1.4 安全服务

news2024/12/23 22:12:49

思维导图:

 1.4 安全服务

  • 定义:在通信开放系统中,为系统或数据传输提供足够安全的协议层服务。

    • RFC4949 定义:由系统提供的对系统资源进行特殊保护的处理或通信服务。安全服务通过安全机制来实现安全策略。
  • 分类:X.800 将安全服务分为5类,共14个特定服务。

  • 术语:安全文献中的许多术语尚未达成一致,如“完整性”和“认证”。本笔记中的术语与X.800和RFC4949保持一致。

表1.2 安全服务:
  1. 数据完整性

    • 保证收到的数据是授权实体发出的原始数据,未被修改、删除或重播。
  2. 认证

    • 保证通信实体是其声称的实体。
    • 数据源认证:在无连接传输时,保证收到的信息来源是声称的来源。
  3. 连接完整性

    • 具有恢复功能的连接完整性:检测数据的修改、插入、删除或重播,并尝试恢复。
    • 无恢复的连接完整性:仅提供检测,不提供恢复功能。
  4. 访问控制

    • 阻止对资源的非授权使用,例如确定谁可以访问资源,以及在什么条件下可以访问。
  5. 数据保密性

    • 保护数据免于非授权泄露。
    • 连接保密性:保护一次连接中所有用户数据。
    • 无连接保密性:保护单个数据块中的所有用户数据。
  6. 不可否认性

    • 防止通信实体在通信过程中否认其行为。
  7. 流量保密性

    • 保护可以通过观察流量获得的信息。

我的理解:

核心概念:安全服务是通信开放系统中为保障系统或数据传输安全性而提供的协议层服务。

  • 安全服务的目标:为系统资源提供特殊的保护措施,帮助实现安全策略。

  • 安全服务的分类:根据X.800标准,安全服务被分为五大类,涵盖了14个具体的服务。

    1. 数据完整性:确保数据在传输过程中不被非法修改、删除或重放。

    2. 认证:确认通信的一方是其声称的实体,确保通信双方的身份真实性。

    3. 连接完整性:对数据传输过程进行监控,对异常情况进行检测,并可能进行恢复。

    4. 访问控制:限制对某些资源的访问,只允许特定的实体或在特定的条件下访问。

    5. 数据保密性:确保数据在传输过程中不被非授权的实体泄露。

    6. 不可否认性:确保通信过程中的行为不会被参与方否认。

    7. 流量保密性:防止通过分析数据流量来获取有关通信的信息。

这一节还强调了,由于不同的信息安全文献中,对于某些术语的使用还没有达成广泛的一致。因此,这里使用的术语与X.800和RFC4949的标准保持一致。

总之,这一节的概念主要是为了帮助我们理解如何在通信系统中提供安全保障,并通过各种安全服务确保数据的完整性、保密性和通信双方的身份真实性等安全需求得以满足。

1.4.1 认证

核心概念:认证服务的主要目标是确认通信的真实性,确保消息来源的可靠性。

  1. 基本意义

    • 消息认证:对于单条消息(如警告、报警信号等),认证服务确保消息确实来自声称的发送方。
    • 持续通信认证:对于持续的通信(如终端和主机的连接),认证服务在初始化阶段确认两个实体的身份,并确保连接不被第三方干预。
  2. 第三方干扰的定义

    • 干扰:第三方伪装成合法实体中的一个,进行非授权的传输或接收。
  3. X.800定义的特殊认证服务

    • 对等实体认证
      • 用途:为连接中的对等实体提供身份确认。
      • 描述:当两个实体在不同系统中执行相同的操作时,它们被视为对等的,例如两个不同通信系统中的TCP模块。
      • 重点:确保一个实体没有试图伪装或重播先前的连接进行非授权传输。
    • 数据源认证
      • 用途:确认数据的来源。
      • 描述:仅确认数据的来源,但不保护数据的复制或修改。
      • 应用场景:例如邮件,其中通信实体在通信前没有进行预交互。

