信息安全体系结构开放系统互连安全服务框架PPT课件

1、信息安全体系结构开放系统互连安全服务框架第第3章章 开放系统互连安全服务框架开放系统互连安全服务框架信息安全体系结构开放系统互连安全服务框架3.1 安全框架概况安全框架概况 安全框架标准是安全服务、安全机制及其相应安全框架标准是安全服务、安全机制及其相应安全协议的基础，是信息系统安全的理论基础。安全协议的基础，是信息系统安全的理论基础。 GB/T9387.2-1995（等同于（等同于ISO7498-2）定义了）定义了进程之间交换信息时保证其安全的体系结构中进程之间交换信息时保证其安全的体系结构中的安全术语、过程和涉及范围。的安全术语、过程和涉及范围。 安全框架标准（安全框架标准（ISO/IEC

2、 10181-110181-7）全）全面惟一地准确定义安全技术术语、过程和涉及面惟一地准确定义安全技术术语、过程和涉及范围的标准。范围的标准。信息安全体系结构开放系统互连安全服务框架安全框架的内容安全框架的内容 描述安全框架的组织结构描述安全框架的组织结构 定义安全框架各个部分要求的安全概念定义安全框架各个部分要求的安全概念 描述框架多个部分确定的安全业务与机制之间描述框架多个部分确定的安全业务与机制之间的关系。的关系。信息安全体系结构开放系统互连安全服务框架3.2 鉴别（鉴别（Authentication）框架）框架 ISO/IEC10181-2是开放系统互连安全框架的鉴别框架是开放系统互连

3、安全框架的鉴别框架部分。部分。 主要内容主要内容鉴别目的鉴别目的鉴别的一般原理鉴别的一般原理鉴别的阶段鉴别的阶段可信第三方的参与可信第三方的参与主体类型主体类型人类用户鉴别人类用户鉴别针对鉴别的攻击种类针对鉴别的攻击种类信息安全体系结构开放系统互连安全服务框架3.2.1 鉴别目的鉴别目的人人进程进程实开放系统实开放系统OSI层实体层实体组织机构（如企业）组织机构（如企业）主主体体类类型型鉴别目的：鉴别目的：对抗冒充和重放攻击对抗冒充和重放攻击主体主体实体实体可辨别标识符可辨别标识符鉴别服务鉴别服务一个主体可以拥有一一个主体可以拥有一个或多个个或多个验证主体所宣称的验证主体所宣称的身份身份信息安

4、全体系结构开放系统互连安全服务框架3.2.2 鉴别的一般原理鉴别的一般原理 可辨别标识符可辨别标识符同一安全域中，可辨别标识符具有唯一性。同一安全域中，可辨别标识符具有唯一性。 在粗粒度等级上，组拥有可辨别标识符；在粗粒度等级上，组拥有可辨别标识符； 在细粒度等级上，实体拥有可辨别标识符。在细粒度等级上，实体拥有可辨别标识符。在不同安全域中，各安全域可能使用同一个可辨别在不同安全域中，各安全域可能使用同一个可辨别标识符。这种情况下，可辨别标识符须与安全域标标识符。这种情况下，可辨别标识符须与安全域标识符连接使用，达到为实体提供明确标识符的目的。识符连接使用，达到为实体提供明确标识符的目的。信息

5、安全体系结构开放系统互连安全服务框架举例举例 Windows NT系统中有两种模式：系统中有两种模式：工作组工作组域域 用户帐户（用户名、密码），组帐户是一个可用户帐户（用户名、密码），组帐户是一个可辨别标识符；辨别标识符； 在不同域之间的用户帐户鉴别，鉴别时需要提在不同域之间的用户帐户鉴别，鉴别时需要提供域的信息。供域的信息。信息安全体系结构开放系统互连安全服务框架鉴别的一般原理鉴别的一般原理 鉴别方法鉴别方法已知，如一个秘密的通行字已知，如一个秘密的通行字拥有的，如拥有的，如IC卡卡不可改变的特性，如生物学测定的标识特征不可改变的特性，如生物学测定的标识特征相信可靠的第三方建立的鉴别相信可

6、靠的第三方建立的鉴别环境（如主机地址）环境（如主机地址）通过通过“拥有的拥有的”某物进行鉴别，一般是鉴别拥某物进行鉴别，一般是鉴别拥有的东西而不是鉴别拥有者。它是否由一个特有的东西而不是鉴别拥有者。它是否由一个特定主体所唯一拥有，是此方法的关键所在，也定主体所唯一拥有，是此方法的关键所在，也是此方法的不足之处。是此方法的不足之处。信息安全体系结构开放系统互连安全服务框架鉴别的一般原理鉴别的一般原理 在涉及双向鉴别时，实体同时充当申请者和验证者的角色在涉及双向鉴别时，实体同时充当申请者和验证者的角色 可信第三方：描述安全权威机构或它的代理。在安全相关的活可信第三方：描述安全权威机构或它的代理。在

7、安全相关的活动中，它被其他实体所信任。可信第三方在鉴别中受到申请者动中，它被其他实体所信任。可信第三方在鉴别中受到申请者和和/或验证者的信任。或验证者的信任。主体主体实体实体申请者申请者验证者验证者就是就是/或者代表鉴别主体。或者代表鉴别主体。代表主体参与鉴别交换代表主体参与鉴别交换所必需的功能。所必需的功能。就是就是/或者代表被鉴别身或者代表被鉴别身份的实体。参与鉴别交份的实体。参与鉴别交换所必需的功能。换所必需的功能。信息安全体系结构开放系统互连安全服务框架鉴别信息（鉴别信息（AI） “鉴别信息鉴别信息”指申请者要求鉴别至鉴别过程结指申请者要求鉴别至鉴别过程结束所生成、使用和交换的信息。束

