OSI安全體系結構

關鍵字: osi

最近研究安全技術，終於發現這個由iso指定的osi原來是這麼的全面！

osi

iso制定了開發系統互聯參考模型（open system interconnection reference model，osi模型）作為理解和實現網路安全的基礎。

1.五大類安全服務

五類安全服務包括認證（鑑別）服務、訪問控**務、資料保密性服務、資料完整性服務和抗否認性服務。

訪問控**務：用於防治未授權使用者非法使用系統資源，包括使用者身份認證和使用者許可權確認。

資料保密性服務：為防止網路各系統之間交換的資料被截獲或被非法訪問而洩密，提供機密保護。同時，對有可能通過觀察資訊流就能推導出資訊的情況進行防範。

資料完整性服務：用於組織非法實體對交換資料的修改、插入、刪除以及在資料交換過程中的資料丟失。

抗否認性服務：用於防止傳送方在傳送資料後否認傳送和接收方在收到資料後否認收到或偽造資料的行為。

2.八大類安全機制

八大類安全機制包括加密機制、資料簽名機制、訪問控制機制、資料完整性機制、認證機制、業務流填充機制、路由控制機制、公正機制。

加密機制：是確保資料安全性的基本方法，在osi安全體系結構中應根據加密所在的層次及加密物件的不同，而採用不同的加密方法。

數字簽名機制：是確保資料真實性的基本方法，利用數字簽名技術可進行使用者的身份認證和訊息認證，它具有解決收、發雙方糾紛的能力。

訪問控制機制：從計算機系統的處理能力方面對資訊提供保護。訪問控制按照事先確定的規則決定主體對客體的訪問是否合法，當以主題試圖非法使用乙個未經給出的報警並記錄日誌檔案。

資料完整性機制：破壞資料完整性的主要因素有資料在通道中傳輸時受通道干擾影響而產生錯誤，資料在傳輸和儲存過程中被非法入侵者篡改，計算機病毒對程式和資料的傳染等。糾錯編碼和差錯控制是對付通道干擾的有效方法。對付非法入侵者主動攻擊的有效方法是保溫認證，對付計算機病毒有各種病毒檢測、防毒和免疫方法。

認證機制：在計算機網路中認證主要有使用者認證、訊息認證、站點認證和程序認證等，可用於認證的方法有已知資訊（如口令）、共享金鑰、數字簽名、生物特徵（如指紋）等。

業務流填充機制：攻擊者通過分析網路中有一路徑上的資訊流量和流向來判斷某些事件的發生，為了對付這種攻擊，一些關鍵站點間再無正常資訊傳送時，持續傳遞一些隨機資料，使攻擊者不知道哪些資料是有用的，那些資料是無用的，從而挫敗攻擊者的資訊流分析。

路由控制機制：在大型計算機網路中，從源點到目的地往往存在多條路徑，其中有些路徑是安全的，有些路徑是不安全的，路由控制機制可根據資訊傳送者的申請選擇安全路徑，以確保資料安全。

公正機制：在大型計算機網路中，並不是所有的使用者都是誠實可信的，同時也可能由於裝置故障等技術原因造成資訊丟失、延遲等，使用者之間很可能引起責任糾紛，為了解決這個問題，就需要有乙個各方都行人的第三方以提供公證仲裁，仲裁數字簽名經濟術士這種公正機制的一種技術支援。