信息安全教學PPT

1、第2章 信息安全體系結(jié)構(gòu) 技術(shù)體系結(jié)構(gòu)概述OSI安全體系結(jié)構(gòu)應(yīng)用體系結(jié)構(gòu)組織體系結(jié)構(gòu)與管理體系結(jié)構(gòu) 1信息安全體系就是為了從管理、技術(shù)上保證安全策略得以完整、準確地實現(xiàn)，包括：技術(shù)體系組織體系管理體系 信息安全體系信息安全體系三棱錐組織體系技術(shù)體系管理體系2體系結(jié)構(gòu)釋義 所謂一種體系結(jié)構(gòu)實際上是一種被普遍認可的一種概念或結(jié)構(gòu)，以及這種結(jié)構(gòu)的目標和采用的方法。例1. 居住樓房是一種建筑（體系）結(jié)構(gòu)例2. 窯洞則是能供家庭居住的另一種結(jié)構(gòu) 體系結(jié)構(gòu)的概念可以使人們在大的方面進行交流。而不同權(quán)益者可以關(guān)注不同的細節(jié)。例如住戶僅關(guān)心在樓房建設(shè)中使用的水泥標號（表示其強度），而房地產(chǎn)開發(fā)商除了關(guān)注水泥的

2、標號外，還需要關(guān)注水泥的采購價格等，而外形設(shè)計者可能僅關(guān)注水泥的顏色。由此可以看出研究體系結(jié)構(gòu)的重要性。3技術(shù)體系結(jié)構(gòu)概述 定義：信息安全的技術(shù)體系結(jié)構(gòu)是研究在特定應(yīng)用環(huán)境或類別下，采用妥善定義的信息安全機制，構(gòu)建、實現(xiàn)相關(guān)的安全目標或安全服務(wù)的科學。 應(yīng)用環(huán)境可分為： 物理環(huán)境 計算機系統(tǒng)平臺網(wǎng)絡(luò)通信平臺應(yīng)用平臺四種妥善定義的信息安全機制： 是指那些技術(shù)或模塊，它們能夠?qū)崿F(xiàn)一個或若干特定安全目標。這些安全機制有明確的定義和易判定的外延，與別的模塊有明顯的區(qū)別。 4例如：1. 加密模塊2. 訪問控制模塊它們的定義是明確的，外延是易判定的，從而是妥善定義的機制。妥善定義的信息安全機制通常簡稱為安

3、全機制。不同的應(yīng)用環(huán)境對安全的需求是有差異的。給定的一類應(yīng)用對安全的需求可以歸結(jié)為一些基本要素，稱為安全目標（也稱為安全服務(wù)）。這些安全目標可以通過合理配置安全機制來實現(xiàn)。具體的應(yīng)用安全性則是通過調(diào)用這些安全服務(wù)完成。5應(yīng)用系統(tǒng)安全安全目標安全機制圖 安全體系結(jié)構(gòu)層次信息安全技術(shù)體系物理環(huán)境安全體系計算機系統(tǒng)平臺安全體系網(wǎng)絡(luò)通信平臺安全體系應(yīng)用平臺安全體系6技術(shù)體系結(jié)構(gòu)概述 物理安全，是通過機械強度標準的控制，使信息系統(tǒng)所在的建筑物、機房條件及硬件設(shè)備條件滿足信息系統(tǒng)的機械防護安全；通過采用電磁屏蔽機房、光通信接入或相關(guān)電磁干擾措施降低或消除信息系統(tǒng)硬件組件的電磁發(fā)射造成的信息泄露；提高信息系

4、統(tǒng)組件的接收靈敏度和濾波能力，使信息系統(tǒng)組件具有抗擊外界電磁輻射或噪聲干擾能力而保持正常運行。 物理安全除了包括機械防護、電磁防護安全機制外，還包括限制非法接入，抗摧毀，報警，恢復，應(yīng)急響應(yīng)等多種安全機制。 物理環(huán)境安全體系7計算機系統(tǒng)平臺安全體系硬件上主要通過下述機制，提供一個可信的硬件環(huán)境，實現(xiàn)其安全目標。 1. 存儲器安全機制2. 運行安全機制3. I/O安全機制操作系統(tǒng)上主要通過綜合使用下述機制，為用戶提供可信的軟件計算環(huán)境。1. 身份識別2. 訪問控制3. 完整性控制與檢查4. 病毒防護5. 安全審計8網(wǎng)絡(luò)通信平臺安全體系 國際標準化組織ISO在1988年發(fā)布的ISO 7498-2作

