建站
咨詢
售后
建站咨詢
新聞中心
整個OSI安全體系結構從三個方面來學習。
1.安全服務- 鑒別服務:提供對等實體的身份鑒別和數(shù)據(jù)起源鑒別,使得當某層使用底層提供的服務時,卻信譽值打交道的對等實體是它所需要的實體。數(shù)據(jù)起源鑒別必須與實體鑒別等其他服務相結合才能保證當前通信過程的源真實性。鑒別可以是單向的也可以是雙向的,可以帶有效期檢驗也可以不帶。
- 訪問控制服務:對OSI協(xié)議的可訪問資源提供保護,按照訪問控制策略進行訪問,防止非授權的訪問。這些資源可以是經OSI協(xié)議訪問到的OSI資源或非OSI資源。這種保護服務可應用于對資源的各種不同類型的訪問(例如使用通信資源;讀、寫或刪除信息資源;處理資源的執(zhí)行)或應用于對一種資源的所有訪問。訪問控制包括策略和授權,策略部分決定了訪問控制的規(guī)則,實施部分則據(jù)此進行授權。
- 數(shù)據(jù)保密性服務:?? ?
連接保密:為一次連接和是哪個的全部用戶數(shù)據(jù)保證其機密性
無連接保密:為單個無連接的SDU(服務數(shù)據(jù)單元)中的全部用戶數(shù)據(jù)保證其機密性
選擇字段保密:為那些被選擇的字段保證其機密性,這些字段或處于某個連接的用戶數(shù)據(jù)中,或為單個無連接的SDU中的字段
業(yè)務流保密:使得通過觀察通信業(yè)務流而不能推斷出其中的機密信息
- 數(shù)據(jù)完整性服務:提供數(shù)據(jù)完整性保護,防止通過違反安全策略的方式進行非法修改(包括篡改、重排序、刪除和假冒)。在一次連接上,鏈接開始時使用對等實體鑒別服務,并在連接的存活期限使用數(shù)據(jù)完整性服務,并聯(lián)合起來為在此連接上傳送的所有數(shù)據(jù)單元的來源提供確證,為這些數(shù)據(jù)單元的完整性提供確證
? 可恢復的連接完整性:未連接上的所有用戶保證數(shù)據(jù)完整性,并檢測整個服務單數(shù)據(jù)單元序列中的數(shù)據(jù)遭到任何的篡改、插入、刪除或重演(同時試圖補救恢復)。
? 不可恢復的連接完整性:同可恢復的連接完整性一樣,但不試圖做補救和恢復。
? 選擇字段的連接完整性:為在一次連接上傳送某曾讀物數(shù)據(jù)單元的用戶數(shù)據(jù),在數(shù)據(jù)中選擇字段保證完整性,所取形式是確定這些被選字段是否遭到了篡改、插入、刪除或重演。
?無連接完整性:由某層提供時,對發(fā)出請求的上層實體提供完整性保證。這種服務為單個的無連接SDU保證其完整性,所取形式可以是確定一個接受到的SDU是否遭受篡改,在一定程度上也能提供對重演的檢測。
?選擇字段無連接完整性:為單位無連接的SDU中的被選字段保證完整性,所取形式確定為被選字段是否遭到篡改。
- 抵賴性服務:抗抵賴服務為數(shù)據(jù)的接收者提供數(shù)據(jù)來源的證據(jù),對通信雙方進行特定通信過程的不可否認性驗證
有數(shù)據(jù)原發(fā)證明的抗抵賴:為數(shù)據(jù)的接收者提供數(shù)據(jù)來源的證據(jù),這將使發(fā)送者謊稱未發(fā)送過這些數(shù)據(jù)或否認他的內容的企圖無法得逞
有交付證明的抗抵賴:為數(shù)據(jù)的發(fā)送者提供數(shù)據(jù)交付證據(jù)。這將使接收者事后謊稱未收到過這些數(shù)據(jù)或否認它的內容的企圖無法得逞
2.安全機制 ? ?1.特定的安全機制 ? ? ?加密:加密機制既能為數(shù)據(jù)提供機密性,也能為通信業(yè)務流信息提供機密性,并且還可以成為其他安全機制中的一部分或起補充作用。加密算法可以是可逆的,也可以不可逆?對稱加密/私鑰加密:知道了加密密鑰也就知道了解密密鑰
?非對稱加密/公開密鑰:知道了加密密鑰也不一定知道解密密鑰
