Transcript 電子商務安全一
電子商務安全 本章內容 交易安全 資料加密/解密 數位簽章 個人網路安全 網站的安全 2 網路交易 3 (1) 資料加密(encryption)/ 解密(decryption) 消費者上網瀏覽,確定消費時,需傳資 料給網路商店(如:購買商品、姓名、身 分證字號、信用卡號、送貨地址…) 為了避免資料在網際網路傳遞過程,被 有心人擷取利用,故需做資料加密 (encryption) 網路商店取得資料後,需作解密 (decryption) ,以得知消費者要購買的商 品及消費者資料 4 (2) 數位簽章(Digital Signature) 為了確定資料確實為該消費者者所傳送, 可加上數位簽章;網路商店則做數位簽 章的確認,以確保交易之誠信度 5 (3) 交易機制 交易完成後,網路商店向銀行或金融機 構取得貨款,而銀行或金融機構也向消 費者收取貨款 6 資料加密/解密過程 加 密 明文(Plaintext) 範例: 所有字母 後退3個 密文(Ciphertext) 解 密 A I love you 加密 L oryh brx B I love you 所有字母 前進3個 解密 L oryh brx 7 加密方法 DES (Data Encryption Standard) RSA (Rivest-Shamir-Adleman) DES RSA 提出年代 1976 1978 發明人 IBM Rivest-Shamir-Adleman 特徵 加密/解密:同一金鑰 (對稱式加密法) 加密/解密:各一金鑰 (非對稱式加密法) 優點 速度快 解決金鑰管理問題 缺點 金鑰管理不易 速度慢 應用 銀行系統、ATM 海關稅費支付系統 8 對稱式加密法 加密/解密用同一把鑰匙 鑰匙在傳輸過程中,若為有心人士竊取, 加密將被破解 金鑰管理困難 9 非對稱式加密法 公開金鑰加密法(Public key encryption) 加密/解密使用不同鑰匙 加密金鑰:私鑰(Private key) ,自己保 存,不公開 解密金鑰:公鑰,可向他人公開 加密金鑰 明文 加密 解密金鑰 密文 解密 明文 10 數位簽章 (Digital Signature) 真實世界以簽名、蓋章表示對文件的負 責 網路世界以數位簽章表示對文件的負責 11 數位簽章的運作流程 Hash 函數 Hash 函數 網際網路 明文 明文 數位簽章 訊息摘要 數位簽章 訊息摘要 明文 比對 數位簽章 訊息摘要 (一起傳送) 簽章者私鑰 發送端 簽章者公鑰 接收端 12 數位簽章可確保: 數位簽章可由簽章者之公鑰解開為訊息 摘要,則該份文件確實由簽章者所發出 傳輸資料來源辨識 及 不可否認性 明文及數位簽章者所解開產生之訊息摘 要相同,則該份文件未被竄改 正確性 電子簽章未對明文加密,若欲達保密目 的,明文需以加密方法(DES、RSA)做 加密工作 13 交易機制 保護消費者、商家、金融機構在安全無 虞的環境下進行商業活動的機制 網際網路上常用的交易機制 SET:Secure Electronic Transaction SSL:Secure Socket Layer 14 SET:Secure Electronic Transaction 安全電子交易 由VISA 、MasterCard、IBM、Microsoft、 Netscape、Verisign等公司聯合制訂,保護消 費者在網際網路上持卡付款交易安全的標準; 運用RSA的公鑰加密技術,保護交易資料的 安全及隱密性 SET的架構 電子錢包(Electronic Wallet) 數位憑證(Digital Certificate) 付款閘道(Payment Gateway) 認證中心(Certification Authority,CA) 15 參與 SET的交易成員 發卡銀行 查 驗 持 卡 人 資 料 持卡人 銀行網路 收單銀行 認證中心 internet 付款閘道 網路商店 持卡購物 (電子錢包軟體) (訂單與付款資料) 付款訊息 16 電子錢包(Electronic Wallet) 一種電腦軟體,主要用於消費者進行電子交 易與儲存交易記錄 消費者交易前,需先安裝符合SET標準的電子 錢包 功能 數位憑證管理:數位憑證之申請、保存、刪除 交易的進行:消費者選擇SET交易時,電子錢包 自動啟動、辨認商店身份並發送交易訊息 交易記錄保存:每筆交易記錄將被保存供日後查 詢 17 數位憑證(Digital Certificate) SET的核心,用以建立電子交易中,各 交易主體間的信任關係 