第7章安全体系结构与安全模型课件

1、第七章 安全体系结构与安全模型第七章 安全体系结构与安全模型基本内容1 安全体系结构2 安全模型3 安全评估标准基本内容1 安全体系结构1.1 什么是安全体系结构体系结构(Architecture)Architecture = Components + Connection + Constraints体系结构部件关系约束网络安全体系结构部件：安全服务、安全机制、功能层关系：安全服务与安全机制、安全服务与功能层约束：安全政策(Security Policy) Security policy is the set of criteria for provision of security serv

2、ices 1.1 什么是安全体系结构体系结构(Architecture安全服务、安全机制、安全技术可用性服务保密性服务加密机制完整性机制访问控制机制对称密钥技术公开密钥技术完整性服务安全服务安全机制安全技术防火墙技术.安全服务、安全机制、安全技术可用性服务保密性服务加密机制完整1.2 OSI安全体系结构(ISO7498-2)开放式系统互联安全体系结构主要内容：相关概念的定义：安全服务、安全机制定义了五种安全服务（安全功能）定义了九种安全机制安全服务和安全机制之间的关系安全服务在功能层上的配置安全管理1.2 OSI安全体系结构(ISO7498-2)开放式系统互OSI安全体系结构（ISO 7498

3、-2）安全机制加密机制访问控制机制数据完整性机制数字签名机制普适性机制认证交换机制业务流填充机制路由控制机制公证机制认证服务访问控制数据完整性数据保密性抗抵赖物理层链路层网络层传输层会话层表示层应用层安全服务功能层OSI安全体系结构（ISO 7498-2）安全机制加密机制访1.3 五类安全服务认证（Authentication ），鉴别对等实体认证数据源发认证访问控制（Access Control）数据保密性（Confidentiality）,机密性连接的机密性无连接的机密性选择字段的机密性通信业务流（traffic)机密性1.3 五类安全服务认证（Authentication ），1.3 五

4、类安全服务（续）数据完整性（Integrity）连接的完整性无连接的完整性选择字段的完整性带恢复的完整性抗抵赖（Non-Repudation）数据原发抗抵赖数据交付抗抵赖1.3 五类安全服务（续）数据完整性（Integrity）1.4 安全机制加密机制（密码机制）可以支持数据保密性、完整性等多种安全服务算法可以是可逆的，也可以是不可逆的数字签名机制签名：使用签名者独有的私有信息验证：使用公开的信息和规程；签名采用公钥体制，使用私钥进行数字签名，使用公钥对签名信息进行验证 1.4 安全机制加密机制（密码机制）1.4 安全机制（续）访问控制机制根据访问者的身份和有关信息，决定实体的访问权限。实体必

5、须经过认证。访问控制可以基于以下手段：集中的授权信息库主体的能力表；客体的访问控制链表主体和客体的安全标签或安全级别路由、时间、位置等可以用在源点、中间、或目的1.4 安全机制（续）访问控制机制1.4 安全机制（续）数据完整性机制接收者能够辨别信息是否发送者发送的原始数据的机制发送实体给数据单元附加一个消息，这个消息是该数据的函数。接收实体根据接收到的数据也产生一个相应的消息，并通过与接收的附加消息的比较来确定接收到的数据是否在传输中被篡改。单个数据单元数据单元序列序列号时间戳1.4 安全机制（续）数据完整性机制1.4 安全机制（续）认证交换机制（Authentication Exchange

6、）用来实现网络同级之间的认证 用于认证交换的技术认证信息，如口令，由发送实体提供，接收实体验证密码技术被认证实体的特征或占有物为防止重放攻击，常与以下技术结合使用时间戳两次或三次握手数字签名和公证机制的抗抵赖服务1.4 安全机制（续）认证交换机制（Authenticati1.4 安全机制（续）通信业务流填充通过填充冗余的业务流量来防止攻击者对流量进行分析； 路由控制路由能动态地或预定地选取, 以便只使用物理上安全的子网、中继站或链路在检测到持续的攻击时, 端系统可希望指示网络服务的提供者经不同的路由建立连接。带有某些安全标记的数据可能被安全策略禁止通过某些子网、中继或链路。连接的发起者。1.4

7、 安全机制（续）通信业务流填充1.4 安全机制（续）公证机制由通信各方都信任的第三方提供，由第三方来确保数据的完整性、数据源、时间及目的地的正确。 有关在两个或多个实体之间通信的数据的性质, 如它的完整性、原发、时间和目的地等，能够借助公证机制而得到确保。每个通信事例可使用数字签名、加密和完整性机制以适应公证人提供的那种服务。当这种公证机制被用到时, 数据便在参与通信的实体之间经由受保护的通信实例和公证方进行通信。1.4 安全机制（续）公证机制1.4 安全机制（续）普遍性安全机制可信功能度 (trusted functionality)安全标签（security Labels）事件检测 (Ev

