信息安全體系結(jié)構(gòu)開放系統(tǒng)互連安全服務(wù)框架PPT課件

《信息安全體系結(jié)構(gòu)開放系統(tǒng)互連安全服務(wù)框架PPT課件》由會員分享，可在線閱讀，更多相關(guān)《信息安全體系結(jié)構(gòu)開放系統(tǒng)互連安全服務(wù)框架PPT課件（99頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、信息安全體系結(jié)構(gòu)開放系統(tǒng)互連安全服務(wù)框架第第3章章 開放系統(tǒng)互連安全服務(wù)框架開放系統(tǒng)互連安全服務(wù)框架信息安全體系結(jié)構(gòu)開放系統(tǒng)互連安全服務(wù)框架3.1 安全框架概況安全框架概況 安全框架標(biāo)準(zhǔn)是安全服務(wù)、安全機制及其相應(yīng)安全框架標(biāo)準(zhǔn)是安全服務(wù)、安全機制及其相應(yīng)安全協(xié)議的基礎(chǔ)，是信息系統(tǒng)安全的理論基礎(chǔ)。安全協(xié)議的基礎(chǔ)，是信息系統(tǒng)安全的理論基礎(chǔ)。 GB/T9387.2-1995（等同于（等同于ISO7498-2）定義了）定義了進程之間交換信息時保證其安全的體系結(jié)構(gòu)中進程之間交換信息時保證其安全的體系結(jié)構(gòu)中的安全術(shù)語、過程和涉及范圍。的安全術(shù)語、過程和涉及范圍。 安全框架標(biāo)準(zhǔn)（安全框架標(biāo)準(zhǔn)（ISO/IEC

2、 10181-110181-7）全）全面惟一地準(zhǔn)確定義安全技術(shù)術(shù)語、過程和涉及面惟一地準(zhǔn)確定義安全技術(shù)術(shù)語、過程和涉及范圍的標(biāo)準(zhǔn)。范圍的標(biāo)準(zhǔn)。信息安全體系結(jié)構(gòu)開放系統(tǒng)互連安全服務(wù)框架安全框架的內(nèi)容安全框架的內(nèi)容 描述安全框架的組織結(jié)構(gòu)描述安全框架的組織結(jié)構(gòu) 定義安全框架各個部分要求的安全概念定義安全框架各個部分要求的安全概念 描述框架多個部分確定的安全業(yè)務(wù)與機制之間描述框架多個部分確定的安全業(yè)務(wù)與機制之間的關(guān)系。的關(guān)系。信息安全體系結(jié)構(gòu)開放系統(tǒng)互連安全服務(wù)框架3.2 鑒別（鑒別（Authentication）框架）框架 ISO/IEC10181-2是開放系統(tǒng)互連安全框架的鑒別框架是開放系統(tǒng)互連

3、安全框架的鑒別框架部分。部分。 主要內(nèi)容主要內(nèi)容鑒別目的鑒別目的鑒別的一般原理鑒別的一般原理鑒別的階段鑒別的階段可信第三方的參與可信第三方的參與主體類型主體類型人類用戶鑒別人類用戶鑒別針對鑒別的攻擊種類針對鑒別的攻擊種類信息安全體系結(jié)構(gòu)開放系統(tǒng)互連安全服務(wù)框架3.2.1 鑒別目的鑒別目的人人進程進程實開放系統(tǒng)實開放系統(tǒng)OSI層實體層實體組織機構(gòu)（如企業(yè)）組織機構(gòu)（如企業(yè)）主主體體類類型型鑒別目的：鑒別目的：對抗冒充和重放攻擊對抗冒充和重放攻擊主體主體實體實體可辨別標(biāo)識符可辨別標(biāo)識符鑒別服務(wù)鑒別服務(wù)一個主體可以擁有一一個主體可以擁有一個或多個個或多個驗證主體所宣稱的驗證主體所宣稱的身份身份信息安

4、全體系結(jié)構(gòu)開放系統(tǒng)互連安全服務(wù)框架3.2.2 鑒別的一般原理鑒別的一般原理 可辨別標(biāo)識符可辨別標(biāo)識符同一安全域中，可辨別標(biāo)識符具有唯一性。同一安全域中，可辨別標(biāo)識符具有唯一性。 在粗粒度等級上，組擁有可辨別標(biāo)識符；在粗粒度等級上，組擁有可辨別標(biāo)識符； 在細粒度等級上，實體擁有可辨別標(biāo)識符。在細粒度等級上，實體擁有可辨別標(biāo)識符。在不同安全域中，各安全域可能使用同一個可辨別在不同安全域中，各安全域可能使用同一個可辨別標(biāo)識符。這種情況下，可辨別標(biāo)識符須與安全域標(biāo)標(biāo)識符。這種情況下，可辨別標(biāo)識符須與安全域標(biāo)識符連接使用，達到為實體提供明確標(biāo)識符的目的。識符連接使用，達到為實體提供明確標(biāo)識符的目的。信息

5、安全體系結(jié)構(gòu)開放系統(tǒng)互連安全服務(wù)框架舉例舉例 Windows NT系統(tǒng)中有兩種模式：系統(tǒng)中有兩種模式：工作組工作組域域 用戶帳戶（用戶名、密碼），組帳戶是一個可用戶帳戶（用戶名、密碼），組帳戶是一個可辨別標(biāo)識符；辨別標(biāo)識符； 在不同域之間的用戶帳戶鑒別，鑒別時需要提在不同域之間的用戶帳戶鑒別，鑒別時需要提供域的信息。供域的信息。信息安全體系結(jié)構(gòu)開放系統(tǒng)互連安全服務(wù)框架鑒別的一般原理鑒別的一般原理 鑒別方法鑒別方法已知，如一個秘密的通行字已知，如一個秘密的通行字擁有的，如擁有的，如IC卡卡不可改變的特性，如生物學(xué)測定的標(biāo)識特征不可改變的特性，如生物學(xué)測定的標(biāo)識特征相信可靠的第三方建立的鑒別相信可

6、靠的第三方建立的鑒別環(huán)境（如主機地址）環(huán)境（如主機地址）通過通過“擁有的擁有的”某物進行鑒別，一般是鑒別擁某物進行鑒別，一般是鑒別擁有的東西而不是鑒別擁有者。它是否由一個特有的東西而不是鑒別擁有者。它是否由一個特定主體所唯一擁有，是此方法的關(guān)鍵所在，也定主體所唯一擁有，是此方法的關(guān)鍵所在，也是此方法的不足之處。是此方法的不足之處。信息安全體系結(jié)構(gòu)開放系統(tǒng)互連安全服務(wù)框架鑒別的一般原理鑒別的一般原理 在涉及雙向鑒別時，實體同時充當(dāng)申請者和驗證者的角色在涉及雙向鑒別時，實體同時充當(dāng)申請者和驗證者的角色 可信第三方：描述安全權(quán)威機構(gòu)或它的代理。在安全相關(guān)的活可信第三方：描述安全權(quán)威機構(gòu)或它的代理。在

7、安全相關(guān)的活動中，它被其他實體所信任?？尚诺谌皆阼b別中受到申請者動中，它被其他實體所信任。可信第三方在鑒別中受到申請者和和/或驗證者的信任?；蝌炞C者的信任。主體主體實體實體申請者申請者驗證者驗證者就是就是/或者代表鑒別主體。或者代表鑒別主體。代表主體參與鑒別交換代表主體參與鑒別交換所必需的功能。所必需的功能。就是就是/或者代表被鑒別身或者代表被鑒別身份的實體。參與鑒別交份的實體。參與鑒別交換所必需的功能。換所必需的功能。信息安全體系結(jié)構(gòu)開放系統(tǒng)互連安全服務(wù)框架鑒別信息（鑒別信息（AI） “鑒別信息鑒別信息”指申請者要求鑒別至鑒別過程結(jié)指申請者要求鑒別至鑒別過程結(jié)束所生成、使用和交換的信息。束

8、所生成、使用和交換的信息。 鑒別信息的類型鑒別信息的類型申請申請AI：用來生成交換：用來生成交換AI，以鑒別一個主體的信，以鑒別一個主體的信息。如：通行字，秘密密鑰，私鑰；息。如：通行字，秘密密鑰，私鑰；驗證驗證AI：通過交換：通過交換AI，驗證所聲稱身份的信息。，驗證所聲稱身份的信息。如：通行字，秘密密鑰，公鑰；如：通行字，秘密密鑰，公鑰；交換交換AI：申請者與驗證者之間在鑒別一個主體期間：申請者與驗證者之間在鑒別一個主體期間所交換的信息。如：可辨別標(biāo)識符，通行字，質(zhì)詢，所交換的信息。如：可辨別標(biāo)識符，通行字，質(zhì)詢，咨詢響應(yīng)，聯(lián)機證書，脫機證書等。咨詢響應(yīng)，聯(lián)機證書，脫機證書等。信息安全體系

