1、网络安全技术 (刘化君 编著),机械工业出版社,普通高等教育“十一五”计算机类规划教材,第2章 网络安全体系结构,第2章 网络安全体系结构,2.1 OSI安全体系结构2.1.1安全体系结构的5类安全服务2.1.2 安全体系结构的8种安全机制2.1.3 网络安全防御体系架构 2.2 网络通信安全模型2.2.1 网络访问安全模型2.2.2 网络安全体系结构参考模型的应用 2.3. 可信计算2.3.1 可信计算的概念2.3.2 可信计算的关键技术2.3.3 可信计算的发展趋势 2.4 网络安全标准及管理2.4.1 网络与信息安全标准体系2.4.2 网络与信息安全标准化概况2.4.3 可信计算机系统安
2、全评价准则2.4.4 网络安全管理,2.1 OSI安全体系结构,图2-1 OSI安全体系结构三维示意图,2.1 OSI安全体系结构,2.1.1 安全体系结构的5类安全服务 1)身份认证服务身份认证服务也称之为身份鉴别服务,这是一个向其他人证明身份的过程,这种服务可防止实体假冒或重放以前的连接,即伪造连接初始化攻击。身份认证是其它安全服务,如授权、访问控制和审计的前提,它对通信中的对等实体提供鉴别和数据源点鉴别两种服务。 2)访问控制服务在网络安全中,访问控制是一种限制,控制那些通过通信连接对主机和应用系统进行访问的能力。访问控制服务的基本任务是防止非法用户进入系统及防止合法用户对系统资源的非法
3、访问使用。访问控制和身份认证是紧密结合在一起的,在一个应用进程被授予权限访问资源之前,它必须首先通过身份认证。,2.1 OSI安全体系结构,2.1.1 安全体系结构的5类安全服务 3)数据机密性服务数据机密性服务是指对数据提供安全保护,防止数据被未授权用户获知。 4)数据完整性服务数据完整性服务通过验证或维护信息的一致性,防止主动攻击,确保收到的数据在传输过程中没有被修改、插入、删除、延迟等。 5)不可否认服务不可否认服务主要是防止通信参与者事后否认参与。OSI安全体系结构定义了两种不可否认服务:发送的不可否认服务,即防止数据的发送者否认曾发送过数据;接收的不可否认服务,即防止数据的接收者否认
4、曾接收到数据。,2.1 OSI安全体系结构,2.1.2 安全体系结构的8种安全机制安全服务依赖于安全机制的支持。网络安全机制可分为两类:一类与安全服务有关,另一类与管理功能有关。OSI安全体系结构规定了8种安全机制。 1.数据加密机制加密机制(Encryption Mechanisms)指通过对数据进行编码来保证数据的机密性,以防数据在存储或传输过程中被窃取。 2.数字签名机制数字签名机制(Digital Signature Mechanisms)指发信人用自己的私钥通过签名算法对原始数据进行数字签名运算,并将运算结果,即数字签名一同发给收信人。收信人可以用发信人的公钥及收到的数字签名来校验收
5、到的数据是否是由发信人发出的,是否被其它人修改过。数字签名是确保数据真实性的基本方法。,2.1 OSI安全体系结构,2.1.2 安全体系结构的8种安全机制 3.访问控制机制访问控制机制(Access Control Mechanisms)是网络安全防护的核心策略,它的主要任务是按事先确定的规则决定主体对客体的访问是否合法,以保护网络系统资源不被非法访问和使用。 4.数据完整性机制数据完整性机制(Data Integrity Mechanisms)是指通过数字加密(利用加密算法将明文转换为难以理解的密文和反过来将密文转换为可理解形式的明文),保证数据不被篡改。数据完整性用以阻止非法实体对交换数据
