1.4 安全服务

思维导图:

 1.4 安全服务

  • 定义:在通信开放系统中,为系统或数据传输提供足够安全的协议层服务。

    • RFC4949 定义:由系统提供的对系统资源进行特殊保护的处理或通信服务。安全服务通过安全机制来实现安全策略。
  • 分类:X.800 将安全服务分为5类,共14个特定服务。

  • 术语:安全文献中的许多术语尚未达成一致,如“完整性”和“认证”。本笔记中的术语与X.800和RFC4949保持一致。

表1.2 安全服务:
  1. 数据完整性

    • 保证收到的数据是授权实体发出的原始数据,未被修改、删除或重播。
  2. 认证

    • 保证通信实体是其声称的实体。
    • 数据源认证:在无连接传输时,保证收到的信息来源是声称的来源。
  3. 连接完整性

    • 具有恢复功能的连接完整性:检测数据的修改、插入、删除或重播,并尝试恢复。
    • 无恢复的连接完整性:仅提供检测,不提供恢复功能。
  4. 访问控制

    • 阻止对资源的非授权使用,例如确定谁可以访问资源,以及在什么条件下可以访问。
  5. 数据保密性

    • 保护数据免于非授权泄露。
    • 连接保密性:保护一次连接中所有用户数据。
    • 无连接保密性:保护单个数据块中的所有用户数据。
  6. 不可否认性

    • 防止通信实体在通信过程中否认其行为。
  7. 流量保密性

    • 保护可以通过观察流量获得的信息。

我的理解:

核心概念:安全服务是通信开放系统中为保障系统或数据传输安全性而提供的协议层服务。

  • 安全服务的目标:为系统资源提供特殊的保护措施,帮助实现安全策略。

  • 安全服务的分类:根据X.800标准,安全服务被分为五大类,涵盖了14个具体的服务。

    1. 数据完整性:确保数据在传输过程中不被非法修改、删除或重放。

    2. 认证:确认通信的一方是其声称的实体,确保通信双方的身份真实性。

    3. 连接完整性:对数据传输过程进行监控,对异常情况进行检测,并可能进行恢复。

    4. 访问控制:限制对某些资源的访问,只允许特定的实体或在特定的条件下访问。

    5. 数据保密性:确保数据在传输过程中不被非授权的实体泄露。

    6. 不可否认性:确保通信过程中的行为不会被参与方否认。

    7. 流量保密性:防止通过分析数据流量来获取有关通信的信息。

这一节还强调了,由于不同的信息安全文献中,对于某些术语的使用还没有达成广泛的一致。因此,这里使用的术语与X.800和RFC4949的标准保持一致。

总之,这一节的概念主要是为了帮助我们理解如何在通信系统中提供安全保障,并通过各种安全服务确保数据的完整性、保密性和通信双方的身份真实性等安全需求得以满足。

1.4.1 认证

核心概念:认证服务的主要目标是确认通信的真实性,确保消息来源的可靠性。

  1. 基本意义

    • 消息认证:对于单条消息(如警告、报警信号等),认证服务确保消息确实来自声称的发送方。
    • 持续通信认证:对于持续的通信(如终端和主机的连接),认证服务在初始化阶段确认两个实体的身份,并确保连接不被第三方干预。
  2. 第三方干扰的定义

    • 干扰:第三方伪装成合法实体中的一个,进行非授权的传输或接收。
  3. X.800定义的特殊认证服务

    • 对等实体认证
      • 用途:为连接中的对等实体提供身份确认。
      • 描述:当两个实体在不同系统中执行相同的操作时,它们被视为对等的,例如两个不同通信系统中的TCP模块。
      • 重点:确保一个实体没有试图伪装或重播先前的连接进行非授权传输。
    • 数据源认证
      • 用途:确认数据的来源。
      • 描述:仅确认数据的来源,但不保护数据的复制或修改。
      • 应用场景:例如邮件,其中通信实体在通信前没有进行预交互。

通过上述笔记,我们可以明白认证服务的重要性在于确保通信的真实性和可靠性,无论是单一消息还是持续的通信,都需要进行有效的认证,防止伪装、重放或其他形式的攻击。

我的理解:

认证的核心概念是为了验证和确认一个实体或数据来源的真实性和合法性。以下是认证部分的关键内容和理解:

