《电子付款与安全机制》由会员分享,可在线阅读,更多相关《电子付款与安全机制(45页珍藏版)》请在金锄头文库上搜索。
1、電子付款與安全機制曾光輝1.電子商務電子商務三流程 資訊流 金流 物流 電子商務的安全性1.1電子商務三流程網路消費者電子商務網站發貨中心金融機構1.消費者上網訂購 並提供付款資料2.確認付款 5.請款3.訂單資料4.貨品送達 客戶資訊流金流物流1.2資訊流n資訊流主要是傳遞消費者的訂單資料,其 中包含消費者的資料(收件人、收件地址 、收件時間),以及訂購的產品資訊(產品 名稱、數量)。n資訊流發生在消費者、電子商務網站、 以及產品的發貨中心。網路消費者電子商務網站發貨中心消費者上網訂購並 提供付款資料 訂單資料1.3金流n金流主要處理電子商務中的付款機制,所 傳遞的資料主要為消費者的付款資料
2、,而 此資料必須保有安全性及正確性,因此必 須配合加密及認證技術來完成。n金流主要發生在電子商務網站及金融機 構之間。電子商務網站確認消費者 付款資料請款金融機構1.4物流n物流處理實體的貨物運送,倘若所銷售的 是數位化的產品,將沒有實際的物流;若 是實體貨物,則物流是電子商務三流程之 中,成本最高的部分。n物流會發生在發貨中心及消費者之間。網路消費者發貨中心貨品送達 客戶1.5電子商務的安全性n電子商務的三流程中,除了物流以外,其餘的資 訊流及金流均是透過網際網路來完成, 網路雖 有傳遞快速、方便、成本低廉的好處,但相對的 網路資料的安全性卻也比較令人擔憂。n把在網路上傳遞的資料加密,即可解
3、決網路資料 安全性的問題。n數位認證則是讓沒有面對面的交易雙方,具有交 易對象身分的確認以及交易的不可否認性。2.密碼學楔子 密碼學名詞解釋 密碼學應用架構 加密法分類 對稱式加密法 非對稱式加密法2.1楔子n加密: 運用技術將要傳遞的訊息隱藏n清末大儒紀曉嵐贈送的對聯 鳳遊禾蔭鳥飛去 馬走蘆邊草不生n禾下加鳳去掉鳥字得禿字 馬置蘆邊去掉草頭得驢字2.2密碼學名詞解釋密文 Ciphertext明文 Plaintext加密 Encryption解密 Decryption加/解密鑰匙 Key2.3密碼學應用架構密碼學/演算法加解密技術應用Symmetric / Asymmetric Cryptog
4、raphyDES,RASdigital signature, Authentication, SSL,SET2.4加密法分類對稱式Symmetric Cryptography 加密解密使用同一組鑰匙 換位,代換 DES (Data Encryption Standard) 非對稱式Asymmetric Cryptography 加密解密使用不同組鑰匙,又稱公開鑰匙(Public Key)加密法 RSA (Rivest, Shamir, and Adleman)2.5對稱式加密運作方式信件 內容密文傳送加/解密鑰匙密文加密加/解密鑰匙信件 內容解密加密解密使用 同一組鑰匙對稱式加密法技術-DES
5、nDES(Data Encryption Standard)為美國國 家標準局於1976年公佈的加密標準,屬 於對稱式加密法,DES主要用於業界及 美國政府當局的非機密(unclassified)應用 。DES的鑰匙長64位元,但因其中每個 位元組皆取1位元作為同位(parity)核對, 故有效鍵長56位元,DES的基本運算是 以連續16次的位元代換及移位及與Key相 運算。 2.6非對稱式加密法n非對稱式 加密又名公開鑰匙(Public Key) 加密法, 在1976年由 Whitfield Diffie 及 Martin Hellman 提出。加密與解密使用不 同鑰匙,解決了傳統加密法必須
