搜索
中华人民共和国国家标准信息技术开放系统互连高层安全模型发布实施国家质量技术监督局发布前言本标准等同采用国际标准信息技术开放系统互连高层安全模型本标准的附录和附录是提示的附录本标准由中华人民共和国信息产业部提出本标准由中国电子技术标准化研究所归口本标准起草单位中国电子技术标准化研究所本标准主要起草人徐云驰罗韧鸿郑洪仁前言国际标准化组织和国际电工委员会是世界性的标准化专门机构国家成员体它们都是或的成员国通过国际组织建立的各个技术委员会参与制定对特定技术范围的国际标准和的各个技术委员会在共同感兴趣的领域内进行合作与和有联系的其他官方和非官方国际组织也可参与国际标准的制定工作对于信息技术和建立了一个联合技术委员会即由联合技术委员会提出的国际标准草案需分发给国家成员体进行表决发布一项国际标准至少需要的参与表决的国家成员体投票赞成国际标准是由信息技术联合技术委员会的开放系统互连数据管理和开放分布式处理分委员会与共同制定的等同文本为本标准的附录和附录仅提供参考信息引言安全体系结构定义了当开放系统环境中要求安全保护时对应用适用的与安全有关的体系结构元素本标准描述参考模式高层应用表示和会话中选择放置和使用安全服务和机制中华人民共和国国家标准信息技术开放系统互连高层安全模型国家质量技术监督局批准实施范围本标准定义一个体系结构模型以此为基础开发高层独立于应用的安全服务和协议利用这些服务和协议满足各种应用的安全要求以便使包含内部安全服务的应用特定的的需求最少本标准特别规定高层中通信的安全高层中对开放系统安全体系结构和安全框架中定义的安全服务的支持根据和高层中安全服务和机制的放置及其之间的关系提供和使用安全服务时高层之间的交互及高层和低层之间的交互高层中管理安全信息的要求在访问控制方面本标准的范围包括控制访问资源和通过可接近的资源的服务和机制本标准不包括服务的定义或协议的规范安全技术和机制它们的操作及其协议要求的规范或与通信无关的保证安全的内容本标准既不是系统的实现规范也不是评价实现一致性的依据注本标准的范围包括无连接应用和分布式应用如存储和转发应用链接应用及代表其他应用的应用的安全引用标准下列标准所包含的条文通过在本标准中引用而构成为本标准的条文本标准出版时所示版本均为有效所有标准都会被修订使用本标准的各方应探讨使用下列标准最新版本的可能性信息技术开放系统互连基本参考模型第部分基本模型信息处理系统开放系统互连基本参考模型第部分安全体系结构信息处理系统开放系统互连基本参考模型第部分管理框架信息处理系统开放系统互连面向连接的表示服务定义信息处理系统开放系统互连联系控制服务元素服务定义信息技术开放系统互连应用层结构信息技术开放系统的安全框架鉴别框架信息技术开放系统的安全框架访问控制框架定义本标准采用中定义的下列术语抽象语法应用实体应用进程应用进程调用应用协议控制信息应用协议数据单元本地系统环境功能中继开放系统表示上下文表示实体开放实系统系统管理传送语法本标准采用中定义的下列术语访问控制鉴别机密性数据完整性数据原发鉴别解密加密密钥抗抵赖公证对等实体鉴别安全审计安全管理信息库安全策略选择字段保护签名流量机密性可信功能本标准采用中定义的下列术语管理信息管理本标准采用中定义的下列术语应用联系应用上下文应用实体调用应用服务元素类型应用服务客体联系上下文调用类型控制功能本标准采用中定义的下列术语表示数据值本标准采用中定义的下列术语鉴别交换声称鉴别信息声称体交换鉴别信息实体鉴别本体验证鉴别信息验证者本标准采用中定义的下列术语访问控制证书访问控制信息本标准采用下列定义联系安全状态与安全联系有关的安全状态保护表示上下文使保护传送语法和抽象语法联系在一起的表示上下文保护传送语法以采用安全变换的编码解码过程为基础的传送语法密封支持完整性但不能避免接收者伪造的密码检验值即不支持抗抵赖安全联系两个或多个实体间的一种关系这些实体具有管理包含这些实体本身的安全服务的属性状态信息和规则安全通信功能支持开放系统之间传送与安全有关的信