内容架构
基础安全架构:讨论开放系统和端到端通信的通用安全架构,以及特定应用架构的示例,为安全的多方面一致应用建立框架。
信息安全管理、风险管理和资产管理:包括与保护网络基础设施和用于监控及控制电信网络的数据相关的管理活动。
目录及其作用:介绍目录在支持身份验证和其他安全服务方面的作用,特别关注依赖目录服务的加密概念,如公钥基础设施、数字签名和权限管理基础设施等。
身份管理和远程生物识别:涉及身份管理这一对于互联事物、对象和设备日益重要的主题,以及在电信环境中用于个人识别和身份验证的远程生物识别技术。
网络安全方法:探讨下一代网络和移动通信网络从单一技术向使用互联网协议的异构平台移动性过渡的安全要求,还涉及家庭网络、有线电视和泛在传感器网络的安全规定。
网络安全事件响应:研究如何最好地制定对网络攻击的有效响应,包括在与监测机构共享相关信息时了解攻击源和性质的必要性。
特定应用的安全需求:强调 ITU-T 标准中为 IP 语音、网络电视、Web 服务和射频识别标签等定义的安全功能。
应对常见网络威胁的技术措施:介绍对抗垃圾邮件、恶意代码和间谍软件等常见网络威胁的技术手段,包括威胁情报的重要性。
术语定义
1 access control 访问控制
防止对一个资源的非授权使用,包括防止以非授权的方式使用资源。
限制来自一个系统资源的信息流只流向授权的个人、程序、进程或网络上的其他系统资源。
2 access control list 访问控制列表
实体列表及其访问权限,授予了访问资源的权限。
3 access control policy 访问控制策略
定义访问条件的规则集。
4 accidental threats 偶然的威胁
没有预先意图的威胁。实际的偶然威胁例子包括系统故障、操作出错和软件缺陷。
5 accountability 问责制
确保能够唯一认定一个实体的动作确为该实体所为的性能。
6 algorithm 算法
一个数学过程,可用于扰乱和理清数据流。
7 attack 攻击
为绕过一个系统的安全机制或利用其漏洞而采取的行动。对一个系统的直接攻击利用的是安全机制基础算法、原理或性能的不足。实施间接攻击通常是绕过安全机制或是使系统不正确地使用安全机制。
8 attribute 属性
报文处理范畴内的一个信息项、属性列表的一个组成部分,用于描述用户或分发列表,也可依据报文处理系统(或基础网络)的物理或组织结构对其进行定位。
9 attribute authority (AA) 属性机构(AA)
通过发布属性证书指派特权的机构。
被一个或多个实体所信任的实体,它负责建立和签署属性证书。
注 - CA 也可以是一个 AA。
10 attribute certificate 属性证书
一种数据结构,由属性机构以数字形式签署,通过证书拥有者的标识信息来绑定某些属性值。
11 authentication 认证
确认身份的过程。
注 - 见“主体”和“验证者”,以及两种 不同形式的认证(数据源认证+实体认证)。认证可以是单边的,或者是双边的。单边认证只对一个主体提供身份保证。双边认证为两个主体提供身份保证。
向一个实体所声明的身份提供保证。
见“数据源认证”和“对等实体认证”。术语“认证”的使用与数据的完整性无直接关联;术语“数据完整性”可以替代使用。
确认与关联建立有关的对象的身份。例如,可包括 AE 、AP,以及应用的用户。注 - 定义该术语旨在表明目前的认证范围 比 CCITT X.800 建议书中对等实体认证所覆盖的范围要宽。
验证一个实体向另一个实体所声明身份的程序。
旨在允许系统确认某方身份的过程。
12 authentication exchange 认证交换
通过信息交换方式来确保实体身份的一种机制。
出于认证目的,一次或多次传送交换认证信息的序列。
13 authenticationservice 认证服务
认证服务用于证明对象的身份确实是其所声明的身份。依据执行者类型和鉴定目的,可能需要以下类型的认证:用户认证、对等实体认证、数据源认证。用于实施认证服务的机制的例子包括口令和个人身份号码(PIN)(简单认证),以及基于密码的方法 (强认证)。
14 authority 机构
负责核发证书的实体。定义了两种类型: 用于发布公开密钥证书的认证机构和用于发布属性证书的属性机构。
15 authorization 授权
授予权利,包括依据访问权利授予访问。
注 -该定义意味着能 够执行某些行为的权利(如访问数据),它们授给某个进程、实体或代理人。
依据经认证的身份授予许可权。
