YD-T-849-1996.pdf

y d 8 4 9一 1 9 9 6 前言 本标准等i , f 采j$ c c i t t x . 8 0 0 ( 1 9 9 1 年版本) 。 c c i t t x . 8 0 0 和i s o 放系统互生 - 一 茶本参考模i - - 一 第2 部分; 安全体系结构 在技术 几 是- 本标准的附录 八， b ， ( 一 为 提示的附录 本标74山邮电部电信科学研究规划院提出并归门。 本标准由邮电部数据通信技术研究所负责起草 本标准主要起草人: 钟点强 4 9 82 件: i处理佘统 1 全等一司 的_ y di/ t 8 4 9一1 9 9 6 c c i t t前言 c c i t t 国际电报电话咨询委员会 是国际电信联盟c 1 l u) 的 个 常没机构， c c i t t负黄 研宜技 的、 操作的和资费的问题， 并且为了 实现全世界电信标准化， 对 卜 述问题发布建汉 林4 年召汗 一 次的c c i t t全体会议确定研究课题并批礁由各研究组起草的建议 ( f 两次乍咋会议 之问， c c i t t的成员可按c c i t t第 2号 一 决议( 1 9 8 8 年订于翠尔木) 拟定的程序批准建议 建议x . 8 0 0 由第w研究组起草， 并根据第 2 号决议的程序于1 9 9 1 年3 月2 2日 被批准 中华人民共和国通信行业标准 丫万 ) 了 t i dt ( xitt 1 9 9 6 1 9 9 1 开放系统互连安全体 系结构 引言 c c i t t x . 2 0 0 1* 1 述开放系统互连( c s i ) 参考模?1 r1 。它为协调开放系统4 : 连的现有建i x 和长 来班 扛义 的_ 汗 发提供枢架 开放系统 l 连的f 1 标乃使不同类型的计钟机系统能够相互连接， 从而达到应用进程y ill 州i 效1! 信 的日 的。 在不同的场合， 必须设in安全控制以保护在应用进程之间进行交换的信tll 这种分1 扮制访 电 使非法获取或修改数据的行为得不偿失， 或设法延长非法获取数据的时间. 直到该数据失去价依 本标准定义的安全保密总体结构要素， 可在需要保护开放系统之问的i t 信的场合使用。 为厂 保l ( !: j 11 信的安全和保密. j 卜 在c s i 范围内提供始终致的安全保密措施， 本建议根据参考模型的柑架为改i 些 现有的( ) s i 建议或制定新的( ) s t 建议制定 一 些指导性准则和规定一些限制条件 有关安全保密通信的背景知识， 对理解本建议是有帮助的。那些小熟悉安全保密通信的改者. t , +u 7 光参阅附录八 本标准扩大了参考模1, ( c c i t t x . 2 0 0 ) 的范围， 增加了安全保密方面的内容 安全保密是通洁协议 的总体结构要素， f 桂 在参考模型中并未论述 ， 范围与应用领域 本标准: a ) 提供参考模型可 能提供的安全服务及其相关机制的总体说明; h ) 定义参考模t能够提供上述服务和机制的位iy i: 本标准扩大c c i t t x . 2 0 0 的应用领域， 增加了开放系统之间的安全保密通信的有关建议 本标准对参考模型各层使用的基本安全服务和机制及其适当的位性均作了明确的说明。 此外 对安 全服务和机制与 参考模吧之间在结构上的关系也作了描述 在端系统、 装配和组织中有可 能需要附加的 安全措施， 这些安全措施在各种应用中均涉及到。 支持这种附加措施所需要的安全服务的定义爪属于 本 标准的范围。 o s的安全功能只 关心端系统完成向其他端系统安全传递信息所使用的通信路径的ii i 见方i f! , o s i 的安全功能不涉及端系统、 装配和组织中的安全措施， 唯当涉及到在o s i 内看得见的安全服务的选择 及其位粉的确定时例外。后一 种安全服务应当有个标准， 但不 属一 i - o s l 建议的范围。 木标准对c c i t t x . 2 0 0 作 厂 概念和原理 的补充， 但未作任何修改。本标准既不是实施t 1 ifrj 的规 范 也不是检定具体实施的 一 致性依据 2 引用标准 下 列标准所包含的条文. 通过在木标准中引用而构成 为本标准的条文.本标准出版时 所示版卞 均 为有效。所一育 标准都会被修汀， 使用本标准的各方应探讨使用 ; 列标准最新版木的叮能性 (1“i1 x . 2 0 0 c c i t 丁应用的开放系统互连参考模型 i s o 7 4 9 8 : 1 9 8 4 信息 处理系统一一 开放系统互连基本参考模型 中华人民共和国邮电部1 9 9 6 一 0 5 一 2 2 批准 1 9 9 6 - 1 1 - 0 1 实施 y d/ t 8 4 9 - 1 9 9 6 裂孩 i s o 7 4 9 8 4 : 1 9 8 9 信息处理系 统一 斤放系 统咬 连一 基本参考枝型 i s o 7 4 9 8 / 4 i ) 1 : 1 9 8 7 信息处理系统 一 开放系统互连一 从术3考模,f il雀 4i+ 分引 传输 i s o 8 6 ; 8 : 1 9 8 8 信熟处理系统 - 一 汗放系统互连一 一 网络法的内部组织 3 定义与缩写词 3 - 飞 本标准根据 c c i t t x - 2 0 。 