信息安全體系結(jié)構(gòu)開(kāi)放系統(tǒng)互連安全服務(wù)框架

1、第3章 開(kāi)放系統(tǒng)互連安全服務(wù)框架,3.1 安全框架概況,安全框架標(biāo)準(zhǔn)是安全服務(wù)、安全機(jī)制及其相應(yīng)安全協(xié)議的基礎(chǔ)，是信息系統(tǒng)安全的理論基礎(chǔ)。 GB/T9387.2-1995（等同于ISO7498-2）定義了進(jìn)程之間交換信息時(shí)保證其安全的體系結(jié)構(gòu)中的安全術(shù)語(yǔ)、過(guò)程和涉及范圍。 安全框架標(biāo)準(zhǔn)（ISO/IEC 10181-110181-7）全面惟一地準(zhǔn)確定義安全技術(shù)術(shù)語(yǔ)、過(guò)程和涉及范圍的標(biāo)準(zhǔn)。,安全框架的內(nèi)容,描述安全框架的組織結(jié)構(gòu) 定義安全框架各個(gè)部分要求的安全概念 描述框架多個(gè)部分確定的安全業(yè)務(wù)與機(jī)制之間的關(guān)系。,3.2 鑒別（Authentication）框架,ISO/IEC10181-2是開(kāi)放

2、系統(tǒng)互連安全框架的鑒別框架部分。 主要內(nèi)容 鑒別目的 鑒別的一般原理 鑒別的階段 可信第三方的參與 主體類(lèi)型 人類(lèi)用戶鑒別 針對(duì)鑒別的攻擊種類(lèi),3.2.1 鑒別目的,人 進(jìn)程 實(shí)開(kāi)放系統(tǒng) OSI層實(shí)體 組織機(jī)構(gòu)（如企業(yè)）,主 體 類(lèi) 型,鑒別目的： 對(duì)抗冒充和重放攻擊,可辨別標(biāo)識(shí)符,鑒別服務(wù),一個(gè)主體可以擁有一個(gè)或多個(gè),驗(yàn)證主體所宣稱(chēng)的身份,3.2.2 鑒別的一般原理,可辨別標(biāo)識(shí)符 同一安全域中，可辨別標(biāo)識(shí)符具有唯一性。 在粗粒度等級(jí)上，組擁有可辨別標(biāo)識(shí)符； 在細(xì)粒度等級(jí)上，實(shí)體擁有可辨別標(biāo)識(shí)符。 在不同安全域中，各安全域可能使用同一個(gè)可辨別標(biāo)識(shí)符。這種情況下，可辨別標(biāo)識(shí)符須與安全域標(biāo)識(shí)符連接

3、使用，達(dá)到為實(shí)體提供明確標(biāo)識(shí)符的目的。,舉例,Windows NT系統(tǒng)中有兩種模式： 工作組 域 用戶帳戶（用戶名、密碼），組帳戶是一個(gè)可辨別標(biāo)識(shí)符； 在不同域之間的用戶帳戶鑒別，鑒別時(shí)需要提供域的信息。,鑒別的一般原理,鑒別方法 已知，如一個(gè)秘密的通行字 擁有的，如IC卡 不可改變的特性，如生物學(xué)測(cè)定的標(biāo)識(shí)特征 相信可靠的第三方建立的鑒別 環(huán)境（如主機(jī)地址）,通過(guò)“擁有的”某物進(jìn)行鑒別，一般是鑒別擁有的東西而不是鑒別擁有者。它是否由一個(gè)特定主體所唯一擁有，是此方法的關(guān)鍵所在，也是此方法的不足之處。,鑒別的一般原理,在涉及雙向鑒別時(shí)，實(shí)體同時(shí)充當(dāng)申請(qǐng)者和驗(yàn)證者的角色 可信第三方：描述安全權(quán)威機(jī)

4、構(gòu)或它的代理。在安全相關(guān)的活動(dòng)中，它被其他實(shí)體所信任。可信第三方在鑒別中受到申請(qǐng)者和/或驗(yàn)證者的信任。,申請(qǐng)者,驗(yàn)證者,就是/或者代表鑒別主體。代表主體參與鑒別交換所必需的功能。,就是/或者代表被鑒別身份的實(shí)體。參與鑒別交換所必需的功能。,鑒別信息（AI）,“鑒別信息”指申請(qǐng)者要求鑒別至鑒別過(guò)程結(jié)束所生成、使用和交換的信息。 鑒別信息的類(lèi)型 申請(qǐng)AI：用來(lái)生成交換AI，以鑒別一個(gè)主體的信息。如：通行字，秘密密鑰，私鑰； 驗(yàn)證AI：通過(guò)交換AI，驗(yàn)證所聲稱(chēng)身份的信息。如：通行字，秘密密鑰，公鑰； 交換AI：申請(qǐng)者與驗(yàn)證者之間在鑒別一個(gè)主體期間所交換的信息。如：可辨別標(biāo)識(shí)符，通行字，質(zhì)詢(xún)，咨詢(xún)響應(yīng)

5、，聯(lián)機(jī)證書(shū)，脫機(jī)證書(shū)等。,申請(qǐng)者、驗(yàn)證者、可信第三方之間的關(guān)系,指示潛在的信息流,用來(lái)生成交換AI，以鑒別一個(gè)主體的信息。如：通行字，秘密密鑰，私鑰,在鑒別一個(gè)主體期間所交換的信息。如：可辨別標(biāo)識(shí)符，通行字，質(zhì)詢(xún),驗(yàn)證所聲稱(chēng)身份的信息。如：通行字，秘密密鑰，公共密鑰,3.2.3 鑒別的階段,階段 安裝 修改鑒別信息 分發(fā) 獲取 傳送 驗(yàn)證 ?；?重新激活階段 取消安裝 并不要求所有這些階段或順序,舉例 創(chuàng)建一個(gè)帳戶 分發(fā)帳戶 獲取帳戶 修改帳戶信息 驗(yàn)證帳戶 禁止帳戶 激活帳戶 刪除帳戶,3.2.4 可信第三方的參與,鑒別機(jī)制可按可信第三方的參與數(shù)分類(lèi) 無(wú)需可信第三方參與的鑒別 可信第三方參與

