OSI安全体系结构

关键字: osi

最近研究安全技术，终于发现这个由ISO指定的OSI原来是这么的全面！
OSI
    ISO制定了开发系统互联参考模型（Open System Interconnection Reference Model，OSI模型）作为理解和实现网络安全的基础。
1.五大类安全服务
五类安全服务包括认证（鉴别）服务、访问控制服务、数据保密性服务、数据完整性服务和抗否认性服务。

1. 认证（鉴别）服务：提供对通信中对等实体和数据来源的认证（鉴别）。
2. 访问控制服务：用于防治未授权用户非法使用系统资源，包括用户身份认证和用户权限确认。
3. 数据保密性服务：为防止网络各系统之间交换的数据被截获或被非法存取而泄密，提供机密保护。同时，对有可能通过观察信息流就能推导出信息的情况进行防范。
4. 数据完整性服务：用于组织非法实体对交换数据的修改、插入、删除以及在数据交换过程中的数据丢失。
5. 抗否认性服务：用于防止发送方在发送数据后否认发送和接收方在收到数据后否认收到或伪造数据的行为。

2.八大类安全机制
八大类安全机制包括加密机制、数据签名机制、访问控制机制、数据完整性机制、认证机制、业务流填充机制、路由控制机制、公正机制。

1. 加密机制：是确保数据安全性的基本方法，在OSI安全体系结构中应根据加密所在的层次及加密对象的不同，而采用不同的加密方法。
2. 数字签名机制：是确保数据真实性的基本方法，利用数字签名技术可进行用户的身份认证和消息认证，它具有解决收、发双方纠纷的能力。
3. 访问控制机制：从计算机系统的处理能力方面对信息提供保护。访问控制按照事先确定的规则决定主体对客体的访问是否合法，当以主题试图非法使用一个未经给出的报警并记录日志档案。
4. 数据完整性机制：破坏数据完整性的主要因素有数据在信道中传输时受信道干扰影响而产生错误，数据在传输和存储过程中被非法入侵者篡改，计算机病毒对程序和数据的传染等。纠错编码和差错控制是对付信道干扰的有效方法。对付非法入侵者主动攻击的有效方法是保温认证，对付计算机病毒有各种病毒检测、杀毒和免疫方法。
5. 认证机制：在计算机网络中认证主要有用户认证、消息认证、站点认证和进程认证等，可用于认证的方法有已知信息（如口令）、共享密钥、数字签名、生物特征（如指纹）等。
6. 业务流填充机制：攻击者通过分析网络中有一路径上的信息流量和流向来判断某些事件的发生，为了对付这种攻击，一些关键站点间再无正常信息传送时，持续传递一些随机数据，使攻击者不知道哪些数据是有用的，那些数据是无用的，从而挫败攻击者的信息流分析。
7. 路由控制机制：在大型计算机网络中，从源点到目的地往往存在多条路径，其中有些路径是安全的，有些路径是不安全的，路由控制机制可根据信息发送者的申请选择安全路径，以确保数据安全。
8. 公正机制：在大型计算机网络中，并不是所有的用户都是诚实可信的，同时也可能由于设备故障等技术原因造成信息丢失、延迟等，用户之间很可能引起责任纠纷，为了解决这个问题，就需要有一个各方都行人的第三方以提供公证仲裁，仲裁数字签名经济术士这种公正机制的一种技术支持。