的概念制定并使用该建议定义的下列术“ ; ; a ) ( n ) 连接 h ) ( n ) 数据传输 c ) ( n ) 实体 d 飞( n) 设施 e ) ( n) 层 d开放系统 g ) 对等实体 h ) ( n) 协议 j ) ( n ) 协议数据单元 k )( n) ， ! ， 继 均路由选择 m ) 村 转 序 : ， )( n) 服务 p 、 ( n ) 服务 数据单元 ( 1 ) ( n ) 用户数据 r ) 子 网 、 ) o s i 资源 日传送语法 3 . 2 木标准使用引自 相应的c c i t t建议/ 国际标准的术语如 卜 : 无连接型传输( i s o 7 4 9 8 / a d l 端系统( c c i t t x . 2 0 0 / i s o 7 4 9 8 ) 中继与 路山选择功能( i s o 8 6 4 8 ) 管理信息 库( mi b ) ( i s o 7 4 9 8 - 4 ) 此外还使用 厂 下列缩写词: o s i 开放系统t - 连; s d u 服务数据单元; s mi b 安全管理信息库; mi b 管理信息库 3 . 3 本标准使用的定义如 卜 : 3 . 3 . 1 访ia控制a c c e s s c o n t r o l 防止 未经授权擅自使用资源， 包括对以龙 权方式使用资源的顶防 3 . 3 . 2 访问控制表a c c e s s c o n t r o l l i s t 有权访问资源的实体及其访问权的对照表 3 - 3 . 3 u 追溯性a c c o u n t a b i l i t y 保 f 实体的行为可 追溯到唯 一 的实体的一种特性。 13 . 4 牛 几 动吧威j 办 a c ti v e t h r e a t y d / t 8 4 9 一 1 9 9 6 蓄意抱自改变系统状态的威叻 注对安个的 别as 威胁的矢 例有 修改稍! ;!.几 播消似， 插入4 , 从息 c f c , 有权” 体以及)约拟务 13 . 5 5 ( i 计 。 o n 参见交全审计 3 . 3 . 6 ,1 1 t 计数据: u d i t t r a i l 参见交全市计数据 3 . 3 . 7 汰i ii- a u t h e n t i c a t io n 参见数据源认证和对等实体认证。 正: 本标71 s 使川的 认证” 一词不涉及数据的完整性; 涉及数据完整性时使用的是 数据完整性” 3 - 3 . 8 认证信它 a u t h e n t ic a t io n i n f o r m a t i o n 用来确定声称的身份是否有效的信息。 i3 . 9 认lil 交换 a u t h e n t i c a t io n e x c h a n g e 通过信息交换鉴定实体的身份的机制 i3 . 1 0 授权 。 u t h o r iu a t i o n 权力的授予， 包括根据访问权进行访问的权力 3 . 3 . 1 1 o f 用性a v a i l a b i l i t y 根据需要允许有权实体访问和使用的特性 3 - 3 - 1 2 资格级别c a p a b i l i t y 用千识别资源的一种标志: 拥有这种标志意味着拥有对该资源的访问权 3 . 3 . 1 3 言 道c h a r n e l 传递信息使用的条路径。 3 . 11 4 密义 c i p h e r t e x t 被译成密码的数据。译成密码后的数据便失去了其语义学的内容。 注: 密文本身可作为加密的输入. 从而产生超加密输出。 3 . 3 . 1 5 明义 c l e a r t e x t 叮 理解的数据， 它具备语义学的内容。 3 . 3 . 1 6 机密ifi c o n f id e n t ia li t y 防土 信息被透露或提供给 卜 授权的个人、 实体或进程的特性。 i11 7 凭证c r e d e n t i a ls 用来确定实体声称的身份而传送的数据。 331 8 密码分析 c r y p t a a a l y s i. 对密码系统和 或其输入、 输出的分析来导出保密变垦和/ 或机密数据， 包括明码义本在内- 3 . 3 . 1 9 密码校验值 c r y p t o g r a p h ic c h e c k v a l u e 通过对数据单元进行密码变换( 见密码术) 而导出的信息。 汀 _ : 校验 仇的导 出 可分 一 步或几步 完成 校验值是钥匙和数据鱼元的数 学函数的 个结果 它a !碑 ii i 单 c 的完1 l l u _ 合法的资源存取. 或延迟对时iu l 敏感的操作 13 . 2 6 数字签名 d ig it a l s i g n a t u r e 数字签名是附在数据单元的数据， 或数据单7t的密码变换( 见 密码学) ; 通过 i - - 1 亥 数据中i l 吮t i 收吝 能够证明数据单元的来源及其完整性和防止假冒。 3 . 3 . 2 7 加密 e n c ip h e r m e n t 将数据变换为密码( 见密码学) 来产生密文 注: 加密操作有可能是不可逆的. 