电子商务的安全与加密.ppt

第五章 電子商務的安全與加密 Security and Encryption 學習目標: 了解EC犯罪安全問題 說明EC安全性的重要層面 瞭解安全性與其他價值間的緊張關係 說明EC環境中的主要安全性威脅 說明各程加密技術如何協助保護INTERNET傳送訊息安全 說明建立安全INTERNET通訊管道的工具 指出保護網路,SERVER,CLIENT的工具 體會產生安全性的政策,程序,法律的重要 消費者與業者的風險 消費者的基本風險:無法得到購買的產品/服務,也可能在交易時有人偷了你的錢or虛擬貨幣,也包括失去隱私 (關於你購買行為相關資訊) 業者的風險:銷售了產品/服務卻沒收到錢 5.1 電子商務的安全性環境 Computer Security Institute:調查583家美國公司,政府機構: 85%:最近12個月有電腦安全性破壞 64%:承認有財務損失 35%:估算損失達$37,700萬 最嚴重損失:專利資訊失竊,金融詐騙 2000年信用卡詐騙達15億 2003年信用卡詐騙可能達150億 電子商務的安全性環境(續) 並非全部的網路罪犯都是為了錢,有些罪犯只是為了污損、破壞、或中斷網站?形象受損 專利資訊失竊 金融詐騙行為 (信用卡盜刷) 機構外部的攻擊 拒絕服務攻擊 (使網站停用) 病毒攻擊 什麼是好的電子商務安全性 只要有足夠的資源,怎樣的安全系統都可被破壞,安全不是絕對的,好的電子商務安全性需要有 資訊是有時間價值 電子商務安全性環境:圖5.2 科技 組織政策,程序 法規 在可行範圍內確保個人與機構免受電子商務市場上未預期的行為所害 電子商務安全性的層面 定義: 電子商務的安全性就是設計來保護以下六個層面,有任何一方面有危險,就有安全性的問題 完整性 integrity 無可否認性 nonrepudiation 身份辨識性 Authenticity 機密性 Confidentiality 隱私性 Privacy 企業內部政策管理顧客資料 保護資訊不受非法or未許可的使用 可取得性 Availability 電子商務 其他價值的權衡 易於使用 ? ?安全性 (太安全,可能損及利潤) 公共安全及安全性的犯罪用途 電子商務的安全性威脅 三個主要弱點:客戶端,伺服端,通訊管道 安全性七大威脅 惡意程式 Malicious code 入侵與網路破壞行為Hacking and cybervandalism 信用卡詐欺 / 盜竊 --- 社會觀點: 電子簽章 欺騙 Spoofing 拒絕服務攻擊 Denial of service, DoS 監聽 Sniffing 內部手腳 Insider jobs 5.3 科技解決方案 電子商務網站對抗安全性威脅的第一道防線,就是讓外部人士難以入侵或破壞的一系列技術,參考圖5.5 保護網際網路通訊 最大的安全性威脅發生在網際網路通訊的層級, 有些工具可以用來保護網際網路通訊的安全, 其中最基本的就是訊息加密 加密 加密: 是一種把純文字或數據資料轉換成密碼文字的過程, 除了傳送者和接收者以外沒有人可以閱讀 目的:確保儲存資訊安全,確保資訊傳輸安全 加密可以提供電子商務六個主要層面的其中四個: 訊息完整性 無可否認性 身份辨識性 機密性(參考表5.1) 加密(續) 把純文字變成密碼文字的轉換,要利用金鑰來完成 替換密碼: HELLO ? JGNNQ 轉移密碼: HELLO ? OLLEH 其他: HELLO ? HLO EL 對稱金鑰加密法 對稱金鑰加密法(私密金鑰加密法): 要解開加密後的資訊, 接收者必須知道加密的金鑰為何 接收者與傳送者使用相同的金鑰 金鑰必須透過某種通訊媒介來傳送,或是私下交換金鑰 現代的加密系統都是數位化的, 因此金鑰都是數字字串, 使用的有56、128 、256或512位二進位的金鑰 對稱金鑰加密法(續) 今日網際網路最廣泛使用的對秤金耀加密系統是資料加密標準 (DES, Data Encryption Standard) DES是國家安全機構 (NSA)與IBM在1950年代開發的 DES是用56位元的加密金鑰, 為了應付更快速的電腦, 已經改良成三倍DES, 就是把一個訊息加密三次, 每次使用不同的金鑰 公開金鑰加密法 1976 ,Whitfield Diffie Martin Hellman 私密金鑰(擁有者收藏),公開金鑰(廣為散佈) 二者可用於加密,解密,但不可同時做為二項用途 利用不可逆函數產生金鑰 數位簽章 雜湊摘要的公開金鑰加密法 公開金鑰加密法?缺少完整性?利用雜湊函數 改善之 安全的通訊管道 SSL (Secure Sockets Layer) 利用SSL來建立一個安全協調程序, 注意: URL會從HTTP變成HTTPS