资讯安全与线上付款机制.ppt

《资讯安全与线上付款机制.ppt》由会员分享，可在线阅读，更多相关《资讯安全与线上付款机制.ppt（60页珍藏版）》请在三一文库上搜索。

1、資訊安全與線上付款機制,第四篇 電子商務技術篇,2019/5/12,第十五章 資訊安全與線上付款機制,2,大綱,資訊安全特性 網路安全攻擊 身份識別 加密技術 數位簽章與電子憑證 防火牆 資訊安全問題 電子付款機制 電子現金 電子支票 信用卡轉帳 智慧卡 小額付款機制 虛擬貨幣,2019/5/12,第十五章 資訊安全與線上付款機制,3,不確定性對購物意願之影響,2019/5/12,第十五章 資訊安全與線上付款機制,4,不確定性,不確定性：產品不確定性、交易流程不確定性 產品不確定性 消費者會擔心，收到的產品，會不會和他預期的不一樣？是否有瑕庛？是否為劣質品？ 交易流程不確定性 擔心在交易過程中

2、，個人資料被洩漏。 擔心交易內容的隱密性無法被確保。 當消費者下了訂單，不確定商家是否確切收到。 對於付款機制的不信賴感。 若採用信用卡付款，擔心號碼被盜用、擔心商家重複請款。,2019/5/12,第十五章 資訊安全與線上付款機制,5,資訊安全特性,機密性 (Confidentiality) 識別性 (Authentification) 完整性 (Integrity) 無法否認性 (Non-Repudiation),2019/5/12,第十五章 資訊安全與線上付款機制,6,網路安全攻擊,中斷 (Interrupt)。 介入 (Interception)。 篡改 (Modification)。

3、假造 (Fabrication)。,2019/5/12,第十五章 資訊安全與線上付款機制,7,中斷 (Interrupt),2019/5/12,第十五章 資訊安全與線上付款機制,8,介入 (Interception),2019/5/12,第十五章 資訊安全與線上付款機制,9,篡改 (Modification),2019/5/12,第十五章 資訊安全與線上付款機制,10,假造 (Fabrication),2019/5/12,第十五章 資訊安全與線上付款機制,11,身份識別,現行常見的身份識別機制 資料詢問 印章 簽名 密碼 數位簽章 實體卡片,2019/5/12,第十五章 資訊安全與線上付款機制

4、,12,身份識別-2,新型的身份識別機制 無需電子證書的數位簽章 無需電子證書。銀行直接從資料庫中取出客戶金鑰，進行驗證。 銀行直接從資料庫取出資料驗證，效率較高。 避免PKI的複雜程序。 省去建立CA的成本。 能在對客戶原先習慣造成最少改變的情況下，提高識別效率的安全機制。 生物特徵識別 指紋識別。 掌紋識別。 視網膜識別。 臉部特徵識別。例如：眼窩上半部、臉頰骨周圍、嘴巴兩側等等。 聲紋識別。 動態簽章識別,2019/5/12,第十五章 資訊安全與線上付款機制,13,加密技術,2019/5/12,第十五章 資訊安全與線上付款機制,14,加密技術 -2,加密技術的精神 運用加解密技術，將訊息

5、轉換為密文 (Ciphertext)。所以即使訊息在中途遭到攔截，其也無法解讀。 通訊雙方共享某機密資訊，例如加解密用的金鑰 (Key)。唯有擁有此資訊者，才能解讀加密過的訊息。 公正第三者： 擔任機密資訊 (如金鑰) 的保管與分配。 當通訊雙方發生爭議時，則可扮演仲裁者的角色。 負責認證通訊雙方的身份，並核發公開金鑰證書。 訊息加解密的方式，又可分為兩大類： 對稱式密碼系統 (Symmetric Key Cryptosystem) 非對稱式密碼系統 (Asymmetric Key Cryptosystem),2019/5/12,第十五章 資訊安全與線上付款機制,15,對稱式密碼系統,Priv

