Sicherheitsdienst (Telekommunikation)

Sicherheitsdienst ist ein Dienst, der von einer Ebene der kommunizierenden offenen Systeme bereitgestellt wird, die eine angemessene Sicherheit der Systeme oder der Datenübertragungen gewährleistet[1] wie definiert von Itu-t X.800 Empfehlung.
X.800 und ISO 7498-2 (Informationsverarbeitungssysteme-Open Systems Interconnection-Basic Referenzmodell-Teil 2: Sicherheitsarchitektur)[2] sind technisch ausgerichtet. Dieses Modell ist allgemein anerkannt [3] [4]

Eine allgemeinere Definition ist in der CNSS -Anweisung Nr. 4009 vom 26. April 2010 von Ausschuss für nationale Sicherheitssysteme von vereinigte Staaten von Amerika:[5]

Eine Fähigkeit, die einen oder mehr der Sicherheitsanforderungen (Vertraulichkeit, Integrität, Verfügbarkeit) unterstützt. Beispiele für Sicherheitsdienste sind wichtige Verwaltung, Zugriffskontrolle und Authentifizierung.

Eine weitere maßgebliche Definition ist in W3c Internetservice Glossar [6] adoptiert von NIST SP 800-95:[7]

Ein Verarbeitungs- oder Kommunikationsdienst, der von einem System bereitgestellt wird, um Ressourcen eine bestimmte Art von Schutz zu gewährleisten, in dem diese Ressourcen bei diesem System oder bei anderen Systemen wohnen können, z. Service. Ein Sicherheitsdienst ist ein Superet von AAA -Diensten. Sicherheitsdienste implementieren in der Regel Teile der Sicherheitsrichtlinien und werden über Sicherheitsmechanismen implementiert.

Grundlegende Sicherheitsterminologie

Informationssicherheit und Computersicherheit sind Disziplinen, die sich mit den Anforderungen befassen Vertraulichkeit, Integrität, Verfügbarkeit, die sogenannte CIA-Triade, das Informationsvermögen einer Organisation (Unternehmen oder Agentur) oder die von Computern verwalteten Informationen.

Es gibt Bedrohungen das kann Attacke Die Ressourcen (Informationen oder Geräte zur Verwaltung) Ausbeutung ein oder mehr Schwachstellen. Die Ressourcen können durch einen oder mehrere geschützt werden Gegenmaßnahmen oder Sicherheitskontrollen.[8]

Daher implementieren Sicherheitsdienste einen Teil der Gegenmaßnahmen und versuchen, die Sicherheitsanforderungen einer Organisation zu erreichen.[3][9]

Grundlegende OSI -Terminologie

Um verschiedene Geräte (Computer, Router, Mobiltelefone) zu lassen, um Daten auf standardisierte Weise zu kommunizieren, Kommunikationsprotokolle war definiert worden.

Das Itu-t Organisation veröffentlichte eine große Reihe von Protokollen. Die allgemeine Architektur dieser Protokolle ist in Empfehlung X.200 definiert.[10]

Die unterschiedlichen Mittel (Luft, Kabel) und Wege (Protokolle und Protokollstapel) zu kommunizieren werden a genannt Kommunikationsnetzwerk.

Sicherheitsanforderungen gelten für die über das Netzwerk gesendeten Informationen. Die Disziplin, die sich mit Sicherheit über ein Netzwerk befasst Netzwerksicherheit.[11]

Die X.800 -Empfehlung:[1]

  1. Bietet eine allgemeine Beschreibung von Sicherheitsdiensten und verwandten Mechanismen, die von der bereitgestellt werden können Referenzmodell; und
  2. Definiert die Positionen innerhalb des Referenzmodells, in dem die Dienste und Mechanismen erbracht werden können.

Diese Empfehlung erweitert das Anwendung von Empfehlung X.200, um sie abzudecken sichere Kommunikation zwischen Offene Systeme.

Nach X.200-Empfehlung in der sogenannten Empfehlung OSI -Referenzmodell Es gibt 7 SchichtenJeder wird generisch n Schicht bezeichnet. Das N+1 -Unternehmen fordert Übertragungsdienste für die N -Entität an.[10]

In jeder Stufe zwei Einheiten (N-Entität) interagieren mittels des (n) Protokolls durch Senden Protokolldateneinheiten (PDU).Servicedateneinheit (SDU) ist eine spezifische Dateneinheit, die von einer OSI -Schicht an eine niedrigere Schicht übergeben wurde und noch nicht war eingekapselt in eine PDU, durch die untere Schicht. Es handelt sich um eine Reihe von Daten, die von einem Benutzer der Dienste einer bestimmten Ebene gesendet und semantisch unverändert an einen Peer -Service -Benutzer übertragen werden. Die PDU in einer bestimmten Schicht, Schicht 'n', ist die SDU der unten stehenden Schicht 'n-1'. Tatsächlich ist die SDU die "Nutzlast" einer bestimmten PDU. Das heißt, der Prozess des Wechsels einer SDU in eine PDU besteht aus einem von der unteren Schicht durchgeführten Kapselungsprozess. Alle in der SDU enthaltenen Daten werden innerhalb der PDU eingekapselt. Die Schicht N-1 fügt der SDU Header oder Fußzeilen oder beides hinzu und verwandelt sie in eine PDU der Schicht N-1. Die hinzugefügten Header oder Fußzeilen sind Teil des Prozesses, mit dem Daten von einer Quelle an ein Ziel abgerufen werden können.[10]