6、的鑒別,一、無(wú)需可信第三方參與的鑒別,無(wú)論申請(qǐng)者還是驗(yàn)證者，在生成和驗(yàn)證交換AI時(shí)都無(wú)需得到其他實(shí)體的支持。,二、可信第三方參與的鑒別,驗(yàn)證AI可以通過(guò)與可信第三方的交互中得到，必須保證這一信息的完整性。 維持可信第三方的申請(qǐng)AI的機(jī)密性，以及在申請(qǐng)AI可從驗(yàn)證AI推演出來(lái)時(shí)，維持驗(yàn)證AI的機(jī)密性是必要的。,例如 公鑰體制（公鑰，私鑰）對(duì)應(yīng)申請(qǐng)AI和驗(yàn)證AI,（一）在線鑒別,可信第三方（仲裁者）直接參與申請(qǐng)者與驗(yàn)證者之間的鑒別交換。,（二）聯(lián)機(jī)鑒別,不同于在線鑒別，聯(lián)機(jī)鑒別的可信第三方并不直接處于申請(qǐng)者與驗(yàn)證者鑒別交換的路徑上。 實(shí)例：可信第三方為密鑰分配中心，聯(lián)機(jī)鑒別服務(wù)器。,（三）脫機(jī)鑒別

7、,要求使用被撤銷(xiāo)證書(shū)的證明清單、被撤銷(xiāo)證書(shū)的證書(shū)清單、證書(shū)時(shí)限或其他用于撤銷(xiāo)驗(yàn)證AI的非即時(shí)方法等特征。,三、申請(qǐng)者信任驗(yàn)證者,申請(qǐng)者信任驗(yàn)證者。 如果驗(yàn)證者的身份未得到鑒別，那么其可信度是不可知的。 例如：在鑒別中簡(jiǎn)單使用的通行字，必須確信驗(yàn)證者不會(huì)保留或重用該通行字。,3.2.5 主體類(lèi)型,指紋、視網(wǎng)膜等被動(dòng)特征 具有信息交換和處理能力 具有信息存儲(chǔ)能力 具有唯一固定的位置,在實(shí)際鑒別中，最終鑒別的必須是人類(lèi)用戶而不是鑒別代表人類(lèi)用戶行為的進(jìn)程。 人類(lèi)用戶的鑒別方法必須是人類(lèi)可接受的方法，且是經(jīng)濟(jì)和安全的。,3.2.6 針對(duì)鑒別的攻擊種類(lèi),重放攻擊 對(duì)同一驗(yàn)證者進(jìn)行重放攻擊?？梢酝ㄟ^(guò)使用惟

8、一序列號(hào)或質(zhì)詢(xún)來(lái)對(duì)抗，惟一序列號(hào)由申請(qǐng)者生成，且不會(huì)被同一驗(yàn)證者兩次接受。 對(duì)不同驗(yàn)證者進(jìn)行重放攻擊。通過(guò)質(zhì)詢(xún)來(lái)對(duì)抗。在計(jì)算交換AI時(shí)使用驗(yàn)證者惟一擁有的特性可防止這種攻擊。,延遲攻擊 入侵者發(fā)起的延遲攻擊 入侵者響應(yīng)的延遲攻擊,入侵者發(fā)起的延遲攻擊,C告訴A說(shuō)它是B，要求A對(duì)B進(jìn)行鑒別，然后告訴B說(shuō)它是A，并且提供自身的鑒別信息。,對(duì)抗方法： 不能同時(shí)作為申請(qǐng)者和驗(yàn)證者； 作為申請(qǐng)者的交換AI和作為響應(yīng)者的交換AI不同。,入侵者響應(yīng)的延遲攻擊,入侵者處于鑒別交換的中間位置，它截獲鑒別信息并且轉(zhuǎn)發(fā)，接管發(fā)起者的任務(wù)。,對(duì)抗方法： 提供完整性和機(jī)密性服務(wù)； 網(wǎng)絡(luò)地址集成到交換AI中。,3.3 訪

9、問(wèn)控制（Access Control）框架,ISO/IEC10181-3是開(kāi)放系統(tǒng)互連安全框架的訪問(wèn)控制框架部分。決定開(kāi)放系統(tǒng)環(huán)境中允許使用哪些資源、在什么地方適合阻止未授權(quán)訪問(wèn)的過(guò)程叫做訪問(wèn)控制。,3.3.1 訪問(wèn)控制,訪問(wèn)控制的目標(biāo)：對(duì)抗涉及計(jì)算機(jī)或通信系統(tǒng)非授權(quán)操作的威脅。 非授權(quán)使用 泄露，修改，破壞，拒絕服務(wù) 訪問(wèn)控制安全框架的目標(biāo) 對(duì)數(shù)據(jù)、進(jìn)程或計(jì)算資源進(jìn)行訪問(wèn)控制 在一個(gè)安全域中或跨越多個(gè)安全域的訪問(wèn)控制 根據(jù)上下文進(jìn)行訪問(wèn)控制，如依靠試圖訪問(wèn)的時(shí)間、訪問(wèn)者地點(diǎn)或訪問(wèn)路線 對(duì)訪問(wèn)過(guò)程中的授權(quán)變化作出反應(yīng)的訪問(wèn)控制,實(shí)系統(tǒng)中的訪問(wèn)控制活動(dòng),建立一個(gè)訪問(wèn)控制策略的表達(dá)式 建立ACI（

