數(shù)據(jù)機(jī)密性、完整性、抗抵賴性規(guī)范

1、勝利石油管理局企業(yè)標(biāo)準(zhǔn)Q/SL TEC-q2002勝利油田數(shù)據(jù)機(jī)密性、完整性、抗抵賴性規(guī)范1 適用范圍本規(guī)范規(guī)定了勝利石油管理局?jǐn)?shù)據(jù)機(jī)密性、完整性、抗抵賴性規(guī)范。本規(guī)范適用于勝利油田（企業(yè)內(nèi)部）關(guān)于數(shù)據(jù)機(jī)密性、完整性、抗抵賴性的實(shí)現(xiàn)過程。2 規(guī)范解釋權(quán)本規(guī)范由勝利油田石油管理局信息中心解釋。3 引用標(biāo)準(zhǔn)下列標(biāo)準(zhǔn)包含的條文，通過本標(biāo)準(zhǔn)中引用而構(gòu)成本標(biāo)準(zhǔn)的條文。所有標(biāo)準(zhǔn)都會(huì)被修訂。使用本標(biāo)準(zhǔn)的各方應(yīng)探討使用本標(biāo)準(zhǔn)最新版本的可能性。 GB/T信息技術(shù)-安全技術(shù)-抗抵賴4 術(shù)語定義4.1 數(shù)據(jù)機(jī)密性 機(jī)密性是指信息不能被非授權(quán)者、實(shí)體或進(jìn)程利用或泄露的特性。4.2 數(shù)據(jù)完整性數(shù)據(jù)完整性指數(shù)據(jù)沒有遭受以

2、未授權(quán)方式所作的篡改和/或沒經(jīng)授權(quán)的使用。也就是說數(shù)據(jù)完整性服務(wù)可以抵制主動(dòng)威脅，以保證接收者收到的信息與發(fā)送者發(fā)送的信息完全一致，確保了信息的真實(shí)性。4.3 抗抵賴性發(fā)送者不能事后虛假的否認(rèn)它發(fā)送的消息。4.4 可信第三方TTP(trusted third party)可以在安全活動(dòng)方面被其它實(shí)體信任的安全機(jī)構(gòu)或其代理?？尚诺谌娇梢员辉l(fā)者、接收方或發(fā)送機(jī)構(gòu)在抗抵賴方面信任，也可以被其它方(如仲裁者)信任。5 數(shù)據(jù)機(jī)密性5.1 保護(hù)方法對(duì)信息進(jìn)行機(jī)密性保護(hù)有兩種方法：1) 基于訪問控制，只有授權(quán)實(shí)體才能訪問信息；2) 任何實(shí)體可以訪問表示信息的數(shù)據(jù)，但是，只有授權(quán)擁有某些機(jī)密信息的實(shí)體才能

3、讀懂這種數(shù)據(jù)。5.2 應(yīng)用范圍 機(jī)密性用來保護(hù)存貯和傳送中的信息免受非授權(quán)的利用和泄露。5.3 信息保護(hù) 機(jī)密性途徑有：1) 不讓攻擊者知道數(shù)據(jù)項(xiàng)的存在和數(shù)據(jù)項(xiàng)的其他特點(diǎn)（如長度、創(chuàng)建日期、現(xiàn)代通信中的直序擴(kuò)頻和跳頻）；2) 阻止對(duì)數(shù)據(jù)項(xiàng)的訪問；3) 防止對(duì)數(shù)據(jù)項(xiàng)語義的知曉（如加密、編碼規(guī)則等安全技術(shù)）。5.4 分類 機(jī)密性分為三類，分別是：1) 隱含語意（如加密）；2) 訪問控制；3) 分割和散布數(shù)據(jù)。數(shù)據(jù)項(xiàng)的機(jī)密性與駐留或傳輸它的介質(zhì)有關(guān)，因而：1) 存貯數(shù)據(jù)項(xiàng)的機(jī)密性可以通過使用隱蔽語義和分割數(shù)據(jù)機(jī)制來保證；2) 傳輸中數(shù)據(jù)的機(jī)密性可以通過禁止訪問機(jī)制，隱蔽語義機(jī)制和散布數(shù)據(jù)機(jī)制（跳頻）

