電信和信息-ITU-TRECOMMENDATION

1、電信和信息-ITU-TRECOMMENDATION電信和信息-ITU-TRECOMMENDATION電信和信息-ITU-TRECOMMENDATION電信和信息技術(shù)安全關(guān)于電信安全的若干議題綜述及相關(guān)ITU-T建議書應(yīng)用簡介ITU-T國際電信聯(lián)盟電信標(biāo)準(zhǔn)化部門2 0 0 6致謝本手冊的編寫得到了眾多作者的幫助，他們或者參與制定了相關(guān)ITU-T建議書，或者參加了ITU-T的研究組會議、討論會和研討會。對下列供稿人：Herb Bertine, David Chadwick, Martin Euchner, Mike Harrop, Sndor Mazgon, Stephen Mettler, Ch

2、ris Radelet, Lakshmi Raman, Eric Rosenfeld, Neal Seitz, Rao Vasireddy, Tim Walker, Heung-Youl Youm, Joe Zebarth, 以及國際電聯(lián)電信標(biāo)準(zhǔn)化局各位顧問，謹(jǐn)致特別的謝意。國際電聯(lián) 2006版權(quán)所有。未經(jīng)國際電聯(lián)事先書面許可，不得以任何方法復(fù)制本出版物的任何部分。目錄頁碼致謝ii前言v概要vii1手冊范圍12基本安全體系結(jié)構(gòu)和服務(wù)12.1開放系統(tǒng)安全體系結(jié)構(gòu)（X.800）12.2低層與高層安全模型（X.802和X.803）22.3安全框架（X.810-X.816）22.4提供端對端通信的系統(tǒng)

3、的安全體系結(jié)構(gòu)（X.805）43保護(hù)的基礎(chǔ)：威脅、弱點和風(fēng)險64電信網(wǎng)的安全要求74.1理由84.2電信網(wǎng)的一般安全目標(biāo)95公開密鑰和特權(quán)管理基礎(chǔ)設(shè)施95.1秘密密鑰和公開密鑰加密115.2公開密鑰證書125.3公開密鑰基礎(chǔ)設(shè)施.135.4特權(quán)管理基礎(chǔ)設(shè)施.136應(yīng)用156.1采用H.323系統(tǒng)的VoIP156.2IPCablecom系統(tǒng)286.3安全的傳真?zhèn)鬏?316.4網(wǎng)絡(luò)管理應(yīng)用346.5電子處方416.6安全的移動端對端數(shù)據(jù)通信457可用性尺度和基礎(chǔ)設(shè)施層497.1通路拓?fù)浣Y(jié)構(gòu)與端對端通路可用性計算497.2增強(qiáng)傳送網(wǎng)的可用性 概貌507.3保護(hù)517.4恢復(fù)567.5外部設(shè)備578用

4、于電信組織的事故管理機(jī)構(gòu)和安全事故處理（指導(dǎo)原則）588.1定義598.2理由609結(jié)論61頁碼參考資料61附件A 涉及安全的ITU-T建議書目錄63附件B 安全術(shù)語86B.1安全相關(guān)術(shù)語和定義清單87B.2安全相關(guān)首字母縮略語100附件C 研究組和安全相關(guān)研究課題清單103前言直到不久前，電信和信息技術(shù)安全問題還主要存在于銀行、航空和軍事應(yīng)用等專業(yè)領(lǐng)域。不過隨著數(shù)據(jù)通信，特別是互聯(lián)網(wǎng)應(yīng)用的迅速、廣泛的增長，安全幾乎成了每個人的事。信息通信技術(shù)安全問題日漸受到重視的現(xiàn)象可能受到流傳甚廣的病毒、蠕蟲、黑客和對個人隱私的威脅等事件的影響。但是，隨著計算技術(shù)和聯(lián)網(wǎng)成為日常生活的重要組成部分，毫無疑問

5、，需要采取有效的安全措施來保護(hù)政府、業(yè)界、商務(wù)、關(guān)鍵基礎(chǔ)設(shè)施和消費者的計算機(jī)和電信系統(tǒng)。此外，越來越多的國家已經(jīng)形成數(shù)據(jù)保護(hù)立法，這些立法也要求與數(shù)據(jù)機(jī)密性和完整性的示范標(biāo)準(zhǔn)相一致。人們應(yīng)該把安全作為一個深思熟慮的過程，應(yīng)用于從系統(tǒng)的設(shè)想和設(shè)計到系統(tǒng)的安裝和部署的全過程。在制定標(biāo)準(zhǔn)時，對安全的考慮必須始終從一開始就成為工作的一部分，而不應(yīng)作為事后的補(bǔ)救措施。在標(biāo)準(zhǔn)和系統(tǒng)開發(fā)的設(shè)計階段對安全問題考慮不周，很容易導(dǎo)致產(chǎn)生易受攻擊的弱點。通過對安全事項保持清醒的認(rèn)識，通過確保對安全問題的考慮成為規(guī)范的一個基本組成部分，以及通過提供指導(dǎo)意見以幫助運用者和用戶使各項通信系統(tǒng)和各種服務(wù)能夠足夠牢靠地運行和

6、使用，標(biāo)準(zhǔn)化委員會在保護(hù)電信和信息技術(shù)系統(tǒng)方面所起的作用是至關(guān)重要的。多年來，國際電信聯(lián)盟的電信標(biāo)準(zhǔn)化部門ITU-T一直積極參與電信和信息技術(shù)的安全工作。但是，鑒于各種信息繁多，人們并不總是很容易弄清楚哪些已得到研究，以及到哪里去找相關(guān)資料。本手冊嘗試將關(guān)于ITU-T相關(guān)工作的所有已知信息綜合在一起，以方便人們的檢索。本手冊旨在為技術(shù)人員、中層管理人員以及負(fù)責(zé)制定和執(zhí)行電信規(guī)則的相關(guān)人員提供一份指南，幫助他們實際運用安全功能。本手冊通過幾個應(yīng)用實例，提供了對安全問題一些事項的解釋，偏重強(qiáng)調(diào)ITU-T建議書是如何處理這些事項的。本手冊的第一版是2003版，于2003年12月出版，時值信息社會高峰

7、會議（WSIS）第一階段會議召開前夕。本手冊的出版引起了世界各地信息通信技術(shù)界的熱烈反響。受此鼓舞，并考慮到讀者的寶貴建議和反饋意見，我們又編寫了第二版。該版本于2004年10月出版，采用了新的結(jié)構(gòu)，補(bǔ)充了新的資料，并對有些部分做了進(jìn)一步闡述。2004年10月5-14日在弗洛里亞諾波利斯舉行了世界電信標(biāo)準(zhǔn)化全會（WTSA-04），第三版，也就是現(xiàn)在的2006版，考慮了因這屆全會而出現(xiàn)的研究組與研究課題的新結(jié)構(gòu)。我向國際電聯(lián)電信標(biāo)準(zhǔn)化局的工程師們表示贊賞，他們在來自國際電聯(lián)成員的有關(guān)專家們的支持下完成了本手冊第一版的大部分章節(jié)，任務(wù)艱巨，成績顯著。我還要向給我們提出寶貴建議的人們以及為本手冊新版

8、做出貢獻(xiàn)的人們表示贊賞。對ITU-T安全事項牽頭研究組第17研究組主席Herbert Bertine先生以及來自第17研究組和其他ITU-T研究組的合作者隊伍，我表示特別的謝意。 我相信，本手冊將成為關(guān)注處理安全事項人士的有用指南，我們歡迎讀者對本手冊提出意見和建議，以便改進(jìn)我們今后的版本的編輯。國際電聯(lián)電信標(biāo)準(zhǔn)化局主任趙厚麟2006年6月，日內(nèi)瓦概要通信業(yè)通過開發(fā)能夠縮小社會差距的通信基礎(chǔ)設(shè)施，極大地促進(jìn)了幾乎所有產(chǎn)業(yè)部門和世界每個角落的全球生產(chǎn)率和效率的提高。之所以出現(xiàn)這一情況，在很大程度上歸因于采用了像ITU-T這類標(biāo)準(zhǔn)化組織制定的標(biāo)準(zhǔn)。這些標(biāo)準(zhǔn)保證了網(wǎng)絡(luò)運作的互操作性和效率，而且為下一

