网络系统安全

网络系统安全学号：S309060036学号：S309060036姓名：徐晶导师：郭方方网络系统安全技术™主要内容™1、OSI安全体系结构™2电子商务安全与SET协议™2、电子商务安全与SET协议OSI安全体系结构™OSI参考模型的提出:™1974年，ISO发布了著名的ISO／IEC7498标准它定义了网络互联™1974年，ISO发布了著名的ISO／IEC7498标准,它定义了网络互联的七层框架，也就是开放系统互联(OSI，OpenSystemInterconnection)参考模型。在OSI框架下，进一步详细规定了每一层的功能，以实现开放系统环境中的互联性互操作性与应用的可移植性OSI采用了分层放系统环境中的互联性、互操作性与应用的可移植性。OSI采用了分层的结构化技术。ISO委员会的任务是定义一组层次和每层所完成的服务。划分层次时应该从逻辑上对功能进行分组。层次应该足够多，以使每一划分层次时应该从逻辑对功能进行分层次应该足够多以使每层小到易于管理，但是也不能太多，否则汇集各层的处理开销太大。OSI参考模型共有7层：物理层、数据链路层、网络层、传输层、会话层、表示层和应用层表示层和应用层OSI的参考模型™OSI安全体系结构的研究始于1982年，于1988年完成其成果标志是ISO发布了于1988年完成，其成果标志是ISO发布了ISO7498-2标准，作为OSI基本参考模型的补充这是基于OSI参考模型的七层协议之上充。这是基于OSI参考模型的七层协议之上的信息安全体系结构。它定义了5类安全服务、8种特定的安全机制5种普遍性安全机制8种特定的安全机制、5种普遍性安全机制。它确定了安全服务与安全机制的关系以及在OSI七层模型中安全服务的配置它还确定OSI七层模型中安全服务的配置。它还确定了OSI安全体系的安全管理。5类安全服务™1.鉴别：鉴别服务提供对通信中的对等实体和数据来源的鉴别。来源的鉴别™2.访问控制：防止对资源的未授权使用，包括防止以未授权方式使用某一资源。™3.数据机密性：这种服务对数据提供保护，使之不被非授权地泄露。4数据完整性这种服务对付主动威胁™4.数据完整性：这种服务对付主动威胁。™5.抗否认这种服务可取如下两种形式，或两者之一：（1）有数据原发证明的抗否认（1）有数据原发证明的抗否认；（2）有交付证明的抗否认。8种特定的安全机制™加密™数字签名™数字签名™访问控制数据完整性™数据完整性™认证交换™业务流填充™路由控制™公证（向可信第三方注册数据，以便将来可使人相信数据内容、来源、时间和传递过程）OSI安全框架™1988年，OSI安全体系结构刚刚完成，就启动了开发系统安全框架规划项目目标是为动了开发系统安全框架规划项目，目标是为了开发一个有多部分组成的标准，其中每部分详细论述OSI安全体系结构的基本安全主题。题。™安全框架规划项目人有OSI安全体系结构的开发者ISO/IECJTC1/SC32/WG1工作组完成开发者ISO/IECJTC1/SC32/WG1工作组完成。OSI安全框架™1安全框架综述。™2认证框架™3访问控制框架™3访问控制框架™4非否认框架™5机密性框架™6完整性框架™6完整性框架™7安全审计框架认证框架™主体：其身份可被验证的实体；声称者被验证身份的主体或主体的代表™声称者：被验证身份的主体或主体的代表；™验证者：要验证对方身份的实体或实体的代表。™交换认证信息：认证主体过程中交换的信息；™声称者认证信息：声称者产生用来交换认证信息的™声称者认证信息：声称者产生用来交换认证信息的信息；™验证者认证信息验证者在交换认证信息中所声称™验证者认证信息：验证者在交换认证信息中所声称的身份是用到的信息。