息的功能安全域一组元素一项安全策略一个安全机构和一组与安全有关的活动在安全域中对于特定的活动该组元素受到安全策略约束并由安全机构管理安全交换作为一个或多个安全机制的操作的一部分开放系统之间应用协议控制信息的一次传送或一系列传送安全交换项安全交换中对应于单个传送在一系列传送中的信息的逻辑独特片断安全交换功能位于应用层的为调用间通信安全信息提供方法的安全通信功能可靠交互规则为在安全域之间发生交互必需的公共规则安全状态开放系统中保持且为提供安全服务所要求的状态信息系统安全功能开放系统进行有关安全处理的能力系统安全客体代表一组有关系统安全功能的客体安全变换通信或存储期间以特殊的方式组合起来在用户数据项上操作以保护这些数据项的一组功能系统安全功能和安全通信功能注系统安全功能和系统安全客体的规范不是层服务定义或协议规定的一部分缩略语本标准采用下列缩略语联系控制服务元素应用实体应用实体调用应用服务元素抽象语法记法一应用服务客体控制功能文件传送访问和管理开放系统互连表示实体表示实体调用表示数据值安全交换项系统安全客体概念本安全模型阐述了安全服务措施以抵御附录中描述的那些与高层有关的威胁它包括保护通过应用中继系统的信息安全策略如果两个或多个开放实系统要安全地通信它们必须遵循在各自安全域中有效的安全策略如果通信发生在不同的安全域之间还要遵循安全交互策略安全交互策略体现不同安全域中安全策略的共同方面并决定它们之间发生通信的条件一组安全交互规则可以描述安全交互策略措施这些规则还用于特殊通信实例的上下文包括应用上下文的选择安全联系安全联系是两个或多个实体间的关系即管理包含这些实体安全服务的属性状态信息和规则安全联系隐含着在两个系统中存在安全交互规则和保持一致的安全状态从高层的角度来看安全联系可映射到联系两种特殊的情形是应用联系安全联系两个系统之间的安全联系通过应用联系来支持被保护的通信中继安全联系两个系统之间通过应用中继来支持被保护的通信的安全联系如在存储转发或链接应用中不同类型安全联系的其他例子是通过多个应用联系和或多个无连接数据单元通信彼此直接通信的两个系统之间的安全联系一个将被保护的信息写入数据存储如文件存储或目录的实体和读取此信息的所有实体之间的安全联系两个对等低层安全协议实体之间的安全联系在应用进程内一个安全联系可能依赖于保持另一个系统例如鉴别服务器或其他类型的可信任第三方的另一个安全联系安全状态安全状态是开放实系统中保持且为安全服务措施所要求的状态信息两个应用进程之间存在安全联系隐含存在共享的安全状态试图建立通信之前一个或多个应用进程里可能要求某些安全状态信息通信进行时状态信息应予以保持和或通信结束后仍保留这一状态信息的确切特性依赖特殊的安全机制和应用两种安全状态类型是系统安全状态不考虑是否存在任何通信行为及其状态在开放实系统中建立和保持的与安全有关的状态信息联系安全状态与安全联系有关的安全状态在的高层中共享安全状态决定调用之间的上下文的安全特性和或新建立的应用联系的初始安全状态两种特殊的情形是当安全联系映射到单一应用联系时安全状态代表应用联系安全状态它与控制那一应用联系的通信安全有关当安全联系映射到通过应用中继系统在两个终端用户系统之间的信息传送的联系时共享安全状态与端用户系统之间使用的安全机制有关而独立于与用应用中继系统建立的单个应用联系有关的安全机制安全状态的例子包括与密码链接或完整性恢复相关联的状态信息允许交换信息的一组安全标记高层中安全服务措施采用的密钥或密钥标识符这可能包括已知可信的认证机构密钥见或使其能和密钥分发中心通信的密钥前面已鉴别的身份顺序号和密码同步变量安全状态可以不同的方式初始化例如采用安全管理功能这种情况下安全信息驻留在安全管理信息库中初始化层前面通信行为的残留信息之外的手段应用层要求为了使应用进程安全通信它们在采用的上下文或应用上下文中必须有适当的安全措施上下文定义可包括要求用来支持安全协议的类型和或类型协商和选择与应用和表示层有关的安全功能的规则选择底层安全