5、為其開放系統(tǒng)互連（OSI）的安全體系結(jié)構(gòu)。它定義了許多術(shù)語和概念，并建立了一些重要的結(jié)構(gòu)性準則。 定義了5種安全目標，10多種安全機制。 5種安全目標是： 機密性、完整性 身份識別、訪問控制、防抵賴應(yīng)用平臺安全體系 目前，通過國際標準化組織的努力，提出若干體系結(jié)構(gòu)方面的標準。比較有影響的是國際標準化組織（ISO）的開放系統(tǒng)互連（OSI）安全體系結(jié)構(gòu)（ISO 7498-2）、高層安全模型（ISO/IEC 10745）；互聯(lián)網(wǎng)工程任務(wù)組（IETF）的安全體系結(jié)構(gòu)IPSec、傳輸層安全TLS等。9安全機制 信息安全中安全策略要通過安全機制來實現(xiàn)。安全機制可以分為保護機制、檢測機制和恢復機制三個類別。

6、下面我們對常用的安全機制的概念進行說明。加密 加密技術(shù)能為數(shù)據(jù)或通信信息流提供機密性。同時對其他安全機制的實現(xiàn)起主導作用或輔助作用。 （1）傳統(tǒng)密碼：DES、AES（2）公鑰密碼：RSA、ECC10數(shù)字簽名 數(shù)字簽名包括兩個過程：簽名者對給定的數(shù)據(jù)單元進行簽名，而后接收者驗證該簽名。簽名過程需要使用簽名者的私有信息（滿足機密性和唯一性），驗證過程應(yīng)當僅使用公開的規(guī)程和公開的信息，而這些公開的信息不能計算出簽名者的私有信息。11訪問控制 訪問控制機制使用實體的標識、類別（如所屬的實體集合）或能力，從而確定權(quán)限、授予訪問權(quán)。實體如果試圖進行非授權(quán)訪問，將被拒絕。訪問控制機制基于下列幾種技術(shù)：（1）

7、訪問信息庫（2）識別信息庫（3）能力信息表（4）安全等級 為進行訪問的實體和被訪問的實體劃分相應(yīng)的安全等級、范圍，制定訪問交互中雙方安全等級、范圍必須滿足的條件（稱為強安全策略）。這種機制與訪問控制表或能力表機制相比，信息維護量小，但設(shè)計難度大。此外，在訪問控制中有時還需要考慮時間及持續(xù)長度、通信信道等因素。12數(shù)據(jù)完整性 有兩類消息的鑒別：數(shù)據(jù)單元的完整性鑒別和數(shù)據(jù)流的完整性鑒別。 數(shù)據(jù)單元的鑒別是數(shù)據(jù)的生成者（或發(fā)送者）計算的普通分組校驗碼、用傳統(tǒng)密碼算法計算的鑒別碼、用公鑰密碼算法計算的鑒別碼，附著在數(shù)據(jù)單元后面，數(shù)據(jù)的使用者（或接收者）完成對應(yīng)的計算（可能與生成者的同樣或不同），從而檢

8、驗數(shù)據(jù)是否被篡改或假冒。 在連接模式的數(shù)據(jù)傳輸中（如TCP），保護數(shù)據(jù)流的完整性除了計算鑒別碼外，還需結(jié)合時間戳、序列號、密碼分組鏈接等技術(shù)，從而抵抗亂序、丟失、重放、插入或修改等人為攻擊或偶然破壞。在無連接模式的數(shù)據(jù)傳輸中（如UDP），與時間戳機制的結(jié)合可以起到防重放的作用。13身份識別 身份識別在OSI中稱為鑒別交換各種系統(tǒng)通常為用戶設(shè)定一個用戶名或標識符的索引值。身份識別就是后續(xù)交互中當前用戶對其標識符一致性的一個證明過程，通常是用交互式協(xié)議實現(xiàn)的。常用的身份識別技術(shù)有：（1） 口令（password） 驗證方提示證明方輸入口令，證明方輸入后由驗證方進行真?zhèn)巫R別。（2） 密碼身份識別協(xié)議

