GB T 17965-2000 信息技术 开放系统互连 高层安全模型.pdf

1、GB/T 17965- 2000 前去一口本标准等同采用国际标准ISO/IEC10745 :1995J;h准草案需分发给国家成员体进行表诀。发布J项国际标准，至少需要7SX的参与表决的回家成员体投票赞成。国际标准IS0/IEC10745是由ISO/IEC JTC 1 .信息技术联合技术委员会的SC21开放系统丘迷、数据管理和开放分布式处理分委员会与ITU-T共同制定的。等同文本为ITU-TX. S03 , 本标准的附录A和附录B仅提供参考信息。304 GB/T 17965-2000 51 言OSI安全体系结构(GB/T9387.2)定义了当开放系统环境中要求安全保护时对应用适用的、与安全有关的

2、体系结构元素。本标准描述OSI参考模式高层(应用、表示和会话)中选择、放瓷和使用安全服务和机制。3Q5 中华人民共和国国家标准信息技术开放系统互连高层安全模型G/T 17965-2000 idt ISO /IEC 10745: 1995 1 范围Information technology. Open Systems Interconnection- pper layers security model 1. 1 本标准定义-个体系结构模型，以此为基础.a)汗发OSI高层独立F应用的安全服务和协议;b)利用这些服务和协议满足各种应用的安全要求.以便使包含内部安全服务的应用特定的ASE的需求最少

3、。1.2 本标准特别规定a) OSI高层中通信的安全;b)高层中对开放系统S1安全体系结构和安全框架中定义的安全服务的支持;c)根据GB/T9387.2和GB/T17176.高层中安全服务和机制的放置及其之间的关系;d)提供和使用安全服务时，高层之间的交豆及高层和低层之间的交互;的高层中管理安全信息的要求。1. 3 在访问控制方面，本标准的范围包括控制访问OSI资源和通过OSI可接近的资源的服务和机制。1. 4 本标准不包括:a) OSI服务的定义或OSI协议的规范;b)安全技术和机制、官们的操作及其协议要求的规范;或c)与OSI通信无关的保证安全的内容。1. 5 本标准既不是系统的实现规范也

4、不是评价实现一致性的依据。注.牛二标准的范围包括元连接应用和分布式应用(如2存储和转发应用、链接应用及代表其他应用的应用)的安全句2 51用标准下列标准所包含的条文，通过在本标准中寻|用而构成为本标准的条文。本标准出版时，所示版本均为有效。所有标准都会被修订，使用本标准的各方应探讨使用F列标准最新版本的可能性。GB/T 9387.1-1998信息技术开放系统旦连基本参考模型第1部分:基本模型(idt IS0/1EC 7498-1:1994) GB/T 9387.2-1995信息处理系统开放系统互连基本参考模型第2部分:安全体系结构(idt ISO/1EC 7498-2:1989) GB/T 9

5、387.4-1996信息处理系统开放系统互连基本参考模型第4部分:管理框架(idt IS0 /IEC 7498-4: 1989) GB/T 15695-1995信息处理系统开放系统互连面向连接的表示服务定义(idt ISO 8822: 1988) 国家质量技术监督局2000- 01 -03批准306 2000 - 08 -01实施GB/T 17965 2000 GB/T 16688-1996信息处理A系统开放系统旦连联系控制服务元素服务定义(idt 150 8649: 1988) G/T 17176-1997信息技术汗放系统瓦连应用层结构(idtIS0 /IEC 9545 :1 994) IS

6、O/IEC 10181-2: 1996 信息技术开放系统的安全框架z鉴别框架ISO/IEC 10181-3 ;1 996 信息技术开放系统的安全框架z访问控制框架3定义3. 1 本标准采用GB/T9387. 1中定义的F列术语:a)抽象语法abstract syntax; b)应用实体application-entity: c)应用进程application-process: d)应用进程调用applicationprocess-invocation ;: e)应用协议控制信息applica tion-protocol-control-information : f)应用协议数据单元appli

7、cation-protocol-data-unit: g)本地系统环境local system environment; h) (N)功能(N )-function; i) (N)中继(N)-relay: j)开放系统open system; k)表示上下文presentatlOll context;: )表示实体presentation-entity; m)开放实系统real open system; n)系统管理systern-management; 0)传送语法transfer syntax 0 3.2 本标准采用GB/T9387.2中定义的下列术语:a)访问控制access contr