8、所生成、使用和交换的信息。 鉴别信息的类型鉴别信息的类型申请申请AI：用来生成交换：用来生成交换AI，以鉴别一个主体的信，以鉴别一个主体的信息。如：通行字，秘密密钥，私钥；息。如：通行字，秘密密钥，私钥；验证验证AI：通过交换：通过交换AI，验证所声称身份的信息。，验证所声称身份的信息。如：通行字，秘密密钥，公钥；如：通行字，秘密密钥，公钥；交换交换AI：申请者与验证者之间在鉴别一个主体期间：申请者与验证者之间在鉴别一个主体期间所交换的信息。如：可辨别标识符，通行字，质询，所交换的信息。如：可辨别标识符，通行字，质询，咨询响应，联机证书，脱机证书等。咨询响应，联机证书，脱机证书等。信息安全体系

9、结构开放系统互连安全服务框架申请者、验证者、可信第三方之间的关系申请者、验证者、可信第三方之间的关系申请申请AI申请者申请者验证验证AI验证者验证者验证验证AI可信第三方可信第三方申请申请AI交换交换AI交换交换AI交换交换AI和和/或或验证验证AI指示潜在的信息指示潜在的信息流流用来生成交换用来生成交换AI，以鉴别，以鉴别一个主体的信息。如：通一个主体的信息。如：通行字，秘密密钥，私钥行字，秘密密钥，私钥在鉴别一个主体期间所交在鉴别一个主体期间所交换的信息。如：可辨别标换的信息。如：可辨别标识符，通行字，质询识符，通行字，质询验证所声称身份的信息。验证所声称身份的信息。如：通行字，秘密密钥，

10、如：通行字，秘密密钥，公共密钥公共密钥信息安全体系结构开放系统互连安全服务框架3.2.3 鉴别的阶段鉴别的阶段 阶段阶段安装安装修改鉴别信息修改鉴别信息分发分发获取获取传送传送验证验证停活停活重新激活阶段重新激活阶段取消安装取消安装 并不要求所有这些阶段并不要求所有这些阶段或顺序或顺序 举例举例创建一个帐户创建一个帐户分发帐户分发帐户获取帐户获取帐户修改帐户信息修改帐户信息验证帐户验证帐户禁止帐户禁止帐户激活帐户激活帐户删除帐户删除帐户信息安全体系结构开放系统互连安全服务框架3.2.4 可信第三方的参与可信第三方的参与 鉴别机制可按可信第三方的参与数分类鉴别机制可按可信第三方的参与数分类无需可

11、信第三方参与的鉴别无需可信第三方参与的鉴别可信第三方参与的鉴别可信第三方参与的鉴别信息安全体系结构开放系统互连安全服务框架一、无需可信第三方参与的鉴别一、无需可信第三方参与的鉴别申请申请AI申请者申请者验证验证AI验证者验证者交换交换AI无论申请者还是验证者，在生成和验证交无论申请者还是验证者，在生成和验证交换换AI时都无需得到其他实体的支持。时都无需得到其他实体的支持。信息安全体系结构开放系统互连安全服务框架二、可信第三方参与的鉴别二、可信第三方参与的鉴别 验证验证AI可以通过与可信可以通过与可信第三方的交互中得到，第三方的交互中得到，必须保证这一信息的完必须保证这一信息的完整性。整性。 维

12、持可信第三方的申请维持可信第三方的申请AI的机密性，以及在申的机密性，以及在申请请AI可从验证可从验证AI推演出推演出来时，维持验证来时，维持验证AI的机的机密性是必要的。密性是必要的。 例如例如公钥体制（公钥，私钥）公钥体制（公钥，私钥）对应申请对应申请AI和验证和验证AI信息安全体系结构开放系统互连安全服务框架（一）在线鉴别（一）在线鉴别 可信第三方（仲裁者）直接参与申请者与验证可信第三方（仲裁者）直接参与申请者与验证者之间的鉴别交换。者之间的鉴别交换。申请申请AI申请者申请者验证验证AI验证者验证者仲裁者仲裁者验证验证AI仲裁者仲裁者验证验证AI交换交换AI交换交换AI信息安全体系结构开

13、放系统互连安全服务框架（二）联机鉴别（二）联机鉴别 不同于在线鉴别，联机鉴别的可信第三方并不直接处于不同于在线鉴别，联机鉴别的可信第三方并不直接处于申请者与验证者鉴别交换的路径上。申请者与验证者鉴别交换的路径上。 实例：可信第三方为密钥分配中心，联机鉴别服务器。实例：可信第三方为密钥分配中心，联机鉴别服务器。申请申请AI申请者申请者权威机构权威机构验证验证AI验证者验证者验证验证AI可信第三方可信第三方权威机构权威机构申请申请AI交换交换AI交换交换AI交换交换AI指示可能发生的指示可能发生的信息安全体系结构开放系统互连安全服务框架（三）脱机鉴别（三）脱机鉴别 要求使用被撤销证书的证明清单、被

14、撤销证书要求使用被撤销证书的证明清单、被撤销证书的证书清单、证书时限或其他用于撤销验证的证书清单、证书时限或其他用于撤销验证AI的非即时方法等特征。的非即时方法等特征。申请申请AI申请者申请者权威机构权威机构验证验证AI验证者验证者验证验证AI可信第三方可信第三方权威机构权威机构申请申请AI交换交换AI交换交换AI表示脱机方式（可能经由表示脱机方式（可能经由申请者）中验证申请者）中验证AI的发布的发布信息安全体系结构开放系统互连安全服务框架三、申请者信任验证者三、申请者信任验证者 申请者信任验证者。申请者信任验证者。 如果验证者的身份未得到鉴别，那么其可信度如果验证者的身份未得到鉴别，那么其可