由一公正單位擔任「認證中心」,簽發 數位憑證給銀行、持卡人及特約商店 電子交易時,持卡人與特約商店兩邊符 合SET規格的軟體,會先在電子資料交 換前確認雙方身份(檢查由認證中心發 給的數位憑證) 18 付款閘道(Payment Gateway) SET訊息與收單銀行的訊息轉接 功能 提供特約商店的註冊與認證 傳送及接收SET交易訊息 檢核交易訊息中之付款人資料及數位簽章 將SET訊息轉換成付款訊息 19 認證中心(Certification Authority,CA) 公正、公開的代理組織 功能 提供持卡人與特約商店之電子憑證申請服務 管理電子憑證的發行與取消 簽發交易憑證,以證明消費者公鑰之合法性 20 網路商店 已獲得認證中心授權,並獲得數位憑證 的特約商店 基本建置與功能 安裝符合SET規格的電子收銀機軟體於主 機系統 建置符合SET規格的安全電子交易商店軟 體 從網際網路向收單銀行認證中心註冊並取 得數位憑證 提供網路消費者線上購物服務 21 發卡/收單銀行 接受持卡人和特約商店線上的註冊申請, 核驗發卡及收單銀行核對申請資料是否 一致 線上核發數位憑證並存證 提供參與電子交易者身份驗證機制 22 SET 交易流程圖 收單銀行 (4)請求授權/得到授權 發卡銀行 ) ( 5 傳 送 訂 單 擷 取 權 杖 取 得 消 費 者 金 鑰 ) (電子錢包軟體) 3 付 款 明 細 (1) 訂單/訂單回應 持卡人 ( 認證中心 (2) 訂單確認 (6) 傳送收據 (3) 付款明細 網路商店 (5) 傳送訂單擷 權杖 付款閘道 (7) 清算 23 SSL:Secure Socket Layer 原為Netscape(1994)公司所制定,現為大部份 Web server及browser所使用 IETF(Internet Engineering Task Force)1991年以 SSL v 3.0開發出Transport Layer Security(TLS) 確保訊息在internet上流通的安全性,避免傳輸 過程中被監聽、竊取、竄改,以達到資料的完 整性、機密性 內建於多數瀏覽器中 提供網路應用軟體安全可靠之傳輸服務 採公鑰技術認證 24 SSL 認證流程圖 收 送 (1) 要求開始認證 客 戶 端 電 腦 (2) 同意進行認證 (3) 互傳認證資料,確認對方身份 (4) 查核無誤,承認對方身份 商 店 端 伺 服 器 25 SET 與 SSL 機制的比較 比較項目 SSL SET 發表時間 制定組織 1994 1996 原為Netscape公司 所制定;IETF發展 為TLS 由兩大信用卡公司 Visa 及 Mastercard 所制定 認證機制 商店端伺服器 所有參與SET的 成員 啟動方式 內嵌於Web 瀏覽器 需事先安裝特殊軟 體,如電子錢包 26 SET 與 SSL 機制的比較 設置成本 安全性 不可否認性 較低 較低 不具備 較高 較高 具備 優點 消費者使用方便 可身份確認、交 易安全、資料完整 性、 風險責任歸屬 商家及消費者 SET相關銀行組織 27 本章內容 交易安全 個人網路安全 資料保密 病毒肆虐 被植入木馬程式 網站的安全 28 資料保密 目前使用率高的Windows、Unix等作業 系統資安全防範並不週延 有心人可從這些漏洞取得或破壞主機上 的資料 防範之道 更新系統及程式 少開Windows之資源分享 裝設個人防火牆 29 病毒(Virus)肆虐 病毒是一電腦程式,可自己複製並傳播到其他檔案 病毒類型: 檔案型 巨集病毒 Script 病毒 30 如何防止病毒 安裝防毒軟體(Pc-cillin、Norton Antivirus)— 小心閱讀電子郵件— 來路不明的郵件直接刪除,不讀取、不開附件 警覺心要強— 常更新病毒碼及掃瞄引擎 主機速度變慢、網路速度變慢、磁碟不正常讀取、 有奇怪檔名的檔案…皆是可能中毒癥兆 正確的操作觀點— 不讀取來路不明檔案、郵件;不任意開啟資訊分享 31 被植入木馬程式 資料被盜取 行為被監視,喪失隱私權 防範之道 不執行不明程式及電子郵件所附的程式 不開資源分享及常更新系統,以防止被駭 客侵入,植入木馬程式 32 本章內容 交易安全 個人網路安全 網站的安全 33 網站的安全 網站有漏洞,易被侵入,或成為攻擊目標 防範網站百分之百不被入侵,幾乎是不可 能 34 網站入侵防範 主機權限設定需嚴謹;使用者密碼檔需 編號,以減低密碼檔被盜取破解的危險 主機服務單純化 隨時注意系統漏洞通報,儘快修補 了解網路攻擊模式,並視狀況予以防治 裝設網路安全監控工具(如:防火牆軟 體) 35