電子付款與安全機(jī)制ppt課件

1、電子付款與平安機(jī)制曾光輝.1.電子商務(wù)電子商務(wù)三流程資訊流金流物流電子商務(wù)的平安性.1.1電子商務(wù)三流程網(wǎng)路消費(fèi)者電子商務(wù)網(wǎng)站發(fā)貨中心金融機(jī)構(gòu)1.消費(fèi)者上網(wǎng)訂購(gòu)並提供付款資料2.確認(rèn)付款5.請(qǐng)款3.訂單資料4.貨品送達(dá)客戶資訊流金流物流.1.2資訊流資訊流主要是傳遞消費(fèi)者的訂單資料,其中包含消費(fèi)者的資料(收件人、收件地址、收件時(shí)間),以及訂購(gòu)的產(chǎn)品資訊(產(chǎn)品名稱、數(shù)量)。資訊流發(fā)生在消費(fèi)者、電子商務(wù)網(wǎng)站、以及產(chǎn)品的發(fā)貨中心。網(wǎng)路消費(fèi)者電子商務(wù)網(wǎng)站發(fā)貨中心消費(fèi)者上網(wǎng)訂購(gòu)並提供付款資料訂單資料.1.3金流金流主要處理電子商務(wù)中的付款機(jī)制,所傳遞的資料主要為消費(fèi)者的付款資料,而此資料必須保有平安性及

2、正確性,因此必須配合加密及認(rèn)證技術(shù)來(lái)完成。金流主要發(fā)生在電子商務(wù)網(wǎng)站及金融機(jī)構(gòu)之間。電子商務(wù)網(wǎng)站確認(rèn)消費(fèi)者付款資料請(qǐng)款金融機(jī)構(gòu).1.4物流物流處理實(shí)體的貨物運(yùn)送,倘假設(shè)所銷售的是數(shù)位化的產(chǎn)品,將沒(méi)有實(shí)際的物流；假設(shè)是實(shí)體貨物,則物流是電子商務(wù)三流程之中,本錢(qián)最高的部分。物流會(huì)發(fā)生在發(fā)貨中心及消費(fèi)者之間。網(wǎng)路消費(fèi)者發(fā)貨中心貨品送達(dá)客戶.1.5電子商務(wù)的平安性電子商務(wù)的三流程中,除了物流以外,其餘的資訊流及金流均是透過(guò)網(wǎng)際網(wǎng)路來(lái)完成, 網(wǎng)路雖有傳遞快速、方便、本錢(qián)低廉的好處,但相對(duì)的網(wǎng)路資料的平安性卻也比較令人擔(dān)憂。把在網(wǎng)路上傳遞的資料加密,即可解決網(wǎng)路資料平安性的問(wèn)題。數(shù)位認(rèn)證則是讓沒(méi)有面對(duì)面的

3、買(mǎi)賣(mài)雙方,具有買(mǎi)賣(mài)對(duì)象身分的確認(rèn)以及買(mǎi)賣(mài)的不可否認(rèn)性。.2.密碼學(xué)楔子密碼學(xué)名詞解釋密碼學(xué)應(yīng)用架構(gòu)加密法分類對(duì)稱式加密法非對(duì)稱式加密法.2.1楔子加密: 運(yùn)用技術(shù)將要傳遞的訊息隱藏清末大儒紀(jì)曉嵐贈(zèng)送的對(duì)聯(lián)鳳遊禾蔭鳥(niǎo)飛去馬走蘆邊草不生禾下加鳳去掉鳥(niǎo)字得禿字馬置蘆邊去掉草頭得驢字.2.2密碼學(xué)名詞解釋密文Ciphertext明文Plaintext加密Encryption解密Decryption加/解密鑰匙Key.2.3密碼學(xué)應(yīng)用架構(gòu)密碼學(xué)/演算法加解密技術(shù)應(yīng)用Symmetric / Asymmetric CryptographyDES,RASdigital signature, Authentic

4、ation,SSL,SET.2.4加密法分類對(duì)稱式Symmetric Cryptography加密解密運(yùn)用同一組鑰匙換位,代換DES (Data Encryption Standard)非對(duì)稱式Asymmetric Cryptography加密解密運(yùn)用不同組鑰匙,又稱公開(kāi)鑰匙(Public Key)加密法RSA (Rivest, Shamir, and Adleman).2.5對(duì)稱式加密運(yùn)作方式信件內(nèi)容密文傳送加/解密鑰匙密文加密加/解密鑰匙信件內(nèi)容解密加密解密運(yùn)用同一組鑰匙.對(duì)稱式加密法技術(shù)-DESDES(Data Encryption Standard)為美國(guó)國(guó)家標(biāo)準(zhǔn)局於1976年公佈的加

