信息安全教学课件2y-安全体系结构与模型-研究生.pptVIP

平安体系结构与模型GengYANG,Dr./ProfNanjingUniv.ofPostsTelecommunicationsyangg@n

四个概念平安体系结构：定义了最一般的关于平安体系结构的概念,如平安效劳、平安机制平安框架：定义了提供平安效劳的最一般的方法，如数据源、操作方法以及它们之间的数据流向等平安模型：指在特定的环境里，为保证提供一定级别的平安保护所奉行的根本思想平安技术：一些根本模块，它们构成了平安效劳的根底，同时可以相互任意组合，以提供更强大的平安效劳

IOS/OSI平安体系结构ISO：InternationalOrganizationforStandardizationOSI:OpenSystemInterconnect/RM平安机制平安效劳平安管理其它,如平安威胁

Attacks,ServicesandMechanisms

SecurityAttack(平安攻击〕:Anyactionthatcompromisesthesecurityofinformation.SecurityMechanism〔平安机制〕:Amechanismthatisdesignedtodetect,prevent,orrecoverfromasecurityattack.SecurityService〔平安效劳〕:Aservicethatenhancesthesecurityofdataprocessingsystemsandinformationtransfers.Asecurityservicemakesuseofoneormoresecuritymechanisms.

ISO-7498-2平安架构

平安效劳对象认证平安效劳访问控制平安效劳数据必威体育官网网址平安效劳数据完整性平安效劳防抵赖性平安效劳

安全服务

对象认证平安效劳用于识别对象的身份和对身份的证实。OSI环境可提供对等实体认证和信源认证等平安效劳。对等实体认证是用来验证在某一关联的实体中，对等实体的声称是一致的，它可以确认对等实体没有假冒；而信源认证是用于验证所收到的数据来源与所声称的来源是一致的，但不提供防止数据中途被修改的功能

对象认证平安效劳实例AA‘效劳器Internet讨论：假设A和A‘用户名是一样的，且都是合法用户，效劳器是否能分别认怔A和A’？

访问控制平安效劳提供对越权使用资源的防御措施。访问控制可分为自主访问控制、强制访问控制、基于角色的访问控制。实现机制可以是基于访问控制属性的访问控制表，基于平安标签或用户和资源分档的多级访问控制等

WindowsNT文件访问控制

数据必威体育官网网址性平安效劳针对信息泄漏而采取的防御措施,可分为信息必威体育官网网址、选择段必威体育官网网址和业务流必威体育官网网址。它的根底是数据必威体育官网网址机制的选择

数据完整性平安效劳防止非法纂改信息，如修改、复制、插入和删除等。它有五种形式：可恢复连接完整性、无恢复连接完整性、选择字段连接完整性、无连接完整性和选择字段无连接完整性

防抵赖性平安效劳是针对对方抵赖的防范措施，用来证实发生过的操作，它可分为对发送防抵赖、对递交防抵赖和进行公证。

ISO平安效劳的缺乏缺少防止DoS攻击的定义对入侵检测，几乎没有涉及大多数平安效劳是对同级实体的，缺少多级或分层实体的内涵本质上是一个被动平安效劳定义其它，如授权

安全机制

加密机制使用各种加密算法对存放的数据和流通的信息进行加密RSADESRC2/RC4/RC5VPN

数字签名采用非对称密钥体制，使用私钥进行数字签名，使用公钥对签名信息进行验证RSAMD4/MD5SHA/SHA-1

访问控制机制根据访问者的身份和其它信息，来决定实体的访问权限ATM卡平安令牌TokenWindowsNT实例

数据完整性机制判断信息在传输过程中是否被篡改、增加、删除过，确保信息的完整MD4/MD5SHA/SHA-1

认证交换机制用来实现同级之间的认证ATM卡口令讨论：怎样防止中继重放攻击？

防业务流量分析机制通过填充冗余的业务流量，防止攻击者对流量进行分析，填充过的流量需通过加密进行保护

路由控制机制防止不利、不良信息通过路由，进入子网或利用子网作为中继攻击平台网络层防火墙

公证机制有公证人〔第三方〕参与数字签名，它基于通信双方对第三方的绝对信任CA〔CertificateAuthority)Hotmail/yahoo邮件效劳登陆认证

安全管理

平安管理为了更有效地运用平安效劳，需要有其它措施来支持它们的操作，这些措施即为平安管理。平安管理是