信息安全理论与技术

信息安全理论与技术王庆先，副教授电子科技大学计算机学院·软件学院1教材及参考资料教材：计算机系统安全(第二版)，曹天杰等.高等教育出版社,2007.11.参考教材1：《计算机信息安全技术》，步山岳，张有东.高等教育出版社，2005.9.参考教材2：MaoWenbo，ModernCryptography:TheoryandPractice

，电子工业出版社，2004.参考教材3：信息安全理论与技术.杨义先等.邮电出版社，2003.9.2联系方式电话：66886122邮箱：办公地点：211-11-073第一讲信息安全概况4理解安全与不安全概念讨论：举例说明什么是不安全？案例1不知你遇到过这种事情没有？上网正在兴头上时，突然IE窗口不停地打开，最后直到资源耗尽死机？案例2前几天,我的一位同事的QQ被盗在淘宝网上拍卖了150元钱，最后同事费尽周折，利用密码保护才要回了自己心爱的QQ号。5讨论：举例说明什么是不安全？案例3某一天下着大雨，突然“霹雳”一声，微机室的靠窗户的一排电脑突然全部断线了，经查是连接那排电脑的一台交换机被击坏了。(意外事故)...6讨论：举例说明什么是不安全？案例4从去年底到今年初，中国银行、工商银行、农业银行的网站先后在互联网上被克隆，这些似是而非的假银行网站极具欺骗性呼和浩特市的一位市民，因登陆了假的中国银行网站，卡里的2.5万元不翼而飞。（计算机犯罪问题）7讨论：举例说明什么是不安全？案例52005年2月22日，年后上班的第一天，老高遭到多个同事的"攻击"，大家纷纷"责怪"给她发春节祝福短信却石沉大海。原来老高收到一条看似平常的信息，当她打开这条短信时，手机就开始不停地试图连接网络，而且无法终止，只能关机。（手机病毒问题）8理解安全与不安全概念安全：没有危险；不受威胁；不出事故9中国互联网络发展状况统计报告截至2008年12月31日，中国网民规模达到2.98亿人，普及率达到22.6%，超过全球平均水平；网民规模较2007年增长8800万人，年增长率为41.9%。中国网民规模依然保持快速增长之势。宽带网民规模达到2.7亿人，占网民总体的90.6%。手机上网网民规模达到11760万人，较2007年增长了133%。农村网民规模增长迅速，网民规模达到8460万人，较2007年增长60.8%，增速远远超过城镇（35.6%）。10典型案例－病病毒与网络蠕蠕虫1986年初初在巴基斯坦坦，巴锡特(Basit）和阿姆杰杰德(Amjad）两兄兄弟编写的Pakistan病毒（（即Brain）1988年11月，美国国康奈尔大学学的学生Morris编编制的名为蠕蠕虫计算机病病毒，造成经经济损失约1亿美元美丽杀手1999年，，经济损失失超过12亿亿美元!爱虫病毒2000年5月，损失超超过100亿亿美元以上红色代码2001年7月，直接接经济损失超超过26亿美美元2001年9月，尼姆姆达蠕虫，约约5.9亿美美元的损失2003年1月25日，，“2003蠕虫王”，，对网络上上的SQL数数据库攻击2003年8月12日““冲击波”爆爆发11典型案例－计计算机犯罪冒名发送电子子邮件侵权案案1996年7月9日，北北京市海淀区区法院。原告告：北大心理理学系93级级研究生薛薛燕戈。被告告：同班、、同寝室、同同乡张男。4月9日1.8万美元全全奖/4月12日10:16冒名邮邮件。经调解解赔偿精神与与经济损失12000元元。结局：薛薛燕戈赴赴美成行（密密执安大学））。张男““梦断北北京”（丹佛佛大学）12典型案例－计计算机犯罪1998年6月24日上上海证卷交易易所某营业部部发现有人委委托交易1亿亿股上海建工工股票，却找找不到营业部部有任何人委委托此笔交易易，当即撤消消此笔交易，，但是已经成成交2100股，损失2.6亿元1998年9月21日晚晚，郝景文（（扬州市工商商行职员），，通过假冒终终端在11分分钟内向16个活期帐户户充值72万万元。