信息安全工程第十三章安全标准及模型.ppt

13.1　安全标准概况13.1.1　国际安全标准组织　　国际性的标准化组织主要有国际标准化组织(ISO)、国际电器技术委员会(IEC)及国际电信联盟(ITU)所属的电信标准化组织(ITU－TS)。ISO是一个总体标准化组织,IEC在电工与电子技术领域里相当于ISO的位置,ITU－TS是一个联合缔约组织。这些组织在安全需求服务分析指导、安全技术机制开发、安全评估标准等方面制定了一些标准草案,但尚未正式执行。另外,还有众多标准化组织也制定了一些安全标准,如IETF(theInternetEngineeringTaskForce)就有如下功能组:认证防火墙测试组(AFT)、公共认证技术组(CAT)、域名安全组(DNSSEC)、IP安全协议组(IPSEC)、一次性口令认证组(OTP)、公开密钥结构组(PKIX)、安全界面组(SECSH)、简单公开密钥结构组(SPKI)、传输层安全组(TLS)和Web安全组(WTS)等,它们都制定了有关的标准。 13.1.2　国际安全标准概况　　1.ISO的有关安全标准　　ISO和IEC制定了一系列有关信息和网络安全的标准,其中包括安全算法、安全机制、安全协议、安全管理和网络安全等方面。下面列出一些有代表性的安全标准。　　1)安全算法标准　　·ISO/IEC10118－1:单向散列函数部分1——通用模型。　　·ISO/IEC10118－2:单向散列函数部分2——使用n位块密码算法的单向散列函数。　　·ISO/IEC10118－3:单向散列函数部分3——专用的单向散列函数。 　　2)安全机制标准　　·ISO/IEC10116:n位块密码算法的操作模式(加密机制)。　　·ISO/IEC9798－1～9798－5:实体认证的通用模型和使用各种认证算法的认证机制(实体认证机制)。　　·ISO/IEC9797:使用加密检查功能的数据完整性机制(完整性机制)。　　·ISO/IEC14888－1～14888－3:数字签名的通用模型、基于身份的机制和基于证书的机制(数字签名机制)。　　·ISO/IEC13888－1～13888－3:不可否认的通用模型、基于对称和非对称的密码算法的机制(不可否认机制)。 　　3)安全协议标准　　·ISO/IEC9594－8:认证框架,定义了各种强制性的认证机制和框架结构。　　4)安全管理标准　　·ISO/IEC11770－1～11770－3:密钥管理框架、使用对称和非对称的密码算法的密钥管理机制。 　　5)网络安全标准　　·ISO/IEC7498－2:OSI安全结构,定义了基于OSI层次结构的安全机制和安全服务。　　·ISO/IEC10181－1～10181－7:OSI安全框架、实体认证框架、访问控制框架、不可否认性框架、完整性框架、机密性结构和安全审计框架等。 　　6)安全评估标准　　·ISO/IEC15408:信息技术安全评估通用准则(CC),为相互独立的机构对相同信息安全产品的评估提供了可比性。 表13.1.1　ISO和ISO/IEC通用密码技术标准 表13.1.2　ISO和ISO/IEC的安全结构和安全框架标准 　　2.ITU的有关网络安全标准　　ITU针对数据通信网的安全问题制定了有关网络安全标准,它与ISO安全标准是相对应的。例如:　　·ITUX.800:安全结构,与ISO7498－2相对应。　　·ITUX.509:认证框架,与ISO9594－8相对应。　　·ITUX.816:安全框架,与ISO10181相对应。 　　3.IETF的有关网络安全标准　　Internet研究和发展共同体(InternetResearchandDevelopmentCommunity)正式公布的文件称做应征意见稿(RFC,RequestforComments),其中一部分被规定为共同体内Internet标准的候选。例如:　　·IETFRFC－1825:IP协议安全结构。　　·IETFRFC－2401～RFC2412:IP安全协议。　　·IETFRFC－2246:传输层安全协议。　　·IETFRFC－2632和IETFRFC－2633:有关安全电子邮件协议(S/MIME)。　　·IETFRFC－2659～RFC－2660:有关安全HTTP协议(S－HTTP)。　　·IETFRFC－2559:InternetX.509公钥基础结构操作协议。 表13.1.3　InternetRFC 　　4.IEEE的有关局域网安全标准　　IEEE针对局域网安全问题制定了有关互操作局域网的安全规范,并将其作为IEEE802.10标准。该标准包括数据安全交换、密钥管理以及网络安全管理等规范。IEEE还制定了有关公钥密码算