计算机网络安全技术概论概述.ppt

1．安全服务层次—数据完整服务 物理层没有检测或恢复机制，不具备数据完整服务条件 链路层具备相邻的节点之间的完整服务条件，但对网络上的每个节点增加了系统时空开销，而提供的完整性不是最终意义的完整，所以提供这种服务被认为具备效益条件。 就数据完整性保障而言，网络层与链路层相似，也被认为不具备效益条件。对网络层实体，它们自己产生和管理的网络管理信息的完整服务是必须的，但这种服务是网络层内部的需要，不对高层开放。因而不是我们所指的数据完整服务，更应该作为网络层内部机制处理。 传输层因为提供了真正的端到端的连接，因而，被认为最适宜提供数据完整服务，不过通常传输层提供的数据完整是不具备语义完整服务性能。 应用层可以建立应用实体相关的语义级完整服务。 1．安全服务层次—访问控制服务 物理层和链路层不具备访问控制服务的参数要求，这是因为没有可用于这样一种访问控制机制的端设备。 网络层可以确立网络层实体的标识，如精细到网络设备或主机级访问主体和客体标识，因而，可以驱动基于网络设备、主机、网段或子网的访问控制机制，提供网络层实体访问控制服务。这种服务所控制的对象的粒度是非常粗糙的，它仅在网络层的实体之间有所不同，但正因为如此，其控制和保护的范围也相对广泛。 与网络层道理相同，传输层可提供基于网络服务端口的访问控制机制，控制端到端之间数据共享或设备共享。 应用层能提供应用相关的访问控制服务，将访问