《安全体系结构与安全模型.ppt》由会员分享,可在线阅读,更多相关《安全体系结构与安全模型.ppt(47页珍藏版)》请在三一办公上搜索。
1、第七章 安全体系结构与安全模型,基本内容,1 安全体系结构2 安全模型3 安全评估标准,1.1 什么是安全体系结构,体系结构(Architecture)Architecture=Components+Connection+Constraints体系结构部件关系约束网络安全体系结构部件:安全服务、安全机制、功能层关系:安全服务与安全机制、安全服务与功能层约束:安全政策(Security Policy)Security policy is the set of criteria for provision of security services,安全服务、安全机制、安全技术,可用性服务,保密性服
2、务,加密机制,完整性机制,访问控制机制,对称密钥技术,公开密钥技术,完整性服务,安全服务,安全机制,安全技术,防火墙技术,.,1.2 OSI安全体系结构(ISO7498-2),开放式系统互联安全体系结构主要内容:相关概念的定义:安全服务、安全机制定义了五种安全服务(安全功能)定义了九种安全机制安全服务和安全机制之间的关系安全服务在功能层上的配置安全管理,OSI安全体系结构(ISO 7498-2),安全机制,加密机制,访问控制机制,数据完整性机制,数字签名机制,普适性机制,认证交换机制,业务流填充机制,路由控制机制,公证机制,认证服务,访问控制,数据完整性,数据保密性,抗抵赖,物理层,链路层,网
3、络层,传输层,会话层,表示层,应用层,安全服务,功能层,1.3 五类安全服务,认证(Authentication),鉴别对等实体认证数据源发认证访问控制(Access Control)数据保密性(Confidentiality),机密性连接的机密性无连接的机密性选择字段的机密性通信业务流(traffic)机密性,1.3 五类安全服务(续),数据完整性(Integrity)连接的完整性无连接的完整性选择字段的完整性带恢复的完整性抗抵赖(Non-Repudation)数据原发抗抵赖数据交付抗抵赖,1.4 安全机制,加密机制(密码机制)可以支持数据保密性、完整性等多种安全服务算法可以是可逆的,也可以
4、是不可逆的数字签名机制签名:使用签名者独有的私有信息验证:使用公开的信息和规程;签名采用公钥体制,使用私钥进行数字签名,使用公钥对签名信息进行验证,1.4 安全机制(续),访问控制机制根据访问者的身份和有关信息,决定实体的访问权限。实体必须经过认证。访问控制可以基于以下手段:集中的授权信息库主体的能力表;客体的访问控制链表主体和客体的安全标签或安全级别路由、时间、位置等可以用在源点、中间、或目的,1.4 安全机制(续),数据完整性机制接收者能够辨别信息是否发送者发送的原始数据的机制发送实体给数据单元附加一个消息,这个消息是该数据的函数。接收实体根据接收到的数据也产生一个相应的消息,并通过与接收
5、的附加消息的比较来确定接收到的数据是否在传输中被篡改。单个数据单元数据单元序列序列号时间戳,1.4 安全机制(续),认证交换机制(Authentication Exchange)用来实现网络同级之间的认证 用于认证交换的技术认证信息,如口令,由发送实体提供,接收实体验证密码技术被认证实体的特征或占有物为防止重放攻击,常与以下技术结合使用时间戳两次或三次握手数字签名和公证机制的抗抵赖服务,1.4 安全机制(续),通信业务流填充通过填充冗余的业务流量来防止攻击者对流量进行分析;路由控制路由能动态地或预定地选取,以便只使用物理上安全的子网、中继站或链路在检测到持续的攻击时,端系统可希望指示网络服务的
6、提供者经不同的路由建立连接。带有某些安全标记的数据可能被安全策略禁止通过某些子网、中继或链路。连接的发起者。,1.4 安全机制(续),公证机制由通信各方都信任的第三方提供,由第三方来确保数据的完整性、数据源、时间及目的地的正确。有关在两个或多个实体之间通信的数据的性质,如它的完整性、原发、时间和目的地等,能够借助公证机制而得到确保。每个通信事例可使用数字签名、加密和完整性机制以适应公证人提供的那种服务。当这种公证机制被用到时,数据便在参与通信的实体之间经由受保护的通信实例和公证方进行通信。,1.4 安全机制(续),普遍性安全机制可信功能度(trusted functionality)安全标签(
