计算机网络安全体系计算机教研室提纲安全体系结构安全模型安全评估标准提纲安全体系结构什么是安全体系结构安全体系结构五种安全服务九种安全机制安全服务与安全机制的关系安全服务在功能层上的配置安全管理安全模型安全评估标准什么是安全体系结构体系结构(Architecture)Architecture=Components+Connection+Constraints体系结构=部件+关系+约束网络安全体系结构部件:安全服务、安全机制、功能层关系:安全服务与安全机制、安全服务与功能层约束:安全政策(SecurityPolicy)Securitypolicyisthesetofcriteriaforprovisionofsecurityservices安全服务、安全机制、安全技术安全服务安全服务安全服务OSI安全体系结构(ISO7498-2)开放式系统互联安全体系结构主要内容:相关概念的定义:安全服务、安全机制定义了五种安全服务(安全功能)定义了九种安全机制安全服务和安全机制之间的关系安全服务在功能层上的配置安全管理OSI安全体系结构(ISO7498-2)五类安全服务(1)认证(Authentication),鉴别对等实体认证数据源发认证访问控制(AccessControl)数据保密性(Confidentiality),机密性连接的机密性无连接的机密性选择字段的机密性通信业务流(traffic)机密性五类安全服务(2)数据完整性(Integrity)连接的完整性无连接的完整性选择字段的完整性带恢复的完整性抗抵赖(Non-Repudation)数据原发抗抵赖数据交付抗抵赖安全机制加密机制(密码机制)可以支持数据保密性、完整性等多种安全服务算法可以是可逆的,也可以是不可逆的数字签名机制签名:使用签名者独有的私有信息验证:使用公开的信息和规程;安全机制访问控制机制——实体必须经过认证——访问控制可以基于以下手段:集中的授权信息库;主体的能力表;客体的访问控制链表;主体和客体的安全标签或安全级别;路由、时间、位置等——可以用在源点、中间、或目的安全机制数据完整性机制单个数据单元;数据单元序列:序列号,时间戳认证交换机制(AuthenticationExchange)(1)用于认证交换的技术认证信息,如口令;密码技术;被认证实体的特征。(2)为防止重放攻击,常与以下技术结合使用时间戳,两次或三次握手,数字签名安全机制通信业务流填充路由控制路由能动态地或预定地选取,以便只使用物理上安全的子网、中继站或链路。在检测到持续的操作攻击时,端系统可希望指示网络服务的提供者经不同的路由建立连接。带有某些安全标记的数据可能被安全策略禁止通过某些子网、中继或链路。连接的发起者(或无连接数据单元的发送者)可以指定路由选择说明,由它请求回避某些特定的子网络、链路或中继。安全机制公证机制有关在两个或多个实体之间通信的数据的性质,如它的完整性、原发、时间和目的地等能够借助公证机制而得到确保。这种保证是由第三方公证人提供的。公证人为通信实体所信任,并掌握必要信息以一种可证实方式提供所需的保证。每个通信事例可使用数字签名、加密和完整性机制以适应公证人提供的那种服务。当这种公证机制被用到时,数据便在参与通信的实体之间经由受保护的通信实例和公证方进行通信。安全机制普遍性安全机制可信功能度(trustedfunctionality)安全标签(securityLabels)事件检测(EventDetection)审计跟踪(securityauditTrail)安全恢复(securityrecovery)安全服务和安全机制的关系安全服务与协议层中的位置OSI的安全管理OSI安全管理与这样一些操作有关,它们不是正常的通信情况但却为支持与控制这些通信的安全所必需安全的管理管理的安全操作报告被管理对象OSI安全管理的分类系统安全管理系统安全管理涉及总的OSI环境安全方面的管理。安全服务管理安全机制管理密钥管理;加密管理;数字签名管理;访问控制管理;数据完整性管理;鉴别管理;通信业务填充管理;路由选择控制管理;公证管理TCP/IP安全机制认证、保密、完整性、访问控制提纲安全体系结构安全模型什么是安全模型安全模型的种类及举例:访问控制模型BLP模型;完整性模型(Biba)安全评估标准什么是安全模型?安全模型是一个系统安全政策的形式化描述(数学描述)一个系统是安全的,当切仅当它所有的状态都满足安全政策的规定。安全模型的意义TCSEC的提出使安全模型引起了更多的关注安全模型能够精确地表达系统对安全性的需求,增强对系统安全性的理解;有助于系统实现有助于系统安全性的证明或验证常见的安全模型访问控制模型(AccessControlModel)完整性模型(integritymodel)信息流模型(Informationflow)访问控制模型控制主体对客体的访问一次访问可以描述为一个三元组:S,A,O访问控制政策是一组规则,决定一个特定的主体是否有权限访问一个客体F(s,a,o)à{True,False}访问控制矩阵按列看是客体的访问控制列表(accesscontrollist)按行看是主体的访问能力表(capabilitylist)BLP模型Bell-LaPadulaModel用来描述美国国防部的多级安全政策——用户和文件分成不同的安全级别,各自带有一个安全标签Unclassified,Confidential,Secret,TopSecret——每个用户只可以读同级或级别更低的文件BLP模型只描述了保密性,没有描述完整性和可用性的要求BLP模型BLP模型基于有限状态自动机的概念BLP模型安全特性(Securityproperty)Simplesecurityproperty(noreadup)readingofinformationbyasubjectatalowersensitivitylevelfromanobjectathighersensitivitylevelisnotpermitted.