9、代網(wǎng)絡(luò)（NGN）打下了基礎(chǔ)。但是，盡管標(biāo)準(zhǔn)不斷地滿足了最終用戶和通信業(yè)的需要，隨著開放界面與協(xié)議的使用越來越多、新的市場參與者的多元化、應(yīng)用與平臺的充分多樣性以及未必經(jīng)過充分測試的實際應(yīng)用，導(dǎo)致惡意使用網(wǎng)絡(luò)的機(jī)會不斷增加。近年來，全球網(wǎng)絡(luò)上都觀察到安全侵犯（如病毒、破壞存儲數(shù)據(jù)機(jī)密性的攻擊）激增，經(jīng)常造成巨大的損失。由此引出的問題是，如何在支持開放的通信基礎(chǔ)設(shè)施的同時不犧牲其上交換的信息。在很大程度上，答案在于制定非常牢靠的規(guī)范，應(yīng)對對通信基礎(chǔ)設(shè)施任何部分的安全威脅。以此為目標(biāo)，標(biāo)準(zhǔn)組織的工作包括開發(fā)標(biāo)準(zhǔn)化的安全結(jié)構(gòu)與框架、制定安全管理標(biāo)準(zhǔn)、開發(fā)安全專用協(xié)議和開發(fā)保證通信協(xié)議安全的技術(shù)，還包括

10、制定措施，從總體上把通信標(biāo)準(zhǔn)的潛在弱點降至最小程度。本安全手冊的目是對ITU-T（有時與其他標(biāo)準(zhǔn)開發(fā)組織協(xié)作）為保障通信基礎(chǔ)設(shè)施及相關(guān)服務(wù)和應(yīng)用的安全而制定的眾多建議書做一個綜述。為涵蓋安全問題的多個方面，必須建立一個框架體系，以形成一個討論這些概念用的統(tǒng)一的詞匯表。第2節(jié)介紹了在ITU-T建議書中定義的基本安全體系結(jié)構(gòu)和要素，還介紹了已經(jīng)規(guī)定的討論網(wǎng)絡(luò)應(yīng)用端對端安全問題的八個安全尺度保密、數(shù)據(jù)機(jī)密性、認(rèn)證、數(shù)據(jù)完整性、不可抵賴、訪問控制、通信安全和可用性。這些一般化的原則也作為一個基礎(chǔ)，用于許多其他安全服務(wù)與機(jī)制的標(biāo)準(zhǔn)。第3節(jié)介紹了威脅、弱點和風(fēng)險三個基本安全概念，解釋了這些概念之間的關(guān)系及

11、其與標(biāo)準(zhǔn)機(jī)構(gòu)的相關(guān)性。第4節(jié)以前幾節(jié)的資料為基礎(chǔ)，提出了電信網(wǎng)的安全要求。該節(jié)特別討論了電信網(wǎng)安全的目標(biāo)和可以用于達(dá)到這些目標(biāo)的服務(wù)。第5節(jié)介紹了公開密鑰與特權(quán)管理基礎(chǔ)設(shè)施的重要概念。這些基礎(chǔ)設(shè)施，包括其基礎(chǔ)機(jī)制，對支持認(rèn)證與授權(quán)服務(wù)尤其重要。ITU-T已在其建議書中為若干系統(tǒng)與服務(wù)制定了安全規(guī)定，且從第6節(jié)可以看出，本手冊的一個著重點在于應(yīng)用。這些應(yīng)用包括IP話音與IP多媒體應(yīng)用 (H.323和IPCablecom)、醫(yī)療保健和傳真。在布署體系以及如何制定協(xié)議以滿足安全需求方面對這些應(yīng)用進(jìn)行了描述。除提供應(yīng)用信息的安全外，還需要保障網(wǎng)絡(luò)基礎(chǔ)設(shè)施和網(wǎng)絡(luò)服務(wù)管理的安全。第6節(jié)還包括一些標(biāo)準(zhǔn)實例，

12、這些標(biāo)準(zhǔn)制定了處理網(wǎng)絡(luò)管理問題的安全規(guī)定。第7節(jié)討論安全的可用性尺度與基礎(chǔ)設(shè)施層。這屬于ITU-T核心職能范圍中的兩個，盡管并不總是被認(rèn)為有助于安全。給出了可用性計算的資料和提高傳送網(wǎng)可用性的方式的資料。該節(jié)最后給出了保障外部設(shè)備安全的指導(dǎo)意見。第8節(jié)概括了ITU-T最近批準(zhǔn)的關(guān)于事故管理機(jī)構(gòu)和安全事故處理的指導(dǎo)原則。鑒于電信與信息系統(tǒng)基礎(chǔ)設(shè)施中的安全威脅不斷發(fā)展，這一問題被普遍認(rèn)為具有根本的重要性。此外，本手冊還含有與安全問題有關(guān)的現(xiàn)行版本的ITU-T建議書目錄 附件A中的清單進(jìn)一步全面展示了ITU-T關(guān)于安全工作的跡象。本手冊還給出了關(guān)于安全及本手冊論及的其他議題的縮寫與定義清單，摘自相關(guān)

13、ITU-T建議書及其他資料來源（如ITU-T SANCHO數(shù)據(jù)庫和ITU-T第17研究組制定的ITU-T批準(zhǔn)的安全定義匯編）。這部分資料在附件B中給出。附件C 歸納了每一ITU-T研究組所做的安全相關(guān)工作。附件中的這些資料將不斷更新，在 HYPERLINK /ITU-T /ITU-T可以查到。總之，ITU-T不僅在IP相關(guān)技術(shù)研究方面，而且在滿足不同產(chǎn)業(yè)部門千差萬別的安全需求方面，一直是積極主動的。本手冊從以下兩個方面揭示了ITU-T建議書是怎樣提供解決辦法的：一般性的框架與體系結(jié)構(gòu)和特定的系統(tǒng)與應(yīng)用 后者已由網(wǎng)絡(luò)與服務(wù)提供商在全球?qū)嵤?/p>

14、1手冊范圍本手冊概述了電信和信息技術(shù)中的安全問題，描述了實際問題并指明了ITU-T 如何處理當(dāng)前應(yīng)用中安全的不同方面。手冊具有教材的性質(zhì)：它把ITU-T 建議書中與安全相關(guān)的材料收集在一起并分別解釋其相互關(guān)系。手冊還涵蓋了安全的其他方面，尤其是與可用性有關(guān)的部分ITU-T有許多這方面資料可提供，以及與環(huán)境性損害有關(guān)的部分 ITU-T在這方面也很活躍。本手冊還包括第二版發(fā)布以來安全相關(guān)標(biāo)準(zhǔn)化工作取得的成果。另外，所討論的問題以已經(jīng)完成的工作為基礎(chǔ)，而不是以正在進(jìn)行的工作為基礎(chǔ)，本手冊的后續(xù)版本會處理這部分問題。本手冊的目標(biāo)讀者包括工程師、產(chǎn)品經(jīng)理、學(xué)生、專業(yè)人員，以及希望深入了解實際應(yīng)用中安全問

15、題的負(fù)責(zé)制定和執(zhí)行電信規(guī)則的相關(guān)人員。2基本安全體系結(jié)構(gòu)和服務(wù)在二十世紀(jì)八十年代前期的通信標(biāo)準(zhǔn)化工作中，人們已經(jīng)認(rèn)識到需要對安全體系結(jié)構(gòu)的要素加以討論。開放系統(tǒng)安全體系結(jié)構(gòu)（ITU-T X.800建議書）即由此形成。不過，人們也認(rèn)識到另一點，就是對支持安全服務(wù)與機(jī)制而言，這不過是開發(fā)一套標(biāo)準(zhǔn)的第一階段。這一工作大多是與ISO協(xié)作完成的，在此基礎(chǔ)上形成了更多的建議書，包括規(guī)定了如何將特定類型的保護(hù)施用于特定環(huán)境的安全模型與框架。此外，還確認(rèn)了對其他安全體系的需求，如用于開放分布式處理的安全體系結(jié)構(gòu)和用于提供端對端通信的系統(tǒng)的安全體系結(jié)構(gòu)。最近公布的ITU-T X.805建議書涉及這一需求，并通過

16、給出旨在提供端對端網(wǎng)絡(luò)安全的安全解決方案而補(bǔ)充了X.800系列建議書。2.1開放系統(tǒng)安全體系結(jié)構(gòu)（X.800）第一個要標(biāo)準(zhǔn)化的通信安全體系結(jié)構(gòu)是ITU-T X.800建議書的開放系統(tǒng)安全體系結(jié)構(gòu)。該建議書規(guī)定了可以按照所需保護(hù)的環(huán)境施用的一般性安全相關(guān)體系結(jié)構(gòu)要素。尤其是X.800建議書概括描述了安全服務(wù)和用于提供這種服務(wù)的相關(guān)安全機(jī)制。它還按照七層開放系統(tǒng)互連（OSI）基本參考模型規(guī)定了實施安全服務(wù)最適宜的位置。ITU-T X.800建議書關(guān)注的只是某條通信路徑直觀的性能，這些性能允許終端系統(tǒng)間進(jìn)行安全的信息傳送。該建議書并未打算提供任何種類的實現(xiàn)規(guī)范，也未給出任何方法來評估某種實現(xiàn)與該標(biāo)準(zhǔn)