9、結(jié)構(gòu)開放系統(tǒng)互連安全服務(wù)框架申請者、驗證者、可信第三方之間的關(guān)系申請者、驗證者、可信第三方之間的關(guān)系申請申請AI申請者申請者驗證驗證AI驗證者驗證者驗證驗證AI可信第三方可信第三方申請申請AI交換交換AI交換交換AI交換交換AI和和/或或驗證驗證AI指示潛在的信息指示潛在的信息流流用來生成交換用來生成交換AI，以鑒別，以鑒別一個主體的信息。如：通一個主體的信息。如：通行字，秘密密鑰，私鑰行字，秘密密鑰，私鑰在鑒別一個主體期間所交在鑒別一個主體期間所交換的信息。如：可辨別標(biāo)換的信息。如：可辨別標(biāo)識符，通行字，質(zhì)詢識符，通行字，質(zhì)詢驗證所聲稱身份的信息。驗證所聲稱身份的信息。如：通行字，秘密密鑰，

10、如：通行字，秘密密鑰，公共密鑰公共密鑰信息安全體系結(jié)構(gòu)開放系統(tǒng)互連安全服務(wù)框架3.2.3 鑒別的階段鑒別的階段 階段階段安裝安裝修改鑒別信息修改鑒別信息分發(fā)分發(fā)獲取獲取傳送傳送驗證驗證?；钔；钪匦录せ铍A段重新激活階段取消安裝取消安裝 并不要求所有這些階段并不要求所有這些階段或順序或順序 舉例舉例創(chuàng)建一個帳戶創(chuàng)建一個帳戶分發(fā)帳戶分發(fā)帳戶獲取帳戶獲取帳戶修改帳戶信息修改帳戶信息驗證帳戶驗證帳戶禁止帳戶禁止帳戶激活帳戶激活帳戶刪除帳戶刪除帳戶信息安全體系結(jié)構(gòu)開放系統(tǒng)互連安全服務(wù)框架3.2.4 可信第三方的參與可信第三方的參與 鑒別機制可按可信第三方的參與數(shù)分類鑒別機制可按可信第三方的參與數(shù)分類無需可

11、信第三方參與的鑒別無需可信第三方參與的鑒別可信第三方參與的鑒別可信第三方參與的鑒別信息安全體系結(jié)構(gòu)開放系統(tǒng)互連安全服務(wù)框架一、無需可信第三方參與的鑒別一、無需可信第三方參與的鑒別申請申請AI申請者申請者驗證驗證AI驗證者驗證者交換交換AI無論申請者還是驗證者，在生成和驗證交無論申請者還是驗證者，在生成和驗證交換換AI時都無需得到其他實體的支持。時都無需得到其他實體的支持。信息安全體系結(jié)構(gòu)開放系統(tǒng)互連安全服務(wù)框架二、可信第三方參與的鑒別二、可信第三方參與的鑒別 驗證驗證AI可以通過與可信可以通過與可信第三方的交互中得到，第三方的交互中得到，必須保證這一信息的完必須保證這一信息的完整性。整性。 維

12、持可信第三方的申請維持可信第三方的申請AI的機密性，以及在申的機密性，以及在申請請AI可從驗證可從驗證AI推演出推演出來時，維持驗證來時，維持驗證AI的機的機密性是必要的。密性是必要的。 例如例如公鑰體制（公鑰，私鑰）公鑰體制（公鑰，私鑰）對應(yīng)申請對應(yīng)申請AI和驗證和驗證AI信息安全體系結(jié)構(gòu)開放系統(tǒng)互連安全服務(wù)框架（一）在線鑒別（一）在線鑒別 可信第三方（仲裁者）直接參與申請者與驗證可信第三方（仲裁者）直接參與申請者與驗證者之間的鑒別交換。者之間的鑒別交換。申請申請AI申請者申請者驗證驗證AI驗證者驗證者仲裁者仲裁者驗證驗證AI仲裁者仲裁者驗證驗證AI交換交換AI交換交換AI信息安全體系結(jié)構(gòu)開

13、放系統(tǒng)互連安全服務(wù)框架（二）聯(lián)機鑒別（二）聯(lián)機鑒別 不同于在線鑒別，聯(lián)機鑒別的可信第三方并不直接處于不同于在線鑒別，聯(lián)機鑒別的可信第三方并不直接處于申請者與驗證者鑒別交換的路徑上。申請者與驗證者鑒別交換的路徑上。 實例：可信第三方為密鑰分配中心，聯(lián)機鑒別服務(wù)器。實例：可信第三方為密鑰分配中心，聯(lián)機鑒別服務(wù)器。申請申請AI申請者申請者權(quán)威機構(gòu)權(quán)威機構(gòu)驗證驗證AI驗證者驗證者驗證驗證AI可信第三方可信第三方權(quán)威機構(gòu)權(quán)威機構(gòu)申請申請AI交換交換AI交換交換AI交換交換AI指示可能發(fā)生的指示可能發(fā)生的信息安全體系結(jié)構(gòu)開放系統(tǒng)互連安全服務(wù)框架（三）脫機鑒別（三）脫機鑒別 要求使用被撤銷證書的證明清單、被

14、撤銷證書要求使用被撤銷證書的證明清單、被撤銷證書的證書清單、證書時限或其他用于撤銷驗證的證書清單、證書時限或其他用于撤銷驗證AI的非即時方法等特征。的非即時方法等特征。申請申請AI申請者申請者權(quán)威機構(gòu)權(quán)威機構(gòu)驗證驗證AI驗證者驗證者驗證驗證AI可信第三方可信第三方權(quán)威機構(gòu)權(quán)威機構(gòu)申請申請AI交換交換AI交換交換AI表示脫機方式（可能經(jīng)由表示脫機方式（可能經(jīng)由申請者）中驗證申請者）中驗證AI的發(fā)布的發(fā)布信息安全體系結(jié)構(gòu)開放系統(tǒng)互連安全服務(wù)框架三、申請者信任驗證者三、申請者信任驗證者 申請者信任驗證者。申請者信任驗證者。 如果驗證者的身份未得到鑒別，那么其可信度如果驗證者的身份未得到鑒別，那么其可

15、信度是不可知的。是不可知的。 例如：在鑒別中簡單使用的通行字，必須確信例如：在鑒別中簡單使用的通行字，必須確信驗證者不會保留或重用該通行字。驗證者不會保留或重用該通行字。信息安全體系結(jié)構(gòu)開放系統(tǒng)互連安全服務(wù)框架3.2.5 主體類型主體類型 指紋、視網(wǎng)膜等被動特征指紋、視網(wǎng)膜等被動特征 具有信息交換和處理能力具有信息交換和處理能力 具有信息存儲能力具有信息存儲能力 具有唯一固定的位置具有唯一固定的位置在實際鑒別中，最終鑒別的必須是人類用戶而不是在實際鑒別中，最終鑒別的必須是人類用戶而不是鑒別代表人類用戶行為的進程。鑒別代表人類用戶行為的進程。人類用戶的鑒別方法必須是人類可接受的方法，且人類用戶的

16、鑒別方法必須是人類可接受的方法，且是經(jīng)濟和安全的。是經(jīng)濟和安全的。信息安全體系結(jié)構(gòu)開放系統(tǒng)互連安全服務(wù)框架3.2.6 針對鑒別的攻擊種類針對鑒別的攻擊種類 重放攻擊重放攻擊對同一驗證者進行重放攻對同一驗證者進行重放攻擊?？梢酝ㄟ^使用惟一序擊。可以通過使用惟一序列號或質(zhì)詢來對抗，惟一列號或質(zhì)詢來對抗，惟一序列號由申請者生成，且序列號由申請者生成，且不會被同一驗證者兩次接不會被同一驗證者兩次接受。受。對不同驗證者進行重放攻對不同驗證者進行重放攻擊。通過質(zhì)詢來對抗。在擊。通過質(zhì)詢來對抗。在計算交換計算交換AI時使用驗證者時使用驗證者惟一擁有的特性可防止這惟一擁有的特性可防止這種攻擊。種攻擊。 延遲攻

17、擊延遲攻擊入侵者發(fā)起的延遲攻擊入侵者發(fā)起的延遲攻擊入侵者響應(yīng)的延遲攻擊入侵者響應(yīng)的延遲攻擊信息安全體系結(jié)構(gòu)開放系統(tǒng)互連安全服務(wù)框架入侵者發(fā)起的延遲攻擊入侵者發(fā)起的延遲攻擊 C告訴告訴A說它是說它是B，要求，要求A對對B進行鑒別，然后告進行鑒別，然后告訴訴B說它是說它是A，并且提供自身的鑒別信息。，并且提供自身的鑒別信息。A申請者申請者A-響應(yīng)者響應(yīng)者B驗證者驗證者B-響應(yīng)者響應(yīng)者A（C）申請者申請者C-發(fā)起者發(fā)起者B（C）驗證者驗證者入侵者入侵者對抗方法：對抗方法：不能同時作為申請者和驗證者；不能同時作為申請者和驗證者；作為申請者的交換作為申請者的交換AI和作為響應(yīng)和作為響應(yīng)者的交換者的交換A

18、I不同。不同。信息安全體系結(jié)構(gòu)開放系統(tǒng)互連安全服務(wù)框架入侵者響應(yīng)的延遲攻擊入侵者響應(yīng)的延遲攻擊 入侵者處于鑒別交換的中間位置，它截獲鑒別入侵者處于鑒別交換的中間位置，它截獲鑒別信息并且轉(zhuǎn)發(fā)，接管發(fā)起者的任務(wù)。信息并且轉(zhuǎn)發(fā)，接管發(fā)起者的任務(wù)。AA-發(fā)起者發(fā)起者BB-響應(yīng)者響應(yīng)者A（C）響應(yīng)者響應(yīng)者C-發(fā)起者發(fā)起者B（C）入侵者入侵者對抗方法：對抗方法：提供完整性和機密性服務(wù)；提供完整性和機密性服務(wù)；網(wǎng)絡(luò)地址集成到交換網(wǎng)絡(luò)地址集成到交換AI中。中。 信息安全體系結(jié)構(gòu)開放系統(tǒng)互連安全服務(wù)框架3.3 訪問控制（訪問控制（Access Control）框架）框架 ISO/IEC10181-3是開放系統(tǒng)互

19、連安全框架的訪是開放系統(tǒng)互連安全框架的訪問控制框架部分。決定開放系統(tǒng)環(huán)境中允許使問控制框架部分。決定開放系統(tǒng)環(huán)境中允許使用哪些資源、在什么地方適合阻止未授權(quán)訪問用哪些資源、在什么地方適合阻止未授權(quán)訪問的過程叫做訪問控制。的過程叫做訪問控制。信息安全體系結(jié)構(gòu)開放系統(tǒng)互連安全服務(wù)框架3.3.1 訪問控制訪問控制 訪問控制的目標(biāo)：對抗涉及計算機或通信系統(tǒng)訪問控制的目標(biāo)：對抗涉及計算機或通信系統(tǒng)非授權(quán)操作的威脅。非授權(quán)操作的威脅。非授權(quán)使用非授權(quán)使用泄露，修改，破壞，拒絕服務(wù)泄露，修改，破壞，拒絕服務(wù) 訪問控制安全框架的目標(biāo)訪問控制安全框架的目標(biāo)對數(shù)據(jù)、進程或計算資源進行訪問控制對數(shù)據(jù)、進程或計算資源

20、進行訪問控制在一個安全域中或跨越多個安全域的訪問控制在一個安全域中或跨越多個安全域的訪問控制根據(jù)上下文進行訪問控制，如依靠試圖訪問的時間、根據(jù)上下文進行訪問控制，如依靠試圖訪問的時間、訪問者地點或訪問路線訪問者地點或訪問路線對訪問過程中的授權(quán)變化作出反應(yīng)的訪問控制對訪問過程中的授權(quán)變化作出反應(yīng)的訪問控制信息安全體系結(jié)構(gòu)開放系統(tǒng)互連安全服務(wù)框架實系統(tǒng)中的訪問控制活動實系統(tǒng)中的訪問控制活動 建立一個訪問控制策略的表達式建立一個訪問控制策略的表達式 建立建立ACI（訪問控制信息）的表達式（訪問控制信息）的表達式 分配分配ACI給元素（發(fā)起者、目標(biāo)或訪問請求）給元素（發(fā)起者、目標(biāo)或訪問請求） 綁定綁定

21、ACI到元素到元素 使使ADI（訪問控制判決信息）對（訪問控制判決信息）對ADF有效有效 執(zhí)行訪問控制功能執(zhí)行訪問控制功能 ACI的修改的修改 ADI的撤銷的撤銷信息安全體系結(jié)構(gòu)開放系統(tǒng)互連安全服務(wù)框架基本訪問控制功能基本訪問控制功能發(fā)起者發(fā)起者 訪問控制執(zhí)行功能訪問控制執(zhí)行功能（AEF） 訪問判決功能訪問判決功能（ADF） 目標(biāo)目標(biāo) 遞交訪問請遞交訪問請求求呈遞訪問請呈遞訪問請求求判決判決請求請求判決判決代表訪問或試圖代表訪問或試圖訪問目標(biāo)的人和訪問目標(biāo)的人和基于計算機的實基于計算機的實體體被試圖訪問或由發(fā)被試圖訪問或由發(fā)起者訪問的，基于起者訪問的，基于計算機或通信的實計算機或通信的實體，如

22、文件。體，如文件。訪問請求代表構(gòu)成試圖訪問訪問請求代表構(gòu)成試圖訪問部分的操作和操作數(shù)部分的操作和操作數(shù)信息安全體系結(jié)構(gòu)開放系統(tǒng)互連安全服務(wù)框架訪問判決功能（訪問判決功能（ADF）發(fā)起者發(fā)起者ADI目標(biāo)目標(biāo)ADI訪問控制訪問控制策略規(guī)則策略規(guī)則保持的保持的ADI上下文背景信息上下文背景信息判決判決請求請求判決判決訪問請求訪問請求ADI發(fā)起者的位置、發(fā)起者的位置、訪問時間或使訪問時間或使用中的特殊通用中的特殊通信路徑。信路徑。ADI由綁定到由綁定到發(fā)起者的發(fā)起者的ACI導(dǎo)出導(dǎo)出允許或禁止發(fā)允許或禁止發(fā)起者試圖對目起者試圖對目標(biāo)進行訪問的標(biāo)進行訪問的判決判決信息安全體系結(jié)構(gòu)開放系統(tǒng)互連安全服務(wù)框架3

23、.3.2 訪問控制策略訪問控制策略 訪問控制策略表達安全域中的確定安全需求。訪問控制策略表達安全域中的確定安全需求。 訪問控制策略體現(xiàn)為一組作用在訪問控制策略體現(xiàn)為一組作用在ADF上的規(guī)則。上的規(guī)則。信息安全體系結(jié)構(gòu)開放系統(tǒng)互連安全服務(wù)框架訪問控制策略分類訪問控制策略分類 基于規(guī)則的安全策略：被發(fā)起者施加在安全域基于規(guī)則的安全策略：被發(fā)起者施加在安全域中任何目標(biāo)上的所有訪問請求。中任何目標(biāo)上的所有訪問請求。 基于身份的訪問控制策略：基于特定的單個發(fā)基于身份的訪問控制策略：基于特定的單個發(fā)起者、一群發(fā)起者、代表發(fā)起者行為的實體或起者、一群發(fā)起者、代表發(fā)起者行為的實體或扮演特定角色的原發(fā)者的規(guī)則。

24、扮演特定角色的原發(fā)者的規(guī)則。 上下文能夠修改基于規(guī)則或基于身份的訪問控上下文能夠修改基于規(guī)則或基于身份的訪問控制策略。上下文規(guī)則可在實際上定義整體策略。制策略。上下文規(guī)則可在實際上定義整體策略。信息安全體系結(jié)構(gòu)開放系統(tǒng)互連安全服務(wù)框架群組和角色群組和角色 根據(jù)發(fā)起者群組或扮演特定角色發(fā)起者含義陳述的訪根據(jù)發(fā)起者群組或扮演特定角色發(fā)起者含義陳述的訪問控制策略，是基于身份策略的特殊類型。問控制策略，是基于身份策略的特殊類型。 群組是一組發(fā)起者，群組中的成員是平等的。群組是一組發(fā)起者，群組中的成員是平等的。 群組允許一組發(fā)起者訪問特定的目標(biāo)，不必在目標(biāo)群組允許一組發(fā)起者訪問特定的目標(biāo)，不必在目標(biāo)AC

25、I中包括單個發(fā)起者的身份，也不必特意將相同的中包括單個發(fā)起者的身份，也不必特意將相同的ACI分配給每個發(fā)起者。分配給每個發(fā)起者。 群組的組成是由管理行為決定的，創(chuàng)建或修改群組的群組的組成是由管理行為決定的，創(chuàng)建或修改群組的能力必須服從訪問控制的需要。能力必須服從訪問控制的需要。 角色對某個用戶在組織內(nèi)允許執(zhí)行的功能進行特征化。角色對某個用戶在組織內(nèi)允許執(zhí)行的功能進行特征化。給定的角色適用于單個個體或幾個個體。給定的角色適用于單個個體或幾個個體。 可按層次使用群組和角色，對發(fā)起者身份、群組和角可按層次使用群組和角色，對發(fā)起者身份、群組和角色進行組合。色進行組合。信息安全體系結(jié)構(gòu)開放系統(tǒng)互連安全服

