整个OSI安全体系结构从三个方面来学习。

1.安全服务

  • 鉴别服务:提供对等实体的身份鉴别和数据起源鉴别,使得当某层使用底层提供的服务时,却信誉值打交道的对等实体是它所需要的实体。数据起源鉴别必须与实体鉴别等其他服务相结合才能保证当前通信过程的源真实性。鉴别可以是单向的也可以是双向的,可以带有效期检验也可以不带。
  • 访问控制服务:对OSI协议的可访问资源提供保护,按照访问控制策略进行访问,防止非授权的访问。这些资源可以是经OSI协议访问到的OSI资源或非OSI资源。这种保护服务可应用于对资源的各种不同类型的访问(例如使用通信资源;读、写或删除信息资源;处理资源的执行)或应用于对一种资源的所有访问。访问控制包括策略和授权,策略部分决定了访问控制的规则,实施部分则据此进行授权。
  • 数据保密性服务:

连接保密:为一次连接和是哪个的全部用户数据保证其机密性

无连接保密:为单个无连接的SDU(服务数据单元)中的全部用户数据保证其机密性

选择字段保密:为那些被选择的字段保证其机密性,这些字段或处于某个连接的用户数据中,或为单个无连接的SDU中的字段

业务流保密:使得通过观察通信业务流而不能推断出其中的机密信息

  • 数据完整性服务:提供数据完整性保护,防止通过违反安全策略的方式进行非法修改(包括篡改、重排序、删除和假冒)。在一次连接上,链接开始时使用对等实体鉴别服务,并在连接的存活期限使用数据完整性服务,并联合起来为在此连接上传送的所有数据单元的来源提供确证,为这些数据单元的完整性提供确证

可恢复的连接完整性:未连接上的所有用户保证数据完整性,并检测整个服务单数据单元序列中的数据遭到任何的篡改、插入、删除或重演(同时试图补救恢复)。

不可恢复的连接完整性:同可恢复的连接完整性一样,但不试图做补救和恢复。

选择字段的连接完整性:为在一次连接上传送某曾读物数据单元的用户数据,在数据中选择字段保证完整性,所取形式是确定这些被选字段是否遭到了篡改、插入、删除或重演。

无连接完整性:由某层提供时,对发出请求的上层实体提供完整性保证。这种服务为单个的无连接SDU保证其完整性,所取形式可以是确定一个接受到的SDU是否遭受篡改,在一定程度上也能提供对重演的检测。

选择字段无连接完整性:为单位无连接的SDU中的被选字段保证完整性,所取形式确定为被选字段是否遭到篡改。

  • 抵赖性服务:抗抵赖服务为数据的接收者提供数据来源的证据,对通信双方进行特定通信过程的不可否认性验证

有数据原发证明的抗抵赖:为数据的接收者提供数据来源的证据,这将使发送者谎称未发送过这些数据或否认他的内容的企图无法得逞

有交付证明的抗抵赖:为数据的发送者提供数据交付证据。这将使接收者事后谎称未收到过这些数据或否认它的内容的企图无法得逞

2.安全机制

1.特定的安全机制

加密:加密机制既能为数据提供机密性,也能为通信业务流信息提供机密性,并且还可以成为其他安全机制中的一部分或起补充作用。加密算法可以是可逆的,也可以不可逆

对称加密/私钥加密:知道了加密密钥也就知道了解密密钥

非对称加密/公开密钥:知道了加密密钥也不一定知道解密密钥

数字签名:这种机制确定两个过程:对数据单元签名和验证签过名的数据单元。第一过程使用签名者私有信息作为私钥。第二个过程所有的规程与信息是公之于众的,但不能从他们推断出该签名者的私有信息。签名机制的本质为该签名只有使用签名者的私有信息才能产生出来

访问控制:根据实体的身份来确定其访问权限,按照事先约定的规则决定主体对客体的访问是否合法。如果某个实体试图使用非授权的资源,或以不正当方式使用授权资源,那么访问控制功能将拒绝这一企图,另外还可能产生一个报警信号或记录它作为安全审计跟踪的一个部分来报告这一事件

  • 访问授权信息
  • 鉴别信息
  • 访问权限
  • 安全标记
  • 访问请求事件以及方式

数据完整性:有两个方面:单个数据单元或字段的完整性以及数据单元流或字段流的完整性

认证交换:通过信息的交换来提供对等实体的认证。如果认证实体时得到的否定的结果,就会导致接连的拒绝或终止,也可能使在安全审计跟踪中增加一个记录,或给安全管理中心一个报告