8、ol; b)鉴别authentication; c)机密性confidentiality; d)数据完整性data integrity: e)数据原发鉴别data origin autentication; f)解密decipherment: g)加密encipherment; u密钥key: i )抗抵赖non-repudiation; j)公证notarization; k)对等实体鉴别peer-entity authentication; 1 )安全审计security audit; m)安全管理信息库Security Management Tnformation Base; n)安全策

9、略security policy: 。)选择字段保护selective field protection; p)签名slgnature; q)流量机密性traffic flow confidentiality: r)可倍功能trusted functionality , 3.3 本标准采用GB/T9738.4中定义的下列术语307 GB/T 17965 .2000 a)管理信息Management Information; b) OSI管理OSI Managcmcnt 0 3. 4 本标准采用GRjT17176巾定义的F列术语:a)应用联系application-association; b)

10、 ，在月1立F文application-context; c) )，ti)百实体调用(AE)application-entity-invocation (AEI); d)以片j服务元素(ASElapplication-service-element (ASE); e) ASE类型八SE-typc;f)应用服务客体(ASO)application-service-object (ASO); gl ASO联系ASO-associa tion ; 11) ASO t. f文AS()-context;i )八S()周耳jASO in vQca t ion ; j) ，S飞):U! AS()-typc;

11、 k) 1丰;fjlJ功能(、F)control function (CF)。3. 5 水中J:liU二:时(;B/T15695中定义的r.71J术语:;二?lt数扣Htprc;.:entnton data valuc 0 3. 6 7宇:标准采用ISO/IEC10181-2 Ifl定义的下列术语:a)鉴别交换authcntication exchange; b)卢韵:l占2另IJf言息claim authentication information; 川i胁体dainumt;dl交换鉴别信息exchange authentication informA.t ion t e)实体鉴别cntit

12、y authentication; f) 牛二体principal; gl验证鉴别信息verification authenticat旧ninformation; hl验ll另一verifier。3.7 牛;标准采用ISO/IEC10181-3中定义的F列术语:a)访问控制证书access con trol cert出cate.bl访问控制信息access control information 0 3. 8 本标准采用下列定义:3. 8. 1 联系安全状态assQClatlOn secunty state: 与安全联系有关的安全状态。3. . 2 保护表示上下文protecting pres

13、entation context 吏保护传送语法相抽象语法联系在一起的表示七下文。3. 8. 3 保护传送语法protccting transfer syntax 以采用安全变换的编码/解码过程为基础的传送语法。3. 8. 4 密封seal 支持完整性但不能避免接收者伪造的密码检验值(即不支持抗抵赖)。3. 8. 5 安全联系secunty assocwtlOn 两个或多个实体间的一种关系。这些实体具有管理包含这些实体本身的安全服务的属性(状态信息和规则)。3.8.6 安全通信功能security communicaton func t_ ion 支梓开放系统之间传送与安全有关的信息的功能33

14、.8.7 安全城security domain :lO 8 GB/T 17965 - 2000 组元素、项安韦策略、一个安全机构和组与安全有关的活动。在安全域中对于特定的活动，该组元素受到安全策略约束，并由安全机构管理。3. 8. 8 安全交换security exchange 作为一个或多个安全机制的操作的一部分，开放系统之间应用协议控制信息的次传送或一采夕IJ传送。3. 8. 9 安全交换项se凹cur口i盯exchange出m安全交换中.对应于单个传送(在一系列传送1)的信息的逻辑独特片断。3. 8. 10安全交换功能附curityexchange function 位f应用层的，为AE

15、周用间通信安全信息提供应法的安全通信功能3. 8. 11 可靠交互规则secure interaction rules 为l在安全域之间发生交豆必帘的公共规则。3. 8. 12 安全状态secunty叶ate开放系统中保持且为提供安全服务所要求的状态信息。3. 8. 13 系统安全功能system security function 开放系统进行有关安全处理的能力。3.8.14 系统安伞客体system secur盯objec代表学且有关系统安全功能的客体。3. 8.15 安全变换security transformation 通信或存储期间，以特殊的方式组合起来在用户数据项1.操作以保护这些