26、務(wù)框架安全標(biāo)簽安全標(biāo)簽 根據(jù)安全標(biāo)簽含義陳述的訪問控制策略，是基根據(jù)安全標(biāo)簽含義陳述的訪問控制策略，是基于規(guī)則的安全策略的特殊類型。于規(guī)則的安全策略的特殊類型。 發(fā)起者和目標(biāo)分別與命名的安全標(biāo)簽關(guān)聯(lián)。發(fā)起者和目標(biāo)分別與命名的安全標(biāo)簽關(guān)聯(lián)。 訪問決策是將發(fā)起者和目標(biāo)安全標(biāo)簽進行比較訪問決策是將發(fā)起者和目標(biāo)安全標(biāo)簽進行比較為參考的。為參考的。信息安全體系結(jié)構(gòu)開放系統(tǒng)互連安全服務(wù)框架多發(fā)起者訪問控制策略多發(fā)起者訪問控制策略 可對個體發(fā)起者、相同或不同的群組成員的發(fā)可對個體發(fā)起者、相同或不同的群組成員的發(fā)起者、扮演不同角色的發(fā)起者，或這些發(fā)起者起者、扮演不同角色的發(fā)起者，或這些發(fā)起者的組合進行識別。的

27、組合進行識別。信息安全體系結(jié)構(gòu)開放系統(tǒng)互連安全服務(wù)框架策略管理策略管理 固定策略：一直應(yīng)用又不能被改變的策略。固定策略：一直應(yīng)用又不能被改變的策略。 管理性強加策略：一直應(yīng)用而只能被適當(dāng)授權(quán)管理性強加策略：一直應(yīng)用而只能被適當(dāng)授權(quán)的人才能改變的策略。的人才能改變的策略。 用戶選擇策略：對發(fā)起者和目標(biāo)的請求可用，用戶選擇策略：對發(fā)起者和目標(biāo)的請求可用，而且只應(yīng)用于涉及發(fā)起者或目標(biāo)、發(fā)起者或目而且只應(yīng)用于涉及發(fā)起者或目標(biāo)、發(fā)起者或目標(biāo)資源的訪問請求的策略。標(biāo)資源的訪問請求的策略。信息安全體系結(jié)構(gòu)開放系統(tǒng)互連安全服務(wù)框架粒度和容度粒度和容度 每個粒度級別可有它自己的邏輯分離策略，還每個粒度級別可有它

28、自己的邏輯分離策略，還可以對不同可以對不同AEF和和ADF組件的使用進行細化。組件的使用進行細化。 容度用來控制對目標(biāo)組的訪問。通過指定一個容度用來控制對目標(biāo)組的訪問。通過指定一個只有當(dāng)其允許對一個包含目標(biāo)組的目標(biāo)進行訪只有當(dāng)其允許對一個包含目標(biāo)組的目標(biāo)進行訪問時，才允許對目標(biāo)組內(nèi)的這些目標(biāo)進行訪問問時，才允許對目標(biāo)組內(nèi)的這些目標(biāo)進行訪問的策略實現(xiàn)。的策略實現(xiàn)。信息安全體系結(jié)構(gòu)開放系統(tǒng)互連安全服務(wù)框架繼承規(guī)則繼承規(guī)則 新元素可以通過拷貝、修改、組合現(xiàn)有元素或新元素可以通過拷貝、修改、組合現(xiàn)有元素或構(gòu)造來創(chuàng)建。構(gòu)造來創(chuàng)建。 新元素的新元素的ACI依賴于這些元素：創(chuàng)建者的依賴于這些元素：創(chuàng)建者的A

29、CI，或者拷貝過、修改過、合并過的元素的或者拷貝過、修改過、合并過的元素的ACI。 繼承規(guī)則是訪問控制策略的組成部分。繼承規(guī)則是訪問控制策略的組成部分。信息安全體系結(jié)構(gòu)開放系統(tǒng)互連安全服務(wù)框架訪問控制策略規(guī)則中的優(yōu)先原則訪問控制策略規(guī)則中的優(yōu)先原則 訪問控制策略規(guī)則有可能相互沖突，優(yōu)先規(guī)則規(guī)定了訪問控制策略規(guī)則有可能相互沖突，優(yōu)先規(guī)則規(guī)定了被應(yīng)用的訪問控制策略的次序和規(guī)則中優(yōu)先的規(guī)則。被應(yīng)用的訪問控制策略的次序和規(guī)則中優(yōu)先的規(guī)則。 如果訪問控制策略的規(guī)則如果訪問控制策略的規(guī)則A和規(guī)則和規(guī)則B分別讓分別讓ADF對一個對一個請求訪問作出不同決策，那么優(yōu)先規(guī)則將賦予規(guī)則請求訪問作出不同決策，那么優(yōu)先

30、規(guī)則將賦予規(guī)則A優(yōu)先權(quán)，而不考慮優(yōu)先權(quán)，而不考慮B中的規(guī)則。或者優(yōu)先規(guī)則要求兩中的規(guī)則?；蛘邇?yōu)先規(guī)則要求兩個規(guī)則都允許請求，得到允許的訪問。個規(guī)則都允許請求，得到允許的訪問。 當(dāng)發(fā)起者作為群組成員或特定角色時，優(yōu)先規(guī)則可能當(dāng)發(fā)起者作為群組成員或特定角色時，優(yōu)先規(guī)則可能需要用于發(fā)起者綁定需要用于發(fā)起者綁定ACI的使用。優(yōu)先規(guī)則可能允許的使用。優(yōu)先規(guī)則可能允許發(fā)起者自己的發(fā)起者自己的ACI與假定群組或角色的與假定群組或角色的ACI結(jié)合起來。結(jié)合起來。此時，還須指定怎樣對有沖突的此時，還須指定怎樣對有沖突的ACI進行組合。進行組合。信息安全體系結(jié)構(gòu)開放系統(tǒng)互連安全服務(wù)框架默認訪問控制策略規(guī)則默認訪問

31、控制策略規(guī)則 訪問控制策略可以包括默認訪問控制策略規(guī)則。訪問控制策略可以包括默認訪問控制策略規(guī)則。 當(dāng)一個或多個發(fā)起者還沒有特意要求允許或拒當(dāng)一個或多個發(fā)起者還沒有特意要求允許或拒絕的特定訪問目標(biāo)時，可以使用這些規(guī)則。絕的特定訪問目標(biāo)時，可以使用這些規(guī)則。信息安全體系結(jié)構(gòu)開放系統(tǒng)互連安全服務(wù)框架通過合作安全域的策略映射通過合作安全域的策略映射 在合作安全域間為訪問請求提供訪問控制時，在合作安全域間為訪問請求提供訪問控制時，有時需要映射或轉(zhuǎn)化綁定到訪問請求的有時需要映射或轉(zhuǎn)化綁定到訪問請求的ACI。 因為不同的合作安全域有不同的因為不同的合作安全域有不同的ACI表達式，表達式，或者相同或者相同A

32、CI在不同安全域有不同的安全策略在不同安全域有不同的安全策略解釋。解釋。信息安全體系結(jié)構(gòu)開放系統(tǒng)互連安全服務(wù)框架3.3.3 訪問控制信息訪問控制信息 發(fā)起者發(fā)起者ACI 目標(biāo)目標(biāo)ACI 訪問請求訪問請求ACI 操作數(shù)操作數(shù)ACI 上下文信息上下文信息 發(fā)起者綁定發(fā)起者綁定ACI 目標(biāo)綁定目標(biāo)綁定ACI 訪問請求綁定訪問請求綁定ACI信息安全體系結(jié)構(gòu)開放系統(tǒng)互連安全服務(wù)框架發(fā)起者發(fā)起者ACI的實例的實例 個體的訪問控制身份個體的訪問控制身份 分層群組標(biāo)識符，可確定成員在分層群組中的分層群組標(biāo)識符，可確定成員在分層群組中的位置位置 功能群組標(biāo)識符，可確定成員在功能群組中的功能群組標(biāo)識符，可確定成員

33、在功能群組中的位置位置 可被假定的角色標(biāo)識符可被假定的角色標(biāo)識符 敏感性標(biāo)記敏感性標(biāo)記 完整性標(biāo)記完整性標(biāo)記信息安全體系結(jié)構(gòu)開放系統(tǒng)互連安全服務(wù)框架目標(biāo)目標(biāo)ACI的實例的實例 目標(biāo)訪問控制身份目標(biāo)訪問控制身份 敏感性標(biāo)記敏感性標(biāo)記 完整性標(biāo)記完整性標(biāo)記 包含一個目標(biāo)的包容者標(biāo)識符包含一個目標(biāo)的包容者標(biāo)識符信息安全體系結(jié)構(gòu)開放系統(tǒng)互連安全服務(wù)框架訪問請求訪問請求ACI的實例的實例 被允許的操作種類（如讀、寫）被允許的操作種類（如讀、寫） 用于操作所需的完整性等級用于操作所需的完整性等級 操作的數(shù)據(jù)類型操作的數(shù)據(jù)類型信息安全體系結(jié)構(gòu)開放系統(tǒng)互連安全服務(wù)框架操作數(shù)操作數(shù)ACI的實例的實例 敏感性標(biāo)記