17、或任何其他安全標(biāo)準(zhǔn)的一致性。該建議書也根本沒有表明終端系統(tǒng)為支持OSI安全特性可能需要的附加安全措施。盡管X.800是作為OSI安全體系結(jié)構(gòu)專門制定的，但X.800的基礎(chǔ)概念已經(jīng)顯示出具備更廣的實用性和包容性。該標(biāo)準(zhǔn)特別重要，因為其中的基礎(chǔ)安全服務(wù)（身份認(rèn)證、訪問控制、數(shù)據(jù)機(jī)密性、數(shù)據(jù)完整性和不可抵賴）以及如可信功能性、事件檢測和安全審查與恢復(fù)等其他更一般化（普遍）服務(wù)的定義，代表了這方面第一個國際一致意見。在X.800之前，關(guān)于所需的基礎(chǔ)安全服務(wù)都有哪些、每種服務(wù)到底起什么作用，存在各種意見。X.800反映了國際上關(guān)于這些服務(wù)的完全一致的意見。（第2.3節(jié)將詳細(xì)討論基礎(chǔ)安全服務(wù)。）手冊范圍基

18、本安全體系結(jié)構(gòu)和服務(wù)X.800代表了關(guān)于描述安全特性所用術(shù)語的含義、關(guān)于保護(hù)數(shù)據(jù)通信所需的那組安全服務(wù)以及關(guān)于這些安全服務(wù)的性質(zhì)的一種重要的一致意見，其價值和普遍適用性就來自這個事實。在X.800的形成過程中，還確認(rèn)了對相關(guān)的附加通信安全標(biāo)準(zhǔn)的需求。因此，在X.800制定之后，開展了關(guān)于若干輔助性標(biāo)準(zhǔn)和補(bǔ)充性體系結(jié)構(gòu)建議書的工作。下文將討論其中的一些建議書。2.2低層與高層安全模型（X.802和X.803）低層與高層安全模型（分別為ITU-T X.802和X.803建議書）用于顯示安全框架中形成的安全概念是如何應(yīng)用于開放系統(tǒng)體系結(jié)構(gòu)的特定范圍的?！案邔影踩Ｐ汀保╔.803）的用途是向標(biāo)準(zhǔn)開發(fā)

19、人員提供體系結(jié)構(gòu)模型，用于開發(fā)七層OSI模型的高層中與應(yīng)用無關(guān)的安全服務(wù)和協(xié)議。該建議書為會話層、表示層和應(yīng)用層的安全服務(wù)之間的定位和相互關(guān)系提供了指導(dǎo)意見。該建議書特別說明了在應(yīng)用層和表示層如何處理安全傳送功能（如加密）。另外，引入了安全交換的概念。還對安全政策和安全狀態(tài)做了說明。“低層安全模型”（X.802）為開發(fā)OSI模型的低層適用的安全相關(guān)協(xié)議和協(xié)議要素提供了指導(dǎo)意見。該模型說明了低層之間安全交互的基本內(nèi)容，還說明了安全協(xié)議的定位。2.3安全框架（X.810-X.816）制定“安全框架”是為了對X.800規(guī)定的安全服務(wù)提供一個全面、統(tǒng)一的描述。這些框架旨在從各方面討論安全服務(wù)如何適用于

20、特定的安全體系結(jié)構(gòu)，包括未來可能出現(xiàn)的安全體系結(jié)構(gòu)?？蚣苤攸c關(guān)注的是為系統(tǒng)、系統(tǒng)內(nèi)的對象和系統(tǒng)間的交互提供保護(hù)?？蚣懿簧婕跋到y(tǒng)或機(jī)制的構(gòu)建方法。框架既涉及數(shù)據(jù)要素，也涉及用于獲得特定安全服務(wù)的操作序列（不包括協(xié)議要素）。這些服務(wù)可適用于系統(tǒng)內(nèi)相互通信的實體，也可適用于系統(tǒng)間交換并由系統(tǒng)管理的數(shù)據(jù)。2.3.1安全框架概況（X.810）“安全框架概況”介紹了其他框架，說明了所有框架中共同的概念，包括安全域、安全授權(quán)和安全政策。該建議書還說明了可用于安全地傳送認(rèn)證與訪問控制兩種信息的一種通用數(shù)據(jù)格式。2.3.2認(rèn)證框架（X.811）認(rèn)證是對一個實體自稱的身份提供保證。實體不僅包括人類用戶，還包括設(shè)備

21、、服務(wù)和應(yīng)用。認(rèn)證還對一個實體未試圖冒名頂替或未經(jīng)授權(quán)地重播一個先前的通信提供保證。X.800確認(rèn)了兩種形式的認(rèn)證：數(shù)據(jù)來源認(rèn)證（即證實所收數(shù)據(jù)的來源是聲稱的那個）和對端實體認(rèn)證（即證實某個關(guān)聯(lián)中的對端實體是聲稱的那個）。認(rèn)證框架占據(jù)了一系列認(rèn)證標(biāo)準(zhǔn)頂部的一個位置，這些標(biāo)準(zhǔn)給出了概念、命名法和認(rèn)證方法的分類。這一框架規(guī)定了認(rèn)證的基本概念；確認(rèn)了認(rèn)證機(jī)制的可能類別；規(guī)定了這些機(jī)制類別的服務(wù)；確認(rèn)了支持這些機(jī)制類別的協(xié)議的功能要求；確認(rèn)了認(rèn)證的一般管理要求。認(rèn)證通常在識別之后。識別、認(rèn)證和授權(quán)所用的信息應(yīng)加以保護(hù)。2.3.3訪問控制框架（X.812）訪問控制是為了防止未經(jīng)授權(quán)而使用資源，包括防止以

22、未經(jīng)授權(quán)的方式使用資源。訪問控制確保只有得到授權(quán)的人員或設(shè)備才被允許訪問網(wǎng)絡(luò)單元、存儲的信息、信息流、服務(wù)和應(yīng)用。訪問控制框架對一個模型做了說明，包括開放系統(tǒng)中訪問控制的各個方面、與其他安全功能（如認(rèn)證和審查）的關(guān)系以及訪問控制的管理要求。2.3.4不可抵賴框架（X.813）不可抵賴是防止實體事后否認(rèn)其實施了某一行為的能力。不可抵賴涉及確認(rèn)可在事后用于戳穿虛假主張的證據(jù)。X.800說明了兩種形式的不可抵賴服務(wù)，即有交付證據(jù)的不可抵賴，用于戳穿接收者否認(rèn)曾收到數(shù)據(jù)的謊言，以及有來源證據(jù)的不可抵賴，用于戳穿發(fā)送者否認(rèn)曾發(fā)出數(shù)據(jù)的謊言。不過更一般地講，不可抵賴的概念可以擴(kuò)展到許多不同的范圍，包括數(shù)據(jù)

23、的生成、提交、存儲、傳輸與接收的內(nèi)容的不可抵賴。不可抵賴框架擴(kuò)展了X.800所述的不可抵賴安全服務(wù)的概念，并給出了開發(fā)這些服務(wù)的框架。不可抵賴框架還確認(rèn)了支持這些服務(wù)的可能機(jī)制和不可抵賴的一般管理要求。2.3.5機(jī)密性框架（X.814）機(jī)密性是不向未經(jīng)授權(quán)的個人、實體或過程提供信息或泄露信息的屬性。機(jī)密性服務(wù)的用途是防止未經(jīng)授權(quán)泄露信息。機(jī)密性框架通過規(guī)定機(jī)密性的基本概念、規(guī)定機(jī)密性的可能類別和每一類別機(jī)密性機(jī)制可能需要的設(shè)施、確認(rèn)所需的管理與支持服務(wù)，以及通過探討同其他安全服務(wù)與機(jī)制的交互作用，處理信息檢索、發(fā)送與管理中的機(jī)密性問題。2.3.6完整性框架（X.815）數(shù)據(jù)完整性是指數(shù)據(jù)沒有以