6、的修改、插入、删除以及在数据交换过程中的数据丢失。,2.1 OSI安全体系结构,2.1.2 安全体系结构的8种安全机制 5.认证交换机制认证交换机制(Authentication Mechanisms)是指通过信息交换来确保实体身份的机制,即通信的数据接收方能够确认数据发送方的真实身份,以及认证数据在传送过程中是否被篡改;主要有站点认证、报文认证、用户和进程的认证等方式。 6.通信流量填充机制通信流量填充机制(Traffic Padding Mechanisms)是指由保密装置在无数据传输时,连续发出伪随机序列,使得非法攻击者不知哪些是有用数据、哪些是无用数据,从而挫败攻击者在线路上监听数据并
7、对其进行数据流分析攻击。,2.1 OSI安全体系结构,2.1.2 安全体系结构的8种安全机制 7.路由控制机制路由控制机制(Routing Control Mechanisms)用于引导发送者选择代价小且安全的特殊路径,保证数据由源节点出发,经最佳路由,安全到达目的节点。 8.公证机制公证机制(Notarization Mechanisms)是指第三方(公证方)参与的签名机制,主要用来对通信的矛盾双方因事故和信用危机导致的责任纠纷进行公证仲裁。公证机制一般要通过设立公证机构(各方都信任的实体)来实现。公证机构有适用的数字签名、加密或完整性公证机制,当实体相互通信时,公证机构就使用这些机制进行公
8、证。,2.1 OSI安全体系结构,2.1.3 网络安全防护体系架构OSI安全体系结构通过不同层上的安全机制来实现。这些安全机制在不同层上的分布情况如图2-2所示。,图2-2 网络安全层次模型及各层主要安全机制分布,2.1 OSI安全体系结构,2.1.3 网络安全防护体系架构,图2-2所示的网络安全层次模型是基于ISO/OSI参考模型7层协议之上的信息安全体系。也就是说,OSI安全体系结构也是按层次来实现服务的。每一层提供的安全服务可以选择,各层所提供服务的重要性也不一样。表2-1提供了实现各种安全服务可以选用的安全机制,也显示出提供各种安全服务的层次(ISO 7498-2)。,2.2 网络通信
9、安全模型,2.2.1 网络访问安全模型,图2-3 网络通信安全模型,在这个模型中,两个方面用来保证安全:一是与收发相关的安全转换,如对消息加密。这种安全转换使得攻击者不能读懂消息,或者将基于消息的编码附于消息后。二是双方共享的某些秘密信息,并希望这些信息不为攻击者所获知。为了实现安全传输,还需要有可信的第三方。例如,由第三方负责将秘密信息(密钥)分配给通信双方,或者当通信双方对于数据传输的真实性发生争执时,由第三方来仲裁。,2.2 网络通信安全模型,2.2.1 网络访问安全模型归纳起来,由图2-3所示的通信模型可知,在设计网络安全系统时,应完成下述四个方面的基本任务:1)设计一个用来执行与安全
10、相关的安全转换算法,而且该算法是攻击者无法破译的;2)产生一个用于该算法的秘密信息(密钥);3)设计一个分配和共享秘密信息(密钥)的方法;4)指明通信双方使用的协议,该协议利用安全算法和秘密信息实现特定的安全服务。,2.2 网络通信安全模型,2.2.1 网络访问安全模型并非所有的与安全相关的情形都可以用上述安全模型来描述。比如,万维网(WWW)的安全模型就应另加别论。其安全模型可以采用如图2-4所示的网络访问安全模型来描述。该模型的侧重点在于如何有效地避免恶意访问。,图2-4 网络访问安全模型,2.2 网络通信安全模型,2.2.2 网络安全体系结构参考模型的应用作为全方位的网络安全防护体系也是
11、分层次的,不同层次反映了不同的安全需求。根据网络的应用现状和拓扑结构,可以将安全防护体系的层次划分为物理层安全、系统层安全、网络层安全、应用层安全和安全管理。 1物理环境的安全性(物理层安全)该层次的安全包括通信线路的安全,物理设备的安全,机房的安全等。物理层的安全主要体现在通信线路的可靠性(线路备份、网管软件、传输介质),软硬件设备安全性(替换设备、拆卸设备、增加设备),设备的备份,防灾害能力,防干扰能力,设备的运行环境(温度、湿度、烟尘),不间断电源保障,等等。,2.2 网络通信安全模型,2.2.2 网络安全体系结构参考模型的应用 2操作系统的安全性(系统层安全)该层次的安全问题来自网络内
