專注于為中小企業(yè)提供
成都網(wǎng)站制作、做網(wǎng)站服務(wù),電腦端+手機(jī)端+微信端的三站合一,更高效的管理,為中小企業(yè)
云溪免費做網(wǎng)站提供優(yōu)質(zhì)的服務(wù)。我們立足成都,凝聚了一批互聯(lián)網(wǎng)行業(yè)人才,有力地推動了近1000家企業(yè)的穩(wěn)健成長,幫助中小企業(yè)通過網(wǎng)站建設(shè)實現(xiàn)規(guī)模擴(kuò)充和轉(zhuǎn)變。
整個OSI安全體系結(jié)構(gòu)從三個方面來學(xué)習(xí)。
1.安全服務(wù)
- 鑒別服務(wù):提供對等實體的身份鑒別和數(shù)據(jù)起源鑒別,使得當(dāng)某層使用底層提供的服務(wù)時,卻信譽(yù)值打交道的對等實體是它所需要的實體。數(shù)據(jù)起源鑒別必須與實體鑒別等其他服務(wù)相結(jié)合才能保證當(dāng)前通信過程的源真實性。鑒別可以是單向的也可以是雙向的,可以帶有效期檢驗也可以不帶。
- 訪問控制服務(wù):對OSI協(xié)議的可訪問資源提供保護(hù),按照訪問控制策略進(jìn)行訪問,防止非授權(quán)的訪問。這些資源可以是經(jīng)OSI協(xié)議訪問到的OSI資源或非OSI資源。這種保護(hù)服務(wù)可應(yīng)用于對資源的各種不同類型的訪問(例如使用通信資源;讀、寫或刪除信息資源;處理資源的執(zhí)行)或應(yīng)用于對一種資源的所有訪問。訪問控制包括策略和授權(quán),策略部分決定了訪問控制的規(guī)則,實施部分則據(jù)此進(jìn)行授權(quán)。
- 數(shù)據(jù)保密性服務(wù):?? ?
連接保密:為一次連接和是哪個的全部用戶數(shù)據(jù)保證其機(jī)密性
無連接保密:為單個無連接的SDU(服務(wù)數(shù)據(jù)單元)中的全部用戶數(shù)據(jù)保證其機(jī)密性
選擇字段保密:為那些被選擇的字段保證其機(jī)密性,這些字段或處于某個連接的用戶數(shù)據(jù)中,或為單個無連接的SDU中的字段
業(yè)務(wù)流保密:使得通過觀察通信業(yè)務(wù)流而不能推斷出其中的機(jī)密信息
- 數(shù)據(jù)完整性服務(wù):提供數(shù)據(jù)完整性保護(hù),防止通過違反安全策略的方式進(jìn)行非法修改(包括篡改、重排序、刪除和假冒)。在一次連接上,鏈接開始時使用對等實體鑒別服務(wù),并在連接的存活期限使用數(shù)據(jù)完整性服務(wù),并聯(lián)合起來為在此連接上傳送的所有數(shù)據(jù)單元的來源提供確證,為這些數(shù)據(jù)單元的完整性提供確證
? 可恢復(fù)的連接完整性:未連接上的所有用戶保證數(shù)據(jù)完整性,并檢測整個服務(wù)單數(shù)據(jù)單元序列中的數(shù)據(jù)遭到任何的篡改、插入、刪除或重演(同時試圖補(bǔ)救恢復(fù))。
? 不可恢復(fù)的連接完整性:同可恢復(fù)的連接完整性一樣,但不試圖做補(bǔ)救和恢復(fù)。
? 選擇字段的連接完整性:為在一次連接上傳送某曾讀物數(shù)據(jù)單元的用戶數(shù)據(jù),在數(shù)據(jù)中選擇字段保證完整性,所取形式是確定這些被選字段是否遭到了篡改、插入、刪除或重演。
?無連接完整性:由某層提供時,對發(fā)出請求的上層實體提供完整性保證。這種服務(wù)為單個的無連接SDU保證其完整性,所取形式可以是確定一個接受到的SDU是否遭受篡改,在一定程度上也能提供對重演的檢測。
?選擇字段無連接完整性:為單位無連接的SDU中的被選字段保證完整性,所取形式確定為被選字段是否遭到篡改。
- 抵賴性服務(wù):抗抵賴服務(wù)為數(shù)據(jù)的接收者提供數(shù)據(jù)來源的證據(jù),對通信雙方進(jìn)行特定通信過程的不可否認(rèn)性驗證
有數(shù)據(jù)原發(fā)證明的抗抵賴:為數(shù)據(jù)的接收者提供數(shù)據(jù)來源的證據(jù),這將使發(fā)送者謊稱未發(fā)送過這些數(shù)據(jù)或否認(rèn)他的內(nèi)容的企圖無法得逞
有交付證明的抗抵賴:為數(shù)據(jù)的發(fā)送者提供數(shù)據(jù)交付證據(jù)。這將使接收者事后謊稱未收到過這些數(shù)據(jù)或否認(rèn)它的內(nèi)容的企圖無法得逞
