网络安全服务和安全机制各有哪几项
安全服务是指计算机网络提供的安全防护措施, 国际标准化组织(ISO)定义了以下几种基本的安全服务:
认证服务
确保某个实体身份的可靠性,可分为两种类型。一种类型是认证实体本身的身份,确保其真实性,称为实体认证。实体的身份一旦获得确认就可以和访问控 制表中的权限关联起来,决定是否有权进行访问。口令认证是实体认证中—种最常见的方式。另一种认证是证明某个信息是否来自于某个特定的实体,这种认证叫做 数据源认证。数据签名技术就是一例。
访问控制
访问控制的目标是防止对任何资源的非授权访问,确保只有经过授权的实体才能访问受保护的资源。
数据机密性服务
数据机密性服务确保只有经过授权的实体才能理解受保护的信息、在信息安全中主要区分两种机密性服务:数据机密性服务和业务流机密性服务,数据机密 性服务主要是采用加密手段使得攻击者即使窃取了加密的数据也很难推出有用的信息;业务流机密性服务则要使监听者很难从网络流量的变化上推出敏感信息。
数据完整性服务
防止对数据未授权的修改和破坏。完整性服务使消息的接收者能够发现消息是否被修改,是否被攻击者用假消息换掉。
不可否认服务
根据ISO的标准,不可否认服务要防止对数据源以及数据提交的否认。它有两种可能:数据发送的不可否认性和数据接收的不可否认性。这两种服务需要比较复杂的基础设施的持,如数字签名技术。
安全机制是用来实施安全服务的机制。安全机制既可以是具体的、特定的,也可以是通用的。主要的安全机制有以下几种:
加密机制
用于保护数据的机密性。它依赖于现代密码学理论,一般来说加/解密算法是公开的,加密的安全性主要依赖于密钥的女全性和强度。有两种加密机制,一种是对称的加密机制,—种是非对称的加密机制。
数字签名机制
是保证数据完整性及不可否认性的一种重要手段。数字签名在网络应用中的作用越来越重要。它可以采用特定的数字签名机制生成,也可以通过某种加密机制生成。
访问控制机制
与实体认证密切相关。首先,要访问某个资源的实体应成功通过认证,然后访问控制机制对该实体的访问请求进行处理,查看该实体是否具有访问所请求资源的权限,并做出相应的处理。
数据完整性机制
用于保证数据单元或数据流的完整性的各种机制。破坏数据完整性的主要因素有数据在信道中传输时受信道干扰影响而产生错误,数据在传输和存储过程中被非法入侵者篡改,计算机病毒对程序和数据的传染等。纠错编码和差错控制是对付信道干扰的有效方法。
认证交换机制
通过实体交换来保证实体身份的各种机制。在计算机网络中认证主要有用户认证、消息认证、站点认证和进程认证等,可用于认证的方法有已知信息(如口令)、共享密钥、数字签名、生物特征(如指纹)等。
流量填充机制
在数据流空隙中插入若于位以阻止流重分析。攻击者通过分析网络中有一路径 上的信息流星和流向来判断某些事件的发生,为了对付这种攻击,一些关键站点间再无正常信息传送时, 持续传递些随机数据, 使攻击者不知道哪些数据是有用的, 那些数据是无用的,从而挫败攻击者的信息流分析。
路由控制机制
能够为某些数据动态地或预定地选取路由,确保只使用物理上安全的子网络、中继站或链路。在大型计算机网络中,从源点到目的地址往往存在多条路径,其中有些路径是安全的。有些路径是不安全的,路由控制机制可根据信息发送者的申请选择安全路径,以确保数据安全。
公证机制
利用可信的第三方来保证数据交换的某些性质。这种机制确证两个或多个实体之间数据通信的特征,包括数据的完整性、源点、终点及收发时间等。这种保证由通信实体信赖的第三方一公证员提供。 在可检测方式下,公证员掌握用以确证的必要信息。公证机制提供服务还使用到数字签名、加密和完整性服务。