OSI安全架构提供五类安全服务:对象认证(如口令、公钥签名、持卡和生物特征认证)、访问控制(自主、强制、基于角色和基于任务的访问控制)、数据保密性、数据完整性和禁止否认服务。动态口令技术用于增强认证安全性,访问控制则限制不同用户对资源的访问权限,确保信息安全。
网络安全体系
OSI 安全架构是一个面向对象的、多层次的结构,它认为安全的网络应用是由安全的服务实现的,而安全服务又是由安全机制来实现的。
针对网络系统的技术和环境,OSI 安全架构中对网络安全提出了 5 类安全服务,即对象认证服务、访问控制服务、数据保密性服务、数据完整性服务、禁止否认服务。
认证服务
身份认证是对系统的用户进行有效性、真实性验证。
口令认证方式
使用口令认证方式,用户必须具有一个唯一的系统标识,并且保证口令在系统的使用和存储过程中是安全的,同时口令在传输过程中不能被窃取、替换。另外特别要注意的是在认证前,用户必须确认认证者的真实身份,以防止把口令发给冒充的认证者。
基于公钥签名的认证方式
公开密钥签名算法的身份认证方式,是通过请求认证者与认证者(对于双向身份认证而言,双方互为请求认证者和认证者)之间对于一个随机数做数字签名与验证数字签名来实现的。这种方式中认证双方的个人秘密信息不用在网络上传送,从而减少了口令等秘密信息泄漏的风险。
持卡认证方式
持卡认证方式最早采用磁卡。磁卡中最重要的部分是磁道,不仅存储数据,而且还存储用户的身份信息。目前所用的卡是 IC 卡,与磁卡相比,它除了存储容量大之外,还可一卡多用,同时具有可靠性高,寿命长,读写机构简单可靠,造价便宜,维护方便,容易推广等诸多优点。
基于人体生物特征的认证方式
这种方式是指通过计算机,利用人体固有的生理特征或行为特征进行个人身份鉴定。与传统的身份鉴别手段相比,基于生物特征的认证技术具有突出的优点:一是不会遗忘或丢失;二是防伪性能好,无法伪造;三是随时随地可用。
能够用来鉴别身份的生物特征一般具有广泛性(每个人都应该具有这种特性)、唯一性(每个人拥有的特征应各不相同)、稳定性(所选择的特征应该不随时间变化而发生变化)和可采集性(所选择的特征应该便于采集、测量)。目前,可用于身份鉴别的生物特征主要有指纹、笔迹、脸像、红外温、视网膜、手形、掌纹等。
动态口令技术(一次性口令技术)
一般情况下,所使用的计算机口令都是静态的,也就是说在一定的时间内是相对不变的,而且可重复使用。这种口令很容易被系统中的嗅探程序所劫持,而且很容易受到基于字典的暴力攻击。
针对这种静态口令认证方式的缺陷,人们提出了利用散列函数产生一次性口令的方法,即用户每次登录系统时使用的口令都是变化的。一次性口令是动态变化的密码,其变化来源于产生密码的运算因子。一次性口令的产生因子一般都采用双运算因子:一是用户的私钥,它代表用户身份的识别码,是固定不变的。二是变动因子,正是变动因子的不断变化,才能够产生动态的一次性口令。
动态口令技术认证方式中要用到动态口令密码卡,这是一种便于携带的智能化硬件产品。这种密码卡内置的构件和程序能通过密码卡内的密钥加上其他因子动态地计算出新的口令。
访问控制服务
访问控制是在身份认证的基础上,根据不同身份的用户对用户的访问请求加以限制。身份认证关心的是“你是谁,你是否拥有你所声明的身份”这个问题;而访问控制则关心“你能做什么,不能做什么”的问题。
自主访问控制
自主访问控制(Discretionary Access Control, DAC)是借助DAC方法中的访问控制表(Access Control List, ACL)。DAC有一个明显的特点,就是这种控制是自主的,它能够控制主体对客体的直接访问,但不能控制主体对客体的间接访问。虽然这种自主性为用户提供了很大的灵活性,但同时也带来了严重的安全问题。所谓间接访问,就是利用访问的传递性,即A可访问B,B可访问C,于是A可访问C。
强制访问控制
MAC的基本思想是,每个主体都有既定的安全属性,每个客体也都有既定的安全属性,主体对客体是否能执行特定的操作取决于两者安全属性之间的关系。
基于角色的访问控制
基于角色的访问控制(Role-Based Access Control, RBAC)技术由于其对角色和层次化管理的引进,特别适用于用户数量庞大、系统功能不断扩展的大型系统。在RBAC中,在用户和访问许可权之间引入了角色的概念,用户与特定的一个或多个角色相联系,角色与一个或多个访问许可权相联系。
基于任务的访问控制
基于任务的访问控制(Task-Based Access Control, TBAC)通过授权步的动态权限管理,TBAC支持最小特权原则和最小泄露原则,在执行任务时只给用户分配所需的权限,未执行任务或任务终止后用户不再拥有所分配的权限;在执行任务过程中,当某一权限不再使用时,授权步自动将该权限回收。TBAC适用于工作流、分布式处理、多点访问控制的信息处理和事务管理系统,最显著的应用是在安全工作流管理系统中。
基于对象的访问控制
控制策略和控制规则是基于对象的访问控制(Object-basedAccessControl, OBAC)的核心,在OBAC模型中,将ACL与受控对象及其属性相关联,并将访问控制选项设计成为用户、组或角色及其对应权限的集合。
数据机密性
数据保密性服务是针对信息泄漏而采取的防御措施,包括信息保密、选择段保密、业务流保密等内容。数据保密性服务是通过对网络中传输的数据进行加密来实现的。
数据完整性
数据完整性服务包括防止非法篡改信息,如修改、删除、插入、复制等。
抗抵赖性
禁止否认服务可以防止信息的发送者在事后否认自己曾经进行过的操作,即通过证实所有发生过的操作防止抵赖。具体的可以分为防止发送抵赖、防止递交抵赖和进行公证等几个方面。
393
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
