1. 1 安全体系结构 曹天杰 tjcao@cumt.edu.cn 中国矿业大学计算机科学与技术学院

2. 2 安全体系结构 安全体系结构的内容包括：提供安全服务与 有关安全机制在本系统下的一般描述，这些 服务和机制必须为本系统所配备；确定本系 统内部可以提供这些服务的位置。 一个信息系统安全体系结构的形成主要是根 据这个信息系统的安全策略，是安全策略细 化的总结。

3. 3 安全体系结构

4. 4 OSI 安全体系结构 OSI/ISO7498-2 网络安全 体系结构（ OSI 开放系统互 连基本安全参考模型） 如何设计标准的参考标准， 不是能实现的标准 给出了部分术语的正式定义 安全服务 安全机制 OSI 体系结构中服务的配置 应用层 表示层 会话层 传输层 网络层 数据链路层 物理层 7 6 5 4 3 2 1

5. 5 安全策略 安全策略都建立在授权的基础之上。在安全策略中 包含有对 “ 什么构成授权 ” 的说明。在一般性的安全策 略中可能写有 “ 未经适当授权的实体，信息不可以给 予、不被访问、不允许引用、任何资源也不得为其 所用 ” 。 基于身份的安全策略的基础是用户的身份和属性以 及被访问的资源或客体的身份和属性。 基于规则的安全策略的基础是强加于全体用户的总 安全策略。在一个安全系统中，数据或资源应该标 注安全标记。代表用户进行活动的进程可以得到与 其原发者相应的安全标记。 基于角色的安全策略为每个个体分配角色，按角色 分配许可。

6. 6 安全服务 在计算机网络中，主要的安全防护措施被称 作安全服务。网络通信中目前主要有五种安 全服务 认证服务 ：提供实体的身份的保证 访问控制服务 ：防止对资源的非授权使用 机密性服务 ：对数据提供保护使之不被非授权地 泄露 完整性服务 ：保护数据防止未授权的改变、删除 或替代 非否认服务 ：提供凭证，防止发送者否认或接收 者抵赖已接收到相关的信息

7. 7 安全服务 实现安全服务的非电子机制的实例 认证服务 ：身份证 访问控制服务 ：钥匙 机密性服务 ：密封的信件 完整性服务 ：激光防伪的全息照片 非否认服务 ：公证，挂号信的登记与签名

8. 8 安全服务 用于对付典型安全威胁的安全服务 假冒攻击：认证服务 授权侵犯：访问控制服务 窃听攻击：机密性服务 完整性破坏：完整性服务 服务的否认：非否认服务 拒绝服务：认证服务，访问控制服务，完整性服 务

9. 9 1. 认证服务 同等实体认证服务：提供对通信对等实体 或数据源的认证。是访问控制中授权的 依据。 数据起源认证：对来源提供确认。 安全服务

10. 10 2. 访问控制服务 对系统的资源提供保护，防止未授权 者利用。它与认证服务密切相关，对请 求访问者必须经过认证后才授权访问系 统。 安全服务

11. 11 3. 机密性 保护机密信息不被未授权个人、实体或过程解读和 使用。 连接机密服务 无连接机密服务 选择字段机密服务 业务流机密服务 安全服务

12. 12 4. 数据完整性服务 保护信息不被未授权改变或破坏 有恢复的连接完整性服务 无恢复的连接完整性服务 选择字段连接完整性服务 无连接完整性服务， 选择字段无连接完整性服务 安全服务

13. 13 5. 非否认服务 用来防止参与通信的实体在事后否认曾参 与全部或部分通信。 有数据源发证明的不可否认 有交付证明的不可否认 安全服务

14. 14 实现以上安全服务的安全机制主要包括： 加密机制 数字签名机制 访问控制机制： 对主体的身份和有关主体的信息进行认证，决定对其 授权，防止非法访问和利用系统资源，对入侵进行告 警，审计和追踪。 安全机制

15. 15 数据完整性机制 顺序检测、序列号、时戳、密码检验和等。 认证交换机制 证实主体身份， X.509 中采用密码技术构成较强的 认证机制。 业务流量填充机制 防止业务量分析。 安全机制

16. 16 安全机制 路由控制机制 为数据传送动态地或预先安排选定路由，通信系统可 能检测主动或被动攻击，因此希望网络服务提供者建 立经由不同路由的连接。类似地，数据可能载有某种 安全标记指示由安全策略所禁止通行的某些网络或全 连路 。 公证机制 用于保证两个或更多个实体间通信数据的某种特性， 如它的完整性、流 / 时间或目标等。由可信赖第三方 TTP(Trusted Third Party) 以可测试方式提供这类保证 。

17. 17 机制 服务 对等实体认证 访问控制服务 数据起源认证 连接机密性 无连接机密性 选择字段机密性 业务流机密性 可恢复的连接完整性 不可恢复的连接完整性 选择字段的连接完整性 无连接完整性 选择字段的无连接完整性 数据起源的非否认 带交付证据的非否认 加密 数字 签名 访问 控制 数据 完整性 认证 交换 业务 流填充 路由 控制 公证 √√√ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √√ √ √ √ √ 机制与实现的安全服务（说明性）

18. 18 在 OSI 层中的服务配置 OSI 安全体系结构的最重要的贡献是总结了各 项安全服务在 OSI 七层中的适当配置位置。 分层 服务 对等实体认证 访问控制服务 数据起源认证 连接机密性 无连接机密性 选择字段机密性 业务流机密性 可恢复的连接完整性 不可恢复的连接完整性 选择字段的连接完整性 无连接完整性 选择字段的无连接完整性 数据起源的非否认 传递过程的非否认 1234567 √√√ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √

19. 19 基于 TCP/IP 的网络安全体系结构 ISO/OSI 参考模型 TCP/IP 层次模型 TCP/IP 体系 应用层（ A ） 应用层 FTP TELNET HTTP SNMP NFS 表示层（ P ） XDR SMTR 会话层（ S ） RPC 传输层（ T ）传输层 TCP/UDP 网络层（ N ） IP 层 IPICMP ARP 、 RARP 数据链路层（ DL ）网络接口层 硬件协议 （不指定） 物理层（ PH ） ISO7498-2 到 TCP/IP 的映射

20. 20 TCP/IP 协议模型中提供的安全服务 安 全 服 务 安 全 服 务 TCP/IP 协 议 层 网络接口 IP 层传输层应用层 对等实体认证 -YYY 数据源认证 -YYY 访问控制服务 -YYY 连接机密性 YYYY 无连接机密性 YYYY 选择字段机密性 ---Y 业务流机密性 YY-Y

21. 21 续表 可恢复连接完整性 --YY 不可恢复连接完整性 -YYY 选择字段连接完整性 ---Y 无连接完整性 -YYY 选择字段非连接完整性 ---Y 源发方不可抵赖 ---Y 接收方不可抵赖 ---Y 说明： Y ：服务应作为选项并入该层的标准之中 - ：不提供