1.3 安全服务

现实世界中复制品与原件存在不同，对原始文件的修改也总是会留下痕迹，模仿的签名与原始的签名总有差异，可以用铅封来防止文件在传送中被非法阅读或者篡改，用保险柜来防止文件在保管中被盗窃、毁坏、非法阅读或者篡改，采用签名或者图章来表明文件的真实性和有效性，信息安全依赖于物理手段与行政管理。而在数字世界中，复制后的文件跟原始文件没有差别，对原始文件的修改可以不留下痕迹，无法像传统方式一样在文件上直接签名或盖章，不能用传统的铅封来防止文件在传送中被非法阅读或者篡改，难以用传统的保险柜来防止文件在保管中被盗窃、毁坏、非法阅读或者篡改，而信息安全的危害更大，信息的泄密、毁坏所产生的后果更严重，信息安全无法完全依靠物理手段和行政管理。要实现信息安全，只能依赖数学的方法和手段。

1989年2月15日国际标准化组织颁布了国际标准ISO 7498—2，《信息安全体系结构》，确立了基于国际标准开放系统互联（OSI）参考模型七层协议之上的信息安全体系结构。它定义了五大类安全服务，由参与通信的开放系统的层提供的服务，确保该系统或数据传送具有足够的安全性，分别是数据机密性、数据完整性、抗抵赖、鉴别、访问控制，以及实现这些服务的八类安全机制，分别是加密、数字签名、访问控制、数据完整性、鉴别交换、业务流填充、路由控制、公证，还定义了需要进行的三类安全管理活动。国际电信联盟也于1991年颁布了同样的标准ITU X.800。

1.3.1 数据机密性

机密性服务是用加密的机制实现的。加密的目的有三种：密级文件经过加密可以公开存放和发送；实现多级安全控制的需要；构建加密通道的需要，防止搭线窃听和冒名入侵。ISO 7498—2把保密性分为以下四类：

● 连接保密：即对某个连接上的所有用户数据提供保密。

● 无连接保密：即对一个无连接的数据报的所有用户数据提供保密。

● 选择字段保密：即对一个协议数据单元中的用户数据的一些经选择的字段提供保密。

● 信息流机密性：这种服务提供的保护，使得通过观察通信业务流而不可能推断出其中的机密信息。

1.3.2 数据完整性

数据完整性是数据本身真实性的证明。数据完整性有两个方面：单个数据单元或字段的完整性、数据单元流或字段流的完整性。ISO 7498—2把完整性分为以下几类：

● 带恢复的连接完整性：这种服务为连接上的所有用户数据保证其完整性，并检测整个服务数据单元序列中的数据遭到的任何篡改、插入、删除或重演，同时试图补救恢复。

● 不带恢复的连接完整性：与上相同，只是不做恢复。

● 选择字段连接完整性：这种服务为在一次连接上传送的服务数据单元的用户数据中的选择字段保证其完整性，所取形式是确定这些被选字段是否遭到了篡改、插入、删除或重演。

● 无连接完整性：这种服务当由某层提供时，对发出请求的上层实体提供完整性保证。这种服务为单个的无连接服务数据单元保证其完整性，所取形式可以是确定一个接收到的服务数据单元是否遭受了篡改。另外，在一定程度上也能提供对重演的检测。

● 选择字段无连接完整性：这种服务为单位无连接的服务数据单元中的被选字段保证其完整性，所取形式为确定被选字段是否遭受了篡改。

1.3.3 抗抵赖

抗抵赖或者说不可否认性是一种防止源点或终点抵赖的鉴别技术。这种服务可取如下两种形式，或两者之一。一种是有数据原发证明的抗抵赖：为数据的接收者提供数据来源的证据，这将使发送者谎称未发送过这些数据或否认它的内容的企图不能得逞。另一种是有交付证明的抗抵赖：为数据的发送者提供数据交付证据，这将使得接收者事后谎称未收到过这些数据或否认它的内容的企图不能得逞。数字签名是实现抗抵赖服务的机制。

1.3.4 鉴别

鉴别（Authentication）就是确认实体是它所声明的。ISO 7498—2把鉴别分为下面两种情况：实体鉴别（Entity Authentication）和数据原发鉴别。实体鉴别也称为身份鉴别：某一实体确信与之打交道的实体正是所需要的实体。只是简单地鉴别实体本身的身份，不会和实体想要进行何种活动相联系。数据原发鉴别鉴定某个指定的数据是否来源于某个特定的实体。不是孤立地鉴别一个实体，也不是为了允许实体执行下一步的操作而鉴别它的身份，而是为了确定被鉴别的实体与一些特定数据项有着静态不可分割的联系。这种服务对数据单元的重复或篡改不提供保护。后面我们还会提到一个术语，消息鉴别（Message Authentication），它指的是一个证实收到的消息来自可信的源点且未被篡改的过程。

1.3.5 访问控制

访问控制（Access Control）是针对越权使用资源的防御措施。它的基本目标是防止对任何资源（如计算资源、通信资源或信息资源）进行未授权的访问。从而使计算机系统在合法范围内使用；决定用户能做什么，也决定代表一定用户利益的程序能做什么。未授权的访问包括：未经授权的使用、泄露、修改、销毁信息以及颁发指令等。它包含两种形式：一是非法用户进入系统，二是合法用户对系统资源的非法使用。这种保护服务可应用于对资源的各种不同类型的访问，例如：使用通信资源；读、写或删除信息资源；处理资源的执行，或应用于对一种资源的所有访问。几种典型的访问控制策略为：自主访问控制（Discretionary Access Control，DAC）、强制访问控制（Mandatory Access Control，MAC）和基于角色的访问控制（Role-Based Access Control，RBAC）。

1.3.6 OSI安全服务的分层配置

安全服务可以通过不同层的安全机制来实现，ISO 7498—2的另一个贡献是把这几种服务映射到OSI的七层模型当中。根据OSI七层模型与TCP/IP参考模型的对应关系，我们可以给出表1.1的映射关系。