随后恢恢复线路的正正常连接，并并在1小时内内从8个储蓄蓄所提取26万元，心虚虚逃窜，现已已缉拿归案，，判处死刑。。13从2004年年10月起，，北京一家音音乐网站连续续3个月遭到到一个控制超超过6万台电电脑的“僵尸尸网络”的““拒绝服务””攻击，造成成经济损失达达700余万万元。“僵尸网络””，又称“波波特网”，是是英语单词““BOTNET”的翻译译语，国际上上通常将集中中控制的、数数量庞大的受受害电脑群称称为“BOTNET”。。徐某，仅是个个技校毕业生生，而且所学学专业还是车车工。最初接接触电脑是在在1995年年。典型案例－计计算机犯罪142007年病病毒排行之首首熊猫烧香15典型案例－网网络欺诈16INTERNET技术2008年全全国信息网络络安全状况与与计算机病毒毒疫情调查分分析报告公安部十一局局2008年10月17计算机病毒疫疫情调查活动动简介今年5月，公公安部公共信信息网络安全全监察局举办办了2008年度信息网网络安全状况况与计算机病病毒疫情调查查活动。调查查内容为2007年5月月至2008年5月我国国联网单位发发生网络安全全事件以及计计算机用户感感染病毒情况况，活动采用用网上在线调调查形式，在在国家计算机机病毒应急处处理中心、国国家反计算机机入侵和防病病毒研究中心心、新浪网三三家网站开设设了在线调查查栏目，各省省区市公安厅厅、局公共信信息网络安全全监察部门组组织本地重要要信息系统管管理和使用单单位、互联网网服务单位参参加了网上调调查。18信息网络安全全状况调查结结果调查结果显示示，我国信息息网络安全事事件发生比例例继前3年连连续增长后，，今年略有下下降，信息网络安全全事件发生比比例为62.7%，比去去年下降了3％；计算机机病毒感染率率也出现下降降，为85.5％，比去去年减少了6％。奥运期间，全全国互联网安安全状况基本本平稳，未出出现重大网络络安全事件。。19一、信息网络络安全状况调调查20(一)信息网络使用用情况21(二)网络安全事件件情况2007年5月至2008年5月，，62.7%的被调查单单位发生过信信息网络安全全事件，比去去年减少3%。感染计算算机病毒、蠕蠕虫和木马程程序的情况依依然最为突出出，其次是网网络攻击、端端口扫描、垃垃圾邮件和网网页篡改。22(二)网络安全事件件情况在发生的安全全事件中，攻攻击或传播源源涉及内部人人员的达到54%，比去去年激增了15％；涉及及外部人员的的却锐减了18％。网络络（系统）管管理员通过技技术监测发现现网络安全事事件的占66.28%，，比去年增加加了约13％％，成为主要要发现手段，，说明网络（（系统）管理理员安全技术术水平有所提提高。未修补补或防范软件件漏洞仍然是是导致安全事事件发生的最最主要原因（（54.63%）,比去去年上升5％％。23（三）网络安安全管理情况况24二、计算机病病毒疫情调查查分析25（一）我国计计算机用户病病毒感染情况况26（二）计算机机病毒造成的的损失情况27（三）我国计计算机病毒传传播的主要途途径28（四）我国最最流行的十种种计算机病毒毒时间排名2001,52002,52003,52004，52005，52006，62007，62008，61CIHExploitRedlofNetskyTrojan.PSW.LMirTrojan.DL.Agent（木马代理）Trojan.DL.Agent（木马代理）Gamepass（网游大盗）2FunloveNimdaSpageRedlofQqpassPhel（下载助手）Gamepass（网游大盗）AutoRun3BingheBingheNimdaHomepageNetskyGpigeon（灰鸽子）ANI/RIFF（艾妮）JS.Agent4W.markerJS.SeekerTrojan.QQKiller6.8.serUnknownmailBlasterexploitLmir/Lemir（传奇木马）熊猫烧香Delf（德芙）5MTXHappytimeKlezLovegateGaobotQQHelper（QQ助手）Mnless（梅勒斯）KillAV（AV终结者）6Troj.eraseFunloveFunloveFunloveMhtexploitDelf（德芙）Delf（德芙）Gpigeon（灰鸽子）7BOKlezJS.AppletAcxhtadropperRedlofSDBotGpigeon（灰鸽子）Small及其变种8YAICIHMail.virusWebimportBackDoor.RbotStartPageSmall及其变种JS.RealPlr9WyxGopScript.exploit.htm.pageactiveXComponentBeagleLovgate（爱之门）Qqpass（QQ木马）JS.Psyme10Troj.gdoorTthiefHack.crack.foxmailWyxLovegateQqpass（QQ木马）Lmir/Lemir（传奇木马）HTML.IFrame29安全的关注点点通信保密计算机安全网络安全信息保障30安全的概念“安全”一词词是指将服务务与资源的脆脆弱性降到最最低限度。脆脆弱性是指计计算机系统的的任何弱点。。国际标准化组组织（ISO）对计算机机系统安全的的定义是：为为数据处理系系统建立和采采用的技术和和管理的安全全保护，保护护计算机硬件件、软件和数数据不因偶然然和恶意的原原因遭到破坏坏、更改和泄泄露。计算机的硬件件、软件和数数据受到保护护，不因偶然然和恶意的原原因而遭到破破坏、更改和和泄露，系统统连续正常运运行。31安全需求可靠性可用性保密性完整性不可抵赖性32可靠性（Reliability)指信息系统能能够在规定条条件下和规定定的时间内完完成规定的功功能的特性。。度量指标：：抗毁性指系统在人为为破坏下的可可靠性生存性随机破坏下系系统的可靠性性有效性是基于业务性性能的可靠性性33可用性（Availability)指信息可被授授权实体访问问并按需求使使用的特性，，是系统面向向用户的安全全性能。一般般用系统正常常使用时间和和整个工作时时间之比来度度量。34机密性(Confidentiality)指信息不被泄泄露给非授权权的用户、实实体或过程，，或供其利用用的特性。机机密性是在可可靠性和可用用性基础上，，保障信息安安全的重要手手段。35完整性(Integrity)指网络信息未未经授权不能能进行改变的的特性，即信信息在存储或或传输过程中中保持不被偶偶然或蓄意地地删除、修改改、伪造、乱乱序、重放、、插入等破坏坏和丢失的特特性。36不可抵赖性(Non-repudiation)指在信息交互互过程中，确确信参与者的的真实同一性性，即所有参参与者都不可可能否认或抵抵赖曾经完成成的操作和承承诺。37其他安全需求求可控性可审查性认证访问控制…不同的系统关关注不同的需需求（即不同同的安全属性性），如用户户关注隐私，，网警关注可可控；有的系系统要求不可可否认（电子子交易），有有的要求可否否认（匿名BBS）。38计算机系统安安全涉及的内内容物理安全：环境安全、设设备安全、媒媒体安全运行安全：风险分析、审审计跟踪、备备份与恢复、、应急响应信息安全：操作系统安全全、数据库安安全、网络安安全、病毒防防护、访问控控制、加密与与鉴别39安全问题时间高级入侵者发现新漏洞原始的探询漏洞的工具被分发初级入侵者使使用原始工具开发出自动的的扫描/探询工具自动扫描/探询工具被广泛使用用入侵者开始使使用新的探探询工工具系统弱点40安全问问题(续)41安全问问题(续)3.