34、敏感性標(biāo)記 完整性標(biāo)記完整性標(biāo)記信息安全體系結(jié)構(gòu)開放系統(tǒng)互連安全服務(wù)框架上下文信息的實例上下文信息的實例 時限，只有在用天、周、月、年等精確規(guī)定的時限，只有在用天、周、月、年等精確規(guī)定的時間內(nèi)才準(zhǔn)許訪問。時間內(nèi)才準(zhǔn)許訪問。 路由，只有使用的路由具有指定特征時才準(zhǔn)許路由，只有使用的路由具有指定特征時才準(zhǔn)許訪問。訪問。 位置，只有對特定系統(tǒng)、工作站或終端上的發(fā)位置，只有對特定系統(tǒng)、工作站或終端上的發(fā)起者，或者特定的物理位置上的發(fā)起者，訪問起者，或者特定的物理位置上的發(fā)起者，訪問才被準(zhǔn)許。才被準(zhǔn)許。 系統(tǒng)狀態(tài)系統(tǒng)狀態(tài) 信息安全體系結(jié)構(gòu)開放系統(tǒng)互連安全服務(wù)框架發(fā)起者綁定發(fā)起者綁定ACI 包括發(fā)起者包括

35、發(fā)起者ACI、某些目標(biāo)、某些目標(biāo)ACI和經(jīng)過選擇的和經(jīng)過選擇的上下文信息。上下文信息。 如如發(fā)起者發(fā)起者ACI目標(biāo)訪問控制身份和對目標(biāo)的可允許訪問（如權(quán)力）目標(biāo)訪問控制身份和對目標(biāo)的可允許訪問（如權(quán)力）發(fā)起者位置發(fā)起者位置信息安全體系結(jié)構(gòu)開放系統(tǒng)互連安全服務(wù)框架目標(biāo)綁定目標(biāo)綁定ACI 包括某些發(fā)起者包括某些發(fā)起者ACI，目標(biāo)，目標(biāo)ACI和經(jīng)過選擇的上下文和經(jīng)過選擇的上下文信息。信息。 形式形式: 標(biāo)簽和訪問控制表標(biāo)簽和訪問控制表 如如個體發(fā)起者訪問控制身份，允許或拒絕它們對目標(biāo)的訪問個體發(fā)起者訪問控制身份，允許或拒絕它們對目標(biāo)的訪問分層群組成員訪問控制身份，允許或拒絕它們對目標(biāo)的訪問分層群組成

36、員訪問控制身份，允許或拒絕它們對目標(biāo)的訪問功能群組成員訪問控制身份，允許或拒絕它們對目標(biāo)的訪問功能群組成員訪問控制身份，允許或拒絕它們對目標(biāo)的訪問角色訪問控制身份，允許或拒絕它們對目標(biāo)的訪問角色訪問控制身份，允許或拒絕它們對目標(biāo)的訪問授權(quán)和對它們授權(quán)的訪問授權(quán)和對它們授權(quán)的訪問信息安全體系結(jié)構(gòu)開放系統(tǒng)互連安全服務(wù)框架訪問請求綁定訪問請求綁定ACI 包括發(fā)起者包括發(fā)起者ACI、目標(biāo)、目標(biāo)ACI和上下文信息。和上下文信息。 如如允許參與訪問的發(fā)起者允許參與訪問的發(fā)起者/目標(biāo)對目標(biāo)對允許參與訪問的目標(biāo)允許參與訪問的目標(biāo)允許參與訪問的發(fā)起者允許參與訪問的發(fā)起者信息安全體系結(jié)構(gòu)開放系統(tǒng)互連安全服務(wù)框架W

37、indows 2000 server 活動目錄活動目錄在運行在運行Windows 2000 server 系統(tǒng)的計算機上安裝活動目錄，系統(tǒng)的計算機上安裝活動目錄，實際上就是一種把服務(wù)器轉(zhuǎn)換成域控制器的操作。域控制器實際上就是一種把服務(wù)器轉(zhuǎn)換成域控制器的操作。域控制器存儲整個域的目錄數(shù)據(jù)（如系統(tǒng)安全策略和用戶身份驗證數(shù)存儲整個域的目錄數(shù)據(jù)（如系統(tǒng)安全策略和用戶身份驗證數(shù)據(jù)），并管理用戶和域的交互過程，包括用戶登錄、身份驗據(jù)），并管理用戶和域的交互過程，包括用戶登錄、身份驗證以及目錄搜索。證以及目錄搜索?；顒幽夸浻梢粋€或多個域組成?；顒幽夸浻梢粋€或多個域組成。目錄樹是指具有連續(xù)名稱的一個或多個域的

38、集合，這些域通目錄樹是指具有連續(xù)名稱的一個或多個域的集合，這些域通過雙向、可傳遞的信任關(guān)系鏈接。過雙向、可傳遞的信任關(guān)系鏈接。一個目錄林由一個或多個域組成。目錄林中每個域目錄樹的一個目錄林由一個或多個域組成。目錄林中每個域目錄樹的根域都會與目錄林根域建立一種可傳遞的信任關(guān)系。根域都會與目錄林根域建立一種可傳遞的信任關(guān)系。 信任關(guān)系是建立在兩個域之間的關(guān)系，它使得一個域信任關(guān)系是建立在兩個域之間的關(guān)系，它使得一個域中的域控制器能夠識別另一個域內(nèi)的用戶。中的域控制器能夠識別另一個域內(nèi)的用戶。信息安全體系結(jié)構(gòu)開放系統(tǒng)互連安全服務(wù)框架Windows 2000 訪問控制機制訪問控制機制 Windows

39、2000 使用訪問控制技術(shù)來保證已被授使用訪問控制技術(shù)來保證已被授權(quán)的主體對客體的使用。權(quán)的主體對客體的使用。安全主體（安全主體（Security Principal）不僅僅包括用戶，）不僅僅包括用戶，還包括組和服務(wù)等主動的實體。還包括組和服務(wù)等主動的實體?？腕w包括文件、文件夾、打印機、注冊表、活動目客體包括文件、文件夾、打印機、注冊表、活動目錄項以及其它對象。錄項以及其它對象。 訪問控制技術(shù)即決定安全主體能夠在對象上執(zhí)訪問控制技術(shù)即決定安全主體能夠在對象上執(zhí)行何種類型的操作，如某個用戶是否能夠讀取、行何種類型的操作，如某個用戶是否能夠讀取、寫入還是執(zhí)行某個文件。寫入還是執(zhí)行某個文件。信息安全

40、體系結(jié)構(gòu)開放系統(tǒng)互連安全服務(wù)框架Windows 2000 訪問控制機制訪問控制機制 訪問令牌（訪問令牌（access token） Windows 2000系統(tǒng)在用戶登錄時，為該用戶創(chuàng)建一系統(tǒng)在用戶登錄時，為該用戶創(chuàng)建一個訪問令牌。該訪問令牌包含該用戶的個訪問令牌。該訪問令牌包含該用戶的SID，用戶，用戶所屬組的所屬組的SID和用戶的特權(quán)。和用戶的特權(quán)。該令牌為用戶在該計算機上的任何操作提供了安全該令牌為用戶在該計算機上的任何操作提供了安全環(huán)境。環(huán)境。當(dāng)用戶每啟動一個應(yīng)用程序時，所執(zhí)行的每一個線當(dāng)用戶每啟動一個應(yīng)用程序時，所執(zhí)行的每一個線程都會得到一份該訪問令牌的副本。程都會得到一份該訪問令牌

41、的副本。每當(dāng)線程請求對某個受到權(quán)限控制保護的對象進行每當(dāng)線程請求對某個受到權(quán)限控制保護的對象進行任何級別的訪問時，該線程都要把此訪問令牌提交任何級別的訪問時，該線程都要把此訪問令牌提交給操作系統(tǒng)，然后操作系統(tǒng)就使用該令牌對對象的給操作系統(tǒng)，然后操作系統(tǒng)就使用該令牌對對象的安全信息來執(zhí)行訪問檢查。這種檢查確保主體是在安全信息來執(zhí)行訪問檢查。這種檢查確保主體是在經(jīng)過授權(quán)之后才進行訪問的。經(jīng)過授權(quán)之后才進行訪問的。信息安全體系結(jié)構(gòu)開放系統(tǒng)互連安全服務(wù)框架Windows 2000 訪問控制機制訪問控制機制 安全描述（安全描述（security descriptor）從訪問控制的客體角度出發(fā)，安全描述定

42、義了客體從訪問控制的客體角度出發(fā)，安全描述定義了客體（被訪問的對象）的安全信息。（被訪問的對象）的安全信息。安全描述中除了對象所有者自身的安全描述中除了對象所有者自身的SID外，主要說外，主要說明了哪些用戶和組被允許還是被拒絕訪問。這通過明了哪些用戶和組被允許還是被拒絕訪問。這通過一個由訪問控制項（一個由訪問控制項（access control entries, ACE）組成的自由訪問控制列表（組成的自由訪問控制列表（DACL）來實現(xiàn)。）來實現(xiàn)。 Windows 2000 系統(tǒng)通過尋找系統(tǒng)通過尋找ACL中的項（中的項（ACE）來匹配訪問令牌中的用戶來匹配訪問令牌中的用戶SID和組和組SID，以