16、数掘工商的.m.功能(系统安全功能和安全通信功能)。谊:系统安全功能和系统安全客体的规范不是OSI层服务定义或协议规定的。部分。4 缩略i哥本标准采用F列缩略语2ACSE 联系控制服务元素AE 应用实体AEI 应用实体调用ASE 应用服务元素ASN.l 抽象语法记法ASO 应用服务客体CF控制功能FTAM 文件传送、访问和管理OSI 开放系统豆连PE 表示实体PEI 表治实体调用PDV 表示数据mSEI 安全交换项SSO 系统安全客体5 概念v 本安全模型阐述了安全服务措施，以抵御GB/T9387.2-1995附录A中描述的那些与OSI高层有关的威胁。官包括保护通过应用中继系统的信息。5. 1

17、 安全策略3( 19 GB/T 17965 2000 如果两个或多个开放实系统要安全地通信.它打必须遵循在各臼安全域中有效的安全策略;如果通信发生在不同的安全域之间，还要遵循安全交互策略。安全交互策略体现不同安全域巾安全策略的共同方面并决定它们之间发生通信的条件。一组安全交豆规则可以描述安全交豆策略措施。这些规则还用于特殊通信实例的ASOJ:下文(包括应用上下文)的选择。5.2 安全联系安全联系是两个或多个实体间的关系.llP管理包含这些实体安全服务的属性(状态信息相规则)。安全联系隐含着在两个系统中存在安全交互规则相保持A致的安全状态。从OSI高层的角度来看，安全联系日I映射到JASO联系。

18、两种特殊的情形是z应用联系安全联系:两个系统之间的安全联系通过应用联系来支持被保护的通信。中继安全联系z两个系统之间通过应用中继来支持被保护的通信的安全联系(如:在存储转发或链接应用中)。不同类型安全联系的其他例子是:通过多个应用联系和/或多个无连接数据单元通信彼此直接通信的两个系统之间的安全联系。一个将被保护的信息写入数据存储(如文件存储或目录)的实体和读取此信息的所有实体之间的安全联系。两个对等低层安全协议实体之间的安全联系。在所用进程内，一个安全联系可能依赖于保持另一个系统(例如:鉴别服务器或其他类型的可信任第7.方)的另一个安全联系。5.3 安全状态安全状态是开放实系统中保持且为安全服

19、务措施所要求的状态信息。两个应用进程之间存在安全联系隐含存在共享的安全状态。试图建立通信之前，一个或多个应用进程里可能要求某些安全状态信息，通信进行时状态信息应予以保持，和/或通信结束后仍保留。这一状态信息的确切特性依赖特殊的安全机制和应用。两种安全状态类型是:a)系统安全状态:不考虑是否存在任何通信行为反其状态。在开放实系统中建立和保持的与安全有关的状态信息3bl联系安全状态:与安全联系有关的安全状态。在OSI的高层中，共享安全状态决定ASO调用之间的ASO上F文(的安全特性)和/或新建立的应用联系的初始安全状态。两种特殊的情形是s一当安全联系映射到单一应用联系时:安全状态代表咀用联系安全状

20、态。它与控制那斗州联系的通信安全有关。一一当安全联系映射到通过应用中继系统在两个终端用户系统之间的信息传送的ASO联系时:共享安全状态与端用户系统之间使用的安全机制有关，而独IE子与用应用中继系统建立的单个应用联系有关的安全机制二安全状态的例子包括:a)与密码链接或完整性恢复相关联的状态信息sbl允许交换信息的一组安全标记;c )高层中安全服务措施采用的密钥或密钥标识符。这可能包括己知可信的认证机构密钥(见GB/T 16264.8)或使其能和密钥分发中心通信的密钥号d)前面已鉴别的身份pe)顺序号和密码同步变量。安全状态可以不同的方式初始化，例如:a)采用安全管理功能，这种情况下，安全信息驻留

21、在安全管理信息库中;310 GB/T 17965 - 2000 h)初始化层前面通信行为的残留信息;c) OS1之外的手段。5.4 应用层要求为f使应用进程安全通信.它们在采用的ASO上下文(或应用上下文)中必须有适当的安全措施qASO上下文定义可包括2a)要求用来支持安全协议的ASO类型和/或ASE类型;bJ协商和选择与应用和表示层有关的安全功能的规则;c)选择底层安全服务的规则;dJ将特殊安全服务用于特殊交换信息类别的规则Fe)整个联系生存期间重新鉴别有关身份的规则;fJ (如果采用某于密钥的机制)整个ASO联系生存期间改变密钥的规则pgJ通信失败或检测出安全冲突时采取的规则。注:可参考A

