专注于为中小企业提供
成都网站制作、做网站服务,电脑端+手机端+微信端的三站合一,更高效的管理,为中小企业
云溪免费做网站提供优质的服务。我们立足成都,凝聚了一批互联网行业人才,有力地推动了近1000家企业的稳健成长,帮助中小企业通过网站建设实现规模扩充和转变。
整个OSI安全体系结构从三个方面来学习。
1.安全服务
- 鉴别服务:提供对等实体的身份鉴别和数据起源鉴别,使得当某层使用底层提供的服务时,却信誉值打交道的对等实体是它所需要的实体。数据起源鉴别必须与实体鉴别等其他服务相结合才能保证当前通信过程的源真实性。鉴别可以是单向的也可以是双向的,可以带有效期检验也可以不带。
- 访问控制服务:对OSI协议的可访问资源提供保护,按照访问控制策略进行访问,防止非授权的访问。这些资源可以是经OSI协议访问到的OSI资源或非OSI资源。这种保护服务可应用于对资源的各种不同类型的访问(例如使用通信资源;读、写或删除信息资源;处理资源的执行)或应用于对一种资源的所有访问。访问控制包括策略和授权,策略部分决定了访问控制的规则,实施部分则据此进行授权。
- 数据保密性服务:
连接保密:为一次连接和是哪个的全部用户数据保证其机密性
无连接保密:为单个无连接的SDU(服务数据单元)中的全部用户数据保证其机密性
选择字段保密:为那些被选择的字段保证其机密性,这些字段或处于某个连接的用户数据中,或为单个无连接的SDU中的字段
业务流保密:使得通过观察通信业务流而不能推断出其中的机密信息
- 数据完整性服务:提供数据完整性保护,防止通过违反安全策略的方式进行非法修改(包括篡改、重排序、删除和假冒)。在一次连接上,链接开始时使用对等实体鉴别服务,并在连接的存活期限使用数据完整性服务,并联合起来为在此连接上传送的所有数据单元的来源提供确证,为这些数据单元的完整性提供确证
可恢复的连接完整性:未连接上的所有用户保证数据完整性,并检测整个服务单数据单元序列中的数据遭到任何的篡改、插入、删除或重演(同时试图补救恢复)。
不可恢复的连接完整性:同可恢复的连接完整性一样,但不试图做补救和恢复。
选择字段的连接完整性:为在一次连接上传送某曾读物数据单元的用户数据,在数据中选择字段保证完整性,所取形式是确定这些被选字段是否遭到了篡改、插入、删除或重演。
无连接完整性:由某层提供时,对发出请求的上层实体提供完整性保证。这种服务为单个的无连接SDU保证其完整性,所取形式可以是确定一个接受到的SDU是否遭受篡改,在一定程度上也能提供对重演的检测。
选择字段无连接完整性:为单位无连接的SDU中的被选字段保证完整性,所取形式确定为被选字段是否遭到篡改。
- 抵赖性服务:抗抵赖服务为数据的接收者提供数据来源的证据,对通信双方进行特定通信过程的不可否认性验证
有数据原发证明的抗抵赖:为数据的接收者提供数据来源的证据,这将使发送者谎称未发送过这些数据或否认他的内容的企图无法得逞
有交付证明的抗抵赖:为数据的发送者提供数据交付证据。这将使接收者事后谎称未收到过这些数据或否认它的内容的企图无法得逞
2.安全机制
1.特定的安全机制
加密:加密机制既能为数据提供机密性,也能为通信业务流信息提供机密性,并且还可以成为其他安全机制中的一部分或起补充作用。加密算法可以是可逆的,也可以不可逆
对称加密/私钥加密:知道了加密密钥也就知道了解密密钥
非对称加密/公开密钥:知道了加密密钥也不一定知道解密密钥
数字签名:这种机制确定两个过程:对数据单元签名和验证签过名的数据单元。第一过程使用签名者私有信息作为私钥。第二个过程所有的规程与信息是公之于众的,但不能从他们推断出该签名者的私有信息。签名机制的本质为该签名只有使用签名者的私有信息才能产生出来
访问控制:根据实体的身份来确定其访问权限,按照事先约定的规则决定主体对客体的访问是否合法。如果某个实体试图使用非授权的资源,或以不正当方式使用授权资源,那么访问控制功能将拒绝这一企图,另外还可能产生一个报警信号或记录它作为安全审计跟踪的一个部分来报告这一事件
- 访问授权信息
- 鉴别信息
- 访问权限
- 安全标记
- 访问请求事件以及方式
数据完整性:有两个方面:单个数据单元或字段的完整性以及数据单元流或字段流的完整性
认证交换:通过信息的交换来提供对等实体的认证。如果认证实体时得到的否定的结果,就会导致接连的拒绝或终止,也可能使在安全审计跟踪中增加一个记录,或给安全管理中心一个报告
- 口令鉴别
- 密码技术
- 时间戳
- 同步时钟
- 二/三次握手
- 不可否认机制
- 实体特征或所有权鉴别