通过上述笔记,我们可以明白认证服务的重要性在于确保通信的真实性和可靠性,无论是单一消息还是持续的通信,都需要进行有效的认证,防止伪装、重放或其他形式的攻击。

我的理解:

认证的核心概念是为了验证和确认一个实体或数据来源的真实性和合法性。以下是认证部分的关键内容和理解:

  1. 认证的目的:确保消息或数据来源的真实性和可靠性。

    • 单条消息:验证消息确实来自声称的发送方。
    • 持续的通信:验证通信双方的真实身份并确保通信过程不受第三方干扰。
  2. 第三方干扰:是指第三方试图伪装成合法实体,非授权地进行消息传输或接收。

  3. 特殊的认证服务

    • 对等实体认证:这是在两个实体之间建立的,当它们在不同的系统中执行相同的操作时,被视为对等的。例如,两个TCP模块在两个不同的通信系统中工作。这种认证服务确保一个实体没有伪装或重放以进行非授权的通信。

    • 数据源认证:它的重点是确认数据的来源。与之不同,它并不保护数据免受复制或修改。它适用于那些在通信之前不进行预交互的应用,例如邮件。

总结:认证是确保数据或消息的真实性的过程。不仅要验证单个消息的来源,还要在持续的通信中验证双方实体的身份。特别是在面对可能的第三方干扰时,需要有强大的认证机制来确保通信的安全性和真实性。

1.4.2 访问控制

访问控制的核心概念是关于如何管理和限制对资源的访问。以下是访问控制部分的关键内容和理解:

  1. 定义:访问控制是一个过程,它确定谁可以访问哪些网络资源以及在什么情境下可以访问。

  2. 识别与认证

    • 在访问任何资源之前,实体(例如用户、系统或应用)必须先被识别
    • 识别后,实体必须被认证,即验证其声称的身份是否真实。
  3. 访问权限:只有经过认证的实体才能根据预先定义的权限获得特定的访问权限。这些权限决定实体可以进行哪些操作,例如读取、修改或删除资源。

总结:访问控制是网络安全的关键部分,它确保只有合适的、已认证的实体才能访问和操作网络资源。这不仅涉及到身份的验证,还涉及到为每个实体分配恰当的访问权限。

我的理解:

访问控制关乎于确定管理哪些实体(如用户、程序或设备)可以访问特定的系统资源,以及他们可以进行的操作类型。

核心概念理解:

  1. 资源:在这里指的是系统中的任何可访问的对象,例如文件、数据库、应用程序或网络连接。

  2. 实体:试图访问资源的任何东西,如用户、程序或其他系统。

  3. 识别与认证

    • 识别:实体首先要声明或提供其身份(如用户名)。
    • 认证:实体必须证明其声称的身份是真实的,通常是通过提供密码或其他认证机制来完成。
  4. 权限与访问规则

    • 一旦实体被认证,系统会检查其对特定资源的访问权限
    • 这些权限基于预先定义的访问规则,这些规则确定哪些实体可以访问哪些资源以及可以进行的操作。
  5. 目的:访问控制的主要目的是确保只有经授权的实体可以访问资源,并且只能按照所授权的方式进行操作。这有助于保护系统的完整性、可用性和机密性。

简而言之,访问控制是一个关于“谁可以做什么”的决策过程。它涉及到确认请求访问的实体的身份,然后基于已定义的策略确定他们是否有权执行所请求的操作。

1.4.3 数据保密性

数据保密性关注于确保信息在传输或存储过程中不被未经授权的实体访问。

核心概念理解:

  1. 定义:数据保密性意味着确保数据只能被授权的人员、程序或设备所访问。

  2. 被动攻击:此类攻击通常是监听、窃取或拦截数据,而不是修改数据。保密性的目的是阻止这类攻击,确保即使数据被窃取或拦截,攻击者也无法理解或利用它。

  3. 层级的保护

    • 端到端保密性:保护信息从发送端到接收端的整个传输过程。即使数据在传输中的任何节点被拦截,它也是加密的和不可读的。
    • 链路加密:仅在某个特定的通信链路或路径上加密数据,如WiFi连接。当数据到达其目的地或离开该路径时,它可能被解密。
    • 数据在静态状态的保护:不仅在数据传输时加密,而且在存储时也加密,例如在数据库或硬盘中。
  4. 加密:是实现数据保密性的主要手段。通过加密,数据转化为密文,只有拥有合适密钥的实体才能解密。

