第二章-网络安全体系结构-《网络安全技术》课件.ppt

网络安全技术 （刘化君 编著）机械工业出版社普通高等教育“十一五”计算机类规划教材第2章 网络安全体系结构第2章 网络安全体系结构2.1 OSI2.1 OSI安全体系结构安全体系结构安全体系结构安全体系结构2.1.12.1.1安全体系结构的安全体系结构的5 5类安全服务类安全服务2.1.2 2.1.2 安全体系结构的安全体系结构的8 8种安全机制种安全机制2.1.3 2.1.3 网络安全防御体系架构网络安全防御体系架构2.2 2.2 网络通信安全模型网络通信安全模型网络通信安全模型网络通信安全模型2.2.1 2.2.1 网络访问安全模型网络访问安全模型2.2.2 2.2.2 网络安全体系结构参考模型的应用网络安全体系结构参考模型的应用2.3.2.3.可信计算可信计算可信计算可信计算2.3.1 2.3.1 可信计算的概念可信计算的概念2.3.2 2.3.2 可信计算的关键技术可信计算的关键技术2.3.3 2.3.3 可信计算的发展趋势可信计算的发展趋势2.4 2.4 网络安全标准及管理网络安全标准及管理网络安全标准及管理网络安全标准及管理2.4.1 2.4.1 网络与信息安全标准体系网络与信息安全标准体系2.4.2 2.4.2 网络与信息安全标准化概况网络与信息安全标准化概况2.4.3 2.4.3 可信计算机系统安全评价准则可信计算机系统安全评价准则2.4.4 2.4.4 网络安全管理网络安全管理2.1 OSI安全体系结构图图2-1 OSI2-1 OSI安全体系结构三维示意图安全体系结构三维示意图2.1 OSI安全体系结构2.1.1 2.1.1 2.1.1 2.1.1 安全体系结构的安全体系结构的安全体系结构的安全体系结构的5 5 5 5类安全服务类安全服务类安全服务类安全服务1 1）身份认证服务）身份认证服务身份认证服务也称之为身份鉴别服务，这是一个向其身份认证服务也称之为身份鉴别服务，这是一个向其他人证明身份的过程，这种服务可防止实体假冒或重放以他人证明身份的过程，这种服务可防止实体假冒或重放以前的连接，即伪造连接初始化攻击。前的连接，即伪造连接初始化攻击。身份认证是其它安全服务，如授权、访问控制和审计身份认证是其它安全服务，如授权、访问控制和审计的前提，它对通信中的对等实体提供鉴别和数据源点鉴别的前提，它对通信中的对等实体提供鉴别和数据源点鉴别两种服务。两种服务。2 2）访问控制服务）访问控制服务在网络安全中，访问控制是一种限制，控制那些通过在网络安全中，访问控制是一种限制，控制那些通过通信连接对主机和应用系统进行访问的能力。访问控制服通信连接对主机和应用系统进行访问的能力。访问控制服务的基本任务是防止非法用户进入系统及防止合法用户对务的基本任务是防止非法用户进入系统及防止合法用户对系统资源的非法访问使用。系统资源的非法访问使用。访问控制和身份认证是紧密结合在一起的，在一个应访问控制和身份认证是紧密结合在一起的，在一个应用进程被授予权限访问资源之前，它必须首先通过身份认用进程被授予权限访问资源之前，它必须首先通过身份认证。证。2.1 OSI安全体系结构2.1.2 2.1.2 2.1.2 2.1.2 安全体系结构的安全体系结构的安全体系结构的安全体系结构的8 8 8 8种安全机制种安全机制种安全机制种安全机制 安全服务依赖于安全机制的支持。网络安全机制可分为安全服务依赖于安全机制的支持。网络安全机制可分为两类：一类与安全服务有关，另一类与管理功能有关。两类：一类与安全服务有关，另一类与管理功能有关。OSIOSI安全体系结构规定了安全体系结构规定了8 8种安全机制。种安全机制。n n1.1.数据加密机制数据加密机制 加密机制（加密机制（Encryption MechanismsEncryption Mechanisms）指通过对数据）指通过对数据进行编码来保证数据的机密性，以防数据在存储或传输过进行编码来保证数据的机密性，以防数据在存储或传输过程中被窃取。