2.2 网络安全体系结构的内容

世界上现有的网络体系结构种类很多。实际上，重要的网络安全体系结构也不止一种，它们的任务、作用和基本思路大致相同，但具体内容有若干差异。下面介绍三种重要的网络安全体系结构。

2.2.1 开放系统互联安全体系结构（OSI安全体系结构）

前面已经介绍过国际标准化组织（ISO）制定的开放系统互联/参考模型（OSI/RM）。该网络体系结构于1983年形成正式文件，即著名的ISO 7498国际标准。OSI/RM的突出特点在于它的开放性，而开放性要求往往是对安全性不利的。为此，ISO有关机构拟制了相应的网络安全体系结构建议草案。1989年，ISO正式颁布了采纳该建议内容的ISO 7498—2国际标准，作为ISO 7498国际标准的一个补充文件。这个ISO 7498—2就是开放系统互联安全体系结构，简称OSI安全体系结构。它以OSI/RM的7层结构为基础，是制定最早、影响广泛、具有重要指导意义的网络安全体系结构。

OSI安全体系结构的核心内容是：以实现完备的网络安全功能为目标，描述了6类安全服务，以及提供这些服务的8类安全机制和相应的OSI安全管理，并且尽可能地将上述安全服务配置于开放系统互联/参考模型（OSI/RM）7层结构的相应层。由此形成的OSI安全体系结构的三维空间表示，如图2.2所示，图中空间的三维分别代表安全机制、安全服务及OSI协议层。

1.OSI安全体系结构的安全服务

OSI安全体系结构描述的6类安全服务及其作用见表2.1。

以上所述的6类安全服务，是配置在OSI/RM 7层结构的相应层中来实现的。表2.2列举了OSI安全体系结构中安全服务按网络层次的配置。表中有符号“√”处，表示在该层能提供该项服务。

2.OSI安全体系结构的安全机制

按照OSI安全体系结构，为了提供上述6类安全服务，采用下列8类安全机制来实现：

（1）加密。加密就是利用加密密钥将“可懂”的明文信息变换为“不可懂”的密文，只有掌握解密密钥的合法接收者才能将密文重新变换为明文。在OSI网络7层结构的不同层次进行加密，效果有所不同。

（2）数据签名。它是一种利用密码技术防止网络数据在交换过程中被篡改、伪造或事后否认等情况发生的机制。

（3）访问控制。它是用于防止网络实体未经授权访问网络资源的机制。

（4）数据完整性。它用于确保数据在传输过程中不被修改，防止数据的丢失、重复或假冒。

（5）交换鉴别。它是一种用信息交换方式确认实体身份的机制，可以综合使用多种技术和方法来完成。

（6）信息流填充。它用于在网络中连续发送随机序列码流，使网络不论忙时或闲时信息流变化都不大，从而防止网络窃听者通过对网络中信息流流量与流向的分析获取敏感信息。

（7）路由控制。它是为网络中数据传输提供选择安全路由能力的机制。

（8）公证。它用于防止网络中信息发送者与接收者任一方事后抵赖，以及当数据在传输过程中丢失、迟延、被篡改时，用于判明责任和进行仲裁。

安全机制是用来实现和提供安全服务的，但给定一种安全服务，往往需要多种安全机制联合发挥作用，而某一种安全机制，往往又为提供多种安全服务所必需。表2.3指明了OSI安全体系结构中安全机制与安全服务的对应关系。表中有符号“√”处，表示该安全机制支持该安全服务。

2.2.2 美国国防部目标安全体系结构与国防信息系统安全计划

美国国防部为了使其所有信息系统的安全配置具有充分的一致性、有效性和互操作性，由国防信息系统局（DISA）与国家安全局（NSA）合作开发了国防部目标安全体系结构（DGSA），并载入了1996年国防信息系统局发布的、为国防信息基础设施（DII）提供详细发展蓝图的信息管理技术体系结构框架（TAFIM）3.0版，为其中的第6卷。该体系结构（DGSA）从发展角度提供了安全结构的全貌，是一个通用的体系框架，用于开发特定任务网络或信息系统包含各项安全业务在内的安全体系结构。它没有提供技术规范，但详细规定了安全原则和目标安全能力，充分考虑了信息的互通性、实现方法和技术应用的渐进性、积木结构的灵活性，同时充分考虑了安全、保密、抗毁、全球定位/定时、敌我识别等军事需求及有关的基本设计准则。其目的在于指导网络安全的开发工作，期望使美国防部所有的网络，不论新旧，不论是战略或战术层次的网络，不论是语音、数据或视频图像业务的网络，在安全策略、配置和结构上，经过30年的磨合、趋同，最终统一到这个全军统一的、具有多级安全目标的安全体系结构上来。以此为背景，美国国防部早在1992年就制定了“21世纪构想——国防信息系统安全计划”（DISSP）。这一庞大的计划包括5个目的和8项任务，是一个为达到上述目标，实现向目标安全体系结构（DGSA）过渡的计划。

