컴퓨터 보안 개발 현황

네트워크 기술의 급속한 발전과 네트워크 애플리케이션의 대중화로 인해 네트워크 보안 문제가 점점 더 중요해지고 있습니다. 인터넷상의 불법 행위를 어떻게 선제적으로 방어하고 효과적으로 억제할 것인가는 오늘날 시급히 해결해야 할 중요한 문제입니다. 본 특집에서는 컴퓨터 네트워크 보안 연구의 현황과 발전 동향 및 관련 이론을 논의하고, 여러 가지 컴퓨터 보안 모델과 개발 방법을 소개한다.

1. 개방형 인터넷 네트워크의 보안 문제에 대한 연구 이 글에서는 컴퓨터 보안 연구의 현황과 발전 동향을 소개하고

공개 키 암호화 및 OSI 보안 아키텍처를 자세히 설명합니다. 분석.

2. 컴퓨터 보안 모델 소개 액세스 제어 모델과 정보 흐름 모델은 두 가지 주류 컴퓨터 보안 모델입니다.

기사에서는 이를 각각 소개했습니다.

3. 컴퓨터 보안 정책 모델의 개발 방법 이 기사에서는 두 가지 유형의 보안 모델 개발 방법, 즉 기능적 방법과

관계형 방법을 설명합니다. 상태 기계 모델 및 경계 흐름 방법의 구체적인 개발 단계

4. 인터넷에서 방화벽 구현 현재 방화벽은 네트워크 구현을 위한 가장 효과적인 도구 중 하나가 되었습니다. 보안 전략.

방화벽의 아키텍처는 무엇입니까? 방화벽에는 몇 가지 종류가 있습니까? 저자는 기사에서 이를 소개합니다. 개방형 인터넷 보안 문제 연구

보안 문제 연구

Yu Weitang Yewen Bai Yingcai, Shanghai Jiao Tong University Jinqiao Network Engineering Center

1. 개방형 시스템의 보안을 위해

현재 우리나라는 국민경제의 정보화가 진전되면서 인터넷 활용 붐이 일고 있는 한창이다. >

시스템. 사람들은 인터넷이 제공하는 다양한 혜택을 누리는 동시에 점점 더 널리 퍼지는 인터넷상의 정보 쓰레기와 불법 행위에 어떻게 대처할 것인지 고민해야 하며, 인터넷상의 보안 문제를 해결하는 방법도 연구해야 합니다.

우리 모두 알고 있듯이, 글로벌 커뮤니케이션을 위해 널리 개방된 물리적 네트워크 환경을 사용하는 것이 시대적 추세가 되었습니다. 그러나 집단이나 개인의 실제 요구를 충족하기 위해 개방형 물리적 환경에서 폐쇄형 논리적 환경을 어떻게 구축할 것인가는 반드시 고려해야 할 현실적 문제가 되었다. 개방형 시스템은 분산된 노드의 특성과 관리의 어려움으로 인해 불법적인 운영으로 인한 공격과 손실에 취약한 경우가 많습니다.

개방성과 보안성 자체가 모순의 쌍이다. 이를 어떻게 조율할 것인가가 우리에게 점점 더 큰 관심사가 되고 있다. 따라서 우리는 개방형 시스템의 보안에 대해 심층적이고 독립적인 연구를 수행하고, 개방형 시스템의 보안 실현과 관련된 핵심 기술 링크를 명확히 하며, 개방형 시스템의 보안을 달성하기 위한 설계, 솔루션 및 조치를 숙지해야 합니다.

2. 컴퓨터 보안 소개

실제 사회에서 우리는 다양한 위협에 직면하게 되며, 일부는 우리 자신의 실수로 인해 발생합니다. p>, 각종 시설 및 장비의 오작동으로 인해 발생하는 경우도 있고, 각종 자연재해로 인해 발생하는 경우도 있습니다. 이러한 위험의 일반적인 특징은 "수동적"이거나 우발적이라는 점이며 이는 이 문서의 범위에 속하지 않습니다. 가장 위험한 위협은

'활성'입니다. 소위 "적극적 위협"은 사람들이 다양한 목적을 위해 의도적으로 행하는 위협을 의미합니다. 그들의 목표는 상대방에게 손실을 입히고 자신에게는 이익을 얻는 것입니다. 컴퓨터 보안에는 다음이 포함됩니다.

·전산실의 물리적 상태, 시설의 안전 기준, 컴퓨터 하드웨어의 설치 및 구성 등 컴퓨터 개체의 보안.

·시스템 소프트웨어 및 응용 프로그램 소프트웨어를 불법 복제 및 바이러스로부터 보호하는 등 소프트웨어 보안.