程中被窃取。n n2.2.数字签名机制数字签名机制 数字签名机制（数字签名机制（Digital Signature MechanismsDigital Signature Mechanisms）指）指发信人用自己的私钥通过签名算法对原始数据进行数字签发信人用自己的私钥通过签名算法对原始数据进行数字签名运算，并将运算结果，即数字签名一同发给收信人。收名运算，并将运算结果，即数字签名一同发给收信人。收信人可以用发信人的公钥及收到的数字签名来校验收到的信人可以用发信人的公钥及收到的数字签名来校验收到的数据是否是由发信人发出的，是否被其它人修改过。数字数据是否是由发信人发出的，是否被其它人修改过。数字签名是确保数据真实性的基本方法。签名是确保数据真实性的基本方法。2.1 OSI安全体系结构2.1.2 2.1.2 安全体系结构的安全体系结构的8 8种安全机制种安全机制n n3.3.访问控制机制访问控制机制 访问控制机制（访问控制机制（Access Control MechanismsAccess Control Mechanisms）是网）是网络安全防护的核心策略，它的主要任务是按事先确定的规络安全防护的核心策略，它的主要任务是按事先确定的规则决定主体对客体的访问是否合法，以保护网络系统资源则决定主体对客体的访问是否合法，以保护网络系统资源不被非法访问和使用。不被非法访问和使用。n n4.4.数据完整性机制数据完整性机制 数据完整性机制（数据完整性机制（Data Integrity MechanismsData Integrity Mechanisms）是）是指通过数字加密（利用加密算法将明文转换为难以理解的指通过数字加密（利用加密算法将明文转换为难以理解的密文和反过来将密文转换为可理解形式的明文），保证数密文和反过来将密文转换为可理解形式的明文），保证数据不被篡改。数据完整性用以阻止非法实体对交换数据的据不被篡改。数据完整性用以阻止非法实体对交换数据的修改、插入、删除以及在数据交换过程中的数据丢失。修改、插入、删除以及在数据交换过程中的数据丢失。2.1 OSI安全体系结构2.1.2 2.1.2 2.1.2 2.1.2 安全体系结构的安全体系结构的安全体系结构的安全体系结构的8 8 8 8种安全机制种安全机制种安全机制种安全机制n n5.5.认证交换机制认证交换机制 认证交换机制（认证交换机制（Authentication MechanismsAuthentication Mechanisms）是指）是指通过信息交换来确保实体身份的机制，即通信的数据接收通过信息交换来确保实体身份的机制，即通信的数据接收方能够确认数据发送方的真实身份，以及认证数据在传送方能够确认数据发送方的真实身份，以及认证数据在传送过程中是否被篡改；主要有站点认证、报文认证、用户和过程中是否被篡改；主要有站点认证、报文认证、用户和进程的认证等方式。进程的认证等方式。n n6.6.通信流量填充机制通信流量填充机制 通信流量填充机制（通信流量填充机制（Traffic Padding MechanismsTraffic Padding Mechanisms）是指由保密装置在无数据传输时，连续发出伪随机序列，是指由保密装置在无数据传输时，连续发出伪随机序列，使得非法攻击者不知哪些是有用数据、哪些是无用数据，使得非法攻击者不知哪些是有用数据、哪些是无用数据，从而挫败攻击者在线路上监听数据并对其进行数据流分析从而挫败攻击者在线路上监听数据并对其进行数据流分析攻击。攻击。2.1 OSI安全体系结构2.1.3 网络安全防护体系架构 OSI OSI安全体系结构通过不同层上的安全机制来实现。安全体系结构通过不同层上的安全机制来实现。