电子商务安全SecureElectronicCommerceppt课件.ppt

《电子商务安全SecureElectronicCommerceppt课件.ppt》由会员分享，可在线阅读，更多相关《电子商务安全SecureElectronicCommerceppt课件.ppt（105页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、电子商务安全SecureElectronicCommerceppt课件 Still waters run deep.流静水深流静水深,人静心深人静心深 Where there is life,there is hope。有生命必有希望。有生命必有希望2週次 月日 內容（Subject/Topics1100/02/18 電子商務安全課程簡介 (Course Orientation for Secure Electronic Commerce)2 100/02/25 電子商務概論(Introduction to E-Commerce)3 100/03/04 電子市集(E-Marketplaces)

2、4 100/03/11 電子商務環境下之零售：產品與服務 (Retailing in Electronic Commerce:Products and Services)5 100/03/18 網消費者為、市場研究與廣告 (Online Consumer Behavior,Market Research,and Advertisement)6 100/03/25 電子商務 B2B、B2C、C2C(B2B,B2C,C2C E-Commerce)7 100/04/01 Web 2.0,Social Network,Social Media 8 100/04/08 教學政觀摩日9 100/04/15

3、 動運算與動商務(Mobile Computing and Commerce)10 100/04/22 期中考試週Syllabus3週次 月日 內容（Subject/Topics11 100/04/29 電子商務安全(E-Commerce Security)12 100/05/06 位憑證 (Digital Certificate)Module 413 100/05/13 網與網站安全(Network and Website Security)Module 514 100/05/20 交安全、系統安全、IC卡安全、電子付款 (Transaction Security,System Securi

4、ty,IC Card Security,Electronic Commerce Payment Systems)Module 6,7,8,915 100/05/27 動商務安全(Mobile Commerce Security)Module 1216 100/06/03 電子融安全控管機制 (E-Finance Security Control Mechanisms)17 100/06/10 營運安全管(Operation Security Management)18 100/06/17 期末考試週Syllabus(cont.)12-4Module 12:行動商務安全行動商務安全教育部顧問室編

5、輯教育部顧問室編輯“電子商務安全電子商務安全”教材教材教育部顧問室編輯“電子商務安全”教材委辦單位：教育部顧問室資通安全聯盟委辦單位：教育部顧問室資通安全聯盟委辦單位：教育部顧問室資通安全聯盟委辦單位：教育部顧問室資通安全聯盟執行單位：國立台灣科技大學管理學院執行單位：國立台灣科技大學管理學院執行單位：國立台灣科技大學管理學院執行單位：國立台灣科技大學管理學院12-5學習目的學習目的本模組首先從行動商務的簡介開始，說明在行動商務中的安全需求以及各種現行保護行動商務安全的機制，並介紹幾種目前動付款的方法，最後探討動商務安全的管。本章利用五個小節介紹1.行動商務概述:定義行動商務，並簡介動商務所使

6、用之技術以及動商務的應用2.行動商務安全需求:說明四大安全需求，包含鑑別、機密性、完整性和可否認性3.行動商務安全機制:介紹包含在行動通訊網路、無線區域網以及無線個人網所使用的安全機制4.行動付款機制:說明行動付款機制的架構與流程，並且介紹種現使用的動付款技術5.行動商務安全管理:首先介紹無線通訊技術中可能面臨之安全威脅並且說明如何制定對應的安全政策教育部顧問室編輯“電子商務安全”教材12-6Module 14:行動商務安全行動商務安全 Module 12-1:行動商務概述 Module 12-2:行動商務安全需求 Module 12-3:行動商務安全機制 Module 12-4:行動付款機制

7、 Module 12-5:行動商務安全管理教育部顧問室編輯“電子商務安全”教材12-7Module 12-1:行動商務概述行動商務概述教育部顧問室編輯“電子商務安全”教材12-8Module 12-1-1:行動商務之定義行動商務之定義透過無線網際網所進的商業為稱之為動商務（黃貝玲,民 90）“Any transaction with a monetary value that is conducted via a mobile telecommunications network”,(Durlacher,2000)“The mobile devices and wireless network