24、未經(jīng)授權(quán)的方式被改變的屬性。總的來說，完整性服務(wù)涉及需要確保數(shù)據(jù)沒有受損，或如果受損，讓用戶了解這一事實。盡管完整性涉及不同的方面（如數(shù)據(jù)完整性和系統(tǒng)完整性），但X.800幾乎僅關(guān)注數(shù)據(jù)完整性。完整性框架涉及信息檢索、傳送與管理中數(shù)據(jù)的完整性。它規(guī)定了完整性的基本概念；確認(rèn)了完整性的可能類別和各類別機(jī)制所用的設(shè)施；確認(rèn)了支持各類別機(jī)制所需的管理，并探討了完整性機(jī)制與支持服務(wù)同其他安全服務(wù)與機(jī)制的交互作用。2.3.7審查與告警框架（X.816）安全審查是對系統(tǒng)記錄與活動的獨立復(fù)審與考察，以便測試系統(tǒng)控制的適當(dāng)性，確保與既定政策和運營程序的一致性，檢測破壞安全的行為，并提出控制、政策與程序方面的指

25、征變化。安全告警是在檢測到符合安全政策規(guī)定的告警條件的安全相關(guān)事件時生成的消息。審查與告警框架規(guī)定了基本概念，給出了安全審查與告警的一般模型，確定了審查與告警機(jī)制的類別，規(guī)定了用于這些機(jī)制類別的服務(wù)，確認(rèn)了支持這些機(jī)制的功能要求，并確認(rèn)了安全審查告警的一般管理要求。2.4提供端對端通信的系統(tǒng)的安全體系結(jié)構(gòu)（X.805）近來網(wǎng)絡(luò)的安全體系結(jié)構(gòu)又得到了重新審視。由此形成了ITU-T X.805建議書，該建議書為提供端對端網(wǎng)絡(luò)安全而規(guī)定了一種安全體系結(jié)構(gòu)。該體系結(jié)構(gòu)可適用于其端對端安全問題與網(wǎng)絡(luò)的基礎(chǔ)技術(shù)無關(guān)的任何種類的網(wǎng)絡(luò)。這些一般性原則與定義適用于所有應(yīng)用，盡管諸如威脅與弱點的細(xì)節(jié)以及應(yīng)對或防止

26、的對策根據(jù)應(yīng)用需求的不同而有所不同。該安全體系結(jié)構(gòu)是根據(jù)層和平面兩個主要概念規(guī)定的。各安全層為第一個軸線，涉及對構(gòu)成端對端網(wǎng)絡(luò)的網(wǎng)絡(luò)單元與系統(tǒng)的要求。為保證端對端的安全在每一層實現(xiàn)，在區(qū)分跨不同層的要求時使用了分層次的方法。這三層是：基礎(chǔ)設(shè)施層、服務(wù)層和應(yīng)用層。定義這些層的好處之一是在提供端對端安全時不同應(yīng)用允許重復(fù)使用。每一層的弱點不同，因此針對性措施也根據(jù)每層需求來規(guī)定。基礎(chǔ)設(shè)施層包括網(wǎng)絡(luò)傳輸設(shè)施和單獨的網(wǎng)絡(luò)單元。屬于基礎(chǔ)設(shè)施層的組成部分的例子有單獨的路由器、交換機(jī)和服務(wù)器以及其間的通信鏈路。服務(wù)層涉及為用戶提供的網(wǎng)絡(luò)服務(wù)的安全。這些服務(wù)的范圍從租用線服務(wù)這樣的基礎(chǔ)連接性服務(wù)延伸到即時消息

27、這樣的增值服務(wù)。應(yīng)用層涉及對客戶所用的網(wǎng)絡(luò)應(yīng)用的要求。這些應(yīng)用可能像電子郵件那么簡單，也可能像協(xié)同視覺化那么復(fù)雜，在石油勘探或汽車設(shè)計等場合要使用非常高端的視頻轉(zhuǎn)換。第二個軸線涉及網(wǎng)絡(luò)中實施的活動的安全。該安全框架定義了三個安全平面，表示一個網(wǎng)絡(luò)中發(fā)生的三種受保護(hù)的活動。這些安全平面是：（1）管理平面，（2）控制平面和（3）最終用戶平面。這些安全平面分別涉及與網(wǎng)絡(luò)管理活動、網(wǎng)絡(luò)控制或信令活動和最終用戶活動相關(guān)的特定安全需求。在第6.4節(jié)中詳細(xì)討論的管理平面關(guān)注的是運營、管理、維護(hù)和提供服務(wù)（OAM&P）活動，如向某個用戶或網(wǎng)絡(luò)提供服務(wù)?？刂破矫媾c通過網(wǎng)絡(luò)建立（和修改）端對端通信的信令有關(guān)，與網(wǎng)

28、絡(luò)中所用的媒介和技術(shù)無關(guān)。最終用戶平面涉及客戶訪問與使用網(wǎng)絡(luò)的安全。該平面還負(fù)責(zé)處理最終用戶數(shù)據(jù)流的保護(hù)。該框架還利用安全層和安全平面兩條軸線（三個安全平面和三個安全層）定義了旨在討論網(wǎng)絡(luò)安全的八個尺度。這些尺度在下文定義。從體系結(jié)構(gòu)的角度看，這些安全尺度是作用于由層和平面構(gòu)成的3乘3矩陣中的每一個方格的，由此可決定合適的應(yīng)對措施。圖2-1表示安全體系結(jié)構(gòu)中的安全平面、層和尺度。關(guān)于管理平面的第6.4節(jié)表明了其他ITU-T建議書如何處理3乘3 矩陣中管理平面的三個方格。圖 2-1ITU-T X.805建議書中的安全體系結(jié)構(gòu)的要素X.805是以X.800的概念和上文討論的安全框架（X.810-X

29、.816）為基礎(chǔ)形成的。尤其是X.800基礎(chǔ)安全服務(wù)的功能性（訪問控制、認(rèn)證、數(shù)據(jù)機(jī)密性、數(shù)據(jù)完整性和不可抵賴）與X.805相應(yīng)安全尺度的功能性是匹配的（如圖2-1所示）。另外，X.805的通信安全、可用性和保密三個安全尺度提供了新型的網(wǎng)絡(luò)保護(hù)。下面回顧一下八個安全尺度。訪問控制安全尺度防止未經(jīng)授權(quán)使用網(wǎng)絡(luò)資源。訪問控制保證只允許得到授權(quán)的個人或設(shè)備訪問網(wǎng)絡(luò)單元、存儲的信息、信息流、服務(wù)和應(yīng)用。認(rèn)證安全尺度用于證實通信實體的身份。認(rèn)證確保了參與通信的實體（如個人、設(shè)備、服務(wù)或應(yīng)用）具有自稱的身份，還對一個實體未試圖冒名頂替或未經(jīng)授權(quán)地重播一個先前的通信提供保證。不可抵賴安全尺度通過給出各種網(wǎng)絡(luò)

30、相關(guān)活動的可用證據(jù)（如義務(wù)、意圖或承諾的證據(jù)；數(shù)據(jù)來源證據(jù)，所有權(quán)證據(jù)，資源使用證據(jù)），為防止個人或?qū)嶓w否認(rèn)實施了涉及數(shù)據(jù)的某種行為提供了方法。它確保了提供給第三方用于證實已發(fā)生某種事件或行為的證據(jù)是可用的。數(shù)據(jù)機(jī)密性安全尺度防止數(shù)據(jù)遭未經(jīng)授權(quán)的泄露。數(shù)據(jù)機(jī)密性確保未經(jīng)授權(quán)的實體無法理解數(shù)據(jù)內(nèi)容。加密、訪問控制清單和文檔權(quán)限是提供數(shù)據(jù)機(jī)密性的常用方法。通信安全安全尺度確保信息只在得到授權(quán)的端點間流動（信息在這些端點間流動時無法改向或被中途攔截）。數(shù)據(jù)完整性安全尺度確保數(shù)據(jù)的正確性或準(zhǔn)確性。防止數(shù)據(jù)遭未經(jīng)授權(quán)的修改、刪除、生成和復(fù)制，并給出這些未經(jīng)授權(quán)活動的跡象?？捎眯园踩叨却_保對網(wǎng)絡(luò)單元、存

