网络安全体系结构(3)

第2章 网络安全体系结构
安全应用组件
安全操作系统
安全操作系统内核 密码模块协议栈
主
可信BIOS
板
TPM(密码模块芯片)
可信计算平台
h
26
第2章 网络安全体系结构
2.3.3 可信计算的发展趋势
可信云计算 （可信云计算平台TCCP） 嵌入式实时操作系统可信计算技术 （实时性、低功耗 ） 可信计算组织 （TCG）：安全嵌入式平台白皮书 可信军用计算设备
h
17
第2章 网络安全体系结构
2.2.1 网络访问安全模型
并非所有的与安全相关的情形都可以用上述安全模型来描述。比如，万维网(WWW)的安全模型。可以 采用网络访问安全模型来描述。该模型的侧重点在于如何有效地避免恶意访问。
攻击者 人：如黑客 软件：如病毒等
互联网
防火墙
图2-4 网络访问安全模型
h
信息系统 计算资源（CPU、 存储器、I/O） 数据、进程、软件
身份认证，访问控制， 数据加密，路由控制， 一致性检查
安全层次 应用层安全
TCP层安全/IP层安全
链路层安全
数据加密，数据流加密
物理层安全
网络接入层安全
图2-2 网络安全层次模型及各层主要安全机制分布
h
13
第2章 网络安全体系结构
2.1.3 网络安全防护体系架构
安 全 服 安全机制
数 据 加 数 字 签 访 问 控 数据完整性
4）数据完整性服务 数据完整性服务通过验证或维护信息的一致性，防止主动攻击，确保收到的数据在传输过程中没有被
修改、插入、删除、延迟等。 5）不可否认服务
不可否认服务主要是防止通信参与者事后否认参与。OSI安全体系结构定义了两种不可否认服务：①发 送的不可否认服务；②接收的不可否认服务。
h
6
h
7
h
4 4
第2章 网络安全体系结构
2.1.1 安全体系结构的5类安全服务
1）身份认证服务 身份认证服务也称之为身份鉴别服务，这是一个向其他人证明身份的过程，这种服务可防止实体假冒
或重放以前的连接，即伪造连接初始化攻击。 身份认证是其它安全服务，如授权、访问控制和审计的前提。
2）访问控制服务 在网络安全中，访问控制是一种限制，控制那些通过通信连接对主机和应用系统进行访问的能力。访
目前世界上与信息安全标准化有关的主要组织机构有ISO、IEC、ITU、IETF、IEEE和ETSI。
2.国内网络与信息安全标准研究现状 信息产业部(工信部)、公安部、安全部、国家保密局等也相继制订、颁布了一批网络与信息安全的行
h
15
第2章 网络安全体系结构
2.2.1 网络访问安全模型
两个方面用来保证安全：一是与收发相关的安全转换，如对消息加密。这种安全转换使得攻击 者不当能需读要懂保消护息数，据或传者输将以防基攻于击消者息危的害编数码据附的于机密消性息、后完。整二性是、双真方实共性享时，的就某会些涉秘及密网信络息安，全并访问希问望题 这。些假信设，息所不讨为论攻的击通者信所模获型知如。图为2-3了所实示现，安通全信的传某输一，方还若需要要通有过可互信联的网将第消三息方传。送例给如另，一由方第，三那么方通负信 责双将方秘必须密协信同息处（理密这钥个）消分息配的交给换通。信双方。
刘化君 等编著
网络安全技术 （第2版）
教学课件
刘化君 等编著
第2章 网络安全体系结构 2.1 OSI安全体系结构 2.2 网络通信安全模型 2.3 可信计算 2.4 网络安全标准及管理
h
2
第2章 网络安全体系结构
2.1 OSI安全体系结构
OSI参考模型
应用层
表示层
会话层
传输层
网络层
链路层
物理层
身份认证 访问控制 数据机密性 数据完整性 不可否认
h
22
第2章 网络安全体系结构
2.3.1 可信计算的概念
ISO/IEC 15408 标准将可信计算定义为：一个可信的组件、操作或过程的行为在任意操作条件下是可预 测的，并能很好地抵抗应用程序软件、病毒，以及一定的物理干扰所造成的破坏。这种描述强调行为的 可预测性，能抵抗各种破坏，达到预期的目标。
机序列，使得非法攻击者不知哪些是有用数据、哪些是无用数据，从而挫败攻击者在线路上监听数据并对 其进行数据流分析攻击。
➢ 用来提供各种不同级别的保护，对抗通信业务分析 ➢ 只有在通信业务填充受到机制服务保护时才是有效的
h
11
第2章 网络安全体系结构