各种认证模型交换信息声称者认证信息验证者认证信息交换认证信息（a）基本模型声称者中间者验证者声称者认证信息（1）验证者认证信息（2）声称者认证信息（1）声称者认证信息（2）（b）内联认证交换认证信息验证者声称者认证信息可信第三方验证者认证信息交换认证信息交换认证信息（c）在线认证声称者验证者声称者认证信息交换认证信息验证者认证信息离线分配验证者认证信息（d）离线认证™综合来看OSI安全体系结构中的安全服务为网络系统主要提供了4类不同层次的安全性网络系统主要提供了4类不同层次的安全性。™1、应用级安全：SET协议、应用级安全：协议™2、端系统级安全：TLS协议网络级安全协议™3、网络级安全：IPSEC协议™4、链路级安全。™4、链路级安全。电子商务安全与SET协议™电子商务是指利用简单、快捷、低成本的电子或网络通信方式进行各种商贸活动这类活动中或网络通信方式进行各种商贸活动，这类活动中，购买者不用去商家所在地现场购物，买卖双方不见面。开展电子商务需要解决的核心问题是信息安全面开展电子商务需要解决的核心问题是信息安全问题，在电子商务中，不但买家的帐户和购买信息是需要保护的，买卖双方页需要相互确认对方的身机份，卖家和负责支付的电子金融机构之间也存在交互的安全问题，因此，当前解决电子商务安全的主要途径是借助密码基数实现对信息完整性机密性要途径是借助密码基数实现对信息完整性、机密性和真实性等的保护和验证。电子商务协议™电子商务协议™安全的电子商务协议，是保证电子商务活动正常开展的基础。安全电子商务协议的活动正常开展的基础。安全电子商务协议的基本属性是可用性、可控性、保密性、完整性可认证性可追究性公平性和非否认性、可认证性、可追究性、公平性和非否认性。此外，电子商务协议应当具有反正欺骗和防止攻击的能力和防止攻击的能力。SET协议™Visa和MasterCard公司联合研制的SET（安全电子交易）协议是实现网上信用卡（安全电子交易）协议，是实现网上信用卡交易的模型和规范。从概念上来说，它是通过信用卡的自然延拓，并保留了信用卡交易的一切特点。同时它针对网上交易，制定了的切特点。同时它针对网上交易，制定了确保安全的一系列规范和协议。SET得到了美国IT企业的支持如GTEIBM美国IT企业的支持，如GTE，IBM，Microsoft，Netscape，RSA，Terisa等。SET的参与方基于SET的电子交易涉及到持卡人、商家、发卡方支付方支付网关CA等发卡方、支付方、支付网关、CA等。™持卡人是信用卡的持有者或组织；持卡人是信用卡的持有者或组织；™商家是将货物或服务出售的组织或个人；发卡方是颁发信用卡的组织™发卡方是颁发信用卡的组织；™支付方是帮助商家完成购物转款的金融组织；™支付方是帮助商家完成购物转款的金融组织；SET电子交易的参与方持卡人Internet商家InternetCA发卡方支付网关支付方支付网络支付方SET的安全功能™SET提供对数据机密性和完整性的保护功能也提供对商家和持卡人身份的验证功功能，也提供对商家和持卡人身份的验证功能。SET使用对称密码保护持卡人的帐户、购买信息、支付信息等的机密性，利用RSA数字签名方法保护数据的完整性；SET使用数字签名方法保护数据的完整性；SET使用CA颁发X.509公钥证书，因此，在支持SET的系统上可以基于该证书在一定交互协议的系统上，可以基于该证书在定交互协议下验证持卡人、商家及支付网关的身份。SET的交易过程™（1）消费者开户；™（2）商家开户；™（3）客户订购；™（3）客户订购；™（4）商家请求支付认可；™（5）商家提供商品或服务；™（6）商家请求支付™（6）商家请求支付。SET协议流程图（1）交易请求（2）交易请求响应（3）购买订单客户商家（4）购买订单确认（7）状态查询状态询（8）购买信息（5）客户支付信息（6）客户支付信息确认银行（9）支付请求（10）支付确认SET的信任关系™SET中的信任关系为分层树结构，地层的证书都包含高级证书中心的签名同所的证书都包含高一级证书中心的签名。同所有的CA一样，SET证书层次中存在一个最高层的认证中心（根），对它的信任是无条件的。的。