31、儲的數(shù)據(jù)、信息流、服務(wù)和應(yīng)用的得到授權(quán)的訪問不因影響網(wǎng)絡(luò)的事件而被拒絕。災(zāi)害恢復(fù)解決方案就屬于這個類別。保密安全尺度對從觀察網(wǎng)絡(luò)活動可能得出的信息提供保護(hù)。這種信息的例子包括用戶訪問過的網(wǎng)站、用戶的地理位置以及服務(wù)提供商網(wǎng)絡(luò)中設(shè)備的IP地址與DNS名稱。在定義和規(guī)劃階段，通過在每一安全層和平面顧及每一安全尺度，X.805安全體系結(jié)構(gòu)可以指導(dǎo)制定全面的安全政策定義、事故應(yīng)對與恢復(fù)計劃以及技術(shù)體系結(jié)構(gòu)。X.805安全體系結(jié)構(gòu)還可以用做安全評估的基礎(chǔ)，在政策和程序已經(jīng)展開、技術(shù)已經(jīng)部署的情況下檢查安全計劃的實施是如何處理安全尺度、層與平面的。一旦實施了安全計劃，就必須予以維護(hù)，以適應(yīng)不斷變化的安全環(huán)

32、境。X.805安全體系結(jié)構(gòu)可以通過確保對安全計劃的修改在每一安全層與平面顧及每一安全尺度，來協(xié)助管理安全政策與程序、事故應(yīng)對與恢復(fù)計劃以及技術(shù)體系結(jié)構(gòu)。3保護(hù)的基礎(chǔ)：威脅、弱點和風(fēng)險在形成任何安全框架的過程中，對要保護(hù)的資產(chǎn)、保護(hù)這些資產(chǎn)必須應(yīng)對的威脅、與這些資產(chǎn)有關(guān)的弱點以及這些威脅和弱點對資產(chǎn)產(chǎn)生的整體風(fēng)險有一個清醒認(rèn)識是十分重要的?？偟膩碚f，在ICT安全范圍內(nèi)要保護(hù)的資產(chǎn)如下：通信和計算服務(wù)；信息和數(shù)據(jù)，包括與安全服務(wù)有關(guān)的軟件和數(shù)據(jù)；以及設(shè)備和網(wǎng)絡(luò)設(shè)施。根據(jù)X.800，安全威脅是一種潛在的破壞安全的行為。威脅的例子包括：未經(jīng)授權(quán)泄露信息；未經(jīng)授權(quán)毀壞或修改數(shù)據(jù)、設(shè)備或其他資源；信息或其

33、他資源的盜竊、移動或損失；中斷或拒絕服務(wù)；以及假冒或頂替得到授權(quán)的實體。保護(hù)的基礎(chǔ)：威脅、弱點和風(fēng)險威脅可能是偶發(fā)的或故意的，也可以是主動的或被動的。偶發(fā)威脅是沒有預(yù)謀的威脅，如系統(tǒng)或軟件功能失常或?qū)嶋H設(shè)備失效。故意威脅是實施蓄意行為的某人實現(xiàn)的威脅（故意威脅如果得以實現(xiàn)，則稱為攻擊）。主動威脅是導(dǎo)致狀態(tài)有所改變的威脅，如改變數(shù)據(jù)或毀壞實際設(shè)備。被動威脅不引起狀態(tài)的改變。竊聽就是被動威脅的一個例子。安全弱點是可被用來破壞系統(tǒng)或系統(tǒng)所含信息的瑕疵或不足（X.800）。弱點會讓威脅成為現(xiàn)實。弱點有四種類型：威脅型弱點來源于很難預(yù)測未來可能的威脅；設(shè)計和規(guī)范型弱點來源于協(xié)議設(shè)計中的錯誤或疏忽使其本質(zhì)

34、上具有弱點；實現(xiàn)型弱點是協(xié)議實現(xiàn)中的錯誤產(chǎn)生的弱點；運行和配置型弱點來源于實現(xiàn)中選項的錯誤使用或軟弱的部署政策（例如在WiFi網(wǎng)絡(luò)中沒有強(qiáng)制使用加密）。安全風(fēng)險是在安全弱點被利用，即在威脅得以實現(xiàn)的情況下衡量其所致消極影響的尺度。盡管風(fēng)險是無法消除的，但一個安全目標(biāo)是把風(fēng)險降到可接受的水平。為了做到這一點，有必要理解威脅和弱點并采取適當(dāng)?shù)膽?yīng)對措施（即安全服務(wù)與機(jī)制）。盡管威脅或威脅的促發(fā)因素會改變，但安全弱點在系統(tǒng)或協(xié)議的壽命期內(nèi)是一直存在的，除非采取處理弱點的具體措施。采用標(biāo)準(zhǔn)化的協(xié)議，基于協(xié)議的安全風(fēng)險就會非常高并且是全局范圍的。因此了解和辨識協(xié)議中的弱點并在確認(rèn)弱點后采取措施處理是十分重

35、要的。標(biāo)準(zhǔn)化機(jī)構(gòu)既有責(zé)任，也有獨特的能力解決規(guī)范中體系結(jié)構(gòu)、框架和協(xié)議等方面固有的安全弱點。即便充分了解了與信息處理和通信網(wǎng)絡(luò)有關(guān)的風(fēng)險、弱點和威脅，如果不按照相關(guān)的政策系統(tǒng)地實施安全措施，也無法達(dá)到足夠的安全，而這一政策也需要定期復(fù)審和更新。另外，還需要對安全管理和事故處理做出完備的規(guī)定。這包括識別出預(yù)防或應(yīng)對安全事故的責(zé)任和規(guī)定的措施（條文、控制手段、應(yīng)對措施、要采取的保護(hù)性措施或要開展的行動）。ITU-T正在制定新的建議書，涉及安全管理的這些方面。4電信網(wǎng)的安全要求本節(jié)給出了從使用者，包括電信網(wǎng)的運營人員的角度看在安全性質(zhì)的需求方面和安全性質(zhì)的特征方面要考慮的基本問題。這些要考慮的問題是

36、從電信市場各方的需求得出的。本節(jié)主要指出了ITU-T E.408建議書電信網(wǎng)安全要求批準(zhǔn)后取得的成績。該建議書給出了安全要求的概況，提出了確認(rèn)總體電信網(wǎng)（既包括固定也包括移動；既有話音也有數(shù)據(jù)）安全威脅的框架，并對可降低由威脅產(chǎn)生的風(fēng)險的應(yīng)對措施的規(guī)劃提供了指導(dǎo)意見。該建議書具有通用的性質(zhì)，沒有確認(rèn)或處理具體網(wǎng)絡(luò)的要求。沒有考慮新的安全服務(wù)，而是尋求利用其他ITU-T建議書和其他機(jī)構(gòu)的相關(guān)標(biāo)準(zhǔn)中的現(xiàn)有安全服務(wù)。電信網(wǎng)的安全要求實施既定的要求將會促進(jìn)下列電信網(wǎng)安全領(lǐng)域的國際合作：信息共享和信息傳播；事故協(xié)調(diào)和危機(jī)應(yīng)對；安全人員的招聘與培訓(xùn)；法律實施的協(xié)調(diào)；保護(hù)關(guān)鍵基礎(chǔ)設(shè)施和關(guān)鍵服務(wù)；以及制定適用

37、的法規(guī)。為了成功地實現(xiàn)這種合作，對網(wǎng)絡(luò)的國家級組成部分的要求必須在國家層面實施。4.1理由對國際電信通用網(wǎng)絡(luò)安全框架的要求來自不同的源頭：客戶/訂戶需要樹立對網(wǎng)絡(luò)和所提供的服務(wù)的信心，包括大災(zāi)（含民間暴力活動）發(fā)生時服務(wù)的可用性（尤其是應(yīng)急服務(wù)）。公共團(tuán)體/政府機(jī)構(gòu)的指令和立法中要求安全，以保證服務(wù)可用性、公平競爭和隱私保護(hù)。網(wǎng)絡(luò)運營商/服務(wù)提供商自身需要安全，以在國家和國際層面保護(hù)其運營和商業(yè)利益，承擔(dān)他們對客戶和公眾的義務(wù)。對電信網(wǎng)的安全要求宜應(yīng)基于國際公認(rèn)的安全標(biāo)準(zhǔn)，因為這樣做有益于重復(fù)利用，避免另起爐灶。與被保護(hù)的交易的價值相比，提供和使用安全服務(wù)與機(jī)制可能相當(dāng)昂貴。因此，根據(jù)被保護(hù)的