8、ent Detection)审计跟踪 (security audit Trail)安全恢复 (security recovery)1.4 安全机制（续）普遍性安全机制1.5 安全服务和安全机制的关系 机制服务加密数字签名访问控制数据完整性认证交换流量填充路由控制公证对等实体认证YYY数据源发认证YY访问控制服务Y连接保密性YY无连接保密性YY选择字段保密性Y信息流保密YYY可恢复连接完整性YY无恢复连接完整性YY选择字段连接完整性YyY选择字段无连接完整性YYY源发抗抵赖YYY交付抗抵赖YYY1.5 安全服务和安全机制的关系 1.6 安全服务在协议层中的位置 层服务1234567对等实体认证y

9、yy数据源发认证yyy访问控制服务yyy连接保密性YYyyyy无连接保密性yyyy选择字段保密性yy信息流保密Yyy可恢复连接完整性yyy无恢复连接完整性yyyy选择字段连接完整性y选择字段无连接完整性yyyy源发抗抵赖y交付抗抵赖y1.6 安全服务在协议层中的位置 1.7 OSI的安全管理OSI安全管理与这样一些操作有关, 它们不是正常的通信情况但却为支持与控制这些通信的安全所必需安全的管理管理的安全ManagerAgent操作报告被管系统被管对象1.7 OSI的安全管理OSI安全管理与这样一些操作有关, 1.7 OSI安全管理的分类系统安全管理系统安全管理涉及总的OSI环境安全方面的管理。

10、安全服务管理安全机制管理密钥管理;加密管理;数字签名管理;访问控制管理;数据完整性管理;鉴别管理;通信业务填充管理;路由选择控制管理;公证管理。1.7 OSI安全管理的分类系统安全管理服务TCP/IP协议层网络接口IP层传输层应用层对等实体认证yyy数据源发认证yyy访问控制服务yyy连接保密性yyyy无连接保密性yyyy选择字段保密性y信息流保密yyy可恢复连接完整性yy无恢复连接完整性yyy选择字段连接完整性y选择字段无连接完整性yyy源发抗抵赖y交付抗抵赖yTCP/IP协议的安全体系结构 服务TCP/IP协议层网络接口IP层传输层应用层对等实体认证基本内容1 安全体系结构2 安全模型3

11、安全等级评估基本内容1 安全体系结构什么是安全模型？安全模型是一个系统安全政策的形式化描述（数学描述）一个系统是安全的，当切仅当它所有的状态都满足安全政策的规定。安全模型的意义TCSEC的提出使安全模型引起了更多的关注安全模型能够精确地表达系统对安全性的需求，增强对系统安全性的理解；有助于系统实现有助于系统安全性的证明或验证什么是安全模型？安全模型是一个系统安全政策的形式化描述（数学多级安全模型 多级安全模型最初起源于支持军用系统和数据库的安全保密，它可以使不同的密级包含不同的信息。密级由低到高分为秘密级、机密级和绝密级，以确保每一密级的信息仅能让那些具有高于或者等于该级权限的人使用。 多级安

12、全模型 多边安全模型 阻止信息在不同的部分横向流动。 ABCDE共享数据多边安全模型 ABCDE共享数据P2DR安全模型 安全模型已经从原来的被动保护转到主动防御，强调整个生命周期的防御和恢复。 P2DR安全模型 安全模型已经从原来的被动保护转到主动防御，安全策略：根据风险分析产生的安全策略描述了系统中哪些资源要得到保护，以及如何实现对他们的保护等。防护：通过修复系统漏洞、正确设计、开发和安装系统来预防安全事件的发生；通过定期检查来发现可能存在的系统脆弱性；通过教育等手段，使用户和操作员正确使用系统，防止发生意外威胁；通过访问控制、监视手段来防止恶意威胁。 安全策略：根据风险分析产生的安全策略

13、描述了系统中哪些资源要得检测：通过不断地检测和监控网络和系统，来发现新的威胁和弱点，通过循环反馈来及时做出有效的响应。响应:紧急响应是解决安全潜在问题最有效的办法。攻击时间Pt：表示从入侵开始到入侵成功的时间。 检测时间Dt：从入侵开始到检测到入侵的时间响应时间Rt：从检测到系统漏洞或监控到非法攻击到系统启动处理措施的时间。系统暴露时间Et：系统的暴露时间是指系统处于不安全状况的时间，可以定义为：EtDtRtPt检测：通过不断地检测和监控网络和系统，来发现新的威胁和弱点，访问控制模型控制主体对客体的访问一次访问可以描述为一个三元组：访问控制政策是一组规则，决定一个特定的主体是否有权限访问一个客

