[推荐]快来看,不经典的不发!

jack_w1980

                  《IP网络安全技术要求—安全框架》标准的主要内容
________________________________________
    一、该标准的产生背景
    随着网络技术的不断发展和普及，网上业务越来越广泛并且被人们所接受，这时的网络安全显得尤为重要，为了保障网上的信息安全和网上的应用业务能有序进行,信息产业部下达了IP网络安全技术体制的研究项目，要求对IP网络的安全问题进行全面研究。《IP网络安全技术要求──安全框架》标准的编号为YD/T 1163。它是2001年10月19 日发布，同年11月1日 实施的，是总体标准中的一个重要组成部分。YD/T 1163的内容界定，是基于密码技术的网络安全技术，对分层IP网络中各个层面的安全技术进行了框架性描述，不涉及技术细节，可以作为企业团体在IP网络上构建安全的技术性指导文件。YD/T 1163标准的编制是由数据所牵头，在各成员单位以及IP工作组的支持和通力合作下完成的。YD/T 1163的大纲与内容的最后确定，都经过了各成员单位的多次讨论、修改和反复推敲，最终形成了现已公布的YD/T 1163标准。
    二、该标准的内容简介
    YD/T1163的安全框架建立在TCP/IP分层网络模型上，以提供不同的安全服务与安全机制的方式来完成所需的安全功能。
    （一）安全服务与安全机制
    1．安全服务
    YD/T1163提供的安全服务主要有:
    ●认证，包括实体认证与数据源认证；
    ●数据机密性，包括连接机密性、无连接机密性、选择域机密性与业务流机密性；
    ●数据完整性，包括有恢复连接完整性、无恢复连接完整性、选择域连接完整性、无连接完整性与选择域无连接完整性；
    ●抗抵赖性，包括有源端证据的抗抵赖性与有交付证据的抗抵赖性；
    ●访问控制。
    2．安全机制
    YD/T1163提供的安全机制主要有：
    ●加密机制，存在加密机制意味着存在密钥管理机制；
    ●数字签名机制；
    ●访问控制机制；
    ●数据完整性机制；
    ●认证机制；
    ●通信业务填充机制；
    ●路由控制机制；
    ●公证机制。
    YD/T1163还提供了如下辅助安全机制：
    ●信任功能机制；
    ●安全标签机制；
    ●事件检测机制；
    ●安全审计跟踪机制；
    ●安全恢复机制。
    3.安全服务与安全机制的关系
    安全服务是通过相应的安全机制或几个安全机制的联合作用来完成的，可以看出哪些安全机制在单独或与其他安全机制组合使用时，适合提供哪一条安全服务，表1中列出了它们之间的关系，但这些关系并不是限定性的。
    （二）网络模型
    YD/T1163的网络模型基于TCP/IP协议族，TCP/IP协议族涉及许多协议，在YD/T1163标准中涉及到的主要协议以及它们在分层模型中的关系。其中链路层负责在物理介质中传送数据，数据的传送是在两个物理连接的设备间进行，处理与本地组网相关的一些问题；网络层以IP协议为标志，提供基于IP地址的、不可靠的、尽最大能力的、面向无连接的数据传送服务；传输层以UDP/TCP协议为标志，允许具有相同IP地址的不同机器独立地接收和发送数据；应用层直接为IP网应用提供服务，涉及许多应用协议。
    （三）网络安全模型
    YD/T1163按照如下原则在各层提供了适合的安全服务并配置相应的安全机制：
    ●应极小化达到安全服务目标可供选择的方法和数目；
    ●通过在多于一层上提供安全服务来建立安全系统是可接受的；
    ●安全所需的附加功能不应当重复现有的、不必要的系统互连功能；
    ●避免破坏各层的独立性；
    ●应极小化信任功能的数目；
    ●如实体与下层实体提供的安全机制有关，则中间层的构建能破坏安全是不可行的；
    ●只要有可能，为某层定义的附加安全功能不应排除作为自含模块实现；
    ●应适用于包含所有层功能的系统。
    上述这些安全服务均由相应的安全机制提供的。它包括：
