Скачать презентацию 電子商務安全 主講人 張真誠 教授 逢甲大學 講座教授 中正大學 Скачать презентацию 電子商務安全 主講人 張真誠 教授 逢甲大學 講座教授 中正大學

8626efafed043000d0f75178d3030438.ppt

  • Количество слайдов: 39

電子商務安全 主講人 : 張真誠 教授 逢甲大學 講座教授 中正大學 榮譽教授 電子商務安全 主講人 : 張真誠 教授 逢甲大學 講座教授 中正大學 榮譽教授

綱要 1. 密碼學 2. 電子商務 3. 資訊保密技術 4. 數位簽章 5. 識別系統之設計 6. 電子交易 2 綱要 1. 密碼學 2. 電子商務 3. 資訊保密技術 4. 數位簽章 5. 識別系統之設計 6. 電子交易 2

一、密碼學 ¡ 密碼學:有關研究秘密通訊的學問 1. 如何達成秘密通訊 2. 如何破譯秘密通訊 3 一、密碼學 ¡ 密碼學:有關研究秘密通訊的學問 1. 如何達成秘密通訊 2. 如何破譯秘密通訊 3

傳統加密系統 收方 送方 明文 加密 密文 解密 明文 不安全通訊線 金鑰 安全通訊線 4 傳統加密系統 收方 送方 明文 加密 密文 解密 明文 不安全通訊線 金鑰 安全通訊線 4

公開金鑰加密系統 收方 送方 明文 加密 密文 解密 明文 不安全通訊線 公開金鑰 A B 金鑰 B 公開金鑰加密系統 收方 送方 明文 加密 密文 解密 明文 不安全通訊線 公開金鑰 A B 金鑰 B … … 5

二、電子商務 ¡ 何謂電子商務 所有利用電腦網路所從事的商業行為 ¡ 電子商務之架構 ¡ 電子商務型態 6 二、電子商務 ¡ 何謂電子商務 所有利用電腦網路所從事的商業行為 ¡ 電子商務之架構 ¡ 電子商務型態 6

電子商務之架構 電子商務應用 公共 政策 法 律 及 隱 私 權 的 問 題 供應鏈的管理 電子商務之架構 電子商務應用 公共 政策 法 律 及 隱 私 權 的 問 題 供應鏈的管理 線上行銷及廣告 隨選視訊 遠端金融服務 上網購物 採購和購買 一般商業服務架構 (安全 /身分識別、電子付款、電話黃頁 /型錄 ) 訊息和資訊收發的基礎架構 (EDI、 E-mail、 HTTP) 多媒體內容和網路出版基礎架構 (HTML、 JAVA、 WWW) 技術 標準 文 件 、 安 全 及 網 路 協 定 的 技 術 標 準 網路基礎架構 (電話、有線電視、無線通訊、網際網路) 7

電子商務型態 ¡ 企業內部 ¡ 企業對企業(B 2 B) ¡ 企業對顧客(B 2 C) 8 電子商務型態 ¡ 企業內部 ¡ 企業對企業(B 2 B) ¡ 企業對顧客(B 2 C) 8

電子商務型態 ¡ 企業內部電腦網路 資源共享 ¡ B 2 B 電子資料交換 供應鏈管理(SCM) ¡ QR(Quick Response) ¡ 電子商務型態 ¡ 企業內部電腦網路 資源共享 ¡ B 2 B 電子資料交換 供應鏈管理(SCM) ¡ QR(Quick Response) ¡ ECR(Efficient Consumer Response) 9

電子商務型態 ¡ B 2 C 網路購物 ¡ 市場調查/需求分析 ¡ 電子商店 ¡ 廣告 線上交易 ¡ 電子商務型態 ¡ B 2 C 網路購物 ¡ 市場調查/需求分析 ¡ 電子商店 ¡ 廣告 線上交易 ¡ SET(Secure Electronic Transaction) 10

三、資訊保密技術 ¡ 秘密金鑰加密法 送方 明文 加密 收方 密文 解密 明文 金匙 11 三、資訊保密技術 ¡ 秘密金鑰加密法 送方 明文 加密 收方 密文 解密 明文 金匙 11

