F:\14\标题不当118\标题不当118\标题不当118\重复118加密与认证.pptVIP

* SET是网上的一种开放式标准的多方安全银行卡付款方式其交互操作是通过特定的协议和信息格式设定的。 SET实现了信息集成、全部金融数据的证实、敏感数据的加密等工作，另外，SET还实现了在容许的地方进行额外加密的工作。 目前已被大量的IT企业和金融企业所认可，并成为事实上的标准。 信息的安全传输:信息在Intemet上得以安全传输，保证网上传输的数据不被黑客窃取。 订单信息和个人帐号信息的隔离:在将包括持卡人账号信息的订单送到商家时，商家只能看到订货信息，而看不到持卡人的账户信息。 提供交易者的身份认证和担保:持卡人、商家和银行等交易者通过第三方权威机构的身份认证服务，确定通信各方的身份。如果需要的话，第三方机构同时还提供在线通信各方的信用担保（针对较高级别的数字证书提供的验证服务）。 统一协议和报文格式:SET要求软件遵循相同的协议和报文格式，使不同厂家开发的软件具有兼容和互操作功能，并且可以运行在不同的硬件和操作系统平台上 持卡人:在电子商务环境中，消费者和团体购买者通过计算机与商家交流，持卡人通过由发卡机构颁发的付款卡（例如银行卡、借记卡）进行结算。在持卡人和商家的会话中，SET可以保证持卡人的个人账号信息不被泄漏。 发卡机构:它是一个金融机构，为每一个建立了账户的顾客颁发付款卡，发卡机构（如：VISA、MasterCard等）根据不同品牌卡的规定和政策，保证对每一笔认证交易的付款卡进行确认。 商家:商家是商品或服务的提供者，接受在线支付的商家必须与银行建立一系列必要的关系。 银行:银行是在线支付的关键，它接受发卡机构、持卡人和商家的委托，处理在线支付的授权和办理电子转账业务。 支付网关:支付网关是由银行操作的将Internet上传输的数据转换为金融机构内部可识别的数据的设备，或由指派的第三方处理商家支付信息和顾客的支付指令。 2.2、 IPSec过于复杂（3）建议去掉AH协议 AH和ESP在功能上重叠 AH的认证存在的问题 隧道模式＋ESP 提供和AH几乎同样强度的认证 通过压缩机制来节省带宽 * 网络新技术不断涌现，对IPSec协议提出了 新的挑战；针对IPSec协议的各种不足，IETF 下的IPSec工作组正在酝酿IPSec协议的改进， 包括IKEV2。 国内外研究发现，IPSec协议大致存在下列 问题： 1. IKE协议的安全性； 2. 与现有网络机制的兼容性； 3. 缺乏对远程拨号接入的支持； 4. 不支持组播、多协议； 2.3、IPSec 协议存在的问题 * 1. 网络新技术不断涌现，对IPSec协议提出 了新的挑战；针对IPSec协议的各种不足， IETF下的IPSec工作组正在酝酿对IPSec协议的 改进，即IKEV2。 2. J.Zhou在分析IKE协议基础上，提出 HASH_I和HASH_R的计算公式存在安全隐患。 3. Bruce Schneier等人认为IKE协议过于复杂 ，某些细节描述不够清楚，与ISAKMP协议有 冲突。 2.4、对IKE协议的改进（1） * 4. J.M.Sierra等人提出利用新的协商模式- 发生器模式（Generator Mode）实现IKE SA的 快速更新。 5. Radia Perlman等研究发现，IKE协议提 供的用户身份必威体育官网网址功能与采用的身份认证方 法直接相关，对激进模式进行适当的修改也 能提供身份保护。J.Zhou提出采用数字签名 认证方式的主模式可能导致发起方的身份信 息泄漏。 2.4、对IKE协议的改进（2） * 网络地址转换－NAT技术通过修改IP包 内容实现包的正常传输；而IPSec协议通过采 用MAC技术保护IP包中数据完整性，因此 NAT与IPSec是一对矛盾。 IETF下的网络工作组提出了在隧道模式下使用IPC-NAT( IPSec Control NAT) 的解决方案。 对于端到端的IPSec与NAT的共处，网络工作组建议使用RSIP(Realm Specific IP) 协议。 2.5、IPSec与NAT的共处（1） * Balaji Sivasubramanian等提出适用于协作IP网络的一种的端到端安全解决方案。该方案的巧妙之处在于IPSec处理预先使用NAT变换之后的数据（公共IP地址或端口），数据包经过NAT设备时，NAT设备对它的修改正好与IPSec提供的数据完整性保护相吻合。 IPSec工作组提出利用UDP协议封装IPSec处理后的数据包，则NAT设备最多需要涉及对UDP头的数据修改。 2.5、IPSec与NAT的共处（2） * IPSec协议本身只提供IP层的安全服务，无 法在更高层实施更小颗粒的访问控制，这样 就有必要借鉴高层机制，帮助IPSec协议改进