·네트워크 정보 데이터 보안, 데이터베이스 시스템 보안 등 컴퓨터 데이터 보안.

·런타임 긴급 상황의 안전한 처리 등 컴퓨터 운영 보안 컴퓨터 보안 기술, 컴퓨터

보안 관리 및 컴퓨터 보안 평가를 포함합니다.

컴퓨터 네트워크의 보안 문제는 한편으로는 컴퓨터 네트워크가 리소스를 독점적으로 공유하므로 시스템의 안정성이 향상됩니다.

작업 효율성을 향상시키고 확장성을 가지게 되지만, 바로 이러한 특성 때문에 네트워크의 취약성과 복잡성이 증가합니다. 리소스를 공유하고 배포하면 네트워크 공격 가능성이 높아집니다. 오늘날의 네트워크에는

근거리 통신망(LAN)뿐만 아니라 브리지, 게이트웨이 장치, 모뎀, 지역 간 다양한 공개 또는 비공개 스위치와 다양한 통신 장비가 사용됩니다. 네트워크 확장 및 네트워크 간 상호 연결을 통해 WAN(Wide Area Network)을 형성합니다. 네트워크의 적용 범위와 밀도가 크게 증가함에 따라 네트워크 경계를 구분하고 정보 전송 경로를 예측하기가 어려워져 네트워크 보안 제어 및 관리의 어려움이 커지고 있습니다.

컴퓨터 네트워크 시스템의 보안 설계 및 구현에는 다음과 같은 5가지 요소가 포함됩니다.

·보안 요구 사항 분석, 네트워크에서 발생할 수 있는 취약한 링크 분석 및 이러한 링크로 인해 발생할 수 있는 피해 그리고

이로 인한 결과.

·위의 보안 요구사항 분석 결과를 바탕으로 네트워크에서 어떤 위험 요소를 통제해야 하는지, 통제 수준, 보호해야 할 자원 및 보호 수준을 결정합니다. .

·보안정책을 달성하기 위해 포함되어야 할 보안기능과 기능 및 조항을 선택한다.

·보안 기능을 구현하기 위한 보안 조치와 구체적인 기술 및 방법을 선택합니다.

·안전 관리 개선: 관련 정보 보고서 전송을 포함하여 안전 조치를 효과적으로 사용하고 안전 기능을 반영하기 위해 취해진 기술적 조치를 지원하고 보장합니다

.

이 글에서는 주로 네트워크 자원의 보안, 특히 정보를 처리, 저장, 전송하는 과정에서 네트워크의 보안에 대해 논의합니다.

따라서 네트워크 보안을 측정하는 지표는 다음과 같습니다. 가용성, 무결성, 기밀성입니다.

·Availability(가용성) 사용자는 필요할 때 시스템 리소스에 액세스할 수 있습니다.

·무결성(Integrity)은 시스템 리소스가 작동하는 방식을 결정하고 정보는 승인되지 않은 소스에 의해 교체 및 파기될 수 없습니다.

·기밀성(Confidentiality)은 어떤 정보를 스누핑할 수 없고 어떤 시스템 리소스를 사용할 수 없는지 정의합니다. 승인되지 않은

사용자가 액세스할 수 있습니다.

모든 정보 시스템의 보안은 4A 기밀성으로 측정할 수 있습니다. 즉:

사용자 인증(인증)은 사용자가 시스템에 액세스하기 전에 사용자의 신원을 확인합니다. 확인(예: 비밀번호 방법)을 받으세요.

·인증은 사용자가 시스템에 액세스하는 방법을 의미합니다.

·책임(Accountability) 추적을 통해 얻은 사건 기록을 확인하는 등 증거(Proof)와 증거( 증거).

·Assurance(보증) 시스템이 어느 정도의 신뢰성을 갖고 있는지.

3. 컴퓨터 보안 연구 현황 및 발전 동향

1960년대 이전까지 서구에서는 통신과 전자 신호의 기밀성에 중점을 두었습니다. 1960년대 중반, 미국 관리들은 공식적으로 컴퓨터 보안 문제를 제기했습니다. 미국은 1981년 국방안보센터(NCSC)를 설립했고, 1983년에는 '오렌지북'을 공식 발표했다.

이 책과 이후 발표된 일련의 책들은 컴퓨터와 관련된 중요한 개념을 정립했다. 보안은 여러 세대의 제품 개발 및 생산에 영향을 미쳤으며 오늘날에도 여전히 권위를 갖고 있습니다. ISO는 OSI/RM을 제안한 후 ISO/7498-2(보안 아키텍처)도 제안했습니다.