三、資訊保密技術 ¡ 公開金鑰加密法 送方 明文 收方 加密 解密 密文 明文 公開金匙 金匙 張三 金匙A 三、資訊保密技術 ¡ 公開金鑰加密法 送方 明文 收方 加密 解密 密文 明文 公開金匙 金匙 張三 金匙A 李四 金匙B … … 金匙 12

三、資訊保密技術 ¡ RSA加密法 1. 張三選 2個大質數p和q,令N=pxq。 2. 張三選 1個與(p-1)x(q-1)互質數e。 3. (e, N)即為張三的公開金鑰; 加密法為C=Me mod 三、資訊保密技術 ¡ RSA加密法 1. 張三選 2個大質數p和q,令N=pxq。 2. 張三選 1個與(p-1)x(q-1)互質數e。 3. (e, N)即為張三的公開金鑰; 加密法為C=Me mod N 4. 張三選 1個數d, 滿足e.d 1 mod (p-1)(q-1) 5. d 即為張三的解密金匙; 解密法為 M=Cd mod N 13

三、資訊保密技術 ¡ RSA加密法-例子 張三選p=3,q=11; 此時N=pxq=3 x 11=33。 2. 張三選出 1個與(p-1)x(q-1)=(3 -1)(11 -1) =2 x 三、資訊保密技術 ¡ RSA加密法-例子 張三選p=3,q=11; 此時N=pxq=3 x 11=33。 2. 張三選出 1個與(p-1)x(q-1)=(3 -1)(11 -1) =2 x 10=20互 質數e=3。 3. (e, N)=(3, 33)即為張三的公開金鑰 4. 張三選 1個數d=7當作解密金匙, 滿足e.d 1 mod 20,亦即,7 x 3 1 mod 20。 令明文 M=19 加密: C=Me mod N=193 mod 33=28. 解密: M=Cd mod N=287 mod 33=19. 1. 14

三、資訊保密技術 ¡ 數位簽章 張三 李四 C=(M張 d mod 張 N)李 e mod 李 N 三、資訊保密技術 ¡ 數位簽章 張三 李四 C=(M張 d mod 張 N)李 e mod 李 N M=(C李 d mod 李 N)張 e mod 張 N 15

三、資訊保密技術 ¡ 數位浮水印 張三 李四 16 三、資訊保密技術 ¡ 數位浮水印 張三 李四 16

三、資訊保密技術 ¡ ¡ 視覺密碼學 憑証(Certificate) 版 特 方 參 發 初 截 使 方 三、資訊保密技術 ¡ ¡ 視覺密碼學 憑証(Certificate) 版 特 方 參 發 初 截 使 方 參 公 數 本 定 法 數 文 始 止 用 法 數 開 字 編 者 時 時 者 密 簽 號 間 間 鑰 章 方法識別 有效期 公開密鑰資料 X. 509証明文件格式~此由CA產生 17

四、數位簽章 The Model of Digital Signature Signer’s secret key Verification Function Signature Message Signer’s 四、數位簽章 The Model of Digital Signature Signer’s secret key Verification Function Signature Message Signer’s public key Message Check Message=? Message 18

RSA Public Key Cryptosystem and Digital Signature Scheme q RSA Digital Signature Scheme v RSA Public Key Cryptosystem and Digital Signature Scheme q RSA Digital Signature Scheme v Sign Function: Signature S=Md mod N. v Verification Function: M=Se mod N. q Example 1. P=11, Q=13, N=143, and (143)=120. 2. e=103, then d=7 (for 103× 7 mod 120=1 ). 3. Sign for M=3: S=37 mod 143=42. 4. Verification: M= Se mod N = 42103 mod 143=3. 19

Blind Signature q D. Chaum proposed in 1983 q D. Chaum’s Blind Signature Scheme Blind Signature q D. Chaum proposed in 1983 q D. Chaum’s Blind Signature Scheme ◆ It uses the RSA algorithm. Security Basis: Factorization Problem ◆ Construction: Bob has a public key, e, a private key, d, and a public modulus, N. Alice wants Bob to sign message M blindly. 1. Alice chooses a random integer k between 1 and N. Then she blinds M by computing t = Mke mod N. 2. Bob signs t, td=(Mke)d mod N. 3. Alice unblinds td by computing s=td/k mod N = Md mod N. s is the signature of message M. 20

