在ISO7498-2标准中规定的安全机制包括哪些方面
在ISO7498-2标准中规定的安全机制包括以下方面:
加密机制:密码技术能够提供,或有助于提供保护以防止,消息流的观察和篡改、通信业务流分析、抵赖、伪造、非授权连接、篡改消息。加密机制是保证信息安全的核心技术,有多种其他安全机制的实现都依赖于加密技术。
数字签名机制:数字签名这一术语是用来指一种技术,这种技术能够用来提供诸如抗抵赖与鉴别等安全服务。数字签名机制要求使用非对称密码算法。数字签名机制的实质特征为:不使用私有密钥就不能造成签过名的那个数据单元。这意味着签过名的数据单元除了私有密钥的占有者外,别的个人是不能制造出来的;接收者不能造出相同的签过名的数据单元。所以,只需使用公开可用的信息(公钥)就能认定数据单元的签名者只能是那些私有密钥的占有者。
访问控制机制:访问控制机制是通过不同的手段和策略来实现对网络信息系统的访问控制,其目的是保护网络资源不被非法使用和访问。访问控制技术涉及的领域较广,根据控制策略的不同,访问控制技术可以划分为自主访问控制、强制访问控制和角色访问控制三种策略。
数据完整性机制:数据完整性机制主要解决数据单元的完整性和数据单元的序列的完整性。它有两种类型:一种用来保护单个数据单元的完整性,另一种既保护单个数据单元的完整性,也保护一个连接上整个数据单元流序列的完整性。
鉴别交换机制:鉴别交换机制是通过双方交换事先约定信息的方法,确认对方身份的一种安全机制。鉴别交换使用的方法通常需要根据不同的应用进行选择:当对方以及通信手段都可信任时,一方的身份可以通过口令来证实。
业务流填充机制:业务流填充机制是通过填充冗余来防止攻击者进行业务流分析。该机制的具体方法是将冗余通信业务和将协议数据单元填充成一个长度固定的单元,这样就能在一定程度上防止对通信业务的分析。为了提高保护的力度,冗余通信业务必须接近实际通信业务的最高预期等级。此外,协议数据单元的内容必须进行加密,以便冗余的业务不会被识破。
路由控制机制:通过选择传送数据的路由可以保证数据只在物理上安全的路由上传输,或保证敏感数据只在具有相应保护级别的路由上传输,从而达到保护信息安全的目的。路由既可以动态地选择,也可以事先确定。
公证机制:公证机制建立在可以信任的第三方的基础之上,这个第三方用以确保在两个或多个实体间交换的信息的特性。