또한 1980년대 중반부터 CEC(유럽통신위원회)에서는 협력과 결과 공유의 형태로 일련의 작업을 진행하여 탐구하고 연구해왔다. 개방형 컴퓨터 시스템과 통합 가능한 보안 시스템을 위한 환경에 적용 가능한 방법

.

인터넷상의 상용 응용 프로그램이 개발됨에 따라 선진국에서는 방화벽에 대한 연구 및 적용을 시작했습니다.

최근 국내외 보안 연구는 크게 두 가지 측면에 초점을 맞춰왔다. 하나는 암호학 이론에 기초한 다양한 데이터 암호화 조치이고, 다른 하나는 고립된 통신에 대한 연구이다. 컴퓨터 네트워크의 맥락에서 보안 모델. 전자는 더 많이 실행되었으며

실제 적용에서 좋은 결과를 얻은 반면, 후자는 아직 이론적 탐구 단계에 있어 완벽하지 않으며 특히 부족합니다.

부족 유기적 연결이 있으며 고립된 작업으로 제한됩니다. ISO는 1989년에 보안 아키텍처를 제안했습니다. 개방형 시스템에서 제공해야 하는

보안 메커니즘, 보안 관리, 보안 서비스를 포함하고 있지만 개념적 모델

유형일 뿐입니다. 실제로 실제로 적합한 공식적인 보안 모델은 아직 없습니다. 그럼에도 불구하고 많은 학자와 과학연구기관은 이를 바탕으로 많은 유용한 탐구를 수행해 왔습니다.

분산 보안 프로젝트 구현을 위해 MIT는 1985년에 Athena 프로젝트를 시작했고, 이는 결국 유명한 보안 시스템인 Kerb-deros를 형성했습니다. 이 시스템은 대칭 암호화 시스템 DES를 기반으로 한 안전한 고객 서비스 시스템입니다.

각 고객은 키 센터와 키를 공유합니다. 그 특징은 센터가 고객이 요청한 시간을 기억하고 수명주기를 제공한다는 것입니다. 사용자는 수신된 키가 만료되었는지 여부를 확인할 수 있습니다. 단점은 네트워크에 있는 모든 클라이언트의 시계가 동기화되어야 한다는 것입니다. 또한 중요한 문제인 보안 감사를 무시합니다. 네트워크 환경에서는 미군 DDN 네트워크에 대한 다단계 보안 연구 등 다단계 보안의 필요성을 고려해야 한다.

또한 서로 다른 도메인 간의 다단계 보안 문제도 고려해야 합니다. 각 도메인의 보안 정책이 조금씩 다를 수 있으므로 보안 로직, 일관된 접근 제어 등 각 도메인 간의 조정 메커니즘을 고려해야 합니다.

인터넷의 기본 프로토콜인 TCP/IP 프로토콜 집합에는 익명 서비스, 브로드캐스트 등의 결함이 잇따르기 때문에

라우팅 공격으로 이어질 수 있으며, 스푸핑 및 신원 도용 공격을 해결합니다. 이를 위해 TC

P/IP 프로토콜과 인터넷 간의 불가분의 관계를 나타내는 수많은 RFC 문서가 제안되었습니다. 응용이 심화됨에 따라 TCP/IP의 다양한 문제점은 인터넷에서 처음으로 발견되어 실제로 해결되었습니다. 일부 학자들은 Unix 환경의 원격 프로시저 호출에서 UDP 방식은 불법 가로채기에 취약하고 DES 알고리즘 키 전송이 어렵다고 생각하여 공개 키 시스템의 사용을 권장합니다.

인터넷의 보안 적용에 관한 수많은 문헌 보고가 있었습니다. 예를 들어, 보안 서비스를 제공할 수 있고 개방형 환경에 적합한 기업 통합 네트워크 EINET을 채택했습니다.

인터넷 서비스의 클라이언트/서버 구조 특성을 채택하여 사용자에게 "유연한" 보안을 제공합니다. 프레임워크는 보안과 개방성을 모두 고려하므로 사용자는 보안 메커니즘 제공의 영향을 받는 온라인 데이터에 정상적으로 접근할 수 없습니다. OSI 보안시스템을 기반으로 보안시스템, 보안운영, 보안관리의 3계층 보안시스템 구조를 구축한다. 마지막으로 보안 시스템은 FTP, Telnet, WAIS 및 E-mail과 같은 인터넷의 다양한 애플리케이션에 통합됩니다. 또 다른 예로, 최종 사용자 인증 메커니즘, 액세스 제어, 데이터 보안 및 무결성 등과 같은 인터넷상의 다양한 검색 도구인 Gopher, WAIS 및 WWW의 보안에 대해 제안했습니다.