它使相应的解密过程成为不可能 3 . 3 . 2 8 加密处理e n c r y p t i o n 参见加密 3 - 3 - 2 9 端至端加密 。 n d - t o - e n d e n c ip h e r m e n t 数据在源端系统内或系统上的加密， 并且只允许在目的地端系统内或 产 系统 - 进行解密( 冬见 逐条 链路加密) 。 3 . 13 0 基1 = 身份的安全策略 、d e n t it y - b a s e d s e c u r i t y p o li c y 凭用户、 一群用户、 或代表用户和被访问的资源/ 客休的实体的身份和厂 或属h的安全政策 3 - 3 - 3 1 完整v : i n t e g r it y 参见数据完格性。 13 . 3 2 密钥k e y 控制加密和解密操作使用的一序列符号。 3 . 3 - 3 3 密钥管理 k e y m a n a g e m e n t 根据安全政策， 生成、 储存、 分布、 删除、 存档和应用密钥。 3 - 3 - 3 4 逐条链路加密 l in k - b y - l in k e n c ip h e r m e n t 在 通信系统的每一条链路上对数据分别进行加密( 参见端至端加密) 。 们在逐条链路加密的情况 卜各个转接实休内的数据均以明文的形式表 1 几 3 . 3 . 3 5 操纵检测m a n i p u l a t i o n d e t e c t i o n 用来检验数据单元是否已被修改( 偶然或有意的) 的机制。 3 . 3 - 3 6 d充 m a s q u e r a d e 一 个实体rd 充为别的实体。 3 . 3 . 3 7 公证n o t a r i z a t i o n 将数据委托第三方 进行登记， 使第三方能够保证该数据的特性( 如内容、 源、 时问和传递) 的比 _ 确性 3 . 3 . 3 8 被动t . 威胁p a s s i v e t h r e a t 对信息的擅自 透露( 但不改变系统状态) 的一种威胁 13 . 3 9 口 令 p a s s w o r d 保密性认证信息， 通常是由字符串构成。 3 . = . 4 0 对等实体认证 p e e r - e n t i t y a u t h e n t i c a t i o n 确证关联中的对等实体与所声称的相符。 3 3 . 4 1 物理安全 p h y s ic a l s e c u r it y 保护资源兔遭蓄意和偶然o f 威胁使用的措施 y j j / r 8 4 9 一 1 9 9 6 13 . 4 2 政策p o l i c y 参见安全政策。 3 . 14 3 隐私权 p r iv a c y 属 个人的控制权或影响， 川 以 小 1 - 哪j l l t 洲也 们有关的信息可以采集和储存、 哪些人可以回哪: 1 l一 六 j 该信息的控制权和彩响 注: 山于这个术语涉及个人权力， 故小可能 曰1 确切， 而比除了作为申清安全的动机之外比 i比 4 1 兔付 3 . 3 . 4 4 否认r e p u d i a t i o n 参与 通信的实体之一否认参加r 通信的全部或部分过程。 3 . 3 . 4 5 路由 选择控制r o u t i n g c o n t r o l 在进行路山选择的过程中使用一些规则来选择通过或绕过特定网络链路戈 转接点。 3 . 3 . 4 6 基于规则的安全政策r u le - b a s e d s e c u r it y p o li c y 以全局规则为 基础的安全政策对所有的用户均有效. 这些规则通常依赖于被访p d 的资源保密f ; a 以及用户、一 群用户、 或代理用户的实体拥有的对应属性之间的比 较。 3 . 3 - 4 7 安全审计s e c u r it y a u d it 对系统记录和活动的独立复查和检查， 以便检验系统的控制是否充分. 确保该系统与现行政策同钱 理程序保持 一 致 检测违反安全保密程序的行为以及介绍控制、 政策和程序中被指出的任何变化 13 . 4 8 安全f f 计数据s e c u r i t y a u d i t t r a i l 为厂 便于进行安全审查而收集的数据。 3 - 3 - 4 9 安全标签 s e c u r i t y l a b e l 挂在资源( 如数据单元) 上的标签， 指名或指出该资源的安全保密属性。 注:匕 述标签的标记和/ 或锅合可以明显方式或隐含方式表示 3 . 3 . 5 0 安全政策s e c u r i t y p o l i c y 提供安全服务使用的一套准则( 参见基于身份和基于规则的安全政策) 。 注: 完整的安全政策照例应当包含诸多方面， 从而超出犷 开放系统互边的范围 3 . 3 . 5 1 安全服务 s e c u r i t y s e r v ic e 山l 些 行通信的开放系统的某一 层提供的服务， 刘系统或数据传递提供充分的安全保r lf 3 . 3 . 5 2 有选择的字段保护 s e le c t iv e f ie l d p r o t e c t io n 为准备发送的信息中的特定字段提供保护。 