配配置置中的的问题题默认的的用户户名、、口令令和开开放的的服务务端口口。由由于维维护人人员没没有审审核这这些设设置、、限制制这些些用户户的权权限、、更改改默认认的口口令，，以及及关闭闭不必必要的的服务务端口口等，，往往往会被被攻击击者利利用，，造成成网络络瘫痪痪或机机密被被窃取取。4.管管理理中的的问题题网络系系统的的严格格管理理是企企业、、机构构及用用户免免受攻攻击的的重要要保障障。计计算机机安全全很大大程度度上取取决于于优秀秀的管管理人人员，，任何何安全全产品品和安安全设设施都都需要要管理理人员员的维维护、、跟踪踪和审审核。。42安全问问题的的表现现形式式病毒（（包括括蠕虫虫）的的扩散散垃圾邮邮件的的泛滥滥网页数数据的的篡改改不良信信息的的传播播黒客行行为计算机机犯罪罪…43安全威威胁安全威威胁对安全全的潜潜在的的侵害害攻击威胁的的实施施安全策策略允许什什么，，不允允许什什么的的陈述述安全机机制实现安安全策策略的的方法法，工工具，，过程程44安全威威胁安全威威胁的的种类类主要表表现：：信息息泄露露、拒拒绝服服务、、信息息破坏坏。威胁来来自多多个方方面。。自然然和人人为两两类。。自然因因素包包括各各种自自然灾灾害人为因因素又又有无无意和和故意意之分分。45安全威威胁(续)（1））从威威胁的的来源源看可可分为为内部部威胁胁和外外部威威胁。。（2））从攻攻击者者的行行为上上看可可以分分成主主动威威胁和和被动动威胁胁（3））从威威胁的的动机机上看看分为为偶发发性威威胁与与故意意性威威胁46威胁的的表现现形式式（1））假冒冒（2））未授授权访访问（3））拒绝绝服务务（DoS）（4））否认认（抵抵赖））（5））窃听听（6））篡改改（7））复制制与重重放（（重演演）47威胁的的表现现形式式(续续)（8））业务务流量量、流流向分分析（9））隐蔽蔽信道道（10）人人为失失误（11）自自然灾灾害与与人为为破坏坏（12）逻逻辑炸炸弹（13）后后门（（陷门门）（14）恶恶意代代码（15）不不良信信息48863计划划信息技技术领领域是是“十十五””期间间国家家高技技术研研究发发展计计划（（863计计划））的重重点领领域之之一。。根据国国家的的需求求和信信息领领域科科技发发展的的趋势势，信信息技技术领领域设设立了了四个个主题题：计算机机软硬硬件技技术主主题通信技技术主主题信息获获取与与处理理技术术主题题信息安安全技技术主主题49863计划划（续续）信息安安全技技术主主题的的主要要目标标是通过过对信信息安安全基基础、、核心心和关关键技技术的的研究究攻关关以及及对急急需的的信息息安全全产品品和系系统的的研究究开发发，为为我国国信息息化建建设的的安全全保障障体系系提供供关键键核心心技术术和平平台，，增强强对国国家信信息基基础设设施和和重点点信息息资源源的安安全保保障能能力，，基本本满足足国家家和重重要部部门的的信息息安全全需求求。促进与与信息息安全全相关关的技技术标标准体体系和和具有有自主主知识识产权权的、、具有有创新新实力力的信信息安安全科科研与与产业业体系系的形形成，，显著著提高高我国国信息息安全全的综综合保保障能能力，，推动动我国国信息息化建建设的的健康康发展展。50863计划划（续续）信息安安全技技术主主题主主要研研究信息安安全核核心、、关键键和共共性技技术，，以形形成自自主的的信息息安全全防护护能力力、隐隐患发发现能能力、、应急急反应应能力力以及及信息息对抗抗能力力，为为建立立国家家信息息安全全保障障体系系提供供技术术支撑撑。