클라이언트/서버 구조의 특성을 고려하여 객체 관리 그룹을 사용하여 다단계 분산 보안 조치를 구현할 수 있으며 OSI 고려 사항을 기반으로 통합된 보안 프레임워크를 제안합니다. 오리지널 제품이 포함된 보안 모듈

일부 문헌에서는 개방형 환경에서 공중 교환 통신 네트워크가 직면하는 위협에 대해 논의하고 정책 조치를 제안합니다.

기업은 OSI 채널을 통해 정부와 협력해야 합니다. 공공 네트워크의 보안 관리를 위한 실용적인 도구를 개발합니다. 동시에, 분산된 다중 도메인 환경에서 국제 표준 분산 보안 관리 확립의 중요성을 지적하고, 분산 관리 기능 서비스 관점에 초점을 맞췄습니다. 네트워크의 개방성과 보안성은 한 쌍의 모순이기 때문에 네트워크 통신에서 보안성과 기밀성으로 인해 발생할 수 있는 일련의 문제에 대해 논의할 필요가 있다

. 이제 네트워크에서 사용되는 보안 게이트웨이 장비는 동일한 수준의 기밀 유지 효과만 보장할 수 있습니다. 서로 다른 수준의 사용자는 프로토콜 보안 변환을 수행해야 하므로 네트워크 통신이 발생합니다.

문자 병목 현상이 발생합니다. 따라서 상호 연결을 위해 보안 게이트웨이 장비를 사용하는 것은 일시적인 조치일 뿐입니다. 이 문제를 해결하려면 네트워크의 보안 시스템을 고려해야 합니다. 현재 ATM, ISDN 네트워크 보안 연구 등 고속 네트워크의 보안 문제가 점차 사람들의 관심을 끌고 있습니다. 주요 연구 이슈로는 고성능 고속 암호화 알고리즘 연구, 셀 손실이 암호화 시스템에 미치는 영향 등이 있습니다.

보안 시스템에서는 암호화 조치 외에도 접근 제어도 매우 중요한 역할을 합니다. 그러나 소스 및 대상 주소를 기반으로 하는 게이트웨이 노드 필터링 기술과 같은 일반적인 접근 제어 기술은 네트워크 계층에서 의미 있는 결정을 내리기 때문에 애플리케이션 계층의 주소 정보를 제어할 수 없으며 따라서 사칭하는 불법 사용자를 처리할 수 없습니다. 그들 자신. 또한, 공통 접근 제어 매트릭스

가 상대적으로 희박하기 때문에 사용자 항목을 추가할 때 효율적이지 않으며 효과적인 삭제 작업을 수행할 수 없습니다. 따라서 효과적인 동적 접근통제 방법이 연구되어야 한다.

4. 공개 키 암호화

컴퓨터 네트워크 보안의 발전은 암호화 연구를 기반으로 합니다. 암호 연구가 진행됨에 따라 많은 암호 시스템이 등장하여 컴퓨터 네트워크 보안 연구 프로세스를 크게 촉진했습니다.

1. 대칭형 암호 시스템

암호화 키와 복호화 키가 동일하거나 동일하지 않더라도 둘 중 하나로 추론할 수 있는 암호화 시스템

다른 하나는 대칭 암호 시스템입니다. 가장 일반적인 것에는 유명한 DES 알고리즘이 포함됩니다. 기밀성 강도가 높다는 장점이 있지만,

그러나 "모든 비밀은 키에 담겨 있다"는 원칙에 따라 키를 안전하게 전송해야 합니다.

시스템 보안에 영향을 미치는 주요 요소는 개방형 컴퓨터 네트워크의 요구 사항을 충족하기 어렵습니다.

DES는 데이터 패킷 암호화 알고리즘으로, 데이터를 64비트 길이의 데이터 블록으로 나누고, 그 중 8비트는 패리티 검사로 사용됩니다.

유효한 비밀번호 길이입니다. 56비트입니다. 먼저, 일반 텍스트 데이터를 처음에 교체하여 64비트 혼란스러운 일반 텍스트 그룹을 얻은 다음 두 개의 세그먼트로 나누고, 각 세그먼트는 32비트입니다. 그런 다음 곱 변환이 수행되고 키의 제어에 따라 16번 반복됩니다. ; 마지막으로 역초기 변환을 수행하여

암호문을 얻습니다.

대칭형 암호화 시스템에는 다음과 같은 문제가 있습니다.