10、訪問(wèn)控制信息）的表達(dá)式 分配ACI給元素（發(fā)起者、目標(biāo)或訪問(wèn)請(qǐng)求） 綁定ACI到元素 使ADI（訪問(wèn)控制判決信息）對(duì)ADF有效 執(zhí)行訪問(wèn)控制功能 ACI的修改 ADI的撤銷(xiāo),基本訪問(wèn)控制功能,發(fā)起者,訪問(wèn)控制執(zhí)行功能 （AEF）,訪問(wèn)判決功能 （ADF）,目標(biāo),代表訪問(wèn)或試圖訪問(wèn)目標(biāo)的人和基于計(jì)算機(jī)的實(shí)體,被試圖訪問(wèn)或由發(fā)起者訪問(wèn)的，基于計(jì)算機(jī)或通信的實(shí)體，如文件。,訪問(wèn)請(qǐng)求代表構(gòu)成試圖訪問(wèn)部分的操作和操作數(shù),訪問(wèn)判決功能（ADF）,發(fā)起者ADI,目標(biāo)ADI,訪問(wèn)控制策略規(guī)則,保持的ADI,上下文背景信息,判決請(qǐng)求,判決,訪問(wèn)請(qǐng)求ADI,發(fā)起者的位置、訪問(wèn)時(shí)間或使用中的特殊通信路徑。,ADI由

11、綁定到發(fā)起者的ACI導(dǎo)出,允許或禁止發(fā)起者試圖對(duì)目標(biāo)進(jìn)行訪問(wèn)的判決,3.3.2 訪問(wèn)控制策略,訪問(wèn)控制策略表達(dá)安全域中的確定安全需求。 訪問(wèn)控制策略體現(xiàn)為一組作用在ADF上的規(guī)則。,訪問(wèn)控制策略分類(lèi),基于規(guī)則的安全策略：被發(fā)起者施加在安全域中任何目標(biāo)上的所有訪問(wèn)請(qǐng)求。 基于身份的訪問(wèn)控制策略：基于特定的單個(gè)發(fā)起者、一群發(fā)起者、代表發(fā)起者行為的實(shí)體或扮演特定角色的原發(fā)者的規(guī)則。 上下文能夠修改基于規(guī)則或基于身份的訪問(wèn)控制策略。上下文規(guī)則可在實(shí)際上定義整體策略。,群組和角色,根據(jù)發(fā)起者群組或扮演特定角色發(fā)起者含義陳述的訪問(wèn)控制策略，是基于身份策略的特殊類(lèi)型。 群組是一組發(fā)起者，群組中的成員是平等的

12、。 群組允許一組發(fā)起者訪問(wèn)特定的目標(biāo)，不必在目標(biāo)ACI中包括單個(gè)發(fā)起者的身份，也不必特意將相同的ACI分配給每個(gè)發(fā)起者。 群組的組成是由管理行為決定的，創(chuàng)建或修改群組的能力必須服從訪問(wèn)控制的需要。 角色對(duì)某個(gè)用戶在組織內(nèi)允許執(zhí)行的功能進(jìn)行特征化。給定的角色適用于單個(gè)個(gè)體或幾個(gè)個(gè)體。 可按層次使用群組和角色，對(duì)發(fā)起者身份、群組和角色進(jìn)行組合。,安全標(biāo)簽,根據(jù)安全標(biāo)簽含義陳述的訪問(wèn)控制策略，是基于規(guī)則的安全策略的特殊類(lèi)型。 發(fā)起者和目標(biāo)分別與命名的安全標(biāo)簽關(guān)聯(lián)。 訪問(wèn)決策是將發(fā)起者和目標(biāo)安全標(biāo)簽進(jìn)行比較為參考的。,多發(fā)起者訪問(wèn)控制策略,可對(duì)個(gè)體發(fā)起者、相同或不同的群組成員的發(fā)起者、扮演不同角色的發(fā)

13、起者，或這些發(fā)起者的組合進(jìn)行識(shí)別。,策略管理,固定策略：一直應(yīng)用又不能被改變的策略。 管理性強(qiáng)加策略：一直應(yīng)用而只能被適當(dāng)授權(quán)的人才能改變的策略。 用戶選擇策略：對(duì)發(fā)起者和目標(biāo)的請(qǐng)求可用，而且只應(yīng)用于涉及發(fā)起者或目標(biāo)、發(fā)起者或目標(biāo)資源的訪問(wèn)請(qǐng)求的策略。,粒度和容度,每個(gè)粒度級(jí)別可有它自己的邏輯分離策略，還可以對(duì)不同AEF和ADF組件的使用進(jìn)行細(xì)化。 容度用來(lái)控制對(duì)目標(biāo)組的訪問(wèn)。通過(guò)指定一個(gè)只有當(dāng)其允許對(duì)一個(gè)包含目標(biāo)組的目標(biāo)進(jìn)行訪問(wèn)時(shí)，才允許對(duì)目標(biāo)組內(nèi)的這些目標(biāo)進(jìn)行訪問(wèn)的策略實(shí)現(xiàn)。,繼承規(guī)則,新元素可以通過(guò)拷貝、修改、組合現(xiàn)有元素或構(gòu)造來(lái)創(chuàng)建。 新元素的ACI依賴(lài)于這些元素：創(chuàng)建者的ACI，或者

14、拷貝過(guò)、修改過(guò)、合并過(guò)的元素的ACI。 繼承規(guī)則是訪問(wèn)控制策略的組成部分。,訪問(wèn)控制策略規(guī)則中的優(yōu)先原則,訪問(wèn)控制策略規(guī)則有可能相互沖突，優(yōu)先規(guī)則規(guī)定了被應(yīng)用的訪問(wèn)控制策略的次序和規(guī)則中優(yōu)先的規(guī)則。 如果訪問(wèn)控制策略的規(guī)則A和規(guī)則B分別讓ADF對(duì)一個(gè)請(qǐng)求訪問(wèn)作出不同決策，那么優(yōu)先規(guī)則將賦予規(guī)則A優(yōu)先權(quán)，而不考慮B中的規(guī)則?；蛘邇?yōu)先規(guī)則要求兩個(gè)規(guī)則都允許請(qǐng)求，得到允許的訪問(wèn)。 當(dāng)發(fā)起者作為群組成員或特定角色時(shí)，優(yōu)先規(guī)則可能需要用于發(fā)起者綁定ACI的使用。優(yōu)先規(guī)則可能允許發(fā)起者自己的ACI與假定群組或角色的ACI結(jié)合起來(lái)。此時(shí)，還須指定怎樣對(duì)有沖突的ACI進(jìn)行組合。,默認(rèn)訪問(wèn)控制策略規(guī)則,訪問(wèn)控制

