第1页第七章 安全体系结构 与安全模型第2页基本内容n1 安全体系结构n2 安全模型n3 安全评估标准第3页1.1 什么是安全体系结构n体系结构(Architecture) Architecture = Components + Connection + Constraints 体系结构部件关系约束n网络安全体系结构n部件：安全服务、安全机制、功能层n关系：安全服务与安全机制、安全服务与功能层n约束：安全政策(Security Policy)Security policy is the set of criteria for provision of security services 第4页安全服务、安全机制、安全技术可用服务保密服务加密机制完整性机制访问控制机制对称密钥 技术公开密钥 技术完整服务安全服务安全机制安全技术防火墙 技术.第5页1.2 OSI安全体系结构(ISO7498-2)n开放式系统互联安全体系结构主要内容：n相关概念的定义：安全服务、安全机制n定义了五种安全服务（安全功能）n定义了九种安全机制n安全服务和安全机制之间的关系n安全服务在功能层上的配置n安全管理第6页OSI安全体系结构（ISO 7498-2）安全机制加密机制访问控制机制数据完整性机制数字签名机制普适性机制认证交换机制业务流填充机制路由控制机制公证机制认证服务 访问控制数据完整性数据保密性抗抵赖物理层链路层网络层传输层会话层表示层应用层安全服务功能层第7页1.3 五类安全服务n认证（Authentication ），鉴别n对等实体认证n数据源发认证n访问控制（Access Control）n数据保密性（Confidentiality）,机密性n连接的机密性n无连接的机密性n选择字段的机密性n通信业务流（traffic)机密性第8页1.3 五类安全服务（续）n数据完整性（Integrity）n连接的完整性n无连接的完整性n选择字段的完整性n带恢复的完整性n抗抵赖（Non-Repudation）n数据原发抗抵赖n数据交付抗抵赖第9页1.4 安全机制n加密机制（密码机制）n可以支持数据保密性、完整性等多种安全服 务n算法可以是可逆的，也可以是不可逆的n数字签名机制n签名：使用签名者独有的私有信息n验证：使用公开的信息和规程；n签名采用公钥体制，使用私钥进行数字签名 ，使用公钥对签名信息进行验证 第10页1.4 安全机制（续）n访问控制机制n根据访问者的身份和有关信息，决定实体的访问权限。实体必 须经过认证。n访问控制可以基于以下手段：n集中的授权信息库n主体的能力表；n客体的访问控制链表n主体和客体的安全标签或安全级别n路由、时间、位置等n可以用在源点、中间、或目的第11页1.4 安全机制（续）n数据完整性机制n接收者能够辨别信息是否发送者发送的原始数据的机 制n发送实体给数据单元附加一个消息，这个消息是该数 据的函数。接收实体根据接收到的数据也产生一个相 应的消息，并通过与接收的附加消息的比较来确定接 收到的数据是否在传输中被篡改。n单个数据单元n数据单元序列n序列号n时间戳第12页1.4 安全机制（续）n认证交换机制（Authentication Exchange）n用来实现网络同级之间的认证 n用于认证交换的技术n认证信息，如口令，由发送实体提供，接收实体验证n密码技术n被认证实体的特征或占有物n为防止重放攻击，常与以下技术结合使用n时间戳n两次或三次握手n数字签名和公证机制的抗抵赖服务第13页1.4 安全机制（续）n通信业务流填充 通过填充冗余的业务流量来防止攻击者对流量进行分析 ； n路由控制n路由能动态地或预定地选取, 以便只使用物理上安全 的子网、中继站或链路n在检测到持续的攻击时, 端系统可希望指示网络服务 的提供者经不同的路由建立连接。n带有某些安全标记的数据可能被安全策略禁止通过某 些子网、中继或链路。连接的发起者。第14页1.4 安全机制（续）n公证机制n由通信各方都信任的第三方提供，由第三方来确保数 据的完整性、数据源、时间及目的地的正确。 n有关在两个或多个实体之间通信的数据的性质, 如它 的完整性、原发、时间和目的地等，能够借助公证机 制而得到确保。n每个通信事例可使用数字签名、加密和完整性机制以 适应公证人提供的那种服务。当这种公证机制被用到时, 数据便在参与通信的实体之间经由受保护的通信 实例和公证方进行通信。第15页1.4 安全机制（续）n普遍性安全机制n可信功能度 (trusted functionality)n安全标签（security Labels）n事件检测 (Event Detection)n审计跟踪 (security audit Trail)n安全恢复 (security recovery)第16页1.5 安全服务和安全机制的关系机制 服务加 密数字 签名访问 控制数据完 整性认证交 换流量填 充路由 控制公证对等实体认证YYY数据源发认证YY访问控制服务Y连接保密性YY无连接保密性YY选择字段保密性Y信息流保密YYY可恢复连接完整性YY无恢复连接完整性YY选择字段连接完整性YyY选择字段无连接完整性YYY源发抗抵赖YYY交付抗抵赖YYY第17页1.6 安全服务在协议层中的位置层 服务1234567对等实体认证yyy数据源发认证yyy访问控制服务yyy连接保密性YYyyyy无连接保密性yyyy选择字段保密性yy信息流保密Yyy可恢复连接完整性yyy无恢复连接完整性yyyy选择字段连接完整性y选择字段无连接完整性yyyy源发抗抵赖y交付抗抵赖y第18页1.7 OSI的安全管理nOSI安全管理与这样一些操作有关, 它们不 是正常的通信情况但却为支持与控制这些 通信的安全所必需n安全的管理n管理的安全ManagerAgent操作报告被管系统被管对象第19页1.7 OSI安全管理的分类n系统安全管理n系统安全管理涉及总的OSI环境安全方面的管理。