资讯安全与线上付款机制

資訊安全與線上付款機制電子商務技術篇2019/9/272大綱資訊安全特性網路安全攻擊身份識別加密技術數位簽章與電子憑證防火牆資訊安全問題電子付款機制電子現金電子支票信用卡轉帳智慧卡小額付款機制虛擬貨幣2019/9/273不確定性對購物意願之影響不確定性網路購物意願交易成本產品不確定性交易流程不確定性2019/9/274不確定性不確定性：產品不確定性、交易流程不確定性產品不確定性•消費者會擔心，收到的產品，會不會和他預期的不一樣？是否有瑕庛？是否為劣質品？交易流程不確定性•擔心在交易過程中，個人資料被洩漏。•擔心交易內容的隱密性無法被確保。•當消費者下了訂單，不確定商家是否確切收到。•對於付款機制的不信賴感。•若採用信用卡付款，擔心號碼被盜用、擔心商家重複請款。2019/9/27第十五章資訊安全與線上付款機制5資訊安全特性機密性(Confidentiality)識別性(Authentification)完整性(Integrity)無法否認性(Non-Repudiation)2019/9/27第十五章資訊安全與線上付款機制6網路安全攻擊中斷(Interrupt)。介入(Interception)。篡改(Modification)。假造(Fabrication)。2019/9/27第十五章資訊安全與線上付款機制7中斷(Interrupt)送訊者(Sender)收訊者(Receiver)中斷2019/9/27第十五章資訊安全與線上付款機制8介入(Interception)送訊者(Sender)收訊者(Receiver)介入2019/9/27第十五章資訊安全與線上付款機制9篡改(Modification)送訊者(Sender)收訊者(Receiver)篡改2019/9/27第十五章資訊安全與線上付款機制10假造(Fabrication)送訊者(Sender)收訊者(Receiver)假造2019/9/27第十五章資訊安全與線上付款機制11身份識別現行常見的身份識別機制資料詢問印章簽名密碼數位簽章實體卡片2019/9/27第十五章資訊安全與線上付款機制12身份識別-2新型的身份識別機制無需電子證書的數位簽章•無需電子證書。銀行直接從資料庫中取出客戶金鑰，進行驗證。•銀行直接從資料庫取出資料驗證，效率較高。•避免PKI的複雜程序。•省去建立CA的成本。•能在對客戶原先習慣造成最少改變的情況下，提高識別效率的安全機制。生物特徵識別•指紋識別。•掌紋識別。•視網膜識別。•臉部特徵識別。例如：眼窩上半部、臉頰骨周圍、嘴巴兩側等等。•聲紋識別。動態簽章識別2019/9/27第十五章資訊安全與線上付款機制13加密技術訊息安全模組機密資訊訊息資訊通道機密資訊安全模組2019/9/27第十五章資訊安全與線上付款機制14加密技術-2加密技術的精神運用加解密技術，將訊息轉換為密文(Ciphertext)。所以即使訊息在中途遭到攔截，其也無法解讀。通訊雙方共享某機密資訊，例如加解密用的金鑰(Key)。唯有擁有此資訊者，才能解讀加密過的訊息。公正第三者：擔任機密資訊(如金鑰)的保管與分配。當通訊雙方發生爭議時，則可扮演仲裁者的角色。負責認證通訊雙方的身份，並核發公開金鑰證書。訊息加解密的方式，又可分為兩大類：對稱式密碼系統(SymmetricKeyCryptosystem)非對稱式密碼系統(AsymmetricKeyCryptosystem)2019/9/27第十五章資訊安全與線上付款機制15對稱式密碼系統PrivateKeyCryptosystem使用者必須產生一把自己的金鑰(Key)，由數個位元(Byte)所組成並用這把金鑰與資料作數位運算，以產生「密文(Ciphertext)」2019/9/27第十五章資訊安全與線上付款機制16對稱式密碼系統-2解密演算法原文原文密文加密演算法2019/9/27第十五章資訊安全與線上付款機制17對稱式密碼系統-3資料加密標準DataEncryptionStandard，簡稱DES基本原理，就是混淆(Confusion)及擴散(Diffusion)。•所謂的混淆，就是將明文轉換成其它的樣子•所謂擴散，則是指明文中的任何一個小地方的變更，都將之擴散到密文的各部分。DES最主要的優點就在於加解密速度快，並且可以用硬體實作。主要的缺點，就在於金鑰的傳輸過程必須絕對地安全。2019/9/27第十五章資訊安全與線上付款機制18非對稱式密碼系統公開金鑰加密法PublicKeyEncryption其中一把可以向他人公開的，稱為「公鑰(PublicKey)」，另一把必須自己保存，且不可公開的稱為「私鑰(PrivateKey)」非對稱式密碼系統具有下列工作項目：金鑰管理(KeyManagement)。數位簽章(Digitalsignature)。資料真確性(Integrity)。無法否認性(Non-repudiation)。2019/9/27第十五章資訊安全與線上付款機制19非對稱式密碼系統-2解密演算法原文原文密文加密演算法加密金鑰解密金鑰2019/9/27第十五章資訊安全與線上付款機制20非對稱式密碼系統-3非對稱式加密法的運作方式如下：假設B小姐想傳送機密資料給A先生。A先生必須先將自己的「公鑰」傳送給B小姐（不需任何保護即可，因為「公鑰」本身就是可以公開的）。接著B小姐將資料用A先生的「公鑰」加密過後傳送過去。A先生接收到後，只要用自己的「私鑰」就可以解開這份資料即可。即使中途被截取，也無法揭露訊息內容。RSA技術Rivest、Shamir、Adleman三位學者發表的RSA原理，其運作主要來自以下數學原理：•尤拉函數(Euler’sFunction)•費碼定理(Fermat’sTheorem)•尤拉定理(Euler’sTheorem)加密速度慢的問題2019/9/27第十五章資訊安全與線上付款機制21數位簽章數位簽章(DigitalSignature)主要在確定兩件事情：這份文件到底是不是B先生的「親筆簽名」？如果檢查通過後，再確認文件在傳遞過程中有無被他人竄改過。2019/9/27第十五章資訊安全與線上付款機制22數位簽章之產生明文訊息摘要數位簽章金鑰明文+數位簽章2019/9/27第十五章資訊安全與線上付款機制23數位簽章之解讀明文訊息摘要數位簽章明文+數位簽章金鑰訊息摘要比對2019/9/27第十五章資訊安全與線上付款機制24電子憑證電子憑證(DigitalCertificate)又稱「數位證書」主要是用來證明公鑰效力的電子證書。相當於我們在網路上的證明文件，證明這一把公鑰的擁有者就是證書上所記載的使用者。電子憑證的內容包括以下欄位：版本(Version)序號(SerialVersion)演算法(AlgorithmIdentifier)發證者(Issuer)發證者識別碼(IssuerUniqueIdentifier)使用者(Subject)使用者識別碼(SubjectUniqueIdentifier)公鑰資訊(PublicKeyInformation)有效日期(PeriodofValidity)2019/9/27第十五章資訊安全與線上付款機制25電子憑證認證中心(CertificationAuthority，簡稱CA)ITU-T的X.509，可說是金鑰管理系統的始祖。TTP：可信賴之第三者(TrustedThirdParty);公鑰之認證單位。若要讓這份電子憑證獲得信賴，則必須由一個可以信賴的來源為此份證書作背書，而此信賴的來源稱為認證中心，其乃負責發出公開金鑰的使用憑證。買賣雙方在獲得自己的憑證後，在未來進行電子交易時可用以表明自己身份並確認對方的身份，以防止交易雙方事後否認交易的事情發生。「憑證路徑」(CertificatePath)不同階層的CA中心之間，依照簽發憑證與背書的先後順序，建立了一個可以獲得信任的路徑。2019/9/27第十五章資訊安全與線上付款機制26防火牆防火牆具有下列優點：執行安全政策紀錄網路活動區隔敏感區域防火牆具有下列功能：偵測外來駭客攻擊的行動。強化身份識別機制。限定網路存取權限。隱藏網路架構。與防毒軟體的整合。整合網路通信協定。資料加解密。內部轉換功能。強化作業系統。警告功能。管理工具。2019/9/27第十五章資訊安全與線上付款機制27防火牆三種類型封包過濾式防火牆PackFilter應用層閘道式防火牆Application-LevelGateway電路層閘道式防火牆Circuit-LevelGateway2019/9/27第十五章資訊安全與線上付款機制28封包過濾式防火牆其運作方式，乃監視通過它的資料流，根據防火牆管理事先制定的系統保全政策，來撰擇性地決定是否讓這些資料通行。2019/9/27第十五章資訊安全與線上付款機制29應用層閘道式防火牆又稱為「代理伺服器」(ProxyServer)所有要向伺服器取的資料，都透過代理伺服器來索取。比方說，客戶端向網頁伺服器取網頁時，會先經過代理伺服器。代理伺服器會進行下列二項程序：(1)本項讀取動作是否合法。(2)若該網頁已存在於代理伺服器中，則直接把網頁傳回客戶端；而若代理伺服器目前並未有這份網頁，它才會向網頁伺服器索取，然後在傳給客戶端後，自行保留一份備份，以俾加速下次客戶端對網頁的索取。2019/9/27第十五章資訊安全與線上付款機制30電路層閘道式防火牆電路層閘道式防火牆是作用於OSI的交談層(SessionLevel)，是介於上述兩者之間的一種型式。其和代理伺服器類似，不過是作用在較低的層次，並沒有針對每個應用程式設定組態。當一個核可的服務接通後，防火牆會建立一個Session，然後馬上將它關閉，利用這種方式來控管系統安全。2019/9/27第十五章資訊安全與線上付款機制31防火牆的系統架構網站服務系統安置在防火牆之內優點是服務系統可以得到安全保護缺點是對使用者造成不便。尤其是對希望從網站得到服務的顧客而言。網站服務系統安置在防火牆之外優點是把不安全因素隔絕在公司外部，對內部而言比較安全缺點是服務系統容易遭受破壞，必須有修復機制。網站服務系統安置在防火牆之上直接把服務系統架置在防火牆上，是介於上述兩者之間的方案兼具上述兩者的優缺點。尤其是當服務系統受到破壞，整個企業就陷入高危險狀態，必須防範。2019/9/27第十五章資訊安全與線上付款機制32S-MIME：安全電子郵件標準MIME是Multi-purposeInternetMailExtension的縮寫，它是一系列開放性的標準文件，改變了過去傳統純文字型態的電子郵件模式，而在電子郵件中整合了多媒體，如圖片、音效、Rich文字、壓縮檔等等；另外也提供多種語系的支援，以及不同電腦系統之間的整合性。S-MIME(SafeMulti-purposeInternetMailExtensions)則是針對MIME標準所設計的一種安全電子訊息交換規格，能針對網路上訊息傳遞所可能產生的威脅加以保護，目前以電子郵件安全為主要的應用的領域。其為MIME規格的加強版，除了支援原本MIME格式之外，另外並提供了許多安全功能，其中包括：發送方身份識別訊息的真確性訊息傳遞過程的機密性2019/9/27第十五章資訊安全與線上付款機制33資訊安全問題常見資安問題：病毒、蠕蟲、木馬、駭客入侵、封包癱瘓、魁儡程式、垃圾郵件、網路釣魚最氾濫的就是病毒/蠕蟲（78.3%）及垃圾郵件（74.3%）需要跨企業交換資訊，如醫療（61.9%）與教育（54.1%）等產業，很容易受到覬覦而遭受木馬與後門攻擊金融（28.4%）與電信（24.2%）等提供服務的產業，則易受DoS/DDoS攻擊2019/9/27第十五章資訊安全與線上付款機制34資安信心迷