9、使用密碼技術(shù)，可以構(gòu)造出多種身份識別協(xié)議。如挑戰(zhàn)應(yīng)答協(xié)議、零知識證明、數(shù)字簽名識別協(xié)議等。（3）使用證明者的特征或擁有物的身份識別協(xié)議如指紋、面容、虹膜等生物特征，身份證、IC卡等擁有物的識別協(xié)議。當然這些特征或擁有物至少應(yīng)當以很大的概率是獨一無二的。 14通信量填充與信息隱藏通信量通常會泄露信息。為了防止敵手對通信量的分析，我們需要在空閑的信道上發(fā)送一些無用的信息，以便蒙蔽敵手（當然填充的信息經(jīng)常要使用機密性服務(wù)），這就稱為通信量填充機制。在專用通信線路上這種機制非常重要，但在公用信道中則要依據(jù)環(huán)境而定。信息隱藏則是把一則信息隱藏到看似與之無關(guān)的消息（例如圖象文件）中，以便蒙蔽敵手，通常也要

10、和密碼技術(shù)結(jié)合才能保證不被敵手發(fā)現(xiàn)。通信量填充和信息隱藏是一組對偶的機制。前者發(fā)送有形式無內(nèi)容的消息，而后者發(fā)送有內(nèi)容“無”形式的消息。 以達到擾亂目的! 15路由控制 路由控制是對于信息的流經(jīng)路徑的選擇，為一些重要信息指定路徑，例如通過特定的安全子網(wǎng)、中繼或連接設(shè)備，也可能是要繞開某些不安全的子網(wǎng)、中繼或連接設(shè)備。這種路由可以是預先安排的或者作為恢復的一種方式而由端系統(tǒng)動態(tài)指定。 路由控制則是一種一般的通信環(huán)境保護。恰當?shù)穆酚煽刂瓶梢蕴嵘h(huán)境的安全性，從而可能會因此簡化其他安全機制實施的復雜性。16公證 在兩方或多方通信中，公證機制可以提供數(shù)據(jù)的完整性，發(fā)/收方的身份識別和時間同步等服務(wù)。通

11、信各方共同信賴的公證機構(gòu)，稱為可信第三方，它保存通信方的必要信息，并以一種可驗證的方式提供上述服務(wù)。 通信各方選擇可信第三方指定的加密、數(shù)字簽名和完整性機制，并和可信第三方做少量的交互，實現(xiàn)對通信的公證保護。例如證書權(quán)威機構(gòu)CA，通過為各通信方提供公鑰證書和相關(guān)的目錄、驗證服務(wù)，從而實現(xiàn)了一部分公證機構(gòu)的職能。 除了上述這些（特殊）安全機制外，OSI還采用了下列幾種普遍性安全機制。17事件檢測與安全審計 對所有用戶的與安全相關(guān)的行為進行記錄，以便對系統(tǒng)的安全進行審計。 與安全相關(guān)的事件檢測，包括對明顯違反安全規(guī)則的事件和正常完成事件的檢測。其處理過程首先是對事件集合給出一種定義，這種定義是關(guān)于

12、事件特征的描述，而這些特征又應(yīng)當是易于捕獲的。一旦檢測到安全相關(guān)的事件，則進行事件報告（本地的和遠程的）和存檔。 安全審計則在專門的事件檢測存檔和系統(tǒng)日志中提取信息，進行分析、存檔和報告，是事件檢測的歸納和提升。安全審計的目的是為了改進信息系統(tǒng)的安全策略、控制相關(guān)進程，同時也是執(zhí)行相關(guān)的恢復操作的依據(jù)。 對于分布式的事件檢測或?qū)徲?，要建立事件報告信息和存檔信息的語義和表示標準，以便信息的交換。 目前經(jīng)常提到的漏洞掃描和入侵檢測都屬于事件檢測和審計的范疇。 18安全恢復 對事件檢測和審計報告提交到事件處理管理模塊后，如果滿足一定的條件，則觸發(fā)恢復機制?；謴蜋C制通常是由一系列的動作組成。其目的是在