8、ing environments necessary to provide location independent connectivity”,(Elliott and Nigel Phillips,2004)廣義定義：透過各種可以接網的動裝置，如PDA、手機等設備，進各種應用、交及服務。教育部顧問室編輯“電子商務安全”教材12-9Module 12-1-2:行動商務之通訊技術行動商務之通訊技術動商務之通訊技術主要分為二大類，即為動裝置以及無線通訊技術動裝置包含：GSMGPRS3G手機PDA Pocket PCGPS導航設備RFID非接觸式智慧卡Sensor教育部顧問室編輯“電子商務安全”教

9、材12-10Module 12-1-2:行動商務之通訊技術行動商務之通訊技術（續）（續）無線通訊技術可根據傳輸距離的長短分為三大類，包含：無線廣域網(Wireless Wide Area Network，WWAN)無線區域網(Wireless Local Area Network，WLAN)無線個人網(Wireless Personal Area Network，WPAN)教育部顧問室編輯“電子商務安全”教材12-11Module 12-1-2:行動商務之通訊技術行動商務之通訊技術（續）（續）WWAN是指傳輸範圍可跨越國家或同城市之間的無線網，其傳輸距離較遠、範圍廣大，通常需由特殊的服務提供者

10、架設及維護整個網，一般人只是單純以終端線裝置使用無線廣域網。常見的WWAN技術包含：第一代通訊技術(1G)：早期的類比通訊系統，如AMPS(Advanced Mobile Phone System)第二代通訊技術(2G、2.5G)：技術如 GSM(Global System for Mobile Communications)，而2.5G如GPRS(General Packet Radio Service)第三代通訊技術(3G)：技術如 UMTS(Universal Mobile Telecommunications System)教育部顧問室編輯“電子商務安全”教材12-12Module 1

11、2-1-2:行動商務之通訊技術行動商務之通訊技術（續）（續）1G、2G、3G之比較教育部顧問室編輯“電子商務安全”教材12-13Module 12-1-2:行動商務之通訊技術行動商務之通訊技術（續）（續）WLAN是指傳輸範圍在100公尺左右的無線網，像是用於單一建築物或辦公室之內。通常會將 WLAN 和現有的有線區域網結合，但增加原本網的使用彈性，也可擴大無線網的使用範圍。目前最熱門的 WLAN 技術就是 IEEE(Institute of Electrical and Electronic Engineers,電機電子工程師協會)的 802.11 及其相關標準，而常見的802.11標準為：8

12、02.11b802.11a802.11g802.11n教育部顧問室編輯“電子商務安全”教材12-14Module 12-1-2:行動商務之通訊技術行動商務之通訊技術（續）（續）802.11b/a/g/n之比較802.11b802.11a802.11g802.11nApproved by IEEEDec-99Jan-00Jun-03Dec-07Maximum Data Rate11 Mbps54 Mbps54 Mbps600 MbpsTypical Range70 m30 m50 m60 mFreq Band2.4 GHz5 GHz2.4 GHz2.4/5 GHz教育部顧問室編輯“電子商務安全”

13、教材12-15Module 12-1-2:行動商務之通訊技術行動商務之通訊技術（續）（續）WPAN是指在個人活動範圍內所使用的無線網技術，這類技術的主要用途是讓個人使用的資訊裝置，像是手機、PDA、筆記型電腦等可互相通訊，以達到交換資的目的。常見的WPAN技術包含：UWB(Ultra Wide Band)BluetoothZigBeeNFC(Near Field Communication)教育部顧問室編輯“電子商務安全”教材12-16Module 12-1-2:行動商務之通訊技術行動商務之通訊技術（續）（續）WPAN各項技術比較教育部顧問室編輯“電子商務安全”教材12-17行動通訊技術之風險