數(shù)字簽名:這種機制確定兩個過程:對數(shù)據(jù)單元簽名和驗證簽過名的數(shù)據(jù)單元。第一過程使用簽名者私有信息作為私鑰。第二個過程所有的規(guī)程與信息是公之于眾的,但不能從他們推斷出該簽名者的私有信息。簽名機制的本質為該簽名只有使用簽名者的私有信息才能產生出來 ? ? ?訪問控制:根據(jù)實體的身份來確定其訪問權限,按照事先約定的規(guī)則決定主體對客體的訪問是否合法。如果某個實體試圖使用非授權的資源,或以不正當方式使用授權資源,那么訪問控制功能將拒絕這一企圖,另外還可能產生一個報警信號或記錄它作為安全審計跟蹤的一個部分來報告這一事件- 訪問授權信息
- 鑒別信息
- 訪問權限
- 安全標記
- 訪問請求事件以及方式
- 口令鑒別
- 密碼技術
- 時間戳
- 同步時鐘
- 二/三次握手
- 不可否認機制
- 實體特征或所有權鑒別
- 立即的:可能造成操作的立即放棄,如斷開
- 暫時的:可能使一個實體暫時無效
- 長期的:可能把一個實體記入“黑名單”,或改變密鑰
- 總體安全策略的管理,包括一致性的修改與維護
- 與其他OSI安全管理功能的相互作用
- 與安全服務管理和安全機制管理的交互作用
- 事件處理管理,包括遠程報告違反安全系統(tǒng)的明顯企圖,對出發(fā)事件報告的閾值進行修改
- 安全審計管理,包括選擇被記錄和被遠程收集的事件,授予或取消對所選事件進行審計跟蹤日志記錄的能力,審計記錄的遠程收集,準備安全審計報告
- 安全恢復管理,包括維護用來對安全事故做出反應的規(guī)則,遠程報告對系統(tǒng)安全的明顯違規(guī),安全管理者的交互
- 為服務指派安全保護的目標
- 制定與維護選擇規(guī)則(存在可選擇情況時),選擇安全服務所需的特定安全機制
- 協(xié)商需要取得管理員同意的可用的安全機制
- 通過適當?shù)陌踩珯C制管理功能調用特定安全機制
- 與其他的安全服務管理功能和安全機制管理功能進行交互
- 密鑰管理:主要功能是間歇性的產生與所要求的安全級別相應的密鑰;根據(jù)訪問控制策略,對于每個密鑰決定哪個實體可以擁密鑰的拷貝;用可靠方法使密鑰對開放系統(tǒng)中的實體是可用的,或將這些密鑰分給它們
- 加密管理:主要功能是與密鑰管理的交互作;建立密碼交互;密碼同步
- 數(shù)字簽名管理:主要功能是與密鑰管理地交互作用;建立密碼參數(shù)與密碼算法;在通信實體與可能有的第三方之間使用協(xié)議
- 訪問控制管理:主要功能是安全屬性(包括口令)的分配;對訪問控制表或訪問權利表進行修改;在通信實體與其他提供訪問控制服務的實體之間使用協(xié)議
- 數(shù)據(jù)完整性管理:主要功能是與密鑰管理地交互作用;建立密碼參數(shù)與密碼算法;在通信實體之間使用協(xié)議
- 鑒別管理:主要功能是將說明信息、口令和密鑰分配給要求鑒別執(zhí)行的實體;在通信的實體與其他提供鑒別服務的實體之間提供協(xié)議
- 通信業(yè)務流填充管理:主要功能是維護通信業(yè)務流填充的規(guī)則,如預定的數(shù)據(jù)率;制定隨機數(shù)據(jù)率;指定報文特性,如長度;按時間改變這些規(guī)定
- 路由控制管理:主要功能是確定按特定準則被認為是安全可靠或可信任的鏈路或子網
- 公證管理:主要功能是分配有關公正的信息;在公證方與通信實體之間使用協(xié)議;與公證方進行交互
?這一類安全管理將對上面所列的OSI安全服務與機制進行適當?shù)倪x取,以確保OSI管理協(xié)議和信息獲得足夠的保護
正在基于基礎理論學習網絡攻防知識,如有錯誤歡迎指正。
你是否還在尋找穩(wěn)定的海外服務器提供商?創(chuàng)新互聯(lián)www.cdcxhl.cn海外機房具備T級流量清洗系統(tǒng)配攻擊溯源,準確流量調度確保服務器高可用性,企業(yè)級服務器適合批量采購,新人活動首月15元起,快前往官網查看詳情吧
分享名稱:網絡攻防技術——OSI安全體系-創(chuàng)新互聯(lián)
本文路徑:http://www.ef60e0e.cn/article/spgdp.html