4、來保證；傳輸數(shù)據(jù)中除保護(hù)數(shù)據(jù)含義外，尚須對(duì)其流量流向進(jìn)行機(jī)密性保護(hù)。5.5 算法 機(jī)密性所用的密碼算法有兩大類：1) 對(duì)稱加密算法。這種加密算法現(xiàn)實(shí)中又分為兩類：Ø 分組密碼算法，也叫塊密鑰算法。它是將要加密的明文分成一定等長的組，然后進(jìn)行加密運(yùn)算，而解密是它的逆運(yùn)算。Ø 序列密碼算法，也叫流密碼，一般是按比特加/解密的。2) 非對(duì)稱加密算法，即公開密鑰密碼算法。5.6 保密協(xié)議 保密協(xié)議涉及到我們所研究的一系列安全保密服務(wù)能否嵌入到信息安全系統(tǒng)的協(xié)議中；能否在信息安全系統(tǒng)上真正應(yīng)用；能否抗擊對(duì)信息安全系統(tǒng)的攻擊。因此我們必須做到下列各點(diǎn)：1) 取得保密通信協(xié)議軟件的源碼；

5、2) 仔細(xì)研究保密通信協(xié)議源碼，取消其中我們不使用的部分，以防隱蔽信道的攻擊；3) 自行設(shè)計(jì)符合標(biāo)準(zhǔn)的安全保密協(xié)議軟件；4) 自行設(shè)計(jì)所需的經(jīng)國家密碼管理委員會(huì)認(rèn)可的密碼算法；5) 將安全保密協(xié)議嵌入信息安全系統(tǒng)協(xié)議中，完成自行設(shè)計(jì)的、又符合標(biāo)準(zhǔn)的安全保密功能。 涉及的安全保密協(xié)議有：IPv4、IPv6、SSL、Kerberos、PEM、MSP、PGP、X.400、X.500等。6 數(shù)據(jù)完整性6.1 概述數(shù)據(jù)完整性可分為單個(gè)數(shù)據(jù)單元或字段的完整性和數(shù)據(jù)單元流或字段流的完整性。確定單個(gè)數(shù)據(jù)單元的完整性包括兩個(gè)過程：一個(gè)在發(fā)起端，一個(gè)在接受端。發(fā)送實(shí)體附加給數(shù)據(jù)單元一個(gè)量值，這個(gè)量值是數(shù)據(jù)本身的函

6、數(shù)。這個(gè)量值可以是像分組校驗(yàn)碼那樣的追加信息，也可以是一個(gè)密碼校驗(yàn)值，并且它本身可以加密。接受實(shí)體產(chǎn)生一個(gè)對(duì)應(yīng)的量值，并與收到的量值進(jìn)行比較，以校驗(yàn)數(shù)據(jù)是否在傳輸過程中被修改過。對(duì)于連接方式的數(shù)據(jù)傳送，保護(hù)數(shù)據(jù)單元的完整性，還需要某些顯性的序列形式，如序列號(hào)、時(shí)標(biāo)或密碼鏈。對(duì)于無連接數(shù)據(jù)傳送，時(shí)標(biāo)可以提供一定的保護(hù)，以防止單個(gè)數(shù)據(jù)單元的重放。數(shù)據(jù)完整性是針對(duì)數(shù)據(jù)的值和數(shù)據(jù)的存在可能被改變的威脅的。1) 改變數(shù)據(jù)值的方式包括：Ø 插入另外的數(shù)據(jù)；Ø 刪除數(shù)據(jù)的一部分；Ø 修改數(shù)據(jù)的一部分；Ø 改變部分?jǐn)?shù)據(jù)的順序。2) 改變數(shù)據(jù)存在的方式包括：Ø

7、數(shù)據(jù)的創(chuàng)建；Ø 數(shù)據(jù)的刪除。3) 提供數(shù)據(jù)完整性服務(wù)可分三個(gè)階段：Ø 防護(hù)階段：完整性保護(hù)導(dǎo)致生成受約束的數(shù)據(jù)；Ø 證實(shí)階段：檢測(cè)有完整性約束的數(shù)據(jù)，看是否有完整性錯(cuò)誤；Ø 保護(hù)階段：檢查受完整性保護(hù)的數(shù)據(jù)，可能的話，重新生成數(shù)據(jù)。6.2 數(shù)據(jù)完整性機(jī)制的分類6.2.1 使用安全標(biāo)簽的數(shù)據(jù)完整性機(jī)制安全標(biāo)簽可包括對(duì)通信的完整性和對(duì)象完整性都適用的完整性標(biāo)志。6.2.2 實(shí)現(xiàn)數(shù)據(jù)完整性機(jī)制在由加密提供的數(shù)據(jù)完整性機(jī)制中，考慮兩種形式：1) 基于對(duì)稱加密的數(shù)據(jù)完整性機(jī)制：可以通過與防護(hù)數(shù)據(jù)的同一個(gè)秘密密鑰來對(duì)完整性約束的數(shù)據(jù)進(jìn)行證實(shí)。這類機(jī)制與加密相對(duì)應(yīng)。加