3 . 15 3 敏感性s e n s i t iv i t y 敏感性是资源的一 种特性. 表示资源的价值或重要性， 并且可以包括易受袭击的敏感r i 3 . 3 . 5 4 签名 s i g n a t u r e 参见数字签名。 3 . 15 5 威胁t h r e a t 破坏安全的潜在危险 3 . 15 6 1 k 务员 分析 t r a f f ic a n a ly s is 根据业务流址的观察( 有、 无、 数量、 方向和频率) 对信息进行推断 3 - 3 - 5 7 ， 11 务 流量的保密 t r a f f ic f l o w c o n fi d e n t ia li t y 保护业务流量不被局外人分析的种保密服务。 3 . 3 . 5 8 0务 谈填充 t r a f f ic p a d d in g 生成假通信实例、 假数据单元和/ 或在数据单元中生成假数据。 3 . 15 9 可信功能 t r u s t e d f u n c t io n a lit y 根据某些准则. 如安全政策所规定的准则， 被认为正确的功能 y u i f 8 4 9 一 1 9 9 6 4 符号规则 本标准使用的层符号与c c i “1 “ t x . 2 0 0 相同。 若不加形容词. 服务”一 词均指安全服务。 5 安全服务与机制的一般描述 5 门概述 本章介绍属于( ) s 1 安全体系结构的安全服务和实现这些眼务的机制。!弓 主 安全服务l 创,c -h l 1) % , 全 服务。实际上他们通常随非o s i 服务和机制用在对应的层上及对应的组合中以满尼安个政策fi l l或 1 ;, 户要求。特殊的安全机制可用干实现基本安全机制的组合。实际的系统构造可实现山 3 彭 l i j 的l ;t , 交 全服务的特殊组合. 5 . 2 安全服务 下 列服务认为是安全服务。 这些服务在 ) s i 参考模型的框架内有选择地提供、 汰证服务要求有i c 地存储的认证信息和为认证而传送的数据( 见 证) 。 5 . 21 认证 这此服务规定 述的通信对等实体和数据源的认证 5 . 2 . 1 . 1 对等实体认证 当由( n ) 层提供时， 该服务向( n +1 ) 实体保证， 对等实体与声称的( n丰 功实体相符 本服务在连接建立阶段或往往在数据传送阶段可用来确认一个或多个实体同另 一 个或多个 实体相 连接时的身份。本服务仅在有效使用时间内确保某实体冒充另一个实体或擅自重放前 1 个 连接的尝试 成为不可能 无论使用或不使用完好性自 诊机制都可以使用单方 和对等实体之间的相互认i ll 机制 从向 获得一定程度的安全保护 5 . 2 . 1 . 2 数据源认证 当本服务山( n ) 层提供时， 它向( n+l ) 层证实， 某数据源与所声称的对等( n以、 实体相符 数据m il, 认证服务提供数据单元资源的证实。 本服务不提供对数据单元的复制或修改的顶iv ) t i: 保护 5 . 22 访间控制 木服务防比无权用户通过o s i 擅自使用可访问的资源。这些资源可能是通过( ) s i 协f 义 访问的o s l 资源或非u s i 资源。 本保护服务可用于对个资源的多 种访问( 如通信资源的使用， 信息资源的读、 写. 删除， 处理资源的执行) 或对一个资源的所有访问 访问控制应符合各种安全政策( 见6 . 2 . 1 . 1 ) 5 . 2 . 3 数据保密 这此服务按 ; 述方法保护数据未经许可不得透露 52 . 3 . 1 连接保密 卞 服务为( n ) 连接的所有( n) 用户数据提供保密。 召 _ : 取决于使用和层， 它可能不适合于保护所有数据， 如经处理的数据或连接请求中的数据 5 . 2i2 尤连接保密 本服务为单个无连接型( n ) - s d u中的所有( n ) 用户数据提供保密 5 . 2 , 3 . 3 选择字段保密 本服务为( n 连接或单个无连接型( n ) - s d u的( n) 用户数据中的所选字段提供机密性 5 . 2 - 3 . 4 业务流量保密 本服务为有可能从业务流量的观测结果中得到的信息提供保护 5 . 2 . 4 数据完整性 y d. / ,r 8 4 9 1 9 9 6 这此服务对抗 沁力 j 代 威胁. 并! 1丁 采用下列的形式之 汁f t 连接 卜 ， 若介 _ 该连接1 1- 始时使川对等实体认证服务， 住该 生 i的生存期使用数据 元 整性服务. 1 h可共杯抽 叹 ， 石iy = 接 传, e : 的所有数据的资源提供认证 为这些数据单2 从完整性提供保证， 封带地为数据单 引勺 泛韶咬 行检测( 如使川序号 5 . 2 . 4 . 1 有恢q能力的连接完整性 卞服务为 n ) 连接的所有( n) 叮户数据提供完整性保证 对 一 个完整的s d l序列内的们 _ 何数据的 rl a 改、 插入、 删除或vi i . 放的检测( 试图进行恢复) 。 5 . 2 . 4 . 2 h恢复能力的连接完整性 如x . 2 . 4 . 1但无恢复企图。 5 . 2 . 4 . 