网络安全学习笔记（一）-网络安全体系结构

一、网络安全的意义

二、网络安全的执行标准

《信息处理系统 开放系统互连基本参考模型 第二部分：安全体系结构》

因特网安全体系结构 文档号： RFC2401：1998

三、开放系统互联安全体系机构内容

1.安全机制

1.1加密

对数据进行转换，达到隐藏数据的目的；
对称和公钥密码体制和密钥管理技术

1.2数据完整性

抵抗对数据的非授权改变或破坏
基于密码技术的完整性和非密码技术的完整性保护（如编码）

1.3 访问控制

控制对信息资源（如网络、服务、数据等）的非授权访问和非授权使用（类似门卫）；
最小最小权限原则；
可以基于各种因素（如主体、客体、安全级别、时间、角色、任务）;
在不同粒度层次上实施控制

1.4 数字签名

手写签名的数字化，基于公钥密码技术，在数据单元上附加数据，使数据单元的接收者证实数据单元的来源及其完整性，同时提供签名者行为的不可否认性。

1.5 实体认证

以交换信息的方式，确认实体真实身份，用来对抗假冒威胁；
交换的信息是只有实体知道的秘密（如口令、密钥）或只有实体拥有的东西（如生物特征、身份证、智能卡等）
通过多种认证因素可以实现安全强度更高的多因子认证。

1.6 业务流填充

通过正常那个的通信数据传输过程之间的随机插入伪随机数据流，达到隐藏通信流模式的目的，只在通信有机密性保护时才有用。

1.7 路由控制

为特定数据选择更为安全的传输路径。如策略路由。
策略路由是依据用户指定的策略进行路由选择，路由选择可以通过路由过滤技术实现，路由过滤可以基于访问控制表、路由策略等执行。

2.安全服务

2.1 鉴别服务

对等实体鉴别
提供实体的身份识别服务，使对方（对等实体）确信正在和他通信一个实体正是所声称的实体，不是其他实体冒充的。

数据原发鉴别
确认所接收到的数据的来源是所声称的实体，但对于数据的重放不提供保护。

2.2 数据机密性

保护数据不被非授权地泄露

连接机密性
为一层上建立的一个连接上的所有数据提供机密性保护服务

无连接机密性
仅对一层上的协议的某个服务数据单元SDU提供机密性保护服务

选择字段机密性
为所选择的某个字段提供机密性保护服务，如一层上连接的一部分数据或非连接传输的一个SDU中的一个字段

通信业务流机密性
使通信业务流量具有随机特征，从而攻击者无法通过观察通信流量内容和模式等机密信息。

2.3 数据完整性

保护数据不被非授权改变或破坏

带恢复的连接完整性

为一层上建立的一个连接上所有数据提供完整性检查，包括检查所有SDU数据是否被篡改，SDU序列没有被删除、插入或乱序。如果检测出错误，该服务将提供重传或纠错等操作。

不带恢复的连接完整性
检查范围与带恢复的连接完整性相同，但检测到错误不进行恢复。

选择字段的连接完整性
为一层的一个连接传输的所选择部分字段提供完整性检查，包括检测SDU字段序列中的数据是否被篡改，字段序列是否被删除、插入或乱序

无连接完整性
对一层上协议的某个服务数据单元SDU提供完整性检查服务。确认是否被篡改。

选择字段的无连接完整性
仅对一层上协议的某个服务数据单元SDU的部分字段提供完整性检查服务，确认是否被篡改。

2.4 抗抵赖服务

为通信双方进行的特定通信过程提供不可否认性验证

有数据原发证明的抗抵赖

为数据的接收者提供数据来源的证据，是发送者不能谎称未发送这些数据或否认发送的数据内容。

有交付证明的抗抵赖
为数据发送者提供数据交付的证据，使接受者不能谎称未接收到这些数据或否认接收到的数据内容。

安全服务与安全机制的对应关系

3.TCP/IP的安全协议分层

3.1 应用层

3.2&3.3 传输层和网络层

3.4 网络接口层

4.安全管理

安全管理
提供安全环境、服务、机制的管理

4.1 系统安全管理

即为安全环境管理：安全策略、信息交互、安全事件、审计、恢复等

4.2 安全服务管理

为安全服务定义安全目标、可用地安全机制、与其他管理交互

4.3安全机制管理

针对每一种安全机制的管理：密钥管理、加密管理、数字签名管理···

思维导图

xmind导出的原图无压缩，需要的直接下载图片即可
图片可无损放大