安全机制是一种旨在用来检测、阻止安全攻击，或从安全攻击中恢复的方法、步骤或过程。安全机制用来实现安全服务。OSI安全体系结构的8类特定安全机制包括加密机制、数字签名机制、访问控制机制、数据完整性机制、认证交换机制、流量填充机制、路由控制机制和公证机制。

1. 加密（Encipherment）机制

加密机制使用数学算法将数据转换成不容易理解的形式。数据的转换和后续恢复取决于算法和零个或多个加密密钥。注意：编码分为可逆编码和不可逆编码。此处的加密机制依赖于可逆编码。

加密是提高数据安全性的最简便方法。通过对数据进行加密，有效提高了数据的机密性，能防止数据在传输过程中被窃取。加密机制也可用于检验数据的完整性。常用的加密算法有对称加密算法（如DES算法）和非对称加密算法（如RSA算法）。

2. 数字签名（Digital Signature）机制

数字签名指附加在数据单元上的、对数据单元进行某种密码变换的数据，其作用是让数据单元的接收者证明数据单元的来源和完整性，并防止数据伪造。

利用数字签名技术可以验证用户身份和验证消息完整性，是认证服务最核心的技术。数字签名技术也用于防抵赖。常用的数字签名算法有RSA算法和DSA算法等。

3. 访问控制（Access Control）机制

访问控制机制是对资源实施访问权限的各种机制。访问控制机制用于实现访问控制服务。

访问控制机制在用户（或代表用户执行的进程）与系统资源（如应用、操作系统、防火墙、路由器、文件和数据库）之间工作。访问控制和身份认证一起使用，首先，系统必须验证试图访问的用户。然后，访问控制机制决定是否允许这个用户具体的访问请求。

4.数据完整性（Data Integrity）机制

数据完整性机制是用于确保数据单元或数据单元流的完整性的各种机制。数据完整性机制主要用于实现数据完整性服务。

数据完整性的作用是为了避免数据在传输过程中被修改、被删除等。通常使用散列函数和消息认证码来检验数据的完整性。常用的散列函数如SHA-1。

5. 认证交换（Authentication Exchange）机制(www.daowen.com)

认证交换机制是旨在通过信息交换来确保实体身份的机制。认证交换机制可用于实现对等实体认证服务和可用性服务。

6. 流量填充（Traffic Padding）机制

流量填充机制将额外的数据插入到正常通信的数据流的间隙中，以阻止流量分析攻击。

流量填充机制通过在传输数据的过程填充额外的数据，来隐瞒真实发送的数据的传输频率、数据的长度等特征。

7. 路由控制（Routing Control）机制

路由控制机制允许为某些数据选择特定的物理的安全路由，并允许改变路由，尤其是在怀疑安全性遭到破坏的情况下。

路由控制机制可为数据发送方选择安全的数据传输路径，避免发送方使用不安全的路径发送数据，提高数据的安全性。

8. 公证（Notarization）机制

公证机制使用受信任的第三方来确保数据交换的某些属性。公证机制用于实现不可抵赖性服务。

公证机制的作用在于解决收发双方的纠纷问题，确保两方利益不受损害。类似于现实生活中，合同双方签署合同的时候，需要将合同的第三份交由第三方公证机构进行公证。

安全机制用于实现安全服务，表1-1指出了安全服务和安全机制之间的关系。

表1-1　安全服务和安全机制之间的关系