22、SO类型定义来定义ASO上下文a应用t下文是ASO上F文的特殊情形.它描述ASO上下文参与应用联系的两个ASO调用口I能的一组通信行为。本条中描述的安全方面的内容适用于应用上下文。6 体系结构6. 1 总体模型OS1安全服务措施包括根据特定安全机制的规程产生、交换和处理安全信息。包含的两个独特功能类型是:aJ系统安全功能:系统执行与安全有关的处理能力，这类处理如:加密/解密、数字签名或产生戎处理在鉴别交换中运送的安全权标或证书。这些实现功能不是OS1层服务或协议的实现部分;b)安全通信功能g支持开放系统之间传送与安全有关的信息的功能。这种功能在OS1应用实体或表示实体中实现。安全通信功能的例子

23、有=安全交换功能，如6.3中描述s制定用来传递加密或数字签名信息的表示层协议元素的编码/解码5与安全服务器(如22鉴别服务器或密钥分发中心)进行通信的协议。系统安全功能和安全通信功能之间有两方面重大差别。首先，它描述了标准的两种不同类型。系统安全功能在安全机制或安全技术标准中规定。这些标准常常制订为通用的且不必与任何特定通信协议和层关联。系统安全功能标准可能对非通信安全有用。另方面，安全通信功能是特殊通信协议规范(如sOSI高层)的一部分且不必与特定安全机制或技术关联。另一重大差别是:它用模型来分开实现中的安全功能和通信功能。系统安全功能的集合将当作典型的可靠模型实现，如:作为可用的软件子系统

24、或防干扰的硬件模块，易于用到各种通信或其他环境E因此，系统安全功能和安全通信功能之间的边界可为定义标准化的实现界面(如:安全应用程序界面(API) )提供一个有力的开始点。在体系结构方面，弓|入了系统安全客体(SSO)的概念。一个SSO是一组有关的系统安全功能的客体。sso能通过一个抽象的服务边界(界面)和安全通信功能交互来提供要求的安全服务。SSO产生和处理在应用和表示层中用OS1协议交换的安全信息。交换的安全信息的逻辑结构可在OS1中标准化，因此，它能在OS1协议交换中表出。一个SSO调用是一个执行SSO实例。动态模型中.SSO调用可以和OSI实体调用(如，AE调用)交瓦。ssO的操作可包

25、括:3 1 1 GB/T 17965 - 2000 从代表SS()可发送和/或接收信息的OSI安全涵信功能中接收信息或向它提供信息;导致和其他卅放系统(如:第三方鉴别服务器)建立应用联系.并在SSO系统安全功能的措施中使用此应用联系;建立个随后在安服务巾要使用的安全联系。It l 特殊系统安全功能、sso或抽象服务边界等的规范不在本安全模型的范围内。2 实现SSOI用于非OSI安全的目的，然而，任这种应用都超过了本安全模型的活围。图l给出与应用和表示层有关的安全功能的基本模理。模型中的客体包括应用实体(AE)、表示实体(PE)、SSO和支持OSI服务(OSI第1.-.5层中)。支持。SI服务为

26、交换与安全有关的(及非安全有关的)信息提供事本的通信某础结构。SSO-OSI SSO-OSl 界面051高层()SII苛层悍面是缆I，iI 实体实体| 桌统3幸存体。Af: AE 。一t一-一( PE PE 0 / 17 主主坤并公常工frE商千主支持OSI服务图1与OSI高层有关的安全功能高层中的OSI层实体在安全服务措施中起如下作用:世在体。001 在应用层.各AE将应用进程通信方面模型化并且能按照ASE、ASO来精炼，还要控制GB/T 17176中描述的功能。AE可含有安全通信功能措施的多个ASE和/或ASOo各ASE和/或ASO也可能过采用安全变换CIA!.6，4)和/或要求来自下层的

27、合适的服务质量对被保护信息加以排列。在表示层，表示实体提供安全通信功能向这些功能可以和将抽象语法映射到传送语法(见6，4) , f 使用的系统安全功能(如z加密)一起工作。一一在会话层中不提供安全服务。然而，6，2. 1指出了在OSI环境内呵能对安全措施产生影响的会话层操作的某些方面。上面的基本模型有利于OSI部件和SSO之间抽象服务边界的一般定义，并允许安排/使用各种信任方案(如:如ISO/IEC10181-2中规定的)。注3，阁l所示的AE和PE之间的交互在6，4和8.1中讨论。6.2 安全联系高层中，安全联系要映射到ASO联系。本安全模型不为建立或终止安全联系规定特定的方法。通常.这种建

