wap网站做视频直播,嘉兴网站制作套餐,wordpress导航菜单美化,在线课堂手机网站模板思维导图#xff1a; 1.4 安全服务 定义#xff1a;在通信开放系统中#xff0c;为系统或数据传输提供足够安全的协议层服务。 RFC4949 定义#xff1a;由系统提供的对系统资源进行特殊保护的处理或通信服务。安全服务通过安全机制来实现安全策略。 分类#xff1a;X.800 …
思维导图 1.4 安全服务 定义在通信开放系统中为系统或数据传输提供足够安全的协议层服务。 RFC4949 定义由系统提供的对系统资源进行特殊保护的处理或通信服务。安全服务通过安全机制来实现安全策略。 分类X.800 将安全服务分为5类共14个特定服务。 术语安全文献中的许多术语尚未达成一致如“完整性”和“认证”。本笔记中的术语与X.800和RFC4949保持一致。
表1.2 安全服务 数据完整性 保证收到的数据是授权实体发出的原始数据未被修改、删除或重播。 认证 保证通信实体是其声称的实体。数据源认证在无连接传输时保证收到的信息来源是声称的来源。 连接完整性 具有恢复功能的连接完整性检测数据的修改、插入、删除或重播并尝试恢复。无恢复的连接完整性仅提供检测不提供恢复功能。 访问控制 阻止对资源的非授权使用例如确定谁可以访问资源以及在什么条件下可以访问。 数据保密性 保护数据免于非授权泄露。连接保密性保护一次连接中所有用户数据。无连接保密性保护单个数据块中的所有用户数据。 不可否认性 防止通信实体在通信过程中否认其行为。 流量保密性 保护可以通过观察流量获得的信息。
我的理解
核心概念安全服务是通信开放系统中为保障系统或数据传输安全性而提供的协议层服务。 安全服务的目标为系统资源提供特殊的保护措施帮助实现安全策略。 安全服务的分类根据X.800标准安全服务被分为五大类涵盖了14个具体的服务。 数据完整性确保数据在传输过程中不被非法修改、删除或重放。 认证确认通信的一方是其声称的实体确保通信双方的身份真实性。 连接完整性对数据传输过程进行监控对异常情况进行检测并可能进行恢复。 访问控制限制对某些资源的访问只允许特定的实体或在特定的条件下访问。 数据保密性确保数据在传输过程中不被非授权的实体泄露。 不可否认性确保通信过程中的行为不会被参与方否认。 流量保密性防止通过分析数据流量来获取有关通信的信息。
这一节还强调了由于不同的信息安全文献中对于某些术语的使用还没有达成广泛的一致。因此这里使用的术语与X.800和RFC4949的标准保持一致。
总之这一节的概念主要是为了帮助我们理解如何在通信系统中提供安全保障并通过各种安全服务确保数据的完整性、保密性和通信双方的身份真实性等安全需求得以满足。 1.4.1 认证
核心概念认证服务的主要目标是确认通信的真实性确保消息来源的可靠性。 基本意义 消息认证对于单条消息如警告、报警信号等认证服务确保消息确实来自声称的发送方。持续通信认证对于持续的通信如终端和主机的连接认证服务在初始化阶段确认两个实体的身份并确保连接不被第三方干预。 第三方干扰的定义 干扰第三方伪装成合法实体中的一个进行非授权的传输或接收。 X.800定义的特殊认证服务 对等实体认证 用途为连接中的对等实体提供身份确认。描述当两个实体在不同系统中执行相同的操作时它们被视为对等的例如两个不同通信系统中的TCP模块。重点确保一个实体没有试图伪装或重播先前的连接进行非授权传输。数据源认证 用途确认数据的来源。描述仅确认数据的来源但不保护数据的复制或修改。应用场景例如邮件其中通信实体在通信前没有进行预交互。
通过上述笔记我们可以明白认证服务的重要性在于确保通信的真实性和可靠性无论是单一消息还是持续的通信都需要进行有效的认证防止伪装、重放或其他形式的攻击。
我的理解