n安全服务管理n安全机制管理n密钥管理;加密管理;数字签名管理;访问控制管理;数据完整性管 理;鉴别管理;通信业务填充管理;路由选择控制管理;公证管理。第20页服务TCP/IP协议层 网络接 口IP层传输层应用层 对等实体认证 yyy 数据源发认证 yyy 访问控制服务 yyy 连接保密性yyyy 无连接保密性yyyy 选择字段保密性 y 信息流保密yy y 可恢复连接完整性 yy 无恢复连接完整性 yyy 选择字段连接完整性 y 选择字段无连接完整性 yyy 源发抗抵赖 y 交付抗抵赖 yTCP/IP协议的安全体系结构 第21页基本内容n1 安全体系结构n2 安全模型n3 安全等级评估第22页什么是安全模型？n安全模型是一个系统安全政策的形式化描述（数学描述）n一个系统是安全的，当切仅当它所有的状态都满足安全政策的 规定。n安全模型的意义nTCSEC的提出使安全模型引起了更多的关注n安全模型能够精确地表达系统对安全性的需求，增强对系统安 全性的理解；n有助于系统实现n有助于系统安全性的证明或验证第23页n多级安全模型 n多级安全模型最初起源于支持军用系统和 数据库的安全保密，它可以使不同的密级 包含不同的信息。n密级由低到高分为秘密级、机密级和绝密 级，以确保每一密级的信息仅能让那些具 有高于或者等于该级权限的人使用。 第24页n多边安全模型 n阻止信息在不同的部分横向流动。 ABCDE共享数据第25页P2DR安全模型 n安全模型已经从原来的被动保护转到主动 防御，强调整个生命周期的防御和恢复。 第26页n安全策略：根据风险分析产生的安全策略描述 了系统中哪些资源要得到保护，以及如何实现 对他们的保护等。n防护：通过修复系统漏洞、正确设计、开发和 安装系统来预防安全事件的发生；通过定期检 查来发现可能存在的系统脆弱性；通过教育等 手段，使用户和操作员正确使用系统，防止发 生意外威胁；通过访问控制、监视手段来防止 恶意威胁。 第27页n检测：通过不断地检测和监控网络和系统，来发现新的 威胁和弱点，通过循环反馈来及时做出有效的响应。n响应:紧急响应是解决安全潜在问题最有效的办法。n攻击时间Pt：表示从入侵开始到入侵成功的时间。 n检测时间Dt：从入侵开始到检测到入侵的时间n响应时间Rt：从检测到系统漏洞或监控到非法攻击到系统启动 处理措施的时间。n系统暴露时间Et：系统的暴露时间是指系统处于不安全状况的 时间，可以定义为：EtDtRtPt第28页访问控制模型n控制主体对客体的访问n一次访问可以描述为一个三元组：n访问控制政策是一组规则，决定一个特定的主体是否有权限访问一个客体nF(s, a, o) True, False第29页访问控制矩阵n按列看是客体的访问控制列表（access control list）n 按行看是主体的访问能力表(capability list)SubjectsObjectsS1S2S3O1O2O3Read/writeWriteReadExecute第30页BLP 模型nBell-LaPadula Model 用来描述美国国防部的多级安全政策n用户和文件分成不同的安全级别，各自带有一个安全标签Unclassified, Confidential , Secret, Top Secretn每个用户只可以读同级或级别更低的文件nBLP模型只描述了保密性，没有描述完整性和可用性的要求第31页BLP 模型向下写是不允许的向上读是不允许的SubjectsObjects简单安全特性* 特性第32页BLP 模型TSSCUTSSCUR/WWR/WRR/WRWRRR R/WRWWWWSubjectsObjectsInformation FlowBLP 模型的信息流第33页完整性模型nBiba 模型n安全政策需求：完整性n规则：no read down , no write up第34页基本内容n1 安全体系结构n2 安全模型n3 安全等级评估第35页安全等级评估n安全等级评估的意义n计算机和网络的应用环境不同n对安全性的要求也不同n安全等级评估可以为用户选择计算机系统提 供指导、依据或参考第36页安全等级评估标准的发展历程1983(1985) TCSEC1991年欧洲 ITSEC1990年加拿大 CTCPEC1991年美国 联邦准则FC1996年国际 通用准则 CC1996年 国际标准 ISO 15408第37页安全等级评估n美国：nTrusted Computer System Evaluation Criteria(TCSEC) nTrusted Network Interpretation (TNI)n欧洲： ITSEC n加拿大：CTCPECnISO : CC( Common Criteria for Information Technology Security Evaluation ) V2.0, 1999 n中国：GB17859-99第38页可信计算机系统评估准则（TCSEC）n可信计算基（Trusted Computing Base）n一个实现安全政策的所有安全机制的集合，包括硬件、软件和 固件，它根据安全政策来处理主体（Subject）对客体（Object） 的访问TCB安全政策SubjectObject第39页TCSEC 相关概念n主体（Subject）：用户，进程n客体（Object）：文件、内存等资源n访问（Access Control）：读、写、执行、等n标识（Identification）：n标签（Label）：主体或客体安全级别的一种属性n安全政策，主要指访问控制政策第40页TCSEC 相关概念n自主型访问控制（Discretionary Access Control）n客体的所有者可以将访问权限自主的分配个其他主体n灵活n强制型访问控制（Mandatory Access Control）n由安全管理员决定主体和客体的属性n由操作系统规则根据属性决定访问控