返回
信息安全体系结构开放系统互连安全服务框架

信息安全体系结构开放系统互连安全服务框架

ID:22032905

大小:488.00 KB

页数:98页

时间:2018-10-21

信息安全体系结构开放系统互连安全服务框架_第1页
信息安全体系结构开放系统互连安全服务框架_第2页
信息安全体系结构开放系统互连安全服务框架_第3页
信息安全体系结构开放系统互连安全服务框架_第4页
信息安全体系结构开放系统互连安全服务框架_第5页
资源描述:

《信息安全体系结构开放系统互连安全服务框架》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第3章开放系统互连安全服务框架3.1安全框架概况安全框架标准是安全服务、安全机制及其相应安全协议的基础,是信息系统安全的理论基础。GB/T9387.2-1995(等同于ISO7498-2)定义了进程之间交换信息时保证其安全的体系结构中的安全术语、过程和涉及范围。安全框架标准(ISO/IEC10181-1~10181-7)全面惟一地准确定义安全技术术语、过程和涉及范围的标准。安全框架的内容描述安全框架的组织结构定义安全框架各个部分要求的安全概念描述框架多个部分确定的安全业务与机制之间的关系。3.2鉴别(

2、Authentication)框架ISO/IEC10181-2是开放系统互连安全框架的鉴别框架部分。主要内容鉴别目的鉴别的一般原理鉴别的阶段可信第三方的参与主体类型人类用户鉴别针对鉴别的攻击种类3.2.1鉴别目的人进程实开放系统OSI层实体组织机构(如企业)主体类型鉴别目的:对抗冒充和重放攻击主体实体可辨别标识符鉴别服务一个主体可以拥有一个或多个验证主体所宣称的身份3.2.2鉴别的一般原理可辨别标识符同一安全域中,可辨别标识符具有唯一性。在粗粒度等级上,组拥有可辨别标识符;在细粒度等级上,实体拥有可辨

3、别标识符。在不同安全域中,各安全域可能使用同一个可辨别标识符。这种情况下,可辨别标识符须与安全域标识符连接使用,达到为实体提供明确标识符的目的。举例WindowsNT系统中有两种模式:工作组域用户帐户(用户名、密码),组帐户是一个可辨别标识符;在不同域之间的用户帐户鉴别,鉴别时需要提供域的信息。鉴别的一般原理鉴别方法已知,如一个秘密的通行字拥有的,如IC卡不可改变的特性,如生物学测定的标识特征相信可靠的第三方建立的鉴别环境(如主机地址)通过“拥有的”某物进行鉴别,一般是鉴别拥有的东西而不是鉴别拥有者。

4、它是否由一个特定主体所唯一拥有,是此方法的关键所在,也是此方法的不足之处。鉴别的一般原理在涉及双向鉴别时,实体同时充当申请者和验证者的角色可信第三方:描述安全权威机构或它的代理。在安全相关的活动中,它被其他实体所信任。可信第三方在鉴别中受到申请者和/或验证者的信任。主体实体申请者验证者就是/或者代表鉴别主体。代表主体参与鉴别交换所必需的功能。就是/或者代表被鉴别身份的实体。参与鉴别交换所必需的功能。鉴别信息(AI)“鉴别信息”指申请者要求鉴别至鉴别过程结束所生成、使用和交换的信息。鉴别信息的类型申请A

5、I:用来生成交换AI,以鉴别一个主体的信息。如:通行字,秘密密钥,私钥;验证AI:通过交换AI,验证所声称身份的信息。如:通行字,秘密密钥,公钥;交换AI:申请者与验证者之间在鉴别一个主体期间所交换的信息。如:可辨别标识符,通行字,质询,咨询响应,联机证书,脱机证书等。申请者、验证者、可信第三方之间的关系申请AI申请者验证AI验证者验证AI可信第三方申请AI交换AI交换AI交换AI和/或验证AI指示潜在的信息流用来生成交换AI,以鉴别一个主体的信息。如:通行字,秘密密钥,私钥在鉴别一个主体期间所交换的

6、信息。如:可辨别标识符,通行字,质询验证所声称身份的信息。如:通行字,秘密密钥,公共密钥3.2.3鉴别的阶段阶段安装修改鉴别信息分发获取传送验证停活重新激活阶段取消安装并不要求所有这些阶段或顺序举例创建一个帐户分发帐户获取帐户修改帐户信息验证帐户禁止帐户激活帐户删除帐户3.2.4可信第三方的参与鉴别机制可按可信第三方的参与数分类无需可信第三方参与的鉴别可信第三方参与的鉴别一、无需可信第三方参与的鉴别申请AI申请者验证AI验证者交换AI无论申请者还是验证者,在生成和验证交换AI时都无需得到其他实体的支持

7、。二、可信第三方参与的鉴别验证AI可以通过与可信第三方的交互中得到,必须保证这一信息的完整性。维持可信第三方的申请AI的机密性,以及在申请AI可从验证AI推演出来时,维持验证AI的机密性是必要的。例如公钥体制(公钥,私钥)对应申请AI和验证AI(一)在线鉴别可信第三方(仲裁者)直接参与申请者与验证者之间的鉴别交换。申请AI申请者验证AI验证者仲裁者验证AI仲裁者验证AI交换AI交换AI(二)联机鉴别不同于在线鉴别,联机鉴别的可信第三方并不直接处于申请者与验证者鉴别交换的路径上。实例:可信第三方为密钥分

8、配中心,联机鉴别服务器。申请AI申请者权威机构验证AI验证者验证AI可信第三方权威机构申请AI交换AI交换AI交换AI指示可能发生的(三)脱机鉴别要求使用被撤销证书的证明清单、被撤销证书的证书清单、证书时限或其他用于撤销验证AI的非即时方法等特征。申请AI申请者权威机构验证AI验证者验证AI可信第三方权威机构申请AI交换AI交换AI表示脱机方式(可能经由申请者)中验证AI的发布三、申请者信任验证者申请者信任验证者。如果验证者的身份未得到鉴别,那么其可信度

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。