信息安全理论与技术

信息安全理论与技术王庆先，副教授电子科技大学计算机学院·软件学院1教材及参考资料教材：计算机系统安全(第二版)，曹天杰等.高等教育出版社,2007.11.参考教材1：《计算机信息安全技术》，步山岳，张有东.高等教育出版社，2005.9.参考教材2：MaoWenbo，ModernCryptography:TheoryandPractice

，电子工业出版社，2004.参考教材3：信息安全理论与技术.杨义先等.邮电出版社，2003.9.2联系方式电话：66886122邮箱：办公地点：211-11-073第一讲信息安全概况4理解安全与不安全概念讨论：举例说明什么是不安全？案例1不知你遇到过这种事情没有？上网正在兴头上时，突然IE窗口不停地打开，最后直到资源耗尽死机？案例2前几天,我的一位同事的QQ被盗在淘宝网上拍卖了150元钱，最后同事费尽周折，利用密码保护才要回了自己心爱的QQ号。5讨论：举例说明什么是不安全？案例3某一天下着大雨，突然“霹雳”一声，微机室的靠窗户的一排电脑突然全部断线了，经查是连接那排电脑的一台交换机被击坏了。(意外事故)...6讨论：举例说明什么是不安全？案例4从去年底到今年初，中国银行、工商银行、农业银行的网站先后在互联网上被克隆，这些似是而非的假银行网站极具欺骗性呼和浩特市的一位市民，因登陆了假的中国银行网站，卡里的2.5万元不翼而飞。（计算机犯罪问题）7讨论：举例说明什么是不安全？案例52005年2月22日，年后上班的第一天，老高遭到多个同事的"攻击"，大家纷纷"责怪"给她发春节祝福短信却石沉大海。原来老高收到一条看似平常的信息，当她打开这条短信时，手机就开始不停地试图连接网络，而且无法终止，只能关机。（手机病毒问题）8理解安全与不安全概念安全：没有危险；不受威胁；不出事故9中国互联网络发展状况统计报告截至2008年12月31日，中国网民规模达到2.98亿人，普及率达到22.6%，超过全球平均水平；网民规模较2007年增长8800万人，年增长率为41.9%。中国网民规模依然保持快速增长之势。宽带网民规模达到2.7亿人，占网民总体的90.6%。手机上网网民规模达到11760万人，较2007年增长了133%。农村网民规模增长迅速，网民规模达到8460万人，较2007年增长60.8%，增速远远超过城镇（35.6%）。10典型案例－病病毒与网络蠕蠕虫1986年初初在巴基斯坦坦，巴锡特(Basit）和阿姆杰杰德(Amjad）两兄兄弟编写的Pakistan病毒（（即Brain）1988年11月，美国国康奈尔大学学的学生Morris编编制的名为蠕蠕虫计算机病病毒，造成经经济损失约1亿美元美丽杀手1999年，，经济损失失超过12亿亿美元!爱虫病毒2000年5月，损失超超过100亿亿美元以上红色代码2001年7月，直接接经济损失超超过26亿美美元2001年9月，尼姆姆达蠕虫，约约5.9亿美美元的损失2003年1月25日，，“2003蠕虫王”，，对网络上上的SQL数数据库攻击2003年8月12日““冲击波”爆爆发11典型案例－计计算机犯罪冒名发送电子子邮件侵权案案1996年7月9日，北北京市海淀区区法院。原告告：北大心理理学系93级级研究生薛薛燕戈。被告告：同班、、同寝室、同同乡张男。4月9日1.8万美元全全奖/4月12日10:16冒名邮邮件。经调解解赔偿精神与与经济损失12000元元。结局：薛薛燕戈赴赴美成行（密密执安大学））。张男““梦断北北京”（丹佛佛大学）12典型案例－计计算机犯罪1998年6月24日上上海证卷交易易所某营业部部发现有人委委托交易1亿亿股上海建工工股票，却找找不到营业部部有任何人委委托此笔交易易，当即撤消消此笔交易，，但是已经成成交2100股，损失2.6亿元1998年9月21日晚晚，郝景文（（扬州市工商商行职员），，通过假冒终终端在11分分钟内向16个活期帐户户充值72万万元。