·암호화 당사자가 새 비밀번호를 시작할 때마다 키는 일부 비밀 채널을 거쳐야 합니다. 비밀키는 복호화자에게 전달되며, 전송 과정에서 키가 쉽게 유출됩니다.

·네트워크 통신 중에 네트워크의 모든 사용자가 동일한 키를 사용하면 기밀성의 의미가 상실됩니다. 그러나 네트워크의 두 사용자가 서로 다른 키를 사용하여 통신하면 N명이 N(N-1)/2개의 키를 사용하게 됩니다. 따라서 키의 개수가 너무 많아

관리하기가 어렵습니다.

·서로 모르는 사람들 사이의 사적인 대화에 대한 비밀유지 요건을 충족할 수 없습니다.

·전자서명확인 문제는 해결이 어렵다.

2. 공개키 암호화

암호화 시스템의 암호화 키와 복호화 키가 분리된 경우 암호화와 복호화는 각각 2개의 키로 구현되며

p>

게다가, 암호화 키에서 복호화 키(또는 복호화 키에서 암호화 키)를 파생시키는 것은 계산상 불가능합니다. 일반적으로 시스템은 공개 키를 사용합니다.

공개 키 암호화 시스템을 사용하는 각 사용자는 한 쌍의 선택된 키를 가지며, 하나는 공개할 수 있고 다른 하나는 사용자가 비밀로 유지합니다. 공개 키 암호화의 출현은 현대 암호화의 획기적인 발전으로 컴퓨터 네트워크 보안에 새로운 활력을 불어넣습니다.

공개 키 암호화에는 다음과 같은 장점이 있습니다.

·키 배포가 간단합니다. 암호화 키와 복호화 키가 다르고, 암호화 키로부터 복호화 키를 유추할 수 없으므로, 암호화 키 테이블은 전화번호부처럼 사용자별로 배포할 수 있고, 암호화 키에서 복호화 키를 유추할 수 없다. . 키는 사용자가 직접 보유합니다.

·열쇠는 소량 보관되어 있다. 네트워크의 각 암호화 통신 구성원은 자신의 암호 해독 키만 비밀리에 보관하면 되며, N개의 통신 구성원은 N 쌍의 키만 생성하면 되므로 키 관리가 용이합니다.

·서로 모르는 사람들 사이의 사적인 대화에 대한 기밀 유지 요구 사항을 충족할 수 있습니다.

·디지털 서명 및 디지털 인증을 완료할 수 있습니다. 송신자는 자신만이 알고 있는 키를 이용하여 서명하고, 수신자는 공개키를 이용하여 확인할 수 있어 편리하고 안전합니다.

위의 장점으로 인해 불과 수십 년 만에 수십 가지의 공개키 암호화 시스템 구현 방식이 등장했습니다. 예를 들면

: W·Deffie와 M·E·Hellmanbit은 W·Deffie와 M·E·Hellman 프로토콜이라는 공개 키 교환 시스템을 제안했습니다.

그 기밀성은 이 속성에 기초합니다. 이산 로그 문제 해결의 어려움; Rivest, Shamir 및 Adleman은 우리 나라의 큰 정수 소인수 분해가 매우 어렵다는 사실에 기초한 숫자 이론에 기반한 RSA 공개 키 시스템을 제안했습니다. 학자 Tao Renji와 Chen Shi가 제안한

Hua는 현재 순차적 방식으로 작동하는 유일한 공개 키 시스템입니다. 이 시스템의 보안은 Merkle과 Herman이 제안한 공개 키 시스템을 기반으로 합니다. 비선형 약하게 가역적인 유한 오토마타의 약한 역을 구성하는 어려움과 행렬 다항식 분해의 어려움에 기반한 배낭 해결의 어려움에 기반합니다. 이밖에도 위 내용을 바탕으로 수많은 변형 알고리즘이 형성됐다.

5. ISO/OSI 보안 아키텍처

보안 아키텍처, 보안 프레임워크, 보안 모델 및 보안 기술이라는 일련의 용어는 상호 연관된 것으로 간주됩니다. 보안 아키텍처는 보안 서비스, 보안 메커니즘 등과 같은 보안 아키텍처에 대한 가장 일반적인 개념을 정의합니다. 보안 모델

주로 개발자가 보안 프로토콜 및 보안 기술을 개발할 때 사용하는 보안 서비스와 보안 프레임워크가 결합되는 방식을 나타냅니다.

가장 기본적인 모듈 중 하나로 간주됩니다. 보안 서비스의 기본이 되며, 임의로 결합하여 보다 강력한 보안 서비스를 제공할 수 있습니다.