28、江/终止可和标准化的ASO联系建立过程一起获得，或者通过其他方法获得。特殊的体系结构考虑将用于5.2中所确定的两种特殊类型的安全联系。6. 2. 1 应用联系安全联系应用联系安全联系映射到一个应用联系。安全服务通过使用下列功能和服务米实现za)应用层中的安全通信功能及相关的系统安全功能;b)表示层中的安全通信功能及相关的系统安全功能;c)低层提供的安全服务。注1.正如GB/T:J78. 2中指出的，全话层中没有安全机制。然而.设计高层安全协议时要:t;虑会i占层操作的两个厅面2用可能引起敦据不传送的会话服务的潜在影响(见8，2) .相连续重用支持儿个会话连接(见8，川的运输312 GB!T 1

29、7965 2000 连接组某些情况下，可能要求组合应用层和表示层巾反与系统安全功能相关的安全通信功能来提价安乍服务。应用上下文规定欲在应用联系中使用的安全服务和安全机制。个另IJ或组合地使用与千个日多个ASE和/EJi: ASO有关的功能可提供这些安全服务。在联系建立期间，需按以下任方式或两种方式考虑应用联系的安全要求:a)通过使用安全服务来保护应用联系建立L;b)通过选择包括合适安全服务的应用tf文。ACSE提供的服务用来建立应用联系和选择合适的应用上f文。所选择的山用1:.-F文坝。11fT包扫与安全有关的规则。这些规则可能要求其他(在其他事情中)可能提供安全服务的ASE在联系建jj与AC

30、SE -，起操作。注2，在表示层中的安全通信功能和有关的系统安全功能可用作应用联系建立规程的-部分。初始联系安全状态由应用联系建立规程决定。它可能依赖于系统安全状态和/或任何网绕安全联系的联系安全状态。应用上下文的规则可能允许或要求ASE之间进一步的协议交换来改变这一联系安全状态。这些变化可能作为应用联系建立之后初始化进程的部分和/或并入AE，周用的正常操作的完牧部分实现。在安全联系生命期内，iiJ允许修改某些种类的安全状态信息。(如:完整性顺序号)，而且他种类的安全状态信息可能不允许修改(如z安全标签)。ACSE提供的服务用来终止应用联系。应用联系应用上卡文的规则日J要求叮提供安全服务的民他

31、ASE在应用联系终止时与ACSE_，并操作。6.2.2 中继安全联系在存储和发送应用或链接应用等分布式应用中可能会出现中继安全联系。中继安全联系彼时能和l图2所示的应用联系安全联系-起出现。被保护的中继信息是通往中继安全联系各方(图2中的系统A和C)之间传递的信息。用SSO址和lz2中的系统安全功能来提供保护。被保护的中继信息嵌入在系统A和B之间的应用联系中传边的PDVs中，并且也嵌入在系统B和C之间的应用联系中传递的PDVs巾。当被保护的中继信息在应用联系中传递时，官可受到进一步的保护，如:在系统A和B之间传递时，它将使用SSOxl和中的安全功能。当传递被保护的中继信息的PDV嵌入到另一个按

32、应用联系安全联系保护的PDV中肘，含出现这种情况。应用中继系统可以不具有必要的参数(如z密码密钥)使开放系统中的表示实体解码/编码传温被保护中继信息的表示数据值。在这种类型的开放系统中。编码表示数据值可以保留以便随后传输。后11Jl的传输限制在具有和收到的表示数据值相同的抽象和传送语法的表示上下文。因此，识别抽象语法和传送语法的信息必须和中继系统中的编码-起保存。主与中继系统具有解码中继信息必需的信息时上面的情形可能会出现变化。例如它可能具有用米验证那-信息上签名的公开密钥(如:支持数据原发鉴别)。然而，编码需要按上面的描述保存时，可能必须将签名的信息中继到另一个系统上。:l 13 GB/T

