电子商务安全SecureElectronicCommerceppt课件.ppt
《电子商务安全SecureElectronicCommerceppt课件.ppt》由会员分享,可在线阅读,更多相关《电子商务安全SecureElectronicCommerceppt课件.ppt(105页珍藏版)》请在三一文库上搜索。
1、電子商務安全 Secure Electronic Commerce,1,Min-Yuh Day 戴敏育 Assistant Professor 專任助理教授 Dept. of Information Management, Tamkang University 淡江大學 資訊管理學系 http:/mail.im.tku.edu.tw/myday/ 2011-05-27,行動商務安全 (Mobile Commerce Security),992SEC13 TGMXM0A Fri. 6,7,8 (13:10-16:00) L526,2,週次 月日 內容(Subject/Topics 100/02/
2、18 電子商務安全課程簡介 (Course Orientation for Secure Electronic Commerce) 2 100/02/25 電子商務概論 (Introduction to E-Commerce) 3 100/03/04 電子市集 (E-Marketplaces) 4 100/03/11 電子商務環境下之零售:產品與服務 (Retailing in Electronic Commerce: Products and Services) 5 100/03/18 網路消費者行為、市場研究與廣告 (Online Consumer Behavior, Market Res
3、earch, and Advertisement) 6 100/03/25 電子商務 B2B、B2C、C2C (B2B, B2C, C2C E-Commerce) 7 100/04/01 Web 2.0, Social Network, Social Media 8 100/04/08 教學行政觀摩日 9 100/04/15 行動運算與行動商務 (Mobile Computing and Commerce) 10 100/04/22 期中考試週,Syllabus,3,週次 月日 內容(Subject/Topics 11 100/04/29 電子商務安全 (E-Commerce Security
4、) 12 100/05/06 數位憑證 (Digital Certificate) Module 4 13 100/05/13 網路與網站安全 (Network and Website Security) Module 5 14 100/05/20 交易安全、系統安全、IC卡安全、電子付款 (Transaction Security, System Security, IC Card Security, Electronic Commerce Payment Systems) Module 6, 7, 8, 9 15 100/05/27 行動商務安全 (Mobile Commerce Secu
5、rity) Module 12 16 100/06/03 電子金融安全控管機制 (E-Finance Security Control Mechanisms) 17 100/06/10 營運安全管理 (Operation Security Management) 18 100/06/17 期末考試週,Syllabus (cont.),12-4,Module 12: 行動商務安全,教育部顧問室編輯 “電子商務安全”教材,教育部顧問室編輯 “電子商務安全”教材,委辦單位:教育部顧問室資通安全聯盟 執行單位:國立台灣科技大學管理學院,12-5,學習目的,本模組首先從行動商務的簡介開始,說明在行動商務
6、中的安全需求以及各種現行保護行動商務安全的機制,並介紹幾種目前行動付款的方法,最後探討行動商務安全的管理。 本章利用五個小節介紹 行動商務概述: 定義行動商務,並簡介行動商務所使用之技術以及行動商務的應用 行動商務安全需求: 說明四大安全需求,包含鑑別、機密性、完整性和不可否認性 行動商務安全機制: 介紹包含在行動通訊網路、無線區域網路以及無線個人網路所使用的安全機制 行動付款機制: 說明行動付款機制的架構與流程,並且介紹數種現行使用的行動付款技術 行動商務安全管理:首先介紹無線通訊技術中可能面臨之安全威脅並且說明如何制定對應的安全政策,教育部顧問室編輯 “電子商務安全”教材,12-6,Mod