随后恢恢复线路的正正常连接，并并在1小时内内从8个储蓄蓄所提取26万元，心虚虚逃窜，现已已缉拿归案，，判处死刑。。13从2004年年10月起，，北京一家音音乐网站连续续3个月遭到到一个控制超超过6万台电电脑的“僵尸尸网络”的““拒绝服务””攻击，造成成经济损失达达700余万万元。“僵尸网络””，又称“波波特网”，是是英语单词““BOTNET”的翻译译语，国际上上通常将集中中控制的、数数量庞大的受受害电脑群称称为“BOTNET”。。徐某，仅是个个技校毕业生生，而且所学学专业还是车车工。最初接接触电脑是在在1995年年。典型案例－计计算机犯罪142007年病病毒排行之首首熊猫烧香15典型案例－网网络欺诈16INTERNET技术2008年全全国信息网络络安全状况与与计算机病毒毒疫情调查分分析报告公安部十一局局2008年10月17计算机病毒疫疫情调查活动动简介今年5月，公公安部公共信信息网络安全全监察局举办办了2008年度信息网网络安全状况况与计算机病病毒疫情调查查活动。调查查内容为2007年5月月至2008年5月我国国联网单位发发生网络安全全事件以及计计算机用户感感染病毒情况况，活动采用用网上在线调调查形式，在在国家计算机机病毒应急处处理中心、国国家反计算机机入侵和防病病毒研究中心心、新浪网三三家网站开设设了在线调查查栏目，各省省区市公安厅厅、局公共信信息网络安全全监察部门组组织本地重要要信息系统管管理和使用单单位、互联网网服务单位参参加了网上调调查。18信息网络安全全状况调查结结果调查结果显示示，我国信息息网络安全事事件发生比例例继前3年连连续增长后，，今年略有下下降，信息网络安全全事件发生比比例为62.7%，比去去年下降了3％；计算机机病毒感染率率也出现下降降，为85.5％，比去去年减少了6％。奥运期间，全全国互联网安安全状况基本本平稳，未出出现重大网络络安全事件。。19一、信息网络络安全状况调调查20(一)信息网络使用用情况21(二)网络安全事件件情况2007年5月至2008年5月，，62.7%的被调查单单位发生过信信息网络安全全事件，比去去年减少3%。感染计算算机病毒、蠕蠕虫和木马程程序的情况依依然最为突出出，其次是网网络攻击、端端口扫描、垃垃圾邮件和网网页篡改。22(二)网络安全事件件情况在发生的安全全事件中，攻攻击或传播源源涉及内部人人员的达到54%，比去去年激增了15％；涉及及外部人员的的却锐减了18％。网络络（系统）管管理员通过技技术监测发现现网络安全事事件的占66.28%，，比去年增加加了约13％％，成为主要要发现手段，，说明网络（（系统）管理理员安全技术术水平有所提提高。未修补补或防范软件件漏洞仍然是是导致安全事事件发生的最最主要原因（（54.63%）,比去去年上升5％％。23（三）网络安安全管理情况况24二、计算机病病毒疫情调查查分析25（一）我国计计算机用户病病毒感染情况况26（二）计算机机病毒造成的的损失情况27（三）我国计计算机病毒传传播的主要途途径28（四）我国最最流行的十种种计算机病毒毒时间排名2001,52002,52003,52004，52005，52006，62007，62008，61CIHExploitRedlofNetskyTrojan.PSW.LMirTrojan.DL.Agent（木马代理）Trojan.DL.Agent（木马代理）Gamepass（网游大盗）2FunloveNimdaSpageRedlofQqpassPhel（下载助手）Gamepass（网游大盗）AutoRun