33、17965 - 2000 4统B岳统A(应fIJ巾继是统C品:1.-叩0岳飞售川m仰也也画册耐性斗:，:-，I=二厅副斗-. . : :.肌. ，.，:.非非帚. ，:白白tII phtrp巳A-P II M+阳AF:T AET + PET PET 国.应用联系安全联系b 二._.-中继安全联系系统安全客体调用图2应用中继情形6.3 安全交换功能安全交换功能是一类应用层的安全通信功能，它为AEi周用之间安全信息通信提供手段。安全交换功能产生和处理应用协议控制信息来支持这种信息的通信。这些功能由ASO或ASE提供。这一功能的一个例子是如ISO/IEC10181-2中描述的对鉴别交换的通信支持，在

34、这哩，声称体AE调用处产生的-条交换鉴别信息被传递到验证AE调用处6. 3. 1 安全交换安全交换使开放系统之间作为成为安全机制操作部分传送应用协议控制信息模型化。安全交换可能包括下面二者之一za)一个开放系统和另一个开放系统之间传输单条信息，例如3访问控制证书:一一-公开密钥证书，或安全权标。b)开放系统之间构成安全机制操作部分的全顺序中的信息传输顺序;例如E与2向或3-向鉴别交换有关的信息传输g或一一双向会话密钥约定(如:Diffie-Hellman指数密钥交换口)。给不同类型的安全交换分配唯的标识符以使在协议中指明它们的作用。6. 3. 2 安全交换信息安全交换信息是安全交换中开放系统间

35、通信的信息。对用于单个传送(可能在传送顺序中)的安全交换信息的逻辑区别部分称为安全交换项CSED。为了数据定义目的，SEI可被分解成较小的元素。当没有为定义安全交换信息规定特定的抽象语法记法时，如果对该信息使用和其他抽象语法相同的记法，含有安全交换信息的完整抽象语法的结构将简化。ISO/IEC11586-1提供了与ASN.l记法起使用的记法丁.具。6.3.3 安全交换功能为给任意给定的ASO上下文的安全交换提供支持.必须在该ASO上下文中的某些ASE和/H!(; ASO中加入安全交换功能。它包括z1) DIFFIE(W. ) .HELLMAN(M.):密码学的新方向.JF:EE信息理论会刊.I

36、T-22卷.1976年第6号第6H-645页、314 GB/T 17965-2000 a)在抽象语法中加入SEI型定义;b)在ASE型或ASO理定义中，戎ASO上F文定义里的其他地方加入任意程序或关r操作安全交换的其他规则，c)若有必要，在CF规范中加入与安全交换有关的协调规则的定义e通常，安全交换可加入到任何ASE和/或AS中，而且应表达出SEI定义以便于它们加到尽叫能多的不同ASE和/或ASI中。ISO/IEC 11586-2和ISO/IEC11586心定义了专门为传送安全交换而设汁的一个ASE，6.4 安全变换安全变换是在用户数据项七组合地运作以便在通信或存储期间以特殊方式保护这些数据的

37、系列功能(系统安全功能和安全通信功能)。安全交换包括对于由OSI高层协议传送的用户信息所作的与安全相关的处理。它们可能构成提供机密性、完整性、或数据原发鉴别服务的主要方法，和/或有助于提供包含实体鉴别、访问控制和抗抵赖的其他安全服务。安全变换采用多种类型的系统安全功能，例如:a)加密/解密功能(如:对机密性服务); b)密封或签字功能(如:对完整性或数据原发鉴别服务)。安全变换可以采用单系统安全功能或不同类型组合成的多系统安全功能。当系统安全功能组合地应用时，不存在需要先采用那种类型的体系结构限制。安全变换也采用位于高层内的安全通信功能。注1 L面的、切的例子并没有给出系统安全功能类型的详尽情

38、单。2 希望限制已定义的系统安全功能的数量.并将它们应用到更大范围的安全需要。3 构成安全变换a部分的安全通信功能涉及信息的表示法，因而逻辑上也和表示层相关.然而，这些功能以各种事间的粒度应用。有时，官们应用到由表示协议识别的完整表示数据值.有时，它们适用于应用层信息的选择片段。在后一种情况下，从实现者的角度看，将这些安全通倍功能看成是处在应用层内可能更方便些。为不同类型的安全变换分配唯一的标识符，以便在协议中指出它们的作用。指明使用安全变换的规范应包括:aJ对特定的安全变换的指示或将确定特定安全变换的手段;bJ安全变换适用的信息项规范;c)如果在抽象语法层规定被保护的信息项，可能也需确定在应

