网络信息安全.pptVIP

30 1.6.2 OSI安全机制 5.鉴别交换机制（authentication mechanism） 交换鉴别机制是通过互相交换信息的方式来确定彼此的身份。用于交换鉴别的技术有： 1．口令：由发送方给出自己的口令，以证明自己的身份，接收方则根据口令来判断对方的身份。 2．密码技术：发送方和接收方各自掌握的密钥是成对的。接收方在收到已加密的信息时，通过自己掌握的密钥解密，能够确定信息的发送者是掌握了另一个密钥的那个人。在许多情况下，密码技术还和时间标记、同步时钟、双方或多方握手协议、数字签名、第三方公证等相结合，以提供更加完善的身份鉴别。 3．特征实物：例如IC卡、指纹、声音频谱等。 第三十页，共六十二页。 31 1.6.2 OSI安全机制 6.公证机制（notarization mechanism） 网络上鱼龙混杂，很难说相信谁不相信谁。同时，网络的有些故障和缺陷也可能导致信息的丢失或延误。为了免得事后说不清，可以找一个大家都信任的公证机构，各方的交换的信息都通过公证机构来中转。公证机构从中转的信息里提取必要的证据，日后一旦发生纠纷，就可以据此做出仲裁。 第三十一页，共六十二页。 32 1.6.2 OSI安全机制 7.业务流填充机制（traffic padding mechanism） 业务流填充机制提供针对数据流量分析的保护。外部攻击者有时能够根据数据交换的出现、消失、数量或频率而提取出有用信息。数据交换量的突然改变也可能泄露有用信息。例如当公司开始出售它在股票市场上的份额时，在消息公开以前的准备阶段中，公司可能与银行有大量通信。因此对购买该股票感兴趣的人就可以密切关注公司与银行之间的数据流量以了解是否可以购买。 业务流填充机制能够保持流量基本恒定，因此观测者不能获取任何信息。流量填充的实现方法是：随机生成数据并对其加密，再通过网络发送。 第三十二页，共六十二页。 33 1.6.2 OSI安全机制 8.路由控制机制（routing control mechanism） 路由控制机制使得可以指定通过网络发送数据的路径。这样，可以选择那些可信的网络节点，从而确保数据不会暴露在安全攻击之下。而且，如果数据进入某个没有正确安全标志的专用网络时，网络管理员可以选择拒绝该数据包。 第三十三页，共六十二页。 34 1.6.3 OSI安全管理 OSI安全管理包括对OSI安全的管理以及OSI管理本身的安全性的各个方面。通过对计算机网络操作的管理，OSI安全管理能够支持分布式开放系统管理的多种安全策略，既支持网络整体的强制安全管理策略，又支持网络中对安全有更高要求的个别系统的自主安全策略。 由一个OSI安全管理机构所管理的多个安全实体构成的OSI安全环境称为安全域 OSI安全管理由三部分组成：系统安全管理、安全服务管理和安全机制管理 第三十四页，共六十二页。 35 1.6.3 OSI安全管理 系统安全管理 是对OSI安全域的整体管理 总的安全策略管理，主要是一致性的维护和更新 提供OSI安全域之间的安全信息交换 提供安全服务管理和安全机制管理之间的交互作用 提供安全事件管理，包括事件报告的生产、存储和查询 提供安全审计管理，当故障发生时能够检测和追踪故障点 提供安全恢复管理，当故障发生后，能利用系统备份迅速恢复系统 第三十五页，共六十二页。 36 1.6.3 OSI安全管理 安全服务管理 是指对各个特定安全服务的管理 为某种特定安全服务定义安全目标 为指定的安全服务提供能够使用的安全机制 对能够使用的各个安全机制进行协商 通过适当的安全机制管理、协调所需的安全机制 与系统安全管理和安全机制管理相互作用，实现安全服务管理 第三十六页，共六十二页。 37 1.6.3 OSI安全管理 安全机制管理 是指对一些特定安全机制的管理 密钥管理，对密钥的产生、存储和分配进行管理 数据加密管理，对加密算法和参数选择进行管理 数字签名管理，对数字签名算法和参数选择进行管理 访问控制管理，通过建立和维护访问控制表来实现管理 数据完整性管理，利用加密技术实现对数据完整性保护 第三十七页，共六十二页。 38 1.6.3 OSI安全管理 鉴别管理，通过产生和分配鉴别信息实现鉴别交换信息的功能 业务流填充管理，通过对预定的数据率和随机数据率的管理实现填充管理 路由控制管理，通过确定信任的链路或子网，实现选择安全的路由 公证管理，通过对公众信息分配、公证机构的选择和通信协议的管理等来实现公证管理 第三十八页，共六十二页。 39 1.7 网络与信息安全相关法规 网络信息安全法规系统离不开立法、司法和执法三个过程。目前，我国的网络信息安全法规体系已经具备一定的规模。 第三十九页，共六十二页。 40 1.7.1 我国网络与信息