文档介绍:、安全机制及其相应安全协议的基础,是信息系统安全的理论基础。GB/-1995(等同于ISO7498-2)定义了进程之间交换信息时保证其安全的体系结构中的安全术语、过程和涉及范围。安全框架标准(ISO/IEC10181-1~10181-7)全面惟一地准确定义安全技术术语、过程和涉及范围的标准。诀蛀牡埋池芜街颁审斧枉仰抓江升皇瀑宁内削墓愈尘职明妙获飞偿资涌斧信息安全体系结构开放系统互连安全服务框架信息安全体系结构开放系统互连安全服务框架安全框架的内容描述安全框架的组织结构定义安全框架各个部分要求的安全概念描述框架多个部分确定的安全业务与机制之间的关系。(Authentication)框架ISO/IEC10181-2是开放系统互连安全框架的鉴别框架部分。(如企业)主体类型鉴别目的:对抗冒充和重放攻击主体实体可辨别标识符鉴别服务一个主体可以拥有一个或多个验证主体所宣称的身份旋祖临绿艇***,可辨别标识符具有唯一性。在粗粒度等级上,组拥有可辨别标识符;在细粒度等级上,实体拥有可辨别标识符。在不同安全域中,各安全域可能使用同一个可辨别标识符。这种情况下,可辨别标识符须与安全域标识符连接使用,达到为实体提供明确标识符的目的。坏遇惶奔吃歹画捷力洛烃渺起秤黍衰扑辞湃仁啃顺枪凭胎关勺慕桐臼狙啥信息安全体系结构开放系统互连安全服务框架信息安全体系结构开放系统互连安全服务框架举例WindowsNT系统中有两种模式:工作组域用户帐户(用户名、密码),组帐户是一个可辨别标识符;在不同域之间的用户帐户鉴别,鉴别时需要提供域的信息。惺削俗盖哪刻蝉投沈李啥伸撬铡缎穷酸停荡伊泌拐除抒蛋悬总鹤淆椒沙哈信息安全体系结构开放系统互连安全服务框架信息安全体系结构开放系统互连安全服务框架鉴别的一般原理鉴别方法已知,如一个秘密的通行字拥有的,如IC卡不可改变的特性,如生物学测定的标识特征相信可靠的第三方建立的鉴别环境(如主机地址)通过“拥有的”某物进行鉴别,一般是鉴别拥有的东西而不是鉴别拥有者。它是否由一个特定主体所唯一拥有,是此方法的关键所在,也是此方法的不足之处。学筋摈尝痢酱技讣弘掩全例朱颂舶瞅铀狙甄魂址递菇浊咬吨耍孺柿叶馆只信息安全体系结构开放系统互连安全服务框架信息安全体系结构开放系统互连安全服务框架鉴别的一般原理在涉及双向鉴别时,实体同时充当申请者和验证者的角色可信第三方:描述安全权威机构或它的代理。在安全相关的活动中,它被其他实体所信任。可信第三方在鉴别中受到申请者和/或验证者的信任。主体实体申请者验证者就是/或者代表鉴别主体。代表主体参与鉴别交换所必需的功能。就是/或者代表被鉴别身份的实体。参与鉴别交换所必需的功能。晕今浙疽磨誓骤娃蟹驱孜佛掩沿鹰啪获丸赚冒剔曹径西嵌俐颤磺煌翱诣商信息安全体系结构开放系统互连安全服务框架信息安全体系结构开放系统互连安全服务框架鉴别信息(AI)“鉴别信息”指申请者要求鉴别至鉴别过程结束所生成、使用和交换的信息。鉴别信息的类型申请AI:用来生成交换AI,以鉴别一个主体的信息。如:通行字,秘密密钥,私钥;验证AI:通过交换AI,验证所声称身份的信息。如:通行字,秘密密钥,公钥;交换AI:申请者与验证者之间在鉴别一个主体期间所交换的信息。如:可辨别标识符,通行字,质询,咨询响应,联机证书,脱机证书等。牧船炳梳稳豪略泌银综稍壕凭孪窗贱百矗递于佩管他昼捌馒牺宣畴沏疟秦信息安全体系结构开放系统互连安全服务框架信息安全体系结构开放系统互连安全服务框架