38、服務(wù)提供客戶定制的安全能力非常重要。所用的安全服務(wù)與機(jī)制應(yīng)允許這種客戶化。由于安全特性可能的組合多種多樣，最好有一個覆蓋大范圍電信網(wǎng)服務(wù)的安全簡表。標(biāo)準(zhǔn)化有利于解決方案和產(chǎn)品的重復(fù)利用，意味著安全可以更快、更便宜地實現(xiàn)。在安全方面，標(biāo)準(zhǔn)化的解決方案對系統(tǒng)的供應(yīng)商和用戶的重要益處是一樣的，即產(chǎn)品開發(fā)的規(guī)模效益和電信網(wǎng)中各部件的互操作性。有必要為電信網(wǎng)提供安全服務(wù)與機(jī)制，使其免遭惡意攻擊，如拒絕服務(wù)、竊聽、欺騙、篡改消息（修改、延遲、刪除、插入、重播、重選路由、錯選路由、改變消息順序）、抵賴或偽造。保護(hù)包括防止攻擊、發(fā)現(xiàn)攻擊和從攻擊中恢復(fù)，以及管理安全相關(guān)信息。保護(hù)還必須包括預(yù)防服務(wù)因自然事件（天

39、氣等）或惡意攻擊（暴力行為）而中斷的措施。必須制定有關(guān)規(guī)定，允許得到正式授權(quán)的合法機(jī)構(gòu)進(jìn)行竊偵聽和監(jiān)測。4.2電信網(wǎng)的一般安全目標(biāo)本節(jié)說明電信網(wǎng)中采取的安全措施的終極目標(biāo)，重點放在要達(dá)到怎樣的要求而不是如何完成這些要求。電信網(wǎng)的安全目標(biāo)如下：a）只有得到授權(quán)的用戶才能訪問和使用電信網(wǎng)。b）得到授權(quán)的用戶應(yīng)能夠訪問他們獲準(zhǔn)訪問的資產(chǎn)并對其進(jìn)行操作。c）電信網(wǎng)應(yīng)能根據(jù)網(wǎng)絡(luò)的安全政策設(shè)定的水平提供保密功能。d）所有用戶均應(yīng)對自己在電信網(wǎng)中的行為負(fù)責(zé)，也只對自己的行為負(fù)責(zé)。e）為了確?？捎眯裕瑧?yīng)保護(hù)電信網(wǎng)免受未經(jīng)請求的訪問或操作。f）應(yīng)有可能檢索來自電信網(wǎng)的安全相關(guān)信息（但只有得到授權(quán)的用戶才能檢索此

40、類信息）。g）在檢測到破壞安全的行為時，應(yīng)按照預(yù)定計劃以受控的方式對其進(jìn)行處理，盡量減小潛在危害。h）在檢測到違反安全的行為之后，應(yīng)能夠恢復(fù)正常的安全級別。i）電信網(wǎng)的安全體系結(jié)構(gòu)應(yīng)能提供一定的靈活性，以便支持不同的安全政策，如不同強(qiáng)度的安全機(jī)制?！霸L問資產(chǎn)”一詞應(yīng)理解為不但有可能完成操作，還有可能讀取信息?？梢钥闯?，實施下列安全措施，就可完成上述電信網(wǎng)安全目標(biāo)的前五個：機(jī)密性；數(shù)據(jù)完整性；（當(dāng)然也需要系統(tǒng)程序的完整性）責(zé)任制，包括認(rèn)證、不可抵賴和訪問控制；以及可用性。5公開密鑰和特權(quán)管理基礎(chǔ)設(shè)施ITU-T X.509建議書號碼簿：公開密鑰和屬性證書框架提供了基于公開密鑰證書和認(rèn)證機(jī)構(gòu)的強(qiáng)認(rèn)證

41、公開密鑰基礎(chǔ)設(shè)施(PKI)標(biāo)準(zhǔn)。PKI支持公開密鑰管理，由此支持認(rèn)證、加密、完整性和不可抵賴。PKI的基礎(chǔ)技術(shù)是公開密鑰加密，下文對它做了說明。除規(guī)定PKI的認(rèn)證框架之外，X.509還以屬性證書和屬性機(jī)構(gòu)為基礎(chǔ)規(guī)定了特權(quán)管理基礎(chǔ)設(shè)施（PMI），用于在強(qiáng)授權(quán)環(huán)境中確保用戶的權(quán)利與特權(quán)。PKI與PMI的構(gòu)成如圖5-1所示。公開密鑰和特權(quán)管理基礎(chǔ)設(shè)施圖 5-1PKI與PMI的構(gòu)成5.1秘密密鑰和公開密鑰加密對稱（或秘密密鑰）密碼術(shù)是指加密和解密使用同一密鑰的密碼系統(tǒng)，如圖5-2（a）所示。對稱密碼系統(tǒng)要求制定各方共享獨特的秘密密鑰的初始協(xié)定。由于獲知加密密鑰即獲知解密密鑰，反之亦然，密鑰必須通過安全

42、途徑分發(fā)給各方。非對稱（或公開密鑰）密碼術(shù)系統(tǒng)如圖5-2（b）所示使用一對密鑰一個公開密鑰和一個專用密鑰。公開密鑰可以廣而告之，而專用密鑰則必須總是秘而不宣。專用密鑰通常存在一個智能卡或令牌上。公開密鑰從專用密鑰產(chǎn)生，且雖然這兩種密鑰在數(shù)學(xué)上相關(guān)，但沒有可行的辦法反過來從公開密鑰算出專用密鑰。要采用公開密鑰加密安全地發(fā)送保密數(shù)據(jù)給某人，發(fā)送者需用接收者的公開密鑰對數(shù)據(jù)加密。接收者用其相應(yīng)的專用密鑰對數(shù)據(jù)解密。公開密鑰也可用于對數(shù)據(jù)施加數(shù)字簽字，以證實某份文件或報文確實是自稱發(fā)送者（或發(fā)報者）的人發(fā)送的。數(shù)字簽字實際上是一份數(shù)據(jù)摘要，用簽字者的專用密鑰產(chǎn)生并附在文件或報文上。接收者用發(fā)送者的公開

43、密鑰證實數(shù)字簽字的有效性。（注：某些公開密鑰系統(tǒng)采用兩對公開密鑰/專用密鑰，一對用于加密/解密，另一對用于數(shù)字簽字/驗證。）圖 5-2對稱（或秘密）與非對稱（或公開）密鑰加密過程和主要性能圖示采用對稱加密，每對用戶必須有一對不同的密鑰，且必須安全地分發(fā)和持有這些密鑰。另一方面，采用非對稱加密，可以在一個號碼簿中公布公開加密密鑰，每個人都可以用同一個（公開）加密密鑰向一個特定用戶發(fā)送數(shù)據(jù)。這就讓非對稱加密比對稱加密更容易產(chǎn)生變化。不過從計算時間看，非對稱加密成本較高，采用非對稱加密對整個報文加密效率較低。因此，實際上非對稱加密通常用于交換對稱密鑰，然后采用一種計算效率更高的對稱算法用該對稱密鑰對

44、報文的正文加密。如果報文需要數(shù)字簽字，則先用一個安全的單向散列函數(shù)（如SHA1或MD5）對報文進(jìn)行散列運算，形成的160或128比特散列值采用發(fā)送者的專用密鑰進(jìn)行非對稱加密并附在報文上。應(yīng)注意的是，如果整個報文是加密的，無論采用對稱還是非對稱加密，都不可能將報文發(fā)送給接收者，因為經(jīng)轉(zhuǎn)節(jié)點無法確定接收者的地址。因此報文頭通常必須是未加密的。公開密鑰系統(tǒng)的安全運轉(zhuǎn)在很大程度上取決于公開密鑰的有效性。公開密鑰通常以數(shù)字證書的形式公布，而數(shù)字證書保存在某個X.500號碼簿中。證書不僅含有公開加密密鑰及視情況含有個人使用的簽字驗證密鑰，而且還含有包括證書有效性在內(nèi)的附加信息。因任何原因撤銷的證書通常都列

45、在號碼簿的證書撤銷列表（CRL）中。在使用公開密鑰之前，通常要按照CRL檢查有效性。5.2公開密鑰證書公開密鑰證書（有時被稱做“數(shù)字證書”）是驗證非對稱密鑰對所有者的一種方式。公開密鑰證書將一個公開密鑰與其所有者的名稱緊緊聯(lián)系在一起，并經(jīng)證明這一關(guān)聯(lián)的可信機(jī)構(gòu)數(shù)字簽發(fā)。這一可信機(jī)構(gòu)被稱做認(rèn)證機(jī)構(gòu)(CA)。國際認(rèn)可的公開密鑰證書格式在ITU-T X.509建議書中定義。簡而言之，一個X.509公開密鑰證書包含一個公開密鑰、使用該密鑰的非對稱算法的標(biāo)識、密鑰對所有者的名稱、證明這一所有關(guān)系的CA的名稱、證書的序列號和有效期、該證書符合的X.509版本號以及一組可選的包含該CA證書政策信息的擴(kuò)展字段