14、体F(s, a, o) True, False访问控制模型控制主体对客体的访问访问控制矩阵按列看是客体的访问控制列表（access control list） 按行看是主体的访问能力表(capability list)SubjectsObjectsS1S2S3O1O2O3Read/writeWriteReadExecute访问控制矩阵按列看是客体的访问控制列表（access conBLP 模型Bell-LaPadula Model 用来描述美国国防部的多级安全政策用户和文件分成不同的安全级别，各自带有一个安全标签 Unclassified, Confidential , Secret, Top

15、 Secret每个用户只可以读同级或级别更低的文件BLP模型只描述了保密性，没有描述完整性和可用性的要求BLP 模型Bell-LaPadula Model 用来描述BLP 模型向下写是不允许的向上读是不允许的SubjectsObjects简单安全特性* 特性BLP 模型向下写是不允许的向上读是不允许的SubjectsBLP 模型TSSCUTSSCUR/WWR/WRR/WRWRRR R/WRWWWWSubjectsObjectsInformation FlowBLP 模型的信息流BLP 模型TSTSSCUR/WWR/WRR/WRWRRR 完整性模型Biba 模型安全政策需求：完整性规则：no r

16、ead down , no write up完整性模型Biba 模型基本内容1 安全体系结构2 安全模型3 安全等级评估基本内容1 安全体系结构安全等级评估安全等级评估的意义计算机和网络的应用环境不同对安全性的要求也不同安全等级评估可以为用户选择计算机系统提供指导、依据或参考安全等级评估安全等级评估的意义安全等级评估标准的发展历程1983(1985)TCSEC1991年欧洲ITSEC1990年加拿大CTCPEC1991年美国联邦准则FC1996年国际通用准则CC1996年国际标准ISO 15408安全等级评估标准的发展历程1983(1985)1991年欧洲安全等级评估美国：Trusted Co

17、mputer System Evaluation Criteria(TCSEC) Trusted Network Interpretation (TNI)欧洲： ITSEC 加拿大：CTCPECISO : CC( Common Criteria for Information Technology Security Evaluation ) V2.0, 1999 中国：GB17859-99安全等级评估美国：可信计算机系统评估准则（TCSEC）可信计算基（Trusted Computing Base）一个实现安全政策的所有安全机制的集合，包括硬件、软件和固件，它根据安全政策来处理主体（Subje

18、ct）对客体（Object）的访问TCB安全政策SubjectObject可信计算机系统评估准则（TCSEC）可信计算基（TrusteTCSEC 相关概念主体（Subject）：用户，进程客体（Object）：文件、内存等资源访问（Access Control）：读、写、执行、等标识（Identification）：标签（Label）：主体或客体安全级别的一种属性安全政策，主要指访问控制政策TCSEC 相关概念主体（Subject）：用户，进程TCSEC 相关概念自主型访问控制（Discretionary Access Control）客体的所有者可以将访问权限自主的分配个其他主体灵活强制型访

19、问控制（Mandatory Access Control）由安全管理员决定主体和客体的属性由操作系统规则根据属性决定访问控制权限TCSEC 相关概念自主型访问控制（DiscretionarTCSEC 四类、七个级别D ： 最小保护类，D级C：自主保护类安全措施：自主访问控制，审计跟踪C1：自主安全保护用户与数据隔离C2：可控的安全保护唯一标识审计记录可追查责任TCSEC 四类、七个级别D ： 最小保护类，D级TCSEC 四类、七个级别B： 强制安全保护类要求实行强制型访问控制政策B1 ：标记安全保护B2： 结构安全保护B3： 安全区域级保护A： 验证安全保护类要求用形式化的方法证明系统的安全型A1：验证设计级保护 B3+设计安全性证明A2：验证实现级保护 , 无法提出具体要求TCSEC 四类、七个级别B： 强制安全保护类我国的等级评测标准（GB17859-99）第一级 用户自主保护级身份认证，自主型访问控制第二级 系统审计保护级认证、自主型访问控制、审计第三级 安全标记保护级强制型访问控制第四级 结构化保护级形式化的安全策略模型，考虑隐蔽信道第五级 访问验证级保护访问监控器抗篡改、可分析测试自动终止安全事件系统可恢复我国的等级评测标准（GB17859-99）第一级 用户自主保CC的范围和目标用户范