  • 口令鉴别
  • 密码技术
  • 时间戳
  • 同步时钟
  • 二/三次握手
  • 不可否认机制
  • 实体特征或所有权鉴别

业务流填充:在应用连接空闲时,持续发送伪随机序列,使攻击者不知道哪些是有用信息。这种机制只有在业务流填充冲到机密服务保护时才是有效的

路由选择控制:路由能动态的或预定的选取,以便只使用物理上安全的子网络、中继站或链路。带有某些安全标记的数据可能被安全策略禁止通过某些子网络、中继站、或链路。连接的发起者或无连接单元的发送者,可以指定路由选择说明,由它请求回避某些特定的子网络、链路或中继站

公证

2.普遍安全机制

可信功能度机制:用来度量扩充其他安全机制的范围或建立这些安全机制的有效性,必须使用可信功能度。任何功能度,只要它是直接提供安全机制,或提供安全机制的访问,都应该是可信的

安全标记机制:安全标记是与某一资源密切相连的标记,为该资源命名或指定安全属性(这种标记可以是明显的也可以是隐含的)包含数据项的资源可能具有与这些数据相关联的安全标记,如表明数据敏感性级别的标记,安全标记通常必须和数据一起传送

事件检测机制

安全审计跟踪机制:安全审计跟踪的潜在价值在于经事后的安全审计得以检测和调差安全漏洞。安全审计就是对系统的记录与行为进行独立的品评考查,目的是测试系统的控制是否恰当,保证与既定策略和操作堆积的协调一致,有助于做出损害评估,以及对在控制、策略与规程中指明的改变做出评价。安全审计要求在安全审计跟踪中记录有关安全的信息,分析和报告从安全审计跟踪中得来的信息。

安全恢复:安全恢复处理来自诸如事件处置与管理功能等机制的请求,并把恢复动作当做应用一组规则的结果

  • 立即的:可能造成操作的立即放弃,如断开
  • 暂时的:可能使一个实体暂时无效
  • 长期的:可能把一个实体记入“黑名单”,或改变密钥

3.安全管理

系统安全管理:

系统安全管理涉及总的OSI环境方面管理。

  1. 总体安全策略的管理,包括一致性的修改与维护
  2. 与其他OSI安全管理功能的相互作用
  3. 与安全服务管理和安全机制管理的交互作用
  4. 事件处理管理,包括远程报告违反安全系统的明显企图,对出发事件报告的阈值进行修改
  5. 安全审计管理,包括选择被记录和被远程收集的事件,授予或取消对所选事件进行审计跟踪日志记录的能力,审计记录的远程收集,准备安全审计报告
  6. 安全恢复管理,包括维护用来对安全事故做出反应的规则,远程报告对系统安全的明显违规,安全管理者的交互

安全服务管理:

安全服务管理涉及特定安全服务管理

  1. 为服务指派安全保护的目标
  2. 制定与维护选择规则(存在可选择情况时),选择安全服务所需的特定安全机制
  3. 协商需要取得管理员同意的可用的安全机制
  4. 通过适当的安全机制管理功能调用特定安全机制
  5. 与其他的安全服务管理功能和安全机制管理功能进行交互

安全机制管理:

  1. 密钥管理:主要功能是间歇性的产生与所要求的安全级别相应的密钥;根据访问控制策略,对于每个密钥决定哪个实体可以拥密钥的拷贝;用可靠方法使密钥对开放系统中的实体是可用的,或将这些密钥分给它们
  2. 加密管理:主要功能是与密钥管理的交互作;建立密码交互;密码同步
  3. 数字签名管理:主要功能是与密钥管理地交互作用;建立密码参数与密码算法;在通信实体与可能有的第三方之间使用协议
  4. 访问控制管理:主要功能是安全属性(包括口令)的分配;对访问控制表或访问权利表进行修改;在通信实体与其他提供访问控制服务的实体之间使用协议
  5. 数据完整性管理:主要功能是与密钥管理地交互作用;建立密码参数与密码算法;在通信实体之间使用协议
  6. 鉴别管理:主要功能是将说明信息、口令和密钥分配给要求鉴别执行的实体;在通信的实体与其他提供鉴别服务的实体之间提供协议
  7. 通信业务流填充管理:主要功能是维护通信业务流填充的规则,如预定的数据率;制定随机数据率;指定报文特性,如长度;按时间改变这些规定
  8. 路由控制管理:主要功能是确定按特定准则被认为是安全可靠或可信任的链路或子网
  9. 公证管理:主要功能是分配有关公正的信息;在公证方与通信实体之间使用协议;与公证方进行交互

OSI管理的安全:

这一类安全管理将对上面所列的OSI安全服务与机制进行适当的选取,以确保OSI管理协议和信息获得足够的保护

正在基于基础理论学习网络攻防知识,如有错误欢迎指正。

网络攻防技术——OSI安全体系相关推荐

  1. 2017-2018-2 20179205 《网络攻防技术与实践》第八周作业

    <网络攻防技术与实践>第八周学习总结 教材第八章<Linux操作系统安全攻防>学习总结 本章通过介绍Linux的结构和安全机制,引出了对Linux系统的攻击过程,包括首先从远程 ...