15、策略可以包括默認(rèn)訪問(wèn)控制策略規(guī)則。 當(dāng)一個(gè)或多個(gè)發(fā)起者還沒(méi)有特意要求允許或拒絕的特定訪問(wèn)目標(biāo)時(shí)，可以使用這些規(guī)則。,通過(guò)合作安全域的策略映射,在合作安全域間為訪問(wèn)請(qǐng)求提供訪問(wèn)控制時(shí)，有時(shí)需要映射或轉(zhuǎn)化綁定到訪問(wèn)請(qǐng)求的ACI。 因?yàn)椴煌暮献靼踩蛴胁煌腁CI表達(dá)式，或者相同ACI在不同安全域有不同的安全策略解釋。,3.3.3 訪問(wèn)控制信息,發(fā)起者ACI 目標(biāo)ACI 訪問(wèn)請(qǐng)求ACI 操作數(shù)ACI 上下文信息 發(fā)起者綁定ACI 目標(biāo)綁定ACI 訪問(wèn)請(qǐng)求綁定ACI,發(fā)起者ACI的實(shí)例,個(gè)體的訪問(wèn)控制身份 分層群組標(biāo)識(shí)符，可確定成員在分層群組中的位置 功能群組標(biāo)識(shí)符，可確定成員在功能群組中的位置 可

16、被假定的角色標(biāo)識(shí)符 敏感性標(biāo)記 完整性標(biāo)記,目標(biāo)ACI的實(shí)例,目標(biāo)訪問(wèn)控制身份 敏感性標(biāo)記 完整性標(biāo)記 包含一個(gè)目標(biāo)的包容者標(biāo)識(shí)符,訪問(wèn)請(qǐng)求ACI的實(shí)例,被允許的操作種類(lèi)（如讀、寫(xiě)） 用于操作所需的完整性等級(jí) 操作的數(shù)據(jù)類(lèi)型,操作數(shù)ACI的實(shí)例,敏感性標(biāo)記 完整性標(biāo)記,上下文信息的實(shí)例,時(shí)限，只有在用天、周、月、年等精確規(guī)定的時(shí)間內(nèi)才準(zhǔn)許訪問(wèn)。 路由，只有使用的路由具有指定特征時(shí)才準(zhǔn)許訪問(wèn)。 位置，只有對(duì)特定系統(tǒng)、工作站或終端上的發(fā)起者，或者特定的物理位置上的發(fā)起者，訪問(wèn)才被準(zhǔn)許。 系統(tǒng)狀態(tài) ,發(fā)起者綁定ACI,包括發(fā)起者ACI、某些目標(biāo)ACI和經(jīng)過(guò)選擇的上下文信息。 如 發(fā)起者ACI 目標(biāo)訪

17、問(wèn)控制身份和對(duì)目標(biāo)的可允許訪問(wèn)（如權(quán)力） 發(fā)起者位置,目標(biāo)綁定ACI,包括某些發(fā)起者ACI，目標(biāo)ACI和經(jīng)過(guò)選擇的上下文信息。 形式: 標(biāo)簽和訪問(wèn)控制表 如 個(gè)體發(fā)起者訪問(wèn)控制身份，允許或拒絕它們對(duì)目標(biāo)的訪問(wèn) 分層群組成員訪問(wèn)控制身份，允許或拒絕它們對(duì)目標(biāo)的訪問(wèn) 功能群組成員訪問(wèn)控制身份，允許或拒絕它們對(duì)目標(biāo)的訪問(wèn) 角色訪問(wèn)控制身份，允許或拒絕它們對(duì)目標(biāo)的訪問(wèn) 授權(quán)和對(duì)它們授權(quán)的訪問(wèn),訪問(wèn)請(qǐng)求綁定ACI,包括發(fā)起者ACI、目標(biāo)ACI和上下文信息。 如 允許參與訪問(wèn)的發(fā)起者/目標(biāo)對(duì) 允許參與訪問(wèn)的目標(biāo) 允許參與訪問(wèn)的發(fā)起者,Windows 2000 server,活動(dòng)目錄 在運(yùn)行Windows

18、2000 server 系統(tǒng)的計(jì)算機(jī)上安裝活動(dòng)目錄，實(shí)際上就是一種把服務(wù)器轉(zhuǎn)換成域控制器的操作。域控制器存儲(chǔ)整個(gè)域的目錄數(shù)據(jù)（如系統(tǒng)安全策略和用戶身份驗(yàn)證數(shù)據(jù)），并管理用戶和域的交互過(guò)程，包括用戶登錄、身份驗(yàn)證以及目錄搜索。 活動(dòng)目錄由一個(gè)或多個(gè)域組成。 目錄樹(shù)是指具有連續(xù)名稱(chēng)的一個(gè)或多個(gè)域的集合，這些域通過(guò)雙向、可傳遞的信任關(guān)系鏈接。 一個(gè)目錄林由一個(gè)或多個(gè)域組成。目錄林中每個(gè)域目錄樹(shù)的根域都會(huì)與目錄林根域建立一種可傳遞的信任關(guān)系。 信任關(guān)系是建立在兩個(gè)域之間的關(guān)系，它使得一個(gè)域中的域控制器能夠識(shí)別另一個(gè)域內(nèi)的用戶。,Windows 2000 訪問(wèn)控制機(jī)制,Windows 2000 使用訪問(wèn)