5、密標(biāo)準(zhǔn)，屬於對(duì)稱式加密法，DES主要用於業(yè)界及美國(guó)政府當(dāng)局的非機(jī)密(unclassified)應(yīng)用。DES的鑰匙長(zhǎng)64位元，但因其中每個(gè)位元組皆取1位元作為同位(parity)核對(duì)，故有效鍵長(zhǎng)56位元，DES的根本運(yùn)算是以連續(xù)16次的位元代換及移位及與Key相運(yùn)算。 .2.6非對(duì)稱式加密法非對(duì)稱式 加密又名公開(kāi)鑰匙(Public Key)加密法， 在1976年由 Whitfield Diffie 及 Martin Hellman 提出。加密與解密運(yùn)用不同鑰匙，解決了傳統(tǒng)加密法必須傳送解密鑰匙的風(fēng)險(xiǎn)問(wèn)題。加密與解密運(yùn)用成對(duì)的兩個(gè)不同鑰匙，其中一組由個(gè)人保管，不對(duì)外公開(kāi)，稱為私密鑰匙(Privat

6、e Key)；另一組則對(duì)外公開(kāi)，稱為公開(kāi)鑰匙(Public Key)。.非對(duì)稱式加密運(yùn)作方式信件內(nèi)容密文傳送密文公開(kāi)鑰匙公開(kāi)鑰匙密文加密私密鑰匙信件內(nèi)容解密以公開(kāi)鑰匙無(wú)法解密.非對(duì)稱式加密法技術(shù)-RSAMIT的三位教授在1978年發(fā)表了RSA演算法， 將公開(kāi)鑰匙化為現(xiàn)實(shí)，RSA此名稱源於它的三位發(fā)明人Rivest, Shamir and Adleman，他們後來(lái)也參與籌組了RSA資料平安。.3.數(shù)位簽章與平安傳輸數(shù)位簽章數(shù)位信封訊息完好性檢查平安傳輸機(jī)制數(shù)位認(rèn)證.3.1數(shù)位簽章運(yùn)用非對(duì)稱式加密法技術(shù),產(chǎn)生以私密鑰匙加密的數(shù)位簽章,由於私密鑰匙並不公開(kāi),因此加密簽章無(wú)法由其他人仿冒。收到加密數(shù)位

7、簽章的人,利用原簽章主人發(fā)送的公開(kāi)鑰匙解密,驗(yàn)證簽章內(nèi)容。.數(shù)位簽章運(yùn)作個(gè)人識(shí)別碼數(shù)位簽章傳送私密鑰匙數(shù)位簽章加密公開(kāi)鑰匙個(gè)人識(shí)別碼解密.含數(shù)位簽章之信件加密傳遞個(gè)人識(shí)別碼數(shù)位簽章傳送寄件人私密鑰匙數(shù)位簽章加密寄件人公開(kāi)鑰匙個(gè)人識(shí)別碼解密信件內(nèi)容+收件人公開(kāi)鑰匙加密密文密文收件人私密鑰匙解密信件內(nèi)容+.3.2數(shù)位信封非對(duì)稱式加密技術(shù)由於運(yùn)用不同的加密與解密鑰匙,因此適合於網(wǎng)路上傳遞運(yùn)用,但也由於其演算法普通較對(duì)稱式加密技術(shù)複雜,所以加解密需求花費(fèi)較多時(shí)間。數(shù)位信封則結(jié)合兩種加密技術(shù)的優(yōu)點(diǎn),應(yīng)用對(duì)稱式加密處理速度較快的優(yōu)點(diǎn),先對(duì)本文加密。再將對(duì)稱式加密技術(shù)所運(yùn)用的加解密鑰匙,以非對(duì)稱式加密技術(shù)加

8、密,如此即可添加傳解密鑰匙的平安性。.數(shù)位信封運(yùn)作信件內(nèi)容密文傳送對(duì)稱加/解密鑰匙密文加密信件內(nèi)容解密收件人公開(kāi)鑰匙加密數(shù)位信封鑰匙數(shù)位信封鑰匙收件人私密鑰匙對(duì)稱加/解密鑰匙解密.3.3訊息完好性檢查私密鑰匙及公開(kāi)鑰匙在加密時(shí),均含資料完好性檢查,但訊息大多分別以小區(qū)塊文字加密,欠缺整段訊息的完好性檢查。訊息摘要(message digest)功能可以提供可靠的完好性檢查,防止訊息傳遞過(guò)程錯(cuò)誤或遭人刪除部分資料。.訊息完好性檢查技術(shù)-Hash雜湊(Hash)函式產(chǎn)生的值與輸入的訊息相關(guān)，原訊息的任何變動(dòng)皆會(huì)導(dǎo)致不同的輸出結(jié)果。 雜湊函式是多對(duì)一的(失真的)映射，故無(wú)法由其輸出值計(jì)算出本來(lái)的輸入

