安全防範和安全機制是密切聯繫的,因安全機制或安全機制組合是給出防範措施的。一種機制也可應用在一種或多種的安全防範。

1.安全防範。

有5種安全防範和安全目標的攻擊有關,這些防範措施可根據攻擊方式來設計。

①信息的機密性。

信息的機密性在於保護信息兔於被暴露攻擊。含信息的整體與部分的機密性,也有信息免了進行流量分析,即它可保護信息不被竊聽和流量分析。

②信息的完整性。

信息的完整性就是保護信息不受惡意方篡改、插入、刪除與重放。它可保護信息的整體與部分。

③身份認證。

安全防範能進行遠在另一端的實體身份認證,即對發送方或接收方進行身份認證。

④不可否認性。

不可否認性是為了保護信息不被信息發送方或接收方否認。在有源證據的不可否認性中,若信息的發送方否認,接收方過後可檢驗其身份。在有交接證據的不可否認性中,信息的發送者過後能檢測發給預定接收方的信息。

⑤訪問控制。

訪問控制在於保護信息不被沒有經授權的實體訪問。訪問的含義是特別寬泛的,含對程序的讀、寫、修改與執行等。

2.安全機制

安全防範的安全機制如下。

①加密。隱藏明文信息,使其有機密性。

②信息的完整性。即附加一個信息摘要值,它是信息本身的Hash值。接收方接收信息與該值。再在接收的信息中創建一個新的Hash值,然後比較新創建的值和原來的值。若兩個鍵值是一致的,則標識信息是完整的。

③數字簽名。信息發送方可對信息進行電子簽名,信息接收方可對簽名進行電子認證,包括發送方發佈公鑰加密該信息摘要值。接收方用該公鑰解密該信息的摘要值,從而證明信息就是由發送方基於該信息簽名的。

④身份認證交換。2個實體交換信息來證明雙方的身份。如一方實體可證明他分析的秘密。

⑤流量填充。即在數據流中嵌入一些假的信息,用來阻擾對手流量分析。

⑥路由控制。即在發送方與接收方間不停地變換有效路由,來防止對手在特定的路由上偷聽。

⑦公證。即選一個雙方都依靠的第三方,控制雙方的通信不被否認。為防止發送方過後不承認之前提過的請求,接收方可顺利获得第三方保存發送方的請求。

⑥訪問控制。即用各種方法,證明用戶有訪問該信息或系統資源擁有的權利。密碼和VPN即是這方面的例子。