3BingheBingheNimdaHomepageNetskyGpigeon（灰鸽子）ANI/RIFF（艾妮）JS.Agent4W.markerJS.SeekerTrojan.QQKiller6.8.serUnknownmailBlasterexploitLmir/Lemir（传奇木马）熊猫烧香Delf（德芙）5MTXHappytimeKlezLovegateGaobotQQHelper（QQ助手）Mnless（梅勒斯）KillAV（AV终结者）6Troj.eraseFunloveFunloveFunloveMhtexploitDelf（德芙）Delf（德芙）Gpigeon（灰鸽子）7BOKlezJS.AppletAcxhtadropperRedlofSDBotGpigeon（灰鸽子）Small及其变种8YAICIHMail.virusWebimportBackDoor.RbotStartPageSmall及其变种JS.RealPlr9WyxGopScript.exploit.htm.pageactiveXComponentBeagleLovgate（爱之门）Qqpass（QQ木马）JS.Psyme10Troj.gdoorTthiefHack.crack.foxmailWyxLovegateQqpass（QQ木马）Lmir/Lemir（传奇木马）HTML.IFrame29安全的关注点点通信保密计算机安全网络安全信息保障30安全的概念“安全”一词词是指将服务务与资源的脆脆弱性降到最最低限度。脆脆弱性是指计计算机系统的的任何弱点。。国际标准化组组织（ISO）对计算机机系统安全的的定义是：为为数据处理系系统建立和采采用的技术和和管理的安全全保护，保护护计算机硬件件、软件和数数据不因偶然然和恶意的原原因遭到破坏坏、更改和泄泄露。计算机的硬件件、软件和数数据受到保护护，不因偶然然和恶意的原原因而遭到破破坏、更改和和泄露，系统统连续正常运运行。31安全需求可靠性可用性保密性完整性不可抵赖性32可靠性（Reliability)指信息系统能能够在规定条条件下和规定定的时间内完完成规定的功功能的特性。。度量指标：：抗毁性指系统在人为为破坏下的可可靠性生存性随机破坏下系系统的可靠性性有效性是基于业务性性能的可靠性性33可用性（Availability)指信息可被授授权实体访问问并按需求使使用的特性，，是系统面向向用户的安全全性能。一般般用系统正常常使用时间和和整个工作时时间之比来度度量。34机密性(Confidentiality)指信息不被泄泄露给非授权权的用户、实实体或过程，，或供其利用用的特性。机机密性是在可可靠性和可用用性基础上，，保障信息安安全的重要手手段。35完整性(Integrity)指网络信息未未经授权不能能进行改变的的特性，即信信息在存储或或传输过程中中保持不被偶偶然或蓄意地地删除、修改改、伪造、乱乱序、重放、、插入等破坏坏和丢失的特特性。36不可抵赖性(Non-repudiation)指在信息交互互过程中，确确信参与者的的真实同一性性，即所有参参与者都不可可能否认或抵抵赖曾经完成成的操作和承承诺。37其他安全需求求可控性可审查性认证访问控制…不同的系统关关注不同的需需求（即不同同的安全属性性），如用户户关注隐私，，网警关注可可控；有的系系统要求不可可否认（电子子交易），有有的要求可否否认（匿名BBS）。38计算机系统安安全涉及的内内容物理安全：环境安全、设设备安全、媒媒体安全运行安全：风险分析、审审计跟踪、备备份与恢复、、应急响应信息安全：操作系统安全全、数据库安安全、网络安安全、病毒防防护、访问控控制、加密与与鉴别39安全问题时间高级入侵者发现新漏洞原始的探询漏洞的工具被分发初级入侵者使使用原始工具开发出自动的的扫描/探询工具自动扫描/探询工具被广泛使用用入侵者开始使使用新的探询工具具系统弱点40安全问题(续续)41安全问题(续续)3.