1.4 安全服务

思维导图:

 1.4 安全服务

  • 定义:在通信开放系统中,为系统或数据传输提供足够安全的协议层服务。

    • RFC4949 定义:由系统提供的对系统资源进行特殊保护的处理或通信服务。安全服务通过安全机制来实现安全策略。
  • 分类:X.800 将安全服务分为5类,共14个特定服务。

  • 术语:安全文献中的许多术语尚未达成一致,如“完整性”和“认证”。本笔记中的术语与X.800和RFC4949保持一致。

表1.2 安全服务:
  1. 数据完整性

    • 保证收到的数据是授权实体发出的原始数据,未被修改、删除或重播。
  2. 认证

    • 保证通信实体是其声称的实体。
    • 数据源认证:在无连接传输时,保证收到的信息来源是声称的来源。
  3. 连接完整性

    • 具有恢复功能的连接完整性:检测数据的修改、插入、删除或重播,并尝试恢复。
    • 无恢复的连接完整性:仅提供检测,不提供恢复功能。
  4. 访问控制

    • 阻止对资源的非授权使用,例如确定谁可以访问资源,以及在什么条件下可以访问。
  5. 数据保密性

    • 保护数据免于非授权泄露。
    • 连接保密性:保护一次连接中所有用户数据。
    • 无连接保密性:保护单个数据块中的所有用户数据。
  6. 不可否认性

    • 防止通信实体在通信过程中否认其行为。
  7. 流量保密性

    • 保护可以通过观察流量获得的信息。

我的理解:

核心概念:安全服务是通信开放系统中为保障系统或数据传输安全性而提供的协议层服务。

  • 安全服务的目标:为系统资源提供特殊的保护措施,帮助实现安全策略。

  • 安全服务的分类:根据X.800标准,安全服务被分为五大类,涵盖了14个具体的服务。

    1. 数据完整性:确保数据在传输过程中不被非法修改、删除或重放。

    2. 认证:确认通信的一方是其声称的实体,确保通信双方的身份真实性。

    3. 连接完整性:对数据传输过程进行监控,对异常情况进行检测,并可能进行恢复。

    4. 访问控制:限制对某些资源的访问,只允许特定的实体或在特定的条件下访问。

    5. 数据保密性:确保数据在传输过程中不被非授权的实体泄露。

    6. 不可否认性:确保通信过程中的行为不会被参与方否认。

    7. 流量保密性:防止通过分析数据流量来获取有关通信的信息。

这一节还强调了,由于不同的信息安全文献中,对于某些术语的使用还没有达成广泛的一致。因此,这里使用的术语与X.800和RFC4949的标准保持一致。

总之,这一节的概念主要是为了帮助我们理解如何在通信系统中提供安全保障,并通过各种安全服务确保数据的完整性、保密性和通信双方的身份真实性等安全需求得以满足。

1.4.1 认证

核心概念:认证服务的主要目标是确认通信的真实性,确保消息来源的可靠性。

  1. 基本意义

    • 消息认证:对于单条消息(如警告、报警信号等),认证服务确保消息确实来自声称的发送方。
    • 持续通信认证:对于持续的通信(如终端和主机的连接),认证服务在初始化阶段确认两个实体的身份,并确保连接不被第三方干预。
  2. 第三方干扰的定义

    • 干扰:第三方伪装成合法实体中的一个,进行非授权的传输或接收。
  3. X.800定义的特殊认证服务

    • 对等实体认证
      • 用途:为连接中的对等实体提供身份确认。
      • 描述:当两个实体在不同系统中执行相同的操作时,它们被视为对等的,例如两个不同通信系统中的TCP模块。
      • 重点:确保一个实体没有试图伪装或重播先前的连接进行非授权传输。
    • 数据源认证
      • 用途:确认数据的来源。
      • 描述:仅确认数据的来源,但不保护数据的复制或修改。
      • 应用场景:例如邮件,其中通信实体在通信前没有进行预交互。

通过上述笔记,我们可以明白认证服务的重要性在于确保通信的真实性和可靠性,无论是单一消息还是持续的通信,都需要进行有效的认证,防止伪装、重放或其他形式的攻击。

我的理解:

认证的核心概念是为了验证和确认一个实体或数据来源的真实性和合法性。以下是认证部分的关键内容和理解:

  1. 认证的目的:确保消息或数据来源的真实性和可靠性。

    • 单条消息:验证消息确实来自声称的发送方。
    • 持续的通信:验证通信双方的真实身份并确保通信过程不受第三方干扰。
  2. 第三方干扰:是指第三方试图伪装成合法实体,非授权地进行消息传输或接收。

  3. 特殊的认证服务

    • 对等实体认证:这是在两个实体之间建立的,当它们在不同的系统中执行相同的操作时,被视为对等的。例如,两个TCP模块在两个不同的通信系统中工作。这种认证服务确保一个实体没有伪装或重放以进行非授权的通信。

    • 数据源认证:它的重点是确认数据的来源。与之不同,它并不保护数据免受复制或修改。它适用于那些在通信之前不进行预交互的应用,例如邮件。

总结:认证是确保数据或消息的真实性的过程。不仅要验证单个消息的来源,还要在持续的通信中验证双方实体的身份。特别是在面对可能的第三方干扰时,需要有强大的认证机制来确保通信的安全性和真实性。

1.4.2 访问控制

访问控制的核心概念是关于如何管理和限制对资源的访问。以下是访问控制部分的关键内容和理解:

  1. 定义:访问控制是一个过程,它确定谁可以访问哪些网络资源以及在什么情境下可以访问。

  2. 识别与认证

    • 在访问任何资源之前,实体(例如用户、系统或应用)必须先被识别
    • 识别后,实体必须被认证,即验证其声称的身份是否真实。
  3. 访问权限:只有经过认证的实体才能根据预先定义的权限获得特定的访问权限。这些权限决定实体可以进行哪些操作,例如读取、修改或删除资源。

总结:访问控制是网络安全的关键部分,它确保只有合适的、已认证的实体才能访问和操作网络资源。这不仅涉及到身份的验证,还涉及到为每个实体分配恰当的访问权限。

我的理解:

访问控制关乎于确定管理哪些实体(如用户、程序或设备)可以访问特定的系统资源,以及他们可以进行的操作类型。

核心概念理解:

  1. 资源:在这里指的是系统中的任何可访问的对象,例如文件、数据库、应用程序或网络连接。

  2. 实体:试图访问资源的任何东西,如用户、程序或其他系统。

  3. 识别与认证

    • 识别:实体首先要声明或提供其身份(如用户名)。
    • 认证:实体必须证明其声称的身份是真实的,通常是通过提供密码或其他认证机制来完成。
  4. 权限与访问规则

    • 一旦实体被认证,系统会检查其对特定资源的访问权限
    • 这些权限基于预先定义的访问规则,这些规则确定哪些实体可以访问哪些资源以及可以进行的操作。
  5. 目的:访问控制的主要目的是确保只有经授权的实体可以访问资源,并且只能按照所授权的方式进行操作。这有助于保护系统的完整性、可用性和机密性。

简而言之,访问控制是一个关于“谁可以做什么”的决策过程。它涉及到确认请求访问的实体的身份,然后基于已定义的策略确定他们是否有权执行所请求的操作。

1.4.3 数据保密性

数据保密性关注于确保信息在传输或存储过程中不被未经授权的实体访问。

核心概念理解:

  1. 定义:数据保密性意味着确保数据只能被授权的人员、程序或设备所访问。

  2. 被动攻击:此类攻击通常是监听、窃取或拦截数据,而不是修改数据。保密性的目的是阻止这类攻击,确保即使数据被窃取或拦截,攻击者也无法理解或利用它。

  3. 层级的保护

    • 端到端保密性:保护信息从发送端到接收端的整个传输过程。即使数据在传输中的任何节点被拦截,它也是加密的和不可读的。
    • 链路加密:仅在某个特定的通信链路或路径上加密数据,如WiFi连接。当数据到达其目的地或离开该路径时,它可能被解密。
    • 数据在静态状态的保护:不仅在数据传输时加密,而且在存储时也加密,例如在数据库或硬盘中。
  4. 加密:是实现数据保密性的主要手段。通过加密,数据转化为密文,只有拥有合适密钥的实体才能解密。