Blind Signature Property: Untraceable Applications: Blind signature can be used in electronic cash system. Blind Signature Property: Untraceable Applications: Blind signature can be used in electronic cash system. Bank 1. t=SN×ke mod N SN: Serial # k: random number 2. t Consumer 4. s=(td)/k mod N=SNd mod N Coin: (SN, s) 3. td mod N 5. Coin -signs coins -database 7. Coin Merchant 6. Verify the signature s 21

五、識別系統之設計 ¡ 通行碼識別系統 ¡ 指紋識別系統 ¡ 語音識別系統 22 五、識別系統之設計 ¡ 通行碼識別系統 ¡ 指紋識別系統 ¡ 語音識別系統 22

通行碼識別系統 ¡ 傳統式 使用者名 稱 ID 1 ID 2. . . IDn 通行碼表 PW 通行碼識別系統 ¡ 傳統式 使用者名 稱 ID 1 ID 2. . . IDn 通行碼表 PW 1 PW 2. . . PWn 23

IDi 否!拒絕 ID 格式是否正確 是 PWi ID 1 ID 2. . . IDn 1 IDi 否!拒絕 ID 格式是否正確 是 PWi ID 1 ID 2. . . IDn 1 2. . . n 通行碼表 取出 比較 PWi = I ? 否!拒絕通關 是!接受通關 24

六、付款協定與付款系統 Consumer Browser Payment Merchant Acquirer/ Processor Credit Card Certificate Request Financial Network Debit 六、付款協定與付款系統 Consumer Browser Payment Merchant Acquirer/ Processor Credit Card Certificate Request Financial Network Debit 1 OF BILL’S DOLLARS IN EXCEL WE TRUST E-Cash E-Check WALLET Merchant WWW Server POS Terminal Gateway Financial Host Internet GATE Merchant Solution 25

電子現金交易系統 5. 運送貨物 消費者 1. 要求取得 電子現金 4. 使用電子現金 商家 3. 送出電子現金 E-Mint 6. 電子現金交易系統 5. 運送貨物 消費者 1. 要求取得 電子現金 4. 使用電子現金 商家 3. 送出電子現金 E-Mint 6. 兌領現金 7. 付款至商家帳戶 2. 轉送現金 與消費者往來的銀 行 與商家往來的銀行 26

電子支票交易系統 消費者 1. 瀏覽商家提供之物品資訊 2. 選擇物品並使用電子支票 4. 結束交易 3. 確認支票 7. 消費者帳戶 資料更新 商家 電子支票交易系統 消費者 1. 瀏覽商家提供之物品資訊 2. 選擇物品並使用電子支票 4. 結束交易 3. 確認支票 7. 消費者帳戶 資料更新 商家 5. 將電子支票 送交銀行 票據 交換所 與消費者往來的銀行 6. 將電子支票送交清算中心, 與消費者所屬銀行結算後, 將錢匯入商家帳戶。 與商家往來的銀 行 27

電子信用卡系統 消費者 商家 1. 瀏覽物品資訊 2. 選擇物品並使用電子信用卡 4. 結束交易 7. 更新消費者 帳戶資料 3. 要求並取得 電子信用卡系統 消費者 商家 1. 瀏覽物品資訊 2. 選擇物品並使用電子信用卡 4. 結束交易 7. 更新消費者 帳戶資料 3. 要求並取得 信用授權 5. 提供信用 消費資訊 6. 要求取得消費金額 發卡銀行 與商家往來的銀行 28

認證單位在付款系統上的關係 商家的系統 消費者 認證單位 與消費者往來的銀行系 統 與商家往來的銀行系 統 29 認證單位在付款系統上的關係 商家的系統 消費者 認證單位 與消費者往來的銀行系 統 與商家往來的銀行系 統 29