14、與挑戰行動通訊技術之風險與挑戰動設備之遺失或遭竊內部人員所引發的安全問題中間者攻擊(Man-in-the-middle attack)偽造或仿造之設備病毒/木馬阻斷服務攻擊(Denial of Service Attack，DOS Attack)無線電波傳輸之安全性無線區域網之安全性教育部顧問室編輯“電子商務安全”教材12-18Module 12-1-3:行動商務與電子商務之比較行動商務與電子商務之比較電子商務動商務產品或服務之重點產品服務產品或服務之資訊靜態資訊與資動態資訊與資產品或服務之存取方式有線存取無線存取產品或服務之存取特性固定非時間限制之存取存取之動性與可攜性教育部顧問室編輯“電子

15、商務安全”教材12-19Module 12-1-4:行動商務之應用範圍行動商務之應用範圍目前動商務的應用已經相當普遍，本小節將以B2C、B2E、B2B分類介紹B2C在動商務中應用的種類是最多的，管在娛樂、購物以及資訊取得的服務等方面可見動商務的應用，包含：動銀動券商：客戶能透過手機或個人位助等無線上網設備，進包括轉帳、查詢、通知、用戶管等服務，或者是查詢即時股票的最新情、各股股價移動通知、投資組合管，以及買賣股票並於成交時傳送簡訊通知等教育部顧問室編輯“電子商務安全”教材12-20Module 12-1-4:行動商務之應用範圍行動商務之應用範圍（續）（續）簡訊服務：包含SMS(Short Me

16、ssage Service)MMS(Multimedia Messaging Service)這類的簡訊服務也可算是B2C動商務應用的範圍動購物：動購物能讓消費者透過無線上網設備查詢商品及價格相關資訊、瀏覽購物網站、比較同網站之價格、優惠特賣通知、買賣雙方彼此溝通及支付貨款等服務，例如威秀影城的手機購票服務動娛樂服務：提供消費者娛樂性的應用服務，如鈴聲下載、圖像下載、遊戲下載等。行動娛樂是僅次於行動通訊的第二大行動加值服務應用。如目前中華電信的emome其他如動廣告等服務教育部顧問室編輯“電子商務安全”教材12-21Module 12-1-4:行動商務之應用範圍行動商務之應用範圍（續）（續）動

17、商務B2B的應用則包含：WASP(Wireless Application Service Provider)：在B2B電子商務中相當熱門的一個領域應用軟體租賃服務ASP，目前也開始發展成為無線應用軟體租賃服務WASP或稱MASP(Mobile Application Service Provider)。業者用Linux、Java、XML等通用相容的標準，發展能讓同無線上網設備線接收內容的整合性解決方案等Mobile CRMERP：動顧客關係管及企業資源規劃系統視訊會議遠端協同工作等服務教育部顧問室編輯“電子商務安全”教材12-22Module 12-1-4:行動商務之應用範圍行動商務之應用範

18、圍（續）（續）B2E動商務是指企業對員工之M化的應用，就適用對象而言，大多是以移動性較高的物倉儲業、融壽險業居多，目的是讓這些動工作者，能透過無線上網設備，隨時隨地收發電子郵件、查閱及修改事曆，包含以下服務：Mobile PIM(Personal Information Management)Mobile SchedulingMobile EmailMobile LearningMobile Intranet AccessDocument Retrieval and Management教育部顧問室編輯“電子商務安全”教材12-23Module 12-2:行動商務安全需求行動商務安全需求教育部

19、顧問室編輯“電子商務安全”教材12-24Module 12-2:行動商務安全需求行動商務安全需求通訊系統模型攻擊者可能採取以下方式進攻擊竊取訊息竄改訊息偽造訊息阻斷服務教育部顧問室編輯“電子商務安全”教材12-25Module 12-2:行動商務安全需求行動商務安全需求可能的揭露威脅教育部顧問室編輯“電子商務安全”教材12-26Module 12-2:行動商務安全需求行動商務安全需求（續）（續）為了保護使用者在進動商務時的資訊安全，必須達到以下四點安全需求，包含：身分鑑別(Authentication)資機密性(Data Confidentiality)資完整性(Data Integrity)