配置中中的问题默认的用户名名、口令和开开放的服务端端口。由于维维护人员没有有审核这些设设置、限制这这些用户的权权限、更改默默认的口令，，以及关闭不不必要的服务务端口等，往往往会被攻击击者利用，造造成网络瘫痪痪或机密被窃窃取。4.管理中中的问题网络系统的严严格管理是企企业、机构及及用户免受攻攻击的重要保保障。计算机机安全很大程程度上取决于于优秀的管理理人员，任何何安全产品和和安全设施都都需要管理人人员的维护、、跟踪和审核核。42安全问题的表表现形式病毒（包括蠕蠕虫）的扩散散垃圾邮件的泛泛滥网页数据的篡篡改不良信息的传传播黒客行为计算机犯罪……43安全威胁安全威胁对安全的潜在在的侵害攻击威胁的实施安全策略允许什么，不不允许什么的的陈述安全机制实现安全策略略的方法，工工具，过程44安全威胁安全威胁的种种类主要表现：信信息泄露、拒拒绝服务、信信息破坏。威胁来自多个个方面。自然然和人为两类类。自然因素包括括各种自然灾灾害人为因素又有有无意和故意意之分。45安全威胁(续续)（1）从威胁胁的来源看可可分为内部威威胁和外部威威胁。（2）从攻击击者的行为上上看可以分成成主动威胁和和被动威胁（3）从威胁胁的动机上看看分为偶发性性威胁与故意意性威胁46威胁的表现形形式（1）假冒（2）未授权权访问（3）拒绝服服务（DoS）（4）否认（（抵赖）（5）窃听（6）篡改（7）复制与与重放（重演演）47威胁的表现形形式(续)（8）业务流流量、流向分分析（9）隐蔽信信道（10）人为为失误（11）自然然灾害与人为为破坏（12）逻辑辑炸弹（13）后门门（陷门）（14）恶意意代码（15）不良良信息48863计划信息技术领域域是“十五””期间国家高高技术研究发发展计划（863计划））的重点领域域之一。根据国家的需需求和信息领领域科技发展展的趋势，信信息技术领域域设立了四个个主题：计算机软硬件件技术主题通信技术主题题信息获取与处处理技术主题题信息安全技术术主题49863计划划（续续）信息安安全技技术主主题的的主要要目标标是通过过对信信息安安全基基础、、核心心和关关键技技术的的研究究攻关关以及及对急急需的的信息息安全全产品品和系系统的的研究究开发发，为为我国国信息息化建建设的的安全全保障障体系系提供供关键键核心心技术术和平平台，，增强强对国国家信信息基基础设设施和和重点点信息息资源源的安安全保保障能能力，，基本本满足足国家家和重重要部部门的的信息息安全全需求求。促进与与信息息安全全相关关的技技术标标准体体系和和具有有自主主知识识产权权的、、具有有创新新实力力的信信息安安全科科研与与产业业体系系的形形成，，显著著提高高我国国信息息安全全的综综合保保障能能力，，推动动我国国信息息化建建设的的健康康发展展。50863计划划（续续）信息安安全技技术主主题主主要研研究信息安安全核核心、、关键键和共共性技技术，，以形形成自自主的的信息息安全全防护护能力力、隐隐患发发现能能力、、应急急反应应能力力以及及信息息对抗抗能力力，为为建立立国家家信息息安全全保障障体系系提供供技术术支撑撑。