理论教育 信息安全基础:安全服务的6类保护措施

信息安全基础:安全服务的6类保护措施

时间:2023-11-24 理论教育 版权反馈
【摘要】:安全服务指由系统提供的、对系统资源给予特定保护的处理措施。OSI安全体系结构的6类安全服务包括认证服务、访问控制服务、数据机密性服务、数据完整性服务、不可抵赖性服务和可用性服务。和机密性一样,数据完整性可以应用于消息流、单个消息或消息中的选定字段。该服务也防止数据遭受破坏。

信息安全基础:安全服务的6类保护措施

安全服务指由系统提供的、对系统资源给予特定保护的处理措施。OSI安全体系结构的6类安全服务包括认证服务、访问控制服务、数据机密性服务、数据完整性服务、不可抵赖性服务和可用性服务。

1. 认证(Authentication)服务

认证服务确保通信的实体就是它所声称的那个实体,包括以下两种特定的认证服务:

(1)对等实体认证(Peer Entity Authentication),用于与逻辑连接相关联,来确保所连接的实体的身份是真实的。对等实体认证用在连接的建立阶段或数据传输期间。它确认实体的身份,确保该实体并不是假冒的,或者不是前一个连接的非授权重放。

(2)数据源认证(Data-Origin Authentication),在无连接的数据传输中,确保接收的数据的来源与所声称的一致。它不提供对数据单元的重复或修改的保护。这种类型的服务支持诸如电子邮件之类的应用。在这些应用中,通信实体之间事先没有交互。

2. 访问控制(Access Control)服务

访问控制服务防止非授权地使用资源。也就是说,该服务控制谁可以访问资源,在什么条件下可以访问资源,以及访问资源时的操作。

网络安全环境中,访问控制指限制或控制经由通信链路访问主机系统和应用程序的能力。为达到这个目的,每个试图获得访问的实体必须首先被识别或认证,这样才可以赋予相应的访问权限。

3. 数据机密性(Data Confidentiality)服务

数据机密性服务防止数据在传输过程中被破解、泄露。就传输数据的内容来说,保护可以分为几个层次。最宽泛的机密性服务保护一段时间内两个用户之间传输的所有用户数据。比如,当两个系统之间的TCP连接建立的时候,这种宽泛的保护可防止该TCP连接上传输的任何用户数据的泄露。狭窄的机密性服务保护单个消息甚至单个消息中的特定字段。不过,仅保护部分数据的服务并没有保护所有数据的服务实用,并且实现起来可能更加复杂和昂贵。(www.daowen.com)

机密性的另一个方面是防止流量数据遭到分析。也就是,攻击者不能分析出传输数据的源和目的地、传输频率,以及数据的长度或其他特征。

4. 数据完整性(Data Integrity)服务

数据完整性服务确保接收的数据与授权的实体发送的数据完全相同。也就是说,数据未被修改、未被插入、未被删除或未被重放。和机密性一样,数据完整性可以应用于消息流、单个消息或消息中的选定字段。同样地,最实用和最直接的使用方式是保护整个消息流。

面向连接的完整性服务处理消息流,确保接收的消息与发送的消息一致,没有重复、插入、修改、重排或重放。该服务也防止数据遭受破坏。因此,面向连接的完整性服务主要处理消息流修改和拒绝服务。另外,无连接的完整性服务处理单个消息而不考虑上下文,一般仅提供对消息修改的保护。

5. 不可抵赖性(Nonrepudiation)服务

不可抵赖性服务确保全程参与或部分参与通信的实体无法否认其行为,防止消息的发送者/接收者否认发送/接收过某个消息。因此,当消息发送之后,接收者能够证明发送者的确发送了那个消息。同样地,当消息被接收之后,发送者能够证明接收者的确收到了那个消息。

6. 可用性(Availability)服务

可用性服务是保护系统以确保其可用的服务。也就是说,如果系统根据系统设计提供了服务,那么无论何时用户请求访问这些服务,系统都是可用的。该服务解决由拒绝服务攻击(DoS)引起的安全问题。可用性服务取决于对系统资源的正确管理和控制,所以它依赖访问控制服务和其他安全服务。

有多种攻击能够导致可用性的丧失或降低。其中一些攻击可使用自动化的应对措施防范,例如,身份验证和加密,而其他攻击则需要某种物理操作来防止可用性的降低或恢复可用性。

免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。

我要反馈