  1. 认证的目的:确保消息或数据来源的真实性和可靠性。

    • 单条消息:验证消息确实来自声称的发送方。
    • 持续的通信:验证通信双方的真实身份并确保通信过程不受第三方干扰。
  2. 第三方干扰:是指第三方试图伪装成合法实体,非授权地进行消息传输或接收。

  3. 特殊的认证服务

    • 对等实体认证:这是在两个实体之间建立的,当它们在不同的系统中执行相同的操作时,被视为对等的。例如,两个TCP模块在两个不同的通信系统中工作。这种认证服务确保一个实体没有伪装或重放以进行非授权的通信。

    • 数据源认证:它的重点是确认数据的来源。与之不同,它并不保护数据免受复制或修改。它适用于那些在通信之前不进行预交互的应用,例如邮件。

总结:认证是确保数据或消息的真实性的过程。不仅要验证单个消息的来源,还要在持续的通信中验证双方实体的身份。特别是在面对可能的第三方干扰时,需要有强大的认证机制来确保通信的安全性和真实性。

1.4.2 访问控制

访问控制的核心概念是关于如何管理和限制对资源的访问。以下是访问控制部分的关键内容和理解:

  1. 定义:访问控制是一个过程,它确定谁可以访问哪些网络资源以及在什么情境下可以访问。

  2. 识别与认证

    • 在访问任何资源之前,实体(例如用户、系统或应用)必须先被识别
    • 识别后,实体必须被认证,即验证其声称的身份是否真实。
  3. 访问权限:只有经过认证的实体才能根据预先定义的权限获得特定的访问权限。这些权限决定实体可以进行哪些操作,例如读取、修改或删除资源。

总结:访问控制是网络安全的关键部分,它确保只有合适的、已认证的实体才能访问和操作网络资源。这不仅涉及到身份的验证,还涉及到为每个实体分配恰当的访问权限。

我的理解:

访问控制关乎于确定管理哪些实体(如用户、程序或设备)可以访问特定的系统资源,以及他们可以进行的操作类型。

核心概念理解:

  1. 资源:在这里指的是系统中的任何可访问的对象,例如文件、数据库、应用程序或网络连接。

  2. 实体:试图访问资源的任何东西,如用户、程序或其他系统。

  3. 识别与认证

    • 识别:实体首先要声明或提供其身份(如用户名)。
    • 认证:实体必须证明其声称的身份是真实的,通常是通过提供密码或其他认证机制来完成。
  4. 权限与访问规则

    • 一旦实体被认证,系统会检查其对特定资源的访问权限
    • 这些权限基于预先定义的访问规则,这些规则确定哪些实体可以访问哪些资源以及可以进行的操作。
  5. 目的:访问控制的主要目的是确保只有经授权的实体可以访问资源,并且只能按照所授权的方式进行操作。这有助于保护系统的完整性、可用性和机密性。

简而言之,访问控制是一个关于“谁可以做什么”的决策过程。它涉及到确认请求访问的实体的身份,然后基于已定义的策略确定他们是否有权执行所请求的操作。

1.4.3 数据保密性

数据保密性关注于确保信息在传输或存储过程中不被未经授权的实体访问。

核心概念理解:

  1. 定义:数据保密性意味着确保数据只能被授权的人员、程序或设备所访问。

  2. 被动攻击:此类攻击通常是监听、窃取或拦截数据,而不是修改数据。保密性的目的是阻止这类攻击,确保即使数据被窃取或拦截,攻击者也无法理解或利用它。

  3. 层级的保护

    • 端到端保密性:保护信息从发送端到接收端的整个传输过程。即使数据在传输中的任何节点被拦截,它也是加密的和不可读的。
    • 链路加密:仅在某个特定的通信链路或路径上加密数据,如WiFi连接。当数据到达其目的地或离开该路径时,它可能被解密。
    • 数据在静态状态的保护:不仅在数据传输时加密,而且在存储时也加密,例如在数据库或硬盘中。
  4. 加密:是实现数据保密性的主要手段。通过加密,数据转化为密文,只有拥有合适密钥的实体才能解密。