국제표준화기구(International Organization for Standardization)는 1989년 OSI 개방형 상호접속 환경의 보안에 대해 심층적인 연구를 수행하였고, 이를 바탕으로 보안 서비스, 보안 메커니즘, 보안 관리 및 보안을 정의하는 OSI 보안 시스템을 제안했다. 보안과 관련된 기타 문제. 또한

다양한 보안 메커니즘과 OSI의 보안 서비스 계층 위치도 정의합니다. OSI에서는 현실의 다양한 상황에 대처하기 위해 위장, 불법 접속, 무단 접속 등 위협 유형을 11가지로 정의하고 있습니다.

1. 보안 서비스

위협 분석을 바탕으로 5가지 표준 보안 서비스가 규정되어 있습니다.

·객체 식별 보안 서비스는 다음과 같습니다. 대상 및 신원 확인. OSI 환경은 피어 엔터티 인증 및 소스 인증과 같은 보안 서비스를 제공할 수 있습니다. 피어 엔터티 인증은 피어 엔터티의 주장이 특정 관련 엔터티에서 일관성이 있는지 확인하는 데 사용되며, 데이터 소스 인증은 수신된 데이터의 소스를 확인하는 데 사용됩니다.

표시된 소스와 일치하며, 데이터가 중간에 수정되는 것을 방지하는 기능을 제공하지 않습니다.

·접근통제 보안 서비스는 자원의 무단 사용에 대한 방어 수단을 제공합니다.

액세스 제어는 임의 액세스 제어

와 필수 액세스 제어라는 두 가지 범주로 나눌 수 있습니다. 구현 메커니즘은 액세스 제어 속성을 기반으로 한 액세스 제어 목록, 보안 레이블 또는

사용자 및 리소스 분류를 기반으로 한 다단계 액세스 제어 등이 될 수 있습니다.

·자료비밀보호 서비스 정보유출에 대비한 방어조치입니다. 이는 정보 기밀성, 선택된 세그먼트 기밀성, 비즈니스 흐름 기밀성으로 나눌 수 있습니다. 그 기초는 데이터 암호화 메커니즘의 선택입니다.

·데이터 무결성 보안 서비스는 정보의 수정, 복사, 삽입, 삭제 등 불법적인 정보 변조를 방지합니다. 복구 가능한 연결 무결성, 복구 불가능한 연결 무결성, 선택 필드 연결 무결성, 연결 없는 무결성 및 단어 세그먼트 비연결 무결성 선택의 다섯 가지 형식이 있습니다.

·부인보안 서비스는 상대방의 부인에 대한 예방조치로 발생한 작업을 확인하기 위해 사용됩니다. 전달을 위한 부인방지, 전달을 위한 부인방지, 공증으로 나눌 수 있습니다.

2. 보안 메커니즘

위에서 언급한 보안 서비스 중 보안 정책과 보안 서비스를 개별적으로 사용할 수도 있습니다.

도움말을 사용하면 됩니다. 다음 보안 메커니즘 중:

·암호화 메커니즘은 다양한 암호화 알고리즘을 사용하여 저장된 데이터와 유통되는 정보를 암호화합니다. DES 알고리즘은

하드웨어에서 구현되었으며 매우 효율적입니다.

·디지털 서명은 공개 키 시스템을 채택하고 개인 키를 사용하여 디지털 서명하며 공개 키를 사용하여 서명 정보를 확인합니다

.

·액세스 제어 메커니즘은 방문자의 신원 및 관련 정보를 기반으로 엔터티의 액세스 권한을 결정합니다. 액세스 제어 메커니즘의 구현은 액세스 제어 정보 기반, 인증 정보(예: 비밀번호) 및 보안 레이블과 같은 하나 이상의 측정값을 기반으로 하는 경우가 많습니다.

·데이터 무결성 메커니즘은 암호화 메커니즘과 관련된 전송 중에 정보가 변조되었는지 여부를 확인합니다.

·인증 교환 메커니즘은 피어 간의 인증을 달성하는 데 사용됩니다.

·반비즈니스 트래픽 분석 메커니즘은 중복된 비즈니스 트래픽을 채워 공격자가 트래픽을 분석하는 것을 방지합니다. 채워진 트래픽은 암호화로 보호되어야 합니다.

·라우팅 제어 메커니즘은 라우팅을 통해 불리한 정보가 전달되는 것을 방지합니다. 현재 일반적인 응용 프로그램은 IP 계층 방화벽입니다.