6、ate Key Cryptosystem 使用者必須產生一把自己的金鑰 (Key)，由數個位元 (Byte) 所組成 並用這把金鑰與資料作數位運算，以產生密文 (Ciphertext),2019/5/12,第十五章 資訊安全與線上付款機制,16,對稱式密碼系統 -2,解密,演算法,原文,原文,密文,加密,演算法,2019/5/12,第十五章 資訊安全與線上付款機制,17,對稱式密碼系統 -3,資料加密標準 Data Encryption Standard，簡稱 DES 基本原理，就是混淆 (Confusion) 及擴散 (Diffusion)。 所謂的混淆，就是將明文轉換成其它的樣子 所謂擴散

7、，則是指明文中的任何一個小地方的變更，都將之擴散到密文的各部分。 DES最主要的優點就在於加解密速度快，並且可以用硬體實作。 主要的缺點，就在於金鑰的傳輸過程必須絕對地安全。,2019/5/12,第十五章 資訊安全與線上付款機制,18,非對稱式密碼系統,公開金鑰加密法 Public Key Encryption 其中一把可以向他人公開的，稱為公鑰 (Public Key)，另一把必須自己保存，且不可公開的稱為私鑰 (Private Key) 非對稱式密碼系統具有下列工作項目： 金鑰管理 (Key Management)。 數位簽章 (Digital signature)。 資料真確性 (Int

8、egrity)。 無法否認性 (Non-repudiation)。,2019/5/12,第十五章 資訊安全與線上付款機制,19,非對稱式密碼系統-2,解密,演算法,原文,原文,密文,加密,演算法,加密金鑰,解密金鑰,2019/5/12,第十五章 資訊安全與線上付款機制,20,非對稱式密碼系統-3,非對稱式加密法的運作方式如下： 假設B小姐想傳送機密資料給A先生。 A先生必須先將自己的公鑰傳送給B小姐（不需任何保護即可，因為公鑰本身就是可以公開的）。 接著B小姐將資料用A先生的公鑰加密過後傳送過去。 A先生接收到後，只要用自己的私鑰就可以解開這份資料即可。 即使中途被截取，也無法揭露訊息內容。

9、RSA技術 Rivest、Shamir、 Adleman三位學者發表的 RSA原理，其運作主要來自以下數學原理： 尤拉函數(Eulers Function) 費碼定理(Fermats Theorem) 尤拉定理(Eulers Theorem) 加密速度慢的問題,2019/5/12,第十五章 資訊安全與線上付款機制,21,數位簽章,數位簽章 (Digital Signature) 主要在確定兩件事情： 這份文件到底是不是B先生的親筆簽名？ 如果檢查通過後，再確認文件在傳遞過程中有無被他人竄改過。,2019/5/12,第十五章 資訊安全與線上付款機制,22,數位簽章之產生,2019/5/12,第十

10、五章 資訊安全與線上付款機制,23,數位簽章之解讀,2019/5/12,第十五章 資訊安全與線上付款機制,24,電子憑證,電子憑證 (Digital Certificate) 又稱數位證書 主要是用來證明公鑰效力的電子證書。 相當於我們在網路上的證明文件，證明這一把公鑰的擁有者就是證書上所記載的使用者。 電子憑證的內容包括以下欄位： 版本 (Version) 序號 (Serial Version) 演算法 (Algorithm Identifier) 發證者 (Issuer) 發證者識別碼 (Issuer Unique Identifier) 使用者 (Subject) 使用者識別碼 (Sub

11、ject Unique Identifier) 公鑰資訊 (Public Key Information) 有效日期 (Period of Validity),2019/5/12,第十五章 資訊安全與線上付款機制,25,電子憑證,認證中心 (Certification Authority，簡稱 CA) ITU-T的 X.509，可說是金鑰管理系統的始祖。 TTP：可信賴之第三者 (Trusted Third Party) ; 公鑰之認證單位。 若要讓這份電子憑證獲得信賴，則必須由一個可以信賴的來源為此份證書作背書，而此信賴的來源稱為認證中心，其乃負責發出公開金鑰的使用憑證。買賣雙方在獲得自己的

