计算机通信网络安全第五章
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
预定义安全规则集 ASSR
§
§
预定义安全规则集是一组安全机制信息, 分配有唯一的ASN.1标识符,为所有用户 所知。 建立安全关联时,通过交换ASSR标识符约 定一组默认的安全关联属性。
保护服务质量
§
§
§
保护服务质量:与安全相关的服务质量, 指定采用何种安全机制,安全机制的强度 等。 基于级别的保护服务质量可作为安全标签 的一部分传给低层,以指明需要何种服务 质量。 保护服务质量的协商可以一部分在安全关 联建立阶段完成,一部分在建立连接过程 中的服务质量参数交换阶段完成。
§
§
面向连接, TP2/3/4(SN)+连接完整性=序列完整性 TP4(恢复)+连接完整性=可恢复完整性 实体认证:安全关联,ICV/加密 连接参考计数 无连接,数据起源认证,同
TLSP 安全封装
正常/重组TPDU
安全标签 方向标志
长度
标志 标签(可省) 被保护数据 填充 被保护内容 ICV(可省) 填充 加密
无连接的安全协议支持的服务
§ § § § §
数据起源认证 访问控制 无连接机密性 业务流机密性 无连接完整性
OSI低层协议提供的安全服务
安全服务
√ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √
TLSP(CO) NLSP(CO) TLSP(CL) NLSP(CL) SILS
(a)面向连接
会话层实体 ISO/IEC 8602 TLSP ISO/IEC 8602 多路复用 网络层实体
(b)无连接
无连接
面向连接/无连 接的网络层服务
TLSP 安全机制
§
§
TLSP 封装用到的安全机制 安全标签 方向标志 完整性校验值ICV 加密填充 加密 在传输层安全服务的实现
传输层安全服务实现
5.1 安全服务
§
§
端系统级和子网络级:与连接方式有关 CO安全协议支持的服务 CL安全协议支持的服务 直接链路级:点到点链路保护 连接机密性 无连接机密性 业务流机密性
面向连接的安全协议支持的服务
§ § § § § §
实体认证 访问控制 连接机密性 业务流机密性 不可恢复的连接完整性 可恢复的连接完整性
SILS SDE 协议
SDE SDU/ LLC PDU
源站ID
被保护报头 被保护内容 SDE设计者 SA ID 明文报头 MDF
数据 ICV
填充
加密
SILS 安全关联和密钥管理
§ §
SDE级无安全关联管理,交应用层 802.10c 密钥管理协议规范:应用层
5.6 其他标准
§ § §
分组交换协议:ITU X.25,设施字段 无连接网络层协议:CLNP,安全选项 物理层:链路加密机 FIPS PUB 139 ANSI X3.105 ISO/IEC 9160
实 体 认 证 数 据 起 源 认 证 访 问 控 制 连 接 机 密 性 无 连 接 机 密 性 业 务 流 机 密 性 不可恢复连接完整性 可恢复连接完整性 无 连 接 完 整 性
5.2 基本安全体系结构概念
§ § §
安全关联 预定义安全规则集 保护服务质量
安全关联 SA
§
§
§
安全通信共享信息 对方的身份,地址 对 — 数据流用 — 安全服务和安全机制 共享密钥 如果两个或多个系统间维护了这些信息, 称它们之间有安全关联。 安全关联的属性:静态、动态
§
§
支持安全关联的建立,释放和安全关联内 的密钥更新 安全关联的建立:确定安全关联的所有属 性值,初始化密钥
5.4 网络层安全协议
ISO/IEC 11577(1995) 即 NLSP § 体系结构 § 安全数据传输 § 连接建立和释放
NLSP 体系结构
传输层实体 或转发路由 N U
其他 NLSP来自百度文库网络层 协议
SNDCP SNACP 数据链路层实体
NLSP 安全数据传输
原语类型F … 标签 P地址参数 P服务质量参数 P用户数据 测试数据 ISN 被保护字节流 加密 ICV 业务流填充
协议ID 长度标志 PDU类型 SAID 明文报头
NLSP 连接建立和释放
§
§
连接建立: CSC PDU 密(ISN),安全标签,R(密钥) SA PDU 释放连接: 断连PDU (UN数据交换)
5.5 IEEE协同局域网安全标准
IEEE 802.10 即 SILS § 体系结构 § SDE协议 § 安全关联和密钥管理
SILS SDE 体系结构
数 据 链 路 层
802.1 局域网管理 802.2 LLC 802.10 SILS SDE 802.1 桥接
802.3 802.4 802.5 802.6 物理层 以太网 令牌总线 令牌环 城域网
长度标志
PDU类型
SA标识符
明文报头
CryptSYN
TLSP 安全关联属性
§ § § § § § §
安全关联标识符:本地、远程 发起者/响应者标志 对等TLSP实体地址:NSAP地址 ASSR标识符 §ICV机制属性 保护服务质量 §完整性序列号属性 安全机制 §加密机制属性 标签机制属性
TLSP 安全关联协议
5.3 传输层安全协议
ISO/IEC 10736 (1995) 即 TLSP § 体系结构 § 安全机制 § 安全封装 § 安全关联属性 § 安全关联协议
TLSP 体系结构
面向连接的 传输层服务 会话层实体 ISO/IEC 8073 (包括重组) TLSP ISO/IEC 8073 多路复用 网络层实体