使被允许访问者有权使用某个服务或设备的动作。
16 availability 可用性
能够根据授权实体的要求进行访问和使用的特性。
17 capability 能力
用做某个资源标识符的一种标记,拥有该标记表明拥有该资源的访问权利。
18 certificate 证书
由安全机构或可信的第三方核发的一套与安全相关的数据,与安全信息一同用于提供数据完整性和数据源认证服务(安全证书 - ITU-T X.810)。该术语指的是“公开密钥”证书,它们是一组数值,表示一个所有者的公开密钥(及其他可选信息)是经过可信的机构以不可伪造的格式验证并签署过的。
19 certificate policy 证书策略
一套指定的规则,用于指明一个证书对于具有通用安全要求的某个特定团体和/或应用类别的适用性。例如,一个特定的证书策略可以指明在给定的价格范围内货物贸易中某种类型证书对电子数据交换交易认证的适用性。
20 Certificate Revocation List (CRL) 证书撤销列表(CRL)
表明一套证书不再被证书核发者认为有效的签署列表。除了 通用术语 CRL 之外,还为 CRL 定义了一些涵盖特定领域的特殊 CRL 类型。
一个 CRL 包括已撤销各证书的序列号(例如,由于密钥已经受损或由于对象不再属于公司),其有效期尚未到期。
21 Certification Authority (CA) 认证机构(CA)
得到一个或多个用户信任的机构,创建并指配公开密钥证书。作为一种选择,认证机构可以创建用户密钥。
可信的实体(在安全策略的范畴内),创建包含一个或多个安全相关数据类别的安全证书。
22 ciphertext 密文
经加密生成的数据。使结果数据的语义内容不可知晓。
注 - 密文本身也可用做加密操作的输入,这样就可以生成超级加密的输出。
23 cleartext 明文
可理解的数据,其语义内容可以知晓。
24 confidentiality 机密性
防止信息提供或泄露给未经授权的个人、实体或过程的特性。
25 confidentialityservice 机密性服务
机密性服务提供了防止交换数据非授权透露的保护措施。有以下不同种类的机密性服务:选择性字段机密性、连接机密性、数据流机密性。
26 credentials 证明
传送并用于建立实体所需身份的数据。
27 cryptanalysis 密码分析
为了到秘密变量和/或包括明文在内的敏感数据,对一个密码系统和/或它的输入和输出进行的分析。
在无权使用密钥的情况下恢复报文明文或加密密钥的过程。
在无权使用密钥(电子密码系统中的电子密钥)的情况下恢复报文明文的学科。
28 cryptographic algorithm 密码算法
从一个或几个输入值计算结果的数学函数。
29 cryptographic system,crypto system 密码系统
密码系统是明文和密文进行相互转换的集合,将要使用的特定变换是由密钥选择的。通常用一种数学算法来定义变换。
简单地说,密码系统是一个算法,它可将输入数据转换为某种不可识别的形式(加密),并可将不可识别的数据转换回其初始形式(解密)。 RSA 加密技术在 ITU-T X.509 中描述。
30 cryptography 密码学
为隐藏信息内容、防止它受到未被发现的更改和/或防止非授权的使用而综合了数据转换原理、手段和方法的学科。
注 - 密码学决定了加密和解密的使用方法。密码分析学是对密码学原理、手段和方法的攻击。
31 data confidentiality 数据机密性
该服务可用于保护数据不被未经授权的泄露。认证框架支持数据机密性服务。该服务可用于防止数据被窃听。
32 dataintegrity 数据完整性
数据没有遭到未经授权的改变或破坏的特性。
33 data origin authentication 数据源认证
确认所接收的数据源与所声称的相同。
确认主体的身份负责特定的数据单元。
34 decipherment 解密
相应的可逆加密的逆过程。
35 decryption 解密
见“decipherment 解密”。
36 delegation 授权
把特权从一个拥有特权的实体转让给另一个实体。
37 denial ofservice 拒绝服务
阻止经授权的资源访问或是延误紧急操作。
38 digitalsignature 数字签名
数据单元的附加数据或数据单元的一种密码转换(见“cryptography 密码学”),使数据接收方能够证明数据源和数据完整性,并防止伪造,例如接收方的伪造。
