《资讯安全与线上付款机制培训讲义(powerpoint 60页)》由会员分享,可在线阅读,更多相关《资讯安全与线上付款机制培训讲义(powerpoint 60页)(61页珍藏版)》请在金锄头文库上搜索。
1、資訊安全資訊安全 與與線上付款機制線上付款機制 電子商務技術篇電子商務技術篇 2022/3/312大綱大綱資訊安全特性資訊安全特性網路安全攻擊網路安全攻擊身份識別身份識別加密技術加密技術數位簽章與電子憑證數位簽章與電子憑證防火牆防火牆資訊安全問題資訊安全問題 電子付款機制電子付款機制電子現金電子現金電子支票電子支票信用卡轉帳信用卡轉帳智慧卡智慧卡小額付款機制小額付款機制虛擬貨幣虛擬貨幣2022/3/313不確定性對購物意願之影響不確定性對購物意願之影響 2022/3/314不確定性不確定性不確定性:產品不確定性、交易流程不確定性不確定性:產品不確定性、交易流程不確定性v產品不確定性產品不確定性
2、消費者會擔心,收到的產品,會不會和他預期的不一樣?消費者會擔心,收到的產品,會不會和他預期的不一樣?是否有瑕庛?是否為劣質品?是否有瑕庛?是否為劣質品?v交易流程不確定性交易流程不確定性擔心在交易過程中,個人資料被洩漏。擔心在交易過程中,個人資料被洩漏。擔心交易內容的隱密性無法被確保。擔心交易內容的隱密性無法被確保。當消費者下了訂單,不確定商家是否確切收到。當消費者下了訂單,不確定商家是否確切收到。對於付款機制的不信賴感。對於付款機制的不信賴感。若採用信用卡付款,擔心號碼被盜用、擔心商家重複請款。若採用信用卡付款,擔心號碼被盜用、擔心商家重複請款。2022/3/31第十五章 資訊安全與線上付款
3、機制5資訊安全特性資訊安全特性 機密性機密性 (Confidentiality)識別性識別性 (Authentification)完整性完整性 (Integrity)無法否認性無法否認性 (Non-Repudiation)2022/3/31第十五章 資訊安全與線上付款機制6網路安全攻擊網路安全攻擊 中斷中斷 (Interrupt)。介入介入 (Interception)。篡改篡改 (Modification)。假造假造 (Fabrication)。2022/3/31第十五章 資訊安全與線上付款機制7中斷中斷 (Interrupt) 2022/3/31第十五章 資訊安全與線上付款機制8介入介入
4、(Interception) 2022/3/31第十五章 資訊安全與線上付款機制9篡改篡改 (Modification) 2022/3/31第十五章 資訊安全與線上付款機制10假造假造 (Fabrication) 2022/3/31第十五章 資訊安全與線上付款機制11身份識別身份識別 現行常見的身份識別機制現行常見的身份識別機制v資料詢問資料詢問v印章印章v簽名簽名v密碼密碼v數位簽章數位簽章v實體卡片實體卡片2022/3/31第十五章 資訊安全與線上付款機制12身份識別身份識別-2 -2新型的身份識別機制新型的身份識別機制v無需電子證書的數位簽章無需電子證書的數位簽章無需電子證書。銀行直接從
5、資料庫中取出客戶金鑰,進行驗證。無需電子證書。銀行直接從資料庫中取出客戶金鑰,進行驗證。銀行直接從資料庫取出資料驗證,效率較高。銀行直接從資料庫取出資料驗證,效率較高。避免避免PKIPKI的複雜程序。的複雜程序。省去建立省去建立CACA的成本。的成本。能在對客戶原先習慣造成最少改變的情況下,提高識別效率的安能在對客戶原先習慣造成最少改變的情況下,提高識別效率的安全機制。全機制。v生物特徵識別生物特徵識別指紋識別。指紋識別。掌紋識別。掌紋識別。視網膜識別。視網膜識別。臉部特徵識別。例如:眼窩上半部、臉頰骨周圍、嘴巴兩側等等。臉部特徵識別。例如:眼窩上半部、臉頰骨周圍、嘴巴兩側等等。聲紋識別。聲紋
