Module 6-1 :不可否認服務

Download Report

Transcript Module 6-1 :不可否認服務

Module 6:交易安全
電子商務安全
6-1
學習目的
1. 本模組目的旨在介紹交易的不可否認性與認識安
全標章。
2. 不可否認服務可提供交易的證據,以解決交易所
產生的糾紛。
3. 瞭解安全標章之意義,藉由驗證安全標章,可建
立對交易網站的信賴
電子商務安全
6-2
Module 6:交易安全
• Module 6-1:不可否認服務
• Module 6-2:安全標章
電子商務安全
6-3
Module 6-1:不可否認服務
電子商務安全
6-4
Module 6-1:不可否認服務
• 不可否認服務的目標是產生、收集、維護及查證(verify)與已宣
稱事件或動作有關之證據,並使這些證據為可用,以解決關於
已發生或未發生事件或動作的糾紛。
• 不可否認之機制提供基於密碼核對值(cryptographic check value)
的證據,使用對稱或非對稱密碼技術產生密碼核對值。
• 不可否認服務的證據建立與特定事件或動作相關的可歸責性
(accountability)。
• 對於證據產生之相關動作或其事件負有責任之個體被稱為證據主
體(evidence subject)。有兩種主要的證據類型:
– 由證據產生機構(evidence generating authority)使用對稱密碼
技術所產生的安全信封(secure envelope)。
– 由證據產生者(evidence generator)或證據產生機構(evidence
generating authority)使用非對稱密碼技術所產生的數位簽章
(Digital signatures)。
電子商務安全
6-5
Module 6-1:不可否認服務
•
涉及不可否認交換的個體需滿足下列需求:
– 不可否認交換的個體應信賴可信賴第三方。當使用對稱密碼演算法時,一
定需要可信賴第三方;當使用非對稱密碼演算法時,一定需要可信賴第三
方來產生公鑰憑證或產生證據的數位簽章。
– 在產生證據之前,證據產生者必須知道查證者可接受的不可否認政策、要
求證據種類以及查證者可接受的機制組。
– 產生或查證證據的機制必須可用於特殊不可否認交換的個體,或可信賴機
構必須可用於提供此機制,並且代表證據請求者履行必要的功能。
– 有關個體要持有/分享適用於所使用之機制的金鑰(亦即,非對稱技術的私
鑰,與對稱技術的密鑰)。
– 證據使用者與判決者要有能力查證證據。
– 證據所需的時間資訊,是由事件發生時的時間與證據產生時的時間兩者所
組成。
– 若個體在產生證據時要求可信賴時戳,或它所提供的時間不被信賴時,則
證據產生者或證據查證者應到時戳機構取得可信賴時戳。
電子商務安全
6-6
Module 6-1 :不可否認服務
• 不可否認服務:產生不可否認、發送不可否認、收件不可否
認、知悉不可否認、投件不可否認以及傳送不可否認。
• 可由群組化這些基本服務的某些服務,提供其他的不可否認
服務。
• 來源不可否認可藉由結合產生不可否認與發送不可否認來提
供。
• 遞送不可否認可藉由結合收件不可否認及知悉不可否認來提
供。
• 發佈不可否認符記後,可能有必要變更其生命期,例如,若
發現針對特定簽章方案的攻擊行為,便縮短其生命期。
• 在另一方面,若不可否認符記在超過其生命期後,仍可視為
安全,則不可否認政策可能允許延長此符記的生命期。
電子商務安全
6-7
Module 6-1 :不可否認服務
• 不可否認服務類型:
– 來源不可否認(Non-repudiation of origin,簡稱
NRO)
– 遞送不可否認(Non-repudiation of delivery,簡
稱NRD)
– 投件不可否認(Non-repudiation of submission,
簡稱NRS)
– 傳送不可否認(Non-repudiation of transport,簡
稱NRT)
電子商務安全
6-8
Module 6-1 :來源不可否認
• 來源不可否認服務適用於訊息發送者產生並送
出該訊息的情形。
• 此項服務意圖防制發送者否認其為訊息的產生
者(內容的作者)與訊息的發送者。
• 可由發送者本身或代表發送者的機構提供此項
服務。
電子商務安全
6-9
Module 6-1 :遞送不可否認
• 遞送不可否認服務適用於接收者承認其已收到
該訊息並已注意到該訊息之內容的情形。
電子商務安全
6-10
Module 6-1 :投件不可否認
• 此項服務需要遞送機構來負責發送者與一或多
個接收者之間的訊息轉送。
• 發送者信賴此遞送機構會接受其所發出去的訊
息並盡其所能地遞送該訊息。
• 遞送機構在接受此訊息時,要提供有關該訊息
