网络安全技术第二章 网络安全体系结构
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
主动攻击,确保收到的数据在传输过程中没有被修改、插 入、删除、延迟等。
5)不可否认服务 不可否认服务主要是防止通信参与者事后否认参与。
OSI安全体系结构定义了两种不可否认服务:①发送的不 可否认服务,即防止数据的发送者否认曾发送过数据;② 接收的不可否认服务,即防止数据的接收者否认曾接收到 数据。
2.1 OSI安全体系结构
2.1.2 安全体系结构的8种安全机制
安全服务依赖于安全机制的支持。网络安全机制可分为 两类:一类与安全服务有关,另一类与管理功能有关。 OSI安全体系结构规定了8种安全机制。 1.数据加密机制
加密机制(Encryption Mechanisms)指通过对数据 进行编码来保证数据的机密性,以防数据在存储或传输过 程中被窃取。 2.数字签名机制
第2章 网络安全体系结构
2.1 OSI安全体系结构 2.1.1安全体系结构的5类安全服务 2.1.2 安全体系结构的8种安全机制 2.1.3 网络安全防御体系架构
2.2 网络通信安全模型 2.2.1 网络访问安全模型 2.2.2 网络安全体系结构参考模型的应用
2.3. 可信计算 2.3.1 可信计算的概念 2.3.2 可信计算的关键技术 2.3.3 可信计算的发展趋势
身份认证,访问控制, 数据加密,路由控制, 一致性检查
安全层次 应用层安全
TCP层安全/IP层安全
链路层安全 物理层安全
数据加密,数据流加密
网络接入层安全
图2-2 网络安全层次模型及各层主要安全机制分布
2.1 OSI安全体系结构
2.1.3 网络安全防护体系架构
访问控制和身份认证是紧密结合在一起的,在一个应 用进程被授予权限访问资源之前,它必须首先通过身份认 证。
2.1 OSI安全体系结构
2.1.1 安全体系结构的5类安全服务
3)数据机密性服务 数据机密性服务是指对数据提供安全保护,防止数据
被未授权用户获知。
4)数据完整性服务 数据完整性服务通过验证或维护信息的一致性,防止
2.1.2 安全体系结构的8种安全机制
5.认证交换机制 认证交换机制(Authentication Mechanisms)是指
通过信息交换来确保实体身份的机制,即通信的数据接收 方能够确认数据发送方的真实身份,以及认证数据在传送 过程中是否被篡改;主要有站点认证、报文认证、用户和 进程的认证等方式。 6.通信流量填充机制
通信流量填充机制(Traffic Padding Mechanisms) 是指由保密装置在无数据传输时,连续发出伪随机序列, 使得非法攻击者不知哪些是有用数据、哪些是无用数据, 从而挫败攻击者在线路上监听数据并对其进行数据流分析 攻击。
2.1 OSI安全体系结构
2.1.2 安全体系结构的8种安全机制
安全机制
数数访 数认通 路 公 据字问 据证信 由 证 加签控 完交流 控 机 密名制 整换量 制 制
性填 充
安全服务
图2-1 OSI安全体系结构三维示意图
2.1 OSI安全体系结构
2.1.1 安全体系结构的5类安全服务
1)身份认证服务 身份认证服务也称之为身份鉴别服务,这是一个向其
他人证明身份的过程,这种服务可防止实体假冒或重放以 前的连接,即伪造连接初始化攻击。
2.1 OSI安全Байду номын сангаас系结构
2.1.3 网络安全防护体系架构
OSI安全体系结构通过不同层上的安全机制来实现。 这些安全机制在不同层上的分布情况如图2-2所示。
ISO/OSI参考模型
安全机制
应用层安全
表示层安全
身份认证,访问控制, 数据加密,认证交换, 数字签名,通信流量分析
会话层安全
传输层安全 网络层安全
7.路由控制机制 路由控制机制(Routing Control Mechanisms)用于
引导发送者选择代价小且安全的特殊路径,保证数据由源 节点出发,经最佳路由,安全到达目的节点。 8.公证机制
