网络安全技术课件作者刘化君等编著第二章节网络安全体系结构.ppt

第2章 网络安全体系结构 2.1 OSI安全体系结构 2.1.1安全体系结构的5类安全服务 2.1.2 安全体系结构的8种安全机制 2.1.3 网络安全防御体系架构 2.2 网络通信安全模型 2.2.1 网络访问安全模型 2.2.2 网络安全体系结构参考模型的应用 2.3. 可信计算 2.3.1 可信计算的概念 2.3.2 可信计算的关键技术 2.3.3 可信计算的发展趋势 2.4 网络安全标准及管理 2.4.1 网络与信息安全标准体系 2.4.2 网络与信息安全标准化概况 2.4.3 可信计算机系统安全评价准则 2.4.4 网络安全管理 2.1 OSI安全体系结构 图2-1 OSI安全体系结构三维示意图 2.1 OSI安全体系结构 2.1.1 安全体系结构的5类安全服务 1）身份认证服务 身份认证服务也称之为身份鉴别服务，这是一个向其他人证明身份的过程，这种服务可防止实体假冒或重放以前的连接，即伪造连接初始化攻击。 身份认证是其它安全服务，如授权、访问控制和审计的前提，它对通信中的对等实体提供鉴别和数据源点鉴别两种服务。 2）访问控制服务 在网络安全中，访问控制是一种限制，控制那些通过通信连接对主机和应用系统进行访问的能力。访问控制服务的基本任务是防止非法用户进入系统及防止合法用户对系统资源的非法访问使用。 访问控制和身份认证是紧密结合在一起的，在一个应用进程被授予权限访问资源之前，它必须首先通过身份认证。 2.1 OSI安全体系结构 2.1.1 安全体系结构的5类安全服务 3）数据机密性服务 数据机密性服务是指对数据提供安全保护，防止数据被未授权用户获知。 4）数据完整性服务 数据完整性服务通过验证或维护信息的一致性，防止主动攻击，确保收到的数据在传输过程中没有被修改、插入、删除、延迟等。 5）不可否认服务 不可否认服务主要是防止通信参与者事后否认参与。OSI安全体系结构定义了两种不可否认服务：①发送的不可否认服务，即防止数据的发送者否认曾发送过数据；②接收的不可否认服务，即防止数据的接收者否认曾接收到数据。 2.1 OSI安全体系结构 2.1.2 安全体系结构的8种安全机制 安全服务依赖于安全机制的支持。网络安全机制可分为两类：一类与安全服务有关，另一类与管理功能有关。OSI安全体系结构规定了8种安全机制。 1.数据加密机制 加密机制（Encryption Mechanisms）指通过对数据进行编码来保证数据的机密性，以防数据在存储或传输过程中被窃取。 2.数字签名机制 数字签名机制（Digital Signature Mechanisms）指发信人用自己的私钥通过签名算法对原始数据进行数字签名运算，并将运算结果，即数字签名一同发给收信人。收信人可以用发信人的公钥及收到的数字签名来校验收到的数据是否是由发信人发出的，是否被其它人修改过。数字签名是确保数据真实性的基本方法。 2.1 OSI安全体系结构 2.1.2 安全体系结构的8种安全机制 3.访问控制机制 访问控制机制（Access Control Mechanisms）是网络安全防护的核心策略，它的主要任务是按事先确定的规则决定主体对客体的访问是否合法，以保护网络系统资源不被非法访问和使用。 4.数据完整性机制 数据完整性机制（Data Integrity Mechanisms）是指通过数字加密（利用加密算法将明文转换为难以理解的密文和反过来将密文转换为可理解形式的明文），保证数据不被篡改。数据完整性用以阻止非法实体对交换数据的修改、插入、删除以及在数据交换过程中的数据丢失。 2.1 OSI安全体系结构 2.1.2 安全体系结构的8种安全机制 5.认证交换机制 认证交换机制（Authentication Mechanisms）是指通过信息交换来确保实体身份的机制，即通信的数据接收方能够确认数据发送方的真实身份，以及认证数据在传送过程中是否被篡改；主要有站点认证、报文认证、用户和进程的认证等方式。 6.通信流量填充机制 通信流量填充机制（Traffic Padding Mechanisms）是指由保密装置在无数据传输时，连续发出伪随机序列，使得非法攻击者不知哪些是有用数据、哪些是无用数据，从而挫败攻击者在线路上监听数据并对其进行数据流分析攻击。 2.1 OSI安全体系结构 2.1.2 安全体系结构的8种安全机制 7.路由控制机制 路由控制机制（Routing Control Mechanisms）用于引导发送者选择代价小且安全的特殊路径，保证数据由源节点出发，经最佳路由，安全到达