13、受到安全攻擊或遇到偶然破壞的情況下，把損失降到最小。 恢復包括：數(shù)據(jù)的恢復和運行狀態(tài)的恢復。 對于數(shù)據(jù)的恢復而言，為了有效地恢復，通常需要事先使用關(guān)聯(lián)的數(shù)據(jù)備份機制。 而對于系統(tǒng)運行狀態(tài)的恢復是指把系統(tǒng)恢復到安全狀態(tài)之下，可分為：立即恢復是指立即退出系統(tǒng)，例如切斷連接、關(guān)機等，其效果沒有持久性；當前恢復是指針對具體實體停止當前的活動，例如取消用戶的訪問權(quán)、終止和一個用戶的交易等，其效果覆蓋當前一段時間；長久恢復執(zhí)行類如把攻擊者寫入“黑名單”、更換用戶密碼等操作，其效果是長久的。19安全標記安全標記是為數(shù)據(jù)資源所附加的指明其安全屬性的標記。例如安全標記可以用來指明數(shù)據(jù)的機密性級別。安全標記可以是

14、顯式的, 也可能是隱含的： 例如使用一個特定密鑰加密數(shù)據(jù)所隱含的信息, 或由該數(shù)據(jù)的上下文所隱含的信息，例如數(shù)據(jù)來源或路由隱含。顯式安全標記必須是清晰可辨認的，以便對它們作適當?shù)尿炞C。此外, 它們還必須安全可靠地依附于與之關(guān)聯(lián)的數(shù)據(jù)。這種安全機制對幾乎所有的安全機制實現(xiàn)都是需要的。20保證保證（assurance），也稱為可信功能度，提供對于某個特定的安全機制的有效性證明。保證使人們相信實施安全機制的模塊能達到相應(yīng)的目標。對安全機制的保證，通常通過對機制的規(guī)格說明、設(shè)計和實現(xiàn)三個過程的可信度來提供。例如規(guī)格說明對機制的功能給出準確的形式化描述。設(shè)計將準確地把規(guī)格說明內(nèi)容轉(zhuǎn)換為功能模塊，并保證無

15、論在何種環(huán)境下設(shè)計將不允許違反規(guī)格描述的條款。最后需要忠實地按照設(shè)計實現(xiàn)一種安全機制。保證提供的是安全機制之所以是安全的所依據(jù)的假設(shè)條件。如果你相信這些條件能滿足，則安全機制就是可信的。反之，如果不相信這些條件能得到滿足，則系統(tǒng)未必是可信的。21OSI安全體系結(jié)構(gòu)標準組織ISO國際標準化組織OSI 開放系統(tǒng)互連ITU國際電信聯(lián)盟OSI安全體系結(jié)構(gòu)的頒布ISO于1988年發(fā)布了7498-2標準開放系統(tǒng)互連（OSI）參考模型的安全體系結(jié)構(gòu)部分。ITU于 1990年把它作為X.800推薦標準。中國于1995年我國把它作為國家標準GB/T9387.2-1995頒布。22目標OSI安全體系結(jié)構(gòu)的目標把安

16、全特征按照功能目標分配給OSI的層，以加強OSI結(jié)構(gòu)的安全性。提供一個結(jié)構(gòu)化的框架，以便供應(yīng)商和用戶據(jù)此評估安全產(chǎn)品。意義和方法 OSI安全體系結(jié)構(gòu)對于構(gòu)建網(wǎng)絡(luò)環(huán)境下的信息安全解決方案具有指導意義。其核心內(nèi)容是為異構(gòu)計算機的進程與進程之間的通信安全性，定義了五類安全服務(wù)、八類安全機制以及安全服務(wù)分層的思想，并描述了OSI的安全管理框架，最后又描述了這些安全服務(wù)、安全機制在7層中的配置關(guān)系。從而為網(wǎng)絡(luò)通信安全體系結(jié)構(gòu)的研究奠定了重要基礎(chǔ)。 23OSI的7層網(wǎng)絡(luò)與TCP/IP模型 層次化結(jié)構(gòu)有效地實現(xiàn)了各個層次功能的劃分并定義了規(guī)范的接口，使得每一層的功能簡單、易于實現(xiàn)和維護。OSI的7層協(xié)議模型

17、24一些術(shù)語 層次化結(jié)構(gòu)有效地實現(xiàn)了各個層次功能的劃分并定義了規(guī)范的接口，使得每一層的功能簡單、易于實現(xiàn)和維護。例如，它使網(wǎng)絡(luò)的設(shè)計者不需要把注意力放在具體物理傳輸媒介、具體應(yīng)用細節(jié)上，而專注于網(wǎng)絡(luò)的拓撲結(jié)構(gòu)。每一層中的活動元素稱為實體。位于不同系統(tǒng)上同一層的實體稱為對等實體。不同系統(tǒng)之間的通信可以由對等實體間的邏輯通信來實現(xiàn)。對某一層上的通信所使用的規(guī)則稱為該層上的通信協(xié)議。協(xié)議按照所屬的層次順序排列而成的協(xié)議序列稱為協(xié)議棧。25通信機制 事實上，除了在最底層物理層，上進行的是實際的通信之外，其余各對等實體之間進行的都是虛通信或邏輯通信。高層實體之間的通信是調(diào)用相鄰低層實體之間的通信實現(xiàn)的，