19、控制技術(shù)來(lái)保證已被授權(quán)的主體對(duì)客體的使用。 安全主體（Security Principal）不僅僅包括用戶，還包括組和服務(wù)等主動(dòng)的實(shí)體。 客體包括文件、文件夾、打印機(jī)、注冊(cè)表、活動(dòng)目錄項(xiàng)以及其它對(duì)象。 訪問(wèn)控制技術(shù)即決定安全主體能夠在對(duì)象上執(zhí)行何種類(lèi)型的操作，如某個(gè)用戶是否能夠讀取、寫(xiě)入還是執(zhí)行某個(gè)文件。,Windows 2000 訪問(wèn)控制機(jī)制,訪問(wèn)令牌（access token） Windows 2000系統(tǒng)在用戶登錄時(shí)，為該用戶創(chuàng)建一個(gè)訪問(wèn)令牌。該訪問(wèn)令牌包含該用戶的SID，用戶所屬組的SID和用戶的特權(quán)。 該令牌為用戶在該計(jì)算機(jī)上的任何操作提供了安全環(huán)境。 當(dāng)用戶每啟動(dòng)一個(gè)應(yīng)用程序時(shí)，所

20、執(zhí)行的每一個(gè)線程都會(huì)得到一份該訪問(wèn)令牌的副本。 每當(dāng)線程請(qǐng)求對(duì)某個(gè)受到權(quán)限控制保護(hù)的對(duì)象進(jìn)行任何級(jí)別的訪問(wèn)時(shí)，該線程都要把此訪問(wèn)令牌提交給操作系統(tǒng)，然后操作系統(tǒng)就使用該令牌對(duì)對(duì)象的安全信息來(lái)執(zhí)行訪問(wèn)檢查。這種檢查確保主體是在經(jīng)過(guò)授權(quán)之后才進(jìn)行訪問(wèn)的。,Windows 2000 訪問(wèn)控制機(jī)制,安全描述（security descriptor） 從訪問(wèn)控制的客體角度出發(fā)，安全描述定義了客體（被訪問(wèn)的對(duì)象）的安全信息。 安全描述中除了對(duì)象所有者自身的SID外，主要說(shuō)明了哪些用戶和組被允許還是被拒絕訪問(wèn)。這通過(guò)一個(gè)由訪問(wèn)控制項(xiàng)（access control entries, ACE）組成的自由訪問(wèn)控制

21、列表（DACL）來(lái)實(shí)現(xiàn)。 Windows 2000 系統(tǒng)通過(guò)尋找ACL中的項(xiàng)（ACE）來(lái)匹配訪問(wèn)令牌中的用戶SID和組SID，以此ACE來(lái)確定用戶是否有權(quán)進(jìn)行所請(qǐng)求的訪問(wèn)。,安全描述與訪問(wèn)令牌,遍歷每個(gè)ACE，直到找到匹配內(nèi)容,系統(tǒng)訪問(wèn)控制列表,自由訪問(wèn)控制列表,安全標(biāo)識(shí)符（SID）,Windows 2000 使用安全標(biāo)識(shí)符（SID）來(lái)標(biāo)識(shí)安全主體和安全組。 SID是在主體賬戶或安全組創(chuàng)建時(shí)生成的。 SID的創(chuàng)建者和作用范圍依賴(lài)于賬戶類(lèi)型。對(duì)于用戶賬戶，由本地安全授權(quán)機(jī)構(gòu)生成在該系統(tǒng)內(nèi)惟一的SID。對(duì)于域用戶則由域安全授權(quán)機(jī)構(gòu)來(lái)生成SID。 SID出現(xiàn)在以下一些訪問(wèn)控制結(jié)構(gòu)中： 訪問(wèn)令牌，包括

22、一個(gè)用戶的SID和用戶所屬組的SID 安全描述包含與安全描述相關(guān)聯(lián)對(duì)象所有者的SID 安全描述中的每個(gè)ACE把SID與相應(yīng)的訪問(wèn)權(quán)限關(guān)聯(lián)起來(lái)。,訪問(wèn)令牌,訪問(wèn)令牌是一個(gè)受保護(hù)的對(duì)象，其中包含與用戶賬戶有關(guān)的標(biāo)識(shí)和特權(quán)信息。 用戶登錄到一臺(tái)Windows 2000系統(tǒng)時(shí)，對(duì)登錄資格進(jìn)行認(rèn)證。 若認(rèn)證成功，返回該用戶的SID和該用戶的安全組的SID列表，據(jù)此安全授權(quán)機(jī)構(gòu)創(chuàng)建一個(gè)訪問(wèn)令牌。,安全描述,安全描述結(jié)構(gòu) 頭部 所有者 主組 自由訪問(wèn)控制列表 系統(tǒng)訪問(wèn)控制列表,用戶和組基礎(chǔ),用戶賬戶可為用戶提供登錄到域以訪問(wèn)網(wǎng)絡(luò)資源或登錄到計(jì)算機(jī)以訪問(wèn)該機(jī)資源的能力。 Windows 2000 提供兩種用戶

23、賬戶 本地用戶賬戶：登錄到特定計(jì)算機(jī)訪問(wèn)該機(jī)資源。 域用戶賬戶：登錄到域獲得對(duì)網(wǎng)絡(luò)資源的訪問(wèn)。 用戶在登錄Windows 2000計(jì)算機(jī)（非域控制器）的時(shí)候可以選擇是登錄到域還是本地計(jì)算機(jī)。,組作用域,組作用域用來(lái)決定在網(wǎng)絡(luò)的什么位置可以使用組，也可以決定能以不同的方式分配權(quán)限。 在Windows 2000中有3個(gè)組作用域 通用組：有通用作用域的組稱(chēng)為通用組，有通用作用域的組可將其成員作為來(lái)自域樹(shù)或樹(shù)林中任何Windows 2000 域的組和賬戶，并且在域樹(shù)或樹(shù)林的任何域中都可獲得權(quán)限。 全局組：有全局作用域的組稱(chēng)作全局組?？蓪⑵涑蓡T作為僅來(lái)自所定義的域的組合賬戶，并且在樹(shù)林的任何域中都可獲得