数据单元的一种密码转换,使数据接收方能够证明数据源和数据完整性,并保护数据单元的发送方和接收方免遭第三方伪造,以及保护发送方免遭接收方的伪造。
39 directory service 号码簿服务
从良好定义的对象目录中搜索和查找信息的一种服务,它可以包含有关证书、电话号码、访问条件、地址等的信息。依据 ITU-T X.500,号码簿服务提供了一个例子。
40 eavesdropping 窃听
通过监控通信来突破机密性。
41 encipherment 加密
对数据进行密码转换(见“cryptography 密码学”)以生成密文。注-加密可能是不可逆的,在这种情况下,无法进行相应的解密操作。
加密是通过实施某种密码算法(加密算法)使数据对于未经授权的实体不可读的过程。解密是加密的逆操作,通过它使密文转化为明文。
42 encryption 加密
将明文信息转换为密文的一种方法。
将信号扰乱的过程,以免遭到未经授权的访问。(见“encipherment 加密”。)
43 end-to-end encipherment 端对端加密
数据在起始端系统加密,相应的解密只发生在目的端系统。
44 entity 实体
一个人、一个组织、一个硬件部件或软件的一部分。
任何感兴趣的、具体的或抽象的事情。通常,实体可用于指代任何事情,在建模范畴中,它指的是被建模的事物。
45 entity authentication 实体认证
确认主体的身份,在通信关系范畴内。注 - 主体经认证的身份只有当调用该服务时才能得到保证。通过 ITU-T X.811 第 5.2.7 节中所述的方法可以确保认证的连续性。
46 evidence 证据
信息,其自身或当与其他信息一起使用时,可用于解决争议。
注 – 证据的特定形式可以是数字签名、安全封装和安全标记。数字签名与公开密钥技术一起使用,安全封装和安全标记与秘密密钥技术一起使用。
47 forgery 伪造
一个实体,它伪造信息,并声称这些信息收自另一个实体或发往另一个实体。
48 hash function 散列函数
一个将数值从较大(可能非常大)的数值集合映射到一个较小的数值集合的(数学)函数。
49 indirect attack 间接攻击
对系统的一种攻击,它不基于特定安全机制的缺陷(如绕过安全机制的攻击,或依赖于系统不正确使用安全机制的攻击)。
50 integrity 完整性
数据没有以未经授权的方式加以改变的特性。(见“data integrity 数据完整性”。)
51 integrity service 完整性服务
完整性服务提供了确保所交换数据正确性的手段,使之免遭修改、删除、创建(插入)和重播已交换数据。有以下不同种类的完整性服务: 选择性字段完整性服务、不带恢复的连接完整性服务、带恢复的连接完整性服务。
52 intentional threats 故意的威胁
指的是从利用可方便得到的监控工具所进行的不经意检查到利用专业系统知识所进行的刻意攻击的威胁。故意的威胁如果得以实现,那么可以认为是“攻击”。
53 iPCablecom
ITU-T 的一个项目,包括一个体系结构和一系列建议书,使得能够利用电缆调制解调器经由有线电视网络来提供实时服务。
54 Kerberos
一个秘密密钥网络认证协议,选择使用密码算法进行加密和中央密码数据库进行认证。
55 key 密钥
控制加密/解密操作的符号序列。
作为被选密码算法输入的数学值。
56 key exchange 密钥交换
用于实体之间加密通信的、实体之间公开密钥的交换。
57 key management 密钥管理
依照某种安全策略,生成、存储、分发、删除、存档和应用密钥。
58 man-in-the-middle attack 中间人攻击
一种攻击方式,在这种攻击方式中,攻击者能够随意读取、插入和修改通信双方之间的报文,而任何一方都不知道它们之间的链路已遭侵害。
59 masquerade 冒名顶替
一个实体伪装成为另一个不同的实体。
60 mutual authentication 相互认证
确认两个主体的身份。
61 non-repudiation 不可抵赖
防止发送方事后否认其曾发送过某个信息或采取过某个行动的能力。
防止参与通信的若干实体中的一个否认参与过全部或部分通信。
一个过程,利用它,报文的发送方(如一个有关按次计费的请求)不可否认已发送过报文。
62 notarization 公证
向可信的第三方注册数据,允许之后确保其特性的准确性,如内容、来源、时间和提交。
63 passive threat 被动威胁