18、如此下去總是要經(jīng)過物理層才能實現(xiàn)通信。 N+1層實體要想把數(shù)據(jù)D傳送到對等實體手中，它將調(diào)用N層提供的通信服務(wù)，在被稱為服務(wù)數(shù)據(jù)單元（SDU）的D前面加上協(xié)議頭（PH），傳送到對等的N層實體手中，而N層實體去掉協(xié)議頭，把信息D交付到N+1層對等實體手中。 26TCP/IP模型 英特網(wǎng)（Internet）實際上不是由7層組成，而是由應(yīng)用層、傳輸層（TCP/UDP）、網(wǎng)絡(luò)互聯(lián)層（IP）和網(wǎng)絡(luò)接口層組成。 它的通信模式和OSI的7層模型差不多。 應(yīng)用層傳輸層網(wǎng)絡(luò)互聯(lián)層網(wǎng)絡(luò)接口層應(yīng)用層對應(yīng)于OSI的應(yīng)用層、表示層和會話層的組合，為應(yīng)用程序訪問網(wǎng)絡(luò)通信提供接口。常見的協(xié)議包括FTP（文件傳輸協(xié)議）、TE

19、LNET（遠程終端協(xié)議）、SMTP（簡單郵件傳輸協(xié)議）、HTTP（超文本傳輸協(xié)議）等。傳輸層對應(yīng)于OSI的傳輸層，為高層提供一定的數(shù)據(jù)可靠性和完整性。包括兩個傳輸協(xié)議TCP和UDP，前者提供面向連接的傳輸服務(wù)，后者提供面向非連接的傳輸服務(wù)。網(wǎng)絡(luò)互聯(lián)層與OSI的網(wǎng)絡(luò)層對應(yīng)，處理建立、保持、釋放連接，以及路由等功能，該層上的協(xié)議為IP協(xié)議。網(wǎng)絡(luò)接口層對應(yīng)于OSI的數(shù)據(jù)鏈路層和物理層的組合，負責把IP包封裝為適合于物理網(wǎng)絡(luò)上傳輸?shù)膸?，并解決數(shù)據(jù)幀和比特傳輸?shù)募m錯問題。不同的網(wǎng)絡(luò)介質(zhì)有不同的協(xié)議。27OSI的安全服務(wù)OSI的五類安全服務(wù)是鑒別機密性完整性訪問控制抗抵賴 實際上是一些要實現(xiàn)的安全目標，但

20、在OSI框架之下，認為每一層和它的上一層是一種服務(wù)關(guān)系，因此，把這些安全目標稱為安全服務(wù)是相當自然的。28五類安全服務(wù)的分類291. 鑒別（1）對等實體鑒別即提供實體的身份識別服務(wù)。該服務(wù)能夠確定一個實體沒有冒充其他實體，使對方（對等實體）確信他正在和所聲稱的另一實體在通信。（2）數(shù)據(jù)原發(fā)鑒別確認所接收到的數(shù)據(jù)的來源是所聲稱的實體，但對于數(shù)據(jù)的重放不提供保護。302. 機密性該服務(wù)保護數(shù)據(jù)不被非授權(quán)地泄漏。（3）連接機密性 為一層上建立的一個連接上的所有數(shù)據(jù)提供機密性保護服務(wù)。對一些層來說保護全部的連接數(shù)據(jù)是合適的，但對另一些層來說不必要。（4）無連接機密性僅對一層上協(xié)議的某個服務(wù)數(shù)據(jù)單元SD