7、security Labels)事件检测(Event Detection)审计跟踪(security audit Trail)安全恢复(security recovery),1.5 安全服务和安全机制的关系,1.6 安全服务在协议层中的位置,1.7 OSI的安全管理,OSI安全管理与这样一些操作有关,它们不是正常的通信情况但却为支持与控制这些通信的安全所必需安全的管理管理的安全,Manager,Agent,操作,报告,被管系统,被管对象,1.7 OSI安全管理的分类,系统安全管理系统安全管理涉及总的OSI环境安全方面的管理。安全服务管理安全机制管理密钥管理;加密管理;数字签名管理;访问控制管理
8、;数据完整性管理;鉴别管理;通信业务填充管理;路由选择控制管理;公证管理。,TCP/IP协议的安全体系结构,基本内容,1 安全体系结构2 安全模型3 安全等级评估,什么是安全模型?,安全模型是一个系统安全政策的形式化描述(数学描述)一个系统是安全的,当切仅当它所有的状态都满足安全政策的规定。安全模型的意义TCSEC的提出使安全模型引起了更多的关注安全模型能够精确地表达系统对安全性的需求,增强对系统安全性的理解;有助于系统实现有助于系统安全性的证明或验证,多级安全模型 多级安全模型最初起源于支持军用系统和数据库的安全保密,它可以使不同的密级包含不同的信息。密级由低到高分为秘密级、机密级和绝密级,
9、以确保每一密级的信息仅能让那些具有高于或者等于该级权限的人使用。,多边安全模型 阻止信息在不同的部分横向流动。,P2DR安全模型,安全模型已经从原来的被动保护转到主动防御,强调整个生命周期的防御和恢复。,安全策略:根据风险分析产生的安全策略描述了系统中哪些资源要得到保护,以及如何实现对他们的保护等。防护:通过修复系统漏洞、正确设计、开发和安装系统来预防安全事件的发生;通过定期检查来发现可能存在的系统脆弱性;通过教育等手段,使用户和操作员正确使用系统,防止发生意外威胁;通过访问控制、监视手段来防止恶意威胁。,检测:通过不断地检测和监控网络和系统,来发现新的威胁和弱点,通过循环反馈来及时做出有效的
10、响应。响应:紧急响应是解决安全潜在问题最有效的办法。攻击时间Pt:表示从入侵开始到入侵成功的时间。检测时间Dt:从入侵开始到检测到入侵的时间响应时间Rt:从检测到系统漏洞或监控到非法攻击到系统启动处理措施的时间。系统暴露时间Et:系统的暴露时间是指系统处于不安全状况的时间,可以定义为:EtDtRtPt,访问控制模型,控制主体对客体的访问一次访问可以描述为一个三元组:访问控制政策是一组规则,决定一个特定的主体是否有权限访问一个客体F(s,a,o)True,False,访问控制矩阵,按列看是客体的访问控制列表(access control list)按行看是主体的访问能力表(capability
11、list),Subjects,Objects,S1,S2,S3,O1,O2,O3,Read/write,Write,Read,Execute,BLP 模型,Bell-LaPadula Model 用来描述美国国防部的多级安全政策用户和文件分成不同的安全级别,各自带有一个安全标签 Unclassified,Confidential,Secret,Top Secret每个用户只可以读同级或级别更低的文件BLP模型只描述了保密性,没有描述完整性和可用性的要求,BLP 模型,向下写是不允许的,向上读是不允许的,Subjects,Objects,简单安全特性,*特性,BLP 模型,TSSCU,TS,S,
12、C,U,R/W,W,R/W,R,R/W,R,W,R,R,R,R/W,R,W,W,W,W,Subjects,Objects,Information Flow,BLP 模型的信息流,完整性模型,Biba 模型安全政策需求:完整性规则:no read down,no write up,基本内容,1 安全体系结构2 安全模型3 安全等级评估,安全等级评估,安全等级评估的意义计算机和网络的应用环境不同对安全性的要求也不同安全等级评估可以为用户选择计算机系统提供指导、依据或参考,安全等级评估标准的发展历程,1983(1985)TCSEC,1991年欧洲ITSEC,1990年加拿大CTCPEC,1991年美