在不改变系统状态情况下出现的、未经授权的信息泄露威胁。
64 password 口令
机密认证信息,通常由字符串组成。
指的是用户进入口令字符串,即指定的安全密钥,为移动用户和其归属域所共享。该用户口令和产生的用户共享秘密将用于用户认证之目的。
65 physicalsecurity 物理安全
为防止资源受到故意或偶然威胁而使用的物理保护措施。
66 principal 主体
一个实体,其身份可被认证。
67 privacy 保密
个人控制或影响可以收集和存储的、与其相关的信息的权利,并且该个人可能泄露该信息或该信息可能泄露给该个人。注 - 因为该术语与个人权利相关,所以它不可能非常精确,除非作为需要安全的动机,否则应避免使用它。
只有明确激活的各方才能解译的一种通信方式,通常通过加密和共享加密密钥来实现。
68 privatekey 专用密钥
(在公开密钥密码系统中) 用户密钥对的密钥,只有该用户知晓之。
非对称密码算法中使用的密钥,其所有权受限(通常只属于一个实体)。
在公开密钥密码系统中使用的密钥,它属于某个单个实体,必须保密。
69 privilege 特权
由某个机构指派给实体的属性或特性。
70 Privilege Management infrastructure (PMI) 特权管理基础设施 (PMI)
能够支持特权管理的基础设施,它支持全面的授权服务,并与公开密钥基础设施相关。
71 public key 公开密钥
(在公开密钥密码系统中) 用户密钥对中公开的密钥。
非对称密码算法中所用的密钥,它可以公开。
公开密钥密码学中所用的密钥,它属于一个单独实体,并公开发布。其他实体使用该密钥来对发往密钥所有者的数据进行加密。
72 public key certificate 公开密钥证书
用户的公开密钥,以及其他一些信息,利用发放它的认证机构的专用密钥进行加密,不可伪造地进行提交。
代表所有者公开密钥(和其他可选信息) 的值,由可信的机构以一种不可伪造的方式进行确认和签署。
实体的公开密钥与一项或多项与其身份有关的属性之间的绑定,也称为数字证书。
73 Public Key Cryptography 公开密钥密码学
基于两个密钥算法(专用的和公开的)的加密技术,在该技术中,利用公开密钥对报文进行加密,但只能利用专用密钥才能对报文进行解密。也就是所知的专用-公开密钥(PPK) 系统。
注 - 知道公开密钥并不能揭露专用密钥。例如,A 方设计这样一个专用密钥和公开密钥,并公开地将公开密钥传送给所有想与 A 方通信的人,但保守专用密钥的秘密。而后,任何拥有公开密钥的人都可以对发往 A 方的报文进行加密,但只有拥有专用密钥的 A 方才可以对报文进行解密。
74 Public Key Infrastructure (PKI) 公开密钥基础设施 (PKI)
能够支持公开密钥管理的基础设施,它支持认证、加密、完整性或不可抵赖服务。
75 relying party 依赖方
在做决定时依赖证书中数据的用户或代理。
76 replay 重播
重复某个报文或报文的一部分,以产生未经授权的效果。例如,可以由另一个实体来重播包含认证信息的合法报文,以便认证它(是某某,而实际上它不是某某)。
77 repudiation 抵赖
参与通信的一个实体否认曾参与过全部或部分通信。
参与过通信交换的一个实体随后否认该事实。
(在 MHS 情况下) MTS 用户或 MTS 可能在之后否认提交、接收或发送过报文,并且包括:拒绝发送、拒绝提交、拒绝传输。
78 revocation list certificate 撤销列表证书
确定安全证书列表已被撤销的安全证书。
79 secret key 秘密密钥
对称密码算法所用的密钥。秘密密钥的所有权是有限的(通常限于两个实体) 。
80 security 安全
术语“安全”用于表示最大限度地减少资产和资源的弱点。资产指的是任何有价值的事物。弱点指的是任何可被用于侵犯系统或其所含信息的薄弱之处。威胁指的是对安全构成的潜在侵犯。
81 security alarm 安全告警
当检测到安全相关事件(安全策略将之定义为告警条件)时产生的报文。安全告警旨在适时地引起适当实体的注意。
82 security audit 安全审计
对系统记录和行为的独立评估和检查,目的是测试系统控制的合适性,确保符合已有的策略和操作程序,检测安全缺口,并对这些控制、策略和程序提出修改建议。
83 security audit trail 安全审计跟踪
为便于进行安全审计而收集并可能使用的数据。
