|
|
|
ISO 7498-2从体系结构的观点描述了5种可选的安全服务、8项特定的安全机制以及5种普遍性的安全机制,它们可以在OSI/RM模型的适当层次上实施。
|
|
|
|
|
|
安全服务是指计算机网络提供的安全防护措施,包括认证服务、访问控制、数据机密性服务、数据完整性服务、不可否认服务。
|
|
|
|
(1)认证服务:确保某个实体身份的可靠性,可分为两种类型。一种类型是认证实体本身的身份,确保其真实性,称为实体认证。实体的身份一旦获得确认就可以和访问控制表中的权限关联起来,决定是否有权进行访问。口令认证是实体认证中一种最常见的方式。另一种认证是证明某个信息是否来自于某个特定的实体,这种认证叫做数据源认证。数据签名技术就是一例。
|
|
|
|
(2)访问控制:防止对任何资源的非授权访问,确保只有经过授权的实体才能访问受保护的资源。
|
|
|
|
(3)数据机密性服务:确保只有经过授权的实体才能理解受保护的信息。在信息安全中主要区分两种机密性服务:数据机密性服务和业务流机密性服务,数据机密性服务主要是采用加密手段使得攻击者即使窃取了加密的数据也很难推出有用的信息;业务流机密性服务则要使监听者很难从网络流量的变化上推出敏感信息。
|
|
|
|
(4)数据完整性服务:防止对数据未授权的修改和破坏。完整性服务使消息的接收者能够发现消息是否被修改,是否被攻击者用假消息换掉。
|
|
|
|
(5)不可否认服务:防止对数据源以及数据提交的否认。它有两种可能:数据发送的不可否认性和数据接收的不可否认性。这两种服务需要比较复杂的基础设施的技术,如数字签名技术。
|
|
|
|
|
|
安全机制是用来实施安全服务的机制。安全机制既可以是具体的、特定的,也可以是通用的。
|
|
|
|
(1)加密机制:用于保护数据的机密性。它依赖于现代密码学理论,一般来说加/解密算法是公开的,加密的安全性主要依赖于密钥的安全性和强度。
|
|
|
|
(2)数字签名机制:保证数据完整性及不可否认性的一种重要手段,它可以采用特定的数字签名机制生成,也可以通过某种加密机制生成。
|
|
|
|
(3)访问控制机制:与实体认证密切相关。首先,要访问某个资源的实体应成功通过认证,然后访问控制机制对该实体的访问请求进行处理,查看该实体是否具有访问所请求资源的权限,并做出相应的处理。
|
|
|
|
(4)数据完整性机制:用于保护数据免受未经授权的修改,该机制可以通过使用一种单向的不可逆函数(例如散列函数)来计算出消息摘要,并对消息摘要进行数字签名来实现。
|
|
|
|
(5)认证交换机制:通过交换标识信息使通信双方相互信任。
|
|
|
|
(6)流量填充机制:针对的是对网络流量进行分析的攻击。有时攻击者通过对通信双方的数据流量的变化进行分析,根据流量的变化来推出一些有用的信息或线索。
|
|
|
|
(7)路由控制机制:可以指定数据通过网络的路径。这样就可以选择一条路径,这条路径上的节点都是可信任的,确保发送的信息不会因通过不安全的节点而受到攻击。
|
|
|
|
(8)公证机制:由通信各方都信任的第三方提供。由第三方来确保数据完整性、数据源、时间及目的地的正确。
|
|
|
|
|
|
普遍性安全机制不是为任何特定的服务而特设的,因此在任一特定的层上,对它们都不作明确的说明。某些普遍性安全机制可认为属于安全管理方面。普遍性安全机制可分为可信功能度、安全标记、事件检测、安全审计跟踪、安全恢复。
|
|
|
|
(1)可信功能度:可以扩充其他安全机制的范围,或建立这些安全机制的有效性;可以保证对硬件与软件寄托信任的手段已超出标准的范围,而且在任何情况下,这些手段随已察觉到的威胁的级别和被保护信息的价值而改变。
|
|
|
|
(2)安全标记:与某一资源(可以是数据单元)密切相关联的标记,为该资源命名或指定安全属性(这种标记或约束可以是明显的,也可以是隐含的)。
|
|
|
|
(3)事件检测:与安全有关的事件检测包括对安全明显事件的检测,也可以包括对“正常”事件的检测,例如,一次成功的访问(或注册)。与安全有关的事件的检测可由OSI内部含有安全机制的实体来做。
|
|
|
|
(4)安全审计跟踪:就是对系统的记录与行为进行独立的评估考查,目的是测试系统的控制是否恰当,保证与既定策略和操作的协调一致,有助于做出损害评估,以及对在控制、策略与规程中指明的改变做出评价。
|
|
|
|
(5)安全恢复:处理来自诸如事件处置与管理功能等机制的请求,并把恢复动作当作是应用一组规则的结果。恢复动作可能有3种:立即动作、暂时动作、长期动作。
|
|
|
