网络安全体系结构ppt课件
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
不可否认服务主要是防止通信参与者事后否认参与。OSI安全体 系结构定义了两种不可否认服务:①发送的不可否认服务,即防止数 据的发送者否认曾发送过数据;②接收的不可否认服务,即防止数据 的接收者否认曾接收到数据。
5
2.1 OSI安全体系结构
2.1.2 安全体系结构的8种安全机制 安全服务依赖于安全机制的支持。网络安全机制可分为两类:一类
与安全服务有关,另一类与管理功能有关。OSI安全体系结构规定了8 种安全机制。 1.数据加密机制
加密机制(Encryption Mechanisms)指通过对数据进行编码来 保证数据的机密性,以防数据在存储或传输过程中被窃取。 2.数字签名机制
数字签名机制(Digital Signature Mechanisms)指发信人用自 己的私钥通过签名算法对原始数据进行数字签名运算,并将运算结果, 即数字签名一同发给收信人。收信人可以用发信人的公钥及收到的数 字签名来校验收到的数据是否是由发信人发出的,是否被其它人修改 过。数字签名是确保数据真实性的基本方法。
访问控制和身份认证是紧密结合在一起的,在一个应用进程被授 予权限访问资源之前,它必须首先通过身份认证。
4
2.1 OSI安全体系结构
2.1.1 安全体系结构的5类安全服务 3)数据机密性服务
数据机密性服务是指对数据提供安全保护,防止数据被未授权用 户获知。 4)数据完整性服务
数据完整性服务通过验证或维护信息的一致性,防止主动攻击, 确保收到的数据在传输过程中没有被修改、插入、删除、延迟等。 5)不可否认服务
身份认证,访问控制, 数据加密,路由控制, 一致性检查
数据加密,数据流加密
Leabharlann Baidu
安全层次 应用层安全 TCP层安全/IP层安全
网络接入层安全
图2-2 网络安全层次模型及各层主要安全机制分布
10
9
2.1 OSI安全体系结构
2.1.3 网络安全防护体系架构 OSI安全体系结构通过不同层上的安全机制来实现。这些安全机
制在不同层上的分布情况如图2-2所示。
ISO/OSI参考模型
安全机制
应用层安全
表示层安全
身份认证,访问控制, 数据加密,认证交换, 数字签名,通信流量分析
会话层安全
传输层安全 网络层安全 链路层安全 物理层安全
2.1.2 安全体系结构的8种安全机制 5.认证交换机制
认证交换机制(Authentication Mechanisms)是指通过信息交 换来确保实体身份的机制,即通信的数据接收方能够确认数据发送方 的真实身份,以及认证数据在传送过程中是否被篡改;主要有站点认 证、报文认证、用户和进程的认证等方式。 6.通信流量填充机制
路由控制机制(Routing Control Mechanisms)用于引导发送者 选择代价小且安全的特殊路径,保证数据由源节点出发,经最佳路由, 安全到达目的节点。 8.公证机制
公证机制(Notarization Mechanisms)是指第三方(公证方) 参与的签名机制,主要用来对通信的矛盾双方因事故和信用危机导致 的责任纠纷进行公证仲裁。公证机制一般要通过设立公证机构(各方 都信任的实体)来实现。公证机构有适用的数字签名、加密或完整性 公证机制,当实体相互通信时,公证机构就使用这些机制进行公证。
2.3. 可信计算
2.3.1 可信计算的概念
2.3.2 可信计算的关键技术
2.3.3 可信计算的发展趋势
2.4 网络安全标准及管理
2.4.1 网络与信息安全标准体系
2.4.2 网络与信息安全标准化概况
2.4.3 可信计算机系统安全评价准则
2
2.4.4 网络安全管理
2.1 OSI安全体系结构
OSI参考模型
应用层
表示层
会话层
传输层
网络层
链路层
物理层
身份认证 访问控制 数据机密性 数据完整性 不可否认
安全机制
数数访 数认通 路 公 据字问 据证信 由 证 加签控 完交流 控 机 密名制 整换量 制 制
