安全体系结构与模型概述.pdf

平安体系结构与模型

张伟

南京邮电大学

计算机学院信息平安系

Email:1999zhangwei@163.com

四个概念

n平安体系结构：定义了最一般的关于平安体系结构的

概念,如平安效劳、平安机制

n平安框架：定义了提供平安效劳的最一般的方法，如

数据源、操作方法以及它们之间的数据流向等

n平安模型：指在特定的环境里，为保证提供一定级别

的平安保护所奉行的根本思想

n平安技术：一些根本模块，它们构成了平安效劳的根

底，同时可以相互任意组合，以提供更强大的平安效

劳

1.5平安体系

1.6平安模型

IOS/OSI平安体系结构

nISO：InternationalOrganizationfor

Standardization

nOSI:OpenSystemInterconnect/RM

n平安效劳

n平安机制

n平安管理

n其它,如平安威胁

ISO-7498-2平安架构

n1982ISOJTC1/JCT21

n19ISO7498-2

n1990ITU-TX.800

n?信息处理系统开发系统互联根本参考模

型-第二局部：平安体系结构

?GB/T9387.2-1985

n?Internet平安体系结构?RFC2401

安全服务〔x.800〕

平安效劳

nX.800定义：为了保证系统或者数据传输

有足够的平安性，开发系统通信协议所

提供的效劳。

nRFC2828：平安效劳是一种由系统提供

的对资源进行特殊保护的进程或通信效劳。

n平安效劳通过平安机制来实现平安策略。

平安效劳(五类十四个效劳)

n对象认证平安效劳

n访问控制平安效劳

n数据必威体育官网网址平安效劳

n数据完整性平安效劳

n防抵赖性平安效劳

n匿名性平安效劳〔可选〕

1对象认证平安效劳

用于识别对象的身份和对身份的证实。OSI环

境可提供对等实体认证和信源认证等平安效劳。

对等实体认证是用来验证在某一关联的实体中，

对等实体的声称是一致的，它可以确认对等实

体没有假冒；

信源认证是用于无连接时验证所收到的数据来

源与所声称的来源是一致的，但不提供防止数

据中途被修改的功能。

对象认证平安效劳实例

效劳器

A

Internet

讨论：假设A和

A‘用户名是一样

A‘的，且都是合法

用户，效劳器是

否能分别认怔A

和A’？

2访问控制平安效劳

提供对越权使用资源的防御措施。访问

控制策略可分为自主访问控制、强制访

问控制、基于角色的访问控制。实现机

制可以是基于访问控制属性的访问控制

表，基于平安标签或用户和资源分档的

多级访问控制等

WindowsNT文件访问控制

3数据必威体育官网网址性平安效劳

针对信息泄漏而采取的防御措