20、可否認性(Non-repudiation)教育部顧問室編輯“電子商務安全”教材12-27Module 12-2-1:身分鑑別身分鑑別為了確保通訊過程中，使用者的身分合法，而非仿冒的攻擊者，所以必須進身分鑑別的動作可依下列秘密特徵鑑別確認無線裝置或其使用者之身分：所唯一具有之生特徵：如指紋、聲紋所唯一擁有之秘密訊息：如私密鑰雙方共同擁有之秘密訊息：如通碼教育部顧問室編輯“電子商務安全”教材12-28Module 12-2-1:身分鑑別身分鑑別（續）（續）鑑別程序(1)詢問，要求提供資鑑別(2)應答，提示擁有之特徵(3)驗證是否擁有其特徵：通過，確認Alice 身分；通過，否定Alice身分Ali

21、ceBob教育部顧問室編輯“電子商務安全”教材12-29Module 12-2-2:資料機密性資料機密性為了保護通訊中所傳遞的訊息被攻擊者攔截，這些訊息有可能是個人的隱密資訊，如使用者帳號、密碼或者是信用卡號，因此可以在訊息傳送之前先將訊息加密，以保護資的機密性現代密碼技術中最主要的即是私密鑰密碼系統(Private-Key Cryptosystems)或稱對稱鑰(Symmetric-Key)密碼系統，以及公開鑰密碼系統(Public-Key Cryptosystems)或稱非對稱(Asymmetric-Key)鑰密碼系統私密鑰密碼系統，例如：DES,AES私密鑰密碼系統，例如：RSA教育部顧

22、問室編輯“電子商務安全”教材12-30Module 12-2-2:資料機密性資料機密性（續）（續）私密鑰密碼系統之概念Alice和Bob使用同一把加解密鑰教育部顧問室編輯“電子商務安全”教材12-31Module 12-2-2:資料機密性資料機密性（續）（續）公開鑰密碼系統之概念加密與解密所使用的鑰同教育部顧問室編輯“電子商務安全”教材12-32Module 12-2-3:資料完整性資料完整性資完整性則是提供保護以防止攻擊者對於通訊中的訊息進更改或者是破壞，造成使用者接收到錯誤的訊息為了保護資完整性，可在訊息接收完成後進檢查，常用的做法如訊息鑑別碼(Message Authentication

23、 Code，MAC)MAC=Ck(M)，其中M為訊息，C為MAC函式，k為私密鑰，MAC為運算後產生的訊息鑑別碼將MAC加在每個訊息之後一起傳送給接收端，接收端使用同一把私密鑰執相同的運算，比對個MAC即可確認訊息是否遭受修改教育部顧問室編輯“電子商務安全”教材12-33Module 12-2-3:資料完整性資料完整性（續）（續）訊息鑑別碼之概念教育部顧問室編輯“電子商務安全”教材12-34Module 12-2-4:不可否認性不可否認性可否認性是為了防止惡意的使用者否認先前所進過的交，其目標是產生、收集、維護以及驗證關於宣稱的事件或動之證據，以解決關於已經發生或尚未發生事件的糾紛為了達成可否

24、認性，通常可採取位簽章之技術，例如：RSA位簽章法演算法位簽章具備以下特性：鑑別性完整性可否認性教育部顧問室編輯“電子商務安全”教材12-35Module 12-2-4:不可否認性不可否認性（續）（續）位簽章之概念文件文件私鑰簽署+雜湊涵發文者發文者傳送收文者110111001公鑰驗證文件訊息摘要雜湊涵收文者如果驗證者兩如果驗證者兩者一致表示資者一致表示資料未被竄改及料未被竄改及確認發文者身確認發文者身分分發文者110111001110111001110111001簽體簽體110111001簽體簽體110111001固定長源:中華電信研究所教育部顧問室編輯“電子商務安全”教材12-36Modu