  5. 访问控制:除了加密,限制对数据的访问也是确保其保密性的方法。例如,仅允许授权的用户访问某些文件或数据库。

  6. 目的:防止数据泄露、被窃取或被未经授权的实体访问。这对于维护个人隐私、商业秘密和国家安全都至关重要。

简而言之,数据保密性关注于确保数据的私密性和隐私,防止未经授权的访问和泄露。实现这一目标的关键方法是加密和强大的访问控制策略。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/110168.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

Flask-SQLAlchemy事件钩子介绍

一、前言 前几天在搜资料的时候无意中看到有介绍SQLAlchemy触发器,当时感觉挺奇怪的,触发器不是数据库层面的概念吗,怎么flask-SQLAlchemy这个ORM框架会有这玩意。 二、SQLAlchemy触发器一个简单例子 考虑到效率博客表中有两个字段&#xf…

ELFK(filebeat)部署

部署环境 主机名ip地址主要软件系统node1192.168.154.70ElasticSearh、KibanaCentos7.5node2192.168.154.60ElasticSearhCentos7.5Apache192.168.154.50Logstash、ApacheCentos7.5Filebeat192.168.154.40FilebeatCentos7.5 Node1节点上安装Filebeat #上传软件包 filebeat-6…

nodejs+vue学生考勤综合平台的设计与实现-计算机毕业设计

在当今高度发达的信息中,信息管理改革已成为一种更加广泛和全面的趋势。 “学生考勤综合平台”是基于Mysql数据库,在 程序设计的基础上实现的。为确保中国经济的持续发展,信息时代日益更新,蓬勃发展。 因此,国内外技术…

【JavaSE专栏56】Java面向对象编程:深入理解类、对象、属性和方法的核心概念

Java面向对象编程:深入理解类、对象、属性和方法的核心概念 📚🧬💻 摘要引言1. Java中的类和对象 📚🧬1.1 什么是Java类和对象? 🤔1.2 类和对象在面向对象编程中的作用 &#x1f3af…

轻量封装WebGPU渲染系统示例<10>- 容器(源码)

当前示例源码github地址: https://github.com/vilyLei/voxwebgpu/blob/main/src/voxgpu/sample/REntity3DContainerTest.ts 此示例渲染系统实现的特性: 1. 用户态与系统态隔离。 2. 高频调用与低频调用隔离。 3. 面向用户的易用性封装。 4. 渲染数据和渲染机制分离。 5.…

【C语言初学者周冲刺计划】1.1用筛选法求100之内的素数

目录 1解题思路: 2代码如下: 3运行代码如图所示: 4总结: (前言周冲刺计划:周一一个习题实操,依次类推加一,望各位读者可以独自实践敲代码) 1解题思路: 首先了解筛选法定义:先把…

7.scala方法初探

概述 在 scala 中,方法定义在内中,这点类似于 java ,此文说明如何定义方法,及方法一些 用法 相关链接 阅读之前,可以先行浏览一下 官方文档 scala相关文章 定义一个参数的方法 这个例子定义了一个名为 double 方法&a…

软考系统架构师知识点集锦二:软件工程

一、考情分析 二、考点精讲 2.1 软件过程模型 (1)原型模型 典型的原型开发方法模型。适用于需求不明确的场景,可以帮助用户明确需求。可以分为[抛弃型原型]与[演化型原型] 原型模型两个阶段: 1、原型开发阶段;2、目标软件开发阶段。 &#x…

AI:41-基于基于深度学习的YOLO模型的玉米病害检测

🚀 本文选自专栏:AI领域专栏 从基础到实践,深入了解算法、案例和最新趋势。无论你是初学者还是经验丰富的数据科学家,通过案例和项目实践,掌握核心概念和实用技能。每篇案例都包含代码实例,详细讲解供大家学习。 📌📌📌本专栏包含以下学习方向: 机器学习、深度学…