这些安全机制在不同层上的分布情况如图这些安全机制在不同层上的分布情况如图2-22-2所示。所示。图2-2 网络安全层次模型及各层主要安全机制分布2.1 OSI安全体系结构2.1.3 网络安全防护体系架构 图2-2所示的网络安全层次模型是基于ISO/OSI参考模型7层协议之上的信息安全体系。也就是说，OSI安全体系结构也是按层次来实现服务的。每一层提供的安全服务可以选择，各层所提供服务的重要性也不一样。表2-1提供了实现各种安全服务可以选用的安全机制，也显示出提供各种安全服务的层次（ISO 7498-2）。2.2 网络通信安全模型2.2.1 2.2.1 网络访问安全模型网络访问安全模型归纳起来，由图归纳起来，由图2-32-3所示的通信模型可知，在设计网所示的通信模型可知，在设计网络安全系统时，应完成下述四个方面的基本任务：络安全系统时，应完成下述四个方面的基本任务：1 1）设计一个用来执行与安全相关的安全转换算法，）设计一个用来执行与安全相关的安全转换算法，而且该算法是攻击者无法破译的；而且该算法是攻击者无法破译的；2 2）产生一个用于该算法的秘密信息（密钥）；）产生一个用于该算法的秘密信息（密钥）；3 3）设计一个分配和共享秘密信息（密钥）的方法；）设计一个分配和共享秘密信息（密钥）的方法；4 4）指明通信双方使用的协议，该协议利用安全算法）指明通信双方使用的协议，该协议利用安全算法和秘密信息实现特定的安全服务。和秘密信息实现特定的安全服务。2.2 网络通信安全模型2.2.2 2.2.2 网络安全体系结构参考模型的应用网络安全体系结构参考模型的应用作为全方位的网络安全防护体系也是分层次的，不同作为全方位的网络安全防护体系也是分层次的，不同层次反映了不同的安全需求。根据网络的应用现状和拓扑层次反映了不同的安全需求。根据网络的应用现状和拓扑结构，可以将安全防护体系的层次划分为物理层安全、系结构，可以将安全防护体系的层次划分为物理层安全、系统层安全、网络层安全、应用层安全和安全管理。统层安全、网络层安全、应用层安全和安全管理。n n1 1物理环境的安全性（物理层安全）物理环境的安全性（物理层安全）该层次的安全包括通信线路的安全，物理设备的安全，该层次的安全包括通信线路的安全，物理设备的安全，机房的安全等。物理层的安全主要体现在通信线路的可靠机房的安全等。物理层的安全主要体现在通信线路的可靠性（线路备份、网管软件、传输介质），软硬件设备安全性（线路备份、网管软件、传输介质），软硬件设备安全性（替换设备、拆卸设备、增加设备），设备的备份，防性（替换设备、拆卸设备、增加设备），设备的备份，防灾害能力，防干扰能力，设备的运行环境（温度、湿度、灾害能力，防干扰能力，设备的运行环境（温度、湿度、烟尘），不间断电源保障，等等。烟尘），不间断电源保障，等等。2.2 网络通信安全模型2.2.2 2.2.2 网络安全体系结构参考模型的应用网络安全体系结构参考模型的应用n n2 2操作系统的安全性（系统层安全）操作系统的安全性（系统层安全）该层次的安全问题来自网络内所使用操作系统的安全，该层次的安全问题来自网络内所使用操作系统的安全，如如Windows NTWindows NT，Windows 2003/XP/Win7Windows 2003/XP/Win7等。主要等。主要表现在三个方面，一是操作系统本身的缺陷带来的不安全表现在三个方面，一是操作系统本身的缺陷带来的不安全因素，主要包括身份认证、访问控制、系统漏洞等；二是因素，主要包括身份认证、访问控制、系统漏洞等；二是对操作系统的安全配置；三是病毒对操作系统的威胁。对操作系统的安全配置；三是病毒对操作系统的威胁。n n3 3网络系统的安全性（网络层安全）网络系统的安全性（网络层安全）该层次的安全问题主要体现在网络系统的安全性，包该层次的安全问题主要体现在网络系统的安全性，包括网络层身份认证，网络资源的访问控制，数据传输的机括网络层身份认证，网络资源的访问控制，数据传输的机密性与完整性，远程接入的安全，域名系统的安全，路由密性与完整性，远程接入的安全，域名系统的安全，路由系统的安全，入侵检测的手段及防病毒技术等。