24、權(quán)限。 本地組：具有本地作用域的組稱(chēng)作本地組，可將其成員作為來(lái)自Windows 2000或Windows NT 域的組和賬戶，并且可用于僅在域中授予權(quán)限。 如果具有多個(gè)樹(shù)林，僅在一個(gè)樹(shù)林中定義的用戶不能放入在另一個(gè)樹(shù)林中定義的組，并且僅在一個(gè)樹(shù)林中定義的組不能指派另一個(gè)樹(shù)林中的權(quán)限。,不同類(lèi)型組作用域之間的區(qū)別,本地組,本地組（local group）是本地計(jì)算機(jī)上的用戶賬戶的集合。 可使用本地組給本地組所在計(jì)算機(jī)上的資源分配權(quán)限。 使用本地組的原則 只可在創(chuàng)建本地組的計(jì)算機(jī)上使用本地組 在Windows 2000的非域控制器的計(jì)算機(jī)上使用本地組，不能在域控制器上創(chuàng)建本地組。 可使用本地組來(lái)限

25、制本地用戶和組訪問(wèn)網(wǎng)絡(luò)資源的能力。 能夠添加到本地組的成員 本地組所在計(jì)算機(jī)的本地用戶賬戶 本地組不能是任何組的成員,Windows 2000 默認(rèn)創(chuàng)建的用戶組,成員服務(wù)器 Administrators Backup Operators Guests Power Users Replicator Users 域控制器 Account Operators Print Operators Server Operators,Windows 2000 組策略管理舉例,全局組、域本地組規(guī)劃 一個(gè)公司包括四個(gè)部門(mén)，每個(gè)部分由相對(duì)獨(dú)立的人員管理，用Windows 2000進(jìn)行管理，可以為每個(gè)部門(mén)劃分一個(gè)子域

26、，實(shí)現(xiàn)用戶管理，現(xiàn)在，假設(shè)有兩個(gè)共享資源A和B為公司員工提供訪問(wèn)，A和B兩種資源都有不同的訪問(wèn)權(quán)限：只讀，完全控制； 用組策略實(shí)現(xiàn)管理，請(qǐng)問(wèn)，如何規(guī)劃組（全局組和本地組），即需要多少個(gè)全局組和域本地組？,3.4 抗抵賴(lài)（non-repudiation）框架,ISO/IEC10181-4是開(kāi)放系統(tǒng)互連安全框架的抗抵賴(lài)框架部分。 目的 提供有關(guān)特定事件或行為的證據(jù)。 事件或行為本身以外的其他實(shí)體可以請(qǐng)求抗抵賴(lài)服務(wù)。,什么是證據(jù)？,可用于解決糾紛的信息，稱(chēng)為證據(jù)。 證據(jù)保存： 證據(jù)使用者在本地保存 可信第三方保存 特殊形式的證據(jù) 數(shù)字簽名（與公鑰技術(shù)一起使用） 安全信封和安全令牌（與秘密密鑰技術(shù)一起

27、使用）,什么是證據(jù)？,可以組成證據(jù)信息的例子： 抗抵賴(lài)安全策略的標(biāo)識(shí)符 原發(fā)者可辨別標(biāo)識(shí)符 接收者可辨別標(biāo)識(shí)符 數(shù)字簽名或安全信封 證據(jù)生成者可辨別標(biāo)識(shí)符 ,3.4.1 抗抵賴(lài)的一般討論,抗抵賴(lài)服務(wù)包括 證據(jù)生成 驗(yàn)證 記錄 在解決糾紛時(shí)進(jìn)行的證據(jù)恢復(fù)和再次驗(yàn)證 除非證據(jù)已被記錄，否則無(wú)法解決糾紛。,3.4.1 抗抵賴(lài)的一般討論,對(duì)于消息的抗抵賴(lài)服務(wù) 為提供原發(fā)證明，必須確認(rèn)數(shù)據(jù)原發(fā)者身份和數(shù)據(jù)完整性。 為提供遞交證明，必須確認(rèn)接收者身份和數(shù)據(jù)完整性。 某些場(chǎng)合，可能涉及上下文關(guān)系（如日期、時(shí)間、原發(fā)者/接收者地點(diǎn)）的證據(jù) 糾紛解決 可在糾紛雙方之間直接通過(guò)檢查證據(jù)解決 通過(guò)仲裁者解決（仲裁者

28、的權(quán)威性）,3.4.2 可信第三方的角色,可信第三方（TTP）分類(lèi) 脫機(jī)TTP，支持抗抵賴(lài)，而不主動(dòng)地參與到每個(gè)服務(wù)的使用過(guò)程的可信第三方 聯(lián)機(jī)TTP，主動(dòng)地介入證據(jù)生成或驗(yàn)證的TTP 在線TTP，在所有交互中充當(dāng)中介的聯(lián)機(jī)TTP 可充當(dāng)?shù)慕巧?公證者、時(shí)間戳、監(jiān)視、密鑰證書(shū)、簽名生成、簽名驗(yàn)證和遞交權(quán)威機(jī)構(gòu),3.4.2 可信第三方的角色,可充當(dāng)?shù)慕巧?在證據(jù)生成的角色中，TTP與抗抵賴(lài)服務(wù)的請(qǐng)求者協(xié)調(diào)，生成證據(jù)； 在證據(jù)的記錄角色中，TTP記錄證據(jù)； 在時(shí)間戳的角色中，TTP受委托提供包含收到時(shí)間戳請(qǐng)求時(shí)的時(shí)間的證據(jù)； 在密鑰證書(shū)角色中，TTP提供與證據(jù)生成器相關(guān)的抗抵賴(lài)證書(shū)，以保證用于抗抵

29、賴(lài)目的公鑰是有效的； 在密鑰分發(fā)角色中，TTP向證據(jù)生成者和/或證據(jù)的驗(yàn)證者提供密鑰； ,3.4.3 抗抵賴(lài)的階段,四個(gè)獨(dú)立的階段 證據(jù)生成 證據(jù)傳輸、存儲(chǔ) 和檢索 證據(jù)驗(yàn)證 解決糾紛,證據(jù)主體,證據(jù)生成 請(qǐng)求者,證據(jù)生成 請(qǐng)求者,證據(jù) 使用者,有關(guān)信息,觀察,證據(jù)生成器,證據(jù)驗(yàn)證者,傳輸和 存儲(chǔ)/檢索,可信第三方,有關(guān)信息,觀察,請(qǐng)求生成,請(qǐng)求驗(yàn)證,是/否,證據(jù)和其他信息,證據(jù)和其他信息,證據(jù),證據(jù),抗抵賴(lài)的前三個(gè)階段,卷入事件或行為中的實(shí)體，稱(chēng)為證據(jù)主體,公認(rèn)仲裁者,被告,抗抵賴(lài)的解決糾紛階段,原告,抗抵賴(lài)策略,從糾紛雙方和/或可信第三方收集證據(jù),本階段不是一定必要的：如所有利益方對(duì)事件或