之投件的證據給發送者。
• 遞送機構承認該訊息已投件的事實,但並不在
乎該訊息的內容為何。
電子商務安全
6-11
Module 6-1 :傳送不可否認
• 此項服務需要遞送機構來負責發送者與接收者之間的訊
息轉送。
• 發送者相信此遞送機構會將訊息遞送到接收者可取用的
地方。
• 當遞送機構遞送該訊息時,要提供有關該訊息已存入接
收者資料儲存器的證據。
• 遞送機構承認已存入該訊息的事實,但並不在乎該訊息
的內容為何。
• 遞送機構並不保證接收者可及時地收到該訊息。
電子商務安全
6-12
Module 6-2:安全標章機制
電子商務安全
6-13
Module 6-2-1:線上安全認證標章
•
•
•
•
McAfee「 Hacker Safe」
阿碼科技「HackAlert」
趨勢科技「Worry Free Security 」
網駭科技「Web Alert」
電子商務安全
6-14
線
上
安
全
認
證
標
章
種
類
Worry
Free
Web Alert
標章名稱 Hacker Safe HackAlert
Security
標章樣式
中文版
推出公司
英文版
McAfee
阿碼科技
趨勢科技
監控瀏覽
器的零時
認證內容 系統安全掃描
差攻擊
網頁是否
隱含惡意
連結或惡
意程式
電子商務安全
網駭科技
網頁是否
隱含惡意
連結或惡
意程式
6-15
Module 6-2-1-1: Hacker Safe
•
•
•
•
目的
安全保證
認證標章
驗證標章
電子商務安全
6-16
目的
• 協助企業防駭 。
• 幫助企業經營者確保重大弱點能夠在72小時內
獲得解決。
• 強化網站安全,同時提昇網站公信力與營業額。
電子商務安全
6-17
安全保證
• 協助客戶即時掌握最新的弱點資訊與解決方案
的最佳服務。
電子商務安全
6-18
認證標章
電子商務安全
6-19
驗證標章
• 點選標章,立即顯示認證網址與認證結果
(注意商店網址須與顯示的認證網址相同)
• 實例:資料來源擷取自Gamebase遊戲基地
電子商務安全
6-20
驗證標章
• 實例:資料來源擷取自香水 1976
電子商務安全
6-21
驗證標章
• 實例:資料來源擷取自Ace
電子商務安全
6-22
驗證標章
• 實例:資料來源擷取自American Red Cross
電子商務安全
6-23
驗證標章
• 於認證機構的網址上查詢認證清單(注意商店網
址須與認證清單上的網址相同)
• 顯示認證結果視窗中的網址要與商店網址一致
• 必須要知道認證機構的網址
電子商務安全
6-24
Module 6-2-1-2: HackAlert
•
•
•
•
目的
安全保證
認證標章
驗證標章
電子商務安全
6-25
目的
•專為資訊安全專家設計的一套資安工具,專門
偵測及分析坊間防毒軟體無法測出之後門、木
馬或間諜軟體等惡意程式。
• 幫助企業監控網站安全,讓用戶可以安心上網 。
電子商務安全
6-26
安全保證
• 可以偵測各種網頁瀏覽器的零時差攻擊 。
電子商務安全
6-27
認證標章
電子商務安全
6-28
驗證標章
• 於認證機構的網址上查詢認證清單(注意商店網
址須與認證清單上的網址相同)
• 顯示認證結果視窗中的網址要與商店網址一致
• 必須要知道認證機構的網址
電子商務安全
6-29
Module 6-2-1-3: Worry Free Security
•
•
•
•
目的
安全保證
認證標章
驗證標章
電子商務安全
6-30
目的
• 保護企業免受網頁威脅危害。
• 讓企業不必擔心安全問題,專心拓展業務。
電子商務安全
6-31
安全保證
• 有效阻擋網頁威脅與其他惡意程式。
電子商務安全
6-32
認證標章
•每日掃瞄現有及新發現的網路應用程式安全弱
點。
電子商務安全
6-33
驗證標章
• 於認證機構的網址上查詢認證清單(注意商店網
址須與認證清單上的網址相同)
• 顯示認證結果視窗中的網址要與商店網址一致
• 必須要知道認證機構的網址
電子商務安全
6-34
Module 6-2-1-4: Web Alert
•
•
•
•
目的
安全保證
認證標章
驗證標章
電子商務安全
6-35
目的
• 主要在於保護組織、個人的網路安全。
電子商務安全
6-36
安全保證
• 有效阻擋網頁威脅與其他惡意程式。
電子商務安全
6-37
認證標章
•透過網駭掃描引擎掃描分析有關有風險的網頁。
電子商務安全
6-38
驗證標章
• 於認證機構的網址上查詢認證清單(注意商店網
址須與認證清單上的網址相同)
• 顯示認證結果視窗中的網址要與商店網址一致
• 必須要知道認證機構的網址
電子商務安全
6-39
Module 6-2-2:信賴標章
• VeriSign/HiTRUST「 全球安全認證網站標
