第五章 安全体系结构

1、第五第五章章 安全体系结构安全体系结构5.1系统安全体系结构系统安全体系结构v5.1.1可信系统体系结构概述图5-1安全机制设置的位置5.1系统安全体系结构系统安全体系结构v5.1.1可信系统体系结构概述安全机制越复杂，提供的安全保障越低。安全机制集中在用户、数据还是操作；安全机制放置在硬件、内核、操作系统，服务或程序哪一层；每个机制的复杂程度。图5-2安全机制复杂性和安全保障的关系5.1系统安全体系结构系统安全体系结构v5.1.2定义主体和客体的定义主体和客体的子集子集v主体是指必须被控制对客体的访问的活动资源，它是访问的发起者，通常为进程、程序或用户。客体则是指对其访问必须进行控制的资源，

2、客体一般包括各种资源，如文件、设备、信号量等。5.1系统安全体系结构系统安全体系结构v5.1.3可信计算可信计算基基v可信计算基（TCB）是“计算机系统内保护装置的总体，包括硬件、固件、软件和负责执行安全策略的组合体。它建立了一个基本的保护环境，并提供一个可信计算系统所要求的附加用户服务”。通常所指的可信计算基是构成安全计算机信息系统的所有安全保护装置的组合体(通常称为安全子系统)，以防止不可信主体的干扰和篡改。5.1系统安全体系结构系统安全体系结构v5.1.4安全安全边界边界图5-3可信部件和非可信部件间通信的接口控制5.1系统安全体系结构系统安全体系结构v5.1.5基准监控器和安全基准监控

3、器和安全内核内核v基准监控器是一个抽象的机器，用来协调所有的访问主体和客体，以确保主体有必需的访问权，以及保护客体不被非授权访问、修改和破坏。v安全内核由可信基内的一些机制构成，以实施和执行基准监控概念。安全内核由硬件、固体和软件组成，以协调主体和客体间的访问及各种功能。TCBv没有一个计算机系统是安全的vTCB不只是对操作系统而言，因为一个计算机系统不只是由操作系统组成。TCB涉及硬件、软件和固件。v评估一个系统的可信级别是由构成TCB的结构、安全服务及保障机制确定的。v采用专门的安全准则，来构造、评估和验证可信系统。安全边界安全边界v用安全边界来区分可信和不可信，在可信部件和非可信部件之间

4、的通信必须加以控制，以确保保密信息不以非期望的方式流动。基准监控器和安全内核基准监控器和安全内核v基准监控器是一个抽象的机器，用来协调所有的访问主体和客体，以确保主体有必需的访问权，以及保护客体不被非授权访问、修改和破坏。v基准监控器是一个访问控制概念v安全内核由TCB的一些机制构成，以实施和执行基准监控器的概念。5.1系统安全体系结构系统安全体系结构v5.1.6安全域安全域v一个域是访问权的集合图5-4可信级和安全域的关系资源隔离资源隔离v主体、客体和保护控制需要清楚地相互隔离，而隔离的方法和实施是系统的体系结构及其安全模型的需求v进程也是需要隔离的资源v内存的硬件分段，可以确保较低特权的进

5、程不会对较高级进程的内存空间进行存取和修改安全策略安全策略v安全策略是一些规则的集合，指明敏感信息是如何管理、保护和分布的。包含目的、范围和责任。v一个系统提供可信是通过符合和实施安全策略，典型的是处理主体和客体之间的关系。安全策略必须指明什么样的主体能访问什么样的客体，以及什么样的行为是可接受的或不可接受的。最小特权最小特权v最小特权(Least Privilege)，指的是在完成某种操作时所赋予网络中每个主体(用户或进程)必不可少的特权。v只有需要完全特权的进程分布在内核，其他较低特权的进程调用它来处理敏感的操作。分层、数据隐蔽和抽象分层、数据隐蔽和抽象v为了满足一定的可信级，系统必须提供

6、一种机制，使不同进程工作在不同层，即在系统的不同层产生不同的功能。基本功能发生在较低层，复杂的、敏感功能发生在叫高层，分层将进程和资源分开。v不同层之间的数据访问没有接口时，则数据被隐蔽了。v客体能组合成一个集合，称为类。当一类客体被赋予一定的允许权，定义可接受的活动，称为抽象。5.2网络安全体系结构网络安全体系结构v5.2.1不同层次的安全v安全的层次结构是抽象，必须在理论上予以表达，实际上予以实施。v层次结构表示在各层次设置屏障以防止攻击和威胁。网络体系结构的网络体系结构的观点观点v一种是网络体系结构的观点，一种是单纯的设备和应用程序观点。v从体系结构的观点，必须观察出入的数据流及这些数据

7、是如何授权，在不同的点是如何监控的，以及在不同的场合安全解决方案是如何协同工作的。v每个网络环境因其安装的硬件、软件、技术和配置的不同而有所区别。然而各个环境的主要区别在于要达到的目标不同。5.2网络安全体系结构网络安全体系结构v5.2.1不同层次的安全v5.2.2网络体系结构的观点5.3OSI安全体系结构安全体系结构v5.3.1OSI安全体系结构的安全体系结构的5类安全服务类安全服务v1. 鉴别v2. 访问控制v3. 数据机密性v4. 数据完整性v5. 抗否认5.3OSI安全体系结构安全体系结构v5.3.1OSI安全体系结构的安全体系结构的5类安全服务类安全服务v1. 鉴别v对等实体的鉴别v

8、数据原发的鉴别5.3OSI安全体系结构安全体系结构v5.3.2OSI安全体系结构的安全机制安全体系结构的安全机制v1. 特定的安全机制v（1）加密机制 加密既能为数据提供机密性，也能为通信业务流提供机密性，并且是其他安全机制中的一部分或对安全机制起补充作用 加密算法可以是可逆的，也可以是不可逆的5.3OSI安全体系结构安全体系结构v5.3.2OSI安全体系结构的安全机制安全体系结构的安全机制v1. 特定的安全机制v（2）数字签名机制v（3）访问控制机制v（4）数据完整性机制v（5）鉴别交换机制v（6）通信业务填充机制v（7）路由选择机制v（8）公证机制5.3OSI安全体系结构安全体系结构v5.3.2OSI安全体系结构的安全机制安全体系结构的安全机制v2. 普遍性安全机制v（1）可信功能度v（2）安全标记v（3）事件检测v（4）安全审计跟踪v（5）安全恢复5.3OSI安全体系结构安全体系结构v5.3.3三维信息系统安全体系结构框架三维信息系统安全体系结构框架图5-6信息系统安全体系结构框架5.4 ISO/IEC网络安全体系结构网络安全体系结构v5.4.1ISO/IEC安全体系结构参考模型