39、用安全变换之前/后要使用的编码/解码规则;dJ采用的算法的标识和任何所要求参数(如:密钥)的来源。注4，用于产生/检验完整性校验值或数字签名的编码/解码规则必须具有抽象信息值和编码值之间一a映射的恃点。ASN.l独恃和经典的编码规则具有这一特唯.而AS:-.I.1基本编码规则没有。有两种规定安全变换适用的信息项的途径a)在抽象语法规范内指出选择字段;b)特定类型的安全变换与一个表示上下文中传送的全部信息项相关联;这一情况下，在抽象语法规范之外规定安全变换要求。这两种情况在下面详细解释。6. 4. 1 在抽象语法规范中选择字段指示当对抽象语法内选定的领域采用了保护时，抽象语法规范必须指出要用合适

40、记法保护的项a如果选择字段机密性和/或完整性是以小于抽象语法产牛的完整表示数据值的粒度来应用时，必须用这-h法。规定抽象语法中选择使用安全变换的记法的例子是GB/T16264.8中定义的签名和加密功能，以31 :i GB/T 17965 2000 &. ISO lEC 11586-1中定义的被保护的记法【6.4.2 保护表示上下文当安全变换-致地应用于抽象i拜法的所有信息Ji11才.它包括建立和1使用保护表示上下文。建立任何表示上下文包括主主主给定出抽象语法要使用的传送谱法吁具有保护表示1-.T文H称为保护传送语法的传送语法是用f二安全变换的编码/解码过程的基础r建由.保护表示LT文包括确定安

41、全变换(及隐含的系统安全功能).这些安全变换将形成在麦fJ上下文中的所有表示数据值发送/接收1J于抽象语法和!传送谓法之间编码/解码过程的部分z建由:保护表马王上下文后，处理出数据的系统安全功能可能耍将参数信息传送剑它对院的系绕安全功能。例如，它可能包括:a)首次使用表及上F文时的初始参数，陆知密码过程的初始化矢量或密钥识别符;扒在连续保护的表示数据值内发出参数改变信号的信息.如:改变到一个新键。因此，除传送表凉服务用户信息表示法外定义保护传送活法还需要包括传送变换参数数据的手段!系统安全功能要求的参数信息(如s密钥)日I分别采用如下子段获得:a)较早应用层协议交换的结果，如:产生于密钥衍生安

42、全交换的密钥;b)卒地手段，如:子E插入。ISO!IEC 11586 4规定一种类属保护传送语法，该语法能支持各种不同的安全变换。;工可以将一个表示数据值嵌入到另一个内，而日安全变换在两个层次都可阿用。在这种情况f.内部(嵌入l&小数据倩(编码过樱中使用安全变换)编码也将布用于外部表示数据值编码的安全变换F受到保护。出两个手Ef壳间转发的数据(组成内部表示数据值)需要签名以便鉴别数据的起点时，且当通过密封用1外国i表石板据包或表示上F文中的所有表示数据值来防止向个系统间的重用时，就有了这样的例于。7 服务和机制OSI安全体系结构CCB/T9387.2)规定 应用层可提供基本集中的一项或多项安全

43、服务z鉴别、访问控制、饥密性、数据完格惜和抗抵赖，一表示层不提供安全服务，但是支持应用层安全服务的安全机制时位于表示后;会话层不提供安全服务旦不包含安全机制。7-1 鉴别7. 1. 1 实体鉴别7. 1.1.1 实体鉴别中高层的作用紧别的目的是为识别实体身份捉供保证。应用层的作用是为应用j三L.!.划的实体提供鉴别3这种鉴别在ASO联系建立时和I使用八SO联系期间都在应用层允许较大范围的本体被鉴别仨侬帧r11用的特性及现行的安全策略。注，(;B/T 937. 2巾定义的对等实体鉴别榄念是IS()ilEC10181-2中定义的实体鉴别的一种恃殊情况。高层不为应用层以F的任何实体提恢鉴别m7-1

44、.1.2 实体鉴别措施实体鉴别可以在应用层中由鉴别信息通倩来提供，该通信叮采用符合6.:1的安全交换功能。实体鉴别仅提供瞬时实体保证。要在整个ASO联系期间保持这种保证，要求使用连接完整性服务(如CB/T9387.2中定义的)。在某些情况下，在附加鉴别交换的一段时间之后获得对实体身份的进步保IfJ能是必要。7.1.1.3 实体鉴别的管理当提供实体鉴别时，要求对宣称鉴别信息相/或验rE鉴别信息(如=衔码密钥)进行管理口仙ISO，IEC 10181-2描述的，它可包括任何下列程序:316 GB/T 17965 - 2000 安装，定义宣称将另IJ信息相证明鉴别信息:改变鉴别信息.负古人或管理者声明

