一、安全服务
由系统提供的,并能确保系统或数据传输足够安全的服务
安全服务实现了安全策略,而安全机制实现了安全服务
(1)认证
确保通信实体就是它所声称的那个实体。认证服务与确保通信是密切相关的。
对等实体认证:
对等实体是在不同系统中应用同样协议的两个实体(如:通信系统中的两个 TCP 模块);对等实体认证即在联系中确认对等实体的身份。
数据源认证:
提供对数据单元来源的确认。
(2)访问控制
防止对资源的非授权使用;例如:此项服务谁能访问资源,在哪种条件下可以进行访问以及访问资源允许做什么。
(3)数据机密性
机密性是保护被传输的数据不会遭受被动攻击。
连接机密性:对连接中的所有用户数据的保护;
无连接机密性:对单一数据块中所有用户数据的保护;
选择域机密性:在连接或单一数据块上的用户数据中选择域的机密性;
流量机密性:对可能从流量中获取的信息的保护;
(4)数据完整性
确保被认证实体发送的数据与接收到的数据完全相同(例如,无篡改、插入、删除或重放)
带有恢复的连接完整性
无恢复的连接完整性
选择域连接的完整性
无连接的完整性
选择域无连接的完整性
(5)不可抵赖性
不可抵赖性防止发送者或接收者否认一个已传输的消息。
二、安全机制
安全机制实现了安全服务
(1)特定安全机制(在特定协议层上执行)
- 加密
- 数字签名
- 访问控制
- 数据完整性
- 认证交换
- 流量填充
- 路由控制
- 公证
(2)普适的安全机制(没有指定特定协议层)
- 可信功能
- 安全标签
- 事件检测
- 安全审计跟踪
- 安全恢复
三、网络安全模型
主体:通信的双方都是事物的主体
(1)网络安全模型
(2) 网络访问安全模型