OSI Security Services Beschreibung

Die folgenden werden als Sicherheitsdienste angesehen, die optional im Rahmen des OSI -Referenzmodells bereitgestellt werden können. Die Authentifizierungsdienste erfordern Authentifizierungsinformationen, die lokal gespeicherte Informationen und Daten umfassen, die übertragen werden (Anmeldeinformationen), um die Authentifizierung zu erleichtern:[1][4]

Authentifizierung
Diese Dienste bieten die Authentifizierung einer kommunizierenden Peer -Entität und der unten beschriebenen Datenquelle.
Peer -Entity -Authentifizierung
Dieser Dienst bietet, wenn er von der (n) -Layer bereitgestellt wird, die Bestätigung der (n + 1) -Entität, dass die Peer-Entität die geltende (n + 1) -entität ist.
Datenursprung Authentifizierung
Dieser Dienst bietet, wenn er von der (n) -Layer bereitgestellt wird, eine Bestätigung für eine (n + 1) -Entität, dass die Quelle der Daten die beanspruchte Peer (N + 1) -entität ist.
Zugangskontrolle
Dieser Service bietet Schutz vor nicht autorisierter Nutzung von Ressourcen, die über OSI zugänglich sind. Diese können OSI- oder Nicht-ASI-Ressourcen über OSI-Protokolle aufnehmen. Dieser Schutzdienst kann auf verschiedene Arten des Zugriffs auf eine Ressource (z. B. die Verwendung einer Kommunikationsressource; das Lesen, das Schreiben oder die Löschung einer Informationsressource; die Ausführung einer Verarbeitungsressource) oder auf alle Zugriffe auf angewendet werden eine Ressource.
Daten Vertraulichkeit
Diese Dienste bieten den Schutz von Daten vor nicht autorisierter Offenlegung, wie nachstehend beschrieben
Verbindungsvertraulichkeit
Dieser Service sieht die Vertraulichkeit aller (n) -Userdaten für eine (n) Konnection vor
Verbindungslose Vertraulichkeit
Dieser Service sieht die Vertraulichkeit aller (n) -Userdaten in einem einzigen verbindungslosen (n) -sdu vor
Selektives Feld Vertraulichkeit
Dieser Service sieht die Vertraulichkeit ausgewählter Felder innerhalb der (n) -Userdaten auf einer (n) Konnection oder in einem einzigen verbindungslosen (n) -SDU vor.
Verkehrsfluss Vertraulichkeit
Dieser Service sieht den Schutz der Informationen vor, die aus der Beobachtung von Verkehrsströmen abgeleitet werden können.
Datenintegrität
Diese Dienste kontert aktiv Bedrohungen und kann eine der unten beschriebenen Formen annehmen.
Verbindungsintegrität mit der Wiederherstellung
Dieser Service sieht die Integrität aller (n) -Userdaten in einer (n) Konnection vor und erkennt jegliche Modifikation, Insertion, Löschung oder Wiederholung von Daten innerhalb einer gesamten SDU-Sequenz (mit der Wiederherstellung versuchten).
Verbindungsintegrität ohne Wiederherstellung
Was die vorherige betrifft, aber ohne Genesung versucht.
Integrität der selektiven Feldverbindung
Dieser Service sieht die Integrität ausgewählter Felder in den (n) -Urer-Daten einer (n) -SDU über eine Verbindung vor und nimmt die Bestimmung an, ob die ausgewählten Felder geändert, eingefügt, gelöscht oder wiederholt wurden.
Verbindungslose Integrität
Dieser Dienst bietet, wenn er von der (n) -Layer bereitgestellt wird, die Integritätssicherung für die Anfrage (n + 1) -entität. Dieser Service sieht die Integrität einer einzigen verbindungslosen SDU vor und kann in Form der Bestimmung angehen, ob eine empfangene SDU geändert wurde. Zusätzlich kann eine begrenzte Form der Nachweisdauer der Wiederholung bereitgestellt werden.
Selektive feldverbindungslose Integrität
Dieser Service sieht die Integrität ausgewählter Felder innerhalb einer einzigen verbindungslosen SDU vor und nimmt die Bestimmung an, ob die ausgewählten Felder geändert wurden.
Nicht-Repudiation
Dieser Service kann eine oder beide von zwei Formen annehmen.
Nicht-Repudiation mit Ursprungsnachweis
Der Datenempfänger wird mit dem Nachweis des Ursprungs von Daten vorgelegt. Dies wird vor einem Versuch des Absenders schützen, fälschlicherweise das Senden der Daten oder dessen Inhalt zu verweigern.
Nicht-Repudiation mit Nachweis der Lieferung
Der Datenabsender wird mit dem Nachweis der Bereitstellung von Daten bereitgestellt. Dies wird vor einem nachfolgenden Versuch des Empfängers schützen, die Empfangen der Daten oder dessen Inhalt fälschlicherweise zu verweigern.