45、鉴别信息和改变验证鉴别信息;一发布，任何实体口I获得足够的用于验证交换鉴别信息的验训，鉴别信息，失效，建立起的、暂时不能被以前鉴别的负责人鉴别的状态;重新有效.终止无效程序中建立的状态;卸I装，从可鉴别的负责人群中移去负责人。使用。SI协议实现这监规程忖.它可能包括符合6.3的安全交换功能。这些程序也可利用()SJ安全管理服务。有蚀的安全策略也可要求报告失败的鉴别企图以便在安全审计跟踪中产生传告和/或记录n7. 1. 2 数据版发紧别7.1 .2.1 数据原发鉴别中高层的作用数据原发鉴别亏鉴别被声称为产生(-fc且特定数据的实体有关。在4个通信实例中它币定是直接对等，r司此数据原发鉴别与实体鉴

46、别有不同的目的。通信时数据的每个元素可能有也可能没有数据原发鉴别作用r它。为保证及时收到数据.数据1点发鉴别需要能使原发时间及源头也有效。7. 1. 2.2 数据原发鉴别措施应用层的数据原发鉴别通过交换安全信息来提供.这种安全信息J以传送如以数据和数据版发的标识符为基础的数字号在名。数据原发鉴别可以在ASO联系建立时或在ASO联系期间的任意时刻提供。数据!反发鉴别服务使用典型利用加密或数字签名机制的安全变换。7. 1. 2.3 数据原发鉴别管理通常，管理数据:原发鉴别和管理实体鉴别相同(见7.1.1.3)。?2 访I叶控制l7.2.1 概述所周层协议可进行访问控制信息交换，如:访问控制证书。它

47、传送与给予、加强和/或收回访问控制权有关的信息。访问控制信息可以在ASO联系建立时或ASO联系期间的任意其他时候交换。ASO联系期间的访问权可以修改(增加或减少)权力为对其他ASO联系有效，或者仅对规定的请求有效。防问控制可用于许多不同级别的粒度。这里要区别两个称为ASO联系和源的层次，但是要认识到特别的协议可将额外的层次引入到源类型中。? 2. 2 ASO联系访问控制? 2. 2. 1 ASO联系访问控制中高层的作用ASO联系访问控制应用于ASO联系层，并且与控制访问系统和l过程(如g应用进程)有关，而与系统内的客体无关。它关注具有被请求ASO上下文的特殊远程系统是否真被请求ASO联系.如果

48、在ASO联系建立之后采用，安全特性是否允许发生或继续。7.2.2.2 ASO联系访问控制措施币1中描述的安全交换功能可支持ASO联系访问控制。这些功能可支持ISO/IEC!0181.3中定义的任4类机制。这样的安全交换功能可由与ACSE一起使用的ASE提供，以便在应用联系建立时提供访问I扣制口另外，这时的安全交换能保留某些访问控制信息以便在后面整个应用联系期间用来决定访问控制组? 2. 2. 3 ASO联系访问控制管理系统中有效的安全策略同J能要求报告每次访问企阁，尤其是每次失败的优问企图，以便产生传fV刷j/旦旦价为安全检在跟踪的部分记录。OSI安全管理服务提供保留惊问控制信息的F段。317

49、 GB/T 17965 - 2000 7.2.3 资源访问控制7.2.3.1 资源访问控制中高层的作用资源访问控制是控制访问特定的资源，如:信息库中的一个或多个客体。主与信息客体内部件构成时，要提供深层的访问控制。这种资源的4个例子是文件。可用访问控制确定访问发起者是否有权在文件上进行特定操作，如:读或修改。.2.3. 2 资源访问控制措施资源访问控制可能是个特定的ASE或ASO范围，它为特定资源提供交换操纵)61用和响应的协议。例如:文件访问控制是FTAM(GB/T 16505(信息处理系统开放系统互连文在传送、访问和管理)的范围。这些ASE或ASO可以利用IS0/IEC10181-3中定义的一类或多类机制。它们可以利用使用八so联系访问控制产生的保留访问控制信息。.2.3. 3 资源访问控制管理系统中有放的安全策略可能要求报