21、U提供機密性保護服務(wù)。（5）選擇字段機密性為所選擇的某個字段提供機密性保護服務(wù)，這些字段可以是一層上連接傳輸?shù)囊徊糠謹?shù)據(jù)，也可以是一層上非連接傳輸?shù)囊粋€SDU中的一個字段。（6）通信業(yè)務(wù)流機密性使通信業(yè)務(wù)流量具有隨機特征，從而攻擊者無法通過觀察通信流量推斷其中的機密信息。31 3. 完整性（7）帶恢復的連接完整性 為一層上建立的一個連接上的所有數(shù)據(jù)提供完整性檢查，即檢查整個SDU序列中所有SDU的數(shù)據(jù)是否被篡改、檢查SDU序列沒有被刪除、插入或亂序。一旦出現(xiàn)差錯該服務(wù)將提供重傳或糾錯等恢復操作。（8）不帶恢復的連接完整性與帶恢復的連接完整性的唯一不同是，檢查到差錯后不進行補救。（9）選擇字段的

22、連接完整性為一層的一個連接傳輸?shù)乃x擇部分字段提供完整性檢查。檢查這些SDU字段序列中的數(shù)據(jù)是否被篡改、檢查字段序列沒有被刪除、插入或亂序。（10）無連接完整性對一層上協(xié)議的某個服務(wù)數(shù)據(jù)單元SDU提供完整性檢查服務(wù)，確認是否被篡改。（11）選擇字段的無連接完整性僅對一層上協(xié)議的某個服務(wù)數(shù)據(jù)單元SDU的部分字段提供完整性檢查服務(wù)，確認是否被篡改。324. 訪問控制與抗抵賴（12）訪問控制 是防止對資源的非授權(quán)使用。抗抵賴服務(wù)又分為：為數(shù)據(jù)的發(fā)送方（13）提供交付證據(jù)為數(shù)據(jù)的接收方提供（14）原發(fā)證據(jù)。33OSI安全機制 身份識別在OSI中稱為鑒別交換特定安全機制 加密、數(shù)字簽名、訪問控制、數(shù)據(jù)完

23、整性、鑒別交換、通信量填充、路由控制、公證共8種普遍性安全機制可信功能度、安全標記、事件檢測、安全審計追蹤、安全恢復共5種 特定安全機制中除了數(shù)據(jù)完整性外都屬于我們定義的安全防護范疇，而OSI的普遍安全機制除了可信功能度外對應(yīng)于我們的安全檢測和恢復范圍。34安全服務(wù)與特定安全機制的關(guān)系35層次化結(jié)構(gòu)中服務(wù)的配置 協(xié)議層 服務(wù)1234567對等實體鑒別YYY數(shù)據(jù)原發(fā)鑒別YYY訪問控制YYY連接機密性YYYYYY無連接機密性YYYYY選擇字段機密性YY通信業(yè)務(wù)流機密性YYY帶恢復的連接完整性YY不帶恢復的連接完整性YYY選擇字段的連接完整性Y無連接完整性YYY選擇字段的無連接完整性Y有數(shù)據(jù)原發(fā)證明

24、的抗抵賴Y有交付證明的抗抵賴Y36應(yīng)用體系結(jié)構(gòu)OSI的高層安全協(xié)議模型（ISO 10745）是應(yīng)用層安全協(xié)議的通用構(gòu)建工具和協(xié)議組件模型。該模型實際上只是把應(yīng)用的安全歸結(jié)為事務(wù)的安全，通過安全變換、安全交換、安全關(guān)聯(lián)等機制類型實現(xiàn)應(yīng)用安全目標。該模型的概念系統(tǒng)安全組件實現(xiàn)安全變換安全通信組件實現(xiàn)安全交換和安全關(guān)聯(lián)等37應(yīng)用層結(jié)構(gòu)與安全模型ISO/IEC 9545是國際標準化組織的應(yīng)用層次機構(gòu)標準，它定義了應(yīng)用層的結(jié)構(gòu)概念和術(shù)語。應(yīng)用層結(jié)構(gòu)兩應(yīng)用系統(tǒng)通過表示層的邏輯連接進行通信。應(yīng)用層協(xié)議里包括各個具體應(yīng)用模塊（X，Y，Z）和控制部件CF的具體描述，說明各個模塊怎樣協(xié)同工作，怎樣向用戶或應(yīng)用程序