9、訊息，因?yàn)槭嵌鄬?duì)一的，故存在許多訊息其映射值是一樣的。雜湊函式的運(yùn)算效率須極快，以滿足實(shí)際的各種應(yīng)用。.Hash實(shí)例函式的演算法確認(rèn)不同訊息內(nèi)容但具有一樣映射值的機(jī)率極低，此機(jī)率普通是決定於映射值的長(zhǎng)度，其位元數(shù)越多，可映射的範(fàn)圍越大、重複的機(jī)率越低。.3.4平安傳輸機(jī)制-寄件端2.加密寄件人私密鑰匙訊息摘要訊息+訊息密文寄件人數(shù)位簽章+寄件人識(shí)別碼對(duì)稱加/解密鑰匙3.加密4.加密收件人公開(kāi)鑰匙數(shù)位信封+1.產(chǎn)生摘要5.傳送.3.4平安傳輸機(jī)制-收件端5.解密寄件人公開(kāi)鑰匙自認(rèn)證中心獲得寄件人認(rèn)證訊息摘要訊息訊息密文寄件人數(shù)位簽章+寄件人識(shí)別碼對(duì)稱加/解密鑰匙3.解密2.解密收件人私密鑰匙數(shù)位

10、信封8.產(chǎn)生摘要1.接納寄件人認(rèn)證識(shí)別碼4.獲得寄件人公開(kāi)鑰匙6.獲得寄件人認(rèn)證識(shí)別訊息摘要7.比對(duì)識(shí)別碼9.比對(duì)訊息摘要.4.數(shù)位認(rèn)證數(shù)位認(rèn)證內(nèi)容認(rèn)證傳播認(rèn)證申請(qǐng)認(rèn)證取用認(rèn)證授權(quán)認(rèn)證過(guò)期.4.1數(shù)位認(rèn)證內(nèi)容認(rèn)證的目的確認(rèn)所運(yùn)用來(lái)加密的公開(kāi)鑰匙，是正確收信人所擁有的。認(rèn)證包含內(nèi)容收信人的公開(kāi)鑰匙收信人的識(shí)別資料(姓名、帳號(hào)、)認(rèn)證者(機(jī)關(guān))數(shù)位簽名認(rèn)證啟用及過(guò)期日期.4.2認(rèn)證傳播方式手動(dòng)傳播認(rèn)證伺服器Certificate Server又稱Cert Server或Key Server提供運(yùn)用者儲(chǔ)存及取用認(rèn)證的資料庫(kù)認(rèn)證中心Certificate Authority又稱Public Key I

11、nfrastructure由公正的第三者組織建製維護(hù)提供完好的認(rèn)證機(jī)制及管理.4.3申請(qǐng)認(rèn)證程序運(yùn)用認(rèn)證中心提供的軟體產(chǎn)生鑰匙組個(gè)人資料私密鑰匙公開(kāi)鑰匙認(rèn)證請(qǐng)求認(rèn)證中心對(duì)身分資料進(jìn)行認(rèn)證個(gè)人資料公開(kāi)鑰匙數(shù)位認(rèn)證認(rèn)證中心完成身分認(rèn)證後簽發(fā)數(shù)位認(rèn)證數(shù)位簽名認(rèn)證中心私密鑰匙存放於認(rèn)證中心主機(jī).4.4取用認(rèn)證程序運(yùn)用者從認(rèn)證中心主機(jī)查詢?nèi)∮檬占说墓_(kāi)鑰匙確認(rèn)認(rèn)證個(gè)人資料公開(kāi)鑰匙數(shù)位認(rèn)證數(shù)位簽名認(rèn)證中心公開(kāi)鑰匙取用收件人的個(gè)人資料加到個(gè)人的鑰匙圈.4.5認(rèn)證授權(quán)方式直接授權(quán)階層授權(quán)根本認(rèn)證中心提供本人及其他認(rèn)證中心或運(yùn)用者認(rèn)證二線認(rèn)證中心提供其他認(rèn)證中心或運(yùn)用者認(rèn)證.4.6認(rèn)證過(guò)期認(rèn)證只需在其有效期限