章」
• 寰宇數位「GlobalTrust安全網站標章」
• 台北市消費者電子商務協會「優良電子商店
標章」
• 台北市消費者電子商務協會「資訊透明化電
子商店標章」
電子商務安全
6-40
Module 6-2-2:信賴標章
• 中華民國網路消費協會「網站認證」
• 中華民國網路消費協會「網站購物補償制度」
• 中華民國旅行業品質保障協會「旅行業品保
協會標章」
• 中華民國旅行業品質保障協會「旅行購物保
障標章」
電子商務安全
6-41
Module 6-2-2:信賴標章
• 臺灣網路認證公司「 TWCA 全球安全網站
認證標章 」
• 威利全球憑證中心「安全認證網站標章」
• WIS匯智SSL數位憑證中心「 Geotrust 」
• BSI 「 ISO/IEC 27001」
電子商務安全
6-42
信
賴
全球安全
標章名稱 認證網站
標章
標
章
GlobalTrust
安全網站
標章
種
類
優良電子商 資訊透明化
電子商店標
店標章
章
標章樣式
中文版
VeriSign/
推出公司 HiTRUST
網際威信
SSL加密
認證內容 網頁憑證
英文版
台北市消費
寰宇數位 者電子商務
協會
SSL加密 為消費者除
網頁憑證 卻網上交易
之不安全
電子商務安全
台北市消費
者電子商務
協會
提供消費者
更快速便捷
的辨認工具
6-43
信
賴
標
章
種
類
網消會認 網消會購物 旅行業品保 旅行購物
標章名稱 證標章
補償標章
協會標章
保障標章
標章樣式
中華民國
推出公司 網路消費
協會
確保消費
認證內容 者的網路
購物權益
中華民國網 中華民國旅 中華民國旅
路消費協會 行業品質保 行業品質保
障協會
障協會
確保消費者 確保消費者 確保購物店
的網路購物 的旅遊消費 業者的商品
保障
權益
品質
電子商務安全
6-44
信
賴
標
章
安全認證
TWCA 全
標章名稱 球安全網站 網站標章
認證標章
種
Geotrust
類
ISO/IEC
27001
標章樣式
臺灣網路認 威利全球
推出公司 證公司
憑證中心
SSL加密網
認證內容 頁憑證
WIS匯智
SSL數位憑
BSI
證中心
SSL加密網 SSL加密網 保護資訊
頁憑證
頁憑證
財產
電子商務安全
6-45
Module 6-2-2-1:全球安全認證網站標章
•
•
•
•
目的
安全保證
認證標章
驗證標章
電子商務安全
6-46
目的
• 將「信任」(Trustworthiness) 經由安全的網站予
以具體化,以提升企業的優質形象
• 藉由啟動SSL(Secured Socket Layer)安全傳輸機
制,提供與網站用戶之間經由瀏覽器進行資料
加密通訊。
電子商務安全
6-47
安全保證
• 身分辨識:網站訪客藉此確認是否登入正確的
網站,避免進入仿冒網站。
• 安全加密:企業與用戶間資料傳輸,將因憑證
啟動此SSL加密後得到保護,包括信用卡資料、
個人隱私、交易內容及各項機密資料等。
電子商務安全
6-48
認證標章
電子商務安全
6-49
驗證標章
• 點選標章,立即顯示認證網址與認證結果
(注意商店網址須與顯示的認證網址相同)
• 實例:資料來源擷取自博客來網路書店
電子商務安全
6-50
驗證標章
• 於認證機構的網址上查詢認證清單(注意商店網
址須與認證清單上的網址相同)
• 顯示認證結果視窗中的網址要與商店網址一致
• 必須要知道認證機構的網址
電子商務安全
6-51
Module 6-2-2-2: GlobalTrust安全網站標章
•
•
•
•
目的
安全保證
認證標章
驗證標章
電子商務安全
6-52
目的
• 提供與全球同步的加密等級服務。
• 促進網際網路及無線網路上的電子商務及電子
訊息溝通的安全性與便利性。
電子商務安全
6-53
安全保證
• 身分辨識:網站訪客藉此確認是否登入正確的
網站,避免進入仿冒網站。
• 安全加密傳輸:企業與用戶間資料傳輸,將因
憑證啟動此SSL加密後得到保護,包括信用卡資
料、個人隱私、交易內容及各項機密資料等。
• 防釣魚網站: 寰宇數位提供防盜拷備的即時認
證標章,可防止釣魚網站不肖的盜取資料,確
實即時做到身分認證的功效。
電子商務安全
6-54
認證標章
電子商務安全
6-55
驗證標章
• 點選標章,立即顯示認證網址與認證結果
(注意商店網址須與顯示的認證網址相同)
• 實例:資料來源擷取自全虹企業股份有限公司
電子商務安全
6-56
驗證標章
• 實例:資料來源擷取自全虹企業股份有限公司
電子商務安全
6-57
驗證標章
• 於認證機構的網址上查詢認證清單(注意商店網
址須與認證清單上的網址相同)
• 顯示認證結果視窗中的網址要與商店網址一致
• 必須要知道認證機構的網址
電子商務安全
6-58