  5. 访问控制:除了加密,限制对数据的访问也是确保其保密性的方法。例如,仅允许授权的用户访问某些文件或数据库。

  6. 目的:防止数据泄露、被窃取或被未经授权的实体访问。这对于维护个人隐私、商业秘密和国家安全都至关重要。

简而言之,数据保密性关注于确保数据的私密性和隐私,防止未经授权的访问和泄露。实现这一目标的关键方法是加密和强大的访问控制策略。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1148978.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

加密机:保护您的信息安全的强大工具

在当今数字化的世界中,信息安全显得尤为重要。信息不仅关乎个人的隐私,也关乎企业的生死存亡。无论是个人还是企业,我们都需要一种强大的工具来保护我们的信息安全,这种工具就是加密机。 加密机是一种专门用于加密和解密电子数据的…

腾讯云香港服务器轻量24元一个月性能测试

腾讯云香港轻量应用服务器优惠价格24元一个月,一年288元,以前是30M峰值带宽,现在是20M峰值带宽,阿腾云atengyun.com分享腾讯云香港轻量应用服务器性能测评,包括香港轻量服务器配置价格表、CPU性能和CN2网络延迟测试&am…

中学化学实验室方案建设要求及注意事项

中学化学实验室是供学生进行化学实验和教师进行实验教学的地方。它通常包括实验台、通风设备、储存柜等设施,以及各种实验仪器和药品。在实验室中,学生可以通过实验学习化学知识,进行化学反应的观察和测量,提高自己的实践能力和科…

Vue3.3指北(五)

Vue3.3指北 1、axios1.1、axios是什么1.2、axios特点1.3、json-server1.4、安装axios 2、请求配置2.1、axios API2.2、请求别名的使用2.3、响应结构2.4、请求配置2.5、全局配置2.6、创建axios实例2.7、修改实例配置 3、发送Get请求4、发送POST请求5、发送并发请求6、axios拦截器…

轨迹规划 | 图解路径跟踪PID算法(附ROS C++/Python/Matlab仿真)

目录 0 专栏介绍1 PID控制基本原理2 基于PID的路径跟踪3 仿真实现3.1 ROS C实现3.2 Python实现3.3 Matlab实现 0 专栏介绍 🔥附C/Python/Matlab全套代码🔥课程设计、毕业设计、创新竞赛必备!详细介绍全局规划(图搜索、采样法、智能算法等)&a…

Python基础入门例程25-NP25 有序的列表(列表)

最近的博文: Python基础入门例程24-NP24 淘汰排名最后的学生(列表)-CSDN博客 Python基础入门例程23-NP23 删除好友(列表)-CSDN博客 Python基础入门例程22-NP22 删除简历(列表)-CSDN博客 目录 最…

进阶设计一(DDR3)——FPGA学习笔记<?>

一.简介 DDR3 SDRAM,以其单位存储量大、高数据带宽、读写速度快、价格相对便宜等优点 吸引了大批客户,占领市场较大份额。同时,作为内存条中不可缺少的一部分,DDR3 SDRAM 在计算机领域也占有一席之地。 要掌握 DDR3 SDRAM…

公众号流量主项目,只需搬运,一篇文章收益2000+

最近公众号流量主火得不行,大家都想着抓住这个赚钱机会。 连培训团队都看到了商机,开起了学费最低要四位数,甚至高达9880的培训班!看来这行确实是个风口项目啊。 以前公众号是个封闭的圈子,你的阅读量和粉丝数量是成正…

Vue指令大全:深入探索Vue提供的强大指令功能

目录 v-bind指令 v-on指令 v-if和v-show指令 v-for指令 自定义指令 其他常用指令 总结 Vue.js是一款流行的JavaScript框架,具备丰富的指令系统。Vue指令允许开发者直接在模板中添加特殊属性,以实现DOM操作、事件绑定、样式控制等功能。在本文中&a…

