网络安全体系结构
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
2020/4/16
二、OSI安全体系结构
1、安全服务
包括: 认证服务 访问控制服务 数据保密性服务 数据完整性服务 抗抵赖服务
是指参与某次通信交换 的一方事后不诚实地否认 曾发生过本次交换。
有如下两种形式: 数据起源的抗抵赖 传递过程的抗抵赖
2020/4/16
二、OSI安全体系结构
2、安全机制
① 加密机制:是提供数据保密性保护的最常用方法。 特点: ☆能保护数据和业务流信息的保密性 ☆加密算法有可逆和不可逆两种 ☆若加密机制的算法是公开的,则密钥需要保密
2020/4/16
二、OSI安全体系结构
2、安全机制
②数字签名机制:解决数据加密不能解决的事情。
由两个过程组成: ☆签名过程
使用签名者的私有密钥对数据进行加密, 成为鉴别信息。 ☆验证过程
使用签名者的公开密钥对鉴别信息解密, 并与数据比较,若一致,则验证通过。
2020/4/16
二、OSI安全体系结构
2020/4/16
一、信息安全的总体框架
1、安全特性
★它包括以下四方面: ④ 认证安全威胁
是指一些本来没有权利使用一些资源,但通过 某种手段而能够使用它。
◆这一威胁有可能会引起系统的可用性的丧失, 此外,它的主要危害就是给资源的所有者带来损 失。
2020/4/16
一、信息安全的总体框架
2、系统单元
是指该安全单元解决什么系统环境的安全问题。 ★它分为五个不同的环境: ①物理:是物理环境 ②网络:是网络传输 ③系统:是操作系统 ④应用:是应用程序 ⑤管理:是网络安全管理环境
2020/4/16
一、信息安全的总体框架
3、OSI参考模型
应用层 表示层 会话层 传输层 网络层 链路层 物理层
OSI参考模型
系统管单理元应用系统网络物理
安全特性
2020/4/16
一、信息安全的总体框架
1、安全特性
★安全特性: 是指该安全单元能解决什么安全威胁。
★信息的安全威胁主要关心的是: 人的恶意行为可能导致的资源被破坏、
信息泄漏、篡改、滥用和拒绝服务。
2020/4/16
一、信息安全的总体框架
1、安全特性
★它包括以下四方面: ① 保密性安全威胁
网络安全体系结构
内容 • 一、信息安全的总体框架 • 二、介绍OSI安全体系结构 • 三、PDRR网络安全模型
2020/4/16
一、信息安全的总体框架
我们先从信息安全空间的角度去理解网络
安全总体框架。
信息安全空间:
应用层 表示层
会话层
传输层
OSI参考模型
网络层 链路层 物理层
保完可 认 密整用 证
◆它也是严重的安全问题。 例:用户通过网络给别人发一个电子邮件,可是 接收者收到的邮件内容和发送的内容不一样。
2020/4/16
一、信息安全的总体框架
1、安全特性
★它包括以下四方面: ③ 可用性安全威胁
是指用户本来有权去正常地访问一些资源,但 由于系统受到攻击使得用户无法去正常地访问这 些资源。
◆它影响用户的工作效率。。 例:电子邮件服务器由于遭受拒绝服务攻击而无 法正常工作,使得用户没有办法收发邮件。
2020/4/16
二、OSI安全体系结构
2、安全机制
⑦路由控制机制:可使发送者选择特殊的路由申请, 以保证数据的安全。
特点: ●路由能动态地或预定地选取 ●端系统可以指示网络服务的提供者经不同的
路由建立连接 ●连接的发起者可以用该机制来回避某些特定
对等实体认证 数据起源认证
2020/4/16
二、OSI安全体系结构
1、安全服务
包括: 认证服务 访问控制服务 数据保密性服务 数据完整性服务 抗抵赖服务
是对某一些确知的身份 限制对某些资源的访问。
一般模型如下:
主体
访问控制
客体
授权决策
2020/4/16
二、OSI安全体系结构
1、安全服务
包括: 认证服务 访问控制服务 数据保密性服务 数据完整性服务 抗抵赖服务
有以下几方面: 连接保密性 无连接保密性 选择字段保密性 业务流保密性
2020/4/16
二、OSI安全体系结构
1、安全服务
包括: 认证服务 访问控制服务 数据保密性服务 数据完整性服务 抗抵赖服务
保护数据在存储和传输 中的完整性。可取如下 形式之一:
