보안 서비스(통신)

Security service (telecommunication)
기타 용도는 보안 서비스를 참조하십시오.

보안 서비스는 ITU-T X.800 권장사항에 따라 시스템 또는 데이터[1] 전송의 적절한 보안을 보장하는 통신 오픈 시스템 계층에 의해 제공되는 서비스입니다.
X.800과 ISO 7498-2(정보처리 시스템– 오픈 시스템 상호접속– 기본 참조 모델– 파트 2: 보안 아키텍처)[2]는 기술적으로 연계되어 있습니다.이 모델은 널리 알려져 있다

보다 일반적인 정의는 2010년 4월 26일 미국 [5]국가보안시스템위원회의해 발행된 CNSS 지침 No. 4009에 있다.

하나 이상의 보안 요건(기밀성, 무결성, 가용성)을 지원하는 기능.보안 서비스의 예로는 키 관리, 접근컨트롤 및 인증이 있습니다.

또 다른 권위 있는 정의는 [7]NIST SP 800-95에서 채택한 W3C 웹 서비스 용어집입니다.

자원에 대해 특정 종류의 보호를 제공하기 위해 시스템에 의해 제공되는 처리 또는 통신 서비스.이 경우 해당 자원은 해당 시스템에 상주하거나 다른 시스템과 함께 상주할 수 있습니다.예를 들어 인증 서비스 또는 PKI 기반의 문서 속성 및 인증 서비스입니다.보안 서비스는 AAA 서비스의 슈퍼셋입니다.보안 서비스는 일반적으로 보안 정책의 일부를 구현하며 보안 메커니즘을 통해 구현됩니다.

기본적인 보안 용어

주요 기사:정보 보안

정보보안컴퓨터 보안은 각각 기밀성, 무결성, 가용성, 이른바 CIA 삼합회(CIA Triad), 조직(회사 또는 기관)의 정보자산 또는 컴퓨터에 의해 관리되는 정보의 요건에 대처하는 분야입니다.

하나 이상의 취약성이용하여 리소스(정보 또는 이를 관리하기 위한 장치)를 공격할 수 있는 위협이 있습니다.리소스는 하나 이상의 대책 또는 보안 [8]제어에 의해 보호될 수 있습니다.

따라서 보안 서비스는 조직의 보안 요건을 충족하기 위해 [3][9]대응책의 일부를 구현합니다.

기본적인 OSI 용어

주요 기사: OSI 모델

서로 다른 장치(컴퓨터, 라우터, 휴대 전화)가 표준화된 방식으로 데이터를 통신할 수 있도록 하기 위해 통신 프로토콜이 정의되었습니다.

ITU-T 조직은 대규모 프로토콜 세트를 공개했습니다.이러한 프로토콜의 일반적인 아키텍처는 권장 X.[10]200에 정의되어 있습니다.

통신하기 위한 다양한 수단(공기, 케이블) 및 방법(프로토콜 및 프로토콜 스택)을 통신 네트워크라고 합니다.

보안 요건은 네트워크를 통해 전송되는 정보에 적용됩니다.네트워크를 통한 보안을 다루는 분야를 네트워크 [11]보안이라고 합니다.

X.800 권장 사항:[1]

  1. 는 참조 모델에 의해 제공될 수 있는 보안 서비스 및 관련 메커니즘에 대한 일반적인 설명을 제공합니다.
  2. 에 서비스 및 메커니즘이 제공될 수 있는 참조 모델 내의 위치를 나타냅니다.

이 권장사항은 권장사항 X.200의 적용범위를 확장하여 오픈 시스템 의 안전한 통신을 커버합니다.

X.200 권장사항에 따르면, 이른바 OSI 참조 모델에는 7개의 레이어가 있으며, 각 레이어는 일반적으로 N레이어라고 불립니다.N+1 엔티티는 N [10]엔티티에 전송 서비스를 요청합니다.

각 레벨에서 두 엔티티(N-엔티티)는 (N) 프로토콜을 통해 PDU(Protocol Data Unit)를 전송함으로써 상호작용합니다.Service Data Unit(SDU; 서비스 데이터 유닛)은 OSI 레이어에서 하위 레이어로 전달된 특정 데이터 유닛으로 하위 레이어에 의해 PDU에 캡슐화되지 않았습니다.특정 레이어의 서비스 사용자가 송신하는 데이터 세트로, 의미적으로는 변경되지 않고 피어 서비스 사용자에게 전송됩니다.임의의 레이어(레이어 n)의 PDU는, 이하의 레이어(레이어 n-1)의 SDU입니다.실제로 SDU는 특정 PDU의 '페이로드'입니다.즉, SDU를 PDU로 변경하는 프로세스는 하위 레이어에 의해 실행되는 캡슐화 프로세스로 구성됩니다.SDU 에 포함되는 모든 데이터는 PDU 에 캡슐화 됩니다.레이어 n-1 은, SDU 에 헤더 또는 푸터, 또는 그 양쪽 모두를 추가해, 레이어 n-1 의 PDU 로 변환합니다.추가된 헤더 또는 바닥글은 원본에서 [10]대상으로 데이터를 가져오는 데 사용되는 프로세스의 일부입니다.

