网络信息安全服务根据保护的对象可以分为:机密**、完整**、可用**和可审**。机密**主要利用密码学技术加密文件实现,完整**主要利用验证码/Hash技术,可用**主要灾备来保障。网络环境下的身份鉴别,当然还是依托于密码学,一种可以使用口令技术,另一种则是依托物理形式的鉴别,如身份卡等。其实更为安全的是实施多因子的身份认证,不只使用一种方式。数字签名可以用来保证信息的完整性,比如RSA就可以用于数字签名:
若A向B发送信息m,则先用自己的保密密钥(私钥)对m加密,然后用B的公钥第二次加密,发送个B后,B先用自己的私钥解密一次,再用A的公钥解密即可。
Kerberos使用对称密码算法来实现通过可信第三方密钥分发中心的认证服务,已经成为工业界的事实标准。
安全体系结构
设计一个安全体系,需要注意以下几个关键的问题:主体与客体、可信计算基(TCB)、安全边界、基准监控器与安全内核、安全域、最小特权、资源隔离与分层、数据隐蔽与抽象等。其实这些内容更是操作系统安全设计的原则。网络体系主要依托于OSI模型建立,提供了5类安全服务:
1. 鉴别:对等实体的身份鉴别、数据原发鉴别;
2. 访问控制;
3. 数据机密性;
4. 数据完整性;
5. 抗否认,这里要注意发送方和接收方均不能否认;
OSI安全体系结构的安全机制:
1. 特定的安全机制:加密机制、数字签名机制、访问控制机制、数据完整性机制、鉴别交换机制、通信业务填充机制、路由选择控制机制与公证机制;
2. 普遍性安全机制:可信功能度、安全标记、事件检测、安全审计与跟踪、安全恢复;
还没有人评论哦,赶紧抢一个沙发吧!