Spezifische Sicherheitsmechanismen

Die Sicherheitsdienste können mittels Sicherheitsmechanismus erbracht werden:[1][3][4]

Die Tabelle 1/X.800 zeigt die Beziehungen zwischen Diensten und Mechanismen

Illustration der Beziehung von Sicherheitsdiensten und Mechanismen
Service Mechanismus
Verschlüsselung Digitale Unterschrift Zugangskontrolle Datenintegrität Authentifizierungsaustausch Verkehrspolsterung Routing -Kontrolle Beglaubigung
Peer -Entity -Authentifizierung Y Y · · Y · · ·
Datenursprung Authentifizierung Y Y · · · · · ·
Zugangskontrolldienst · · Y · · · · ·
Verbindungsvertraulichkeit Y . · · · · Y ·
Verbindungslose Vertraulichkeit Y · · · · · Y ·
Selektives Feld Vertraulichkeit Y · · · · · · ·
Verkehrsfluss Vertraulichkeit Y · · · · Y Y ·
Verbindungsintegrität mit der Wiederherstellung Y · · Y · · · ·
Verbindungsintegrität ohne Wiederherstellung Y · · Y · · · ·
Integrität der selektiven Feldverbindung Y · · Y · · · ·
Verbindungslose Integrität Y Y · Y · · · ·
Selektive feldverbindungslose Integrität Y Y · Y · · · ·
Nicht-Repudiation. Herkunft · Y · Y · · · Y
Nicht-Repudiation. Lieferung Y · Y · · · Y

Einige von ihnen können auf verbindungsorientierte Protokolle angewendet werden, andere an verbindungslose Protokolle oder beides.

Die Tabelle 2/X.800 zeigt die Beziehung von Sicherheitsdiensten und -schichten:[4]

Illustration des Verhältnisses von Sicherheitsdiensten und -schichten
Service Schicht
1 2 3 4 5 6 7*
Peer -Entity -Authentifizierung · · Y Y · · Y
Datenursprung Authentifizierung · · Y Y · · Y
Zugangskontrolldienst · · Y Y · · Y
Verbindungsvertraulichkeit Y Y Y Y · Y Y
Verbindungslose Vertraulichkeit · Y Y Y · Y Y
Selektives Feld Vertraulichkeit · · · · · Y Y
Verkehrsfluss Vertraulichkeit Y · Y · · · Y
Verbindungsintegrität mit der Wiederherstellung · · · Y · · Y
Verbindungsintegrität ohne Wiederherstellung · · Y Y · · Y
Integrität der selektiven Feldverbindung · · · · · · Y
Verbindungslose Integrität · · Y Y · · Y
Selektive feldverbindungslose Integrität · · · · · · Y
Nicht-Repudiation-Herkunft · · · · · · Y
Nicht-Repudiation. Lieferung · · · · · · Y

Andere verwandte Bedeutungen

Verwalteter Sicherheitsdienst

Verwalteter Sicherheitsdienst (MSS) sind Netzwerksicherheit Dienstleistungen, die gewesen sind ausgelagert an einen Dienstleister.

Siehe auch

Verweise

  1. ^ a b c d X.800: Sicherheitsarchitektur für die Verbindungsverbindung für offene Systeme für CCITT -Anwendungen
  2. ^ ISO 7498-2 (Informationsverarbeitungssysteme-Open Systems Interconnection-Basic Referenzmodell-Teil 2: Sicherheitsarchitektur)
  3. ^ a b c William Stallings Crittografia e sicurezza delle reti seconda edizione ISBN88-386-6377-7 Traduzione Italiana A Cura di Luca Salgarelli di Kryptographie und Netzwerksicherheit 4 Edition Pearson 2006
  4. ^ a b c d Sicherung von Informationen und Kommunikationssystemen: Prinzipien, Technologien und Anwendungen Steven Furnell, Sokratis Katsikas, Javier Lopez, Artech House, 2008 - 362 Seiten
  5. ^ CNSS -Anweisung Nr. 4009 Datum 26. April 2010
  6. ^ W3C Web Services Glossar
  7. ^ NIST Special Publication 800-95 Leitfaden zum sicheren Webdiensten
  8. ^ Internet Engineering Task Force RFC 2828 Internet -Sicherheit Glossar
  9. ^ Network Security Essentials: Anwendungen und Standards, William Stallings, Prentice Hall, 2007 - 413 Seiten
  10. ^ a b c X.200: Informationstechnologie - Open Systems Interconnection - Basisreferenzmodell: Das Basismodell
  11. ^ Simmonds, a; Sandilands, p; Van Ekert, L (2004). "Eine Ontologie für Netzwerksicherheitsangriffe". Vorlesungen in Informatik 3285: 317–323

Externe Links