43、此，以此ACE來確定用戶是否有權(quán)進行所請求的訪問。來確定用戶是否有權(quán)進行所請求的訪問。信息安全體系結(jié)構(gòu)開放系統(tǒng)互連安全服務(wù)框架安全描述與訪問令牌安全描述與訪問令牌用戶用戶SID組組SID特權(quán)信息特權(quán)信息其它訪問信息其它訪問信息用戶令牌信息用戶令牌信息所有者所有者SID組組SIDSACLACEACE DACLACEACEACE 對象的安全描述對象的安全描述遍歷每個遍歷每個ACE，直到找到匹配內(nèi)容，直到找到匹配內(nèi)容系統(tǒng)系統(tǒng)訪問訪問控制控制列表列表自由自由訪問訪問控制控制列表列表信息安全體系結(jié)構(gòu)開放系統(tǒng)互連安全服務(wù)框架安全標(biāo)識符（安全標(biāo)識符（SID） Windows 2000 使用安全標(biāo)識符（使用安

44、全標(biāo)識符（SID）來標(biāo)識安全主）來標(biāo)識安全主體和安全組。體和安全組。 SID是在主體賬戶或安全組創(chuàng)建時生成的。是在主體賬戶或安全組創(chuàng)建時生成的。 SID的創(chuàng)建者和作用范圍依賴于賬戶類型。對于用戶的創(chuàng)建者和作用范圍依賴于賬戶類型。對于用戶賬戶，由本地安全授權(quán)機構(gòu)生成在該系統(tǒng)內(nèi)惟一的賬戶，由本地安全授權(quán)機構(gòu)生成在該系統(tǒng)內(nèi)惟一的SID。對于域用戶則由域安全授權(quán)機構(gòu)來生成。對于域用戶則由域安全授權(quán)機構(gòu)來生成SID。 SID出現(xiàn)在以下一些訪問控制結(jié)構(gòu)中：出現(xiàn)在以下一些訪問控制結(jié)構(gòu)中：訪問令牌，包括一個用戶的訪問令牌，包括一個用戶的SID和用戶所屬組的和用戶所屬組的SID安全描述包含與安全描述相關(guān)聯(lián)對象所

45、有者的安全描述包含與安全描述相關(guān)聯(lián)對象所有者的SID安全描述中的每個安全描述中的每個ACE把把SID與相應(yīng)的訪問權(quán)限關(guān)聯(lián)起來。與相應(yīng)的訪問權(quán)限關(guān)聯(lián)起來。信息安全體系結(jié)構(gòu)開放系統(tǒng)互連安全服務(wù)框架訪問令牌訪問令牌 訪問令牌是一個受保護的對象，其中包含與用訪問令牌是一個受保護的對象，其中包含與用戶賬戶有關(guān)的標(biāo)識和特權(quán)信息。戶賬戶有關(guān)的標(biāo)識和特權(quán)信息。 用戶登錄到一臺用戶登錄到一臺Windows 2000系統(tǒng)時，對登錄系統(tǒng)時，對登錄資格進行認證。資格進行認證。 若認證成功，返回該用戶的若認證成功，返回該用戶的SID和該用戶的安和該用戶的安全組的全組的SID列表，據(jù)此安全授權(quán)機構(gòu)創(chuàng)建一個列表，據(jù)此安全授

46、權(quán)機構(gòu)創(chuàng)建一個訪問令牌。訪問令牌。信息安全體系結(jié)構(gòu)開放系統(tǒng)互連安全服務(wù)框架安全描述安全描述 安全描述結(jié)構(gòu)安全描述結(jié)構(gòu)頭部頭部所有者所有者主組主組自由訪問控制列表自由訪問控制列表系統(tǒng)訪問控制列表系統(tǒng)訪問控制列表信息安全體系結(jié)構(gòu)開放系統(tǒng)互連安全服務(wù)框架用戶和組基礎(chǔ)用戶和組基礎(chǔ) 用戶賬戶可為用戶提供登錄到域以訪問網(wǎng)絡(luò)資用戶賬戶可為用戶提供登錄到域以訪問網(wǎng)絡(luò)資源或登錄到計算機以訪問該機資源的能力。源或登錄到計算機以訪問該機資源的能力。 Windows 2000 提供兩種用戶賬戶提供兩種用戶賬戶本地用戶賬戶：登錄到特定計算機訪問該機資源。本地用戶賬戶：登錄到特定計算機訪問該機資源。域用戶賬戶：登錄到域獲

47、得對網(wǎng)絡(luò)資源的訪問。域用戶賬戶：登錄到域獲得對網(wǎng)絡(luò)資源的訪問。 用戶在登錄用戶在登錄Windows 2000計算機（非域控制器）計算機（非域控制器）的時候可以選擇是登錄到域還是本地計算機。的時候可以選擇是登錄到域還是本地計算機。信息安全體系結(jié)構(gòu)開放系統(tǒng)互連安全服務(wù)框架組作用域組作用域 組作用域用來決定在網(wǎng)絡(luò)的什么位置可以使用組，也組作用域用來決定在網(wǎng)絡(luò)的什么位置可以使用組，也可以決定能以不同的方式分配權(quán)限?？梢詻Q定能以不同的方式分配權(quán)限。 在在Windows 2000中有中有3個組作用域個組作用域通用組：有通用作用域的組稱為通用組，有通用作用域的組通用組：有通用作用域的組稱為通用組，有通用作用

48、域的組可將其成員作為來自域樹或樹林中任何可將其成員作為來自域樹或樹林中任何Windows 2000 域的域的組和賬戶，并且在域樹或樹林的任何域中都可獲得權(quán)限。組和賬戶，并且在域樹或樹林的任何域中都可獲得權(quán)限。全局組：有全局作用域的組稱作全局組?？蓪⑵涑蓡T作為僅全局組：有全局作用域的組稱作全局組?？蓪⑵涑蓡T作為僅來自所定義的域的組合賬戶，并且在樹林的任何域中都可獲來自所定義的域的組合賬戶，并且在樹林的任何域中都可獲得權(quán)限。得權(quán)限。本地組：具有本地作用域的組稱作本地組，可將其成員作為本地組：具有本地作用域的組稱作本地組，可將其成員作為來自來自Windows 2000或或Windows NT 域的組

49、和賬戶，并且可用域的組和賬戶，并且可用于僅在域中授予權(quán)限。于僅在域中授予權(quán)限。 如果具有多個樹林，僅在一個樹林中定義的用戶不能如果具有多個樹林，僅在一個樹林中定義的用戶不能放入在另一個樹林中定義的組，并且僅在一個樹林中放入在另一個樹林中定義的組，并且僅在一個樹林中定義的組不能指派另一個樹林中的權(quán)限。定義的組不能指派另一個樹林中的權(quán)限。信息安全體系結(jié)構(gòu)開放系統(tǒng)互連安全服務(wù)框架不同類型組作用域之間的區(qū)別不同類型組作用域之間的區(qū)別區(qū)別內(nèi)容區(qū)別內(nèi)容全局組全局組域本地組域本地組通用組通用組可添加的成員來源可添加的成員來源本地域本地域任何域任何域任何域任何域可訪問的資源范圍可訪問的資源范圍任何域內(nèi)任何域內(nèi)

50、本地域內(nèi)本地域內(nèi)任何域內(nèi)任何域內(nèi)常見的應(yīng)用環(huán)境常見的應(yīng)用環(huán)境用來對具有類似用來對具有類似網(wǎng)絡(luò)訪問要求的網(wǎng)絡(luò)訪問要求的用戶進行組織用戶進行組織用來給資源分配用來給資源分配權(quán)限權(quán)限用來給多個域內(nèi)用來給多個域內(nèi)的相關(guān)資源分配的相關(guān)資源分配權(quán)限權(quán)限信息安全體系結(jié)構(gòu)開放系統(tǒng)互連安全服務(wù)框架本地組本地組 本地組（本地組（local group）是本地計算機上的用戶賬戶的）是本地計算機上的用戶賬戶的集合。集合。 可使用本地組給本地組所在計算機上的資源分配權(quán)限?？墒褂帽镜亟M給本地組所在計算機上的資源分配權(quán)限。 使用本地組的原則使用本地組的原則只可在創(chuàng)建本地組的計算機上使用本地組只可在創(chuàng)建本地組的計算機上使用本

51、地組在在Windows 2000的非域控制器的計算機上使用本地組，不的非域控制器的計算機上使用本地組，不能在域控制器上創(chuàng)建本地組。能在域控制器上創(chuàng)建本地組?？墒褂帽镜亟M來限制本地用戶和組訪問網(wǎng)絡(luò)資源的能力。可使用本地組來限制本地用戶和組訪問網(wǎng)絡(luò)資源的能力。 能夠添加到本地組的成員能夠添加到本地組的成員本地組所在計算機的本地用戶賬戶本地組所在計算機的本地用戶賬戶本地組不能是任何組的成員本地組不能是任何組的成員信息安全體系結(jié)構(gòu)開放系統(tǒng)互連安全服務(wù)框架Windows 2000 默認創(chuàng)建的用戶組默認創(chuàng)建的用戶組 成員服務(wù)器成員服務(wù)器 Administrators Backup Operators Gu