12、憑證後，在未來進行電子交易時可用以表明自己身份並確認對方的身份，以防止交易雙方事後否認交易的事情發生。 憑證路徑(Certificate Path) 不同階層的CA中心之間，依照簽發憑證與背書的先後順序，建立了一個可以獲得信任的路徑。,2019/5/12,第十五章 資訊安全與線上付款機制,26,防火牆,防火牆具有下列優點： 執行安全政策 紀錄網路活動 區隔敏感區域 防火牆具有下列功能： 偵測外來駭客攻擊的行動。 強化身份識別機制。 限定網路存取權限。 隱藏網路架構。 與防毒軟體的整合。 整合網路通信協定。 資料加解密。 內部轉換功能。 強化作業系統。 警告功能。 管理工具。,2019/5/12

13、,第十五章 資訊安全與線上付款機制,27,防火牆三種類型,封包過濾式防火牆 Pack Filter 應用層閘道式防火牆 Application-Level Gateway 電路層閘道式防火牆 Circuit-Level Gateway,2019/5/12,第十五章 資訊安全與線上付款機制,28,封包過濾式防火牆,其運作方式，乃監視通過它的資料流，根據防火牆管理事先制定的系統保全政策，來撰擇性地決定是否讓這些資料通行。,2019/5/12,第十五章 資訊安全與線上付款機制,29,應用層閘道式防火牆,又稱為代理伺服器(Proxy Server) 所有要向伺服器取的資料，都透過代理伺服器來索取。 比

14、方說，客戶端向網頁伺服器取網頁時，會先經過代理伺服器。代理伺服器會進行下列二項程序：(1) 本項讀取動作是否合法。(2) 若該網頁已存在於代理伺服器中，則直接把網頁傳回客戶端；而若代理伺服器目前並未有這份網頁，它才會向網頁伺服器索取，然後在傳給客戶端後，自行保留一份備份，以俾加速下次客戶端對網頁的索取。,2019/5/12,第十五章 資訊安全與線上付款機制,30,電路層閘道式防火牆,電路層閘道式防火牆是作用於OSI的交談層 (Session Level)，是介於上述兩者之間的一種型式。其和代理伺服器類似，不過是作用在較低的層次，並沒有針對每個應用程式設定組態。當一個核可的服務接通後，防火牆會建

15、立一個Session，然後馬上將它關閉，利用這種方式來控管系統安全。,2019/5/12,第十五章 資訊安全與線上付款機制,31,防火牆的系統架構,網站服務系統安置在防火牆之內 優點是服務系統可以得到安全保護 缺點是對使用者造成不便。尤其是對希望從網站得到服務的顧客而言。 網站服務系統安置在防火牆之外 優點是把不安全因素隔絕在公司外部，對內部而言比較安全 缺點是服務系統容易遭受破壞，必須有修復機制。 網站服務系統安置在防火牆之上 直接把服務系統架置在防火牆上，是介於上述兩者之間的方案 兼具上述兩者的優缺點。尤其是當服務系統受到破壞，整個企業就陷入高危險狀態，必須防範。,2019/5/12,第十

16、五章 資訊安全與線上付款機制,32,S-MIME：安全電子郵件標準,MIME 是 Multi-purpose Internet Mail Extension 的縮寫，它是一系列開放性的標準文件，改變了過去傳統純文字型態的電子郵件模式，而在電子郵件中整合了多媒體，如圖片、音效、Rich文字、壓縮檔等等；另外也提供多種語系的支援，以及不同電腦系統之間的整合性。 S-MIME (Safe Multi-purpose Internet Mail Extensions) 則是針對 MIME 標準所設計的一種安全電子訊息交換規格，能針對網路上訊息傳遞所可能產生的威脅加以保護，目前以電子郵件安全為主要的應用