30、行為的發(fā)生（或沒(méi)有發(fā)生）達(dá)成一致意見(jiàn)，就沒(méi)有糾紛需要解決；即使出現(xiàn)糾紛，有時(shí)也可通過(guò)爭(zhēng)議雙方直接解決而不需要仲裁者。,3.4.4 抗抵賴(lài)服務(wù)的一些形式,傳輸消息至少涉及兩個(gè)實(shí)體：原發(fā)者和接收者。 涉及的潛在糾紛： 原發(fā)者受到懷疑，如被指控的原發(fā)者聲稱(chēng)消息被接收者偽造，或者被偽裝的攻擊者偽造 接收者受到懷疑，如被指控的接收者聲稱(chēng)消息沒(méi)有發(fā)送，或者在傳輸中丟失，或者被偽裝的攻擊者接收。,3.4.5 OSI抗抵賴(lài)證據(jù)例子,對(duì)原發(fā)抗抵賴(lài)包括證據(jù) 原發(fā)者可辨別標(biāo)識(shí)符 被發(fā)送的數(shù)據(jù)，或數(shù)據(jù)的數(shù)字指紋。,對(duì)遞交抗抵賴(lài) 接收者可辨別標(biāo)識(shí)符 被接收的數(shù)據(jù)，或數(shù)據(jù)的數(shù)字指紋。,3.4.6 抗抵賴(lài)策略,證據(jù)生成規(guī)則

31、：如用于生成證據(jù)的TTP的規(guī)范 證據(jù)驗(yàn)證規(guī)則：如其證據(jù)是可接受的TTP規(guī)范 證據(jù)存儲(chǔ)規(guī)則：如，用于保證所存儲(chǔ)證據(jù)完整性的手段 證據(jù)使用規(guī)則：如，使用證據(jù)的用途的規(guī)范 仲裁規(guī)則：一致公認(rèn)的可解決糾紛的仲裁者規(guī)范 這些規(guī)則可由不同的權(quán)威機(jī)構(gòu)定義。如證據(jù)生成規(guī)則可由系統(tǒng)所有者定義，仲裁者可由系統(tǒng)所在國(guó)家的法律定義。,3.5 機(jī)密性（confidentiality）框架,ISO/IEC10181-5是開(kāi)放系統(tǒng)互連安全框架的機(jī)密性框架部分。 本安全框架只涉及對(duì)提供系統(tǒng)和系統(tǒng)內(nèi)部對(duì)象保護(hù)方式以及系統(tǒng)之間交互作用的定義，不涉及構(gòu)建這些系統(tǒng)或機(jī)制的方法學(xué)。 機(jī)密性框架闡述信息在檢索、傳輸和管理中的機(jī)密性問(wèn)題。

32、,3.5.1 機(jī)密性的一般討論,機(jī)密性服務(wù)的目的 確保信息僅僅是對(duì)被授權(quán)者可用。 信息是通過(guò)數(shù)據(jù)表示的，信息從數(shù)據(jù)中導(dǎo)出的不同方式 理解數(shù)據(jù)的含義 使用數(shù)據(jù)相關(guān)的屬性 研究數(shù)據(jù)的上下文關(guān)系 通過(guò)觀察數(shù)據(jù)表達(dá)式的動(dòng)態(tài)變化,3.5.1 機(jī)密性的一般討論,被保護(hù)的環(huán)境 在被保護(hù)環(huán)境中的數(shù)據(jù)通過(guò)使用特別的安全機(jī)制（或多個(gè)機(jī)制）保護(hù)，所有數(shù)據(jù)以類(lèi)似方法受到保護(hù)。 被交疊保護(hù)的環(huán)境 當(dāng)兩個(gè)或更多的環(huán)境交疊時(shí)，交疊中的數(shù)據(jù)能被多重保護(hù)。,信息的保護(hù),機(jī)密性保護(hù)的方法 防止數(shù)據(jù)存在性和數(shù)據(jù)特性（如數(shù)據(jù)大小或數(shù)據(jù)創(chuàng)建日期）的知識(shí)被人理解； 防止對(duì)數(shù)據(jù)的讀訪問(wèn)； 防止數(shù)據(jù)語(yǔ)義的知識(shí)被人理解； 防止信息泄露的方法

33、保護(hù)信息項(xiàng)的表達(dá)式（內(nèi)容）不被泄露 保護(hù)表達(dá)式規(guī)則（信息項(xiàng)表示格式）不被泄露,隱藏和揭示操作,“隱藏”操作可以模型化為信息從一個(gè)環(huán)境A，移動(dòng)到A和另一個(gè)環(huán)境C交疊的區(qū)域（B）。 “揭示”操作可以看作隱藏操作的逆操作。 當(dāng)信息從一個(gè)被機(jī)密性機(jī)制保護(hù)的環(huán)境移到被另一個(gè)機(jī)制保護(hù)的環(huán)境時(shí)： 如第二個(gè)機(jī)制的隱藏操作優(yōu)先于第一個(gè)機(jī)制的揭示操作，信息連續(xù)地受到保護(hù)； 如第一個(gè)機(jī)制的揭示操作優(yōu)先于第二個(gè)機(jī)制的隱藏操作，信息不能連續(xù)地受到保護(hù)。,通過(guò)不同機(jī)密性保護(hù)環(huán)境的例子,數(shù)據(jù)從一個(gè)初始環(huán)境A輸送到一個(gè)環(huán)境E時(shí)保留了機(jī)密性。假設(shè)環(huán)境A和E通過(guò)訪問(wèn)控制支持機(jī)密性，環(huán)境C通過(guò)加密保護(hù)機(jī)密性。交疊環(huán)境B（A和C）和