*(star)securityproperty(nowritedown)writingofinformationbyasubjectaahigherlevelofsensitivitytoanobjectatalowerlevelofsensitivityisnotpermittedBLP模型BLP模型BLP模型的信息流BLP模型BLP模型完整性模型Biba模型安全政策需求:完整性规则:noreaddown,nowriteup提纲安全体系结构安全模型安全等级评估安全等级评估安全等级评估的意义计算机和网络的应用环境不同对安全性的要求也不同安全等级评估可以为用户选择计算机系统提供指导、依据或参考安全等级评估标准的发展历程安全等级评估美国:–TrustedComputerSystemEvaluationCriteria(TCSEC)–TrustedNetworkInterpretation(TNI)–TrustedNTDI欧洲:ITSEC加拿大:CTCPECISO:CC(CommonCriteriaforInformationTechnologySecurityEvaluation)V2.0,1999中国:GB17859-99可信计算机系统评估准则(TCSEC)可信计算基(TrustedComputingBase)一个实现安全政策的所有安全机制的集合,包括硬件、软件和固件,它根据安全政策来处理主体(Subject)对客体(Object)的访问TCSEC相关概念主体(Subject):用户,进程;客体(Object):文件、内存等资源;访问(AccessControl):读、写、执行、等;标识(Identification);标签(Label):主体或客体安全级别的一种属性,主体clearance,客体classification;安全政策,主要指访问控制政策.TCSEC相关概念自主型访问控制(DiscretionaryAccessControl)客体的所有者可以将访问权限自主的分配个其他主体灵活;强制型访问控制(MandatoryAccessControl)由安全管理员决定主体和客体的属性由操作系统规则根据属性决定访问控制权限。TCSEC四类、七个级别D:最小保护类,D级C:自主保护类—安全措施:自主访问控制,审计跟踪—C1:自主安全保护用户与数据隔离—C2:可控的安全保护唯一标识审计记录可追查责任TCSEC四类、七个级别B:强制安全保护类要求实行强制型访问控制政策B1:标记安全保护B2:结构安全保护B3:安全区域级保护A:验证安全保护类要求用形式化的方法证明系统的安全型A1:验证设计级保护=B3+设计安全性证明A2:验证实现级保护,无法提出具体要求我国的等级评测标准(GB17859-99)第一级用户自主保护级身份认证,自主型访问控制第二级系统审计保护级认证、自主型访问控制、审计第三级安全标记保护级强制型访问控制第四级结构化保护级形式化的安全策略模型,考虑隐蔽信道第五级访问验证级保护访问监控器抗篡改、可分析测试自动终止安全事件系统可恢复CC的范围和目标用户范围—评估对象(TOE):操作系统、计算机网络、分布式应用系统,包括保密性、完整性和可用性;—逻辑上的安全控制机制,不包括行政管理、物理安全、密码强度等。用户—消费者:可以用评估结果决定一个已评估的产品和系统是否满足要求;—开发者:为评测产品的安全需求提供支持—评估者:提供评估准则其他:安全的规划和设计CC的评估类型保护轮廓(PP)一组独立于实现的安全需求,描述用户对一类评估对象的技术特殊需要。PP的评估目的是证明PP是完整的一致的、技术合理的安全目标(ST)一组安全需求和说明,用于评估TOE的基础,包括功能的和保障的尺度。ST是开发者、评估者、消费者关于TOE安全特性和评估范围的共同的约定。对ST的评估有双重目的:一是ST是完全的、一致的、技术合理的,二是当ST宣称满足某一PP时,证明ST满足PP的要求TOE评估对于已经评估过的ST,TOE的评估目的是证明TOE满足ST的要求CC标准的内容第一部分:简介和一般模型——定义了IT安全评估的通用概念和原理,并提出了评估的通用模型提出了若干概念,可用于描述安全的目的,安全要求,书写安全规范。第二部分:安全功能需求——功能组件,表示TOE功能要求的标准方法。第三部分:安全保证要求——保证级别(EAL)TOE的评估过程小结ISO安全体系结构三维模型五种安全服务九种安全机制理解安全模型的概念和作用BLP模型的TCSEC我国安全等级评测通用准则中的基本概念:PP,ST,TOE参考文献ISO7498-2:TCSEC,GB17859-99:《信息系统安全》戴宗坤等著,金城出版社通用准则:InformationTechnology–Securitytechniques–EvaluationcriteriaforITSecurity(ISO/IEC15408-1:1999)