·공증 메커니즘은 디지털 서명에 공증인(제3자)의 참여를 포함합니다. 이는 통신 당사자 모두가 제3자를 절대적으로 믿는다는 사실에 기초합니다. 현재 인터넷의 많은 서버 서비스는 사용자에게 이 메커니즘을 제공합니다.

3. 보안 관리

보안 서비스를 보다 효과적으로 이용하기 위해서는 보안 운영을 지원하기 위한 다른 조치가 필요하며, 이러한 조치는 관리와 통제입니다. 보안 관리

보안 관리는 보안 서비스 및 보안 메커니즘을 관리하고, 관련 보안 서비스 및 보안 메커니즘에 관리 정보를 할당하며,

그 운영 정보와 관련된 정보를 수집하는 것입니다.

OSI의 개념적 보안 아키텍처는 객체 지향적이고 사용자에게 다양한 보안 응용 프로그램을 제공하는 다단계 구조입니다. 보안 응용 프로그램은 보안 서비스에 의해 구현되며, 보안 서비스는 다양한 보안 메커니즘에 의해 구현됩니다. 그림과 같습니다

.

@@05085000.GIF; 그림 1 OSI 보안 시스템 계층@@

OSI는 각 보안 서비스 유형에 필요한 다양한 보안 메커니즘과 보안 메커니즘 제공 방법을 제안합니다. 보안 서비스

는 보안 프레임워크 내에서 찾을 수 있습니다.

OSI 계층 프로토콜에서 보안 서비스를 구성할 수 있습니다. 특정 구현 프로세스에서는 특정 보안 요구 사항에 따라 결정될 수 있습니다. OSI는 비연결 통신과 연결된 통신이라는 두 가지 유형의 보안 서비스 구성을 규정합니다.

4. 보안 계층 ​​프로토콜 확장 및 응용 표준

국제표준화기구(International Organization for Standardization)는 보안 아키텍처를 제안하고 보안 계층 ​​프로토콜 및 다양한 응용 표준의 확장을 위해 노력하고 있습니다

>

일해요.

보안 기능을 레이어 프로토콜로 확장하기 위해 현재 이 분야의 작업을 담당하는 두 그룹이 있습니다.

하나는 ISO/IEC 소위원회의 JTC1/SC6으로, 주로 전송 계층과 네트워크 계층에서 서비스와 프로토콜로 보안 기능을 확장하는 일을 담당하고, 다른 하나는 J

TC1/SC21이 확장을 담당합니다. 프리젠테이션 계층과 애플리케이션 계층에 보안 기능을 제공합니다. 현재 등록된 양방향 인증 교환은 세션을 설정하는 동안 수행될 수 있으며(애플리케이션 계층 연결과 동일

), 이를 통해 OSI 애플리케이션이 세션을 수행할 때 공개 키 암호화를 사용할 수 있습니다.

코드 확인 메커니즘. 또한 보안 교환 애플리케이션 서비스 단위도 OSI/IEC 및 CCITT에서 연구 중인 문제입니다. 이 문제가 해결되면 기밀 정보 교환(예: 공개 키 확인 교환)이 애플리케이션 계층 프로토콜에 통합됩니다.

애플리케이션 측면에서 OSI의 대부분은 보안을 종합적으로 고려한 MHS(메시지 운영체제), 디렉터리 인증 애플리케이션 프로토콜 등 보안 기능을 포함하고 있으며, 둘 다 공개를 적용한다. 키 암호화.

(1) 공개 키 암호화 기술에 대한 보안 표준

ISO/IEC 소위원회 산하 JTC1/SC27 그룹은 다음을 포함하여 정보 보안 기술 전체 분야의 표준 제정을 담당합니다.

OSI. 이 그룹은 주로 2자, 3자, 4자 공개키 검증 기술을 포함한 공개키 암호화 기술을 기반으로 보안 표준을 개발합니다.

(2) 네트워크 계층 공개 키 암호화 기술

네트워크 계층은 종단 간 암호화 및 서브넷 기밀성을 제공할 수 있습니다. 이는 주소 지정 정보와 높은 수준의 프로토콜 정보를 보호할 뿐만 아니라 네트워크 관리자의 통제를 벗어난 애플리케이션도 보호합니다. NLSP(네트워크 보안 프로토콜) 표준은 ISO/IE

C의 JTC1/SC6 그룹을 담당합니다. 이 프로토콜은 보안 작업을 수행하기 위해 공개 키와 대칭 암호화를 혼합하여 사용하며, 기밀성을 보장하기 위해 대칭 암호화 시스템(예: RSA)을 사용합니다. 이 하이브리드 시스템은 대규모 네트워크 시스템에서 보안 통화를 설정하는 데 유망합니다.