3 有选择的字段连接完性性 本服务为在连接 几 传送( n ) - s d u的( n ) 用户数据内的所选字段提供完整吐， 检测所j 丝 一 犷 段沦， 一 匕 被修改、 插入、 删除或重放- 5 . 2 . 4 . 4 无连接完整性 当由( n ) 层提供时， 本服务对所中请的( n十1 ) 实体提供完整性保证 卞服务为单 一 无连接s d u提供完整性， 检测收到的s d u是否已被修改此外， 还可以有吓 口衫 式提 f a 对重放行为进行检测 5 . 2 - 4 . 5 有选择的字段无连按完整性 术服务为单 一 无连接s d u内的被选宇段提供完整性， 检测被选字段是否被修改 5 . 2 . 5 抗否认 本服务可采用 一 种或两种形式 52 . 5 门凭源端记 一 据的杭否认服务 接收数据的 一 方获得发送方 发送数据的证据 以防比发送方以欺骗的手 段否认发送数据或其内容 的任和 1 企图。 5 - 2 . 5 - 2 凭交付证据的抗否认型服务 发送数据的一 方获得交付数据的证据， 以防止收方以欺骗的手段否认收到数据或其内弃的仁何众 周 5 ， 3 特定安全机制 下 列机制可加到适当的( n ) 层以便提供 . 2 所述的一些服务 5 . 31 加密 5 . 3 . 1 . 1 加密机制能够为数据或业务流举信息 提供保密， 并补充 其他的安全机制或扮演其中的哄 - t r1 色如r 节所述。 5 . 3 . 1 . 2 加密劝法有可逆和不可逆两种形式。可 逆加密算法大致又可分为两种类塑: 。 ) 对称( 如秘密密钥) 型加密: 知道加密密钥意味着知道解密钥， 反之亦然; 6 )不 对称( 如公开密钥) 型加密: 知道加密密钥并不意味着知道解密密钥. 反之亦然 _杯中 系沛理 的两把密钥有时也叫做 公开密钥” 和“ 专用密钥” 不可逆加密s 7 法可使用或不使用密钥。在使用密钥的场合可使用公1 i 或专 用密钥( 密钥) 5 ， 3 门， 3 除在 一 些不可逆加密算法的情沉 卜 加密机制的存在意味着应当 使用密钥管理棋 _ 制了 户矛 念 钥竹理方法论的 一 些指导性原则在 8 . a 1 卜 给出。 5 . i2 数 了 二 签名机制 本机制定义两项程序: 妇 签署数据单; 亡 : b ) 检验被签并的数据单元。 第项进程使用签名行 的专用( 即独 一 无二和保密的) 信h 第 一 项进程使用公! 的程斤和训 、 . ) y i ) t 8 4 9 一 1 9 9 6 该程厅和信岔 不能用来钟出签名者 的专 用信f i 5 . 3 . 2 . 、 签名进程包括使用签气者的专用信急对数据? ? - , 进行加密， 或成数据单少 引 :j密码学校验 t f i 5 . 3 . 2 . 2 检脸进私 全 包括使 1 公井灼程序和信cu 、 来确定所签的名是n 使用签名片 的专 !+ j 信它准署的 .i . 3 . 2 . 3名d i l $ 7 1y 1 要特性是保证只能使用签名者的专 用信总 进行签名 ik l j il . 、 嚼御 价签名 时 仕仁 )士 候携 转 卜 认 、介 能够向第三方( 例如裁1 9 或仲裁 i ie 明只 有专用信息的唯 一 所有者能够 .: a签名 5 . 3 . 3 i ? i -.a 书 ; 斜 ， 打 l f hi l b . 33飞 丘 孟 些机制可使用实体的合法身份或资料( 例如在 一 给定实休集的成员身份) 戈 实体日 ， 能力以 确定和实施实体的访问权。若实体企图使用咋 法资源， 或企图通过小含 理的访问方 一 式使 合汰资源. 比 访问控制功能将阻止这种企图并可报告这种情况的发生以便产生 ,- t 8 4 9 一 1 9 9 6 8 门. 3 ( ) s i 安全竹理关心 ) s i 安全服务和机制的管理。 这种管理要求将管理信息分布于 这些1报务4 1 机 制内月 收集肖关这些服务和机制的操作的信息例如， 加密密钥的分布、 山主管m u ( i 规定的安i 选择参 数的设段、 有关i t 常和不11 . ,9的安全水件( 审计数据) 以及对服务的激活和解除激活 安个竹理 i - 涉女而 要i l,t9 用特定安全服务的协汉中有关安全信息的传递( 例如在连接请求, 的参数) 8 、 i 砚 安全管理信息库( s m i t o 是储存开放系统所r的全部安全信急 的假想贮藏宝这个4 ! l 念小 包含 储存 卜 述信息或实现的方法。但是. 为 厂 能够履行适当的安全保密政策. i 4一个端系统必须包含必要1 “ 本地信息。当需要在 一 个( 以逻辑形式或物理形式组合的) 端系统群之中履行 一 致的安全犷 交 策时. ， m比 是个分布式信息库 在实际情况 . s mi b的一部分可以或不可以同mi b综合在民 注: s mi b的实现方案有好儿种. 例如: ) 数据表; b 文档; 。 ) 嵌在实少 放系统的软件或硬件之中的数据或规则 8 . 1 . 5 管理协议( 特别是安全管理协议) 和传递管理信息的通信信道， 都有潜在的危险 因此 务必丁 s t y 为 i s ; 理协议和信息提供保护. 以保证一般通信实例的安全保护不被削弱。 