第十五周电子商务的安全与加密File.PPTVIP

第七章電子商務的安全與加密 (二) 主講人:黃鎮榮 東方設計學院觀光與休閒事業管理系 E-mail: asjwhuang@.tw 本章課程大綱 7.1網路安全性環境 7.2電子商務環境中的安全性威脅 7.3網路安全政策 7.4資料加密、解密與驗證 7.5防火牆 7.6惡意程式 7.7網路攻擊 7.4資料加密、解密與驗證 資料加密技術主要是將資料與訊息變成亂碼，使得不相關之他人無法解讀。 變成亂碼的過程需要一個運算的法則(algorithms)，此運算法則是要使欲從亂碼演譯回原始的訊息，即變成一項非常複雜又耗時間的工作，以致於在實務上用猜測的方法來解讀一個加密過的訊息，幾乎變成不可能。 7.4資料加密、解密與驗證 資料加密方法的種類很多，但均有一相同的特性，就是要有一支金鑰(key)，沒有金鑰則無法將訊息解密。現代的加密方法之中，運算法則是公開的；但是需要有一個參數的輸入至運算法則之中，這個參數就是金鑰。公鑰加密法以公鑰加密，以私鑰解密。加密技術通常以演算法產生。 7.4資料加密、解密與驗證 一、對稱式(Symmetric)密碼系統—私密金鑰演算法 二、非對稱式(Asymmetric)密碼系統—公開金鑰演算法 三、數位信封(Digital Envelope) 四、數位簽章（Digital Signature） 五、雜湊函數(Hash Function) 六、盲目簽章(Blind Signature) 七、X.509金鑰管理協定 八、Key Escrow金鑰託管系統 九、網路安全守門員—認證授信機構 十、公共金鑰基礎建設(Public Key Infrastructure，PKI) 密碼系統 數位信封 數位簽章 數位簽章(Digital Signature)，就是一種利用電磁紀錄的方式來取代傳統的印章或簽名的一種加密技術，這種的數位簽章不單具有高度的安全性，更能取代傳統印章或簽名的缺點。 數位簽章（又稱公鑰數位簽章、電子簽章）是一種類似寫在紙上的普通的物理簽名，但是使用了公鑰加密領域的技術實現，用於鑒別數位信息的方法。一套數位簽章通常定義兩種互補的運算，一個用於簽名，另一個用於驗證。 數位簽章 數位簽章就是一種利用加密的演算法通常是以PKI（Public Key Infrastructure）技術為基礎，再去把數位的資料經由PKI演算法的加密技術來提高資料在傳輸過程中的機密性(確保資料的簽署就是本人)、完整性(確保資料經簽署後，不會遭受到竄改)及不可否認性(確保資料簽署後的來源)。有了數位簽章的技術，當資料在傳輸的過程中，將有數位簽章的保護，較不易駭客攔截走後，可輕易的被破解。此種的加密技術是利用一種雜湊(hash)函數的方法，來將資料加密。雜湊之後會產生檢查碼，再利用檢查碼作為私密金鑰加密的資料來源，將資料和加密之後的檢查碼一起傳送到接收端。在接收端收到訊息後，再把檢查碼放入雜湊的函數中取推算並解密，如比對結果為正確，就可以將訊息完整的顯示出來。 雜湊函數 雜湊函數是用來將資料打亂、混合同時濃縮訊息長度，產生一個雜湊值來表示的機制。而產生的雜湊值具備無法由此濃縮訊息反向推導出原訊息之功能。好的雜湊函數在輸入域中很少出現雜湊衝突。 所有雜湊函數都有如下一個基本特性：如果兩個雜湊值是不相同的（根據同一函數），那麼這兩個雜湊值的原始輸入也是不相同的。這個特性是雜湊函數具有確定性的結果。但另一方面，雜湊函數的輸入和輸出不是一一對應的，如果兩個雜湊值相同，兩個輸入值很可能是相同的，但並不能絕對肯定二者一定相等。輸入一些資料計算出雜湊值，然後部分改變輸入值，一個具有強混淆特性的雜湊函數會產生一個完全不同的雜湊值 7.5防火牆 防火牆(Firewall)為一軟體或硬體之系統，可管制外部使用者對企業網路的連結及存取。防火牆的目的是用以保護區域網路(LAN)不受網路外的人所入侵。 防火牆的工作原理是在Internet與Intranet之間建立一個屏障，因此防火牆通常置於網路閘道點上。一般可分為封包過濾型及代理人型。 7.5防火牆 7.5.1封包過濾器 7.5.2連線閘道器 7.5.3應用程式代理器 7.5.1封包過濾器 封包過濾器型的防火牆是屬於網路層(Network-Level)的防衛機制，是一個類似路由器的網路裝置，負責將網路封包由外部網路轉送到受保護的內部網路。所不同的是，它會將過濾規則中所不允許通過的封包過濾掉並記錄其封包資訊 傳統的封包過濾器型防火牆主要是針對封包標頭的四項欄位作檢查： 來源端的IP位址(Source IP Address) 目的端的IP位址(Destination IP Address) 來源端的TCP/UDP埠(Source TCP/UDP Port) 目的端的TCP/UDP埠(Destination T