  2. 网络攻防技术(摆烂一天)

    网络攻防技术非常基础 1. 信息采集 信息采集的重点概念: 信息采集是黑客为了更有效的实施攻击而在攻击前对被攻击目标进行探测活动(信息渗透的过程) 信息采集是渗透重要的一部分:知道的越多就可能知道的更 ...

  3. 网络攻防技术(郑大信安个人总结版)

    网络攻防技术(郑大信安个人总结版) 目录 第1部分 绪论 2 第2部分 网络脆弱性分析 3 第3部分 网络侦察 5 第4部分 网络扫描 7 第5部分 拒绝服务攻击 11 第6部分 计算机木马 14 第 ...

  4. 2018-2019-2 20189221 《网络攻防技术》第六周作业

    2018-2019-2 20189221 <网络攻防技术>第六周作业 视频学习(21-25) KaliSecurity-密码攻击之在线攻击工具 1.Cewl 可以通过爬行网站获取关键信息创 ...

  5. 2018-2019-2 20165315《网络攻防技术》Exp6 信息搜集与漏洞扫描

    2018-2019-2 20165315<网络攻防技术>Exp6 信息搜集与漏洞扫描 目录 一.实验内容 二.实验步骤 1.各种搜索技巧的应用 2.DNS IP注册信息的查询 3.基本的扫 ...

  6. 20155201 网络攻防技术 实验六 信息搜集与漏洞

    20155201 网络攻防技术 实验六 信息搜集与漏洞 一.实践内容 各种搜索技巧的应用 DNS IP注册信息的查询 基本的扫描技术:主机发现.端口扫描.OS及服务版本探测.具体服务的查点 漏洞扫描: ...

  7. 2018-2019-2 20189215 《网络攻防技术》第九周作业

    教材<网络攻防技术>第九.十章学习 第9章 恶意代码安全攻防 9.1 恶意代码基础知识 恶意代码是指使计算机按照攻击者的意图执行以达到恶意目标的指令集.类型包括:计算机病毒.蠕虫.恶意移动 ...

  8. 2018-2019-2 20165212《网络攻防技术》Exp5 MSF基础应用

    2018-2019-2 20165212<网络攻防技术>Exp5 MSF基础应用 攻击成果 主动攻击的实践 ms17010eternalblue payload windows/x64/m ...

  9. 2018-2019-2 20165312《网络攻防技术》Exp7 网络欺诈防范

    2018-2019-2 20165312<网络攻防技术>Exp7 网络欺诈防范 目录 一.相关知识点总结 二.实验内容 三.实验步骤 四.实验总结及问题回答 五.实验中遇到的问题及解决方法 ...

最新文章

  1. Spring Boot+JWT+Shiro+MyBatisPlus 实现 RESTful 快速开发后端脚手架
  2. 苹果应用开发架构及项目结构
  3. DarkTrack 4 Alien Version Released RAT 下载地址视频教程
  4. Go_笔试题记录-指针与值类型实现接口的区别
  5. java断点续传插件_视频断点续传+java视频
  6. 关于如何学好网络 送给学习网络工程的学生
  7. windows访问linux下samba无需密码设置
  8. Android Camera架构浅析
  9. OpenLayers图层
  10. xstream使用的第二个小问题
  11. 【可视化应用案例】使用ProPlot绘制兰伯特投影的填色图
  12. java编程思想--final关键字
  13. 对百度输入法小米版的用户体验
  14. 文件粉碎机c语言代码,VB写文件粉碎机
  15. python爬虫——40行代码爬取「笔趣看」全部小说
  16. css+html投票系统,网上在线投票系统的设计与实现.doc
  17. 杂篇:Java源码阅读绘图规范手册--[捷特版]
  18. 企业邮箱哪个最好用?哪个企业邮箱更优惠?费用是多少?
  19. 数据分析案例之淘宝用户行为分析完整报告
  20. 内置函数sum与sum(list,[])

热门文章

  1. (转)VB程序逆向反汇编常见的函数
  2. 获取OpenHarmony源码
  3. 长三角大数据产业联盟正式成立,云创大数据位列创始成员单位
  4. 利用自解压文件携带木马程序
  5. 【ESP 保姆级教程】疯狂传感器篇 —— 案例:Mega + ESP8266 + MQ2烟雾 + MQ3酒精 + MQ7一氧化碳+ OLED + 巴法云 + 微信小程序(环境监控)
  6. 思科防火墙ASA5520配置
  7. Hadoop 深入浅出----HDFS(2)
  8. Gif动图怎么在线做?教你在线做gif动画图片
  9. 数据处理之连续数据离散化
  10. 软考第三篇 信息系统项目管理师 论文