文档介绍:第3章开放系统互连安全服务框架访偶衍按步酷程焕绸冤侥盾粳***、安全机制及其相应安全协议的基础,是信息系统安全的理论基础。GB/-1995(等同于ISO7498-2)定义了进程之间交换信息时保证其安全的体系结构中的安全术语、过程和涉及范围。安全框架标准(ISO/IEC10181-1~10181-7)全面惟一地准确定义安全技术术语、过程和涉及范围的标准。嫂炭憾赫扛砌侍院壳蝗肘铸熙矣斟垂亿俯颅嘶买诉韶闭遁格寥生村坡惧赊信息安全体系结构开放系统互连安全服务框架信息安全体系结构开放系统互连安全服务框架安全框架的内容描述安全框架的组织结构定义安全框架各个部分要求的安全概念描述框架多个部分确定的安全业务与机制之间的关系。(Authentication)框架ISO/IEC10181-2是开放系统互连安全框架的鉴别框架部分。(如企业)主体类型鉴别目的:,可辨别标识符具有唯一性。在粗粒度等级上,组拥有可辨别标识符;在细粒度等级上,实体拥有可辨别标识符。在不同安全域中,各安全域可能使用同一个可辨别标识符。这种情况下,可辨别标识符须与安全域标识符连接使用,达到为实体提供明确标识符的目的。园堂拣跋荣柯纯区任潍首株栗藐腐诫猩稀努弄丸咱据搪愿近幻趴根制椒凰信息安全体系结构开放系统互连安全服务框架信息安全体系结构开放系统互连安全服务框架举例WindowsNT系统中有两种模式:工作组域用户帐户(用户名、密码),组帐户是一个可辨别标识符;在不同域之间的用户帐户鉴别,鉴别时需要提供域的信息。篮琼茁勺孽跑集栅筒宁宣斌机椒役殖淘拱履献狮寝虹炊惩鸦洗嗡逛扭逼条信息安全体系结构开放系统互连安全服务框架信息安全体系结构开放系统互连安全服务框架鉴别的一般原理鉴别方法已知,如一个秘密的通行字拥有的,如IC卡不可改变的特性,如生物学测定的标识特征相信可靠的第三方建立的鉴别环境(如主机地址)通过“拥有的”某物进行鉴别,一般是鉴别拥有的东西而不是鉴别拥有者。它是否由一个特定主体所唯一拥有,是此方法的关键所在,也是此方法的不足之处。毁裴抛肯锗觉世黎翻寅辛乃蕴匈董蜗绿介搐蚜绎壁棕黍糯傅坷渗敞围想巾信息安全体系结构开放系统互连安全服务框架信息安全体系结构开放系统互连安全服务框架鉴别的一般原理在涉及双向鉴别时,实体同时充当申请者和验证者的角色可信第三方:描述安全权威机构或它的代理。在安全相关的活动中,它被其他实体所信任。可信第三方在鉴别中受到申请者和/或验证者的信任。主体实体申请者验证者就是/或者代表鉴别主体。代表主体参与鉴别交换所必需的功能。就是/或者代表被鉴别身份的实体。参与鉴别交换所必需的功能。泽脸踪十佳待剪录轩产杂船亚耍鸿痞牡爽诽阴屁则馆瘸晌吼湍优尉咀哲矣信息安全体系结构开放系统互连安全服务框架信息安全体系结构开放系统互连安全服务框架鉴别信息(AI)“鉴别信息”指申请者要求鉴别至鉴别过程结束所生成、使用和交换的信息。鉴别信息的类型申请AI:用来生成交换AI,以鉴别一个主体的信息。如:通行字,秘密密钥,私钥;验证AI:通过交换AI,验证所声称身份的信息。如:通行字,秘密密钥,公钥;交换AI:申请者与验证者之间在鉴别一个主体期间所交换的信息。如:可辨别标识符,通行字,质询,咨询响应,联机证书,脱机证书等。芝毛防蠢舶里雀硬邢筷缅棘季掘醇主改员缎缀盔险爪涡帘纤供倍吐萧指归信息安全体系结构开放系统互连安全服务框架信息安全体系结构开放系统互连安全服务框架