8 门. 6 为了建立或扩建s m 1 13 ， 安全管理可要求在各系统的主管部门之间交换安全的相关信伙在某 咚实例中， 与安全相关的信息需要通过非o s i 通信路径， 因此木地系统的 社 管部门将采用非( ) s 1 的标 准方 法去史 新s mi b o在其他的实例中， 有可能需要通过 一 条o s i 通信路径交换上述信息 这时信息是 在实开放系统中运行的两个安全保密管理应用软件之间传递的。安全管理应用软件将使用通信倍f 3 去 更新s mi b 更新上 述s m i b 之前叮 能首先要求得到安全主管部门的批准 8 - 1 . 7 拟定义通过o s i 通信信道交换安全相关信息所使用的应用协议。 8 . 2 o s i 安全管理的p i l 类 o s i 安全管理活动有以下三种: a ) 系统安全管理; b ) 安全服务管理; 和 c ) 安全机制管理 此外， 务必考虑o s i 管理本身的安全( 见8 . 2 - 4 ) 。这些安全保密管理的主要功能在 下 向描生 8 . 2 门系统安全管理 系统安全管理关心整个o s i 环境的安全保密方面的管理。下而列举属于这种安个竹理的典型行 动: a ) 安全政策的综合管理， 包括修改和一致性维护; b ) 同其他o 5 1 管理功能的交互作用; 。 ) 同安全服务管理和安全机制管理的交互作用; ( 1 )打 件处理的管理( 见8 . 3 . 1 ) ; 。 ) 安全审计的管理( 见8 . 3 . 2 ) ; 们安全恢复的管理( 见8 . 3 - 3 ) 8 . 2 一 2 安全服务管理 安全服务管理关心特定安全服务的管理。下 面列举管理特定安全服务需要 做的 一 此典r ta j 丁 作; a )为 特定服务确定和分配安全保护目 标; )。 ) 为提供所需求的安全服务使用的特定安全机制的选择( 当有可供选择的机制时) 规则的分配和 4 ,月 门 了 在本地或远端) 协商选择可使用的安全机制， 使用该机制之前需要预先达成竹理 仁 的协仪 d ) 通过适当的安全机制管理功能去 调用特定安全机制， 例如， 为了 提供主管部门提出的安全服务 r . 23 安全机制管理 y d / t 8 4 9一1 9 9 6 安个机制管理关 心对特定安全机制的管理 面列举典型的安t陇制的共f !1! i l l 能 1 i 曰 详红- 功能: 们 密钥的竹f g i ; 6 ) 加密竹到 ! ; 内 数 芥 莽名 管理; ( i ) 访问控制管理: 。 、 数据完iix 性管理; f ) 认证p s 理 k ) 业务址镇充骨理; h ) 路由选择控制管理; 户公证管理 卜 述安全机制管理功能的详细说明在8 . 4 中给出。 8 . 2 . 4 o s i 管理的安全保密 所有( s i 管理功能和o s i 管理信息的通信的安全均属于o s i 安全的重要组成部分为1 保证 ) 引 管理协议和信息得到充分的保护. 这类安全管理将从表中选择适当的( ) s i 安全服务和机制( 1l 例如， “ 场 管理实休之间的通信需要访问管理信息库时， 通常要求提供x- 种形式的保护- 8 . 3 特定系统安全倍理的活动 8 - 3 . 1 事件处理的管理 在o s i 内看得见的事件处理的管理是远距离报告有关违犯系统安全的明敏企图以及修改起谈 , ; 件报告的门限。 8 . 3 . 2 安全审计的管理 安r市训管理可 包括: : ) 选择拟记录和/ 或在远端收集的事件; b ) 起动或停i l 记录被选卞件的审计数据; 。 ) 远程收集被选的审计记录; d ) 准备安全审汁报告 8 . 13 安全恢复管理 安全恢复管理可包括: ) 维护用于对实际的或嫌疑的安全违章作出反应的规则; b ) 远程报告有关系统安全方而的明显违章; c ) 安全保密主管部门的相互作用 8 . 4 安全机制管理功能 8 . 4 . 1 密钥竹理 密钥许理可包括: ) 根据所要求的安全层次定时生成合适的密钥; b ) 根据访问控制的要求， 确定哪此实体可 接收每一把密钥的拷贝; 和 。 ) 采用安全 的方式将密钥准备好 或分配给实开 放系 统中 的实 休实例。 显 然， 有些密钥若理功能将在( ) s i 环境以外完成， 这包括通过可信手段对密钥进行的物1 ,t, 一卜 在一 次联系中， 交换_ 作密钥是一种正常的层协议功能 -i 一 作密钥可通过密钥分配中心的 选择 或通过f理协议进行预分配 8 . 4 . 2 加密竹理 加密杆j fif 可 包括: ) 与密钥管理的交互作用; y d / t 8 4 9一1 9 9 6 b ) 建q 密码参数; c ) 密码同步 加密机制的存在意味着要使用密钥管理功能和使用普通力 一 法去丈 联密码钟i 1 : , 加密管理功能所能提供的保护其区别程度取决于()st环境内有哪,l,实体独认 拥有密钊这山 常公 然要取决f 安全保密结构， 尤r 是钥匙管理机制。 密码劝法的普通关联可使用密码算法寄存器或在实体之间预先达成协议来获得 8 . 4 - 3 数字签名的管理 数字签名可包括: a ) 同密钥管理功能的交互作用; ) 建立密码参数和算法; c ) 在通信实体之间( 或可能还有第三方参与) 使用协议 注: 通常， 数字签名管理和加密管理之间存在着极为相似之处 8 . 4 . 4 访问控制管理 访问控制管理可包括安全属性( 包括口令) 的分配或对访间控制表或能力表的修改 此外. 