文档介绍：第7章通信网络安全标准
概述
安全体系结构
IPSec安全协议
SSL安全协议
TLS安全协议
无线通信网络安全协议
小结<br****题
概述
在一个分层的通信网络体系结构中,开发标准以支持安全性是一件很复杂的事情,因为体系结构中所有的组成部分都将受到影响,包括所有的层协议和应用程序。其关键问题是,不仅要提供必要的安全功能,而且要确保标准有效实现的成本。
在考虑把安全性加入OSI体系结构时,显然应采取统一、协调的步骤,才能开发出一组广泛适用的、连贯的安全标准。这里简要介绍一组根据这个原则开发出来的标准以及把标准组协调到一起的中心标准,它们是OSI体系结构的一部分,但同样适用于非OSI体系结构。
这些安全标准可以分成以下几大类:
(1) 安全体系结构和框架标准:是设计其它类标准的参考。
(2) 分层安全协议标准:各层(如网络层和传输层)独立于应用的协议规范。低层安全协议包括传输层安全协议(TLSP)、网络层安全协议(NLSP)、局域网协同安全标准(SILS)中的安全数据交换(SDE)协议。高层安全协议位于应用层和表示层,它们使具体应用能够提供安全性,包括ACSE认证选项、协议设计工具(安全交换服务元素、、保护性传输语法,这些工具构成通用高层安全标准GULS)。
(3) 安全技术标准:一些广泛适用的技术规范,如认证交换和数字签名机制。这些标准与分层、具体应用无关。
(4) 具体应用安全标准:是应用标准(如电子邮件、目录服务、消息处理)的组成部分或扩展。
(5) 安全管理标准:支持安全功能管理或为网络管理通信提供保护的规范。
本章主要介绍前两类标准,后三类标准在本书的其它有关章节也有所涉及。
安全体系结构
OSI安全体系结构的研究由ISO/IEC JTC1/SC21于1988年完成,其制定的标准是ISO 7498-2标准,作为OSI基本参考模型的新补充。1990年,ITU决定采用ISO7498-。
OSI安全体系结构简介
OSI安全体系结构定义了许多术语和概念,在整个开放系统安全标准中,它们随处可见。它还建立了一些重要的结构性准则,其中比较重要的内容包括术语、安全服务和安全机制的定义等。事实上,OSI安全体系结构不是具体实现的标准,而是如何设计标准的标准。
OSI安全体系结构的第三款给出了标准族中的部分术语的正式定义,尽管不一定是最好的定义,但还是有一定的参考价值的。值得一提的是,虽然在后来的开放系统的安全研究中,大体上采用了这些术语,但有些术语(如证书、对等实体认证、安全策略、安全服务)定义得太窄,这是因为该标准的范围只限于OSI体系结构。在其它标准中对某些术语采用了更广的定义。
在ISO 7498-2定义了所有安全服务及其变体,并且对定义有详细说明,OSI安全体系结构没有详细说明这些安全服务应该如何来实现。作为指南,它给出了一系列可用来实现这些安全服务的安全机制,其中大部分安全服务和安全机制的内容在第5章已做了详细介绍,这里就不再详述。
OSI分层安全服务
OSI安全体系结构最重要的贡献是它总结了各项安全服务在OSI 7层中的适当配置位置,说明了参考模型中各个层次应提供哪些安全服务。
有关各层提供的主要安全服务说明如下:
(1) 物理层:提供连接机密性和业务流机密性服务,这一层没有无连接服务。
(2) 数据链路层:提供连接机密性和无连接机密性服务,物理层以上不能提供完全的业务流机密性。
(3) 网络层:可以在一定程度上提供认证、访问控制、机密性(除了选择字段机密性)和完整性(除了可恢复的连接完整性、选择字段的连接完整性)服务。
(4) 传输层:可以提供认证、访问控制、机密性(除了选择字段机密性、业务流机密性)和完整性(除了选择字段的连接完整性)服务。
(5) 会话层:不提供安全服务。