性填 充
安全服务
图2-1 OSI安全体系结构三维示意图
3
2.1 OSI安全体系结构
2.1.1 安全体系结构的5类安全服务 1)身份认证服务
数据完整性机制(Data Integrity Mechanisms)是指通过数字 加密(利用加密算法将明文转换为难以理解的密文和反过来将密文转 换为可理解形式的明文),保证数据不被篡改。数据完整性用以阻止 非法实体对交换数据的修改、插入、删除以及在数据交换过程中的数 据丢失。
7
2.1 OSI安全体系结构
普通高等教育“十一五”计算机类规划教 材
第2章 网络安全体系结构
1
第2章 网络安全体系结构
2.1 OSI安全体系结构
2.1.1安全体系结构的5类安全服务
2.1.2 安全体系结构的8种安全机制
2.1.3 网络安全防御体系架构
2.2 网络通信安全模型
2.2.1 网络访问安全模型
2.2.2 网络安全体系结构参考模型的应用
身份认证服务也称之为身份鉴别服务,这是一个向其他人证明身 份的过程,这种服务可防止实体假冒或重放以前的连接,即伪造连接 初始化攻击。
身份认证是其它安全服务,如授权、访问控制和审计的前提,它 对通信中的对等实体提供鉴别和数据源点鉴别两种服务。 2)访问控制服务
在网络安全中,访问控制是一种限制,控制那些通过通信连接对 主机和应用系统进行访问的能力。访问控制服务的基本任务是防止非 法用户进入系统及防止合法用户对系统资源的非法访问使用。
6
2.1 OSI安全体系结构
2.1.2 安全体系结构的8种安全机制 3.访问控制机制
访问控制机制(Access Control Mechanisms)是网络安全防护 的核心策略,它的主要任务是按事先确定的规则决定主体对客体的访 问是否合法,以保护网络系统资源不被非法访问和使用。 4.数据完整性机制
通信流量填充机制(Traffic Padding Mechanisms)是指由保密 装置在无数据传输时,连续发出伪随机序列,使得非法攻击者不知哪 些是有用数据、哪些是无用数据,从而挫败攻击者在线路上监听数据 并对其进行数据流分析攻击。
8
2.1 OSI安全体系结构
2.1.2 安全体系结构的8种安全机制 7.路由控制机制
5
2.1 OSI安全体系结构
2.1.2 安全体系结构的8种安全机制 安全服务依赖于安全机制的支持。网络安全机制可分为两类:一类
与安全服务有关,另一类与管理功能有关。OSI安全体系结构规定了8 种安全机制。 1.数据加密机制
加密机制(Encryption Mechanisms)指通过对数据进行编码来 保证数据的机密性,以防数据在存储或传输过程中被窃取。 2.数字签名机制
数字签名机制(Digital Signature Mechanisms)指发信人用自 己的私钥通过签名算法对原始数据进行数字签名运算,并将运算结果, 即数字签名一同发给收信人。收信人可以用发信人的公钥及收到的数 字签名来校验收到的数据是否是由发信人发出的,是否被其它人修改 过。数字签名是确保数据真实性的基本方法。
访问控制和身份认证是紧密结合在一起的,在一个应用进程被授 予权限访问资源之前,它必须首先通过身份认证。
4
2.1 OSI安全体系结构
2.1.1 安全体系结构的5类安全服务 3)数据机密性服务
数据机密性服务是指对数据提供安全保护,防止数据被未授权用 户获知。 4)数据完整性服务
数据完整性服务通过验证或维护信息的一致性,防止主动攻击, 确保收到的数据在传输过程中没有被修改、插入、删除、延迟等。 5)不可否认服务
身份认证,访问控制, 数据加密,路由控制, 一致性检查
数据加密,数据流加密
Leabharlann Baidu
安全层次 应用层安全 TCP层安全/IP层安全
网络接入层安全
图2-2 网络安全层次模型及各层主要安全机制分布
10
9
2.1 OSI安全体系结构
2.1.3 网络安全防护体系架构 OSI安全体系结构通过不同层上的安全机制来实现。这些安全机
制在不同层上的分布情况如图2-2所示。
ISO/OSI参考模型
