OSI安全服务和安全机制

OSI安全服务

1、认证服务（鉴别服务）

-通信的对等实体鉴别服务：使N+1层实体确信某一时刻与之建立连接或进行数据传输的是它需要的一个或多个N+1实体。

-数据原发鉴别：使N+1层实体确信接收到的数据单元的来源是自己要求的

2、访问控制服务

-建立用户（主体）与资源（客体）之间的访问关系（如读、写、删除、运行等），防止对某一资源的非授权使用。

3、机密性服务

-连接机密性保护：保证一次N连接上的全部N用户数据都保护起来不使非授权泄露。

-无连接机密性保护：为单个无连接的N层服务数据单元（N-SDU）中的全部N用户数据提供机密性保护。

-选择字段机密性保护：仅对处于N连接的用户数据或无连接的N-SDU中所选择的字段提供机密性保护

-通信业务流机密性保护：提供机密性保护，并保护不能通过惯出通信业务流推断出其中的机密信息。

4、完整性服务

-带恢复的连接完整性服务。

-不带回复的连接完整性服务。

-选择字段连接完整性服务。

-无连接完整性服务。

-选择字段无连接完整性服务。

5、抗抵赖服务（抗否认性）

-有数据原发证明的抗抵赖：防止发送方抵赖。

-有数据交付证明的抗抵赖：防止接收方抵赖。

·OSI安全体系的特定安全机制

1、加密机制：

能为数据提供机密性，也能为通信业务流信息提供机密性，通常采用密码、信息隐藏等方法实现。

2、数据签名机制

用以提供认证或抗抵赖服务，是基于密码体制的一种机制

3、访问控制机制

-数据机密性；

-数据完整性

-可用性

4、完整性保护机制：

避免未书券的数据乱序、丢失、重放、插入以及篡改，具体技术有校验码（抗修改）、顺序号（防乱序）、时间标记（防重放、防丢失）等。

5、通信业填充机制：

通信业填充机制是一种用于提供业务流机密性保护的范分析机制，它可以生成伪造的通信实例、伪造的数据单元或/和数据单元中伪造的数据，使攻击者难于从数据流量对通信业务进行分析。

6、路由选择控制机制：

例如

-当检测到持续的攻击时，便指示网络服务提供者经别的路由建立连接；

-依据安全策略，可以禁止带有某些安全标记的数据通过某些子网络、中继站或链路；

-连接的发起者或无连接中数据的发送者，可以指定路由选择说明，以请求回避某些特定的子网络、中继站或链路。

7、公正机制：

仲裁方式和判决方式

8、鉴别交换机制

-鉴别信息：如口令、生物信息、身份卡等；

-密码技术

-时间标记与同步时钟

-二次握手（对应单方鉴别）或三次握手（对应双方鉴别）；

-抗否认机制：数字签名和公认机制