公证机制(Notarization Mechanisms)是指第三方 (公证方)参与的签名机制,主要用来对通信的矛盾双方 因事故和信用危机导致的责任纠纷进行公证仲裁。公证机 制一般要通过设立公证机构(各方都信任的实体)来实现。 公证机构有适用的数字签名、加密或完整性公证机制,当 实体相互通信时,公证机构就使用这些机制进行公证。
数据完整性机制(Data Integrity Mechanisms)是 指通过数字加密(利用加密算法将明文转换为难以理解的 密文和反过来将密文转换为可理解形式的明文),保证数 据不被篡改。数据完整性用以阻止非法实体对交换数据的 修改、插入、删除以及在数据交换过程中的数据丢失。
2.1 OSI安全体系结构
2.1 OSI安全体系结构
2.1.2 安全体系结构的8种安全机制
3.访问控制机制 访问控制机制(Access Control Mechanisms)是网
络安全防护的核心策略,它的主要任务是按事先确定的规 则决定主体对客体的访问是否合法,以保护网络系统资源 不被非法访问和使用。 4.数据完整性机制
2.4 网络安全标准及管理 2.4.1 网络与信息安全标准体系 2.4.2 网络与信息安全标准化概况 2.4.3 可信计算机系统安全评价准则 2.4.4 网络安全管理
2.1 OSI安全体系结构
OSI参考模型
应用层
表示层
会话层
传输层
网络层
链路层
物理层
身份认证 访问控制 数据机密性 数据完整性 不可否认
身份认证是其它安全服务,如授权、访问控制和审计 的前提,它对通信中的对等实体提供鉴别和数据源点鉴别 两种服务。 2)访问控制服务
在网络安全中,访问控制是一种限制,控制那些通过 通信连接对主机和应用系统进行访问的能力。访问控制服 务的基本任务是防止非法用户进入系统及防止合法用户对 系统资源的非法访问使用。
数字签名机制(Digital Signature Mechanisms)指 发信人用自己的私钥通过签名算法对原始数据进行数字签 名运算,并将运算结果,即数字签名一同发给收信人。收 信人可以用发信人的公钥及收到的数字签名来校验收到的 数据是否是由发信人发出的,是否被其它人修改过。数字 签名是确保数据真实性的基本方法。
5)不可否认服务 不可否认服务主要是防止通信参与者事后否认参与。
OSI安全体系结构定义了两种不可否认服务:①发送的不 可否认服务,即防止数据的发送者否认曾发送过数据;② 接收的不可否认服务,即防止数据的接收者否认曾接收到 数据。
2.1 OSI安全体系结构
2.1.2 安全体系结构的8种安全机制
安全服务依赖于安全机制的支持。网络安全机制可分为 两类:一类与安全服务有关,另一类与管理功能有关。 OSI安全体系结构规定了8种安全机制。 1.数据加密机制
加密机制(Encryption Mechanisms)指通过对数据 进行编码来保证数据的机密性,以防数据在存储或传输过 程中被窃取。 2.数字签名机制
第2章 网络安全体系结构
2.1 OSI安全体系结构 2.1.1安全体系结构的5类安全服务 2.1.2 安全体系结构的8种安全机制 2.1.3 网络安全防御体系架构
2.2 网络通信安全模型 2.2.1 网络访问安全模型 2.2.2 网络安全体系结构参考模型的应用
2.3. 可信计算 2.3.1 可信计算的概念 2.3.2 可信计算的关键技术 2.3.3 可信计算的发展趋势
身份认证,访问控制, 数据加密,路由控制, 一致性检查
安全层次 应用层安全
TCP层安全/IP层安全
链路层安全 物理层安全
数据加密,数据流加密
网络接入层安全
图2-2 网络安全层次模型及各层主要安全机制分布
2.1 OSI安全体系结构
2.1.3 网络安全防护体系架构
访问控制和身份认证是紧密结合在一起的,在一个应 用进程被授予权限访问资源之前,它必须首先通过身份认 证。
2.1 OSI安全体系结构
2.1.1 安全体系结构的5类安全服务
3)数据机密性服务 数据机密性服务是指对数据提供安全保护,防止数据
被未授权用户获知。
4)数据完整性服务 数据完整性服务通过验证或维护信息的一致性,防止