15、信度是不可知的。是不可知的。 例如：在鉴别中简单使用的通行字，必须确信例如：在鉴别中简单使用的通行字，必须确信验证者不会保留或重用该通行字。验证者不会保留或重用该通行字。信息安全体系结构开放系统互连安全服务框架3.2.5 主体类型主体类型 指纹、视网膜等被动特征指纹、视网膜等被动特征 具有信息交换和处理能力具有信息交换和处理能力 具有信息存储能力具有信息存储能力 具有唯一固定的位置具有唯一固定的位置在实际鉴别中，最终鉴别的必须是人类用户而不是在实际鉴别中，最终鉴别的必须是人类用户而不是鉴别代表人类用户行为的进程。鉴别代表人类用户行为的进程。人类用户的鉴别方法必须是人类可接受的方法，且人类用户的

16、鉴别方法必须是人类可接受的方法，且是经济和安全的。是经济和安全的。信息安全体系结构开放系统互连安全服务框架3.2.6 针对鉴别的攻击种类针对鉴别的攻击种类 重放攻击重放攻击对同一验证者进行重放攻对同一验证者进行重放攻击。可以通过使用惟一序击。可以通过使用惟一序列号或质询来对抗，惟一列号或质询来对抗，惟一序列号由申请者生成，且序列号由申请者生成，且不会被同一验证者两次接不会被同一验证者两次接受。受。对不同验证者进行重放攻对不同验证者进行重放攻击。通过质询来对抗。在击。通过质询来对抗。在计算交换计算交换AI时使用验证者时使用验证者惟一拥有的特性可防止这惟一拥有的特性可防止这种攻击。种攻击。 延迟攻

17、击延迟攻击入侵者发起的延迟攻击入侵者发起的延迟攻击入侵者响应的延迟攻击入侵者响应的延迟攻击信息安全体系结构开放系统互连安全服务框架入侵者发起的延迟攻击入侵者发起的延迟攻击 C告诉告诉A说它是说它是B，要求，要求A对对B进行鉴别，然后告进行鉴别，然后告诉诉B说它是说它是A，并且提供自身的鉴别信息。，并且提供自身的鉴别信息。A申请者申请者A-响应者响应者B验证者验证者B-响应者响应者A（C）申请者申请者C-发起者发起者B（C）验证者验证者入侵者入侵者对抗方法：对抗方法：不能同时作为申请者和验证者；不能同时作为申请者和验证者；作为申请者的交换作为申请者的交换AI和作为响应和作为响应者的交换者的交换A

18、I不同。不同。信息安全体系结构开放系统互连安全服务框架入侵者响应的延迟攻击入侵者响应的延迟攻击 入侵者处于鉴别交换的中间位置，它截获鉴别入侵者处于鉴别交换的中间位置，它截获鉴别信息并且转发，接管发起者的任务。信息并且转发，接管发起者的任务。AA-发起者发起者BB-响应者响应者A（C）响应者响应者C-发起者发起者B（C）入侵者入侵者对抗方法：对抗方法：提供完整性和机密性服务；提供完整性和机密性服务；网络地址集成到交换网络地址集成到交换AI中。中。 信息安全体系结构开放系统互连安全服务框架3.3 访问控制（访问控制（Access Control）框架）框架 ISO/IEC10181-3是开放系统互

19、连安全框架的访是开放系统互连安全框架的访问控制框架部分。决定开放系统环境中允许使问控制框架部分。决定开放系统环境中允许使用哪些资源、在什么地方适合阻止未授权访问用哪些资源、在什么地方适合阻止未授权访问的过程叫做访问控制。的过程叫做访问控制。信息安全体系结构开放系统互连安全服务框架3.3.1 访问控制访问控制 访问控制的目标：对抗涉及计算机或通信系统访问控制的目标：对抗涉及计算机或通信系统非授权操作的威胁。非授权操作的威胁。非授权使用非授权使用泄露，修改，破坏，拒绝服务泄露，修改，破坏，拒绝服务 访问控制安全框架的目标访问控制安全框架的目标对数据、进程或计算资源进行访问控制对数据、进程或计算资源

20、进行访问控制在一个安全域中或跨越多个安全域的访问控制在一个安全域中或跨越多个安全域的访问控制根据上下文进行访问控制，如依靠试图访问的时间、根据上下文进行访问控制，如依靠试图访问的时间、访问者地点或访问路线访问者地点或访问路线对访问过程中的授权变化作出反应的访问控制对访问过程中的授权变化作出反应的访问控制信息安全体系结构开放系统互连安全服务框架实系统中的访问控制活动实系统中的访问控制活动 建立一个访问控制策略的表达式建立一个访问控制策略的表达式 建立建立ACI（访问控制信息）的表达式（访问控制信息）的表达式 分配分配ACI给元素（发起者、目标或访问请求）给元素（发起者、目标或访问请求） 绑定绑定

21、ACI到元素到元素 使使ADI（访问控制判决信息）对（访问控制判决信息）对ADF有效有效 执行访问控制功能执行访问控制功能 ACI的修改的修改 ADI的撤销的撤销信息安全体系结构开放系统互连安全服务框架基本访问控制功能基本访问控制功能发起者发起者 访问控制执行功能访问控制执行功能（AEF） 访问判决功能访问判决功能（ADF） 目标目标 递交访问请递交访问请求求呈递访问请呈递访问请求求判决判决请求请求判决判决代表访问或试图代表访问或试图访问目标的人和访问目标的人和基于计算机的实基于计算机的实体体被试图访问或由发被试图访问或由发起者访问的，基于起者访问的，基于计算机或通信的实计算机或通信的实体，如

22、文件。体，如文件。访问请求代表构成试图访问访问请求代表构成试图访问部分的操作和操作数部分的操作和操作数信息安全体系结构开放系统互连安全服务框架访问判决功能（访问判决功能（ADF）发起者发起者ADI目标目标ADI访问控制访问控制策略规则策略规则保持的保持的ADI上下文背景信息上下文背景信息判决判决请求请求判决判决访问请求访问请求ADI发起者的位置、发起者的位置、访问时间或使访问时间或使用中的特殊通用中的特殊通信路径。信路径。ADI由绑定到由绑定到发起者的发起者的ACI导出导出允许或禁止发允许或禁止发起者试图对目起者试图对目标进行访问的标进行访问的判决判决信息安全体系结构开放系统互连安全服务框架3