OSI 보안 서비스 설명

OSI 레퍼런스 모델의 프레임워크 내에서 옵션으로 제공할 수 있는 보안 서비스는 다음과 같습니다.인증 서비스에는 인증을 [1][4]용이하게 하기 위해 로컬에 저장된 정보와 전송(credential)되는 데이터(credential)로 구성된 인증 정보가 필요합니다.

인증
이러한 서비스는, 통신하는 피어 엔티티와 데이터의 송신원을 다음과 같이 인증합니다.
피어 엔티티 인증
이 서비스는 (N) 레이어에 의해 제공되는 경우 피어 엔티티가 청구된 (N+1) 엔티티임을 (N+1) 엔티티에 확증합니다.
데이터 원본 인증
이 서비스는 (N) 레이어에 의해 제공되는 경우 데이터의 소스가 클레임된 피어(N + 1) 엔티티임을 (N + 1) 엔티티에 확증합니다.
접근 제어
이 서비스는 OSI를 통해 액세스할 수 있는 자원의 무단 사용으로부터 보호합니다.OSI 또는 OSI 프로토콜을 통해 액세스되는 비 OSI 리소스입니다.이 보호 서비스는 자원에 대한 다양한 유형의 액세스(통신 자원의 사용, 정보 자원의 읽기, 쓰기 또는 삭제, 처리 자원의 실행 등) 또는 자원에 대한 모든 액세스에 적용할 수 있습니다.
데이터 기밀성
이러한 서비스는 다음과 같이 무단 공개로부터 데이터를 보호합니다.
접속 기밀성
이 서비스는 (N) 접속상의 모든 (N) 사용자 데이터의 기밀성을 제공합니다.
무접속 기밀성
이 서비스는 단일 커넥션리스(N)-SDU 내의 모든 사용자 데이터의 기밀성을 제공합니다.
선별적인 필드 기밀성
이 서비스는 (N) 접속상의 (N) 사용자 데이터 내 또는 단일 Connectionless(N)-SDU 내의 선택된 필드의 기밀성을 제공합니다.
트래픽 흐름의 기밀성
이 서비스는 트래픽흐름 관찰에서 파생될 수 있는 정보를 보호합니다.
데이터 무결성
이러한 서비스는 활성 위협에 대응하며 아래에 설명된 형식 중 하나를 취할 수 있습니다.
복구와의 연결 무결성
이 서비스는, (N) 접속상의 모든 (N) 유저 데이터의 정합성을 실현해, SDU 시퀀스 전체의 데이터의 변경, 삽입, 삭제, 재생을 검출합니다(복구 시도).
복구 없는 연결 무결성
이전 것과 같으나 복구가 시도되지 않았습니다.
선택적 필드 연결 무결성
이 서비스는 접속을 통해 전송된 (N)-SDU의 (N)-사용자 데이터 내에서 선택된 필드의 무결성을 제공하며 선택한 필드가 변경, 삽입, 삭제 또는 재생되었는지 확인하는 형식을 취합니다.
무접속 무결성
이 서비스는 (N) 레이어에 의해 제공되는 경우 요구(N + 1) 엔티티에 대한 무결성 보증을 제공합니다.이 서비스는 단일 커넥션리스 SDU의 무결성을 제공하며 수신된SDU가 변경되었는지 여부를 확인하는 형식을 취할 수 있습니다.또, 리플레이 검출의 제한된 형식을 제공할 수 있다.
선택적 필드 연결 없는 무결성
이 서비스는 단일 커넥션리스 SDU 내에서 선택한 필드의 무결성을 제공하며 선택한 필드가 변경되었는지 확인하는 형식을 취합니다.
거부 불능
이 서비스는 두 가지 형식 중 하나 또는 둘 다일 수 있습니다.
원산지 증명에 의한 부정 금지
데이터 수신자에게는 데이터 출처에 대한 증거가 제공됩니다.이것에 의해, 송신자가 데이터 또는 그 내용을 부정 송신하는 것을 막을 수 있습니다.
납품 증빙을 통한 거부 금지
데이터 송신자에게는 데이터 전달 증명서가 제공됩니다.이것에 의해, 수신자가 데이터 또는 그 내용을 부정하는 그 후의 시도가 방지됩니다.

