8.2.2 安全服务

安全服务包括对等实体认证服务、访问控制服务、数据保密服务、数据完整性服务、数据源点认证服务、禁止否认服务和犯罪证据提供服务等。

• （1）对等实体认证服务。用于两个开放系统同等层中的实体建立链接或数据传输时，对对方实体的合法性、真实性进行确认，以防假冒。
• （2）访问控制服务。访问控制是指通信双方应该能够对通信的过程、通信的内容具有不同强度的控制能力，其目的在于保护信息免于被未经授权的实体访问，这是有效和高效通信的保障。其中，访问的含义较为宽泛，对程序的读、写、修改、执行等都属于访问的范畴。访问控制可分为自主访问控制、强制访问控制、基于角色的访问控制。实现机制可以是基于访问控制属性的访问控制表、基于安全标签或用户和资源分档的多级访问控制等。
• （3）数据保密服务。包括多种保密服务，为了防止网络中各系统之间的数据被截获或被非法存取而泄密，提供密码加密保护。数据保密服务可提供链接方式和无链接方式两种数据保密，同时也可对用户可选字段的数据进行保护。
• （4）数据完整性服务。用以防止非法实体对交换数据的修改、插入、删除以及在数据交换过程中的数据丢失。数据完整性服务可分为：
• · 带恢复功能的链接方式数据完整性；
• · 不带恢复功能的链接方式数据完整性；
• · 选择字段链接方式数据完整性；
• · 选择字段无链接方式数据完整性；
• · 无链接方式数据完整性。
• （5）数据源点认证服务。用于确保数据发自真正的源点，防止假冒。
• （6）禁止否认服务。用以防止发送方在发送数据后否认自己发送过此数据，接收方在收到数据后否认自己收到过此数据或伪造接收数据，由两种服务组成，即不得否认发送和不得否认接收。
• （7）犯罪证据提供服务。指为违反国内外法律法规的行为或活动提供各类数字证据、信息线索等。