23、.3.2 访问控制策略访问控制策略 访问控制策略表达安全域中的确定安全需求。访问控制策略表达安全域中的确定安全需求。 访问控制策略体现为一组作用在访问控制策略体现为一组作用在ADF上的规则。上的规则。信息安全体系结构开放系统互连安全服务框架访问控制策略分类访问控制策略分类 基于规则的安全策略：被发起者施加在安全域基于规则的安全策略：被发起者施加在安全域中任何目标上的所有访问请求。中任何目标上的所有访问请求。 基于身份的访问控制策略：基于特定的单个发基于身份的访问控制策略：基于特定的单个发起者、一群发起者、代表发起者行为的实体或起者、一群发起者、代表发起者行为的实体或扮演特定角色的原发者的规则。

24、扮演特定角色的原发者的规则。 上下文能够修改基于规则或基于身份的访问控上下文能够修改基于规则或基于身份的访问控制策略。上下文规则可在实际上定义整体策略。制策略。上下文规则可在实际上定义整体策略。信息安全体系结构开放系统互连安全服务框架群组和角色群组和角色 根据发起者群组或扮演特定角色发起者含义陈述的访根据发起者群组或扮演特定角色发起者含义陈述的访问控制策略，是基于身份策略的特殊类型。问控制策略，是基于身份策略的特殊类型。 群组是一组发起者，群组中的成员是平等的。群组是一组发起者，群组中的成员是平等的。 群组允许一组发起者访问特定的目标，不必在目标群组允许一组发起者访问特定的目标，不必在目标AC

25、I中包括单个发起者的身份，也不必特意将相同的中包括单个发起者的身份，也不必特意将相同的ACI分配给每个发起者。分配给每个发起者。 群组的组成是由管理行为决定的，创建或修改群组的群组的组成是由管理行为决定的，创建或修改群组的能力必须服从访问控制的需要。能力必须服从访问控制的需要。 角色对某个用户在组织内允许执行的功能进行特征化。角色对某个用户在组织内允许执行的功能进行特征化。给定的角色适用于单个个体或几个个体。给定的角色适用于单个个体或几个个体。 可按层次使用群组和角色，对发起者身份、群组和角可按层次使用群组和角色，对发起者身份、群组和角色进行组合。色进行组合。信息安全体系结构开放系统互连安全服

26、务框架安全标签安全标签 根据安全标签含义陈述的访问控制策略，是基根据安全标签含义陈述的访问控制策略，是基于规则的安全策略的特殊类型。于规则的安全策略的特殊类型。 发起者和目标分别与命名的安全标签关联。发起者和目标分别与命名的安全标签关联。 访问决策是将发起者和目标安全标签进行比较访问决策是将发起者和目标安全标签进行比较为参考的。为参考的。信息安全体系结构开放系统互连安全服务框架多发起者访问控制策略多发起者访问控制策略 可对个体发起者、相同或不同的群组成员的发可对个体发起者、相同或不同的群组成员的发起者、扮演不同角色的发起者，或这些发起者起者、扮演不同角色的发起者，或这些发起者的组合进行识别。的

27、组合进行识别。信息安全体系结构开放系统互连安全服务框架策略管理策略管理 固定策略：一直应用又不能被改变的策略。固定策略：一直应用又不能被改变的策略。 管理性强加策略：一直应用而只能被适当授权管理性强加策略：一直应用而只能被适当授权的人才能改变的策略。的人才能改变的策略。 用户选择策略：对发起者和目标的请求可用，用户选择策略：对发起者和目标的请求可用，而且只应用于涉及发起者或目标、发起者或目而且只应用于涉及发起者或目标、发起者或目标资源的访问请求的策略。标资源的访问请求的策略。信息安全体系结构开放系统互连安全服务框架粒度和容度粒度和容度 每个粒度级别可有它自己的逻辑分离策略，还每个粒度级别可有它

28、自己的逻辑分离策略，还可以对不同可以对不同AEF和和ADF组件的使用进行细化。组件的使用进行细化。 容度用来控制对目标组的访问。通过指定一个容度用来控制对目标组的访问。通过指定一个只有当其允许对一个包含目标组的目标进行访只有当其允许对一个包含目标组的目标进行访问时，才允许对目标组内的这些目标进行访问问时，才允许对目标组内的这些目标进行访问的策略实现。的策略实现。信息安全体系结构开放系统互连安全服务框架继承规则继承规则 新元素可以通过拷贝、修改、组合现有元素或新元素可以通过拷贝、修改、组合现有元素或构造来创建。构造来创建。 新元素的新元素的ACI依赖于这些元素：创建者的依赖于这些元素：创建者的A

29、CI，或者拷贝过、修改过、合并过的元素的或者拷贝过、修改过、合并过的元素的ACI。 继承规则是访问控制策略的组成部分。继承规则是访问控制策略的组成部分。信息安全体系结构开放系统互连安全服务框架访问控制策略规则中的优先原则访问控制策略规则中的优先原则 访问控制策略规则有可能相互冲突，优先规则规定了访问控制策略规则有可能相互冲突，优先规则规定了被应用的访问控制策略的次序和规则中优先的规则。被应用的访问控制策略的次序和规则中优先的规则。 如果访问控制策略的规则如果访问控制策略的规则A和规则和规则B分别让分别让ADF对一个对一个请求访问作出不同决策，那么优先规则将赋予规则请求访问作出不同决策，那么优先