17、的領域。其為 MIME 規格的加強版，除了支援原本 MIME 格式之外，另外並提供了許多安全功能，其中包括： 發送方身份識別 訊息的真確性 訊息傳遞過程的機密性,2019/5/12,第十五章 資訊安全與線上付款機制,33,資訊安全問題,常見資安問題：病毒、蠕蟲、木馬、駭客入侵、封包癱瘓、魁儡程式、垃圾郵件、網路釣魚 最氾濫的就是病毒/蠕蟲（78.3%）及垃圾郵件（74.3%） 需要跨企業交換資訊，如醫療（61.9%）與教育（54.1%）等產業，很容易受到覬覦而遭受木馬與後門攻擊 金融（28.4%）與電信（24.2%）等提供服務的產業，則易受DoS/DDoS攻擊,2019/5/12,第十五章 資

18、訊安全與線上付款機制,34,資安信心迷思,企業e化程度與資訊安全的信心度不一定是正相關 資安信心迷思：高階主管誤以為很安全 因為MIS人員解決完資安問題後，通常只報喜不報憂 高層普遍都認為，每年花那麼多錢採購設備，應該很安全了，實際上可能卻不然,2019/5/12,第十五章 資訊安全與線上付款機制,35,資訊安全3A,網路安全只是資訊安全的其中一項 資訊安全3A：Authorization、Authentication、Administration 國外資安主流趨勢是在談3A，牽涉到工作流程、文件管理、標準作業、資訊控管流程 國內則仍圍繞著網路安全打轉,2019/5/12,第十五章 資訊安全與

19、線上付款機制,36,魁儡程式Bot,Bot是Robot的簡稱，原本叫作遠端監控程式，現在又稱為魁儡程式 Bot最早是被設計來模擬人的動作的人工智慧程式，可以協助網路自己練習需要由多人對戰的線上遊戲 Bot會透過病毒、電子郵件或木馬植入,2019/5/12,第十五章 資訊安全與線上付款機制,37,魁儡程式Bot -2,分成主動型與被動型 被動型的Bot就像是後門程式，等待被喚醒 主動型的Bot則像是間諜軟體，會收集各種資訊，定時的往外發送。 病毒和蠕蟲等攻擊程式主要是搞破壞，會在短時間內大量散布，Bot的特性則是儘量不佔用系統資源，希望存活的越久越好,2019/5/12,第十五章 資訊安全與線上

20、付款機制,38,入侵防禦雙雄：IDS與IPS,IDS（Intrusion Detection System，入侵偵測系統）只能偵測入侵者 IPS（Intrusion Prevention System，入侵防禦系統）則具備即時阻擋的能力。 IDS就像銀行保險庫裡的閉路電視，只能監視，無法逮捕搶犯 IPS則是可以直接拘捕罪犯的警察,2019/5/12,第十五章 資訊安全與線上付款機制,39,IDS與IPS適用情況不同,IDS是一個監聽裝置，不會影響網路上的效能 敏感度可以設定的比較寬鬆 但不具備即時阻擋的能力 IPS會影響到網路效能 還要花很多的時間去調校敏感度，不然很容易產生誤判 IDS能夠用

21、比較少的預算，監控比較大的範圍；相對的，IPS的成本就比較高,2019/5/12,第十五章 資訊安全與線上付款機制,40,網路釣魚,垃圾郵件所衍生的另一個問題 超過五千萬消費者曾經收過網路釣魚詐騙郵件 APWG（Anti-Phishing Working Group，反網路釣魚工作小組） 網路釣魚（Phshing）：Fishing Phone 網路釣魚（Phshing）：寄發垃圾郵件，要求消費者連結到所附的URL，在冒牌網站上填寫個人身分資料然後竊取之。,2019/5/12,第十五章 資訊安全與線上付款機制,41,電子付款機制,劃撥。 匯款。 貨到付款。 電子現金。 電子錢包。 電子支票。 信