8、密時(shí)，保護(hù)數(shù)據(jù)和證實(shí)其完整性的是同一密鑰。使用這類機(jī)制時(shí)，或者是證實(shí)預(yù)先知道秘密密鑰，或者是他有訪問它的方法。2) 基于非對(duì)稱加密的數(shù)據(jù)完整性機(jī)制：可以通過與防護(hù)數(shù)據(jù)的私有密鑰相對(duì)應(yīng)的公開密鑰來對(duì)完整性約束的數(shù)據(jù)進(jìn)行證實(shí)。這類機(jī)制與簽名相對(duì)應(yīng)。這種類型機(jī)制用一個(gè)私鑰來保護(hù)數(shù)據(jù)，而用一個(gè)公開密鑰來證實(shí)數(shù)據(jù)。通常，所有人都可得到公開密鑰。6.2.3 用其它方法實(shí)現(xiàn)數(shù)據(jù)完整性機(jī)制除上述方法外，實(shí)現(xiàn)數(shù)據(jù)完整性機(jī)制的其他方法如下：1) 通過糾錯(cuò)碼（ECC）和檢錯(cuò)碼 (DEC)提供數(shù)據(jù)完整性：通過加密可以支持對(duì)冗余數(shù)據(jù)的完整性。提供數(shù)據(jù)冗余的方法有糾錯(cuò)碼、檢錯(cuò)碼、散列函數(shù)。因而，當(dāng)使用加密機(jī)制時(shí)，通過用到

9、的這些編碼和加密一起能提供有完整性約束的數(shù)據(jù)。2) 通過復(fù)制提供完整性：這類完整性機(jī)制基于在幾個(gè)存儲(chǔ)區(qū)域復(fù)制數(shù)據(jù)。假定可能的攻擊者不能同時(shí)泄露有限數(shù)量的拷貝，并且每當(dāng)檢測(cè)到有攻擊時(shí)，能從真正的拷貝重建數(shù)據(jù)。3) 通過建立數(shù)據(jù)上下文提供數(shù)據(jù)完整性：這些機(jī)制提供刪除完整性的檢測(cè)。防護(hù)的獲得是通過在一個(gè)給定的變化程度內(nèi)的特定時(shí)間和/或地址提供數(shù)據(jù)。驗(yàn)證是通過預(yù)料在給定時(shí)間和/或地址的數(shù)據(jù)是否會(huì)出現(xiàn)，如果未出現(xiàn)，就判定發(fā)生了刪除。為了防止對(duì)改變數(shù)據(jù)的替換，數(shù)據(jù)必須以不可假冒的方式被識(shí)別，可以通過附加數(shù)據(jù)或預(yù)先確定的特征獲得識(shí)別。如果是通過附加身份提供識(shí)別，為產(chǎn)生數(shù)據(jù)應(yīng)使用創(chuàng)建完整性檢測(cè)服務(wù)。如果被保護(hù)

10、的數(shù)據(jù)形成一個(gè)序列，表示數(shù)據(jù)在序列的位置提供給數(shù)據(jù)一個(gè)唯一的識(shí)別號(hào)。4) 通過檢測(cè)和回執(zhí)提供數(shù)據(jù)完整性：這些機(jī)制使用一個(gè)完整性檢測(cè)和一個(gè)完整性保護(hù)機(jī)制，提供刪除完整性以對(duì)抗與檢測(cè)完整性同樣的威脅。它們只是用于防護(hù)和去防護(hù)同時(shí)進(jìn)行的操作環(huán)境和數(shù)據(jù)傳輸，但不適用于數(shù)據(jù)的存儲(chǔ)和恢復(fù)。去防護(hù)的獲得是反復(fù)的收到完整性檢測(cè)機(jī)制的驗(yàn)證過程的支配，直到?jīng)]有檢測(cè)出非法行為為止。然后對(duì)防護(hù)給出一個(gè)肯定的回執(zhí)。從而完成了數(shù)據(jù)完整性機(jī)制的去防護(hù)。當(dāng)驗(yàn)證出一個(gè)否定結(jié)果，對(duì)防護(hù)操作則給出一個(gè)否定的回執(zhí)。7 抗抵賴性7.1 抗抵賴的種類7.1.1 通信類帶文電源證明的抗抵賴服務(wù)，旨在防止發(fā)方故意否認(rèn)發(fā)了文電或否認(rèn)文電的內(nèi)容