51信息安安全国国家重重点实实验室室(SKLOIS)开放放课题题信息安安全国国家重重点实实验室室专题一一密密码与与编码码理论论01-01公公钥密密码01-02分分组密密码01-03序序列密密码01-04认认证码码01-05混混沌密密码01-06量量子编编码与与量子子密码码52信息安安全国国家重重点实实验室室(SKLOIS)开放放课题题（续续）专题二二安安全协协议理理论与与技术术研究究02-01数数字签签名和和身份份识别别协议议02-02密密钥管管理协协议02-03非非否认认协议议02-04电电子商商务协协议02-05协协议的的形式式化分分析与与验证证技术术02-06多多方安安全计计算协协议53信息安安全国国家重重点实实验室室(SKLOIS)开放放课题题（续续）专题三三信信息隐隐藏理理论与与技术术研究究03-01图图像隐隐藏03-02数数字水水印03-03潜潜信道道理论论03-04数数字版版权保保护技技术54信息安安全国国家重重点实实验室室(SKLOIS)开放放课题题（续续）专题四四信信息对对抗理理论与与技术术研究究04-01系系统安安全性性评估估与系系统隐隐患检检测04-02入入侵检检测与与安全全监控控04-03网网络与与系统统攻击击技术术04-04应应急响响应和和事故故恢复复技术术04-05信信息伪伪装技技术04-06恶恶意代代码分分析技技术55信息安安全国国家重重点实实验室室(SKLOIS)开放放课题题（续续）专题题五五网网络络与与信信息息系系统统安安全全研研究究05-01网网络络与与信信息息系系统统安安全全体体系系结结构构05-02无无线线网网络络安安全全05-03操操作作系系统统安安全全05-04数数据据库库安安全全05-05PMI/PKI技技术术05-06信信息息安安全全发发展展战战略略56提出出未未来来5～～15年年以以下下15个个领领域域发发展展的的重重点点技技术术。。（九九））网网络络和和信信息息安安全全技技术术重重点点发发展展安安全全处处理理芯芯片片和和系系统统级级芯芯片片、、安安全全操操作作系系统统、、安安全全数数据据库库、、信信息息隐隐藏藏、、身身份份认认证证、、安安全全隔隔离离、、信信息息内内容容安安全全、、入入侵侵检检测测、、网网络络容容灾灾、、病病毒毒防防范范等等产产品品。。重点点技技术术：：————密密码码技技术术————安安全全处处理理芯芯片片技技术术————电电子子认认证证、、责责任任认认定定、、授授权权管管理理技技术术————计计算算环环境境和和终终端端安安全全处处理理技技术术————网网络络和和通通信信边边界界安安全全技技术术————应应急急响响应应和和灾灾难难恢恢复复技技术术————信信息息安安全全测测评评技技术术信息息产产业业科科技技发发展展““十十一一五五””规规划划和和2020年年中中长长期期规规划划纲纲要要57四、、我我国国信信息息化化发发展展的的战战略略重重点点建设设国国家家信信息息安安全全保保障障体体系系《2006━━2020年年国国家家信信息息化化发发展展战战略略》》《2006━━2020年年国国家家信信息息化化发发展展战战略略》》信息息安安全全问问题题仍仍比比较较突突出出。。在在全全球球范范围围内内，，计计算算机机病病毒毒、、网网络络攻攻击击、、垃垃圾圾邮邮件件、、系系统统漏漏洞洞、、网网络络窃窃密密、、虚虚假假有有害害信信息息和和网网络络违违法法犯犯罪罪等等问问题题日日渐渐突突出出，，如如应应对对不不当当，，可可能能会会给给我我国国经经济济社社会会发发展展和和国国家家安安全全带带来来不不利利影影响响。。58安全模型型安全具有有相对性性。（基于于假设的的安全，，即有条条件的安安全，没没有绝对对的安全全）安全具有有动态性性。（今天天是安全全的，明明天不一一定安全全安全具有有整体性性。