52、ests Power Users Replicator Users 域控制器域控制器 Account Operators Print Operators Server Operators信息安全體系結(jié)構(gòu)開放系統(tǒng)互連安全服務(wù)框架Windows 2000 組策略管理舉例組策略管理舉例 全局組、域本地組規(guī)劃全局組、域本地組規(guī)劃一個公司包括四個部門，每個部分由相對獨立一個公司包括四個部門，每個部分由相對獨立的人員管理，用的人員管理，用Windows 2000進行管理，可以進行管理，可以為每個部門劃分一個子域，實現(xiàn)用戶管理，現(xiàn)為每個部門劃分一個子域，實現(xiàn)用戶管理，現(xiàn)在，假設(shè)有兩個共享資源在，假設(shè)有兩個共

53、享資源A和和B為公司員工提供為公司員工提供訪問，訪問，A和和B兩種資源都有不同的訪問權(quán)限：只兩種資源都有不同的訪問權(quán)限：只讀，完全控制；讀，完全控制；用組策略實現(xiàn)管理，請問，如何規(guī)劃組（全局用組策略實現(xiàn)管理，請問，如何規(guī)劃組（全局組和本地組），即需要多少個全局組和域本地組和本地組），即需要多少個全局組和域本地組？組？信息安全體系結(jié)構(gòu)開放系統(tǒng)互連安全服務(wù)框架3.4 抗抵賴（抗抵賴（non-repudiation）框架）框架 ISO/IEC10181-4是開放系統(tǒng)互連安全框架的抗是開放系統(tǒng)互連安全框架的抗抵賴框架部分。抵賴框架部分。 目的目的提供有關(guān)特定事件或行為的證據(jù)。提供有關(guān)特定事件或行為的證

54、據(jù)。事件或行為本身以外的其他實體可以請求抗抵賴服事件或行為本身以外的其他實體可以請求抗抵賴服務(wù)。務(wù)。信息安全體系結(jié)構(gòu)開放系統(tǒng)互連安全服務(wù)框架什么是證據(jù)？什么是證據(jù)？ 可用于解決糾紛的信息，稱為證據(jù)?？捎糜诮鉀Q糾紛的信息，稱為證據(jù)。 證據(jù)保存：證據(jù)保存：證據(jù)使用者在本地保存證據(jù)使用者在本地保存可信第三方保存可信第三方保存 特殊形式的證據(jù)特殊形式的證據(jù)數(shù)字簽名（與公鑰技術(shù)一起使用）數(shù)字簽名（與公鑰技術(shù)一起使用）安全信封和安全令牌（與秘密密鑰技術(shù)一起使用）安全信封和安全令牌（與秘密密鑰技術(shù)一起使用）信息安全體系結(jié)構(gòu)開放系統(tǒng)互連安全服務(wù)框架什么是證據(jù)？什么是證據(jù)？ 可以組成證據(jù)信息的例子：可以組成證據(jù)

55、信息的例子：抗抵賴安全策略的標(biāo)識符抗抵賴安全策略的標(biāo)識符原發(fā)者可辨別標(biāo)識符原發(fā)者可辨別標(biāo)識符接收者可辨別標(biāo)識符接收者可辨別標(biāo)識符 數(shù)字簽名或安全信封數(shù)字簽名或安全信封證據(jù)生成者可辨別標(biāo)識符證據(jù)生成者可辨別標(biāo)識符 信息安全體系結(jié)構(gòu)開放系統(tǒng)互連安全服務(wù)框架3.4.1 抗抵賴的一般討論抗抵賴的一般討論 抗抵賴服務(wù)包括抗抵賴服務(wù)包括證據(jù)生成證據(jù)生成驗證驗證記錄記錄在解決糾紛時進行的證據(jù)恢復(fù)和再次驗證在解決糾紛時進行的證據(jù)恢復(fù)和再次驗證 除非證據(jù)已被記錄，否則無法解決糾紛。除非證據(jù)已被記錄，否則無法解決糾紛。信息安全體系結(jié)構(gòu)開放系統(tǒng)互連安全服務(wù)框架3.4.1 抗抵賴的一般討論抗抵賴的一般討論 對于消息的

56、抗抵賴服務(wù)對于消息的抗抵賴服務(wù)為提供原發(fā)證明，必須確認數(shù)據(jù)原發(fā)者身份和數(shù)據(jù)為提供原發(fā)證明，必須確認數(shù)據(jù)原發(fā)者身份和數(shù)據(jù)完整性。完整性。為提供遞交證明，必須確認接收者身份和數(shù)據(jù)完整為提供遞交證明，必須確認接收者身份和數(shù)據(jù)完整性。性。某些場合，可能涉及上下文關(guān)系（如日期、時間、某些場合，可能涉及上下文關(guān)系（如日期、時間、原發(fā)者原發(fā)者/接收者地點）的證據(jù)接收者地點）的證據(jù) 糾紛解決糾紛解決可在糾紛雙方之間直接通過檢查證據(jù)解決可在糾紛雙方之間直接通過檢查證據(jù)解決通過仲裁者解決（通過仲裁者解決（仲裁者的權(quán)威性仲裁者的權(quán)威性）信息安全體系結(jié)構(gòu)開放系統(tǒng)互連安全服務(wù)框架3.4.2 可信第三方的角色可信第三方的

57、角色 可信第三方（可信第三方（TTP）分類）分類脫機脫機TTP，支持抗抵賴，而不主動地參與到每個服，支持抗抵賴，而不主動地參與到每個服務(wù)的使用過程的可信第三方務(wù)的使用過程的可信第三方聯(lián)機聯(lián)機TTP，主動地介入證據(jù)生成或驗證的，主動地介入證據(jù)生成或驗證的TTP在線在線TTP，在所有交互中充當(dāng)中介的聯(lián)機，在所有交互中充當(dāng)中介的聯(lián)機TTP 可充當(dāng)?shù)慕巧沙洚?dāng)?shù)慕巧C者、時間戳、監(jiān)視、密鑰證書、簽名生成、簽公證者、時間戳、監(jiān)視、密鑰證書、簽名生成、簽名驗證和遞交權(quán)威機構(gòu)名驗證和遞交權(quán)威機構(gòu)信息安全體系結(jié)構(gòu)開放系統(tǒng)互連安全服務(wù)框架3.4.2 可信第三方的角色可信第三方的角色 可充當(dāng)?shù)慕巧沙洚?dāng)?shù)慕巧?/p>

58、證據(jù)生成的角色中，在證據(jù)生成的角色中，TTP與抗抵賴服務(wù)的請求者協(xié)調(diào)，生與抗抵賴服務(wù)的請求者協(xié)調(diào)，生成證據(jù)；成證據(jù)；在證據(jù)的記錄角色中，在證據(jù)的記錄角色中，TTP記錄證據(jù)；記錄證據(jù)；在時間戳的角色中，在時間戳的角色中，TTP受委托提供包含收到時間戳請求時受委托提供包含收到時間戳請求時的時間的證據(jù)；的時間的證據(jù)；在密鑰證書角色中，在密鑰證書角色中，TTP提供與證據(jù)生成器相關(guān)的抗抵賴證提供與證據(jù)生成器相關(guān)的抗抵賴證書，以保證用于抗抵賴目的公鑰是有效的；書，以保證用于抗抵賴目的公鑰是有效的；在密鑰分發(fā)角色中，在密鑰分發(fā)角色中，TTP向證據(jù)生成者和向證據(jù)生成者和/或證據(jù)的驗證者或證據(jù)的驗證者提供密鑰；

59、提供密鑰； 信息安全體系結(jié)構(gòu)開放系統(tǒng)互連安全服務(wù)框架3.4.3 抗抵賴的階段抗抵賴的階段 四個獨立的階段四個獨立的階段證據(jù)生成證據(jù)生成證據(jù)傳輸、存儲證據(jù)傳輸、存儲 和檢索和檢索證據(jù)驗證證據(jù)驗證解決糾紛解決糾紛信息安全體系結(jié)構(gòu)開放系統(tǒng)互連安全服務(wù)框架證據(jù)主體證據(jù)主體證據(jù)生成證據(jù)生成請求者請求者證據(jù)生成證據(jù)生成請求者請求者證據(jù)證據(jù)使用者使用者有關(guān)信息有關(guān)信息觀察觀察證據(jù)生成器證據(jù)生成器證據(jù)驗證者證據(jù)驗證者傳輸和傳輸和存儲存儲/檢索檢索可信第三方可信第三方有關(guān)信息有關(guān)信息觀察觀察請求生成請求生成請求驗證請求驗證是是/否否證據(jù)和其他信息證據(jù)和其他信息證據(jù)和其他信息證據(jù)和其他信息證據(jù)證據(jù)證據(jù)證據(jù)抗抵賴的