6、傳送解 密鑰匙的風險問題。n加密與解密使用成對的兩個不同鑰匙, 其中一組由個人保存,不對外公開,稱 為私密鑰匙(Private Key);另一組則對外 公開,稱為公開鑰匙(Public Key)。非對稱式加密運作方式信件 內容密文傳送密文公開鑰匙公開鑰匙密文加密私密鑰匙信件 內容解密 以公開鑰 匙無法解 密非對稱式加密法技術-RSAnMIT的三位教授在1978年發表了RSA演算 法, 將公開鑰匙化為現實,RSA此名稱 源於它的三位發明人Rivest, Shamir and Adleman,他們後來也參與籌組了RSA資 料安全有限公司。3.數位簽章與安全傳輸n數位簽章n數位信封n訊息完整性檢查n
7、安全傳輸機制n數位認證3.1數位簽章運用非對稱式加密法技術,產生以私密鑰匙加密的 數位簽章,由於私密鑰匙並不公開,因此加密簽章 無法由其他人仿冒。收到加密數位簽章的人,利用 原簽章主人發送的公開鑰匙解密,驗證簽章內容。數位簽章運作個人 識別碼數位 簽章傳送私密鑰匙數位 簽章加密公開鑰匙個人 識別碼解密含數位簽章之信件加密傳遞個人 識別碼數位 簽章傳送寄件人 私密鑰匙數位 簽章加密寄件人 公開鑰匙個人 識別碼解密信件 內容+收件人 公開鑰匙加密密文密文收件人 私密鑰匙解密信件 內容+3.2數位信封非對稱式加密技術由於使用不同的加密與解密鑰 匙,因此適合於網路上傳遞使用,但也由於其演算 法一般較對
8、稱式加密技術複雜,所以加解密需要花 費較多時間。 數位信封則結合兩種加密技術的優點,應用對稱式 加密處理速度較快的優點,先對本文加密。再將對 稱式加密技術所使用的加解密鑰匙,以非對稱式加 密技術加密,如此即可增加傳解密鑰匙的安全性。數位信封運作信件 內容密文傳送對稱加/解密 鑰匙密文加密信件 內容解密收件人 公開鑰匙加密數位信封 鑰匙數位信封 鑰匙收件人 私密鑰匙 對稱加/解密 鑰匙解密3.3訊息完整性檢查n私密鑰匙及公開鑰匙在加密時,均含資料 完整性檢查,但訊息大多分別以小區塊文 字加密,欠缺整段訊息的完整性檢查。n訊息摘要(message digest)功能可以提供可 靠的完整性檢查,避免
9、訊息傳遞過程錯誤 或遭人刪除部分資料。訊息完整性檢查技術-Hashn雜湊(Hash)函式產生的值與輸入的訊息相 關,原訊息的任何變動皆會導致不同的 輸出結果。 n雜湊函式是多對一的(失真的)映射,故無 法由其輸出值計算出原本的輸入訊息, 因為是多對一的,故存在許多訊息其映 射值是相同的。n雜湊函式的運算效率須極快,以滿足實 際的各種應用。Hash實例函式的演算法確認不同訊息內容但具有相同映射值的機率極低,此機率一 般是決定於映射值的長度,其位元數越多,可映射的範圍越大、重複的機 率越低。3.4安全傳輸機制-寄件端2.加密寄件人 私密鑰匙訊息摘要訊息+訊息密文寄件人 數位簽章+寄件人 識別碼對稱
10、加/解 密鑰匙3.加密4.加密收件人 公開鑰匙數位信封+1.產生摘要5.傳送3.4安全傳輸機制-收件端5.解密寄件人 公開鑰匙自認證中心取 得寄件人認證訊息摘要訊息訊息密文寄件人 數位簽章 +寄件人 識別碼對稱加/解 密鑰匙3.解密2.解密收件人 私密鑰匙數位信封8.產生摘要1.接收寄件人 認證識別碼4.取得寄件人 公開鑰匙6.取得寄件人 認證識別訊息摘要7.比對 識別碼9.比對 訊息摘要4.數位認證n數位認證內容n認證傳播n認證申請n認證取用n認證授權n認證過期4.1數位認證內容n認證的目的 確認所使用來加密的公開鑰匙,是正確收信 人所擁有的。n認證包含內容 收信人的公開鑰匙 收信人的識別資
11、料(姓名、帳號、E-Mail) 認證者(機關)數位簽名 認證啟用及過期日期4.2認證傳播方式n手動傳播n認證伺服器Certificate Server 又稱Cert Server或Key Server 提供使用者儲存及取用認證的資料庫n認證中心Certificate Authority 又稱Public Key Infrastructure 由公正的第三者組織建製維護 提供完整的認證機制及管理4.3申請認證程序使用認證中心 提供的軟體 產生鑰匙組個人資料私密鑰匙公開鑰匙認證請求認證中心對身 分資料進行 認證個人資料公開鑰匙數位認證認證中心完成 身分認證後簽 發數位認證數位簽名認證中心 私密鑰匙