7、ule 14:行動商務安全,Module 12-1: 行動商務概述 Module 12-2: 行動商務安全需求 Module 12-3: 行動商務安全機制 Module 12-4: 行動付款機制 Module 12-5: 行動商務安全管理,教育部顧問室編輯 “電子商務安全”教材,12-7,Module 12-1: 行動商務概述,教育部顧問室編輯 “電子商務安全”教材,12-8,Module 12-1-1: 行動商務之定義,透過無線網際網路所進行的商業行為稱之為行動商務 (黃貝玲, 民 90) “Any transaction with a monetary value that is cond
8、ucted via a mobile telecommunications network”, (Durlacher, 2000) “The mobile devices and wireless networking environments necessary to provide location independent connectivity ”, (Elliott and Nigel Phillips, 2004) 廣義定義:透過各種可以連接網路的行動裝置,如PDA、手機等設備,來進行各種應用、交易及服務。,教育部顧問室編輯 “電子商務安全”教材,12-9,Module 12-1-
9、2: 行動商務之通訊技術,行動商務之通訊技術主要分為二大類,即為行動裝置以及無線通訊技術 行動裝置包含: GSMGPRS3G手機 PDA Pocket PC GPS導航設備 RFID非接觸式智慧卡 Sensor ,教育部顧問室編輯 “電子商務安全”教材,12-10,Module 12-1-2: 行動商務之通訊技術(續),無線通訊技術可根據傳輸距離的長短來分為三大類,包含: 無線廣域網路 (Wireless Wide Area Network,WWAN) 無線區域網路 (Wireless Local Area Network,WLAN) 無線個人網路 (Wireless Personal Are
10、a Network,WPAN),教育部顧問室編輯 “電子商務安全”教材,12-11,Module 12-1-2: 行動商務之通訊技術(續),WWAN是指傳輸範圍可跨越國家或不同城市之間的無線網路,其傳輸距離較遠、範圍廣大,通常都需由特殊的服務提供者來架設及維護整個網路,一般人只是單純以終端連線裝置來使用無線廣域網路。常見的WWAN技術包含: 第一代通訊技術(1G):早期的類比通訊系統,如AMPS (Advanced Mobile Phone System) 第二代通訊技術(2G、2.5G) :技術如 GSM (Global System for Mobile Communications),而
11、2.5G如GPRS (General Packet Radio Service) 第三代通訊技術(3G):技術如 UMTS (Universal Mobile Telecommunications System ),教育部顧問室編輯 “電子商務安全”教材,12-12,Module 12-1-2: 行動商務之通訊技術(續),1G、2G、3G之比較,教育部顧問室編輯 “電子商務安全”教材,12-13,Module 12-1-2: 行動商務之通訊技術(續),WLAN是指傳輸範圍在100公尺左右的無線網路,像是用於單一建築物或辦公室之內。通常會將 WLAN 和現有的有線區域網路結合,不但增加原本網路的
12、使用彈性,也可擴大無線網路的使用範圍。目前最熱門的 WLAN 技術就是 IEEE (Institute of Electrical and Electronic Engineers,電機電子工程師協會) 的 802.11 及其相關標準,而常見的802.11標準為: 802.11b 802.11a 802.11g 802.11n,教育部顧問室編輯 “電子商務安全”教材,12-14,Module 12-1-2: 行動商務之通訊技術(續),802.11b/a/g/n之比較,教育部顧問室編輯 “電子商務安全”教材,12-15,Module 12-1-2: 行動商務之通訊技術(續),WPAN是指在個人活
