第2章网络攻防相关概念研讨.ppt

第二章网络攻防相关概念 OSI 安全体系结构? 1983 年国际标准化组织 ISO ,开放式系统互连的参考模型 OSI/RM ?定义了计算机网络功能的七层? 1989 年, ISO7498-2 标准颁布,确立了 OSI 参考模型的信息安全体系结构?不着眼于解决某一特定安全问题,而是提供一组公共的安全概念和术语,用来描述和讨论安全问题和解决方案,对构建具体网络环境的信息安全构架有重要的指导意义。 OSI 安全体系结构? OSI 安全体系结构是安全服务与相关安全机制的一般性描述,说明了安全服务怎样映射到网络的层次结构中去,并且简单讨论了它们在其中的合适位置?主要包括三部分内容:安全服务、安全机制和安全管理?核心内容包括五大类安全服务以及提供这些服务所需要的八个特定的安全机制和五个普遍安全机制 OSI 安全体系结构 五类安全服务?鉴别服务?提供对等实体的身份鉴别和数据起源鉴别,使得当某层使用低层提供的服务时,确信与之打交道的对等实体正是它所需要的实体。?数据起源鉴别必须与实体鉴别等其他服务相结合才能保证当前通信过程的源真实性。鉴别可以是单向的也可以是双向的,可以带有效期检验也可以不带。这种服务能够提供各种不同程度的保护。 五类安全服务?访问控制服务?对 OSI 协议的可访问资源提供保护,按照访问控制策略进行访问,防止非授权的访问。?这些资源可以是经 OSI 协议访问到的 OSI 资源或非 OSI 资源。这种保护服务可应用于对资源的各种不同类型的访问(例如使用通信资源; 读、写或删除信息资源;处理资源的执行)或应用于对一种资源的所有访问。?访问控制服务包括策略和授权两部分,策略部分决定了访问控制的规则,实施部分则据此进行授权。 五类安全服务?数据保密性服务?对用户数据提供针对非授权泄漏的保护,保护对象为面向连接或者无连接的或者特定字段及通信业务流。数据保密性服务包括: ?连接保密:为一次连接上的全部用户数据保证其机密性; ?无连接保密:为单个无连接的 SDU (服务数据单元)中的全部用户数据保证其机密性?选择字段保密:为那些被选择的字段保证其机密性, 这些字段或处于某个连接的用户数据中, 或为单个无连接的 SDU 中的字段。?业务流保密:使得通过观察通信业务流而不可能推断出其中的机密信息 五类安全服务?数据完整性服务?提供数据完整性保护,防止通过违反安全策略的方式进行非法修改(包括篡改、重排序、删除和假冒) ?可恢复的连接完整性:为连接上的所有用户数据保证完整性, 并检测整个服务数据单元序列中的数据遭到的任何篡改、插入、删除或重演(同时试图补救恢复) ?不可恢复的连接完整性:与上相同,只是不作补救恢复?选择字段的连接完整性?无连接完整性:当由某层提供时, 对发出请求的上层实体提供完整性保证。另外, 在一定程度上也能提供对重演的检测。?选择字段无连接完整性:为单位无连接的 SDU 中的被选字段保证完整性, 所取形式为确定被选字段是否遭受了篡改。 五类安全服务?抗抵赖性服务?抗抵赖服务为数据的接收者提供数据来源的证据,对通信双方进行特定通信过程的不可否认性验证。抗抵赖性服务包括: ?有数据原发证明的抗抵赖:为数据的接收者提供数据来源的证据。这将使发送者谎称未发送过这些数据或否认它的内容的企图不能得逞。?有交付证明的抗抵赖:为数据的发送者提供数据交付证据。这将使得接收者事后谎称未收到过这些数据或否认它的内容不能得逞。 安全服务提供的安全机制?特定的安全机制?加密?加密机制既能为数据提供机密性,也能为通信业务流信息提供机密性,并且还可成为其它的安全机制中的一部分或起补充作用。加密算法可以是可逆的, 也可以是不可逆的。可逆加密算法有两大类: ?对称加密/私钥加密:对于这种加密, 知道了加密密钥也就意味着知道了解密密钥, 反之亦然; ?非对称加密/公开密钥:对于这种加密, 知道了加密密钥并不意味着也知道解密密钥, 反之亦然。这种系统的这样两个密钥有时称之为“公钥”与“私钥”。?除了某些不可逆加密算法的情况外, 加密机制的存在便意味着要使用密钥管理机制。