25、le 12-2-4:不可否認性不可否認性（續）（續）可否認機制CNS 14510-1 Protocol教育部顧問室編輯“電子商務安全”教材12-37Module 12-3:行動商務安全機制行動商務安全機制教育部顧問室編輯“電子商務安全”教材12-38Module 12-3:行動商務安全機制行動商務安全機制目前已經有許多適用於動商務的安全機制提出，這些機制有些使用在GSM系統中，有些則使用在802.11無線網中，因此本節將以WWAN、WLAN、WPAN的分類方式，各別介紹種安全機制WWAN通訊技術的安全機制WLAN通訊技術的安全機制WPAN通訊技術的安全機制教育部顧問室編輯“電子商務安全”教材1

26、2-39Module 12-3-1:WWAN通訊技術的安全機制通訊技術的安全機制 可能安全威脅可能安全威脅教育部顧問室編輯“電子商務安全”教材12-40Module 12-3-1:WWAN通訊技術的安全機制通訊技術的安全機制GSM系統架構系統架構MS(Mobile System)SIM(Subscriber Identity Module)BSS(Base Station Subsystem)-BTS(Base Transceiver Station)-BSC(Base Station Controller)NSS(Network and Switching Subsystem)-MSC(Mo

27、bile Switching Center)-VLR(Visitor Location Register)-HLR(Home Location Register)-AuC(Authentication Center)-EIR(Equipment Identity Register)教育部顧問室編輯“電子商務安全”教材12-41Module 12-3-1:WWAN通訊技術的安全機制通訊技術的安全機制（續）（續）GSM系統中有三個重要的加密演算法A3身分鑑別演算法A5鑰產生演算法A8通話加密演算法教育部顧問室編輯“電子商務安全”教材12-42Module 12-3-1:WWAN通訊技術的安全機制通

28、訊技術的安全機制（續）（續）GSM系統透過A3、A5、A8演算法的使用可達到安全需求中的身分鑑別以及資機密性身分鑑別：GSM Network operator（通常為在HLR中的AuC）透 過 一 RAND碼 與 MS端 SIM卡 中 的 Ki進 Authentication動作(by A3)，以驗證MS是否為合法使用者，達到容被盜拷號碼的目的資機密性：透過一RAND碼與Ki產生加密用的Kc(by A8)，收送雙方借由Kc進訊息的加解密(by A5)，以達到訊息容被竊聽得知內容的目的匿名性：用TMSI(Temporary Mobile Subscriber Identity)避免手機IMSI(

29、International Mobile Subscriber Identification)的資訊被擷取，而獲得使用者相關的服務資訊。教育部顧問室編輯“電子商務安全”教材12-43Module 12-3-1:WWAN通訊技術的安全機制通訊技術的安全機制（續）（續）GSM系統之身分鑑別系統之身分鑑別教育部顧問室編輯“電子商務安全”教材12-44GSM系統之通話加密系統之通話加密Module 12-3-1:WWAN通訊技術的安全機制通訊技術的安全機制（續）（續）教育部顧問室編輯“電子商務安全”教材12-45GSM的加密演算法並未公開，而引起學術界的批評，A5/1與A5/2演算法後更被Marc B

30、riceno、Ian Goldberg和David Wagner用逆向工程法破解。GSM的身分鑑別可由業者自設計，未納進標準中之前許多業者使用COMP-128，但已被證實該演算法會遭受攻擊，GSM鑰長為64位元，初始前10位元還預設為0，導致真實鑰僅54位元(後採64位元鑰)，且要增加鑰長是困難、複雜的。GSM沒有明確的設計用抵禦主動式攻擊(由網端發起)，因為主動式攻擊需要一個fake base station，成本太高，攻擊的可性高。但隨著網設備與服務越越普及、成本越越低、可獲得性越越高，還是有可能透過fake base station attack取得user資訊(雖然之後GSM有提出因應