30、规则将赋予规则A优先权，而不考虑优先权，而不考虑B中的规则。或者优先规则要求两中的规则。或者优先规则要求两个规则都允许请求，得到允许的访问。个规则都允许请求，得到允许的访问。 当发起者作为群组成员或特定角色时，优先规则可能当发起者作为群组成员或特定角色时，优先规则可能需要用于发起者绑定需要用于发起者绑定ACI的使用。优先规则可能允许的使用。优先规则可能允许发起者自己的发起者自己的ACI与假定群组或角色的与假定群组或角色的ACI结合起来。结合起来。此时，还须指定怎样对有冲突的此时，还须指定怎样对有冲突的ACI进行组合。进行组合。信息安全体系结构开放系统互连安全服务框架默认访问控制策略规则默认访问

31、控制策略规则 访问控制策略可以包括默认访问控制策略规则。访问控制策略可以包括默认访问控制策略规则。 当一个或多个发起者还没有特意要求允许或拒当一个或多个发起者还没有特意要求允许或拒绝的特定访问目标时，可以使用这些规则。绝的特定访问目标时，可以使用这些规则。信息安全体系结构开放系统互连安全服务框架通过合作安全域的策略映射通过合作安全域的策略映射 在合作安全域间为访问请求提供访问控制时，在合作安全域间为访问请求提供访问控制时，有时需要映射或转化绑定到访问请求的有时需要映射或转化绑定到访问请求的ACI。 因为不同的合作安全域有不同的因为不同的合作安全域有不同的ACI表达式，表达式，或者相同或者相同A

32、CI在不同安全域有不同的安全策略在不同安全域有不同的安全策略解释。解释。信息安全体系结构开放系统互连安全服务框架3.3.3 访问控制信息访问控制信息 发起者发起者ACI 目标目标ACI 访问请求访问请求ACI 操作数操作数ACI 上下文信息上下文信息 发起者绑定发起者绑定ACI 目标绑定目标绑定ACI 访问请求绑定访问请求绑定ACI信息安全体系结构开放系统互连安全服务框架发起者发起者ACI的实例的实例 个体的访问控制身份个体的访问控制身份 分层群组标识符，可确定成员在分层群组中的分层群组标识符，可确定成员在分层群组中的位置位置 功能群组标识符，可确定成员在功能群组中的功能群组标识符，可确定成员

33、在功能群组中的位置位置 可被假定的角色标识符可被假定的角色标识符 敏感性标记敏感性标记 完整性标记完整性标记信息安全体系结构开放系统互连安全服务框架目标目标ACI的实例的实例 目标访问控制身份目标访问控制身份 敏感性标记敏感性标记 完整性标记完整性标记 包含一个目标的包容者标识符包含一个目标的包容者标识符信息安全体系结构开放系统互连安全服务框架访问请求访问请求ACI的实例的实例 被允许的操作种类（如读、写）被允许的操作种类（如读、写） 用于操作所需的完整性等级用于操作所需的完整性等级 操作的数据类型操作的数据类型信息安全体系结构开放系统互连安全服务框架操作数操作数ACI的实例的实例 敏感性标记

34、敏感性标记 完整性标记完整性标记信息安全体系结构开放系统互连安全服务框架上下文信息的实例上下文信息的实例 时限，只有在用天、周、月、年等精确规定的时限，只有在用天、周、月、年等精确规定的时间内才准许访问。时间内才准许访问。 路由，只有使用的路由具有指定特征时才准许路由，只有使用的路由具有指定特征时才准许访问。访问。 位置，只有对特定系统、工作站或终端上的发位置，只有对特定系统、工作站或终端上的发起者，或者特定的物理位置上的发起者，访问起者，或者特定的物理位置上的发起者，访问才被准许。才被准许。 系统状态系统状态 信息安全体系结构开放系统互连安全服务框架发起者绑定发起者绑定ACI 包括发起者包括

35、发起者ACI、某些目标、某些目标ACI和经过选择的和经过选择的上下文信息。上下文信息。 如如发起者发起者ACI目标访问控制身份和对目标的可允许访问（如权力）目标访问控制身份和对目标的可允许访问（如权力）发起者位置发起者位置信息安全体系结构开放系统互连安全服务框架目标绑定目标绑定ACI 包括某些发起者包括某些发起者ACI，目标，目标ACI和经过选择的上下文和经过选择的上下文信息。信息。 形式形式: 标签和访问控制表标签和访问控制表 如如个体发起者访问控制身份，允许或拒绝它们对目标的访问个体发起者访问控制身份，允许或拒绝它们对目标的访问分层群组成员访问控制身份，允许或拒绝它们对目标的访问分层群组成

36、员访问控制身份，允许或拒绝它们对目标的访问功能群组成员访问控制身份，允许或拒绝它们对目标的访问功能群组成员访问控制身份，允许或拒绝它们对目标的访问角色访问控制身份，允许或拒绝它们对目标的访问角色访问控制身份，允许或拒绝它们对目标的访问授权和对它们授权的访问授权和对它们授权的访问信息安全体系结构开放系统互连安全服务框架访问请求绑定访问请求绑定ACI 包括发起者包括发起者ACI、目标、目标ACI和上下文信息。和上下文信息。 如如允许参与访问的发起者允许参与访问的发起者/目标对目标对允许参与访问的目标允许参与访问的目标允许参与访问的发起者允许参与访问的发起者信息安全体系结构开放系统互连安全服务框架W

37、indows 2000 server 活动目录活动目录在运行在运行Windows 2000 server 系统的计算机上安装活动目录，系统的计算机上安装活动目录，实际上就是一种把服务器转换成域控制器的操作。域控制器实际上就是一种把服务器转换成域控制器的操作。域控制器存储整个域的目录数据（如系统安全策略和用户身份验证数存储整个域的目录数据（如系统安全策略和用户身份验证数据），并管理用户和域的交互过程，包括用户登录、身份验据），并管理用户和域的交互过程，包括用户登录、身份验证以及目录搜索。证以及目录搜索。活动目录由一个或多个域组成。活动目录由一个或多个域组成。目录树是指具有连续名称的一个或多个域的