12、所使用操作系统的安全,如Windows NT,Windows 2003/XP/Win7等。主要表现在三个方面,一是操作系统本身的缺陷带来的不安全因素,主要包括身份认证、访问控制、系统漏洞等;二是对操作系统的安全配置;三是病毒对操作系统的威胁。 3网络系统的安全性(网络层安全)该层次的安全问题主要体现在网络系统的安全性,包括网络层身份认证,网络资源的访问控制,数据传输的机密性与完整性,远程接入的安全,域名系统的安全,路由系统的安全,入侵检测的手段及防病毒技术等。,2.2 网络通信安全模型,2.2.2 网络安全体系结构参考模型的应用 4应用的安全性(应用层安全)该层次的安全威胁主要来自于所使用的互
13、联网系统应用软件和数据库的安全性,包括Web服务、电子邮件系统、DNS等。此外,还包括恶意代码对系统的安全威胁。 5管理的安全性(管理层安全)网络安全管理涉及的内容较多,包括技术和设备的管理、管理制度、部门与人员的组织规则等。尤其是安全管理的制度化在网络安全中有着不可忽视的作用,严格的安全管理制度、责任明确的部门安全职责、合理的人员角色配置,都可以有效地增强网络的安全性。,2.3. 可信计算,2.3.1 可信计算的概念所谓可信计算,就是以为信息系统提供可靠和安全运行环境为主要目标,能够超越预设安全规则,执行特殊行为的一种运行实体。 ISO/IEC 15408 标准将可信计算定义为:一个可信的组
14、件、操作或过程的行为在任意操作条件下是可预测的,并能很好地抵抗应用程序软件、病毒,以及一定的物理干扰所造成的破坏。这种描述强调行为的可预测性,能抵抗各种破坏,达到预期的目标。 TCG对“可信”的定义是:针对所给定的目标,如果一个实体的行为总是能够被预期,那么该实体则是可信的。这个定义将可信计算与已有的安全技术分开,可信强调行为过程及结果可预期,但并不等于行为是安全的;安全则主要强调网络与信息系统的机密性、完整性、可用性等基本特性。这是两个不同的概念。,2.3. 可信计算,2.3.2 可信计算的关键技术 可信计算研究涵盖多个学科领域,包括计算机科学与技术、通信技术、数学、管理科学、系统科学、社会
15、学、心理学和法律等。 由于可信计算概念来自于工程技术发展,基础理论模型尚未建立,现有的体系结构也还是从工程实施上来构建的,缺乏科学严密性。但在理论研究上,它已受到国际社会的重视,如 IEEE组织于2004年开办了IEEE Transactions on Dependable and Secure Computing杂志,专门刊发可信计算研究论文。主要内容包含:可信计算的基础理论模型、可信计算的体系结构、可信软件和可信计算的安全保障等。,2.3. 可信计算,2.3.2 可信计算的关键技术 1.可信计算的基本属性 可信计算环境的基本属性一般包含可靠性、安全性、完整性、机密性、可用性、可预测性、生存
16、性、互操作性和可控性。可从四个方面予以理解:用户身份唯一性认证,这是对使用者的信任;平台软硬件配置的正确性,体现使用者对平台运行环境的信任;应用程序的完整性和合法性,体现应用程序运行的可信;平台之间的可验证性,指网络环境下平台之间的相互信任。,2.3. 可信计算,2.3.2 可信计算的关键技术 2.可信平台模块可信平台模块(TPM)实际上是一个含有密码运算和存储部件的小型片上系统(System on Chip,SOC),由CPU、存储器、I/O、密码运算部件、随机数产生器和嵌入式操作系统等部件组成。TPM的核心功能在于对CPU处理的数据进行加密,同时监测系统底层的状态。它不使用计算机的内存和外