系统的安全，入侵检测的手段及防病毒技术等。2.3.可信计算2.3.1 2.3.1 可信计算的概念可信计算的概念所谓可信计算，就是以为信息系统提供可靠和安全运所谓可信计算，就是以为信息系统提供可靠和安全运行环境为主要目标，能够超越预设安全规则，执行特殊行行环境为主要目标，能够超越预设安全规则，执行特殊行为的一种运行实体。为的一种运行实体。n nISO/IEC 15408 ISO/IEC 15408 标准将可信计算定义为：一个可信的组标准将可信计算定义为：一个可信的组件、操作或过程的行为在任意操作条件下是可预测的，并件、操作或过程的行为在任意操作条件下是可预测的，并能很好地抵抗应用程序软件、病毒，以及一定的物理干扰能很好地抵抗应用程序软件、病毒，以及一定的物理干扰所造成的破坏。这种描述强调行为的可预测性，能抵抗各所造成的破坏。这种描述强调行为的可预测性，能抵抗各种破坏，达到预期的目标。种破坏，达到预期的目标。n nTCGTCG对对“可信可信”的定义是：针对所给定的目标，如果一个的定义是：针对所给定的目标，如果一个实体的行为总是能够被预期，那么该实体则是可信的。这实体的行为总是能够被预期，那么该实体则是可信的。这个定义将可信计算与已有的安全技术分开，可信强调行为个定义将可信计算与已有的安全技术分开，可信强调行为过程及结果可预期，但并不等于行为是安全的；安全则主过程及结果可预期，但并不等于行为是安全的；安全则主要强调网络与信息系统的机密性、完整性、可用性等基本要强调网络与信息系统的机密性、完整性、可用性等基本特性。这是两个不同的概念。特性。这是两个不同的概念。2.3.可信计算2.3.2 2.3.2 可信计算的关键技术可信计算的关键技术n n可信计算研究涵盖多个学科领域，包括计算机科学与技术、可信计算研究涵盖多个学科领域，包括计算机科学与技术、通信技术、数学、管理科学、系统科学、社会学、心理学通信技术、数学、管理科学、系统科学、社会学、心理学和法律等。和法律等。n n由于可信计算概念来自于工程技术发展，基础理论模型尚由于可信计算概念来自于工程技术发展，基础理论模型尚未建立，现有的体系结构也还是从工程实施上来构建的，未建立，现有的体系结构也还是从工程实施上来构建的，缺乏科学严密性。但在理论研究上，它已受到国际社会的缺乏科学严密性。但在理论研究上，它已受到国际社会的重视，如重视，如 IEEE IEEE组织于组织于20042004年开办了年开办了IEEE Transactions IEEE Transactions on Dependable and Secure Computingon Dependable and Secure Computing杂志，专门刊发可杂志，专门刊发可信计算研究论文。主要内容包含：可信计算的基础理论模信计算研究论文。主要内容包含：可信计算的基础理论模型、可信计算的体系结构、可信软件和可信计算的安全保型、可信计算的体系结构、可信软件和可信计算的安全保障等。障等。2.3.可信计算2.3.2 可信计算的关键技术n n1.1.可信计算的基本属性可信计算的基本属性 可信计算环境的基本属性一般包含可靠性、安全性、可信计算环境的基本属性一般包含可靠性、安全性、完整性、机密性、可用性、可预测性、生存性、互操作性完整性、机密性、可用性、可预测性、生存性、互操作性和可控性。可从四个方面予以理解：和可控性。可从四个方面予以理解：用户身份唯一性认用户身份唯一性认证，这是对使用者的信任；证，这是对使用者的信任；平台软硬件配置的正确性，平台软硬件配置的正确性，体现使用者对平台运行环境的信任；体现使用者对平台运行环境的信任；应用程序的完整性应用程序的完整性和合法性，体现应用程序运行的可信；和合法性，体现应用程序运行的可信；平台之间的可验平台之间的可验证性，指网络环境下平台之间的相互信任。