业务流填充:在应用连接空闲时,持续发送伪随机序列,使攻击者不知道哪些是有用信息。这种机制只有在业务流填充冲到机密服务保护时才是有效的
路由选择控制:路由能动态的或预定的选取,以便只使用物理上安全的子网络、中继站或链路。带有某些安全标记的数据可能被安全策略禁止通过某些子网络、中继站、或链路。连接的发起者或无连接单元的发送者,可以指定路由选择说明,由它请求回避某些特定的子网络、链路或中继站
公证
2.普遍安全机制
可信功能度机制:用来度量扩充其他安全机制的范围或建立这些安全机制的有效性,必须使用可信功能度。任何功能度,只要它是直接提供安全机制,或提供安全机制的访问,都应该是可信的
安全标记机制:安全标记是与某一资源密切相连的标记,为该资源命名或指定安全属性(这种标记可以是明显的也可以是隐含的)包含数据项的资源可能具有与这些数据相关联的安全标记,如表明数据敏感性级别的标记,安全标记通常必须和数据一起传送
事件检测机制
安全审计跟踪机制:安全审计跟踪的潜在价值在于经事后的安全审计得以检测和调差安全漏洞。安全审计就是对系统的记录与行为进行独立的品评考查,目的是测试系统的控制是否恰当,保证与既定策略和操作堆积的协调一致,有助于做出损害评估,以及对在控制、策略与规程中指明的改变做出评价。安全审计要求在安全审计跟踪中记录有关安全的信息,分析和报告从安全审计跟踪中得来的信息。
安全恢复:安全恢复处理来自诸如事件处置与管理功能等机制的请求,并把恢复动作当做应用一组规则的结果
- 立即的:可能造成操作的立即放弃,如断开
- 暂时的:可能使一个实体暂时无效
- 长期的:可能把一个实体记入“黑名单”,或改变密钥
3.安全管理
系统安全管理:
系统安全管理涉及总的OSI环境方面管理。
- 总体安全策略的管理,包括一致性的修改与维护
- 与其他OSI安全管理功能的相互作用
- 与安全服务管理和安全机制管理的交互作用
- 事件处理管理,包括远程报告违反安全系统的明显企图,对出发事件报告的阈值进行修改
- 安全审计管理,包括选择被记录和被远程收集的事件,授予或取消对所选事件进行审计跟踪日志记录的能力,审计记录的远程收集,准备安全审计报告
- 安全恢复管理,包括维护用来对安全事故做出反应的规则,远程报告对系统安全的明显违规,安全管理者的交互
安全服务管理:
安全服务管理涉及特定安全服务管理
- 为服务指派安全保护的目标
- 制定与维护选择规则(存在可选择情况时),选择安全服务所需的特定安全机制
- 协商需要取得管理员同意的可用的安全机制
- 通过适当的安全机制管理功能调用特定安全机制
- 与其他的安全服务管理功能和安全机制管理功能进行交互
安全机制管理:
- 密钥管理:主要功能是间歇性的产生与所要求的安全级别相应的密钥;根据访问控制策略,对于每个密钥决定哪个实体可以拥密钥的拷贝;用可靠方法使密钥对开放系统中的实体是可用的,或将这些密钥分给它们
- 加密管理:主要功能是与密钥管理的交互作;建立密码交互;密码同步
- 数字签名管理:主要功能是与密钥管理地交互作用;建立密码参数与密码算法;在通信实体与可能有的第三方之间使用协议
- 访问控制管理:主要功能是安全属性(包括口令)的分配;对访问控制表或访问权利表进行修改;在通信实体与其他提供访问控制服务的实体之间使用协议
- 数据完整性管理:主要功能是与密钥管理地交互作用;建立密码参数与密码算法;在通信实体之间使用协议
- 鉴别管理:主要功能是将说明信息、口令和密钥分配给要求鉴别执行的实体;在通信的实体与其他提供鉴别服务的实体之间提供协议
- 通信业务流填充管理:主要功能是维护通信业务流填充的规则,如预定的数据率;制定随机数据率;指定报文特性,如长度;按时间改变这些规定
- 路由控制管理:主要功能是确定按特定准则被认为是安全可靠或可信任的链路或子网
- 公证管理:主要功能是分配有关公正的信息;在公证方与通信实体之间使用协议;与公证方进行交互
OSI管理的安全:
这一类安全管理将对上面所列的OSI安全服务与机制进行适当的选取,以确保OSI管理协议和信息获得足够的保护
正在基于基础理论学习网络攻防知识,如有错误欢迎指正。
你是否还在寻找稳定的海外服务器提供商?创新互联www.cdcxhl.cn海外机房具备T级流量清洗系统配攻击溯源,准确流量调度确保服务器高可用性,企业级服务器适合批量采购,新人活动首月15元起,快前往官网查看详情吧
分享标题:网络攻防技术——OSI安全体系-创新互联
文章来源:
http://jkwzsj.com/article/spgdp.html