특정 보안 메커니즘

보안 서비스는 보안 [1][3][4]메커니즘을 통해 제공될 수 있습니다.

표 1/X.800은 서비스와 메커니즘의 관계를 나타내고 있습니다.

보안 서비스 및 메커니즘의 관계 설명
서비스 메커니즘
암호화 디지털 서명 접근 제어 데이터 무결성 인증 교환 트래픽 패딩 라우팅 제어 공증
피어 엔티티 인증 Y Y · · Y · · ·
데이터 원본 인증 Y Y · · · · · ·
접근통제 서비스 · · Y · · · · ·
접속 기밀성 Y . · · · · Y ·
무접속 기밀성 Y · · · · · Y ·
선별적인 필드 기밀성 Y · · · · · · ·
트래픽 흐름의 기밀성 Y · · · · Y Y ·
복구와의 연결 무결성 Y · · Y · · · ·
복구 없는 연결 무결성 Y · · Y · · · ·
선택적 필드 연결 무결성 Y · · Y · · · ·
무접속 무결성 Y Y · Y · · · ·
선택적 필드 연결 없는 무결성 Y Y · Y · · · ·
거부반응이 없습니다.기원. · Y · Y · · · Y
거부반응이 없습니다.배달. Y · Y · · · Y

그 중 일부는 연결 지향 프로토콜이나 무연결 프로토콜 또는 둘 다에 적용될 수 있습니다.

표 2/X.800은 보안 서비스와 [4]레이어의 관계를 나타내고 있습니다.

보안 서비스 및 계층 간의 관계 설명
서비스
1 2 3 4 5 6 7*
피어 엔티티 인증 · · Y Y · · Y
데이터 원본 인증 · · Y Y · · Y
접근통제 서비스 · · Y Y · · Y
접속 기밀성 Y Y Y Y · Y Y
무접속 기밀성 · Y Y Y · Y Y
선별적인 필드 기밀성 · · · · · Y Y
트래픽 흐름의 기밀성 Y · Y · · · Y
복구와의 연결 무결성 · · · Y · · Y
복구 없는 연결 무결성 · · Y Y · · Y
선택적 필드 연결 무결성 · · · · · · Y
무접속 무결성 · · Y Y · · Y
선택적 필드 연결 없는 무결성 · · · · · · Y
거부 불능 발신지 · · · · · · Y
거부반응이 없습니다.배달. · · · · · · Y

기타 관련 의미

관리형 보안 서비스

주요 기사: 보안 관리 서비스

Managed Security Service(MSS; 관리 보안 서비스)는 서비스 공급자에게 아웃소싱된 네트워크보안 서비스입니다.

「 」를 참조해 주세요.

레퍼런스

  1. ^ a b c d X.800 : CCITT 어플리케이션용 오픈시스템 상호접속을 위한 보안 아키텍처
  2. ^ ISO 7498-2 (정보처리 시스템– 오픈 시스템 상호접속– 기본 참조 모델– 제2부: 보안 아키텍처)
  3. ^ a b c 윌리엄 스털링스 크리토그라피아 에 시큐레자 델레 레티 세컨다 에디지온 ISBN88-386-6377-7 Traduzione Italiana a cura di Luca Salgarelli di Cryptography and Network Security 4판 Pearson 2006
  4. ^ a b c d 정보 및 통신 시스템 보호: 원칙, 테크놀로지 및 애플리케이션 Steven Furnell, Sokratis Katsikas, 하비에르 로페즈, Artech House, 2008 - 362페이지
  5. ^ 2010년 4월 26일 CNSS 명령 제4009호
  6. ^ W3C 웹 서비스 용어집
  7. ^ NIST 특별 간행물 800-95 보안 웹 서비스 가이드
  8. ^ 인터넷 기술 특별 조사위원회 RFC 2828 인터넷 보안 용어집
  9. ^ 네트워크 보안에 관한 중요사항: 어플리케이션과 표준, William Stallings, Frentice Hall, 2007 - 413 페이지
  10. ^ a b c X.200 : 정보기술 - 오픈시스템 상호접속 - 기본참조모델:기본 모델
  11. ^ Simmonds, A; Sandilands, P; van Ekert, L(2004)"네트워크 보안 공격을 위한 온톨로지"컴퓨터 사이언스 강의 노트 3285 : 317 ~323

외부 링크