6、識別。v動態簽章識別動態簽章識別2022/3/31第十五章 資訊安全與線上付款機制13加密技術加密技術 2022/3/31第十五章 資訊安全與線上付款機制14加密技術加密技術 -2加密技術的精神加密技術的精神v運用加解密技術,將訊息轉換為密文運用加解密技術,將訊息轉換為密文 (Ciphertext)(Ciphertext)。所以即使訊息在中途遭到攔截,其也無法解讀。所以即使訊息在中途遭到攔截,其也無法解讀。v通訊雙方共享某機密資訊,例如加解密用的金鑰通訊雙方共享某機密資訊,例如加解密用的金鑰 (Key)(Key)。唯有擁有此資訊者,才能解讀加密過的訊息。唯有擁有此資訊者,才能解讀加密過的訊息。
7、公正第三者:公正第三者:v擔任機密資訊擔任機密資訊 ( (如金鑰如金鑰) ) 的保管與分配。的保管與分配。v當通訊雙方發生爭議時,則可扮演仲裁者的角色。當通訊雙方發生爭議時,則可扮演仲裁者的角色。v負責認證通訊雙方的身份,並核發公開金鑰證書。負責認證通訊雙方的身份,並核發公開金鑰證書。訊息加解密的方式,又可分為兩大類:訊息加解密的方式,又可分為兩大類:v對稱式密碼系統對稱式密碼系統 (Symmetric Key Cryptosystem)(Symmetric Key Cryptosystem)v非對稱式密碼系統非對稱式密碼系統 (Asymmetric Key Cryptosystem)(Asy
8、mmetric Key Cryptosystem)2022/3/31第十五章 資訊安全與線上付款機制15對稱式密碼系統對稱式密碼系統 Private Key Cryptosystem使用者必須產生一把自己的金鑰使用者必須產生一把自己的金鑰 (Key),由數個位元由數個位元 (Byte) 所組成所組成並用這把金鑰與資料作數位運算,以產並用這把金鑰與資料作數位運算,以產生密文生密文 (Ciphertext)2022/3/31第十五章 資訊安全與線上付款機制16對稱式密碼系統對稱式密碼系統 -2 解密解密 演算法演算法 原文原文 原文原文 密文密文 加密加密 演算法演算法 2022/3/31第十五章
9、 資訊安全與線上付款機制17對稱式密碼系統對稱式密碼系統 -3資料加密標準資料加密標準vData Encryption StandardData Encryption Standard,簡稱,簡稱 DESDESv基本原理,就是混淆基本原理,就是混淆 (Confusion) (Confusion) 及擴散及擴散 (Diffusion)(Diffusion)。所謂的混淆,就是將明文轉換成其它的樣子所謂的混淆,就是將明文轉換成其它的樣子所謂擴散,則是指明文中的任何一個小地方的變更,都將所謂擴散,則是指明文中的任何一個小地方的變更,都將之擴散到密文的各部分。之擴散到密文的各部分。vDESDES最主要的
10、優點就在於加解密速度快,並且可以最主要的優點就在於加解密速度快,並且可以用硬體實作。用硬體實作。v主要的缺點,就在於金鑰的傳輸過程必須絕對地安主要的缺點,就在於金鑰的傳輸過程必須絕對地安全。全。2022/3/31第十五章 資訊安全與線上付款機制18非對稱式密碼系統非對稱式密碼系統公開金鑰加密法公開金鑰加密法Public Key Encryption其中一把可以向他人公開的,稱為公鑰其中一把可以向他人公開的,稱為公鑰 (Public Key),另一把必須自己保存,且不可,另一把必須自己保存,且不可公開的稱為私鑰公開的稱為私鑰 (Private Key)非對稱式密碼系統具有下列工作項目:非對稱式密
11、碼系統具有下列工作項目:v金鑰管理金鑰管理 (Key Management)。v數位簽章數位簽章 (Digital signature)。v資料真確性資料真確性 (Integrity)。v無法否認性無法否認性 (Non-repudiation)。2022/3/31第十五章 資訊安全與線上付款機制19非對稱式密碼系統非對稱式密碼系統-2 解密解密 演算法演算法 原文原文 原文原文 密文密文 加密加密 演算法演算法 加密金鑰加密金鑰 解密金鑰解密金鑰 2022/3/31第十五章 資訊安全與線上付款機制20非對稱式密碼系統非對稱式密碼系統-3非對稱式加密法的運作方式如下:非對稱式加密法的運作方式如下
12、:v假設假設B小姐想傳送機密資料給小姐想傳送機密資料給A先生。先生。vA先生必須先將自己的公鑰傳送給先生必須先將自己的公鑰傳送給B小姐(不需任何保護小姐(不需任何保護即可,因為公鑰本身就是可以公開的)。即可,因為公鑰本身就是可以公開的)。v接著接著B小姐將資料用小姐將資料用A先生的公鑰加密過後傳送過去。先生的公鑰加密過後傳送過去。vA先生接收到後,只要用自己的私鑰就可以解開這份資料先生接收到後,只要用自己的私鑰就可以解開這份資料即可。即可。v即使中途被截取,也無法揭露訊息內容。即使中途被截取,也無法揭露訊息內容。RSA技術技術vRivest、Shamir、 Adleman三位學者發表的三位學者
13、發表的vRSA原理,其運作主要來自以下數學原理:原理,其運作主要來自以下數學原理:尤拉函數尤拉函數(Eulers Function)費碼定理費碼定理(Fermats Theorem)尤拉定理尤拉定理(Eulers Theorem)加密速度慢的問題加密速度慢的問題2022/3/31第十五章 資訊安全與線上付款機制21數位簽章數位簽章 數位簽章數位簽章 (Digital Signature)(Digital Signature)主要在確定兩件事情:主要在確定兩件事情:v這份文件到底是不是這份文件到底是不是B B先生的親筆簽名先生的親筆簽名?v如果檢查通過後,再確認文件在傳遞過程中如果檢查通過後,再
14、確認文件在傳遞過程中有無被他人竄改過。有無被他人竄改過。2022/3/31第十五章 資訊安全與線上付款機制22數位簽章之產生數位簽章之產生 2022/3/31第十五章 資訊安全與線上付款機制23數位簽章之解讀數位簽章之解讀 2022/3/31第十五章 資訊安全與線上付款機制24電子憑證電子憑證 電子憑證電子憑證 (Digital Certificate) (Digital Certificate) 又稱數位證書又稱數位證書v主要是用來證明公鑰效力的電子證書。主要是用來證明公鑰效力的電子證書。v相當於我們在網路上的證明文件,證明這一把公鑰的擁有者相當於我們在網路上的證明文件,證明這一把公鑰的擁有
15、者就是證書上所記載的使用者。就是證書上所記載的使用者。電子憑證的內容包括以下欄位:電子憑證的內容包括以下欄位:v版本版本 (Version) (Version) v序號序號 (Serial Version)(Serial Version)v演算法演算法 (Algorithm Identifier)(Algorithm Identifier)v發證者發證者 (Issuer)(Issuer)v發證者識別碼發證者識別碼 (Issuer Unique Identifier)(Issuer Unique Identifier)v使用者使用者 (Subject)(Subject)v使用者識別碼使用者識別碼
16、 (Subject Unique Identifier)(Subject Unique Identifier)v公鑰資訊公鑰資訊 (Public Key Information)(Public Key Information)v有效日期有效日期 (Period of Validity)(Period of Validity)2022/3/31第十五章 資訊安全與線上付款機制25電子憑證電子憑證認證中心認證中心 (Certification Authority(Certification Authority,簡稱,簡稱 CA)CA)vITU-TITU-T的的 X.509X.509,可說是金鑰管理系統的始祖。,可說是金鑰管理系統的始祖。vTTPTTP:可信賴之第三者:可信賴之第三者 (Trusted Third Party) (Trusted Third Party) ; ; 公鑰之公鑰之認證單位。認證單位。v若要讓這份電子憑證獲得信賴,則必須由一個可以若要讓這份電子憑證獲得信賴,則必須由一個可以信賴的來源為此份證書作背書,而此信賴的來源稱信賴的來源為此份證書作背書,而此信賴的來源稱為認證