认证的核心概念是为了验证和确认一个实体或数据来源的真实性和合法性。以下是认证部分的关键内容和理解 认证的目的确保消息或数据来源的真实性和可靠性。 单条消息验证消息确实来自声称的发送方。持续的通信验证通信双方的真实身份并确保通信过程不受第三方干扰。 第三方干扰是指第三方试图伪装成合法实体非授权地进行消息传输或接收。 特殊的认证服务 对等实体认证这是在两个实体之间建立的当它们在不同的系统中执行相同的操作时被视为对等的。例如两个TCP模块在两个不同的通信系统中工作。这种认证服务确保一个实体没有伪装或重放以进行非授权的通信。 数据源认证它的重点是确认数据的来源。与之不同它并不保护数据免受复制或修改。它适用于那些在通信之前不进行预交互的应用例如邮件。
总结认证是确保数据或消息的真实性的过程。不仅要验证单个消息的来源还要在持续的通信中验证双方实体的身份。特别是在面对可能的第三方干扰时需要有强大的认证机制来确保通信的安全性和真实性。
1.4.2 访问控制
访问控制的核心概念是关于如何管理和限制对资源的访问。以下是访问控制部分的关键内容和理解 定义访问控制是一个过程它确定谁可以访问哪些网络资源以及在什么情境下可以访问。 识别与认证 在访问任何资源之前实体例如用户、系统或应用必须先被识别。识别后实体必须被认证即验证其声称的身份是否真实。 访问权限只有经过认证的实体才能根据预先定义的权限获得特定的访问权限。这些权限决定实体可以进行哪些操作例如读取、修改或删除资源。
总结访问控制是网络安全的关键部分它确保只有合适的、已认证的实体才能访问和操作网络资源。这不仅涉及到身份的验证还涉及到为每个实体分配恰当的访问权限。
我的理解
访问控制关乎于确定和管理哪些实体如用户、程序或设备可以访问特定的系统资源以及他们可以进行的操作类型。
核心概念理解 资源在这里指的是系统中的任何可访问的对象例如文件、数据库、应用程序或网络连接。 实体试图访问资源的任何东西如用户、程序或其他系统。 识别与认证 识别实体首先要声明或提供其身份如用户名。认证实体必须证明其声称的身份是真实的通常是通过提供密码或其他认证机制来完成。 权限与访问规则 一旦实体被认证系统会检查其对特定资源的访问权限。这些权限基于预先定义的访问规则这些规则确定哪些实体可以访问哪些资源以及可以进行的操作。 目的访问控制的主要目的是确保只有经授权的实体可以访问资源并且只能按照所授权的方式进行操作。这有助于保护系统的完整性、可用性和机密性。
简而言之访问控制是一个关于“谁可以做什么”的决策过程。它涉及到确认请求访问的实体的身份然后基于已定义的策略确定他们是否有权执行所请求的操作。
1.4.3 数据保密性
数据保密性关注于确保信息在传输或存储过程中不被未经授权的实体访问。
核心概念理解 定义数据保密性意味着确保数据只能被授权的人员、程序或设备所访问。 被动攻击此类攻击通常是监听、窃取或拦截数据而不是修改数据。保密性的目的是阻止这类攻击确保即使数据被窃取或拦截攻击者也无法理解或利用它。 层级的保护 端到端保密性保护信息从发送端到接收端的整个传输过程。即使数据在传输中的任何节点被拦截它也是加密的和不可读的。链路加密仅在某个特定的通信链路或路径上加密数据如WiFi连接。当数据到达其目的地或离开该路径时它可能被解密。数据在静态状态的保护不仅在数据传输时加密而且在存储时也加密例如在数据库或硬盘中。 加密是实现数据保密性的主要手段。通过加密数据转化为密文只有拥有合适密钥的实体才能解密。 访问控制除了加密限制对数据的访问也是确保其保密性的方法。例如仅允许授权的用户访问某些文件或数据库。 目的防止数据泄露、被窃取或被未经授权的实体访问。这对于维护个人隐私、商业秘密和国家安全都至关重要。
简而言之数据保密性关注于确保数据的私密性和隐私防止未经授权的访问和泄露。实现这一目标的关键方法是加密和强大的访问控制策略。