服务的规则将特殊安全服务用于特殊交换信息类别的规则整个联系生存期间重新鉴别有关身份的规则如果采用基于密钥的机制整个联系生存期间改变密钥的规则通信失败或检测出安全冲突时采取的规则注可参考类型定义来定义上下文应用上下文是上下文的特殊情形它描述上下文参与应用联系的两个调用可能的一组通信行为本条中描述的安全方面的内容适用于应用上下文体系结构总体模型安全服务措施包括根据特定安全机制的规程产生交换和处理安全信息包含的两个独特功能类型是系统安全功能系统执行与安全有关的处理能力这类处理如加密解密数字签名或产生或处理在鉴别交换中运送的安全权标或证书这些实现功能不是层服务或协议的实现部分安全通信功能支持开放系统之间传送与安全有关的信息的功能这种功能在应用实体或表示实体中实现安全通信功能的例子有安全交换功能如中描述制定用来传递加密或数字签名信息的表示层协议元素的编码解码与安全服务器如鉴别服务器或密钥分发中心进行通信的协议系统安全功能和安全通信功能之间有两方面重大差别首先它描述了标准的两种不同类型系统安全功能在安全机制或安全技术标准中规定这些标准常常制订为通用的且不必与任何特定通信协议和层关联系统安全功能标准可能对非通信安全有用另一方面安全通信功能是特殊通信协议规范如高层的一部分且不必与特定安全机制或技术关联另一重大差别是它用模型来分开实现中的安全功能和通信功能系统安全功能的集合将当作典型的可靠模型实现如作为可用的软件子系统或防干扰的硬件模块易于用到各种通信或其他环境因此系统安全功能和安全通信功能之间的边界可为定义标准化的实现界面如安全应用程序界面提供一个有力的开始点在体系结构方面引入了系统安全客体的概念一个是一组有关的系统安全功能的客体能通过一个抽象的服务边界界面和安全通信功能交互来提供要求的安全服务产生和处理在应用和表示层中用协议交换的安全信息交换的安全信息的逻辑结构可在中标准化因此它能在协议交换中表出一个调用是一个执行实例动态模型中调用可以和实体调用如调用交互的操作可包括从代表可发送和或接收信息的安全通信功能中接收信息或向它提供信息导致和其他开放系统如第三方鉴别服务器建立应用联系并在系统安全功能的措施中使用此应用联系建立一个随后在安全服务中要使用的安全联系注特殊系统安全功能或抽象服务边界等的规范不在本安全模型的范围内实现可用于非安全的目的然而任一这种应用都超过了本安全模型的范围图给出与应用和表示层有关的安全功能的基本模型模型中的客体包括应用实体表示实体和支持服务第层中支持服务为交换与安全有关的及非安全有关的信息提供基本的通信基础结构图与高层有关的安全功能高层中的层实体在安全服务措施中起如下作用在应用层各将应用进程通信方面模型化并且能按照来精炼还要控制中描述的功能可含有安全通信功能措施的多个和或各和或也可能过采用安全变换见和或要求来自下层的合适的服务质量对被保护信息加以排列在表示层表示实体提供安全通信功能这些功能可以和将抽象语法映射到传送语法见中使用的系统安全功能如加密一起工作在会话层中不提供安全服务然而指出了在环境内可能对安全措施产生影响的会话层操作的某些方面上面的基本模型有利于部件和之间抽象服务边界的一般定义并允许安排使用各种信任方案如如中规定的注图所示的和之间的交互在和中讨论安全联系高层中安全联系要映射到联系本安全模型不为建立或终止安全联系规定特定的方法通常这种建立终止可和标准化的联系建立过程一起获得或者通过其他方法获得特殊的体系结构考虑将用于中所确定的两种特殊类型的安全联系应用联系安全联系应用联系安全联系映射到一个应用联系安全服务通过使用下列功能和服务来实现应用层中的安全通信功能及相关的系统安全功能表示层中的安全通信功能及相关的系统安全功能低层提供的安全服务注正如中指出的会话层中没有安全机制然而设计高层安全协议时要考虑会话层操作的两个方面用可能引起数据不传送的会话服务的潜在影响见和连续重用支持几个会话连接见的运输连接某些情况下可能要求组合应用层和表示层中及与系统安全功能相关的安全通信功能