12、內(nèi)才有用，沒(méi)有設(shè)定有效期限的永久認(rèn)證是不平安的。數(shù)位認(rèn)證中包含該認(rèn)證的啟用及過(guò)期日期。認(rèn)證擁有者可以在認(rèn)證過(guò)期前取消認(rèn)證，被取消的認(rèn)證將紀(jì)錄在認(rèn)證中心的認(rèn)證取消列表(CRL,Certificate Revocation List) ，直到該認(rèn)證過(guò)期。.5.電子付款系統(tǒng)與協(xié)定SSLSETB2C網(wǎng)路信賴付款機(jī)制.5.1SSL(Secure Sockets Layer)特征介於應(yīng)用層及傳輸層之間，從應(yīng)用層傳送到SSL層的資料先被加密後，再送到傳輸層；從傳輸層送來(lái)的資料先到達(dá)SSL層解密後，再送達(dá)應(yīng)用層。在不變動(dòng)原有的TCP/IP架構(gòu)之下，達(dá)到資料加密功能?？梢詣?dòng)態(tài)選擇加密的演算法，議定出雙方都可以運(yùn)

13、用的最高加密演算法。.SSL架構(gòu)TCP/IPTCP/IP + SSL在網(wǎng)際網(wǎng)路所運(yùn)用的TCP/IP協(xié)定的應(yīng)用層與傳輸層中間添加一SSL層,可以與原有網(wǎng)路設(shè)備及軟體相容又達(dá)到資料平安的目的。.5.2SET平安電子買(mǎi)賣(mài)(Secure Electronic Transactions, 簡(jiǎn)稱 SET)，是由 VISA 與 MasterCard 兩大信譽(yù)卡組織提出的一種應(yīng)用在網(wǎng)際網(wǎng)路上以信譽(yù)卡為基礎(chǔ)的電子付款系統(tǒng)規(guī)範(fàn)，是用來(lái)確保開(kāi)放網(wǎng)路上持卡買(mǎi)賣(mài)的平安性。運(yùn)用非對(duì)稱式加密及數(shù)位認(rèn)證技術(shù).SET運(yùn)作持卡人授權(quán)商家認(rèn)證中心付款閘門(mén)金融機(jī)構(gòu)1.採(cǎi)購(gòu)需求2.回應(yīng)商家、付款閘門(mén)認(rèn)證,買(mǎi)賣(mài)序號(hào)3.訂購(gòu)資訊及付款指示

14、4.重製訂購(gòu)資訊連帶付款指示,提出授權(quán)請(qǐng)求5.查核付款6. 付款授權(quán)7.加密付款授權(quán)8.完成訂購(gòu)程序提供認(rèn)證.SSL v.s. SET.5.3經(jīng)濟(jì)部商業(yè)司-B2C網(wǎng)路信賴付款機(jī)制2003年3月底止國(guó)內(nèi)上網(wǎng)人口突破867萬(wàn)人，普及率達(dá)38%，然而在實(shí)際購(gòu)物上，過(guò)去一年網(wǎng)友曾在網(wǎng)路上購(gòu)物比率仍僅57%、59%網(wǎng)友消費(fèi)次數(shù)1-3次，相對(duì)於上網(wǎng)人口顯著偏低。(資策會(huì)ECRC)探求緣由，網(wǎng)路買(mǎi)賣(mài)平安不斷是影響消費(fèi)者網(wǎng)路購(gòu)物的主要障礙(比例高達(dá)47%) (資策會(huì)MIC).經(jīng)濟(jì)部商業(yè)司-B2C網(wǎng)路信賴付款機(jī)制(續(xù))經(jīng)濟(jì)部商業(yè)司九十二年度電子商務(wù)環(huán)境整備及企業(yè)對(duì)個(gè)人電子商務(wù)推動(dòng)計(jì)畫(huà)特別推廣B2C網(wǎng)路信賴付款機(jī)制並進(jìn)行B2C買(mǎi)賣(mài)履約保證機(jī)制示範(fàn)?wèi)?yīng)用輔導(dǎo)，期有效改善網(wǎng)路買(mǎi)賣(mài)平安問(wèn)題，預(yù)期普及後網(wǎng)路購(gòu)物障礙可改善40%，添加40%網(wǎng)路買(mǎi)賣(mài)量，帶動(dòng)約63億網(wǎng)路買(mǎi)賣(mài)金額。.B2C網(wǎng)路信賴付款架構(gòu)URL-LINKEZ POS ServerPaymentGateway授權(quán)管理介面(卡號(hào)輸入管理)Cap/Cred/Settlement帳務(wù)管理介面訂購(gòu)劃面系統(tǒng)授權(quán)結(jié)果處理系統(tǒng)SSL 憑證SSL transactionSSLtransaction財(cái)金資訊公司電子商