SET付款交易程序   持     卡     人 1. 確認電子商店之合法 性 2. 提 SET付款交易程序   持     卡     人 1. 確認電子商店之合法 性 2. 提 示電子商店証 書 3. 訂單 數位簽章及電子証 書   特 約 電 子 商 店 6. 訂單確認 完成交 易 交 貨給消費者 4. 請 求交易授權 5. 交易授權回 覆 7. 請 款要求   收   單   銀   行 8. 請 款回覆 與 發卡銀行之授 權與清算 30

John 1. 使用映碎函式 產生訊息摘要 明文 訊息 摘要 2. 使用 John的私密金鑰 產生數位簽章 數位信封 明文、 簽章、 John 1. 使用映碎函式 產生訊息摘要 明文 訊息 摘要 2. 使用 John的私密金鑰 產生數位簽章 數位信封 明文、 簽章、 電子證書 3. 使用對稱金鑰產 生加密資料 4. 使用 Alice的公開金鑰 將對稱金鑰加密,產 生數位信封 加密 資料 5. 傳送數位 信封和加 密資料 加密 資料 數位信封 6. 使用 Alice的私密金 鑰將數位信封解密, 得到對稱金鑰 7. 使用對稱金鑰將加 密資料解密,得到明 文、John的簽章和電 子證書 8. 使用 John的公開金鑰 將數位簽章解密,得 訊息 到訊息摘要 摘要 Alice 10. 比較是否相同 SET應用對稱與非對稱 金鑰系統運作圖 訊息 摘要 9. 使用相同的映碎函 式對明文產生訊息 摘要 明文、 簽章、 電子證書 數位 簽章 明文 31

七、授權度 § 檔案 使用者 程式 檔案系統 File System 檔案庫 查表 32 七、授權度 § 檔案 使用者 程式 檔案系統 File System 檔案庫 查表 32

七、授權度 使用者 檔案 0 : No access 1 : Execute 2 : Read 3 七、授權度 使用者 檔案 0 : No access 1 : Execute 2 : Read 3 : Write 4 : Own 33

八、電腦犯罪 ¡ 資訊時代的新威脅 犯案時間縮短 犯案區域擴增 犯罪方法新穎 資產型態改變 犯案環境單純 34 八、電腦犯罪 ¡ 資訊時代的新威脅 犯案時間縮短 犯案區域擴增 犯罪方法新穎 資產型態改變 犯案環境單純 34

八、電腦犯罪 ¡ 入侵電腦系統方式 摧毀實體 摧毀資訊 竄改資訊 偷用服務 偷窺 偷用資料 35 八、電腦犯罪 ¡ 入侵電腦系統方式 摧毀實體 摧毀資訊 竄改資訊 偷用服務 偷窺 偷用資料 35

八、電腦犯罪 ¡ 犯案新方法 清道夫 混水摸魚 社會心理 篡改資料 線路竊聽 積少成多 n n n 建立陷井 邏輯炸彈 八、電腦犯罪 ¡ 犯案新方法 清道夫 混水摸魚 社會心理 篡改資料 線路竊聽 積少成多 n n n 建立陷井 邏輯炸彈 木馬藏兵 異步攻擊 超級指令 模擬 36

九、結論 ¡ 10 Commandments of Commercial Security Today Don’t aim for perfect security. So, 九、結論 ¡ 10 Commandments of Commercial Security Today Don’t aim for perfect security. So, be realistic, and do the best you can within your limits. Roughly, you should double security expenditure to halve risk. Don’t solve the wrong problem. For example, note that US banks lose 10 billion dollars a year in check fraud but only 5 million in online 37

九、結論 Don’t sell security bottom-up ( in terms of the personnel hierarchy). Don’t use 九、結論 Don’t sell security bottom-up ( in terms of the personnel hierarchy). Don’t use cryptographic overkill. Even bad crypto is usually the strong part of the system. Don’t make it complicated. This yields more places to attack the system, and it encourages users to find ways to bypass security. Don’t make it expensive. 38

九、結論 Don’t use a single line of defense. Have several layers so security can 九、結論 Don’t use a single line of defense. Have several layers so security can be maintained without expensive replacement of the primary line. Don’t forget the “mystery attack”. Be able to regenerate security even when you have no idea what’s going wrong. For example, smart cards are attackable but are great for quick cheap recovery. Don’t trust systems. Don’t trust people. 39