还可以位 括在通信实体和其他提供访问控制服务的实体之间协议的使用。 b . 4 . 5 数据完整性管理 数据完整性管理可包括: 。 ) 同密钥管理的交互作用; b ) 建立密码参数和算法; c ) 在通信实体之问协议的使用。 注: 朽 为数据完整性使用密码技术时， 数据完整性管理和加密管理之可存在着极为相似之处 8 . 4 - 6 认证管理 认l e 管理可包括向需要完成认证任务的实体散发说明型信息、 1a 令或钥匙( 使用钥匙管理功能) 。 此 外， 还可以包括在通信实休和其他提供认证服务的实体之间协议的使用 8 . 4 - 7 业务量填充管理 业务里填充管理可包括业务填充规则的维护， 例如可包括: a ) 预先指定的数据率; k ) ) 指定随机数据率; c ) 指定消息特性， 如长度; d ) 变换指定参数， 可 根据天的时r 7 和/ 或日 历进行更新。 8 . 4 . 8 路由控制管理 路由控制管理可包括链路或f 网的定义; 这些链路和子网对特定准则而言被认为是安全或o f 信赖 的 8 . 4 - 9 公证管理 公证管理可包括: 。 ) 有关公证人的信息的分配; b ) 有关公证人与通信实体之间协议的使用; c ) 与公证人进行对话。 y d / t 8 4 9 - 1 9 9 6 附录a ( 提不的附录) 在o s i 中有关安全的背景材料 a 1 背景 卞附录提供: a ) 有关o s i 安全的资料以便阐明本标准的内容; h )各种安全功能和要求的体系结构含义的背景 安全在o s i 环境中仅仅是数据处理/ 数据通信安全的 一 个方而。 若希望它们发挥效力. 则在(o ti i 环 境中使用的保护措施需要山 ) s i 以外的支撑措施来支持。 例如， 在系统之间流通的信息是可以加密的， 但若不采用物理形式对系统的访问进行安全限制， 则加密将等于零。 此外. o s i 只涉及系统的ft - 连 故挤 希望获得有效的o s i 安全措施， 则这些措施应当同o s i 以外的其他措施结合使用。 a 2 安全方面的要求 a 2 - 1 何谓安全 “ 安全” 一词是指减少财产和资源的脆弱性。所谓财产是泛指有价值的东西。脆弱性是任何可以刊 用的弱点， 以达yl侵犯某一系统或该系统所包含的信息的f 1 的。所谓威胁是指对安全的潜在危险 a 2 . 2 开放系统考虑安全的动机 为加强开放系统互连结构中的安全. c c i t t认为必须制定一系列建议， 原因是: : ) 社会日 益依赖于计算机， 计算机的访ip 7 和连接是通过数据通f 言 实现的 它需要保护以防正各种 威月 办; b ) 在 1 些国家已颁布有关数据保护的法规， 规定制造商必须能够保证系统的安全和隐私权: 。 )不同的组织希望为现有的和将来的安全系统采用根据需要而修汀的o s i 建议l a 2 . 3 要保护哪些东西 卜 列各项通常需要保护: 。 ) 信息和数据( 包括与安全措施相关的软件和 被动” 数据如口令等) ; !。 ) 通信和数据处理服务; 。 、 装备与 设施。 a 2 - 4 威胁 对数据通信系统的威胁包括: a ) 对信息和/ 或其他资源的破坏; !。 ) 对信息的讹用和修改; 。 ) 盗窃、 搬移或丢失信息和/ 或其他资源 d ) 透露信d; 。 )卜 断服务。 成胁可分为偶然型和蓄意型， 主动型和被动型几种类j a 2 . 4 . 1 偶然型威胁 偶然型威胁是非预先计划的下件。例如， 系统故障、 操作 l 的疏忽以及软件篆错等 a 2 . 4 . 2 蓄意型威胁 蓄意刑威胁包括使用容易获得的监控工具随意窃阅到使用特殊的系统知识的高级袭川丁 七黔甘 型威ii ) )若得逞则可视为一 种“ 袭击” 1 y d/ t 8 4 9 一 1 9 9 6 、 . 4 . 3 被动“ 刊 威胁 被动傲威协若得;洲等不 嵘; 1 系统内的任何信之 . 而f a _ p k 不变吏系统的操作义人嘴 令系洲 、 片 燕 怜 冲川尤源线窃u , - 通拓线传愉的信息 几戏1如 牲 iw , 协 走叹 成肋包括勺杀统内的只的修改、 戈改变系扮 洲戈 态和吐 _ 作例如 几 权们尸理有叹协 _ 系朴 一 务 内 1 z 沪七只性特殊类i , 的袭击 石 扼1x : 地介绍在数据处理一 教据j l$ 洁环境， ， 特别值得关is i 的 此袭击。( i 卜文 将i d 呀 泛 权 i 人 少 权. i个术语“ 授权” 是指 授于 牛 丈少 ， 该定义有两种含义: 完成某些动作( 例如. 存取数据、 的f刀; 彼 之少 某实体、 代理人或迸程的权力 故， 所谓合法1 i 为i2-指授权( fig 小是调用) 完成某些) ) 作的f 7 为 冷 价权的概念可冬阅八 . 3 . 3 . 1 . n 1 . 5 . 1 f- 1 九 个实体装扮j 戊 另 一 个实休的行为 称谓冒充 冒充通常伴随着其他形式的r 动1 1 1) 袭击. 尤其是取放 一 1 件方 肖 自 、 :例如一 场 有效的认证序列出现之后， 是有可能被截获和重放的。仅拥有 一 以权力的合法实 几、 勺介用伪装的手法y . 充拥有更多权力的实体以便获得该权力 人 2 . 5 . 