可恢复的连接完整性 不可恢复的连接完整性 选择字段的连接完整性 无连接完整性 选择字段无连接完整性
特点: ●有较多的可用于鉴别交换的技术 ●该机制可以设置在通信中的任何一层。 ●该机制的选用取决于使用它们的环境。
2020/4/16
二、OSI安全体系结构
2、安全机制
⑥业务流填充机制:是防止第三者在线路上通过窃听 和分析数据流量而推测出数据内 容。
●该机制采用的方法一般是由保密装置在无信息 传输时,连续地发出随机序列,使得第三者不知 道哪些信息有用。
2、安全机制
③访问控制机制:根据实体的身份及相关信息, 来决定给实体的访问权限。
特点: ☆能对企图使用未授权的资源者产生报警信号 ☆访问控制规则可以建立在若干种方式下 ☆在有连接的通信中,它可以用于通信中的任 一端。在无连接的通信中,要求原发点必须事 先知道是否被授权。
2020/4/16
二、OSI安全体系结构
2、安全机制
④数据完整性机制:主要支持数据完整性服务。
特点: ☆可分为:静态数据完整性机制
业务流完整性机制 ☆数据单元的完整性有两个过程:
一个在发送实体上 一个在接收实体上 ☆在连接方式下,还需要顺序号等来标记数据 单元的序列。
2020/4/16
二、OSI安全体系结构
2、安全机制
⑤鉴别交换机制:是以交换信息的方式来确认实体 身份的机制。
是指信息在存储和传输过程中可能被未 授权的人看到。
◆它是最严重的安全问题。 例:用户在网上传输的信用卡帐号和密码 被别人看到。
2020/4/16
一、信息安全的总体框架
1、安全特性
★它包括以下四方面: ② 完整性安全威胁
是指数据在存储和传输过程中可能被未授权的 人修改、插入、删除、重发等,而影响数据的内 容。
保完可 密整用
系统管单理元应用系统网络物理
认 证
安全特性
2020/4/16
二、OSI安全体系结构
主要包括三部分内容: 安全服务 安全机制 安全管理
2020/4/16
二、OSI安全体系结构
Hale Waihona Puke Baidu
1、安全服务
包括: 认证服务 访问控制服务 数据保密性服务 数据完整性服务 抗抵赖服务
指某个实体的身份保证。 有两种类型:
二、OSI安全体系结构
1、安全服务
包括: 认证服务 访问控制服务 数据保密性服务 数据完整性服务 抗抵赖服务
是指参与某次通信交换 的一方事后不诚实地否认 曾发生过本次交换。
有如下两种形式: 数据起源的抗抵赖 传递过程的抗抵赖
2020/4/16
二、OSI安全体系结构
2、安全机制
① 加密机制:是提供数据保密性保护的最常用方法。 特点: ☆能保护数据和业务流信息的保密性 ☆加密算法有可逆和不可逆两种 ☆若加密机制的算法是公开的,则密钥需要保密
2020/4/16
二、OSI安全体系结构
2、安全机制
②数字签名机制:解决数据加密不能解决的事情。
由两个过程组成: ☆签名过程
使用签名者的私有密钥对数据进行加密, 成为鉴别信息。 ☆验证过程
使用签名者的公开密钥对鉴别信息解密, 并与数据比较,若一致,则验证通过。
2020/4/16
二、OSI安全体系结构
2020/4/16
一、信息安全的总体框架
1、安全特性
★它包括以下四方面: ④ 认证安全威胁
是指一些本来没有权利使用一些资源,但通过 某种手段而能够使用它。
◆这一威胁有可能会引起系统的可用性的丧失, 此外,它的主要危害就是给资源的所有者带来损 失。
2020/4/16
一、信息安全的总体框架
2、系统单元
是指该安全单元解决什么系统环境的安全问题。 ★它分为五个不同的环境: ①物理:是物理环境 ②网络:是网络传输 ③系统:是操作系统 ④应用:是应用程序 ⑤管理:是网络安全管理环境
2020/4/16
一、信息安全的总体框架
3、OSI参考模型
应用层 表示层 会话层 传输层 网络层 链路层 物理层
OSI参考模型
系统管单理元应用系统网络物理
安全特性
2020/4/16
一、信息安全的总体框架
1、安全特性
★安全特性: 是指该安全单元能解决什么安全威胁。
★信息的安全威胁主要关心的是: 人的恶意行为可能导致的资源被破坏、
信息泄漏、篡改、滥用和拒绝服务。
2020/4/16
一、信息安全的总体框架