(3) 디렉토리 확인 프레임워크

OSI 디렉토리 표준(CCITT X.500)은 컴퓨터/통신 시스템의 상호 연결을 위해 논리적으로 완전하고 물리적으로 분산된 시스템을 제공합니다.

디렉토리 시스템. 디렉토리에는 상호 연결된 시스템과 수많은 사용자의 복잡한 구성 관계가 포함되므로 디렉토리 환경에서 기밀 인증서 및 서명 인증서의 배포는 매우 중요한 역할을 합니다.

디렉터리 확인 프레임워크에는 다음이 포함됩니다:

·확인 메커니즘 설명

·디렉토리에서 사용자 키를 얻는 방법

· RSA 알고리즘 설명;

·설명 자료.

(4) 텍스트 및 통신 운영 체제에 대한 공개 키 암호화

MHS(X.400)의 CCITT 1984 버전은 보안 요구 사항을 제시하지 않았지만 1988 버전에는 다음이 추가되었습니다. 보안 요구 사항 내용: 인증

, 무결성, 기밀성, 액세스 제어 및 복사 방지. 이러한 서비스는 하이브리드 방식의 공개 키 암호화로 보호될 수 있습니다.

6. 기존 문제점 및 해결책

1. 암호화 효율성 및 안정성 문제

보안 서비스 및 보안 관리를 네트워크에 도입한 후 엔터티와 같은 메커니즘 식별 및 접근통제 등으로 네트워크 보안은 강화됐지만

네트워크의 통신 효율성이 떨어지고 실시간 성능도 저하됐다. 효율성이 떨어지는 주된 이유는 암호화 알고리즘의 복잡성으로 인해 계산량이 증가하기 때문입니다. 따라서 간단하고 적용 가능하며 효율적인 암호화 알고리즘에 대한 연구가 필요합니다. 암호화 속도를 향상시키기 위해서는 암호화 알고리즘의 하드웨어 구현도 연구되어야 한다.

2. 보안, 기밀성 및 네트워크 상호 운용성 문제

보안 및 기밀성의 특성에 따라 네트워크 암호화가 네트워크 상호 운용성에 손상을 줄 수 있습니다. 현재 널리 사용되는 접근 방식은 보안 게이트웨이 장치를 네트워크에 도입하는 것입니다. 즉, 게이트웨이 장치에 보안 기능을 설정하여 보안 프로토콜 변환을 실현하는 것입니다. 그러나 이 방식은 네트워크 통신에 병목 현상을 일으키고 통신 효율성을 저하시키는 문제점이 많습니다. 따라서 보안 게이트웨이 장비의 사용은 일시적인 조치일 뿐이며, 전체 네트워크의 보안 아키텍처를 기반으로 조치를 취해야 합니다.

기존 OSI 보안 시스템은

네트워크 통신의 보안만을 목표로 하는 반면, 개방형 시스템의 보안은 네트워크 통신뿐만 아니라 통신에 참여하는 최종 시스템과도 관련됩니다

. 현재 이 두 가지는 개별적으로만 연구되고 있습니다. 서로 다른 도메인에 있는 시스템의 서로 다른 수준의 사용자 간의 보안 상호 통신을 달성하려면 이 두 가지를 결합해야 합니다.

3. 네트워크 규모 및 네트워크 보안 문제

네트워크 규모가 커짐에 따라 네트워크의 취약한 링크와 공격을 받을 가능성도 커지는데, 핵심은

p>

유통 및 보안 관리 문제도 더욱 두드러집니다. 따라서 인증 메커니즘, 접근 제어 메커니즘, 키 분배 메커니즘을 연구해야 한다.

4. 다양한 보안 영역에서의 다단계 보안 문제

다양한 보안 영역의 보안 정책이 다르고, 각 보안 영역의 사용자가 다르기 때문에 해당 보안 수준은 역시 다르다

같습니다. 따라서 서로 다른 도메인의 서로 다른 수준에 있는 사용자 간의 안전한 상호 통신을 달성하려면 중간 조정 메커니즘을 연구해야 합니다

. OSI 보안 아키텍처를 연구하고, OSI 각 계층의 보안 요구사항, 보안 서비스 및 보안 메커니즘의 위치와 역할을 명확히 하고, SMIB(보안 관리 데이터베이스) 및 보안 관리 모듈 분석을 통해 보안을 연구해야 합니다. SMIB 배포 및 사용을 위한 관리 프로토콜

OSI 보안 기능 통합에 대한 추가 연구를 위해 관리 에이전트 간의 상호 협력 및 통신 문제

(Computer World Issue 5, 1997) )