证性，指网络环境下平台之间的相互信任。2.3.可信计算2.3.2 可信计算的关键技术n n2.2.可信平台模块可信平台模块可信平台模块（可信平台模块（TPMTPM）实际上是一个含有密码运算和）实际上是一个含有密码运算和存储部件的小型片上系统（存储部件的小型片上系统（System on ChipSystem on Chip，SOCSOC）,由由CPUCPU、存储器、存储器、I/OI/O、密码运算部件、随机数产生器和嵌入、密码运算部件、随机数产生器和嵌入式操作系统等部件组成。式操作系统等部件组成。TPMTPM的核心功能在于对的核心功能在于对CPUCPU处理的处理的数据进行加密，同时监测系统底层的状态。它不使用计算数据进行加密，同时监测系统底层的状态。它不使用计算机的内存和外存，工作独立于操作系统和机的内存和外存，工作独立于操作系统和BIOSBIOS；在内部实；在内部实现一些公开的安全算法，以便于与其它部件的接口标准化。现一些公开的安全算法，以便于与其它部件的接口标准化。2.3.可信计算2.3.2 2.3.2 可信计算的关键技术可信计算的关键技术n n3.3.可信计算平台体系结构可信计算平台体系结构可信计算平台是以可信平台模块可信计算平台是以可信平台模块(TPM)(TPM)为核心，把为核心，把CPUCPU、操作系统、应用软件和网络基础设施融合为一体的完整体操作系统、应用软件和网络基础设施融合为一体的完整体系结构。一个典型的可信个人计算机平台上的软件体系结系结构。一个典型的可信个人计算机平台上的软件体系结构，主要分为三层：构，主要分为三层：可信平台模块可信平台模块(TPM)(TPM)、可信软件栈、可信软件栈(Trusted Software Stack(Trusted Software Stack，TSS)TSS)和应用软件，如图和应用软件，如图2-62-6所所示。示。2.3.可信计算2.3.3 2.3.3 可信计算的发展趋势可信计算的发展趋势n n对于对于TCG TCG 的各种认识一直存在不同的意见与争论，但不的各种认识一直存在不同的意见与争论，但不管怎么说，可信计算的使命还是旨在解决大多数安全问题。管怎么说，可信计算的使命还是旨在解决大多数安全问题。显然，仅靠显然，仅靠TPMTPM和和TCM TCM 远远不够，仅靠可信计算也是不远远不够，仅靠可信计算也是不够的；完全通过认证的方法不可能解决所有的安全问题。够的；完全通过认证的方法不可能解决所有的安全问题。随着人们对可信计算提出的更高要求，可信计算发展战略随着人们对可信计算提出的更高要求，可信计算发展战略近来已发生很大变化，正向两个方向迈进，一是从终端到近来已发生很大变化，正向两个方向迈进，一是从终端到网络，二是从网络基础设施到终端。网络，二是从网络基础设施到终端。n n目前，目前，TCG TCG 成员包括全球成员包括全球150 150 个大型个大型IT IT 企业，包括企业，包括IntelIntel、AMDAMD、IBMIBM、HPHP、MicrosoftMicrosoft等在内的公司，正等在内的公司，正在研究建立一个以标准为核心的信息安全基础设施，其中在研究建立一个以标准为核心的信息安全基础设施，其中包括了几乎所有的安全产品的应用，发展前景是通过规范、包括了几乎所有的安全产品的应用，发展前景是通过规范、研究和商业运作将其建成一个基于硬件的平台。另外，可研究和商业运作将其建成一个基于硬件的平台。另外，可信计算的所有产品都必须基于标准的接口，不但在信计算的所有产品都必须基于标准的接口，不但在TPM TPM 环境下能够得到支持，在非环境下能够得到支持，在非TPM TPM 环境下也能得到支持。环境下也能得到支持。