1. 緒論

任何需要可信的第三方的計算，都可以舍棄第三方

1.1 安全目標\標準 Security Objectives

保密性 Confidentiality

資訊的非授權泄露
1. 資料保密性 Data confidentiality
  
  確保自己的隱私資訊不在未授權的情況下透露給他人，
2. 隱私性 Privacy
  
  確保自己的隱私能夠被自己控制，如：向誰授權，讓其獲得這些隱私，
完整性 Integrity

資訊的非授權更改和毀壞
1. 資料完整性 Data integrity
  
  確保資訊和程式只能以特定和授權的方式進行更改，避免資訊的不恰當更改或破壞，
  
  包括了資訊的不可否認性和真實性，
2. 系統完整性 System integrity
  
  確保系統能正常的執行預定的功能，避免非授權操縱，
可用性 Availability

確保系統作業訊息，避免資訊系統訪問和使用的中斷，對授權用戶不能拒絕服務，
真實性 Authenticity

驗證用戶是否是他聲稱的那個人，

驗證系統的每個輸入是否來自可信任的源，
可追溯性 Accountability

當出現安全事故時，我們必須能夠追查到責任人，

1.2 OSI安全框架

安全攻擊 Security attack

任何危及資訊系統安全的行為，
1. 被動攻擊
  
  被動攻擊不涉及流量的修改，難以檢測，因此應該把重點放在預防上，
  
  ① 資訊泄露 The release of message
  contents
  
  ② 流量分析 Traffic analysis
  
  經過加密保護的資訊還是具有訊息模式的特點，攻擊者可以根據傳輸訊息的頻率和長度來獲取某些資訊，
2. 主動攻擊
  
  對資料流進行修改和偽造
  
  ① 偽裝 Masquerade
  
  偽裝別的物體，能夠做到沒有權限的物體冒充有權限的物體從而獲取權限，
  
  ② 重播 Replay
  
  源主機或者攻擊者將獲得的資訊再次發送，可達到欺騙系統的目的，主要用于身份認證程序，破壞認證的正確性，
  
  ③ 訊息修改 Data Modification
  
  修改合法訊息的內容、延遲資訊傳輸、更改訊息的順序，
  
  ④ 拒絕服務 Denial of service
  
  向服務器發送大量資料，使其崩潰，
安全機制 Security mechanisms
1. 加密 Cryptographic algorithms
  1. 無密鑰加密演算法 Keyless Algorithms
    
    對一段資訊的摘要
    
    ① hash函式
    
    ② 偽亂數
  2. 單密鑰\對稱密鑰加密演算法 Single-Key \Asymmetric Algorithms
    
    ① 分組\塊密碼 Block cipher
    
    轉換不僅依賴于當前資料塊和密鑰，而且還依賴于前面塊的內容
    
    ② 流密碼 Stream cipher
    
    轉換依賴于密鑰
    
    ③ 訊息認證碼 Message Authentication Code (MAC)
    
    將通信雙方共享的密鑰K和訊息m作為輸入，生成一個關于K和m的函式值MAC，將其作為認證標記(Tag)，發送時，將訊息和認證碼同時發送給接收方，若接收方用訊息和共享密鑰生成相同的訊息認證碼，則認證通過，
  3. 雙密鑰\非對稱加密演算法 Two-Key\Asymmetric Algorithms
    
    ① 數字簽名演算法 Digital signature algorithm
    
    ② 密鑰交換 Key exchange
    
    ③ 用戶認證 User authentication
2. 數字簽名 Digital signature
3. 訪問控制 Access control
4. 資料完整性 Data integrity
5. 認證交換 Authentication exchange
  
  通過資訊交換來保證物體身份
6. 流量填充 Traffic padding
  
  在資料流中插入若干位組織流量分析
7. 路由控制 Routing control
  
  為某些資料選擇安全的物理線路并允許路由變化
8. 公證 Notarization
安全服務 Security service
1. 認證 Authentication
  
  ① 對等物體認證 Peer entity authentication
  
  在連接建立和資料傳輸的階段，確認連接的雙方沒有假冒的，
  
  ② 資料源認證 Data origin authentication
  
  僅確保資料來源，不提供其他保護機制，如：資料修改，這樣的認證常用于電子郵件等應用，通信物體事先并無互動，
2. 訪問控制 Access Control
  
  阻止對資源的非授權使用，每個物體或用戶都對某個資源具有不同的權限，因此在使用資源之前需要認證身份，然后才能授權，
3. 資料保密性 Data Confidentiality
  
  防止資料遭到被動攻擊
  
  連接保密性：保護一次連接中所有用戶的資訊
  
  無連接保密性：保護單個資料塊里所有用戶的資訊
  
  選擇域保密性：保護單條資訊或單條資訊里指定的資料部分
  
  流量保密性：防止流量分析
4. 資料完整性 Data Integrity
  
  提供的服務分為有連接和無連接、具有恢復功能和無恢復功能
5. 不可否認性 Nonrepudiation
6. 可用性服務 Availability Service
安全服務和機制間的聯系

1.3 網路安全關鍵因素
1. 通信安全
  
  借助安全協議，如SSH、HTTPS等，
2. 服務安全
  
  保護安全設備，如：路由、交換機等，
  
  幾種安全設備：
  
  ① 防火墻 Firewall
  
  防火墻作為一個過濾器，基于一組基于流量內容和/或流量模式的規則，允許或拒絕資料傳入和傳出流量，
  
  ② 入侵檢測 Intrusion detection
  
  發出警報但不做出制止行為
  
  ③ 入侵防護 Intrusion prevention
  
  在入侵前檢測并攔截入侵行為

轉載請註明出處，本文鏈接：https://www.uj5u.com/qita/509516.html

標籤：其他

上一篇：尼翠德Java初面

下一篇：解析度的理解

資訊OSI安全框架

1. 緒論

1.1 安全目標\標準 Security Objectives

1.2 OSI安全框架

1.3 網路安全關鍵因素