OSI安全框架
OSI安全框架,给出一种系统化的定义方法,提供安全的一种组织方法:
安全攻击
被动攻击: 主要特性是对传输进行窃听和检测;被动攻击不涉及对数据的更改,所以很难察觉,处理被动攻击的重点是预防,不是检测。
主动攻击
包括对数据流进行修改或者伪造数据流,主要分为四类:伪装、重播、消息修改、拒绝服务。
伪装是指某个实体家庄别的实体,途中路径2;
重播是指将获得的信息再次发送以产生非授权的效果;
消息修改指修改合法消息的一部分或延迟消息的传输或改变消息的顺序以获得非授权的效果;
拒绝服务组织或禁止对通信设施的正常使用或管理。
主动攻击难以绝对预防,但容易检测。
安全服务
认证
认证服务的功能是向接收方保证消息来自所声称的发送方,在连接的初始化阶段,认证服务保证两个实体是可信的,也就数或每个实体都是他们所声称的实体,其次认证服务必须保证该链接不受第三方的干扰,这种干扰指的是第三方能够伪装成两个合法实体中的一个进行授权传输或接收。
同等实体认证
为连接中的同等会提提供身份认证,如果处于不同系统中的两个实体实行相同的协议,则认为他们是对等的。一个实体没有试图进行伪装或对以前的连接进行非授权重播。
数据源认证
为数据的来源提供确认,但是对数据的复制或修改并不提供保护。
访问控制
是一种限制和控制那些通过通信连接对主机和应用进行访问的能力。每个试图获得访问控制的实体必须被识别或认证后才能获得其相应的访问权限。
数据保密性
保密性是为了防止传输的数据遭到被动攻击。
数据完整性
用于处理消息流、面向连接的完整服务保证收到的消息和发出的消息一直,没有复制、插入、修改、更改顺序或重播。
不可否认性
不可否认性防止发送或接收方否认传输或接受过某条消息。
安全机制
数字签名
附加于数据单元之后的一种数据,它是对数据单元的密码变换,以使得可证明数据源和完整性,并防止伪造。
认证交换
通过信息交换来保证实体身份的各种机制;
流量填充
在数据流空隙中插入若干为以阻止流量分析;
路由控制
能够为某些数据选择特殊的物理安全路线并允许路由变化。