1、安全特性
★它包括以下四方面: ① 保密性安全威胁
网络安全体系结构
内容 • 一、信息安全的总体框架 • 二、介绍OSI安全体系结构 • 三、PDRR网络安全模型
2020/4/16
一、信息安全的总体框架
我们先从信息安全空间的角度去理解网络
安全总体框架。
信息安全空间:
应用层 表示层
会话层
传输层
OSI参考模型
网络层 链路层 物理层
保完可 认 密整用 证
◆它也是严重的安全问题。 例:用户通过网络给别人发一个电子邮件,可是 接收者收到的邮件内容和发送的内容不一样。
2020/4/16
一、信息安全的总体框架
1、安全特性
★它包括以下四方面: ③ 可用性安全威胁
是指用户本来有权去正常地访问一些资源,但 由于系统受到攻击使得用户无法去正常地访问这 些资源。
◆它影响用户的工作效率。。 例:电子邮件服务器由于遭受拒绝服务攻击而无 法正常工作,使得用户没有办法收发邮件。
2020/4/16
二、OSI安全体系结构
2、安全机制
⑦路由控制机制:可使发送者选择特殊的路由申请, 以保证数据的安全。
特点: ●路由能动态地或预定地选取 ●端系统可以指示网络服务的提供者经不同的
路由建立连接 ●连接的发起者可以用该机制来回避某些特定
对等实体认证 数据起源认证
2020/4/16
二、OSI安全体系结构
1、安全服务
包括: 认证服务 访问控制服务 数据保密性服务 数据完整性服务 抗抵赖服务
是对某一些确知的身份 限制对某些资源的访问。
一般模型如下:
主体
访问控制
客体
授权决策
2020/4/16
二、OSI安全体系结构
1、安全服务
包括: 认证服务 访问控制服务 数据保密性服务 数据完整性服务 抗抵赖服务
有以下几方面: 连接保密性 无连接保密性 选择字段保密性 业务流保密性
2020/4/16
二、OSI安全体系结构
1、安全服务
包括: 认证服务 访问控制服务 数据保密性服务 数据完整性服务 抗抵赖服务
保护数据在存储和传输 中的完整性。可取如下 形式之一:
可恢复的连接完整性 不可恢复的连接完整性 选择字段的连接完整性 无连接完整性 选择字段无连接完整性
特点: ●有较多的可用于鉴别交换的技术 ●该机制可以设置在通信中的任何一层。 ●该机制的选用取决于使用它们的环境。
2020/4/16
二、OSI安全体系结构
2、安全机制
⑥业务流填充机制:是防止第三者在线路上通过窃听 和分析数据流量而推测出数据内 容。
●该机制采用的方法一般是由保密装置在无信息 传输时,连续地发出随机序列,使得第三者不知 道哪些信息有用。
2、安全机制
③访问控制机制:根据实体的身份及相关信息, 来决定给实体的访问权限。
特点: ☆能对企图使用未授权的资源者产生报警信号 ☆访问控制规则可以建立在若干种方式下 ☆在有连接的通信中,它可以用于通信中的任 一端。在无连接的通信中,要求原发点必须事 先知道是否被授权。
2020/4/16
二、OSI安全体系结构
2、安全机制
④数据完整性机制:主要支持数据完整性服务。
特点: ☆可分为:静态数据完整性机制
业务流完整性机制 ☆数据单元的完整性有两个过程:
一个在发送实体上 一个在接收实体上 ☆在连接方式下,还需要顺序号等来标记数据 单元的序列。
2020/4/16
二、OSI安全体系结构
2、安全机制
⑤鉴别交换机制:是以交换信息的方式来确认实体 身份的机制。
是指信息在存储和传输过程中可能被未 授权的人看到。
◆它是最严重的安全问题。 例:用户在网上传输的信用卡帐号和密码 被别人看到。
2020/4/16
一、信息安全的总体框架
1、安全特性
★它包括以下四方面: ② 完整性安全威胁
是指数据在存储和传输过程中可能被未授权的 人修改、插入、删除、重发等,而影响数据的内 容。
保完可 密整用
系统管单理元应用系统网络物理
认 证
安全特性
2020/4/16
二、OSI安全体系结构
主要包括三部分内容: 安全服务 安全机制 安全管理
2020/4/16
二、OSI安全体系结构
Hale Waihona Puke Baidu
1、安全服务
包括: 认证服务 访问控制服务 数据保密性服务 数据完整性服务 抗抵赖服务
指某个实体的身份保证。 有两种类型: