網站建置與資訊安全 電子商務資訊安全
為何電子商務的安全性令人擔憂? 實體商務也擔心安全-但數位化的偽造數量會很多 網際網路是互聯的(匿名與距離性) 網際網路是數位的-較難蒐證 電腦是儲存資料的工具-國防安全 電腦可程式化-犯罪行動可大量複製 法律的周延性不足-立法,蒐證,判決者的資訊素養 2018/11/19
不確定性對購物意願之影響 2018/11/19
資訊安全特性 目的在於達成: → 資訊安全機制降低不確定性 機密性 (Confidentiality) 識別性 (Authentication) 完整性 (Integrity) 無法否認性 (Non-Repudiation) → 資訊安全機制降低不確定性 2018/11/19
資訊安全特性 電子商務安全的基本要求: 2018/11/19
網路安全攻擊 攻擊客戶端的方法 威脅電子商務安全的人 攻擊企業伺服器與網路端的方法: 電腦的實際入侵 電腦病毒與惡意程式的散佈 駭客 犯罪者 競爭對手 內部員工 攻擊企業伺服器與網路端的方法: 中斷 (Interrupt) 服務 介入 (Interception) or 竊聽 - 資訊安全需維持「隱密性」 篡改 (Modification) - 破壞內容的「完整性」 假造 (Fabrication) - 資訊安全需達到可「認證性」 2018/11/19
中斷 (Interrupt) 訊息沒被收到! 2018/11/19
介入 (Interception) 資料被截取竊讀! 2018/11/19
篡改 (Modification) 收到錯誤訊息! 2018/11/19
假造 (Fabrication) 收到偽造訊息! 2018/11/19
資訊安全金三角 實體安全 程序安全 技術安全(最後一道防線) 環境安全- Ex: 機房控管 人員控制 網路安全訓練 存取權力與需要相符 簽入程序 人事控制 技術安全(最後一道防線) 防火牆- 隔離企業內外的網路環境 資料加密、認證 資料備份 (異地備援) 完整的入侵偵測與回應計畫 2018/11/19
認證:身份識別-1 為確認進行交易的是當事人本人 現行常見的身份識別機制 資料詢問 (Ex:身份證號、安全問題) 印章 簽名 密碼 (可能被破解盜用) 數位簽章 實體卡片 (Ex:自然人憑證) 2018/11/19
認證:身份識別-2 新型的身份識別機制 無需電子證書的數位簽章 生物特徵識別 動態簽章識別 銀行直接從資料庫中取出客戶金鑰進行驗證,效率較高。 避免PKI的複雜程序。 省去建立CA的成本。 能在對客戶原先習慣造成最少改變的情況下,提高識別效率的安全機制。 生物特徵識別 指紋、掌紋、視網膜、聲紋、臉部特徵識別。 動態簽章識別 參考簽章的速度與力道 2018/11/19
加密技術 2018/11/19
加密技術精神與種類 加密技術的精神 公正第三者: 訊息加解密的方式,又可分為兩大類: 運用加解密技術,將訊息轉換為密文 (Cipher text)。所以即使訊息在中途遭到攔截,其也無法解讀。 通訊雙方共享某機密資訊,例如加解密用的金鑰 (Key)。唯有擁有此資訊者,才能解讀加密過的訊息。 公正第三者: 擔任機密資訊 (如金鑰) 的保管與分配。 當通訊雙方發生爭議時,則可扮演仲裁者的角色。 負責認證通訊雙方的身份,並核發公開金鑰證書。 訊息加解密的方式,又可分為兩大類: 對稱式密碼系統 (Symmetric Key Cryptosystem) 非對稱式密碼系統 (Asymmetric Key Cryptosystem) 2018/11/19
對稱式密碼系統 - 1 Private Key Cryptosystem 使用者必須產生一把自己的金鑰 (Key),由數個位元 (Byte) 所組成 並用這把金鑰與資料作數位運算,以產生「密文 (Cipher text)」 2018/11/19
對稱式密碼系統 - 2 私鑰 私鑰 加密 解密 演算法 演算法 密文 原文 原文 2018/11/19
對稱式密碼系統 - 3 資料加密標準 Data Encryption Standard,簡稱 DES 基本原理,就是混淆 (Confusion) 及擴散 (Diffusion)。 所謂混淆,就是將明文轉換成其它的樣子 所謂擴散,則是指明文中的任何一個小地方的變更,都將之擴散到密文的各部分 DES最主要的優點就在於加解密速度快,並且可以用硬體實作。 主要的缺點則是金鑰的傳輸過程必須絕對地安全。 2018/11/19
非對稱式密碼系統-1 公開金鑰加密法 Public Key Encryption 其中一把可以向他人公開的,稱為「公鑰 (Public Key)」,另一把必須自己保存,且不可公開的稱為「私鑰 (Private Key)」 非對稱式密碼系統具有下列工作項目: 金鑰管理 (Key Management) 數位簽章 (Digital signature) 資料真確性 (Integrity) 無法否認性 (Non-repudiation) 2018/11/19
非對稱式密碼系統-2 以公鑰加密 以私鑰解密 加密 解密 演算法 演算法 密文 原文 原文 2018/11/19
非對稱式密碼系統-3 非對稱式加密法的運作方式如下: RSA技術 有加密速度較慢的問題 假設B小姐想傳送機密資料給A先生。 即使中途被截取,也無法揭露訊息內容。 RSA技術 Rivest、Shamir、 Adleman三位學者發表的 RSA原理,其運作主要來自以下數學原理: 尤拉函數(Euler’s Function) 費碼定理(Fermat’s Theorem) 尤拉定理(Euler’s Theorem) 有加密速度較慢的問題 2018/11/19
資訊安全技術 隱密性的保護:資料加解密技術 認證性的執行:數位憑證技術 對稱式金鑰或秘密金鑰(symmetric key or secrete key encryption)加解密演算法 非對稱式金鑰或公開金鑰加解密演算法(asymmetric key or public key encryption) 認證性的執行:數位憑證技術 公正客觀的第三者:憑證中心(Certificate Authority, CA) 數位憑證(digital certificate)是一個以CA私密金鑰加密的檔案,內含有個人的資訊與公開金鑰。 2018/11/19
數位簽章 完整性與不可否認性的保護:數位簽章技術 數位簽章(Digital Signature)是以發送端的私鑰,對訊息摘要加密的檔案 訊息摘要(message digest)是將傳送文件的本文,經過單向函數產生的一個固定長度的文數字,而且與本文之間是獨一的對應關係 單向函數(one way function, or hash function)讓本文變成訊息摘要很容易,但是反向的由訊息摘要產生本文卻非常困難 2018/11/19
數位簽章 (Digital Signature) 主要在確定兩件事情: 這份文件到底是不是B先生的「親筆簽名」? 如果檢查通過後,再確認文件在傳遞過程中有無被他人竄改過。 2018/11/19
數位簽章之產生 雜湊函數 私鑰 2018/11/19
數位簽章之解讀 雜湊函數 公鑰 2018/11/19
電子憑證 電子憑證 (Digital Certificate) 又稱「數位證書」 電子憑證的內容包括以下欄位: 主要是用來證明公鑰效力的電子證書。 相當於我們在網路上的證明文件,證明這一把公鑰的擁有者就是證書上所記載的使用者。 電子憑證的內容包括以下欄位: 版本 (Version) 序號 (Serial Version) 演算法 (Algorithm Identifier) 發證者 (Issuer) 發證者識別碼 (Issuer Unique Identifier) 使用者 (Subject) 使用者識別碼 (Subject Unique Identifier) 公鑰資訊 (Public Key Information) 有效日期 (Period of Validity) 2018/11/19
電子憑證 瀏覽器中內建的電子憑證 2018/11/19
電子憑證 認證中心 (Certification Authority,簡稱 CA) 「憑證路徑」(Certificate Path) ITU-T的 X.509,可說是金鑰管理系統的始祖。 TTP:可信賴之第三者 (Trusted Third Party) ; 公鑰之認證單位。 若要讓這份電子憑證獲得信賴,則必須由一個可以信賴的來源為此份證書作背書,而此信賴的來源稱為認證中心,其乃負責發出公開金鑰的使用憑證。買賣雙方在獲得自己的憑證後,在未來進行電子交易時可用以表明自己身份並確認對方的身份,以防止交易雙方事後否認交易的事情發生。 「憑證路徑」(Certificate Path) 不同階層的CA中心之間,依照簽發憑證與背書的先後順序,建立了一個可以獲得信任的路徑。 2018/11/19
電子憑證的申請與匯入 2018/11/19
速度的考量:數位信封 以對稱式加解密演算法對大量明文加密,為了安全傳遞秘密金鑰,秘密金鑰再以非對稱式的方式加密,這種加密後的檔案,便叫做「數位信封」 2018/11/19
電子商務資訊安全綜合應用 綜合應用:SSL加密流程 2018/11/19