46、。整個證書然后用該CA的專用密鑰數(shù)字簽發(fā)。X.509證書可以廣泛公開，比如說在萬維網(wǎng)站上、在LDAP號碼簿中或附在電子郵件的電子名片（Vcard）上。CA的簽字保證其內(nèi)容不會在不知曉的情況下被改動。為能夠驗證一個用戶的公開密鑰證書的有效性，需要獲得簽發(fā)該證書的CA的有效公開密鑰以驗證該證書上CA的簽字。一個CA可以讓另一個（高級）CA證明它的公開密鑰，所以驗證公開密鑰可能涉及一個證書鏈。最終這個鏈必須在某處結(jié)束，通常我們就是在此處遇到作為 “可信根”CA的證書。根CA公開密鑰作為自我簽發(fā)的證書發(fā)布（該根CA由此證明這是它自己的公開密鑰）。簽字讓我們得以驗證密鑰和CA名稱自該證書生成以來未被篡改

47、。但是，我們無法對一個自我簽發(fā)的證書中嵌入的CA名稱信以為真，因為這個名稱是CA自己加進(jìn)去的。因此，公開密鑰基礎(chǔ)設(shè)施中的關(guān)鍵部分是，應(yīng)以讓我們相信該公開密鑰確實屬于自我簽發(fā)的證書中提到的根CA的方式，安全地分發(fā)根CA公開密鑰（作為自我簽發(fā)的證書）。否則，我們無法相信是否有人冒充根CA。5.3公開密鑰基礎(chǔ)設(shè)施PKI的主要目的是發(fā)布和管理公開密鑰證書，包括根CA自我簽發(fā)的證書。密鑰管理包括密鑰對的生成、公開密鑰證書的生成、公開密鑰證書的撤銷（例如用戶的專用密鑰有了變動）、密鑰與證書的保存和記錄及其到期后的銷毀。每個CA根據(jù)一套政策運行，ITU-T X.509 建議書提供了在該CA發(fā)放的證書的擴(kuò)展字

48、段中發(fā)布某些這種政策信息的機(jī)制。CA采用的政策規(guī)則和程序通常在該CA公開發(fā)布的證書政策（CP）和認(rèn)證慣例聲明（CPS）文件中規(guī)定。這些文件有助于確保我們對CA發(fā)放的公開密鑰證書的信任的評估有一個共同的基礎(chǔ)，不論是國際上的還是跨行業(yè)的。這些文件還提供了建立機(jī)構(gòu)間信任的（部分）法律框架，也規(guī)范了對發(fā)布的證書使用上的限制。應(yīng)該注意，為了利用公開密鑰證書進(jìn)行認(rèn)證，要求端點使用相關(guān)的專用密鑰值提供數(shù)字簽字。僅僅交換公開密鑰證書并不能避免中間人攻擊。5.4特權(quán)管理基礎(chǔ)設(shè)施ITU-T X.509建議書的早期版本號碼簿：認(rèn)證框架（1988、1993和1997）規(guī)定了公開密鑰基礎(chǔ)設(shè)施的基本元素，包括公開密鑰證書

49、的定義。2000年批準(zhǔn)的ITU-T X.509建議書修訂版包括對屬性證書的重要增補(bǔ)并納入了特權(quán)管理基礎(chǔ)設(shè)施（PMI）框架。（與PKI相比，PMI管理的是支持綜合授權(quán)服務(wù)的特權(quán)。）這些規(guī)定的機(jī)制考慮了在多供應(yīng)商和多應(yīng)用的環(huán)境下設(shè)置用戶訪問特權(quán)。PMI和PKI的概念相似，但PMI涉及授權(quán)，而PKI集中在認(rèn)證。圖5-1和表5-1說明了這兩種基礎(chǔ)設(shè)施的相似之處。表 5-1特權(quán)管理和公開密鑰基礎(chǔ)設(shè)施特性比較特權(quán)管理基礎(chǔ)設(shè)施公開密鑰基礎(chǔ)設(shè)施源機(jī)構(gòu)（SoA）根認(rèn)證機(jī)構(gòu)（信任錨）屬性機(jī)構(gòu)（AA）認(rèn)證機(jī)構(gòu)屬性證書公開密鑰證書屬性證書撤銷列表證書撤銷列表PMI機(jī)構(gòu)撤銷列表PKI機(jī)構(gòu)撤銷列表為用戶指配特權(quán)的目的是保

50、證他們遵循源機(jī)構(gòu)規(guī)定的安全政策。屬性證書中政策相關(guān)信息與用戶名稱綁定在一起，并包括幾個組成部分，如圖5-3所示。版本持有者發(fā)布者簽字 (算法標(biāo)識)證書序號有效期屬性發(fā)布者獨特標(biāo)識擴(kuò)展字段圖 5-3X.509屬性證書結(jié)構(gòu)ITU-T X.509建議書中描述了PMI控制的五個組成部分：特權(quán)主張者、特權(quán)驗證者、對象方法1對象方法被規(guī)定為可以調(diào)用某種資源的某種行動（如某個文件系統(tǒng)可能具有讀取、寫入或執(zhí)行等對象方法）。、特權(quán)政策和環(huán)境變量（見圖5-4）。該技術(shù)使特權(quán)驗證者能控制特權(quán)主張者按特權(quán)政策獲得對象方法。圖 5-4ITU-T X.509 PMI控制模式在有必要為某種實現(xiàn)指派特權(quán)時，ITU-T X.5

51、09建議書中考慮的PMI指派模式包括四個部分：特權(quán)驗證者、源機(jī)構(gòu)、其他屬性機(jī)構(gòu)和特權(quán)主張者（見圖5-5）。圖 5-5ITU-T X.509 PMI 特權(quán)指派模式近來有些授權(quán)方案是按照基于角色的訪問控制（RBAC）模式實現(xiàn)的，認(rèn)為用戶也是一個角色。授權(quán)政策將一組許可與某個角色聯(lián)系起來。在訪問某種資源時，按政策檢查用戶的角色以便開展后續(xù)行動。第6.5.2節(jié)說明的電子處方應(yīng)用解釋了RBAC系統(tǒng)的使用。6應(yīng)用本節(jié)介紹的應(yīng)用屬于兩個完全不同的類別。第一類關(guān)注的是最終用戶應(yīng)用。其中一個例子就是IP話音（VoIP），例中對用于提供這種最終用戶應(yīng)用的網(wǎng)絡(luò)體系結(jié)構(gòu)和組成做了說明。討論了對支持多媒體應(yīng)用的三個平面

52、而言要考慮的安全問題和解決方法，其中以VoIP作為多媒體應(yīng)用的一個特例。本節(jié)考慮的其他最終用戶應(yīng)用是在有線電視網(wǎng)上提供基于IP的實時服務(wù)的IPCablecom系統(tǒng)，以及傳真?zhèn)鬏?。本?jié)論及的不限于電信行業(yè)的應(yīng)用包括電子醫(yī)療保健，特別是電子處方系統(tǒng)。第二類關(guān)注的是網(wǎng)絡(luò)管理應(yīng)用。提供商提供的服務(wù)要滿足質(zhì)量和完整性要求，安全問題是需要考慮的重要因素。因此，對網(wǎng)絡(luò)管理活動給予適當(dāng)?shù)奶貦?quán)和授權(quán)是非常有必要的。6.1采用H.323系統(tǒng)的VoIPIP話音（VoIP），也稱為IP電話，是通過采用網(wǎng)際協(xié)議（IP）的網(wǎng)絡(luò)提供過去一直由公眾交換電話網(wǎng)（PSTN）（電路交換）提供的服務(wù)，而互聯(lián)網(wǎng)就是以IP協(xié)議為基礎(chǔ)的。