22、用卡轉帳。 智慧卡。 小額付款機制。 預付卡。 虛擬貨幣。,2019/5/12,第十五章 資訊安全與線上付款機制,42,電子現金,電子現金 (e-Cash) 系統 也有人稱為電子錢包(e-Wallet) 一種以數位簽章為基礎的電子付款機制。購物前，消費者必須先向線上貨幣伺服器或是銀行購買電子現金，依據下列程使用之： 先向線上銀行總行申請帳戶，當完成帳戶申請後。 使用者就可使用電腦上的電子現金軟體產生一隨機碼-票據 (Note)。 並將之送給銀行以取得正式的電子現金。 銀行就使用其私密金鑰，對使用者所要求的票據進行簽章。 銀行再將該票據傳送給使用者。 使用者再將電子現金傳送給商店。 商店可以利用

23、線上驗證的方式。,2019/5/12,第十五章 資訊安全與線上付款機制,43,電子現金的優點,充份保障持卡人的網路購物及付款，即商家都看不到卡號及有效日期等個人財務機密資料。 利用 SET 協定為卡片持有人及商家提供身份確認等必要的安全保護。其中，有關於 SET，我們將於稍後介紹。 通知商家接收及認可定單。 查詢歷次交易紀錄。 快速 (刷卡消費不必由連線來與發卡行取得授權，所有的計算及授權工作，只要靠 IC 晶片就萬事 OK 了)。 安全(比一般的信用卡磁條安全多了，不易被偽造)。,2019/5/12,第十五章 資訊安全與線上付款機制,44,電子現金的缺點,開戶的麻煩。 學生族無法了解其用途及

24、功能。 因為比信用卡多了 IC 晶片，其辦理價位可能較為高。,2019/5/12,第十五章 資訊安全與線上付款機制,45,電子現金系統,Mondex：National Westminster Bank、Midland Bank、萬碁公司 eCash：DigiCash公司。 CAFF：歐洲ESPRIT計畫Conditional Access for Europe的研究成果。 NetCash：南加州大學。,2019/5/12,第十五章 資訊安全與線上付款機制,46,Mondex 卡,2019/5/12,第十五章 資訊安全與線上付款機制,47,電子支票,和傳統支票一樣，電子支票的內容主要包含了付款者

25、姓名、付款金融機構、帳號、受款者姓名及支票金額欄位等。 使用傳統的密碼學技術來進行之支票的驗證 因此，在效率上遠比使用公開金鑰密碼系統的電子現金高 適用於小額付款 另一特色為雙方無需承擔任何的財務風險 所有的財務風險由提供財物伺服器的第三者來承擔,2019/5/12,第十五章 資訊安全與線上付款機制,48,電子支票-2,提供帳務伺服器的第三者可經由兩種方式獲利： 向交易雙方收取手續費。 經由提供存款服務，以在集資市場中獲利。 電子支票系統的運作方式： 客戶向銀行註冊開戶。 客戶進行消費。 商店將電子支票傳送給商店的開戶銀行。 商店的開戶銀行向清算中心要求進行清算。 典型的電子支票系統： Net

26、Bill：美國卡內基美濃大學 (Carnegic Mellon University) 於 1994 年所研發出來的線上電子支票付款系統。 NetCheque：美國南加州大學 (University of Southern California) 資訊科學協會所開的線上電子支票付款系統。,2019/5/12,第十五章 資訊安全與線上付款機制,49,信用卡轉帳,不採用任何加解密技術的線上信用卡付款系統。 採用傳輸加解密技術的線上信用卡付款系統 SSL。 提供證書作為個體識別的線上信用卡付款系統 SET。,2019/5/12,第十五章 資訊安全與線上付款機制,50,SET 簡介,安全電子交易 Se