51信息安安全国国家重重点实实验室室(SKLOIS)开放放课题题信息安安全国国家重重点实实验室室专题一一密密码与与编码码理论论01-01公公钥密密码01-02分分组密密码01-03序序列密密码01-04认认证码码01-05混混沌密密码01-06量量子编编码与与量子子密码码52信息安安全国国家重重点实实验室室(SKLOIS)开放放课题题（续续）专题二二安安全协协议理理论与与技术术研究究02-01数数字签签名和和身份份识别别协议议02-02密密钥管管理协协议02-03非非否认认协议议02-04电电子商商务协协议02-05协协议的的形式式化分分析与与验证证技术术02-06多多方安安全计计算协协议53信息安安全国国家重重点实实验室室(SKLOIS)开放放课题题（续续）专题三三信信息隐隐藏理理论与与技术术研究究03-01图图像隐隐藏03-02数数字水水印03-03潜潜信道道理论论03-04数数字版版权保保护技技术54信息安安全国国家重重点实实验室室(SKLOIS)开放放课题题（续续）专题四四信信息对对抗理理论与与技术术研究究04-01系系统安安全性性评估估与系系统隐隐患检检测04-02入入侵检检测与与安全全监控控04-03网网络与与系统统攻击击技术术04-04应应急响响应和和事故故恢复复技术术04-05信信息伪伪装技技术04-06恶恶意代代码分分析技技术55信息安安全国国家重重点实实验室室(SKLOIS)开放放课题题（续续）专题五五网网络与与信息息系统统安全全研究究05-01网网络与与信息息系统统安全全体系系结构构05-02无无线网网络安安全05-03操操作系系统安安全05-04数数据库库安全全05-05PMI/PKI技术术05-06信信息安安全发发展战战略56提出未未来5～15年年以下下15个领领域发发展的的重点点技术术。（九））网络络和信信息安安全技技术重重点点发展展安全全处理理芯片片和系系统级级芯片片、安安全操操作系系统、、安全全数据据库、、信息息隐藏藏、身身份认认证、、安全全隔离离、信信息内内容安安全、、入侵侵检测测、网网络容容灾、、病毒毒防范范等产产品。。重点技技术：：———密码码技术术———安安全处处理芯芯片技技术————电子子认证证、责责任认认定、、授权权管理理技术术———计计算环环境和和终端端安全全处理理技术术———网网络和和通信信边界界安全全技术术———应应急响响应和和灾难难恢复复技术术———信信息安安全测测评技技术信息产产业科科技发发展““十一一五””规划划和2020年年中长长期规规划纲纲要57四、我我国信信息化化发展展的战战略重重点建设国国家信信息安安全保保障体体系《2006━2020年年国家家信息息化发发展战战略》》《2006━2020年年国家家信息息化发发展战战略》》信息安安全问问题仍仍比较较突出出。在在全球球范围围内，，计算算机病病毒、、网络络攻击击、垃垃圾邮邮件、、系统统漏洞洞、网网络窃窃密、、虚假假有害害信息息和网网络违违法犯犯罪等等问题题日渐渐突出出，如如应对对不当当，可可能会会给我我国经经济社社会发发展和和国家家安全全带来来不利利影响响。58安全模模型安全具具有相相对性性。（基基于假假设的的安全全，即即有条条件的的安全全，没没有绝绝对的的安全全）安全具具有动动态性性。（今今天是是安全全的，，明天天不一一定安安全安全具具有整整体性性。（包包括了了物理理层、、网络络层、、系统统层、、应用用层以以及管管理层层等5个方方面））591、P2DR安安全模模型美国国国际互互联网网安全全系统统公司司（ISS）认认为没没有一一种技技术可可完全全消除除网络络中的的安全全漏洞洞。系系统的的安全全实际际上是是理想想中的的安全全策略略和实实际的的执行行之间间的一一个平平衡，，提出出了一一个可可适应应网络络安全全模型型ANSM(AdaptiveNetworkSecurityModel)———P2DR安安全模模型60P2DR安安全模模型安全=风险险分析析+执执行策策略+系统统实施施+漏漏洞检检测+实时时响应应61P2DR安安全模模型（1））策略略（Policy））安全策策略是是P2DR安安全模模型的的核心心，所所有的的防护护、检检测、、响应应都是是依据据安全全策略略实施施的，，安全全策略略为安安全管管理提提供管管理方方向和和支持持手段段。