34、D（C和E）通過(guò)加密和訪問(wèn)控制保護(hù)數(shù)據(jù)。,表示 1,表示 2,表示 2,表示 2,表示 1,t,u,v,w,隱藏操作，數(shù)據(jù)加密,揭示操作，去除訪問(wèn)控制,隱藏操作，添加訪問(wèn)控制,揭示操作，數(shù)據(jù)解密,機(jī)密性服務(wù)的分類(lèi),按信息保護(hù)類(lèi)型分類(lèi) 數(shù)據(jù)語(yǔ)義的保護(hù) 數(shù)據(jù)語(yǔ)義和相關(guān)屬性的保護(hù) 數(shù)據(jù)語(yǔ)義、屬性及導(dǎo)出的任何信息的保護(hù) 按威脅的種類(lèi)分類(lèi) 防止外部威脅 假設(shè)合法訪問(wèn)信息者不會(huì)把信息泄露給未授權(quán)者。 如在A中的敏感文件通過(guò)加密受到保護(hù)，但是擁有所需解密密鑰的進(jìn)程可以讀取被保護(hù)的文件，然后把它寫(xiě)到一個(gè)不受保護(hù)的文件中。 防止內(nèi)部威脅 假設(shè)有訪問(wèn)重要信息和數(shù)據(jù)的授權(quán)者，可以自愿或不自愿地從事將被保護(hù)信息的機(jī)密

35、性泄露出去的活動(dòng)。 如，安全性標(biāo)簽與許可證附加到被保護(hù)的資源和能夠訪問(wèn)它們的實(shí)體上，訪問(wèn)可通過(guò)良好定義且可理解的流控制模式加以限制。,機(jī)密性機(jī)制的類(lèi)型,禁止對(duì)數(shù)據(jù)的訪問(wèn) 采用訪問(wèn)控制機(jī)制 采用映射技術(shù)使信息相應(yīng)地受到保護(hù) 加密 數(shù)據(jù)填充 發(fā)散譜（spread spectrum） 示例：用加密隱藏?cái)?shù)據(jù)；采用分段和填充的加密，隱藏PDU的長(zhǎng)度；采用發(fā)散譜技術(shù)，隱藏通信通道的存在性。,對(duì)機(jī)密性的威脅,通過(guò)禁止訪問(wèn)提供機(jī)密性時(shí)的威脅 穿透禁止訪問(wèn)機(jī)制 物理保護(hù)通道中的弱點(diǎn) 禁止訪問(wèn)機(jī)制實(shí)現(xiàn)（方法）中的弱點(diǎn) 特洛伊木馬 穿透禁止訪問(wèn)機(jī)制所依賴(lài)的服務(wù) 對(duì)可能直接或間接地泄露系統(tǒng)信息的系統(tǒng)工具進(jìn)行開(kāi)發(fā) 隱蔽

36、通道,對(duì)機(jī)密性的威脅,通過(guò)隱藏信息提供機(jī)密性時(shí)的威脅 穿透加密機(jī)制 密碼分析 偷竊密鑰 選擇性明碼攻擊 通信流分析 PDU頭分析 隱蔽通道,機(jī)密性攻擊的類(lèi)型,主動(dòng)攻擊 特洛伊木馬 隱蔽通道 穿透支持機(jī)密性的機(jī)制，如穿透鑒別機(jī)制，穿透訪問(wèn)控制機(jī)制，以及密鑰截獲； 密碼機(jī)制的欺騙性請(qǐng)求，如選擇性明文攻擊。 被動(dòng)攻擊 非法竊取信息和搭線竊聽(tīng) 通信流分析 出于 非法目的對(duì)PDU頭進(jìn)行的分析 除了指定的目的之外，將PDU數(shù)據(jù)復(fù)制到系統(tǒng)中； 密碼分析,3.5.2 機(jī)密性策略,機(jī)密性策略是安全策略的一部分，安全策略處理機(jī)密服務(wù)的提供和使用。 表達(dá)機(jī)密性策略的方法 信息特征 策略可用各種方式識(shí)別信息，如識(shí)別創(chuàng)

37、建它的實(shí)體，通過(guò)識(shí)別讀取它的任何實(shí)體組；通過(guò)位置；通過(guò)識(shí)別數(shù)據(jù)被提交的上下文關(guān)系。 實(shí)體特征 獨(dú)立和惟一地識(shí)別實(shí)體 屬性與實(shí)體進(jìn)行關(guān)聯(lián),3.5.3 機(jī)密性信息和設(shè)備,機(jī)密性信息 隱藏機(jī)密信息（HCI） 公共密鑰 對(duì)稱(chēng)密鑰 數(shù)據(jù)存儲(chǔ)位置 分段規(guī)則 揭示機(jī)密信息（RCI） 私鑰 對(duì)稱(chēng)密鑰 數(shù)據(jù)存儲(chǔ)位置 分段規(guī)則,機(jī)密性操作設(shè)備 隱藏 對(duì)數(shù)據(jù)進(jìn)行機(jī)密性保護(hù) 輸入：數(shù)據(jù)、HCI、該機(jī)制特有的標(biāo)識(shí)符； 輸出：受機(jī)密性保護(hù)的數(shù)據(jù)、被執(zhí)行隱藏操作的其它結(jié)果、受機(jī)密性保護(hù)環(huán)境的可辨別標(biāo)識(shí)符，存放受機(jī)密性保護(hù)的數(shù)據(jù)。 揭示 拆除以前隱藏操作對(duì)數(shù)據(jù)進(jìn)行的保護(hù) 輸入：受機(jī)密性保護(hù)的數(shù)據(jù)、RCI、機(jī)制特有標(biāo)識(shí)符； 輸出：數(shù)據(jù)、被執(zhí)行揭示操作的其它結(jié)果、環(huán)境的可辨別標(biāo)識(shí)符，在這環(huán)境中存放了輸出的數(shù)據(jù)。,3.5.4 機(jī)密性機(jī)制,數(shù)據(jù)的機(jī)