2(r 放 将 一 消息或其i i i 的一部分加以重复以便产生非法的效果叫作重放 例如， 包含认证信以 的段消思 有叮 能破另 一 个实体重放来达到认证自己的身份的目的 s 2 . 5 . 3 更改消息 偷偷改变数据传输的内容， 井造成非法后果的行为称谓更改消息。例如， 有 一 消 “ !. , 其囚容为 . 允许 灼愉 赶 密斯 阅读保密文件 帐目 ” 被改变为“ 允许 弗雷德 布朗 阅读保密义件 帐日 . 论 5 z 打 】 绝服务 价 某 一 个实体拒绝完成本身的任务， 或妨碍其他实体完成他们本身的任务的行为 称渭拒维服务 这 沁袭击们 两种可能性: 第一种是无特定目 的袭击， 例如当一 个实体抑制所有的消息; 第 一 种脸有日际的 泣纬 . 例如当 一 个实休抑制所有送往特定目的地( 如安全审i 卜 服务) 的消息。这种袭击包括抑制业务i 冲讨 : 例所述) 和 卜 成多余的业务员。此外. 也 有可能生成某种情况来破坏网络的操作， 尤其l - : 4 1 网络包 话转接实体. 而后者的路由选择是根据山其他转接实体收到的状态报告确定的 n 25 5 内部袭击 当个系统的合法用户表现 一 种越权行为 或不正当行为时. 这种行为就称为内部袭 片 .， 人名数汁劝 们 价 熟叮 才 比砰 系统安全的内部袭击有关。防止内部袭 击的保护方 法如 卜 : l) -1) 1 1 市查 _ 作人员的品德; b ) ( ; - 5 (i 检查硬件、 软件、 安全政策和系统布，ll， 保oil 它们 l . 作_d确( 称为可信赖的功能) ; 飞 市汁 数据: i ll 来增强a ll 这种袭击的检测能力 入 27 . 6 外 : 袭击 补长 袭击有叮能使用下列技术: ) 拾线法( 1 动型或被动型) ; 曰 截收发射信号: 一 )汀允系统的授权用户或系统的组成部分; 山 1o 1 僻认i d 或访问控制机制 a 2“7 陷阱 讹 一 个 系统的实体被改变， 使袭击者能够通过命令或在预龙 确定的 j 件或j , 件)-i - ; ! -_ p - 1 越权的 泞叨叶卜 绷果称为陷阱例如， 个n令的认证有可能被修改. 从a除 犷 提供i 1 =. 4 i 效果a ;- , : 孰 了 、 能确认 ， t 一 女 自川 份. yd/r 8 4 9 一 1 9 9 6 a 2 . 5 - 8 特洛伊术马 当特洛伊木马 侵入系统时. 它具有双c 授权和未授权功能 把消息拷贝到矛龙权信个 _ 的 卜4“ 7 体也是特洛伊木马。 a 2 . 6 对威协、 风险和反措施的评估 安全功能， 通常会增加系统的成本和操作上的难度 因此 在设计 一 个安全系统之前 之 、 顶光 洁 几 体的威f i r ， 以便对系统提供有针对性的保护。 这种作法称为威肠评估一 个系统总有许多有初可积均 、 弱环节， 但可能由卜 袭击者没有足够的机会， 或若山于 认为得不 偿失和存在着被发现的危险 中比少 卜 仅有 些薄弱环节有可乘之机。 有关估计威胁的课题不属于本附录的范旧. 但是达种评f l, 人队可己一 下列内容: : ) 找出系统的薄弱环 竹; 切 分析有可能利用这些薄弱环节的威胁; 。 ) 估计每 一 种威胁 一 且得逞将产生的后91 ; a ) i a 计每 种威h o 花费的代价; e ) 下 占 计可利用的对策和需要付出的费用; f ) 选择合理的安全保密机制( 可利用性能价格比 分析) 作 技术性措施， 如 匕 保险， 有可 能要比技术性安全措施更合算。 完善的技术性安全是不仔八 h . . 1 如 不存在完养的物理安全一样。因此， 浅们的目标应当是设法提高袭击应付出的代价 以便把危险. 正厂 到 叮 接受的 程度 a 3 安全政策 本章讨论安全政策: 制定内容适当的女全政策的必要性; 安全政策的作用; 现行政策使用的万 法: 念 特别情况 卜 使用的特殊政策。然后. 把这 一 概念应用 于 通信系统 卜 a l 1 安全政策的目的和必要性 整个安全领域是复杂和广泛的任何比较完整的分析均将产生种类繁多的细节一 个恰、 , l 的安伙 政策应当把注意力集中于最高权威认为必须引起重视的那些方面. .q 要的是， 安全政策应当概括地仆 少 在安全领域内哪些在相关系统的 1 般操作过程中是允许和不允许的。 政策通常是不具体的; 艺! 七 址 提解 你注意至关重要的书 情， 但井不具体告诉你如何获得所希望的结果。政策奠定安个规范的最高川行 一 _ a 3 . 2 政策定义的含义: 修订过程 由厂 政策的概括性很强， 刚开始的时候是不可能知道如何把政策同特定应月 结合 在 起灼; 叭1 . 最好的办法是不断地修汀 政策， 在尽个阶段的应用巾增加新的细节部分。 要想知道这些细,i ,. 的力 件 竟是什么， 需要根据一般政策仔细研究具体的应用领域 这个研究应当弄清在试图把政策的条y 1 i . 4 c 应用结合在 一 起的过程中出现的一系列问题修订政策的过程是根据直接从应用中获得的材料i,v iii;i i _ 地阐明一般性政策的内容。新阐述的政策使制定实施方案细节的工作更容易些 a 3 . 3 安全政策的组成部分 现有的安全政策包括两个方面。 几 者均取决于 授权( 合法) 行为的概念， a 3 . 3