  5. 访问控制:除了加密,限制对数据的访问也是确保其保密性的方法。例如,仅允许授权的用户访问某些文件或数据库。

  6. 目的:防止数据泄露、被窃取或被未经授权的实体访问。这对于维护个人隐私、商业秘密和国家安全都至关重要。

简而言之,数据保密性关注于确保数据的私密性和隐私,防止未经授权的访问和泄露。实现这一目标的关键方法是加密和强大的访问控制策略。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/124626.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Flink将数据写入MySQL(JDBC)

一、写在前面 在实际的生产环境中&#xff0c;我们经常会把Flink处理的数据写入MySQL、Doris等数据库中&#xff0c;下面以MySQL为例&#xff0c;使用JDBC的方式将Flink的数据实时数据写入MySQL。 二、代码示例 2.1 版本说明 <flink.version>1.14.6</flink.version…

故障诊断模型 | Maltab实现BiLSTM双向长短期记忆神经网络故障诊断

文章目录 效果一览文章概述模型描述源码设计参考资料效果一览 文章概述 故障诊断模型 | Maltab实现BiLSTM双向长短期记忆神经网络故障诊断 模型描述 利用各种检查和测试方法,发现系统和设备是否存在故障的过程是故障检测;而进一步确定故障所在大致部位的过程是故障定位。故障…

Linux网络编程二(TCP三次握手、四次挥手、TCP滑动窗口、MSS、TCP状态转换、多进程/多线程服务器实现)

TCP三次握手 TCP三次握手(TCP three-way handshake)是TCP协议建立可靠连接的过程&#xff0c;确保客户端和服务器之间可以进行可靠的通信。下面是TCP三次握手的详细过程&#xff1a; 假设客户端为A&#xff0c;服务器为B 1、第一次握手&#xff08;SYN1&#xff0c;seq500&…

03_Flutter自定义下拉菜单

03_Flutter自定义下拉菜单 在Flutter的内置api中&#xff0c;可以使用showMenu实现类似下拉菜单的效果&#xff0c;或者使用PopupMenuButton组件&#xff0c;PopupMenuButton内部也是使用了showMenu这个api&#xff0c;但是使用showMenu时&#xff0c;下拉面板的显示已经被约定…

List的add(int index,E element)陷阱,不得不防

项目场景&#xff1a; 项目中有两个List列表&#xff0c;一个是List1用来存储一个标识&#xff0c;后续会根据这个标识去重。 一个List2是用来返回对象的&#xff0c;其中对象里也有一个属性List3。现需要将重复的标识数据追加到List3 我想到的两个方案&#xff1a; 尽量不动…

吴恩达《机器学习》2-5->2-7:梯度下降算法与理解

一、梯度下降算法 梯度下降算法的目标是通过反复迭代来更新模型参数&#xff0c;以便最小化代价函数。代价函数通常用于衡量模型的性能&#xff0c;我们希望找到使代价函数最小的参数值。这个过程通常分为以下几个步骤&#xff1a; 初始化参数&#xff1a; 随机或设定初始参数…

项目资源管理-考试重点

1. 冲突管理的5种方法 ① 撤退/回避 ② 缓和/包容 ③ 妥协/调解 ④ 强迫/命令 ⑤ 合作/解决问题 2. 虚拟团队的优缺点 优点&#xff1a; ① 能够利用不在同一地理区域的专家的专业技术 ② 将在家办公的员工纳入团队 ③ 以及将行动不便者或残疾人纳入团队 缺点&#…

【图像分类】基于计算机视觉的坑洼道路检测和识别(ResNet网络,附代码和数据集)

写在前面: 首先感谢兄弟们的关注和订阅,让我有创作的动力,在创作过程我会尽最大能力,保证作品的质量,如果有问题,可以私信我,让我们携手共进,共创辉煌。 本篇博文,我们将使用PyTorch深度学习框架搭建ResNet实现钢轨缺陷识别,附完整的项目代码和数据集,可以说是全网…

C++ 自引用指针this(整理)

使用例子&#xff1a; #include <iostream> #include <Windows.h> using namespace std; class A { public:A(int x1){x x1;}void disp(){cout<<"this"<<this<<" when x"<<this->x<<endl;} private:int x;…

Node学习笔记之user用户API模块

1、获取用户的基本信息 步骤 获取登录会话存储的session中用户的id判断是否获取到id根据用户id查询数据库中的个人信息检查指定 id 的用户是否存在将密码设置为空将数据返回给前端 // 获取用户信息数据 exports.userinfo (req, res) > {(async function () {// 1. 获取…