2.安全機(jī)制
? ?1.特定的安全機(jī)制
? ? ?加密:加密機(jī)制既能為數(shù)據(jù)提供機(jī)密性,也能為通信業(yè)務(wù)流信息提供機(jī)密性,并且還可以成為其他安全機(jī)制中的一部分或起補(bǔ)充作用。加密算法可以是可逆的,也可以不可逆
?對稱加密/私鑰加密:知道了加密密鑰也就知道了解密密鑰
?非對稱加密/公開密鑰:知道了加密密鑰也不一定知道解密密鑰
數(shù)字簽名:這種機(jī)制確定兩個過程:對數(shù)據(jù)單元簽名和驗證簽過名的數(shù)據(jù)單元。第一過程使用簽名者私有信息作為私鑰。第二個過程所有的規(guī)程與信息是公之于眾的,但不能從他們推斷出該簽名者的私有信息。簽名機(jī)制的本質(zhì)為該簽名只有使用簽名者的私有信息才能產(chǎn)生出來
? ? ?訪問控制:根據(jù)實體的身份來確定其訪問權(quán)限,按照事先約定的規(guī)則決定主體對客體的訪問是否合法。如果某個實體試圖使用非授權(quán)的資源,或以不正當(dāng)方式使用授權(quán)資源,那么訪問控制功能將拒絕這一企圖,另外還可能產(chǎn)生一個報警信號或記錄它作為安全審計跟蹤的一個部分來報告這一事件
- 訪問授權(quán)信息
- 鑒別信息
- 訪問權(quán)限
- 安全標(biāo)記
- 訪問請求事件以及方式
? 數(shù)據(jù)完整性:有兩個方面:單個數(shù)據(jù)單元或字段的完整性以及數(shù)據(jù)單元流或字段流的完整性
? ?認(rèn)證交換:通過信息的交換來提供對等實體的認(rèn)證。如果認(rèn)證實體時得到的否定的結(jié)果,就會導(dǎo)致接連的拒絕或終止,也可能使在安全審計跟蹤中增加一個記錄,或給安全管理中心一個報告
- 口令鑒別
- 密碼技術(shù)
- 時間戳
- 同步時鐘
- 二/三次握手
- 不可否認(rèn)機(jī)制
- 實體特征或所有權(quán)鑒別
?業(yè)務(wù)流填充:在應(yīng)用連接空閑時,持續(xù)發(fā)送偽隨機(jī)序列,使攻擊者不知道哪些是有用信息。這種機(jī)制只有在業(yè)務(wù)流填充沖到機(jī)密服務(wù)保護(hù)時才是有效的
? ?路由選擇控制:路由能動態(tài)的或預(yù)定的選取,以便只使用物理上安全的子網(wǎng)絡(luò)、中繼站或鏈路。帶有某些安全標(biāo)記的數(shù)據(jù)可能被安全策略禁止通過某些子網(wǎng)絡(luò)、中繼站、或鏈路。連接的發(fā)起者或無連接單元的發(fā)送者,可以指定路由選擇說明,由它請求回避某些特定的子網(wǎng)絡(luò)、鏈路或中繼站
? ?公證
? ?2.普遍安全機(jī)制
? ?可信功能度機(jī)制:用來度量擴(kuò)充其他安全機(jī)制的范圍或建立這些安全機(jī)制的有效性,必須使用可信功能度。任何功能度,只要它是直接提供安全機(jī)制,或提供安全機(jī)制的訪問,都應(yīng)該是可信的
? ?安全標(biāo)記機(jī)制:安全標(biāo)記是與某一資源密切相連的標(biāo)記,為該資源命名或指定安全屬性(這種標(biāo)記可以是明顯的也可以是隱含的)包含數(shù)據(jù)項的資源可能具有與這些數(shù)據(jù)相關(guān)聯(lián)的安全標(biāo)記,如表明數(shù)據(jù)敏感性級別的標(biāo)記,安全標(biāo)記通常必須和數(shù)據(jù)一起傳送
? ?事件檢測機(jī)制
? ?安全審計跟蹤機(jī)制:安全審計跟蹤的潛在價值在于經(jīng)事后的安全審計得以檢測和調(diào)差安全漏洞。安全審計就是對系統(tǒng)的記錄與行為進(jìn)行獨立的品評考查,目的是測試系統(tǒng)的控制是否恰當(dāng),保證與既定策略和操作堆積的協(xié)調(diào)一致,有助于做出損害評估,以及對在控制、策略與規(guī)程中指明的改變做出評價。安全審計要求在安全審計跟蹤中記錄有關(guān)安全的信息,分析和報告從安全審計跟蹤中得來的信息。
? ?安全恢復(fù):安全恢復(fù)處理來自諸如事件處置與管理功能等機(jī)制的請求,并把恢復(fù)動作當(dāng)做應(yīng)用一組規(guī)則的結(jié)果
- 立即的:可能造成操作的立即放棄,如斷開
- 暫時的:可能使一個實體暫時無效
- 長期的:可能把一個實體記入“黑名單”,或改變密鑰
3.安全管理