策策略体体系的的建立立包括括安全全策略略的制制订、、评估估、执执行等等。制制订可可行的的安全全策略略取决决于对对网络络信息息系统统的了了解程程度。。安全应应该达达到什什么样样的强强度、、应保保护哪哪些资资源、、应花花费多多大代代价、、应采采取什什么措措施等等都是是由安安全策策略决决定的的。不不同的的国家家和单单位针针对不不同的的应用用都应应制定定相应应的安安全策策略。。如，，什么么级别别的信信息应应该采采取什什么保保护强强度、、针对对不同同级别别的风风险能能承受受什么么样的的代价价等问问题都都应该该制定定策略略。62P2DR安安全模模型（2））保护护（Protection)保护就就是采采用一一切手手段保保护信信息系系统的的保密密性、、完整整性、、可用用性、、可控控性和和不可可否认认性。。应该该依据据不同同等级级的系系统安安全要要求来来完善善系统统的安安全功功能、、安全全机制制。63P2DR安安全模模型（3））检测测（Detection）检测是是动态态响应应和加加强防防护的的依据据，是是强制制落实实安全全策略略的工工具，，通过过不断断地检检测和和监控控网络络和系系统，，来发发现新新的威威胁和和弱点点，通通过循循环反反馈来来及时时作出出有效效的响响应。。（4）响响应（Response）在检测到到安全漏漏洞之后后必须及及时做出出正确的的响应，，从而把把系统调调整到安安全状态态；对于于危及安安全的事事件、行行为、过过程，及及时做出出处理，，杜绝危危害进一一步扩大大，使系系统力求求提供正正常的服服务。例例如关闭闭受到攻攻击的服服务器。。64PDRR安全模模型美国国防防部提出出了“信信息安全全保障体体系”，，其重重要内容容包括：：概括了网网络安全全的整个个环节，，即保护护（Protect））、检测测（Detect）、、响应（（React））、恢复复（Restore））；65PDRR安全模模型（续续）PDRR模型引引入了时时间概念念Pt>Dt+Rt即，在入入侵者危危害安全全目标之之前就能能够被检检测到并并及时处处理。坚固的防防护系统统与快速速的反应应结合起起来就是是真正的的安全。。66PDRR安全模模型(续续)提出了人人、政策策（包括括法律、、法规、、制度、、管理））和技术术三大要要素；归纳了网网络安全全的主要要内涵，，即鉴别别、保密密、完整整性、可可用性、、不可抵抵赖性、、责任可可核查性性和可恢恢复性；；提出了信信息安全全的几个个重点领领域，即即关键基基础设施施的网络络安全（（包括电电信、油油气管网网、交通通、供水水、金融融等）、、内容的的信息安安全（包包括反病病毒、电电子信箱箱安全和和有害内内容过滤滤等）和和电子商商务的信信息安全全；认为密码码理论和和技术是是核心，，安全协协议是桥桥梁，安安全体系系结构是是基础，，安全的的芯片是是关键，，监控管管理是保保障，攻攻击和评评测的理理论和实实践是考考验。67安全体系系结构一个信息息系统安安全体系系结构的的形成主主要是根根据这个个信息系系统的安安全策略略，是安安全策略略细化的的总结。。安全体系系结构的的内容包包括：提提供安全全服务与与有关安安全机制制在本系系统下的的一般描描述，这这些服务务和机制制必须为为本系统统所配备备；确定定本系统统内部可可以提供供这些服服务的位位置。68安全体系结结构69OSI安全全体系结构构OSI/ISO7498-2网络安全全体系结构构（OSI开放系统统互连基本本安全参考考模型）如何设计标标准的参考考标准，不不是能实现现的标准给出了部分分术语的正正式定义安全服务安全机制OSI体系系结构中服服务的配置置应用层表示层会话层传输层网络层数据链路层物理层765432170安全策略安全策略都都建立在授授权的基础础之上。