OSI安全体系结构的八种安全机制
OSI安全体系结构的八种安全机制包括加密、数据签名、访问控制、数据完整性、鉴别交换、业务流填充、路由控制和公正等,其含义分别解释如下:
1)加密机制:提供对数据或信息流的保密,并可作为其它安全机制的补充。这种机制是确保数据安全性的基本方法。在OSI安全体系结构中应根据加密所在的层次及加密对象的不同,而采用不同的加密方法。
2)数字签名机制:是确保数据真实性的基本方法,利用数字签名技术可以进行用户的身份认证和消息认证,它具有解决收、发双方纠纷的台邑力。
3)访问控制机制:使用已鉴别的实体身份、实体的有关信息或实体的台旨力来确定并实施该实体的访问权限。当实体试图使用非授权资源或以不正确方式使用授权资源时,访问控制功能将拒绝这种企图,并产生事件报警和/或记录,作为安全审计跟踪的一部分。
4)数据完整性机制:用于保证数据单元或数据流的完整性的各种机制。破坏数据完整性的主要因素有数据在信道中传输时受信道干扰影响而产生错误,数据在传输和存储过程中被非法入侵者篡改,计算机病毒对程序和数据的传染等。纠错编码和差错控制是对付信道干扰的有效方法。
5)认证交换机制:通过实体交换来保证实体身份的各种机制。在计算机网络中认证主要有用户认证、消息认证、站点认证和进程认证等,可用于认证的方法有已知信息(如口令)、共享密钥、数字签名、生物特征(如指纹)等。
6)通信业务填充机制:在数据流空隙中插入若干位以阻止流量分析。攻击者通过分析网络中有一路径上的信息流量和流向来判断某些事件的发生,为了对付这种攻击,一些关键站点间再无正常信息传送时,持续传递一些随机数据,使攻击者不知道哪些数据是有用的, 那些数据是无用的,从而挫败攻击者的信息流分析。
7)路由选择控制机制:能够为某些数据动态地或预定地选取路由,确保只使用物理上安全的子网络、中继站或链路。在大型计算机网络中,从源点到目的地址往往存在多条路径,其中有些路径是安全的,有些路径是不安全的,路由控制机制可根据信息发送者的申请选择安全路径,以确保数据安全。
8)公证机制:利用可信的第三方来保证数据交换的某些性质。这种机制确证两个或多个实体之间数据通信的特征,包括数据的完整性、源点、终点及收发时间等。这种保证由通信实体信赖的第三方——公证员提供。在可检测方式下,公证员掌握用以确证的必要信息。 公证机制提供服务还使用到数字签名、加密和完整性服务。
- 上一篇:OSI安全体系结构中的五类安全服务
- 下一篇:TCP/IP协议安全