（包括括了物理理层、网网络层、、系统层层、应用用层以及及管理层层等5个个方面））591、P2DR安全全模型美国国际际互联网网安全系系统公司司（ISS）认认为没有有一种技技术可完完全消除除网络中中的安全全漏洞。。系统的的安全实实际上是是理想中中的安全全策略和和实际的的执行之之间的一一个平衡衡，提出出了一个个可适应应网络安安全模型型ANSM(AdaptiveNetworkSecurityModel)———P2DR安全全模型60P2DR安全全模型安全=风风险分析析+执行行策略+系统实实施+漏漏洞检测测+实时时响应61P2DR安全全模型（1）策策略（Policy））安全策略略是P2DR安全全模型的的核心，，所有的的防护、、检测、、响应都都是依据据安全策策略实施施的，安安全策略略为安全全管理提提供管理理方向和和支持手手段。策策略体系系的建立立包括安安全策略略的制订订、评估估、执行行等。制制订可行行的安全全策略取取决于对对网络信信息系统统的了解解程度。。安全应该该达到什什么样的的强度、、应保护护哪些资资源、应应花费多多大代价价、应采采取什么么措施等等都是由由安全策策略决定定的。不不同的国国家和单单位针对对不同的的应用都都应制定定相应的的安全策策略。如如，什么么级别的的信息应应该采取取什么保保护强度度、针对对不同级级别的风风险能承承受什么么样的代代价等问问题都应应该制定定策略。。62P2DR安全全模型（2）保保护（Protection)保护就是是采用一一切手段段保护信信息系统统的保密密性、完完整性、、可用性性、可控控性和不不可否认认性。应应该依据据不同等等级的系系统安全全要求来来完善系系统的安安全功能能、安全全机制。。63P2DR安全全模型（3）检检测（Detection））检测是动动态响应应和加强强防护的的依据，，是强制制落实安安全策略略的工具具，通过过不断地地检测和和监控网网络和系系统，来来发现新新的威胁胁和弱点点，通过过循环反反馈来及及时作出出有效的的响应。。（4）响响应（Response）在检测到到安全漏漏洞之后后必须及及时做出出正确的的响应，，从而把把系统调调整到安安全状态态；对于于危及安安全的事事件、行行为、过过程，及及时做出出处理，，杜绝危危害进一一步扩大大，使系系统力求求提供正正常的服服务。例例如关闭闭受到攻攻击的服服务器。。64PDRR安全模模型美国国防防部提出出了“信信息安全全保障体体系”，，其重重要内容容包括：：概括了网网络安全全的整个个环节，，即保护护（Protect））、检测测（Detect）、、响应（（React））、恢复复（Restore））；65PDRR安全模模型（续续）PDRR模型引引入了时时间概念念Pt>Dt+Rt即，在入入侵者危危害安全全目标之之前就能能够被检检测到并并及时处处理。坚固的防防护系统统与快速速的反应应结合起起来就是是真正的的安全。。66PDRR安全模模型(续续)提出了人人、政策策（包括括法律、、法规、、制度、、管理））和技术术三大要要素；归纳了网网络安全全的主要要内涵，，即鉴别别、保密密、完整整性、可可用性、、不可抵抵赖性、、责任可可核查性性和可恢恢复性；；提出了信信息安全全的几个个重点领领域，即即关键基基础设施施的网络络安全（（包括电电信、油油气管网网、交通通、供水水、金融融等）、、内容的的信息安安全（包包括反病病毒、电电子信箱箱安全和和有害内内容过滤滤等）和和电子商商务的信信息安全全；认为密码码理论和和技术是是核心，，安全协协议是桥桥梁，安安全体系系结构是是基础，，安全的的芯片是是关键，，监控管管理是保保障，攻攻击和评评测的理理论和实实践是考考验。67安全体系系结构一个信息息系统安安全体系系结构的的形成主主要是根根据这个个信息系系统的安安全策略略，是安安全策略略细化的的总结。。