11、。這可通過數(shù)據(jù)發(fā)送方將文電源證明傳給數(shù)據(jù)接受方來實(shí)現(xiàn)。帶頭地證明的抗抵賴服務(wù)旨在防止接收方故意否認(rèn)接收到文電或否認(rèn)其內(nèi)容。7.1.2 非通信類在產(chǎn)生時(shí)，抗抵賴是指一實(shí)體否認(rèn)對(duì)文電負(fù)責(zé)。7.2 要求下列要求適用于抗抵賴交換所說明的主體，這些要求與生成安全信封和數(shù)字簽名所使用的密碼校驗(yàn)值有關(guān)，與抗抵賴機(jī)制支持的抗抵賴服務(wù)無關(guān)。1) 抗抵賴交換的實(shí)體應(yīng)信認(rèn)可信第三方(TTP)。2) 在生成證據(jù)之前，證據(jù)主成者必須清楚以下三件事：可以被驗(yàn)證者接受的抗抵賴策略，所要求的證據(jù)類型和驗(yàn)證者可以接受的機(jī)制集。3) 聲稱或驗(yàn)證證據(jù)的機(jī)制必須對(duì)特殊抗抵賴交換的實(shí)體可得，或者可信機(jī)構(gòu)必須可得，以便提供必要的機(jī)制并代

12、表證據(jù)請(qǐng)求者完成所要求的必要的功能。4) 適用于某機(jī)制的密鑰只能由相關(guān)的實(shí)體擁有。5) 證據(jù)使用者和裁決者必須可以驗(yàn)證證據(jù)。6) 證據(jù)中應(yīng)該包括時(shí)間信息，還包含事件發(fā)生時(shí)間和證據(jù)生成的時(shí)間。7) 如果抗抵賴策略要求可信時(shí)間或者生成證據(jù)者所提供的時(shí)間不可信，那么證據(jù)生成者和證據(jù)驗(yàn)證者必須可以訪問時(shí)間標(biāo)記標(biāo)記機(jī)構(gòu)。7.3 通用抗抵賴服務(wù)在提供抗抵賴服務(wù)時(shí)，要涉及一些不同的實(shí)體。證據(jù)生成過程中涉及3 個(gè)實(shí)體：1) 要拿到證據(jù)的證據(jù)請(qǐng)求者；2) 完成某動(dòng)作或涉及某事件的證據(jù)主體；3) 生成證據(jù)的證據(jù)生成者。證據(jù)驗(yàn)證過程中涉及兩個(gè)實(shí)體：1) 希望驗(yàn)證證據(jù)但不能直接驗(yàn)證證據(jù)的證據(jù)用戶；2) 應(yīng)證據(jù)用戶的要

13、求，可以驗(yàn)證證據(jù)的證據(jù)驗(yàn)證者。在證據(jù)生成過程中，事件或動(dòng)作與證據(jù)主體相關(guān)。證據(jù)主體本身可以應(yīng)證據(jù)請(qǐng)求者要求提供證據(jù)。如果證據(jù)主體和證據(jù)請(qǐng)求者都不能直接提供證據(jù)，那麼證據(jù)生成者生成證據(jù)后，返回證據(jù)請(qǐng)求者或者對(duì)證據(jù)請(qǐng)求者可得，然后可以將該證據(jù)提供給其它實(shí)體。在證據(jù)驗(yàn)證過程中，證據(jù)用戶希望驗(yàn)證證據(jù)的正確性，如果證據(jù)用戶不能直接驗(yàn)證證據(jù)的正確性，由證據(jù)驗(yàn)證者驗(yàn)證。7.3.2 抗抵賴服務(wù)本標(biāo)準(zhǔn)適用于以下六種基本抗抵賴服務(wù)：創(chuàng)建抗抵賴、發(fā)送抗抵賴、接收抗抵賴、認(rèn)知抗抵賴、提交抗抵賴和傳輸抗抵賴。其他抗抵賴服務(wù)可有這些基本服務(wù)組合而成。組合發(fā)送和創(chuàng)建抗抵賴可以獲得原發(fā)抗抵賴，組合接收和任知抗抵賴可以獲得交付抗抵賴。7.4 可信第三方抗抵賴服務(wù)可能涉及可信第三方，這依賴于使用的機(jī)制和現(xiàn)行的抗抵賴策略。使用非對(duì)稱密碼技術(shù)時(shí)要求離線的可信第三方，以保證密鑰的真實(shí)性，只要可信第三方符合抗抵賴策略的要求，也可以成為TTP鏈中的一部分；使用對(duì)稱密碼技術(shù)時(shí)，要求在線的可信第三方參與，以生成并驗(yàn)證安全信封?？沟仲嚥呗砸笥傻谌缴刹糠只蛉孔C據(jù)。抗抵賴還可能要求：1) 由可信時(shí)間標(biāo)記機(jī)構(gòu)提供得可信時(shí)間標(biāo)記；2) 公證人，以驗(yàn)證實(shí)體的特性和被存貯或傳輸?shù)臄?shù)據(jù)特