38、集合，这些域通目录树是指具有连续名称的一个或多个域的集合，这些域通过双向、可传递的信任关系链接。过双向、可传递的信任关系链接。一个目录林由一个或多个域组成。目录林中每个域目录树的一个目录林由一个或多个域组成。目录林中每个域目录树的根域都会与目录林根域建立一种可传递的信任关系。根域都会与目录林根域建立一种可传递的信任关系。 信任关系是建立在两个域之间的关系，它使得一个域信任关系是建立在两个域之间的关系，它使得一个域中的域控制器能够识别另一个域内的用户。中的域控制器能够识别另一个域内的用户。信息安全体系结构开放系统互连安全服务框架Windows 2000 访问控制机制访问控制机制 Windows

39、2000 使用访问控制技术来保证已被授使用访问控制技术来保证已被授权的主体对客体的使用。权的主体对客体的使用。安全主体（安全主体（Security Principal）不仅仅包括用户，）不仅仅包括用户，还包括组和服务等主动的实体。还包括组和服务等主动的实体。客体包括文件、文件夹、打印机、注册表、活动目客体包括文件、文件夹、打印机、注册表、活动目录项以及其它对象。录项以及其它对象。 访问控制技术即决定安全主体能够在对象上执访问控制技术即决定安全主体能够在对象上执行何种类型的操作，如某个用户是否能够读取、行何种类型的操作，如某个用户是否能够读取、写入还是执行某个文件。写入还是执行某个文件。信息安全

40、体系结构开放系统互连安全服务框架Windows 2000 访问控制机制访问控制机制 访问令牌（访问令牌（access token） Windows 2000系统在用户登录时，为该用户创建一系统在用户登录时，为该用户创建一个访问令牌。该访问令牌包含该用户的个访问令牌。该访问令牌包含该用户的SID，用户，用户所属组的所属组的SID和用户的特权。和用户的特权。该令牌为用户在该计算机上的任何操作提供了安全该令牌为用户在该计算机上的任何操作提供了安全环境。环境。当用户每启动一个应用程序时，所执行的每一个线当用户每启动一个应用程序时，所执行的每一个线程都会得到一份该访问令牌的副本。程都会得到一份该访问令牌

41、的副本。每当线程请求对某个受到权限控制保护的对象进行每当线程请求对某个受到权限控制保护的对象进行任何级别的访问时，该线程都要把此访问令牌提交任何级别的访问时，该线程都要把此访问令牌提交给操作系统，然后操作系统就使用该令牌对对象的给操作系统，然后操作系统就使用该令牌对对象的安全信息来执行访问检查。这种检查确保主体是在安全信息来执行访问检查。这种检查确保主体是在经过授权之后才进行访问的。经过授权之后才进行访问的。信息安全体系结构开放系统互连安全服务框架Windows 2000 访问控制机制访问控制机制 安全描述（安全描述（security descriptor）从访问控制的客体角度出发，安全描述定

42、义了客体从访问控制的客体角度出发，安全描述定义了客体（被访问的对象）的安全信息。（被访问的对象）的安全信息。安全描述中除了对象所有者自身的安全描述中除了对象所有者自身的SID外，主要说外，主要说明了哪些用户和组被允许还是被拒绝访问。这通过明了哪些用户和组被允许还是被拒绝访问。这通过一个由访问控制项（一个由访问控制项（access control entries, ACE）组成的自由访问控制列表（组成的自由访问控制列表（DACL）来实现。）来实现。 Windows 2000 系统通过寻找系统通过寻找ACL中的项（中的项（ACE）来匹配访问令牌中的用户来匹配访问令牌中的用户SID和组和组SID，以

43、此，以此ACE来确定用户是否有权进行所请求的访问。来确定用户是否有权进行所请求的访问。信息安全体系结构开放系统互连安全服务框架安全描述与访问令牌安全描述与访问令牌用户用户SID组组SID特权信息特权信息其它访问信息其它访问信息用户令牌信息用户令牌信息所有者所有者SID组组SIDSACLACEACE DACLACEACEACE 对象的安全描述对象的安全描述遍历每个遍历每个ACE，直到找到匹配内容，直到找到匹配内容系统系统访问访问控制控制列表列表自由自由访问访问控制控制列表列表信息安全体系结构开放系统互连安全服务框架安全标识符（安全标识符（SID） Windows 2000 使用安全标识符（使用安

44、全标识符（SID）来标识安全主）来标识安全主体和安全组。体和安全组。 SID是在主体账户或安全组创建时生成的。是在主体账户或安全组创建时生成的。 SID的创建者和作用范围依赖于账户类型。对于用户的创建者和作用范围依赖于账户类型。对于用户账户，由本地安全授权机构生成在该系统内惟一的账户，由本地安全授权机构生成在该系统内惟一的SID。对于域用户则由域安全授权机构来生成。对于域用户则由域安全授权机构来生成SID。 SID出现在以下一些访问控制结构中：出现在以下一些访问控制结构中：访问令牌，包括一个用户的访问令牌，包括一个用户的SID和用户所属组的和用户所属组的SID安全描述包含与安全描述相关联对象所

45、有者的安全描述包含与安全描述相关联对象所有者的SID安全描述中的每个安全描述中的每个ACE把把SID与相应的访问权限关联起来。与相应的访问权限关联起来。信息安全体系结构开放系统互连安全服务框架访问令牌访问令牌 访问令牌是一个受保护的对象，其中包含与用访问令牌是一个受保护的对象，其中包含与用户账户有关的标识和特权信息。户账户有关的标识和特权信息。 用户登录到一台用户登录到一台Windows 2000系统时，对登录系统时，对登录资格进行认证。资格进行认证。 若认证成功，返回该用户的若认证成功，返回该用户的SID和该用户的安和该用户的安全组的全组的SID列表，据此安全授权机构创建一个列表，据此安全授