安全机制
应用层安全
表示层安全
身份认证,访问控制, 数据加密,认证交换, 数字签名,通信流量分析
会话层安全
传输层安全 网络层安全 链路层安全 物理层安全
2.1.2 安全体系结构的8种安全机制 5.认证交换机制
认证交换机制(Authentication Mechanisms)是指通过信息交 换来确保实体身份的机制,即通信的数据接收方能够确认数据发送方 的真实身份,以及认证数据在传送过程中是否被篡改;主要有站点认 证、报文认证、用户和进程的认证等方式。 6.通信流量填充机制
路由控制机制(Routing Control Mechanisms)用于引导发送者 选择代价小且安全的特殊路径,保证数据由源节点出发,经最佳路由, 安全到达目的节点。 8.公证机制
公证机制(Notarization Mechanisms)是指第三方(公证方) 参与的签名机制,主要用来对通信的矛盾双方因事故和信用危机导致 的责任纠纷进行公证仲裁。公证机制一般要通过设立公证机构(各方 都信任的实体)来实现。公证机构有适用的数字签名、加密或完整性 公证机制,当实体相互通信时,公证机构就使用这些机制进行公证。
2.3. 可信计算
2.3.1 可信计算的概念
2.3.2 可信计算的关键技术
2.3.3 可信计算的发展趋势
2.4 网络安全标准及管理
2.4.1 网络与信息安全标准体系
2.4.2 网络与信息安全标准化概况
2.4.3 可信计算机系统安全评价准则
2
2.4.4 网络安全管理
2.1 OSI安全体系结构
OSI参考模型
应用层
表示层
会话层
传输层
网络层
链路层
物理层
身份认证 访问控制 数据机密性 数据完整性 不可否认
安全机制
数数访 数认通 路 公 据字问 据证信 由 证 加签控 完交流 控 机 密名制 整换量 制 制
性填 充
安全服务
图2-1 OSI安全体系结构三维示意图
3
2.1 OSI安全体系结构
2.1.1 安全体系结构的5类安全服务 1)身份认证服务
数据完整性机制(Data Integrity Mechanisms)是指通过数字 加密(利用加密算法将明文转换为难以理解的密文和反过来将密文转 换为可理解形式的明文),保证数据不被篡改。数据完整性用以阻止 非法实体对交换数据的修改、插入、删除以及在数据交换过程中的数 据丢失。
7
2.1 OSI安全体系结构
普通高等教育“十一五”计算机类规划教 材
第2章 网络安全体系结构
1
第2章 网络安全体系结构
2.1 OSI安全体系结构
2.1.1安全体系结构的5类安全服务
2.1.2 安全体系结构的8种安全机制
2.1.3 网络安全防御体系架构
2.2 网络通信安全模型
2.2.1 网络访问安全模型
2.2.2 网络安全体系结构参考模型的应用
身份认证服务也称之为身份鉴别服务,这是一个向其他人证明身 份的过程,这种服务可防止实体假冒或重放以前的连接,即伪造连接 初始化攻击。
身份认证是其它安全服务,如授权、访问控制和审计的前提,它 对通信中的对等实体提供鉴别和数据源点鉴别两种服务。 2)访问控制服务
在网络安全中,访问控制是一种限制,控制那些通过通信连接对 主机和应用系统进行访问的能力。访问控制服务的基本任务是防止非 法用户进入系统及防止合法用户对系统资源的非法访问使用。
6
2.1 OSI安全体系结构
2.1.2 安全体系结构的8种安全机制 3.访问控制机制
访问控制机制(Access Control Mechanisms)是网络安全防护 的核心策略,它的主要任务是按事先确定的规则决定主体对客体的访 问是否合法,以保护网络系统资源不被非法访问和使用。 4.数据完整性机制
通信流量填充机制(Traffic Padding Mechanisms)是指由保密 装置在无数据传输时,连续发出伪随机序列,使得非法攻击者不知哪 些是有用数据、哪些是无用数据,从而挫败攻击者在线路上监听数据 并对其进行数据流分析攻击。
8
2.1 OSI安全体系结构
2.1.2 安全体系结构的8种安全机制 7.路由控制机制