25、提供服務(wù)，怎樣使用表示層的服務(wù)接口。38系統(tǒng)A應(yīng)用層控制部件CF模塊X模塊Y模塊Z系統(tǒng)B應(yīng)用層實體控制部件CF模塊X模塊Y模塊Z表示層表示層這些模塊分為：應(yīng)用服務(wù)元素（ASE）應(yīng)用服務(wù)對象（ASO）ASE包含一個模塊描述ASO本身則是一個與應(yīng)用層實體類似的結(jié)構(gòu)，它也包含控制部件CF和一組低層模塊（ASE、ASO）。39 Web應(yīng)用層結(jié)構(gòu)示例 瀏覽器控制部件CFACSE遠程操作ASE本地操作ASE瀏覽服務(wù)器控制部件CFACSE遠程操作ASE本地操作ASE表示層表示層 兩個終端應(yīng)用系統(tǒng)通過單個應(yīng)用關(guān)聯(lián)連接起來的情況下，每個應(yīng)用系統(tǒng)中必須有至少一個ASE模塊，稱之為關(guān)聯(lián)控制服務(wù)元素（ACSE）。AC

26、SE為應(yīng)用關(guān)聯(lián)的建立和終止定義了應(yīng)用PDU，ACSE PDU在建立應(yīng)用關(guān)聯(lián)時，交換應(yīng)用雙方的地址信息、確定應(yīng)用上下文，提供應(yīng)用實體的身份識別。 40安全組件應(yīng)用安全的組件可分為兩大類：系統(tǒng)安全組件負責與安全相關(guān)的處理，如加密、數(shù)字簽名、隨機數(shù)的生成等。安全通信組件負責與安全相關(guān)的信息在系統(tǒng)之間的傳輸。注： 系統(tǒng)安全組件屬于安全機制和安全技術(shù)范疇，強調(diào)的是安全功能，可以應(yīng)用在通信的各層，甚至在通信以外的領(lǐng)域也是有用的。 而安全通信組件則相反，它是特定通信協(xié)議（如OSI高層協(xié)議）的一部分，但不限定采用哪種安全機制或技術(shù)。 其次，它們區(qū)分了安全功能和通信功能，這有利于協(xié)議的實現(xiàn)。41安全交換和安全變

27、換 高層安全模型引入了兩個重要的概念：安全交換和安全變換，這為安全協(xié)議構(gòu)建工具和協(xié)議組件的設(shè)計鋪平了道路。這兩個概念反映了安全協(xié)議所需的兩類不同的行為。第一類行為是在安全機制的直接支持下，系統(tǒng)間交換的協(xié)議數(shù)據(jù)項的生成處理。例如交換識別數(shù)據(jù)（用于實體識別目標），交換密鑰數(shù)據(jù)（支撐機密性和完整性目標），或者是交換訪問控制證書。它們傳遞的準確信息與機制有關(guān)，但協(xié)議構(gòu)造方法可以與機制無關(guān)。安全交換概念指的是這一類行為。第二類行為是用戶數(shù)據(jù)在通信之前，要先進行一些變換，如加密、填充、數(shù)字簽名等。這類行為更多的是對應(yīng)用的另一組件的數(shù)據(jù)進行處理而不是生成特定的安全信息。安全變換概念指這類行為。在實現(xiàn)系統(tǒng)間安

28、全通信的情況下，系統(tǒng)安全組件是協(xié)議信息的源方和收方；在實現(xiàn)用戶間安全通信的情況下，系統(tǒng)安全組件不是信息的源方和收方，而是對數(shù)據(jù)進行處理，如加密脫密。 42安全組件功能示意圖 系統(tǒng)安全組件安全機制協(xié)議數(shù)據(jù)項安全通信組件系統(tǒng)安全組件安全通信組件安全機制協(xié)議數(shù)據(jù)項（a）系統(tǒng)間安全通信待保護的用戶數(shù)據(jù)未保護的用戶數(shù)據(jù)系統(tǒng)安全組件安全機制協(xié)議數(shù)據(jù)項安全通信組件系統(tǒng)安全組件安全通信組件安全機制協(xié)議數(shù)據(jù)項（a）用戶間安全通信43安全關(guān)聯(lián) 兩個（或多個）系統(tǒng)實體之間，在進行相關(guān)的安全處理之前需要進行握手交換，使得它們之間共同維護著一些規(guī)則、狀態(tài)信息（實體ID，選用的算法，密鑰，其它參數(shù)）等屬性，就稱它們之間有安全關(guān)聯(lián)。安全關(guān)聯(lián)使得能對一系列后續(xù)數(shù)據(jù)傳輸提供連貫一致的保護。事實上，不論在通信的低層協(xié)議還是高層中都有安全關(guān)聯(lián)的概念。安全關(guān)聯(lián)可以體現(xiàn)為一個應(yīng)用的直接握手協(xié)商的情況，也可體現(xiàn)為其它類型的A