46、权机构创建一个访问令牌。访问令牌。信息安全体系结构开放系统互连安全服务框架安全描述安全描述 安全描述结构安全描述结构头部头部所有者所有者主组主组自由访问控制列表自由访问控制列表系统访问控制列表系统访问控制列表信息安全体系结构开放系统互连安全服务框架用户和组基础用户和组基础 用户账户可为用户提供登录到域以访问网络资用户账户可为用户提供登录到域以访问网络资源或登录到计算机以访问该机资源的能力。源或登录到计算机以访问该机资源的能力。 Windows 2000 提供两种用户账户提供两种用户账户本地用户账户：登录到特定计算机访问该机资源。本地用户账户：登录到特定计算机访问该机资源。域用户账户：登录到域获

47、得对网络资源的访问。域用户账户：登录到域获得对网络资源的访问。 用户在登录用户在登录Windows 2000计算机（非域控制器）计算机（非域控制器）的时候可以选择是登录到域还是本地计算机。的时候可以选择是登录到域还是本地计算机。信息安全体系结构开放系统互连安全服务框架组作用域组作用域 组作用域用来决定在网络的什么位置可以使用组，也组作用域用来决定在网络的什么位置可以使用组，也可以决定能以不同的方式分配权限。可以决定能以不同的方式分配权限。 在在Windows 2000中有中有3个组作用域个组作用域通用组：有通用作用域的组称为通用组，有通用作用域的组通用组：有通用作用域的组称为通用组，有通用作用

48、域的组可将其成员作为来自域树或树林中任何可将其成员作为来自域树或树林中任何Windows 2000 域的域的组和账户，并且在域树或树林的任何域中都可获得权限。组和账户，并且在域树或树林的任何域中都可获得权限。全局组：有全局作用域的组称作全局组。可将其成员作为仅全局组：有全局作用域的组称作全局组。可将其成员作为仅来自所定义的域的组合账户，并且在树林的任何域中都可获来自所定义的域的组合账户，并且在树林的任何域中都可获得权限。得权限。本地组：具有本地作用域的组称作本地组，可将其成员作为本地组：具有本地作用域的组称作本地组，可将其成员作为来自来自Windows 2000或或Windows NT 域的组

49、和账户，并且可用域的组和账户，并且可用于仅在域中授予权限。于仅在域中授予权限。 如果具有多个树林，仅在一个树林中定义的用户不能如果具有多个树林，仅在一个树林中定义的用户不能放入在另一个树林中定义的组，并且仅在一个树林中放入在另一个树林中定义的组，并且仅在一个树林中定义的组不能指派另一个树林中的权限。定义的组不能指派另一个树林中的权限。信息安全体系结构开放系统互连安全服务框架不同类型组作用域之间的区别不同类型组作用域之间的区别区别内容区别内容全局组全局组域本地组域本地组通用组通用组可添加的成员来源可添加的成员来源本地域本地域任何域任何域任何域任何域可访问的资源范围可访问的资源范围任何域内任何域内

50、本地域内本地域内任何域内任何域内常见的应用环境常见的应用环境用来对具有类似用来对具有类似网络访问要求的网络访问要求的用户进行组织用户进行组织用来给资源分配用来给资源分配权限权限用来给多个域内用来给多个域内的相关资源分配的相关资源分配权限权限信息安全体系结构开放系统互连安全服务框架本地组本地组 本地组（本地组（local group）是本地计算机上的用户账户的）是本地计算机上的用户账户的集合。集合。 可使用本地组给本地组所在计算机上的资源分配权限。可使用本地组给本地组所在计算机上的资源分配权限。 使用本地组的原则使用本地组的原则只可在创建本地组的计算机上使用本地组只可在创建本地组的计算机上使用本

51、地组在在Windows 2000的非域控制器的计算机上使用本地组，不的非域控制器的计算机上使用本地组，不能在域控制器上创建本地组。能在域控制器上创建本地组。可使用本地组来限制本地用户和组访问网络资源的能力。可使用本地组来限制本地用户和组访问网络资源的能力。 能够添加到本地组的成员能够添加到本地组的成员本地组所在计算机的本地用户账户本地组所在计算机的本地用户账户本地组不能是任何组的成员本地组不能是任何组的成员信息安全体系结构开放系统互连安全服务框架Windows 2000 默认创建的用户组默认创建的用户组 成员服务器成员服务器 Administrators Backup Operators Gu

52、ests Power Users Replicator Users 域控制器域控制器 Account Operators Print Operators Server Operators信息安全体系结构开放系统互连安全服务框架Windows 2000 组策略管理举例组策略管理举例 全局组、域本地组规划全局组、域本地组规划一个公司包括四个部门，每个部分由相对独立一个公司包括四个部门，每个部分由相对独立的人员管理，用的人员管理，用Windows 2000进行管理，可以进行管理，可以为每个部门划分一个子域，实现用户管理，现为每个部门划分一个子域，实现用户管理，现在，假设有两个共享资源在，假设有两个共

53、享资源A和和B为公司员工提供为公司员工提供访问，访问，A和和B两种资源都有不同的访问权限：只两种资源都有不同的访问权限：只读，完全控制；读，完全控制；用组策略实现管理，请问，如何规划组（全局用组策略实现管理，请问，如何规划组（全局组和本地组），即需要多少个全局组和域本地组和本地组），即需要多少个全局组和域本地组？组？信息安全体系结构开放系统互连安全服务框架3.4 抗抵赖（抗抵赖（non-repudiation）框架）框架 ISO/IEC10181-4是开放系统互连安全框架的抗是开放系统互连安全框架的抗抵赖框架部分。抵赖框架部分。 目的目的提供有关特定事件或行为的证据。提供有关特定事件或行为的证