    ●对等实体认证，是通过适当的组合由密码导出的或受保护的认证交换，受保护的口令交换与签名机制提供；
    ●数据源认证，是通过加密机制或签名机制提供；
    ●访问控制服务，是通过使用特殊的访问控制机制提供；
    ●机密性，是通过通信业务填充机制、加密机制或路由控制机制提供；
    ●完整性，是通过数据完整性机制，有时也与加密机制协同提供；
    ●抗否认性，是通过组合数据的完整性机制、签名机制和公证性机制提供。
    另外，YD/T1163能够容纳各种不同的安全策略，包括基于规则的安全策略和基于身份的安全策略或基于二者的混合策略，以及主管部门强制的保护策略。YD/T1163中的保护服务必须遵守并优先实施主管部门强制的保护策略。
    （四）分层安全技术
    1.链路层安全技术要求
    YD/T1163中链路层安全的设计基于密码技术，提供点到点的安全，提供的安全服务主要为机密性。
    2.互联网络层安全技术要求
    YD/T1163中互联网络层安全体系结构的设计是为IP层环境提供可互操作的、高效的和基于密码技术的安全性。提供的安全服务包括访问控制、无连接完整性、数据来源认证、防重放保护、机密性(加密)和有限的业务流机密性。这些服务在IP层提供时，为IP层或者更高层协议提供保护。
    3.传输层安全技术要求
    YD/T1163中传输层安全技术的设计是为TCP/UDP环境提供可互操作的、高效的和基于密码技术的安全性。提供的安全服务包括访问控制、完整性、数据来源认证、防重放保护、机密性(加密)和有限的通信业务流机密性。这些服务都是在传输层提供，为传输层或者更高层协议提供保护。
    4.应用层安全技术要求
    YD/T1163中应用层安全技术的设计是为不同的应用环境提供可互操作的、高效的和基于密码技术的安全性。提供的安全服务包括访问控制、完整性、实体与数据源认证、机密性和抗抵赖性。这些服务都可在应用层提供，为应用层协议提供保护。
    （五）密码算法
    YD/T1163中涉及到的密码算法可分为加密算法与认证算法两类，算法的引用在具体的实践中是独立的，用户可以选择喜欢的算法或自己设计的算法。但是，所有的算法及应用都必须首先遵守国家密码管理委员会的有关规定，因此，可以使用的算法为：
    ●国家有关主管部门指定的算法；
    ●国际通用算法，如AES(此算法完全公开，没有任何专利)，MD5，SHA/1等；
    ●NULL(空)算法。
    （六）安全管理
    YD/T1163中涉及到的安全管理是不属于正常通信实例但需要用来支持和控制该通信的安全方面的操作。包括系统安全管理、安全服务管理、安全机制管理三个方面。此外，还考虑了IP网络管理本身的安全性。
    YD/T1163中涉及到的系统安全管理包括：
    ●安全策略的综合管理，包括修改和一致性维护；
    ●同其它IP管理功能的交互作用；
    ●同安全服务管理和安全机制管理的交互作用；
    ●事件处理的管理；
    ●安全审计的管理；
    ●安全恢复的管理。
    YD/T1163中涉及到的安全服务管理包括：
    ●为服务所确定和分配的安全保护目标；
    ●为维护和分配所提供的特定安全机制的选择规则；
    ●在达成管理协议前协商可使用的安全机制；
    ●通过适合的安全机制管理功能去调用特定安全机制，如主管部门提出的安全服务。
    YD/T1163中涉及到的安全机制管理包括：
    ●密钥管理；
    ●加密管理；
    ●数字签名管理；
    ●访问控制管理；
    ●数据完整性管理；
    ●认证管理；
    ●通信业务填充管理；
    ●路由选择控制管理；
    ●公证管理。
    三、后续工作
    YD/T1163仅对IP网络的总体安全进行了框架性的规定，没有涉及IP网络中各层安全的技术细节，后续工作还将对各层的安全技术进行规范，IP工作组还将进行如下的工作：
    ●链路层安全技术规范；
    ●网络层安全技术规范；
    ●传输层安全技术规范；
    ●应用层安全技术规范；
    ●安全管理技术规范。