1.DISSP的5个目的

（1）保证国防部对DISSP的利用和管理；

（2）将所有的网络和信息系统高度自动化，以便使用；

（3）确保网络和信息系统的有效性、安全性、可互操作性；

（4）促进国防信息系统的协调、综合开发；

（5）建立能使各个国防机构、各军种，以及北约和美国的盟国的所有网络和信息系统彼此之间具有良好互操作性的安全结构。

2.DISSP的8项任务

（1）确定一个统一、协调的网络安全策略；

（2）开发全美国防网络和信息系统安全结构；

（3）开发基于上述安全结构的网络安全标准和协议；

（4）确定统一的网络安全认证标准；

（5）开发先进的网络安全技术；

（6）建立网络和信息系统的开发者、实现者与使用者之间的有效协调；

（7）制定达成预定目的的过渡计划；

（8）将有关信息及时通报供应商。

3.DISSP提供的安全体系结构及其特点

DISSP提供的安全体系结构框架可用如图2.3所示的三维空间模型来表示。图中空间的三维分别代表：网络安全特性与部分操作特性、网络与信息系统的组成部分、OSI网络结构层及其扩展层。

与OSI安全体系结构（ISO 7498—2）相比，DISSP安全体系结构具有如下特点：

（1）从最高层着眼，统筹解决全部国防网络与信息系统的安全问题，不允许任何下属层次各自为政并分别建立自己的安全体系。

（2）把网络与信息系统的组成简化归结为4个部分，即端系统、网络、接口和安全管理。这样便于网络与信息系统的管理人员与安全体系设计人员之间的协商与协作，便于安全策略的落实和安全功能的完善。这是该安全体系结构的一大创新。

（3）在网络安全特性中增列了“物理、规程和人员安全” 特性，第一次将有关安全的法律、法令、规程及人事管理等工作都纳入安全体系结构，使安全问题能够更有效地全面统筹解决。

（4）把在网络安全体系受到局部破坏或功能降低情况下，仍能继续工作且受敌危害最小的特性，列为要求的安全特性。

（5）从多个角度，特别强调了在确保网络安全性的同时，保证网络具有足够的互操作性。

以上5个特点表明，DISSP提供的安全体系结构，其内容与OSI安全体系结构（ISO 7498—2）相比有许多重大的扩充和改进，它的进一步发展和具体化，值得认真关注。

2.2.3 基于TCP/IP的网络安全体系结构

TCP/IP是传输控制协议/网际协议（Transmission Control Protocol/Internet Protocol）的英文缩写。经过多年的演变发展，今天TCP/IP体系结构已经成为Internet所采用的网络协议，成为全世界应用最广泛的网络体系结构。TCP/IP体系结构虽然不同于OSI体系结构，不是国际标准化组织（ISO）所制定的标准，但已被全世界公认为一种具有很大影响的事实上的标准。所以，研究它的安全体系结构具有重要的现实意义。

TCP/IP体系结构也是一种分层结构，其中的每一层，都对应于OSI体系结构的某一层或某几层。具体对应关系见表2.4。

既然TCP/IP体系结构与OSI体系结构之间存在如上的对应关系，因此就可以将ISO7498—2，即OSI安全体系结构中配置于各层次的各种安全服务与安全机制，逐一映射到TCP/IP体系结构的相应层次，从而得到基于TCP/IP的网络安全体系结构。在该安全体系结构中，安全服务按网络层次的配置情况见表2.5。表中有符号“√”处，表示在该层能提供该项服务。

对于上述基于TCP/IP的网络安全体系结构，近年来国外一些研究机构还根据实际的需要，进行了不断的扩展和增强。