关于Spring和SpringBoot中对配置文件的读取

Spring读取xml文件 具体流程见网址Spring源码分析2 — spring XML配置文件的解析流程 - 知乎 (zhihu.com) 我这里只做一下总结和自己的理解&#xff1a; &#xff08;1&#xff09;通过getConfigLocations方法, 从web.xml文件中读取配置文件地址&#xff0c;如果web.xml中读取…

合肥中科深谷嵌入式项目实战——人工智能与机械臂(四)

订阅&#xff1a;新手可以订阅我的其他专栏。免费阶段订阅量1000 python项目实战 Python编程基础教程系列&#xff08;零基础小白搬砖逆袭) 作者&#xff1a;爱吃饼干的小白鼠。Python领域优质创作者&#xff0c;2022年度博客新星top100入围&#xff0c;荣获多家平台专家称号。…

对象补充-原型和函数原型-创建对象

defineProperties可以定义多个属性描述符 var obj {// 私有属性&#xff08;js里面是没有严格意义的私有属性&#xff09;_age: 18,_eat: function() {} }Object.defineProperties(obj, {name: {configurable: true,enumerable: true,writable: true,value: "why"}…

Failed to prepare the device for development

&#x1f468;&#x1f3fb;‍&#x1f4bb; 热爱摄影的程序员 &#x1f468;&#x1f3fb;‍&#x1f3a8; 喜欢编码的设计师 &#x1f9d5;&#x1f3fb; 擅长设计的剪辑师 &#x1f9d1;&#x1f3fb;‍&#x1f3eb; 一位高冷无情的编码爱好者 大家好&#xff0c;我是 DevO…

创新领航 | 竹云参编《基于区块链的数据资产评估实施指南》正式发布!

10月25日&#xff0c;由深圳数宝数据服务股份有限公司和深圳职业技术大学提出&#xff0c;中国科学院深圳先进技术研究院、中国电子技术标准化研究院、中国&#xff08;天津&#xff09;自由贸易试验区政策与产业创新发展局、网络空间治理与数字经济法治&#xff08;长三角&…

论文阅读——ELECTRA

论文下载&#xff1a;https://openreview.net/pdf?idr1xMH1BtvB 另一篇分析文章&#xff1a;ELECTRA 详解 - 知乎 一、概述 对BERT的token mask 做了改进。结合了GAN生成对抗模型的思路&#xff0c;但是和GAN不同。 不是对选择的token直接用mask替代&#xff0c;而是替换为…

喜讯!合合信息顺利通过CMMI3级评估

近日&#xff0c;在擎标顾问团的咨询辅导下&#xff0c;上海合合信息科技股份有限公司&#xff08;简称“合合信息”&#xff09;顺利通过了CMMI3级评估。CMMI是国际上最流行、最实用的一种软件生产过程标准和软件企业成熟度等级认证的标准&#xff0c;通过该认证表明企业在开发…

【多线程面试题十四】、说一说synchronized的底层实现原理

文章底部有个人公众号&#xff1a;热爱技术的小郑。主要分享开发知识、学习资料、毕业设计指导等。有兴趣的可以关注一下。为何分享&#xff1f; 踩过的坑没必要让别人在再踩&#xff0c;自己复盘也能加深记忆。利己利人、所谓双赢。 面试官&#xff1a;说一说synchronized的底…

常见面试题-MySQL专栏(二)

了解索引扫描吗&#xff1f; 答&#xff1a; MySQL有两种方法生成有序结果&#xff1a; 通过排序操作按照索引顺序扫描 如果 explain 出来的 type 列值为 “index” 的话&#xff0c;说明是按照索引扫描了。 索引扫描本身的速度是很快的。但是如果索引不能覆盖查询所需的全…

Visual Studio Code的下载与安装

Visual Studio Code&#xff08;简称 VS Code&#xff09;是由 Microsoft 开发的免费、开源的文本编辑器&#xff0c;适用于多种操作系统&#xff0c;包括 Windows、macOS 和 Linux。它的设计目标是成为一款轻量级、高效的代码编辑工具&#xff0c;同时提供丰富的扩展和功能&am…