2.1.2 安全体系结构的8种安全机制
5.认证交换机制 认证交换机制(Authentication Mechanisms)是指
通过信息交换来确保实体身份的机制,即通信的数据接收 方能够确认数据发送方的真实身份,以及认证数据在传送 过程中是否被篡改;主要有站点认证、报文认证、用户和 进程的认证等方式。 6.通信流量填充机制
通信流量填充机制(Traffic Padding Mechanisms) 是指由保密装置在无数据传输时,连续发出伪随机序列, 使得非法攻击者不知哪些是有用数据、哪些是无用数据, 从而挫败攻击者在线路上监听数据并对其进行数据流分析 攻击。
2.1 OSI安全体系结构
2.1.2 安全体系结构的8种安全机制
安全机制
数数访 数认通 路 公 据字问 据证信 由 证 加签控 完交流 控 机 密名制 整换量 制 制
性填 充
安全服务
图2-1 OSI安全体系结构三维示意图
2.1 OSI安全体系结构
2.1.1 安全体系结构的5类安全服务
1)身份认证服务 身份认证服务也称之为身份鉴别服务,这是一个向其
他人证明身份的过程,这种服务可防止实体假冒或重放以 前的连接,即伪造连接初始化攻击。
2.1 OSI安全Байду номын сангаас系结构
2.1.3 网络安全防护体系架构
OSI安全体系结构通过不同层上的安全机制来实现。 这些安全机制在不同层上的分布情况如图2-2所示。
ISO/OSI参考模型
安全机制
应用层安全
表示层安全
身份认证,访问控制, 数据加密,认证交换, 数字签名,通信流量分析
会话层安全
传输层安全 网络层安全
7.路由控制机制 路由控制机制(Routing Control Mechanisms)用于
引导发送者选择代价小且安全的特殊路径,保证数据由源 节点出发,经最佳路由,安全到达目的节点。 8.公证机制
公证机制(Notarization Mechanisms)是指第三方 (公证方)参与的签名机制,主要用来对通信的矛盾双方 因事故和信用危机导致的责任纠纷进行公证仲裁。公证机 制一般要通过设立公证机构(各方都信任的实体)来实现。 公证机构有适用的数字签名、加密或完整性公证机制,当 实体相互通信时,公证机构就使用这些机制进行公证。
数据完整性机制(Data Integrity Mechanisms)是 指通过数字加密(利用加密算法将明文转换为难以理解的 密文和反过来将密文转换为可理解形式的明文),保证数 据不被篡改。数据完整性用以阻止非法实体对交换数据的 修改、插入、删除以及在数据交换过程中的数据丢失。
2.1 OSI安全体系结构
2.1 OSI安全体系结构
2.1.2 安全体系结构的8种安全机制
3.访问控制机制 访问控制机制(Access Control Mechanisms)是网
络安全防护的核心策略,它的主要任务是按事先确定的规 则决定主体对客体的访问是否合法,以保护网络系统资源 不被非法访问和使用。 4.数据完整性机制
2.4 网络安全标准及管理 2.4.1 网络与信息安全标准体系 2.4.2 网络与信息安全标准化概况 2.4.3 可信计算机系统安全评价准则 2.4.4 网络安全管理
2.1 OSI安全体系结构
OSI参考模型
应用层
表示层
会话层
传输层
网络层
链路层
物理层
身份认证 访问控制 数据机密性 数据完整性 不可否认
身份认证是其它安全服务,如授权、访问控制和审计 的前提,它对通信中的对等实体提供鉴别和数据源点鉴别 两种服务。 2)访问控制服务
在网络安全中,访问控制是一种限制,控制那些通过 通信连接对主机和应用系统进行访问的能力。访问控制服 务的基本任务是防止非法用户进入系统及防止合法用户对 系统资源的非法访问使用。
数字签名机制(Digital Signature Mechanisms)指 发信人用自己的私钥通过签名算法对原始数据进行数字签 名运算,并将运算结果,即数字签名一同发给收信人。收 信人可以用发信人的公钥及收到的数字签名来校验收到的 数据是否是由发信人发出的,是否被其它人修改过。数字 签名是确保数据真实性的基本方法。