(tǒng)的一個（邏輯的或物理的）組中執(zhí)行一種協(xié)調(diào)的安全策略是必不可少的，在這一點上，SMIB是一個分布式信息庫。而在實際中，SMIB的某些部分可以與MIB（管理信息庫）結(jié)合成一體，也可以分開。SMIB有多種實現(xiàn)辦法，例如，數(shù)據(jù)表、文卷、嵌入開放系統(tǒng)軟件或硬件中的數(shù)據(jù)或規(guī)則。 管理協(xié)議特別是安全管理協(xié)議，以及傳送這些管理信息的通信信道，潛在著抗攻擊的脆弱性。所以應(yīng)加以特別關(guān)心以確保管理協(xié)議與信息受到保護，不致削弱為通常的通信實體提供的安全保護。安全管理可以要求在不同系統(tǒng)的行政管理機構(gòu)之間交換與安全有關(guān)的信息，以便使SMIB得以建立或擴充。在某些情況下，與安全有關(guān)的信息將經(jīng)由非OSI通信通路傳遞，局部系統(tǒng)的管理者也將采用非OSI標(biāo)準(zhǔn)化方法來修改SMIB。在另外一些情況下，可能希望在一個OSI通信通路上交換這樣的信息，這時這些信息將在運行于開放系統(tǒng)中的兩個安全管理應(yīng)用之間傳遞。該安全管理應(yīng)用將使用這些通信信息來修改SMIB。SMIB的這種修改可以要求事先給適當(dāng)?shù)陌踩芾碚呤跈?quán)。 應(yīng)用協(xié)議將為在OSI通信信道上交換與安全有關(guān)的信息作出規(guī)定。OSI安全管理活動有3類：系統(tǒng)安全管理、安全服務(wù)管理和安全機制管理。此外，還必須考慮到OSI管理本身的安全。對這幾類安全管理所執(zhí)行的主要功能概述如下。 1.系統(tǒng)安全管理系統(tǒng)安全管理涉及總的OSI環(huán)境安全方面的管理。屬于這一類安全管理的典型活動有：（1） 總體安全策略的管理，包括一致性的修改與維護。（2） 與別的OSI管理功能的相互作用。（3） 與安全服務(wù)管理和安全機制管理的交互作用。（4） 事件處理管理，包括遠程報告那些違反系統(tǒng)安全的明顯企圖，以及對用來觸發(fā)事件報告的閾值的修改。 （5） 安全審計管理，包括選擇將被記錄和被遠程搜集的事件，授予或取消對所選事件進行審計跟蹤日志記錄的能力，審計記錄的遠程搜集，準(zhǔn)備安全審計報告。（6） 安全恢復(fù)管理，包括維護那些用來對實有的或可疑的安全事故做出反應(yīng)的規(guī)則，遠程報告對系統(tǒng)安全的明顯違規(guī)，安全管理者的交互作用。 2.安全服務(wù)管理安全服務(wù)管理涉及特定安全服務(wù)的管理。在管理一種特定安全服務(wù)時可能執(zhí)行的典型活動有：（1） 為該服務(wù)決定與指派安全保護的目標(biāo)。（2） 指定與維護選擇規(guī)則（存在可選情況時），用以選取為提供所需的安全服務(wù)而使用的特定的安全機制。（3） 對那些需要事先取得管理者同意的可用安全機制進行協(xié)商。（4） 通過適當(dāng)?shù)陌踩珯C制管理功能調(diào)用特定的安全機制。（5） 與其他的安全服務(wù)管理功能和安全機制管理功能的交互作用。 3.安全機制管理安全機制管理涉及特定安全機制的管理。典型的安全機制管理功能有：（1） 密鑰管理包括間歇性地產(chǎn)生與所要求的安全級別相稱的合適密鑰；根據(jù)訪問控制的要求，對于每個密鑰決定哪個實體應(yīng)該接受密鑰的拷貝；用可靠辦法使這些密鑰對開放系統(tǒng)中的實體是可用的，或?qū)⑦@些密鑰分配給它們；上述密鑰管理功能將在OSI環(huán)境之外執(zhí)行，其中包括用可靠手段對密鑰進行物理的分配。用于一次聯(lián)系中的工作密鑰的交換是一種正常的層協(xié)議功能。工作密鑰的選取通過訪問密鑰分配中心來完成，或經(jīng)管理協(xié)議作事先的分配。 （2） 加密管理包括與密鑰管理的交互作用；建立密碼參數(shù)；密碼同步。密碼機制的存在意味著使用密碼管理和采用共同的方式調(diào)用密碼算法。由加密提供的保護的辨別能力決定于OSI環(huán)境中哪些實體獨立地使用密鑰。一般說來，這反過來又決定于安全體系結(jié)構(gòu)，特別是由密鑰管理機制決定。為獲得對加密算法的共同調(diào)用，可使用密碼算法寄存器或在實體間進行事前的協(xié)商。 （3） 數(shù)字簽名管理包括與密鑰管理的交互作用；建立密碼參數(shù)與密碼算法；在通信實體與可能有的第三方之間使用協(xié)議。一般說來，數(shù)字簽名管理與加密管理極為類似。（4） 訪問控制管理包括安全屬性（包括口令）的分配；對訪問控制表或權(quán)利表進行修改；在通信實體與其他提供訪問控制服務(wù)的實體之間使用協(xié)議。（5） 數(shù)據(jù)完整性管理包括與密鑰管理的交互作用；建立密碼參數(shù)與密碼算法；在通信的實體間使用協(xié)議。當(dāng)對數(shù)據(jù)完整性使用密碼技術(shù)時，數(shù)據(jù)完整性管理便與加密管理極為類似。 （6） 鑒別管理包括將說明信息、口令或密鑰（使用密鑰管理）分配給要求執(zhí)行鑒別的實體；在通信的實體與其他提供鑒別服務(wù)的實體之間使用協(xié)議。（7） 通信業(yè)務(wù)填充管理包括維護那些用作通信業(yè)務(wù)填充的規(guī)則，例如，預(yù)定的數(shù)據(jù)率；指定隨機數(shù)據(jù)率；指定報文特性，例如長度；可能按時間或日歷來改變這些規(guī)定。 （8） 路由選擇控制管理包括確定那些按特定準(zhǔn)則被認為是安全可靠或可信任的鏈路或子網(wǎng)絡(luò)。（9） 公證管理包括分配有關(guān)公證的信息；在公證方與通信的實體之間使用協(xié)議；與公證方的交互作用。 4.OSI管理的安全所有OSI管理功能的安全以及OSI管理信息的通信安全是OSI安全的重要部分。這一類安全管理將借助對上面所列的OSI安全服務(wù)與機制作適當(dāng)?shù)倪x取，以確保OSI管理協(xié)議與信息獲得足夠的保護。例如，在管理信息庫的管理實體之間的通信一般將要求某種形式的保護。 5.特定的系統(tǒng)安全管理活動特定的系統(tǒng)安全管理活動包括以下幾類：（1） 事件處理管理包括遠程報告那些違反系統(tǒng)安全的明顯企圖；對用來觸發(fā)事件報告的閾值的修改。（2） 安全審計管理包括選擇將被記錄和被遠程搜集的事件；授予或取消對所選事件進行審計跟蹤日志記錄的能力；所選審計記錄的遠程搜集；準(zhǔn)備安全審計報告。（3） 安全恢復(fù)管理包括維護那些用來對實有的或可疑的安全事故作出反應(yīng)的規(guī)則；遠程報告對系統(tǒng)安全的明顯違反；安全管理者的交互作用。 網(wǎng)絡(luò)體系結(jié)構(gòu)是計算機之間相互通信的層次，以及各層中的協(xié)議和層次之間接口的集合。網(wǎng)絡(luò)協(xié)議是計算機網(wǎng)絡(luò)和分布系統(tǒng)中互相通信的對等實體間交換信息時所必須遵守的規(guī)則的集合。開放系統(tǒng)互連參考模型是國際標(biāo)準(zhǔn)化組織ISO定義的開放系統(tǒng)體系結(jié)構(gòu)，是一種將異構(gòu)系統(tǒng)互連的七層分層結(jié)構(gòu)，提供了控制互連系統(tǒng)交互規(guī)則的標(biāo)準(zhǔn)框架。6.7 本章小結(jié) 開放系統(tǒng)互連安全體系結(jié)構(gòu)（ISO7498-2）是基于OSI參考模型的七層協(xié)議之上的信息安全體系結(jié)構(gòu)。它定義了5類安全服務(wù)、8種特定的安全機制、5種普遍性安全機制。確定了安全服務(wù)與安全機制的關(guān)系以及在OSI七層模型中安全服務(wù)的配置。它還確定了OSI安全體系的安全管理。5類安全服務(wù)是鑒別、訪問控制、數(shù)據(jù)機密性、數(shù)據(jù)完整性以及抗否認。8種特定的安全機制是加密、數(shù)字簽名、訪問控制、數(shù)據(jù)完整性、鑒別交換、通信業(yè)務(wù)填充、路由選擇控制以及公證。5種普遍性安全機制是可信功能度、安全標(biāo)記、事件檢測、安全審計跟蹤以及安全恢復(fù)。各項安全服務(wù)在OSI七層中都有適當(dāng)?shù)呐渲梦恢谩?OSI安全體系的安全管理涉及與OSI有關(guān)的安全管理以及OSI管理的安全兩個方面。OSI安全管理包括系統(tǒng)安全管理（OSI環(huán)境安全）、OSI安全服務(wù)的管理與安全機制的管理。OSI管理的安全包括所有OSI管理功能的安全以及OSI管理信息的通信安全。 6-1 網(wǎng)絡(luò)協(xié)議的關(guān)鍵成分是（）。A. 硬件、軟件與數(shù)據(jù) B. 語法、語義、體系結(jié)構(gòu)C. 語法、定時、層次結(jié)構(gòu) D. 語法、語義、定時6-2 如果網(wǎng)絡(luò)協(xié)議定義數(shù)據(jù)的傳輸率是100Mbps，這是（）問題。A. 語法 B. 語義 C. 定時 D. 上面3項都不是6-3 一個報文的端到端傳遞由OSI模型的（）層負責(zé)處理。A. 網(wǎng)絡(luò) B. 傳輸 C. 會話 D. 表示習(xí)題 6-4 在開放系統(tǒng)互連環(huán)境中，兩個N層實體進行通信，它們可能用到的服務(wù)是（）。A. N-1層提供的服務(wù) B. N層提供的服務(wù)C. N+1層提供的服務(wù) D. 以上3項都不是6-5 在某個網(wǎng)絡(luò)上的兩臺機器之間傳輸2小時的文件，而網(wǎng)絡(luò)每隔1小時崩潰一次，這時可以考慮在數(shù)據(jù)流中加入一個校驗點，使得在網(wǎng)絡(luò)崩潰后，只是最后一個校驗點之后的數(shù)據(jù)進行重傳。在OSI模型中，這個校驗點最有可能是由（）完成的。A. 應(yīng)用層 B. 表示層 C. 會話層 D. 傳輸層 6-6 當(dāng)進行文本文件傳輸時，可能需要進行數(shù)據(jù)壓縮，在OSI模型中，規(guī)定完成這一工作的是（）。A. 應(yīng)用層 B. 表示層 C. 會話層 D. 傳輸層6-7 ISO7498-2從體系結(jié)構(gòu)的觀點描述了5種可選的安全服務(wù)，以下不屬于這5種安全服務(wù)的是（）。A.身份鑒別 B. 數(shù)據(jù)報過濾C. 授權(quán)控制 D. 數(shù)據(jù)完整性6-8 ISO7498-2描述了8種特定的安全機制，這8種特定的安全機制是為5種特定的安全服務(wù)設(shè)置的，以下不屬于這8種安全機制的是（）。A. 安全標(biāo)記機制 B. 加密機制C. 數(shù)字簽名機制 D. 訪問控制機制 6-9 用于實現(xiàn)身份鑒別的安全機制是（）。A.加密機制和數(shù)字簽名機制B. 加密機制和訪問控制機制C. 數(shù)字簽名機制和路由控制機制D. 訪問控制機制和路由控制機制6-10 ISO7498-2從體系結(jié)構(gòu)的觀點描述了5種普遍性的安全機制，這5種安全機制不包括（）。A.可信功能 B. 安全標(biāo)號C. 事件檢測 D. 數(shù)據(jù)完整性機制 6-11 身份鑒別是安全服務(wù)中的重要一環(huán)，以下關(guān)于身份鑒別的敘述不正確的是（）。A. 身份鑒別是授權(quán)控制的基礎(chǔ)B. 身份鑒別一般不用提供雙向的認證C. 目前一般采用基于對稱密鑰加密或公開密鑰加密的方法D. 數(shù)字簽名機制是實現(xiàn)身份鑒別的重要機制6-12 在ISO/OSI定義的安全體系結(jié)構(gòu)中，沒有規(guī)定（）。A. 對象認證服務(wù) B. 訪問控制安全服務(wù)C. 數(shù)據(jù)保密性安全服務(wù) D. 數(shù)據(jù)完整性安全服務(wù)E. 數(shù)據(jù)可用性安全服務(wù) 6-13（）不屬于ISO/OSI安全體系結(jié)構(gòu)的安全機制。A. 通信業(yè)務(wù)填充機制 B. 訪問控制機制C. 數(shù)字簽名機制 D. 審計機制 E. 公證機制6-14 ISO定義的安全體系結(jié)構(gòu)中包含（）種安全服務(wù)。A. 4 B. 5 C. 6 D. 76-15 ISO安全體系結(jié)構(gòu)中的對象認證安全服務(wù)，使用（）完成。A. 加密機制 B. 數(shù)字簽名機制C. 訪問控制機制 D. 數(shù)據(jù)完整性機制 6-16 CA屬于ISO安全體系結(jié)構(gòu)中定義的（）。A. 認證交換機制 B. 通信業(yè)務(wù)填充機制C. 路由控制機制 D. 公證機制6-17 數(shù)據(jù)保密性安全服務(wù)的基礎(chǔ)是（）。A. 數(shù)據(jù)完整性機制 B. 數(shù)字簽名機制C. 訪問控制機制 D. 加密機制6-18 路由控制機制用以防范（）。A. 路由器被攻擊者破壞B. 非法用戶利用欺騙性的路由協(xié)議，篡改路由信息、竊取敏感數(shù)據(jù)C. 在網(wǎng)絡(luò)層進行分析，防止非法信息通過路由D. 以上3項都不是 6-19 數(shù)據(jù)完整性安全機制可與（）使用相同的方法實現(xiàn)。A. 加密機制 B. 公證機制C. 數(shù)字簽名機制 D. 訪問控制機制6-20 可以被數(shù)據(jù)完整性機制防止的攻擊方式是（）。A. 假冒源地址或用戶的地址欺騙攻擊B. 抵賴做過信息的遞交行為C. 數(shù)據(jù)中途被攻擊者竊聽獲取D. 數(shù)據(jù)在途中被攻擊者篡改或破壞第7章Internet安全體系結(jié)構(gòu)