12、存放於 認證中 心主機4.4取用認證程序使用者從認證 中心主機查詢取用收件人 的公開鑰匙確認認證個人資料公開鑰匙數位認證 數位簽名認證中心 公開鑰匙取用收件人 的個人資料加到個人 的鑰匙圈4.5認證授權模式n直接授權n階層授權 基本認證中心提供自己 及其他認證中心或使用 者認證 二線認證中心提供其他 認證中心或使用者認證4.6認證過期n認證只有在其有效期限內才有用,沒有 設定有效期限的永久認證是不安全的。n數位認證中包含該認證的啟用及過期日 期。n認證擁有者可以在認證過期前取消認證 ,被取消的認證將紀錄在認證中心的認 證取消列表(CRL,Certificate Revocation List)
13、 ,直到該認證過期。5.電子付款系統與協定SSL SET B2C網路信賴付款機制5.1SSL(Secure Sockets Layer)特 色n介於應用層及傳輸層之間,從應用層傳 送到SSL層的資料先被加密後,再送到傳 輸層;從傳輸層送來的資料先到達SSL層 解密後,再送達應用層。在不變動原有 的TCP/IP架構之下,達到資料加密功能 。n可以動態選擇加密的演算法,議定出雙 方都可以使用的最高加密演算法。SSL架構TCP/IPTCP/IP + SSL在網際網路所使用的TCP/IP協定的應用層與傳輸層中間 增加一SSL層,可以與原有網路設備及軟體相容又達到資 料安全的目的。5.2SETn安全電子
14、交易(Secure Electronic Transactions, 簡稱 SET),是由 VISA 與 MasterCard 兩大信用卡組織提出的一種 應用在網際網路上以信用卡為基礎的電 子付款系統規範,是用來確保開放 網路上持卡交易的安全性。n運用非對稱式加密及數位認證技術SET運作持卡人授權商家認證中心付款閘門金融機構1.採購需求2.回應商家、付款閘門認證,交易序號3.訂購資訊及付款指示4.重製訂購資訊 連帶付款指示, 提出授權請求5.查核付款6. 付款授權7.加密付款 授權8.完成訂購程序提供認證SSL v.s. SET5.3經濟部商業司- B2C網路信賴付款機制n2003年3月底止國
15、內上網人口突破867萬 人,普及率達38%,然而在實際購物上 ,過去一年網友曾在網路上購物比率仍 僅57%、59%網友消費次數1-3次,相對 於上網人口顯著偏低。(資策會ECRC)n探究原因,網路交易安全一直是影響消 費者網路購物的主要障礙(比例高達47%) (資策會MIC)經濟部商業司- B2C網路信賴付款機制(續)n經濟部商業司九十二年度電子商務環 境整備及企業對個人電子商務推動計畫 特別推廣B2C網路信賴付款機制 並進行B2C交易履約保障機制示範 應用輔導,期有效改善網路交易安全問 題,預期普及後網路購物障礙可改善 40%,增加40%網路交易量,帶動約63億 網路交易金額。B2C網路信賴
16、付款架構URL-LINKEZ POS ServerEZ POS ServerPaymentPayment GatewayGateway授權管理介 面(卡號輸入 管理)Cap/Cred/Settlement 帳務管理介面訂購劃面 系統授權結果處理 系統SSL 憑證SSL transactionSSL transaction財金資訊公司電子商場管理者查詢交易 與請款記錄電子商場電子商場BrowserBrowser資料來源: 財金資訊股份有限公司參與成員n銀行:信用卡消費及付款機制 土地、華銀、合庫、台企、中華n付款機制提供者:安全連線付款機制 藍新科技(藍新信賴付款機制)、綠界科技 (綠界金流服務) 、台灣里國際(台灣里網 路交易中心) 、華南銀行(HyPOS EZ網路 付款機制) 、玉山銀行(e-Coin) 、錦華科技 (OK!Payment保障付款中心) 、台灣網路認 證(TWPay網路安全付款)n網路商店:負責商品及物流處理 目前已超過百家