13、動範圍內所使用的無線網路技術,這類技術的主要用途是讓個人使用的資訊裝置,像是手機、PDA、筆記型電腦等可互相通訊,以達到交換資料的目的。常見的WPAN技術包含: UWB (Ultra Wide Band) Bluetooth ZigBee NFC (Near Field Communication),教育部顧問室編輯 “電子商務安全”教材,12-16,Module 12-1-2: 行動商務之通訊技術(續),WPAN各項技術比較,教育部顧問室編輯 “電子商務安全”教材,12-17,行動通訊技術之風險與挑戰,行動設備之遺失或遭竊 內部人員所引發的安全問題 中間者攻擊(Man-in-the-midd
14、le attack) 偽造或仿造之設備 病毒/木馬 阻斷服務攻擊(Denial of Service Attack,DOS Attack) 無線電波傳輸之安全性 無線區域網路之安全性 ,教育部顧問室編輯 “電子商務安全”教材,12-18,Module 12-1-3: 行動商務與電子商務之比較,教育部顧問室編輯 “電子商務安全”教材,12-19,Module 12-1-4: 行動商務之應用範圍,目前行動商務的應用已經相當普遍,本小節將以B2C、B2E、B2B來分類介紹 B2C在行動商務中應用的種類是最多的,不管在娛樂、購物以及資訊取得的服務等方面都可見行動商務的應用,包含: 行動銀行行動券商:客
15、戶能透過手機或個人數位助理等無線上網設備,進行包括轉帳、查詢、通知、用戶管理等服務,或者是查詢即時股票的最新行情、各股股價移動通知、投資組合管理,以及買賣股票並於成交時傳送簡訊通知等,教育部顧問室編輯 “電子商務安全”教材,12-20,Module 12-1-4: 行動商務之應用範圍(續),簡訊服務:包含SMS (Short Message Service)MMS (Multimedia Messaging Service) 這類的簡訊服務也可算是B2C行動商務應用的範圍 行動購物:行動購物能讓消費者透過無線上網設備查詢商品及價格相關資訊、瀏覽購物網站、比較不同網站之價格、優惠特賣通知、買賣雙
16、方彼此溝通及支付貨款等服務,例如威秀影城的手機購票服務 行動娛樂服務:提供消費者娛樂性的應用服務,如鈴聲下載、圖像下載、遊戲下載等。行動娛樂是僅次於行動通訊的第二大行動加值服務應用。如目前中華電信的emome 其他如行動廣告等服務,教育部顧問室編輯 “電子商務安全”教材,12-21,Module 12-1-4: 行動商務之應用範圍(續),行動商務B2B的應用則包含: WASP (Wireless Application Service Provider) :在B2B電子商務中相當熱門的一個領域應用軟體租賃服務ASP,目前也開始發展成為無線應用軟體租賃服務WASP或稱MASP (Mobile A
17、pplication Service Provider)。業者利用Linux、Java、XML等通用相容的標準,發展能讓不同無線上網設備連線接收內容的整合性解決方案等 Mobile CRMERP:行動顧客關係管理及企業資源規劃系統 視訊會議遠端協同工作等服務 ,教育部顧問室編輯 “電子商務安全”教材,12-22,Module 12-1-4: 行動商務之應用範圍(續),B2E行動商務是指企業對員工之M化的應用,就適用對象而言,大多是以移動性較高的物流倉儲業、金融壽險業居多,目的是讓這些行動工作者,能透過無線上網設備,隨時隨地收發電子郵件、查閱及修改行事曆,包含以下服務: Mobile PIM (
18、Personal Information Management) Mobile Scheduling Mobile Email Mobile Learning Mobile Intranet Access Document Retrieval and Management,教育部顧問室編輯 “電子商務安全”教材,12-23,Module 12-2: 行動商務安全需求,教育部顧問室編輯 “電子商務安全”教材,12-24,Module 12-2: 行動商務安全需求,通訊系統模型 攻擊者可能採取以下方式進行攻擊 竊取訊息 竄改訊息 偽造訊息 阻斷服務,教育部顧問室編輯 “電子商務安全”教材,12-2