13、国联邦准则FC,1996年国际通用准则CC,1996年国际标准ISO 15408,安全等级评估,美国:Trusted Computer System Evaluation Criteria(TCSEC)Trusted Network Interpretation(TNI)欧洲:ITSEC 加拿大:CTCPECISO:CC(Common Criteria for Information Technology Security Evaluation)V2.0,1999 中国:GB17859-99,可信计算机系统评估准则(TCSEC),可信计算基(Trusted Computing Base)一个实
14、现安全政策的所有安全机制的集合,包括硬件、软件和固件,它根据安全政策来处理主体(Subject)对客体(Object)的访问,TCB,安全政策,Subject,Object,TCSEC 相关概念,主体(Subject):用户,进程客体(Object):文件、内存等资源访问(Access Control):读、写、执行、等标识(Identification):标签(Label):主体或客体安全级别的一种属性安全政策,主要指访问控制政策,TCSEC 相关概念,自主型访问控制(Discretionary Access Control)客体的所有者可以将访问权限自主的分配个其他主体灵活强制型访问控制(
15、Mandatory Access Control)由安全管理员决定主体和客体的属性由操作系统规则根据属性决定访问控制权限,TCSEC 四类、七个级别,D:最小保护类,D级C:自主保护类安全措施:自主访问控制,审计跟踪C1:自主安全保护用户与数据隔离C2:可控的安全保护唯一标识审计记录可追查责任,TCSEC 四类、七个级别,B:强制安全保护类要求实行强制型访问控制政策B1:标记安全保护B2:结构安全保护B3:安全区域级保护A:验证安全保护类要求用形式化的方法证明系统的安全型A1:验证设计级保护 B3+设计安全性证明A2:验证实现级保护,无法提出具体要求,我国的等级评测标准(GB17859-99)
16、,第一级 用户自主保护级身份认证,自主型访问控制第二级 系统审计保护级认证、自主型访问控制、审计第三级 安全标记保护级强制型访问控制第四级 结构化保护级形式化的安全策略模型,考虑隐蔽信道第五级 访问验证级保护访问监控器抗篡改、可分析测试自动终止安全事件系统可恢复,CC的范围和目标用户,范围评估对象(TOE):操作系统、计算机网络、分布式应用系统,包括保密性、完整性和可用性;逻辑上的安全控制机制,不包括行政管理、物理安全、密码强度等用户消费者:可以用评估结果决定一个已评估的产品和系统是否满足要求;开发者:为评测产品的安全需求提供支持评估者:提供评估准则其他:安全的规划和设计,CC的评估类型,保护
17、轮廓(PP)一组独立于实现的安全需求,描述用户对一类评估对象的技术特殊需要。PP的评估目的是证明PP是完整的一致的、技术合理的安全目标(ST)一组安全需求和说明,用于评估TOE的基础,包括功能的和保障的尺度。ST是开发者、评估者、消费者关于TOE安全特性和评估范围的共同的约定。对ST的评估有双重目的:一是ST是完全的、一致的、技术合理的,二是当ST宣称满足某一PP时,证明ST满足PP的要求TOE 评估对于已经评估过的ST,TOE的评估目的是证明TOE满足ST的要求,CC标准的内容,第一部分:简介和一般模型定义了IT安全评估的通用概念和原理,并提出了评估的通用模型提出了若干概念,可用于描述安全的目的,安全要求,书写安全规范第二部分:安全功能需求功能组件,表示TOE功能要求的标准方法第三部分:安全保证要求保证级别(EAL),小结,ISO 安全体系结构三维模型五种安全服务九种安全机制理解安全模型的概念和作用BLP模型TCSEC我国安全等级评测通用准则中的基本概念:PP,ST,TOE,