84 security certificate 安全证书
由安全机构或可信第三方发布的一套与安全相关的数据,与安全信息一起用于提供数据完整性和数据源认证服务。注 - 所有的证书都被认为是安全证书。 ITU-T X.800 系列中采用术语“安全证书”是为了避免与 ITU-T X.509 产生术语冲突。
85 security domain 安全域
服从通用安全策略的用户和系统集。
服从单个安全策略的资源集。
86 security information (SI) 安全信息
执行安全服务所需的信息。
87 security management 安全管理
安全管理,包括用于建立、维护和终止系统安全方面问题的所有行为。覆盖的主题包括:安全服务的管理、安全机制的安装、密钥管理(管理部分)、身份建立、密钥、访问控制信息等;安全审计跟踪和安全告警管理。
88 security model 安全模型
一个用于描述安全服务(用于抵御对 MTS 的潜在威胁) 和安全要素(用于支持这些服务)的框架。
89 security policy 安全策略
安全机构制定的规范安全服务和设施使用与提供的一系列规则。
有关提供安全服务的一系列标准。
注 – 见基于身份和规则的安全策略。完整的安全策略一定能够解决超出 OSI 范围的诸多关切。
90 security service 安全服务
由正在通信的开放系统的某一层所提供的服务,确保系统或数据传输有足够的安全性。
91 security threat (threat) 安全威胁(威胁)
潜在的安全侵犯。
92 security token 安全标记
受一个或多个安全服务保护的、在通信实体之间传送的一组数据,与安全信息一起用于提供这些安全服务。
93 sensitivity 灵敏度
表明资源价值或重要性的特性。
94 sharedsecret 共享秘密
指密码算法使用的安全密钥,可能源自口令。
95 signature 签名
见“digital signature 数字签名”。
96 simple authentication 简单认证
通过简单的口令安排实现的认证。
97 source of Authority (SOA) 源机构
一个属性机构,受特定资源的特权验证者委托,作为最终机构来指配一组特权。
98 spam 垃圾邮件
未经要求的和多余的电子邮件。
99 spoofing 欺骗
冒充一个合法的资源或用户。
100 strong authentication 强认证
通过密码证书获取的认证。
101 sybil attack 女巫攻击
一种攻击方式,在这种攻击方式中,通过创建大量化名的实体并使用它们获取夸大的影响,来破坏对等网络的信誉系统。
102 threat 威胁
潜在的安全侵犯。
103 token 标记
见“security token 安全标记”。
104 Trojan horse 特洛伊木马
引入系统后,除了其授权的功能之外,特洛伊木马还具有非授权的功能。将报文拷贝给非授权信道的转发也称为特洛伊木马。
105 trust 信任
当且仅当实体 X 相信实体 Y 采用一种特定的方式从事了一系列活动,才能说实体 X 信任实体 Y 的该系列活动。
106 trusted functionality 可信功能性
按照某种准则,如由安全策略建立的准则,被认为是正确的功能性。
107 trusted third party (TTP) 可信第三方 (TTP)
(在某种安全策略的范畴内)就某些安全相关活动而言,(被其他实体) 得到信任的某个安全机构或其代理。
108 ubiquitoussensor network (USN) 无处不在的传感器网络 (USN)
指的是一种网络,它使用低成本、低功率的传感器来感知周边的环境,以便能在任何时间将感知的信息和知识服务提供给任何人、任何地方。一个无处不在的传感器网络(USN)可覆盖很宽的地理范围,并可支持各种不同的应用。
109 unauthorized access 未经授权的访问
一个实体试图违反有效的安全策略访问数据。
110 user authentication 用户认证
证明用户或应用进程的身份。
111 verifier 验证者
作为或代表要求具备经认证身份的一个实体。验证者包括认证交换中所需的功能。
112 vulnerability 弱点
任何可用于侵犯系统或其所含信息的薄弱之处。
113 X.509 certificate X.509 证书
作为 ITU-T X.500 标准号码簿的一部分而制定的一种公开密钥证书规范。
暂无评论内容