60、前三個階段抗抵賴的前三個階段卷入事件或卷入事件或行為中的實行為中的實體，稱為證體，稱為證據(jù)主體據(jù)主體信息安全體系結(jié)構(gòu)開放系統(tǒng)互連安全服務(wù)框架公認仲裁者公認仲裁者被告被告抗抵賴的解決糾紛階段抗抵賴的解決糾紛階段原告原告抗抵賴策略抗抵賴策略從糾紛雙方和從糾紛雙方和/或或可信第三方收集可信第三方收集證據(jù)證據(jù) 本階段不是一定必要的：如所有利益方對事件或行為本階段不是一定必要的：如所有利益方對事件或行為的發(fā)生（或沒有發(fā)生）達成一致意見，就沒有糾紛需的發(fā)生（或沒有發(fā)生）達成一致意見，就沒有糾紛需要解決；即使出現(xiàn)糾紛，有時也可通過爭議雙方直接要解決；即使出現(xiàn)糾紛，有時也可通過爭議雙方直接解決而不需要仲裁者。

61、解決而不需要仲裁者。信息安全體系結(jié)構(gòu)開放系統(tǒng)互連安全服務(wù)框架3.4.4 抗抵賴服務(wù)的一些形式抗抵賴服務(wù)的一些形式 傳輸消息至少涉及兩個實體：原發(fā)者和接收者。傳輸消息至少涉及兩個實體：原發(fā)者和接收者。 涉及的潛在糾紛：涉及的潛在糾紛：原發(fā)者受到懷疑，如被指控的原發(fā)者聲稱消息被接原發(fā)者受到懷疑，如被指控的原發(fā)者聲稱消息被接收者偽造，或者被偽裝的攻擊者偽造收者偽造，或者被偽裝的攻擊者偽造接收者受到懷疑，如被指控的接收者聲稱消息沒有接收者受到懷疑，如被指控的接收者聲稱消息沒有發(fā)送，或者在傳輸中丟失，或者被偽裝的攻擊者接發(fā)送，或者在傳輸中丟失，或者被偽裝的攻擊者接收。收。信息安全體系結(jié)構(gòu)開放系統(tǒng)互連安全

62、服務(wù)框架3.4.5 OSI抗抵賴證據(jù)例子抗抵賴證據(jù)例子 對原發(fā)抗抵賴包括證據(jù)對原發(fā)抗抵賴包括證據(jù)原發(fā)者可辨別標(biāo)識符原發(fā)者可辨別標(biāo)識符被發(fā)送的數(shù)據(jù)，或數(shù)據(jù)的被發(fā)送的數(shù)據(jù)，或數(shù)據(jù)的數(shù)字指紋。數(shù)字指紋。 對遞交抗抵賴對遞交抗抵賴接收者可辨別標(biāo)識符接收者可辨別標(biāo)識符被接收的數(shù)據(jù)，或數(shù)據(jù)的被接收的數(shù)據(jù)，或數(shù)據(jù)的數(shù)字指紋。數(shù)字指紋。信息安全體系結(jié)構(gòu)開放系統(tǒng)互連安全服務(wù)框架3.4.6 抗抵賴策略抗抵賴策略 證據(jù)生成規(guī)則：如用于生成證據(jù)的證據(jù)生成規(guī)則：如用于生成證據(jù)的TTP的規(guī)范的規(guī)范 證據(jù)驗證規(guī)則：如其證據(jù)是可接受的證據(jù)驗證規(guī)則：如其證據(jù)是可接受的TTP規(guī)范規(guī)范 證據(jù)存儲規(guī)則：如，用于保證所存儲證據(jù)完整性的

63、手證據(jù)存儲規(guī)則：如，用于保證所存儲證據(jù)完整性的手段段 證據(jù)使用規(guī)則：如，使用證據(jù)的用途的規(guī)范證據(jù)使用規(guī)則：如，使用證據(jù)的用途的規(guī)范 仲裁規(guī)則：一致公認的可解決糾紛的仲裁者規(guī)范仲裁規(guī)則：一致公認的可解決糾紛的仲裁者規(guī)范這些規(guī)則可由不同的權(quán)威機構(gòu)定義。如證據(jù)生成規(guī)則可這些規(guī)則可由不同的權(quán)威機構(gòu)定義。如證據(jù)生成規(guī)則可由系統(tǒng)所有者定義，仲裁者可由系統(tǒng)所在國家的法律由系統(tǒng)所有者定義，仲裁者可由系統(tǒng)所在國家的法律定義。定義。信息安全體系結(jié)構(gòu)開放系統(tǒng)互連安全服務(wù)框架3.5 機密性（機密性（confidentiality）框架）框架 ISO/IEC10181-5是開放系統(tǒng)互連安全框架的機是開放系統(tǒng)互連安全框架

64、的機密性框架部分。密性框架部分。 本安全框架只涉及對提供系統(tǒng)和系統(tǒng)內(nèi)部對象本安全框架只涉及對提供系統(tǒng)和系統(tǒng)內(nèi)部對象保護方式以及系統(tǒng)之間交互作用的定義，不涉保護方式以及系統(tǒng)之間交互作用的定義，不涉及構(gòu)建這些系統(tǒng)或機制的方法學(xué)。及構(gòu)建這些系統(tǒng)或機制的方法學(xué)。 機密性框架闡述信息在機密性框架闡述信息在檢索、傳輸檢索、傳輸和和管理管理中的中的機密性問題。機密性問題。信息安全體系結(jié)構(gòu)開放系統(tǒng)互連安全服務(wù)框架3.5.1 機密性的一般討論機密性的一般討論 機密性服務(wù)的目的機密性服務(wù)的目的確保信息僅僅是對被授權(quán)者可用。確保信息僅僅是對被授權(quán)者可用。 信息是通過數(shù)據(jù)表示的，信息從數(shù)據(jù)中導(dǎo)出的信息是通過數(shù)據(jù)表示的

65、，信息從數(shù)據(jù)中導(dǎo)出的不同方式不同方式理解數(shù)據(jù)的含義理解數(shù)據(jù)的含義使用數(shù)據(jù)相關(guān)的屬性使用數(shù)據(jù)相關(guān)的屬性研究數(shù)據(jù)的上下文關(guān)系研究數(shù)據(jù)的上下文關(guān)系通過觀察數(shù)據(jù)表達式的動態(tài)變化通過觀察數(shù)據(jù)表達式的動態(tài)變化信息安全體系結(jié)構(gòu)開放系統(tǒng)互連安全服務(wù)框架3.5.1 機密性的一般討論機密性的一般討論 被保護的環(huán)境被保護的環(huán)境在被保護環(huán)境中的數(shù)據(jù)通過使用特別的安全機制在被保護環(huán)境中的數(shù)據(jù)通過使用特別的安全機制（或多個機制）保護，所有數(shù)據(jù)以類似方法受到保（或多個機制）保護，所有數(shù)據(jù)以類似方法受到保護。護。 被交疊保護的環(huán)境被交疊保護的環(huán)境當(dāng)兩個或更多的環(huán)境交疊時，交疊中的數(shù)據(jù)能被多當(dāng)兩個或更多的環(huán)境交疊時，交疊中的數(shù)

66、據(jù)能被多重保護。重保護。信息安全體系結(jié)構(gòu)開放系統(tǒng)互連安全服務(wù)框架信息的保護信息的保護 機密性保護的方法機密性保護的方法防止數(shù)據(jù)存在性和數(shù)據(jù)特性（如數(shù)據(jù)大小或數(shù)據(jù)創(chuàng)防止數(shù)據(jù)存在性和數(shù)據(jù)特性（如數(shù)據(jù)大小或數(shù)據(jù)創(chuàng)建日期）的知識被人理解；建日期）的知識被人理解；防止對數(shù)據(jù)的讀訪問；防止對數(shù)據(jù)的讀訪問；防止數(shù)據(jù)語義的知識被人理解；防止數(shù)據(jù)語義的知識被人理解； 防止信息泄露的方法防止信息泄露的方法保護信息項的表達式（內(nèi)容）不被泄露保護信息項的表達式（內(nèi)容）不被泄露保護表達式規(guī)則（信息項表示格式）不被泄露保護表達式規(guī)則（信息項表示格式）不被泄露信息安全體系結(jié)構(gòu)開放系統(tǒng)互連安全服務(wù)框架隱藏和揭示操作隱藏和揭示操作 “隱藏隱藏”操作可以模型化為信息從一個環(huán)境操作可以模型化為信息從一個環(huán)境A，移動到移動到A和另一個環(huán)境和另一個環(huán)境C交疊的區(qū)域（交疊的區(qū)域（B）。）。 “揭示揭示”操作可以看作隱藏操作的逆操作。操作可以看作隱藏操作的逆操作。 當(dāng)信息從一個被機密性機制保護的環(huán)境移到被當(dāng)信息從一個被機密性機制保護的環(huán)境移到被另一個機制保護的環(huán)境時：另一個機制保護的環(huán)境時：如第二個機制的隱藏操作優(yōu)先于第一個機制的