? 系統(tǒng)安全管理:
??系統(tǒng)安全管理涉及總的OSI環(huán)境方面管理。
- 總體安全策略的管理,包括一致性的修改與維護(hù)
- 與其他OSI安全管理功能的相互作用
- 與安全服務(wù)管理和安全機(jī)制管理的交互作用
- 事件處理管理,包括遠(yuǎn)程報告違反安全系統(tǒng)的明顯企圖,對出發(fā)事件報告的閾值進(jìn)行修改
- 安全審計管理,包括選擇被記錄和被遠(yuǎn)程收集的事件,授予或取消對所選事件進(jìn)行審計跟蹤日志記錄的能力,審計記錄的遠(yuǎn)程收集,準(zhǔn)備安全審計報告
- 安全恢復(fù)管理,包括維護(hù)用來對安全事故做出反應(yīng)的規(guī)則,遠(yuǎn)程報告對系統(tǒng)安全的明顯違規(guī),安全管理者的交互
安全服務(wù)管理:
? ?安全服務(wù)管理涉及特定安全服務(wù)管理
- 為服務(wù)指派安全保護(hù)的目標(biāo)
- 制定與維護(hù)選擇規(guī)則(存在可選擇情況時),選擇安全服務(wù)所需的特定安全機(jī)制
- 協(xié)商需要取得管理員同意的可用的安全機(jī)制
- 通過適當(dāng)?shù)陌踩珯C(jī)制管理功能調(diào)用特定安全機(jī)制
- 與其他的安全服務(wù)管理功能和安全機(jī)制管理功能進(jìn)行交互
安全機(jī)制管理:
- 密鑰管理:主要功能是間歇性的產(chǎn)生與所要求的安全級別相應(yīng)的密鑰;根據(jù)訪問控制策略,對于每個密鑰決定哪個實體可以擁密鑰的拷貝;用可靠方法使密鑰對開放系統(tǒng)中的實體是可用的,或?qū)⑦@些密鑰分給它們
- 加密管理:主要功能是與密鑰管理的交互作;建立密碼交互;密碼同步
- 數(shù)字簽名管理:主要功能是與密鑰管理地交互作用;建立密碼參數(shù)與密碼算法;在通信實體與可能有的第三方之間使用協(xié)議
- 訪問控制管理:主要功能是安全屬性(包括口令)的分配;對訪問控制表或訪問權(quán)利表進(jìn)行修改;在通信實體與其他提供訪問控制服務(wù)的實體之間使用協(xié)議
- 數(shù)據(jù)完整性管理:主要功能是與密鑰管理地交互作用;建立密碼參數(shù)與密碼算法;在通信實體之間使用協(xié)議
- 鑒別管理:主要功能是將說明信息、口令和密鑰分配給要求鑒別執(zhí)行的實體;在通信的實體與其他提供鑒別服務(wù)的實體之間提供協(xié)議
- 通信業(yè)務(wù)流填充管理:主要功能是維護(hù)通信業(yè)務(wù)流填充的規(guī)則,如預(yù)定的數(shù)據(jù)率;制定隨機(jī)數(shù)據(jù)率;指定報文特性,如長度;按時間改變這些規(guī)定
- 路由控制管理:主要功能是確定按特定準(zhǔn)則被認(rèn)為是安全可靠或可信任的鏈路或子網(wǎng)
- 公證管理:主要功能是分配有關(guān)公正的信息;在公證方與通信實體之間使用協(xié)議;與公證方進(jìn)行交互
OSI管理的安全:
?這一類安全管理將對上面所列的OSI安全服務(wù)與機(jī)制進(jìn)行適當(dāng)?shù)倪x取,以確保OSI管理協(xié)議和信息獲得足夠的保護(hù)
正在基于基礎(chǔ)理論學(xué)習(xí)網(wǎng)絡(luò)攻防知識,如有錯誤歡迎指正。
你是否還在尋找穩(wěn)定的海外服務(wù)器提供商?創(chuàng)新互聯(lián)www.cdcxhl.cn海外機(jī)房具備T級流量清洗系統(tǒng)配攻擊溯源,準(zhǔn)確流量調(diào)度確保服務(wù)器高可用性,企業(yè)級服務(wù)器適合批量采購,新人活動首月15元起,快前往官網(wǎng)查看詳情吧
本文題目:網(wǎng)絡(luò)攻防技術(shù)——OSI安全體系-創(chuàng)新互聯(lián)
網(wǎng)站鏈接:http://muchs.cn/article18/spgdp.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供做網(wǎng)站、營銷型網(wǎng)站建設(shè)、網(wǎng)站設(shè)計、微信公眾號、動態(tài)網(wǎng)站、網(wǎng)站策劃
廣告
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時需注明來源:
創(chuàng)新互聯(lián)