安全体系系结构的的内容包包括：提提供安全全服务与与有关安安全机制制在本系系统下的的一般描描述，这这些服务务和机制制必须为为本系统统所配备备；确定定本系统统内部可可以提供供这些服服务的位位置。68安全体系系结构69OSI安安全体系系结构OSI/ISO7498-2网络安安全体系系结构（（OSI开放系系统互连连基本安安全参考考模型））如何设计计标准的的参考标标准，不不是能实实现的标标准给出了部部分术语语的正式式定义安全服务务安全机制制OSI体体系结构构中服务务的配置置应用层表示层会话层传输层网络层数据链路层物理层765432170安全策略略安全策略略都建立立在授权权的基础础之上。。在安全全策略中中包含有有对“什什么构成成授权””的说明明。在一一般性的的安全策策略中可可能写有有“未经经适当授授权的实实体，信信息不可可以给予予、不被被访问、、不允许许引用、、任何资资源也不不得为其其所用””。基于身份份的安全全策略的的基础是是用户的的身份和和属性以以及被访访问的资资源或客客体的身身份和属属性。基于规则则的安全全策略的的基础是是强加于于全体用用户的总总安全策策略。在在一个安安全系统统中，数数据或资资源应该该标注安安全标记记。代表表用户进进行活动动的进程程可以得得到与其其原发者者相应的的安全标标记。基于角色色的安全全策略为为每个个个体分配配角色，，按角色色分配许许可。71安全服务务在计算机机网络中中，主要要的安全全防护措措施被称称作安全全服务。。网络通通信中目目前主要要有五种种安全服服务认证服务务：提提供实体体的身份份的保证证访问控制制服务：：防止止对资源源的非授授权使用用机密性服服务：：对数据据提供保保护使之之不被非非授权地地泄露完整性服服务：：保护数数据防止止未授权权的改变变、删除除或替代代非否认服服务：：提供凭凭证，防防止发送送者否认认或接收收者抵赖赖已接收收到相关关的信息息72安全服务务实现安全全服务的的非电子子机制的的实例认证服务务：身身份证访问控制制服务：：钥匙匙机密性服服务：：密封的的信件完整性服服务：：激光防防伪的全全息照片片非否认服服务：：公证，，挂号信信的登记记与签名名73安全服务务用于对付付典型安安全威胁胁的安全全服务假冒攻击击：认证证服务授权侵犯犯：访问问控制服服务窃听攻击击：机密密性服务务完整性破破坏：完完整性服服务服务的否否认：非非否认服服务拒绝服务务：认证证服务，，访问控控制服务务，完整整性服务务741.认认证服务务同等实体体认证服服务：提提供对通通信对等等实体或或数据源源的认证证。是访访问控制制中授权权的依据据。数据起源源认证：：对来源源提供确确认。安全服务务752.访访问控制制服务对系统的的资源提提供保护护，防止止未授权权者利用用。它与与认证服服务密切切相关，，对请求求访问者者必须经经过认证证后才授授权访问问系统。。安全服务务763.机机密性保护机密密信息不不被未授授权个人人、实体体或过程程解读和和使用。。连接机密密服务无连接机机密服务务选择字段段机密服服务业务流机机密服务务安全服务务774.数数据完整整性服务务保护信息息不被未未授权改改变或破破坏有恢复的的连接完完整性服服务无恢复的的连接完完整性服服务选择字段段连接完完整性服服务无连接完完整性服服务，选择字段段无连接接完整性性服务安全服务务785.非非否认服服务用来防止止参与通通信的实实体在事事后否认认曾参与与全部或或部分通通信。有数据源源发证明明的不可可否认有交付证证明的不不可否认认安全服务务79实现以上安全全服务的安全全机制主要包包括：加密机制数字签名机制制访问控制机制制：对主体的身份份和有关主体体的信息进行行认证，决定定对其授权，，防止非法访访问和利用系系统资源，对对入侵进行告告警，审计和和追踪。安全机制80数据完整性机机制顺序检测、