17、存,工作独立于操作系统和BIOS;在内部实现一些公开的安全算法,以便于与其它部件的接口标准化。,2.3. 可信计算,2.3.2 可信计算的关键技术 3.可信计算平台体系结构可信计算平台是以可信平台模块(TPM)为核心,把CPU、操作系统、应用软件和网络基础设施融合为一体的完整体系结构。一个典型的可信个人计算机平台上的软件体系结构,主要分为三层: 可信平台模块(TPM)、可信软件栈(Trusted Software Stack,TSS)和应用软件,如图2-6所示。,2.3. 可信计算,2.3.3 可信计算的发展趋势 对于TCG 的各种认识一直存在不同的意见与争论,但不管怎么说,可信计算的使命还是
18、旨在解决大多数安全问题。显然,仅靠TPM和TCM 远远不够,仅靠可信计算也是不够的;完全通过认证的方法不可能解决所有的安全问题。随着人们对可信计算提出的更高要求,可信计算发展战略近来已发生很大变化,正向两个方向迈进,一是从终端到网络,二是从网络基础设施到终端。目前,TCG 成员包括全球150 个大型IT 企业,包括Intel、AMD、IBM、HP、Microsoft等在内的公司,正在研究建立一个以标准为核心的信息安全基础设施,其中包括了几乎所有的安全产品的应用,发展前景是通过规范、研究和商业运作将其建成一个基于硬件的平台。另外,可信计算的所有产品都必须基于标准的接口,不但在TPM 环境下能够得
19、到支持,在非TPM 环境下也能得到支持。,2.4 网络安全标准及管理,2.4.1 网络与信息安全标准体系,图2-7 网络与信息安全标准体系示意图,2.4 网络安全标准及管理,2.4.2 网络与信息安全标准化概况 1.国外网络与信息安全标准化简况20世纪70年代以美国为首的西方发达国家就已开始关注网络与信息安全标准,到20世纪90年代随着互联网的普及使用,网络与信息安全标准日益受到世界各国和各种组织的关注。目前世界上与信息安全标准化有关的主要组织机构有ISO、IEC、ITU、IETF、IEEE和ETSI。 2.国内网络与信息安全标准研究现状我国一直高度关注网络与信息安全标准化工作,从20世纪80
20、年代就已经开始网络与信息安全标准的研究,现在已正式发布相关国家标准60多个。另外,信息产业部、公安部、安全部、国家保密局等也相继制订、颁布了一批网络与信息安全的行业标准,为推动网络与信息安全技术在各行业的应用发挥了积极的作用。,2.4 网络安全标准及管理,2.4.3 可信计算机系统安全评价准则在网络系统可信度的评估中,美国国防部制订的可信计算机系统安全评价准则(TCSEC)具有重要的历史地位和作用;我国根据自己的信息安全状况也制订了系列评价标准。在可信计算机系统评价准则(TCSEC)中,将计算机系统安全划分为四类七级,由高到低依次是:A、B3、B2、B1、C2、C1和D,其中A级为最高,见表2
21、-2所列。,2.4 网络安全标准及管理,2.4.3 可信计算机系统安全评价准则,表2-2 TCSEC安全级别分类,2.4 网络安全标准及管理,2.4.4 网络安全管理 1.安全管理的概念安全管理(Security Management,SM)是以管理对象的安全为任务和目标所进行的各种管理活动。 网络安全管理包含的内容非常之多,就实际管理工作而言,大致可划分为设备的安全管理、安全策略管理、安全风险控制、安全审计等。,2.4 网络安全标准及管理,2.4.4 网络安全管理 2. 网络系统安全PDRR模型一个常见的网络系统安全模型是PDRR,即:防护、检测、响应和恢复。这四个部分构成一个动态的网络系统安全周期模型,如图2-8所示。,图2-8 网络系统安全PDRR模型,2.4 网络安全标准及管理,2.4.4 网络安全管理 3.网络安全管理措施实现网络安全不但靠先进的技术,也要靠严格的安全管理、法律法规的约束和安全教育。如果说得广泛一些,全局和总体的网络安全管理措施应该包含以下三个部分。 1)严肃的法律、法规。 2)先进的网络安全技术。 3)严格的安全管理制度。,