2.1.2 安全体系结构的8种安全机制
7.路由控制机制 路由控制机制（Routing Control Mechanisms）用于引导发送者选择代价小且安全的特殊路径，保证
h
24
2.3.2 可信计算平台
定义了TPM
TPM = Trusted Platform Module可信平台模块；
定义了访问者与TPM交互机制
通过协议和消息机制来使用TPM的功能；
TPM应包含
密码算法引擎 受保护的存储区域
h
25
2.3.2 可信计算平台（终端）
可信计算终端基于可信赖 平台模块（TPM）,以密码 技术为支持、安全操作系 统为核心
h
12
第2章 网络安全体系结构
2.1.3 网络安全防护体系架构
OSI安全体系结构通过不同层上的安全机制来实现。这些安全机制在不同层上的分布情况如图2-2 所示。
ISO/OSI参考模型
安全机制
应用层安全
表示层安全
身份认证，访问控制， 数据加密，认证交换， 数字签名，通信流量分析
会话层安全
传输层安全 网络层安全
务
密
名
制
身份 认证
对等实体鉴别 数据源点鉴别
√
√
√
√
访问 控制
访问控制
√
√
数据
连接机密性
√
机密性
无连接机密性
√
选择字段机密性
√
数据流机密性
√
数 据 完 可恢复的连接完整性 √
√
整性
不可恢复的连接完整 √
√
性
选择字段连接完整性 √
√
认证交换 通信流量填 路由控制 充
√
√
√
√
√
公证
无连接完整性
√
√
√
选择字段无连接完整 √
安全机制
数数访 数认通路 公
据字问 据证信由 证
加签控 完交流控 机
密名制 整换量制 制
性
填
充
安全服务
图2-1OSI安全体系结构三维示意图
h
3
2.1 OSI安全体系结构
2.1.1 安全体系结构的5类安全服务 2.1.2 安全体系结构的8种安全机制 2.1.3 网络安全防御体系架构
h
第2章 网络安全体系结构
在 理 论 上 ， 微 软 可 以 防 止 Windows 8 操 作 系 统 运 行 除 Microsoft Word 之 外 的 字 处 理程 序 ， Trusted Computing 让用户失去了对计算机的控制。
h
28
第2章 网络安全体系结构
22..4.41 网网络络与信安息全安全标标准准体及系管理
内部安全控制
18
2.2.2 网络系统安全模型
1. 网络系统安全P2DR模型
第2章 网络安全体系结构
Policy（策略）、Protection（防护）、Detection（检测）和Response （响 应）。防护、检测和响应组成了一个的“完整的、动态”的安全循环。
h
19
2.2.2 网络系统安全模型
可信的第三方
发送者
与安全相
关的转换
安
消
全
息
消
息
秘密信息
信息通道 攻击者
接收者
与安全相
安
关的转换
全
消
消
息
息
秘密信息
图2-3 网络访问h安全模型
16
第2章 网络安全体系结构
2.2.1 网络访问安全模型
归纳起来，由图2-3所示的通信模型可知，在设计网络安全系统时，应完成下述四个方面的基本任务 ：
1）设计一个用来执行与安全相关的安全转换算法，而且该算法是攻击者无法破译的； 2）产生一个用于该算法的秘密信息（密钥）； 3）设计一个分配和共享秘密信息（密钥）的方法； 4）指明通信双方使用的协议，该协议利用安全算法和秘密信息实现特定的安全服务。
2. 网络系统安全PDRR模型
防护(P)
第2章 网络安全体系结构
恢复(R)
安全策略
检测(D)
响应(R)
一个常见的网络系统安全模型是PDRR，即：防护、检测、响应和恢复。这四个部分构成 一个动态的网络系统安全周期模型。
h
20
第2章 网络安全体系结构
2.目3.的 可信计算
为了解决计算机和网络结构上的不安全，从根本上提高其安全性，必须从芯片、硬件结构和操作系统等 方面综合采取措施，由此产生出可信计算的基本思想，其目的是在计算和通信系统中广泛使用基于硬件安 全模块支持下的可信计算平台，以提高整体的安全性。
可信是指“一个实体在实现给定目标时其行为总是如同预期一样的结果”。强调行为的结果可预测和可控 制。
h
21
2.3.1 可信计算的概念
第2章 网络安全体系结构