19、5,Module 12-2: 行動商務安全需求,可能的揭露威脅,教育部顧問室編輯 “電子商務安全”教材,12-26,Module 12-2: 行動商務安全需求(續),為了保護使用者在進行行動商務時的資訊安全,必須達到以下四點安全需求,包含: 身分鑑別 (Authentication) 資料機密性 (Data Confidentiality) 資料完整性 (Data Integrity) 不可否認性 (Non-repudiation),教育部顧問室編輯 “電子商務安全”教材,12-27,Module 12-2-1: 身分鑑別,為了確保通訊過程中,使用者的身分合法,而非仿冒的攻擊者,所以必須進行身
20、分鑑別的動作 可依下列秘密特徵來鑑別確認無線裝置或其使用者之身分: 所唯一具有之生理特徵:如指紋、聲紋 所唯一擁有之秘密訊息:如私密金鑰 雙方共同擁有之秘密訊息:如通行碼,教育部顧問室編輯 “電子商務安全”教材,12-28,Module 12-2-1: 身分鑑別(續),鑑別程序,(1) 詢問,要求提供資料鑑別,(2) 應答,提示擁有之特徵,(3) 驗證是否擁有其特徵: 通過,確認Alice 身分; 不通過,否定Alice身分,Alice,Bob,教育部顧問室編輯 “電子商務安全”教材,12-29,Module 12-2-2: 資料機密性,為了保護通訊中所傳遞的訊息被攻擊者攔截,這些訊息有可能是
21、個人的隱密資訊,如使用者帳號、密碼或者是信用卡號,因此可以在訊息傳送之前先將訊息加密,以保護資料的機密性 現代密碼技術中最主要的即是私密金鑰密碼系統 (Private-Key Cryptosystems) 或稱對稱金鑰 (Symmetric-Key) 密碼系統,以及公開金鑰密碼系統 (Public-Key Cryptosystems) 或稱非對稱 (Asymmetric-Key) 金鑰密碼系統 私密金鑰密碼系統,例如:DES, AES 私密金鑰密碼系統,例如:RSA,教育部顧問室編輯 “電子商務安全”教材,12-30,Module 12-2-2: 資料機密性(續),私密金鑰密碼系統之概念 Al
22、ice和Bob使用同一把加解密金鑰,教育部顧問室編輯 “電子商務安全”教材,12-31,Module 12-2-2: 資料機密性(續),公開金鑰密碼系統之概念 加密與解密所使用的金鑰不同,教育部顧問室編輯 “電子商務安全”教材,12-32,Module 12-2-3: 資料完整性,資料完整性則是提供保護以防止攻擊者對於通訊中的訊息進行更改或者是破壞,造成使用者接收到錯誤的訊息 為了保護資料完整性,可在訊息接收完成後進行檢查,常用的做法如訊息鑑別碼 (Message Authentication Code,MAC) MAC=Ck(M),其中M為訊息,C為MAC函式,k為私密鑰, MAC為運算後產
23、生的訊息鑑別碼 將MAC加在每個訊息之後一起傳送給接收端,接收端使用同一把私密鑰執相同的運算,比對個MAC即可確認訊息是否遭受修改,教育部顧問室編輯 “電子商務安全”教材,12-33,Module 12-2-3: 資料完整性(續),訊息鑑別碼之概念,教育部顧問室編輯 “電子商務安全”教材,12-34,Module 12-2-4: 不可否認性,不可否認性是為了防止惡意的使用者否認先前所進行過的交易,其目標是產生、收集、維護以及驗證關於宣稱的事件或行動之證據,以解決關於已經發生或尚未發生事件的糾紛 為了達成不可否認性,通常可採取數位簽章之技術,例如:RSA數位簽章法演算法 數位簽章具備以下特性:
24、鑑別性 完整性 不可否認性,教育部顧問室編輯 “電子商務安全”教材,12-35,Module 12-2-4: 不可否認性(續),數位簽章之概念,來源:中華電信研究所,教育部顧問室編輯 “電子商務安全”教材,12-36,Module 12-2-4: 不可否認性(續),不可否認機制CNS 14510-1 Protocol,教育部顧問室編輯 “電子商務安全”教材,12-37,Module 12-3: 行動商務安全機制,教育部顧問室編輯 “電子商務安全”教材,12-38,Module 12-3: 行動商務安全機制,目前已經有許多適用於行動商務的安全機制提出,這些機制有些使用在GSM系統中,有些則使用在
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 电子商务 安全 SecureElectronicCommerceppt 课件
链接地址:https://www.31doc.com/p-2578778.html