53、這些服務(wù)包括使用最多的話音服務(wù)，但也包括其他形式的媒體，包括電視與數(shù)據(jù)，如應(yīng)用程序共享和電子白板功能性。VoIP還包括一些相關(guān)的補(bǔ)充服務(wù)，如電話會議（網(wǎng)絡(luò)橋接）、呼叫前轉(zhuǎn)、呼叫等待、多線連選、呼叫改發(fā)、呼叫寄存、咨詢和呼叫隨我轉(zhuǎn)移（跟隨）等，以及許多其他智能網(wǎng)服務(wù)，其中一些也包括話音頻帶數(shù)據(jù)?；ヂ?lián)網(wǎng)話音服務(wù)是VoIP的一種特殊運用，它的話音流由公眾互聯(lián)網(wǎng)骨干網(wǎng)承載。應(yīng)用H.323是一個總括性的ITU-T建議書，它為通過包括互聯(lián)網(wǎng)、局域網(wǎng)（LAN）和廣域網(wǎng)（WAN）在內(nèi)不提供服務(wù)質(zhì)量（QoS）保證的的分組交換網(wǎng)進(jìn)行聲音、電視和數(shù)據(jù)通信奠定了基礎(chǔ)。這些網(wǎng)絡(luò)主要是目前的企業(yè)辦公網(wǎng)絡(luò)，還包括以太網(wǎng)上的

54、分組交換TCP/IP和IPX、高速以太網(wǎng)和令牌環(huán)網(wǎng)技術(shù)。遵守了H.323，多廠商的多媒體產(chǎn)品和應(yīng)用就可以互操作，使得用戶在通信時不必?fù)?dān)心產(chǎn)品的兼容性。H.323是第一個規(guī)定的VoIP協(xié)議，被認(rèn)為是VoIP類產(chǎn)品的基礎(chǔ)，用于消費者、企業(yè)、服務(wù)提供商、娛樂業(yè)和專業(yè)應(yīng)用。作為H.323系統(tǒng)一部分的核心建議書如下。H.323“總括性”文件，描述H.225.0、H.245以及其他一些有關(guān)文件在提供基于包的多媒體會議服務(wù)時的用法。H.225.0 描述了三個信令協(xié)議（RAS、呼叫信令和“附件G”）。H.245 多媒體控制協(xié)議（H.310、H.323和H.324共有的）。H.235.x 基于H.323的系統(tǒng)的

55、安全。H.246 與PSTN的互通。H.450.x 補(bǔ)充服務(wù)。H.460.x H.323協(xié)議的各種擴(kuò)展。H.501 移動性管理和域間/域內(nèi)通信協(xié)議。H.510 用戶、終端和服務(wù)的移動性。H.530H.510的安全規(guī)范。ITU-T于1996年批準(zhǔn)了第一版H.323建議書，1998年1月批準(zhǔn)了第二版，現(xiàn)在的第六版是2006年獲得批準(zhǔn)的。這個標(biāo)準(zhǔn)涵蓋的范圍寬泛，既涉及獨立的設(shè)備，也涉及嵌入式個人計算機(jī)技術(shù)，還涉及點對點和點對多點會議。ITU-T H.323建議書論及呼叫控制、多媒體管理和帶寬管理，以及不同網(wǎng)絡(luò)間的接口。H.323是一個比較大的通信標(biāo)準(zhǔn)系列的一部分，這些標(biāo)準(zhǔn)使電視會議得以跨網(wǎng)絡(luò)進(jìn)行。這

56、個系列建議書稱做H.32x，包括H.320和H.324，分別論及ISDN和PSTN通信。本入門讀物對H.323標(biāo)準(zhǔn)的益處、體系結(jié)構(gòu)和應(yīng)用做一個概述。H.323定義了以網(wǎng)絡(luò)為基礎(chǔ)的通信系統(tǒng)的四個主要組成部分：終端、網(wǎng)關(guān)、網(wǎng)守和多點控制單元。此外，可能還有邊界元素或?qū)Φ仍亍Ｒ陨暇W(wǎng)絡(luò)單元見圖6-1。圖6-1H.323 系統(tǒng): 組成部分和配置方案終端（T）是位于提供雙向通信的IP骨干網(wǎng)上的客戶端點。H.323終端必須支持話音通信，并且可以支持電視編解碼器、T.120數(shù)據(jù)會議協(xié)議以及多點控制單元（MCU）能力。例如：IP電話、可視電話、交互式話音應(yīng)答（IVR）設(shè)備、話音郵件系統(tǒng)、“軟件電話”（如Net

57、MeetingTM）等。網(wǎng)關(guān)（GW）可以提供許多服務(wù)，最常見的就是在H.323端點與其他終端類型間的轉(zhuǎn)換功能。這個功能包括傳輸格式間的轉(zhuǎn)換（如H.225.0到H.221的轉(zhuǎn)換）和通信程序間的轉(zhuǎn)換（如H.245到H.242的轉(zhuǎn)換）。此外，網(wǎng)關(guān)可以在各種聲音與電視編解碼器之間進(jìn)行轉(zhuǎn)換，并在分組交換側(cè)和電路交換網(wǎng)側(cè)執(zhí)行呼叫建立與清除。網(wǎng)守（GK）是H.323衍生網(wǎng)絡(luò)中的一個最重要的組成部分，在其轄區(qū)內(nèi)對所有的呼叫處理起著核心作用，并為在冊端點提供呼叫控制服務(wù)。許多情況下，H.323網(wǎng)守的作用相當(dāng)于一個虛擬交換機(jī)，因為它可以實現(xiàn)準(zhǔn)入控制、地址解析，并且可以直接在端點間建立呼叫，或可以通過網(wǎng)守自身發(fā)送呼

58、叫信令，實現(xiàn)例如跟隨/定位、忙時呼叫轉(zhuǎn)移等功能。與網(wǎng)守關(guān)聯(lián)的設(shè)備有邊界（或?qū)Φ龋┰兀˙E），用來在管理域內(nèi)交換尋址信息和參與呼叫授權(quán)。這樣的功能性也將使不同的H.323“島”或網(wǎng)絡(luò)之間互相通信。這是通過交換一系列的信息實現(xiàn)的，如圖6-2所示。圖例：BE：邊界元素；GK：網(wǎng)守；GW：網(wǎng)關(guān)；MCU：多點控制單元；T：終端；RAS：注冊、準(zhǔn)入和狀態(tài)協(xié)議圖 6-2管理域之間的通信多點控制單元（MCU）支持三個或多個端點間的會議。H.323協(xié)議規(guī)定，MCU包括一個必備的多點控制器，零個或多個多點處理器。多點控制器負(fù)責(zé)管理呼叫信令但不能直接處理任何媒體流。由多點處理器來處理媒體流，它能夠混合、交換和處理

59、聲音、電視和/或數(shù)據(jù)比特。多點控制器和多點處理器的性能可以集成在一個專用組件中或是作為其他H.323組件的一部分。已投入生產(chǎn)的H.323網(wǎng)絡(luò)當(dāng)今每月承載著數(shù)十億分鐘的話音和視頻業(yè)務(wù)量；當(dāng)今大部分的VoIP業(yè)務(wù)量都是通過H.323協(xié)議傳輸?shù)摹?jù)估計，目前VoIP業(yè)務(wù)量已占國際長途電話分鐘數(shù)的百分之十以上，而且H.323視頻業(yè)務(wù)量也在穩(wěn)步上升。其主要原因在于協(xié)議自身的成熟性和它的實施，再有就是H.323被證實是一個極具擴(kuò)展性的解決方案，H.323產(chǎn)品從組件和芯片到無線電話和電視會議硬件，可同時滿足服務(wù)提供商和企業(yè)的需求。下面是H.323系統(tǒng)提供的功能性列表：話音、電視和數(shù)據(jù)會議性能；不同終端類型間

60、的通信，包括個人計算機(jī)（PC）到電話、傳真到傳真、電話到電話和網(wǎng)上通話；支持T.38傳真、IP文本和IP調(diào)制解調(diào)；大量補(bǔ)充服務(wù)（呼叫轉(zhuǎn)移、呼叫代接等）；與包括H.320（ISDN）和H.323M（3GPP移動無線）在內(nèi)的其他H.32x系統(tǒng)的強(qiáng)互操作性；媒體網(wǎng)關(guān)分解規(guī)范（通過H.248網(wǎng)關(guān)控制協(xié)議）；支持信令和媒體安全；用戶、終端和服務(wù)終端的移動性；支持應(yīng)急服務(wù)信令。應(yīng)用H.323協(xié)議的例子包括運營商從事的批發(fā)轉(zhuǎn)接服務(wù)，特別是VoIP骨干網(wǎng)（與話音服務(wù)四類交換機(jī)相當(dāng)）和電話卡服務(wù)的轉(zhuǎn)接。在集團(tuán)通信中H.323協(xié)議被用于IP-PBX交換機(jī)、IP交換中心（IP-Centrex）、話音虛擬專網(wǎng)、話音和