PHP+MySQL的大学宿舍管理系统【附源码】

视频如下: PHPMySQL宿舍管理系统【】 ** 图: ** 目 录 摘 要 I Abstract II 前 言 IV 1 概述 1 1.1系统开发的目的 1 1.2国内外的研究情况 1 1.3本文主要完成的工作 2 2 开发环境以及开发工具 3 2.1开发环境 3 2.1.1 硬件的开发环境 3 2.1.2 软件的开发…

【Unity ShaderGraph】| 快速制作一个 卡通阴影色块效果

前言 【Unity ShaderGraph】| 快速制作一个 卡通阴影色块效果一、效果展示二、卡通阴影色块效果三、应用实例 前言 本文将使用ShaderGraph制作一个卡通阴影色块的效果,可以直接拿到项目中使用。对ShaderGraph还不了解的小伙伴可以参考这篇文章:【Unity …

同屏实时渲染百万级独立的3D可渲染对象

大规模渲染在游戏、家装、或者其他生产制造相关的环境下有直接的刚需,能独立渲染的3D对象越多,越容易实现复杂的场景需求。 下图是200多万(2 * 1024 * 1024)个可渲染的3D对象,的实时渲染情况截图。

API接口在电商数据采集【例如:淘宝平台商品详情SKU订单数据接口的采集 】中的接入说明及参数讲解

No.1 接口请求方式类型 常见的http请求方式包括:get(查)、post(增),除此之外还有put(改)、delete(删)等。接口所属类型是由业务决定的。比如你打开淘宝&…

【javaweb】学习日记Day13 - AOP 事务管理 切入点 连接点

目录 一、完善解散部门功能 二、spring 事务 (1)Transactional 事务管理 ① rollbackFor 控制异常类型 ② propagation 事务传播控制 1、定义解散部门操作日记 三、AOP基础 1、概述 2、快速入门 (1)案例:统…

c++拷贝构造与赋值运算符重载

目录 目录: 1:拷贝构造 2:赋值运算符重载 前言:在上一章我们已经学习过了,构造与析构这两个默认成员函数了,接下来让我们一起来学习另外两个重要的默认成员函数。 首先让我们来讲一下默认成员函数这个概念…

[架构之路-245/创业之路-76]:目标系统 - 纵向分层 - 企业信息化的呈现形态:常见企业信息化软件系统 - 企业资源管理计划ERP

目录 前言: 一、企业信息化的结果:常见企业信息化软件 1.1 企业资源管理计划 1.1.1 什么是ERP:企业最常用的信息管理系统 1.1.2 ERP的演进过程 1.1.3 EPR模块 1.1.4 EPR五个层级 1.1.5 企业EPR业务总体流程图 1.1.6 什么类型的企业需…

微信小程序云开发如何优雅的实现模糊查询

微信官方自从推出微信小程序云开发之后,让小程序开发的门槛再次降低,你可以不需要掌握任何后端的语言和数据库,有一些js的基本功,就可以完成一个完整带前后端交互功能的小程序项目。今天我们介绍一个日常开发中非常常见的需求&…

转化率(CVR)是什么意思,怎么计算和提高转化率?

转化率指的是在一定时间范围内,企业在线上或线下从事某项营销推广(比如竞价广告)活动时,成功完成转化行为的次数占推广信息总点击次数的百分比率。它是产品营销推广中的一个重要数据指标,转化率越高,成本越…

【教3妹学编辑-算法题】H 指数 II

3妹:2哥早啊, 新的一周开始了,奥利给!!! 2哥 :3妹,今天起的很早嘛,精神也很饱满。 3妹:昨天睡的早,早睡早起好身体! 2哥:既然离时间还…

不定长顺序表2

接下来我们看怎么完成不定长顺序表的代码实现 这里先加一个头文件,名字叫dsqlist.h,存放不定长顺序表的函数定义与声明 然后建立一个名字叫dsqlist.cpp的源文件,跟其头文件配对成一对,(也可以叫别的名字不配对)&…