2.4 网络安全标准及管理2.4.1 网络与信息安全标准体系图2-7 网络与信息安全标准体系示意图2.4 网络安全标准及管理2.4.2 2.4.2 网络与信息安全标准化概况网络与信息安全标准化概况n n1.1.国外网络与信息安全标准化简况国外网络与信息安全标准化简况2020世纪世纪7070年代以美国为首的西方发达国家就已开始关年代以美国为首的西方发达国家就已开始关注网络与信息安全标准，到注网络与信息安全标准，到2020世纪世纪9090年代随着互联网的普年代随着互联网的普及使用，网络与信息安全标准日益受到世界各国和各种组及使用，网络与信息安全标准日益受到世界各国和各种组织的关注。目前世界上与信息安全标准化有关的主要组织织的关注。目前世界上与信息安全标准化有关的主要组织机构有机构有ISOISO、IECIEC、ITUITU、IETFIETF、IEEEIEEE和和ETSIETSI。n n2.2.国内网络与信息安全标准研究现状国内网络与信息安全标准研究现状我国一直高度关注网络与信息安全标准化工作，从我国一直高度关注网络与信息安全标准化工作，从2020世纪世纪8080年代就已经开始网络与信息安全标准的研究，现在年代就已经开始网络与信息安全标准的研究，现在已正式发布相关国家标准已正式发布相关国家标准6060多个。另外，信息产业部、公多个。另外，信息产业部、公安部、安全部、国家保密局等也相继制订、颁布了一批网安部、安全部、国家保密局等也相继制订、颁布了一批网络与信息安全的行业标准，为推动网络与信息安全技术在络与信息安全的行业标准，为推动网络与信息安全技术在各行业的应用发挥了积极的作用。各行业的应用发挥了积极的作用。2.4 网络安全标准及管理2.4.3 2.4.3 可信计算机系统安全评价准则可信计算机系统安全评价准则表2-2 TCSEC安全级别分类类别类别 级别级别 名称名称主要特征主要特征D D D D 安全保安全保护护欠缺欠缺级级没有安全保没有安全保护护C C C1C1自主安全保自主安全保护级护级自主存取控制自主存取控制C2 C2 受控存取保受控存取保护级护级单单独的可独的可查查性，安全性，安全标记标记B B B1 B1 标记标记安全保安全保护级护级强强制存取控制，安全制存取控制，安全标记标记B2 B2 结结构化保构化保护级护级面向安全的体系面向安全的体系结结构，有构，有较较好的抗渗透能力好的抗渗透能力B3 B3 安全域保安全域保护级护级存取存取监监控，有高抗渗透能力控，有高抗渗透能力A A A A 验证设计级验证设计级形式化的最高形式化的最高级级描述和描述和验证验证2.4 网络安全标准及管理2.4.4 2.4.4 网络安全管理网络安全管理1.1.安全管理的概念安全管理的概念安全管理安全管理(Security Management(Security Management，SM)SM)是以管理对象是以管理对象的安全为任务和目标所进行的各种管理活动。的安全为任务和目标所进行的各种管理活动。网络安全管理包含的内容非常之多，就实际管理工作网络安全管理包含的内容非常之多，就实际管理工作而言，大致可划分为设备的安全管理、安全策略管理、安而言，大致可划分为设备的安全管理、安全策略管理、安全风险控制、安全审计等。全风险控制、安全审计等。2.4 网络安全标准及管理2.4.4 网络安全管理3.3.网络安全管理措施网络安全管理措施实现网络安全不但靠先进的技术，也要靠严格的安全实现网络安全不但靠先进的技术，也要靠严格的安全管理、法律法规的约束和安全教育。如果说得广泛一些，管理、法律法规的约束和安全教育。如果说得广泛一些，全局和总体的网络安全管理措施应该包含以下三个部分。全局和总体的网络安全管理措施应该包含以下三个部分。n n1 1）严肃的法律、法规。）严肃的法律、法规。n n2 2）先进的网络安全技术。）先进的网络安全技术。n n3 3）严格的安全管理制度。）严格的安全管理制度。