一、安全技术目标
- 保密性(Confidentiality)
确保数据仅能够被合法的用户访问。
- 完整性(Integrity)
确保数据只能由授权的方式进行修改,即数据在传播过程中不能被未授权方修改。
- 可用性(Availability)
确保所有数据仅在适当的时候可以由授权方访问。
- 可靠性(Reliability)
确保系统能在规定的条件下、规定时间内、完成规定功能时具有稳定的概率。
- 抗否认性(Non-Repudiation)
确保发送方与接收方在执行各自操作后,对所做的操作不可否认。
二、OSI安全体系结构
1. 五类安全服务
- 认证(鉴别)服务
在网络交互过程中,对收发双方的身份及数据来源进行验证。
- 访问控制服务
防止未授权用户非法访问资源,包括用户身份认证和用户权限确认。
- 数据保密性服务
防止数据在传输过程中被破解、泄露。
- 数据完整性服务
防止数据在传输过程中被篡改。
- 抗否认性服务
防止发送方与接收方双方在执行各自操作后,否认各自所做的操作。
2. 八类安全机制
- 加密机制
通过对数据进行加密,防止数据在传输过程中被窃取。
- 数字签名机制
利用数字签名技术可以试试用户身份认证和消息认证。
- 访问控制机制
通过预定设定的规则对用户所访问的数据进行限制。
- 数据完整性机制
避免数据在传输过程中受到干扰,同事防止数据在传输过程中被篡改,以提高数据传输完整性。
- 认证机制
在于验证接收方所接收到的数据是否来源于所期望的发送方,通常可以使用数字签名来进行认证。
- 业务流填充机制
通过在数据传输过程中传送随机数的方式,混淆真实的数据,加大数据破解的难度,提高数据的保密性。
- 路由控制机制
路由控制机制为数据发送方选择安全网络通讯路径,避免发送方使用不安全路径发送数据,提高数据的安全性。
- 公认机制
公认机制用于解决收发双发的纠纷问题,确保双方的利益不受损害。
3. 服务-机制对应关系
- 认证(鉴别)服务 -> 认证机制、数字签名机制
- 访问控制服务 -> 访问控制机制、路由控制机制
- 数据保密性服务 -> 加密机制、业务流填充机制
- 数据完整性服务 -> 数据完整性机制
- 抗否认性服务 -> 公认机制
三、TCP/IP安全体系结构
1. 网络接口层安全
指的是链路层的安全,可以通过加密方式来确保数据不被窃听,通常依靠物理层加密实现。一般通过在链路两段架设加密机。
2. 网络层安全
负责数据包的路由选择,网络层安全就是要确保数据能够顺利到达指定的目的地。一般通过路由器硬件提高响应的安全性。
3. 传输层安全
能够解决端到端的数据传输问题,传输层提供TCP/UDP两种服务;TCP提供可靠的、面向连接的服务,UDP是无连接的数据包服务。确保传输层安全的协议一般是:SSL(Security Socket Layer)与TSL(Transport Lanyer Security)。
4. 应用层安全
负责与应用交互,以实现不同系统的应用之间的相互通信,完成各种业务处理,提供相应服务。
四、密码学在加密算法上分类
1. 单向加密算法
单向加密算法是数据完整性验证的重要算法,主要以MD5、SHA算法为典型代表。
2. 对称加密算法
对称加密算法是数据存储加密的常用算法,主要以DES算法为典型代表。
3. 非对称加密算法
非对称加密算法是数据传输加密的常用算法,主要以RSA算法为典型代表。