辅助驾驶功能开发-功能规范篇(22)-5-L2级辅助驾驶方案功能规范

1.3.5 LKA 系统功能定义 1.3.5.1 状态机 1.3.5.2 状态迁移表 初始状态转移状态转移条件INITOFF系统自检过程中,为 OFF 状态,自检无故障且车辆上次掉电前,为 OFF 状态INITSTANDBY自检无故障,车辆为首次上电,或者上次掉电之前,系统为非 OFF 状态INITFAILURE系统自检故障,…

网络工程师重点总结

网络工程师重点 OSI七层模型三层网络结构信息保护安全等级划分子网作用帧长度IPv4和IPv6自动隧道和手动隧道WLAN接入安全控制中,采用的安全措施看冲突域和广播域数量递归查询和迭代查询区别三次握手和四次握手 OSI七层模型 1.物理层:实现实际终端信号的…

嵌入式基础知识-RSA非对称加密基本原理

之前的文章嵌入式基础知识-信息安全与加密,介绍过数据加密的一些基本概念,对称加密的原理比较简单,加密和解密的密钥相同,而非对称加密,两个密钥不同,本篇就来具体介绍RSA这种非对称加密的密钥计算原理。 …

听GPT 讲Rust源代码--library/std(7)

题图来自 Programming languages: How Google is using Rust to reduce memory safety vulnerabilities in Android[1] File: rust/library/std/src/sys/unix/kernel_copy.rs 在Rust的标准库中,kernel_copy.rs文件位于sys/unix目录下,其主要作用是实现特…

VMware下载安装

文章目录 VM16.0下载VM最新版Resource下载历史版本搜索 VMware workstation选择版本 VM安装产品激活密钥百度找一下就好 VM16.0 本人使用的是VM16 提取码1152 下载VM最新版 打开VMware官网 Resource下载历史版本 搜索 VMware workstation 选择版本 VM安装 产品激活密钥百…

dracut添加指定固件

文章目录 linux-firmware1、固件介绍2、Microcode updates for CPUs3、如何添加固件 linux-firmware 1、固件介绍 存放在 /lib/firmware,固件来自kernel 仓库更多的固件可以参考git仓库,https://git.kernel.org/pub/scm/linux/kernel/git/firmware/lin…

配音软件怎么选?推荐三款自用好评的

会刷短视频的小伙伴肯定知道,很多创作者想让自己的视频更加丰富,呈现更加完美的视频效果,往往会在视频里的空境部分加入一些旁白解说,你们难道就不好奇吗?这些声音为什么这么想真人说的话,而且还可以这么自…

vite vue3 ts 使用sass 设置样式变量 和重置默认样式

1.安装scss 样式支持依赖 yarn add -D sass 2.使用sass <div><!-- 测试使用sass --><h1>测试使用sass</h1> </div><style scope lang"scss"> div {h1 {color: red;} } </style> 效果&#xff1a; 3.通过npm下载并复制…

当生成式AI遇到业务流程管理,大语言模型正在变革BPM

生成式AI对各领域有很大影响&#xff0c;一个方面在于它改变了很多固有业务的工作流。 工作流&#xff08;Workflow&#xff09;是业务流程的一种实现方式&#xff0c;一个业务流程往往包含多个工作流范式以及相关的数据、组织和系统。 因此&#xff0c;提及工作流必然离不开业…

网络基础-2

IEEE制定了一个名为GARP的协议框架&#xff0c;该框架协议包含了两个具体协议&#xff0c;GMRP和GVRP。GVRP可以大大降低VLAN配置过程中的手工的工作量。 IP本身是一个协议文件的名称&#xff0c;该协议主要定义阐释了IP报文的格式。 类型网络号位数网络号个数主机号位数每个…

C++之string

C之string #include <iostream>using namespace std;/*string();//创建一个空的字符串string(const char* s);//使用字符串s初始化string(const string& str);//使用一个string对象初始化另外一个string对象string(int n,char c);//使用n个字符c初始化*/void test1()…