在在安全策略略中包含有有对“什么么构成授权权”的说明明。在一般般性的安全全策略中可可能写有““未经适当当授权的实实体，信息息不可以给给予、不被被访问、不不允许引用用、任何资资源也不得得为其所用用”。基于身份的的安全策略略的基础是是用户的身身份和属性性以及被访访问的资源源或客体的的身份和属属性。基于规则的的安全策略略的基础是是强加于全全体用户的的总安全策策略。在一一个安全系系统中，数数据或资源源应该标注注安全标记记。代表用用户进行活活动的进程程可以得到到与其原发发者相应的的安全标记记。基于角色的的安全策略略为每个个个体分配角角色，按角角色分配许许可。71安全服务在计算机网网络中，主主要的安全全防护措施施被称作安安全服务。。网络通信信中目前主主要有五种种安全服务务认证服务：：提供实实体的身份份的保证访问问控控制制服服务务：：防防止止对对资资源源的的非非授授权权使使用用机密密性性服服务务：：对对数数据据提提供供保保护护使使之之不不被被非非授授权权地地泄泄露露完整整性性服服务务：：保保护护数数据据防防止止未未授授权权的的改改变变、、删删除除或或替替代代非否否认认服服务务：：提提供供凭凭证证，，防防止止发发送送者者否否认认或或接接收收者者抵抵赖赖已已接接收收到到相相关关的的信信息息72安全全服服务务实现现安安全全服服务务的的非非电电子子机机制制的的实实例例认证证服服务务：：身身份份证证访问问控控制制服服务务：：钥钥匙匙机密密性性服服务务：：密密封封的的信信件件完整整性性服服务务：：激激光光防防伪伪的的全全息息照照片片非否否认认服服务务：：公公证证，，挂挂号号信信的的登登记记与与签签名名73安全全服服务务用于于对对付付典典型型安安全全威威胁胁的的安安全全服服务务假冒冒攻攻击击：：认认证证服服务务授权权侵侵犯犯：：访访问问控控制制服服务务窃听听攻攻击击：：机机密密性性服服务务完整整性性破破坏坏：：完完整整性性服服务务服务务的的否否认认：：非非否否认认服服务务拒绝绝服服务务：：认认证证服服务务，，访访问问控控制制服服务务，，完完整整性性服服务务741.认认证证服服务务同等等实实体体认认证证服服务务：：提提供供对对通通信信对对等等实实体体或或数数据据源源的的认认证证。。是是访访问问控控制制中中授授权权的的依依据据。。数据据起起源源认认证证：：对对来来源源提提供供确确认认。。安全全服服务务752.访访问问控控制制服服务务对系系统统的的资资源源提提供供保保护护，，防防止止未未授授权权者者利利用用。。它它与与认认证证服服务务密密切切相相关关，，对对请请求求访访问问者者必必须须经经过过认认证证后后才才授授权权访访问问系系统统。。安全服务763.机密性性保护机密信息息不被未授权权个人、实体体或过程解读读和使用。连接机密服务务无连接机密服服务选择字段机密密服务业务流机密服服务安全服务774.数据完完整性服务保护信息不被被未授权改变变或破坏有恢复的连接接完整性服务务无恢复的连接接完整性服务务选择字段连接接完整性服务务无连接完整性性服务，选择字段无连连接完整性服服务安全服务785.非否认认服务用来防止参与与通信的实体体在事后否认认曾参与全部部或部分通信信。有数据源发证证明的不可否否认有交付证明的的不可否认安全服务79实现以上安全全服务的安全全机制主要包包括：加密机制数字签名机制制访问控制机制制：对主体的身份份和有关主体体的信息进行行认证，决定定对其授权，，防止非法访访问和利用系系统资源，对对入侵进行告告警，审计和和追踪。安全机制80数据完整性机机制顺序检测、序序列号、时戳戳、密码检验验和等。认证交换机制制证实主体身份份，X.509中采用密