第5章 操作系统安全 《电子商务安全和 与支付》-电子课件.pptVIP

第5章 操作系统安全;学习目标;5.1 TCP/IP的基础知识;应用层;每个层的功能如下所述： 1.应用层 应用层直接为网络应用提供服务，使它们能通过网络收发数据。 2.传输层 传输层负责向应用层提供服务。 (1)“面向连接”或者“无连接”的数据传输。 (2)可靠或不可靠传输。 (3)数据安全。 ;5.2.1 网络层的安全性 这里说的网络层指的是TCP/IP网络体系结构中IP层。对网络层的安全协议进行标准化的想法早就有了，如“安全协议3号”(SP3)， 网络层安全协议(NLSP),集成化NLSP等。这些提案的共同点多于不同点，它们用的都是IP封装技术。其本质是：纯文本的包被加密，封装在外层的IP报头里，用来对加密的包进行INTERNET上的路由选择。到达另一端时，外层的IP报头被拆开，报文被解密，然后送到收报地点。; INTERNET工程特遣组(LETF)已经特许INTERNET协议安全协议(IPSEC)工作组，对IP安全协议(IPSP)和对应的INTERNET密钥管理协议(IKMP)进行标准化工作。IPSP的主要目的是使需要安全措施的用户能够使用相应的加密安全体制。 网络层安全性的主要优点是它的透明性。也就是说，安全服务的提供不需要应用程序、其他通信层次和网络部件做任何改动。它的最主要的缺点是：网络层一般对属于不同进程和相应条例的包不做区别。;5.2.2 IPSEC IPSEC(IP SECURITY)产生于IPV6的制定之中，用于提供IP层的安全性。由于所有支持TCP/IP协议的主机进行通信时，都要经过IP层的处理，所以提供了IP层的安全性就相当于为整个网络提供了安全通信础。 IPSEC的用途： (1)保证INTERNET上各分支办公点的安全连接。 (2)保证INTERNET上远程访问的安全。 (3)通过外部网或内部网建立与合作伙伴的联系。 (4)提高了电子商务的安全性。; 1.IPSEC的优点： (1)IPESC在传输层之下，对于应用程序来说是透明的。 (2)IPSEC对终端用户来说是透明的，因此不必对用户进行安全机制的培训。 (3)如果需要的话，IPSEC可以为个体用户提供安全保障。 (4)IPSEC正向INTERNET靠拢，已经有一些机构部分或全部执行了IPSEC。;2.IPSEC工作原理 IPSEC提供三种不同的形式来保护通过公有或私有IP网络来传送的私有数据： (1)认证——可以确定所接受的数据与所发送的数据是一致的，同时可以确定申请发送者在实际上是真实发送者，而不是伪装的。 (2)数据完整——保证数据从原发地到目的地的传送过程中没有任何不可检测的数据丢失与改变。 (3)机密性——使相应的接受者能获取发送的真正内容，而无意获取数据的接受者无法获知数据的真正内容。;3.IPSEC的实现方式 IPSEC的一个最基本的优点是它可以在共享网络访问设备，甚至是在所有的主机和服务器上完全实现，这很大程度避免了升级任何网络相关资源的需要。在客户端，IPSEC架构允许使用在远程访问介入路由器或基于纯软件方式使用普通MODEM的PC机和工作站，通过两种模式在应用上提供更多的弹性。 (1)传送模式通常当ESP在一台主机(客户机或服务器)上实现时使用。传送模式使用原始明文IP头，并且只加密数据，包括它的TCP和UDP头。 (2)隧道模式通常当ESP在关联到多台主机的网络访问介入装置实现时使用。隧道模式处理整个IP数据包，包括全部ICP/IP或UDP/IP头和数据，它用自己的地址作为源地址加入到新的IP头;4.IPSEC及VPN 由于企业及政府用户需要把它们的专用WAN/LAN架构与互联网连接，以便访问互联网的服务，所以它们非常热衷于部署安全的IP。用户需要把他们的网络与互联网分隔，但同时要在望上发送及接收网络包。安全的IP就可以提供网上的认证及隐私机制。 所谓VPN是指物理上分布在不同地点的网络通过公用骨干网连接而成逻辑上的虚拟子网，这里的公用网主要指INTERNET。;5.3传输层的安全性;5.3.1传输层的安全性性介绍 在INTERNET应用编程序中,通常使用关仪的进程间通信(IPC)机制来与不同层次的安全协议达交道. INTERNET中提供安全服务的首先一个想法便是强化它的IPC界面。NETSCAPE通信公司遵循了这个思路，制定了建立在可靠的传输服务基础上的安全套接层协议(SSL)。SSL版本3于1995年12月制定，它主要包含以下两个协议： (1)SSL记录协议涉及应用程序提供的信息的分段、压缩、数据认证和加密。 (2)SSL握手协议用来交换版本号、加密算法、身份认证并交换密钥。;5.3.2 SSL协议 1.概述 INTERNET上的安全套