27、cure Electronic Transcation 由 VISA、MasterCard、IBM、Microsoft、Netscape、GTE、VeriSign、SAIC、Terisa 等公司聯合制訂 運用 RSA 資料安全的公開鑰匙加密技術 經由雙重數位簽章的應用，確保於開發式網路環境下，確保顧客的交易資訊不會被銀行取得，而商店也無法知道顧客的信用卡資訊。,2019/5/12,第十五章 資訊安全與線上付款機制,51,SET交易環境,由幾個成員所共同組合起來 Electronic Wallet (電子錢包) 電子證書 (Digital Certificate) Payment Gateway

28、 (付款轉接站) Certification Authority (認證中心),2019/5/12,第十五章 資訊安全與線上付款機制,52,SET的交易流程,2019/5/12,第十五章 資訊安全與線上付款機制,53,SSL 簡介,SSL (Secuer Socket Layer) 由 Netscape 首先發表的網路資料安全傳輸協定 利用公開金鑰的加密技術 (RSA) 來做為用戶端與主機端在傳送機密資料時的加密通訊協定 已被大部份 Web Server 及 Browser 廣泛使用 SSL 是目前在線上購物網站中最常使用的一種安全協定,2019/5/12,第十五章 資訊安全與線上付款機制,5

29、4,SSL 簡介-2,可提供以下三種基本的網路傳輸安全保護： 身份識別功能。 資料機密性之保護。 資料真確性的檢查。 目前國內的電子商店套裝軟體： 網際威信公司：HiSHOP。 Netscape公司：Netscape Merchant System (精誠資訊代理)。 IBM公司：EasyMerchant。 Microsoft公司：Microsoft Merchant Server。 工研院電通所：Merchant System。,2019/5/12,第十五章 資訊安全與線上付款機制,55,智慧卡,經由智慧卡技術的使用，將可使得下列工作項目在實體上得以分開 鑑定使用者身份的程序。 買賣雙方進行

30、溝通互動的程序。 並且以安全及匿名的方式在網際網路上傳送。 智慧卡的實體結構 塑膠卡片。 印刷電路。 積體電路晶片。,2019/5/12,第十五章 資訊安全與線上付款機制,56,智慧卡的功用,2019/5/12,第十五章 資訊安全與線上付款機制,57,智慧卡的商業應用現況,2019/5/12,第十五章 資訊安全與線上付款機制,58,小額付款機制,Micropayment 類似現在一般市面可見的儲值卡 通常是消費廠商進行發卡的，先向消費者收錢，再給每一張卡一個 ID 及密碼，讓消費者憑卡號等資訊就可在網路上消費使用 最早是由Seednet 開始的，之後線上遊戲的廠商也開始使用這樣的小額付費機制，

31、將遊戲軟體和遊戲的點數，成套經由實體通路售出給消費者。 郵政總局也發行了郵票的線上現金預付卡，消費者先至各郵局購買金額不等的卡片，然後就可到郵局已認證過的網站進行消費,2019/5/12,第十五章 資訊安全與線上付款機制,59,虛擬貨幣,類似點卷或折價卷形成的電子錢幣 雖然尚不能完全取代一般金錢在網路上購物，但目前的主要目標，在於培養網友的忠誠度和信任感，形成網路社群。 虛擬貨幣的取得，主要有下列兩種方式： 對網友的績優獎勵 紅利積點或紅利回饋 例舉三種虛擬貨幣 網元 蕃幣 KD,2019/5/12,第十五章 資訊安全與線上付款機制,60,虛擬貨幣-2,虛擬貨幣擁下列優點： 不會具有真實金錢的風險。 讓學生網路族能夠輕鬆的賺取虛擬貨幣。 虛擬貨幣用途廣泛。 培養網友以勞務賺錢的精神 虛擬貨幣具有下列缺點： 各網站之間的貨幣無法相互流通。 虛擬貨幣無法大批交易。虛 某些網站並不能完全以虛擬貨幣支付，。 虛擬貨幣的盜用問題。,