54、据。事件或行为本身以外的其他实体可以请求抗抵赖服事件或行为本身以外的其他实体可以请求抗抵赖服务。务。信息安全体系结构开放系统互连安全服务框架什么是证据？什么是证据？ 可用于解决纠纷的信息，称为证据。可用于解决纠纷的信息，称为证据。 证据保存：证据保存：证据使用者在本地保存证据使用者在本地保存可信第三方保存可信第三方保存 特殊形式的证据特殊形式的证据数字签名（与公钥技术一起使用）数字签名（与公钥技术一起使用）安全信封和安全令牌（与秘密密钥技术一起使用）安全信封和安全令牌（与秘密密钥技术一起使用）信息安全体系结构开放系统互连安全服务框架什么是证据？什么是证据？ 可以组成证据信息的例子：可以组成证据

55、信息的例子：抗抵赖安全策略的标识符抗抵赖安全策略的标识符原发者可辨别标识符原发者可辨别标识符接收者可辨别标识符接收者可辨别标识符 数字签名或安全信封数字签名或安全信封证据生成者可辨别标识符证据生成者可辨别标识符 信息安全体系结构开放系统互连安全服务框架3.4.1 抗抵赖的一般讨论抗抵赖的一般讨论 抗抵赖服务包括抗抵赖服务包括证据生成证据生成验证验证记录记录在解决纠纷时进行的证据恢复和再次验证在解决纠纷时进行的证据恢复和再次验证 除非证据已被记录，否则无法解决纠纷。除非证据已被记录，否则无法解决纠纷。信息安全体系结构开放系统互连安全服务框架3.4.1 抗抵赖的一般讨论抗抵赖的一般讨论 对于消息的

56、抗抵赖服务对于消息的抗抵赖服务为提供原发证明，必须确认数据原发者身份和数据为提供原发证明，必须确认数据原发者身份和数据完整性。完整性。为提供递交证明，必须确认接收者身份和数据完整为提供递交证明，必须确认接收者身份和数据完整性。性。某些场合，可能涉及上下文关系（如日期、时间、某些场合，可能涉及上下文关系（如日期、时间、原发者原发者/接收者地点）的证据接收者地点）的证据 纠纷解决纠纷解决可在纠纷双方之间直接通过检查证据解决可在纠纷双方之间直接通过检查证据解决通过仲裁者解决（通过仲裁者解决（仲裁者的权威性仲裁者的权威性）信息安全体系结构开放系统互连安全服务框架3.4.2 可信第三方的角色可信第三方的

57、角色 可信第三方（可信第三方（TTP）分类）分类脱机脱机TTP，支持抗抵赖，而不主动地参与到每个服，支持抗抵赖，而不主动地参与到每个服务的使用过程的可信第三方务的使用过程的可信第三方联机联机TTP，主动地介入证据生成或验证的，主动地介入证据生成或验证的TTP在线在线TTP，在所有交互中充当中介的联机，在所有交互中充当中介的联机TTP 可充当的角色可充当的角色公证者、时间戳、监视、密钥证书、签名生成、签公证者、时间戳、监视、密钥证书、签名生成、签名验证和递交权威机构名验证和递交权威机构信息安全体系结构开放系统互连安全服务框架3.4.2 可信第三方的角色可信第三方的角色 可充当的角色可充当的角色在

58、证据生成的角色中，在证据生成的角色中，TTP与抗抵赖服务的请求者协调，生与抗抵赖服务的请求者协调，生成证据；成证据；在证据的记录角色中，在证据的记录角色中，TTP记录证据；记录证据；在时间戳的角色中，在时间戳的角色中，TTP受委托提供包含收到时间戳请求时受委托提供包含收到时间戳请求时的时间的证据；的时间的证据；在密钥证书角色中，在密钥证书角色中，TTP提供与证据生成器相关的抗抵赖证提供与证据生成器相关的抗抵赖证书，以保证用于抗抵赖目的公钥是有效的；书，以保证用于抗抵赖目的公钥是有效的；在密钥分发角色中，在密钥分发角色中，TTP向证据生成者和向证据生成者和/或证据的验证者或证据的验证者提供密钥；

59、提供密钥； 信息安全体系结构开放系统互连安全服务框架3.4.3 抗抵赖的阶段抗抵赖的阶段 四个独立的阶段四个独立的阶段证据生成证据生成证据传输、存储证据传输、存储 和检索和检索证据验证证据验证解决纠纷解决纠纷信息安全体系结构开放系统互连安全服务框架证据主体证据主体证据生成证据生成请求者请求者证据生成证据生成请求者请求者证据证据使用者使用者有关信息有关信息观察观察证据生成器证据生成器证据验证者证据验证者传输和传输和存储存储/检索检索可信第三方可信第三方有关信息有关信息观察观察请求生成请求生成请求验证请求验证是是/否否证据和其他信息证据和其他信息证据和其他信息证据和其他信息证据证据证据证据抗抵赖的

60、前三个阶段抗抵赖的前三个阶段卷入事件或卷入事件或行为中的实行为中的实体，称为证体，称为证据主体据主体信息安全体系结构开放系统互连安全服务框架公认仲裁者公认仲裁者被告被告抗抵赖的解决纠纷阶段抗抵赖的解决纠纷阶段原告原告抗抵赖策略抗抵赖策略从纠纷双方和从纠纷双方和/或或可信第三方收集可信第三方收集证据证据 本阶段不是一定必要的：如所有利益方对事件或行为本阶段不是一定必要的：如所有利益方对事件或行为的发生（或没有发生）达成一致意见，就没有纠纷需的发生（或没有发生）达成一致意见，就没有纠纷需要解决；即使出现纠纷，有时也可通过争议双方直接要解决；即使出现纠纷，有时也可通过争议双方直接解决而不需要仲裁者。