一、安全服務
由系統提供的,並能確保系統或數據傳輸足夠安全的服務
安全服務實現了安全策略,而安全機制實現了安全服務
(1)認證
確保通信實體就是它所聲稱的那個實體。認證服務與確保通信是密切相關的。
-
對等實體認證:
對等實體是在不同系統中應用同樣協議的兩個實體(如:通信系統中的兩個 TCP 模塊);對等實體認證即在聯繫中確認對等實體的身份。
-
數據源認證:
提供對數據單元來源的確認。
(2)訪問控制
防止對資源的非授權使用;例如:此項服務誰能訪問資源,在哪種條件下可以進行訪問以及訪問資源允許做什麼。
(3)數據機密性
機密性是保護被傳輸的數據不會遭受被動攻擊。
- 連接機密性:對連接中的所有用戶數據的保護;
- 無連接機密性:對單一數據塊中所有用戶數據的保護;
- 選擇域機密性:在連接或單一數據塊上的用戶數據中選擇域的機密性;
- 流量機密性:對可能從流量中獲取的信息的保護;
(4)數據完整性
確保被認證實體發送的數據與接收到的數據完全相同(例如,無篡改、插入、刪除或重放)
- 帶有恢復的連接完整性
- 無恢復的連接完整性
- 選擇域連接的完整性
- 無連接的完整性
- 選擇域無連接的完整性
(5)不可抵賴性
不可抵賴性防止發送者或接收者否認一個已傳輸的消息。
二、安全機制
安全機制實現了安全服務
(1)特定安全機制(在特定協議層上執行)
- 加密
- 數字簽名
- 訪問控制
- 數據完整性
- 認證交換
- 流量填充
- 路由控制
- 公證
(2)普適的安全機制(沒有指定特定協議層)
- 可信功能
- 安全標籤
- 事件檢測
- 安全審計跟蹤
- 安全恢復
三、網絡安全模型
主體:通信的雙方都是事物的主體