所谓可信计算，就是以为信息系统提供可靠和安全运行环境为主要目标，能够超越预设安全规则， 执行特殊行为的一种运行实体。
可信计算是安全的基础，从可信根出发，解决PC机结构所引起的安全问题。
问控制服务的基本任务是防止非法用户进入系统及防止合法用户对系统资源的非法访问使用。 访问控制和身份认证:在一个应用进程被授予权限访问资源之前，它必须首先通过身份认证。
h
5
第2章 网络安全体系结构
2.1.1 安全体系结构的5类安全服务
3）数据机密性服务 数据机密性服务是指对数据提供安全保护，防止数据被未授权用户获知。
➢ 使用鉴别信息（如口令），由发送实体提供而由接收实体验证 ➢ 密码技术 ➢ 使用该实体的特征或占有物
h
10
第2章 网络安全体系结构
2.1.2 安全体系结构的8种安全机制
6.通信流量填充机制 通信流量填充机制（Traffic Padding Mechanisms）是指由保密装置在无数据传输时，连续发出伪随
数据由源节点出发，经最佳路由，安全到达目的节点。 8.公证机制
公证机制（Notarization Mechanisms）是指第三方（公证方）参与的签名机制，主要用来对通信的 矛盾双方因事故和信用危机导致的责任纠纷进行公证仲裁。公证机构有适用的数字签名、加密或完整性公 证机制，当实体相互通信时，公证机构就使用这些机制进行公证。
√
√
性
不可
发送的不可否认
√
√
√
否认
接收的不可否认
√
√
h
√
提供该服务的层次
3、4、6 3、4、7
3、4、6、7
1、2、3、4、6
2、3、4、6 7 1、3、7 4
3、4、6
6
3、4、6 6
6
6
14
Baidu Nhomakorabea
2.2 网络安全模型
2.2.1 网络访问安全模型 2.2.2 网络系统安全模型
第2章 网络安全体系结构
15
h
27
第2章 网络安全体系结构
2.已3发.3布的可W信ind计ows算8的版本发全展面趋实现势可信计算功能，它使用特定的芯片Trusted Platform Module（可信平台
模块），并与操作系统紧密整合。芯片和操作系统协同工作的方式已经标准化，但制定标准的可信计算组 成员全部是美国公司。 Trusted Computing 可以确定软件和硬件是否匹配，判断安装了哪些应用程序。
8
第2章 网络安全体系结构
2.1.2 安全体系结构的8种安全机制
4.数据完整性机制 数据完整性机制（Data Integrity Mechanisms）是指通过数字加密保证数据不被篡改。
单个数据单元或字段的完整性
➢ 发送实体给数据单元附加一个量 ➢ 接收实体产生一个相应的量
数据单元流或字段流的完整性
➢ 另外还需要某种明显的排序形式，如：顺序号、时间标记等
h
9
2.1.2 安全体系结构的8种安全机制
5.认证交换机制
认证交换机制（Authentication Mechanisms）是指通过信息交换来确保实体身份的机制，即通信 的数据接收方能够确认数据发送方的真实身份，以及认证数据在传送过程中是否被篡改；主要有站点认证 、报文认证、用户和进程的认证等方式。
网络与信息安全标准体系
技术标准
数 据
信 息
安
安
加
系
全
全
密
统
模
机
及 认
测 评
型
制
证
应用标准
服务标准
设备
网络
专
终
互
用
端
联
安
设
设
全
备
备
产
品
无
有
线
线
网
网
络
络
安
应
服
全
急
务
策
响
资
略
应
质
网络与信息安全标准体系示意图
h
安全管理标准
法安安风 律全全险 法等审评 规级计估
29
2.4.2 网络与信息安全标准化概况 1.国外网络与信息安全标准化简况
TCG对“可信”的定义是：针对所给定的目标，如果一个实体的行为总是能够被预期，那么该实体则是可 信的。
注意：可信强调行为过程及结果可预期，但并不等于行为是安全的；安全则主要强调网络与信息系统的机 密性、完整性、可用性等基本特性。这是两个不同的概念。
h
23
第2章 网络安全体系结构
可信计算具有以下功能： 确保用户唯一身份、权限、工作空间的完整性/可用性 确保存储、处理、传输的机密性/完整性 确保硬件环境配置、操作系统内核、服务及应用程序的完整性 确保密钥操作和存储的安全 确保系统具有免疫能力，从根本上阻止病毒和黑客等软件的攻击