31、對策，但仍未考量全面性的網環境)。GSM的circuit-switched service僅在MS與BS之間進加密保護。Module 12-3-1:WWAN通訊技術的安全機制（續）通訊技術的安全機制（續）GSM系統之安全性系統之安全性教育部顧問室編輯“電子商務安全”教材12-46Module 12-3-1:WWAN通訊技術的安全機制（續）通訊技術的安全機制（續）UMTS(Universal Mobile Telecommunication system)教育部顧問室編輯“電子商務安全”教材12-47UMTS 系統架構系統架構Module 12-3-1:WWAN通訊技術的安全機制（續）通訊技術的

32、安全機制（續）教育部顧問室編輯“電子商務安全”教材12-48UMTS安全性安全性雙向身分鑑別用戶身分鑑別：與GSM相同網鑑別：MS端驗證所接之網是否經使用者主籍系統授權，並且確認該鑑別是否在有效期限資完整性MS與SN可自決定完整性之演算法個體鑑別會產生MS與SN雙方所協商的IK收方透過驗證IK的真實性達成資完整性防制重送攻擊透過更新之資達成透過一序號(COUNT-I)防制插入或刪除Boman,G.Horn,P.Howard and V.Niemi,“UMTS security,”Electronics&Communication Engineering Journal,2002 Module

33、12-3-1:WWAN通訊技術的安全機制（續）通訊技術的安全機制（續）教育部顧問室編輯“電子商務安全”教材12-49動設備識別(Mobile equipment identification)每個無線通訊系統設備有唯一的IMEI(International Mobile Equipment Identity)(無法被竄改)，業者可比對IMEI與IMSI是否配對，確認使用者目前的動設備是否合法USIM與User、terminal、network的關係User-to-USIM authenticationUser與USIM(Universal Subscriber Identity Module)

34、透過共享秘密(如PIN碼)才能使用USIMUSIM-terminal link USIM與Terminal透過共享秘密，進限制動作(如SIM-lock)USIM Application Toolkit讓operator或third-party provider 可以在USIM上建置應用程式。Network operator則可透過網對USIM進訊息傳遞 Boman,G.Horn,P.Howard and V.Niemi,“UMTS security,”Electronics&Communication Engineering Journal,2002 UMTS安全性安全性Module 12-3

35、-1:WWAN通訊技術的安全機制（續）通訊技術的安全機制（續）教育部顧問室編輯“電子商務安全”教材12-50Module 12-3-2:WLAN通訊技術的安全機制通訊技術的安全機制802.11無線網的種模式左圖為簡模式(Ad Hoc Mode)右圖為基礎建設模式(Infrastructure Mode)教育部顧問室編輯“電子商務安全”教材12-51 可能安全威脅可能安全威脅Module 12-3-2:WLAN通訊技術的安全機制通訊技術的安全機制教育部顧問室編輯“電子商務安全”教材12-52 可能安全威脅可能安全威脅War Driving/Sniffing (Parking Lot attack

36、)Rogue Access PointsMAC AddressSSIDWEPModule 12-3-2:WLAN通訊技術的安全機制通訊技術的安全機制教育部顧問室編輯“電子商務安全”教材12-53War DrivingWar Driving是指駕駛車輛的同時，以動裝置探測無線網存取點(Access Point，AP)的為。http:/ WirelessTHC-WarDriveModule 12-3-2:WLAN通訊技術的安全機制通訊技術的安全機制教育部顧問室編輯“電子商務安全”教材12-54結合結合GPS與地圖之與地圖之War Driving攻擊手法攻擊手法Module 12-3-2:WLAN通

37、訊技術的安全機制通訊技術的安全機制教育部顧問室編輯“電子商務安全”教材12-55Parking Lot 攻擊攻擊意即攻擊者可以坐在特定受害者的停車場車上，輕地進竊聽之 非法為Module 12-3-2:WLAN通訊技術的安全機制通訊技術的安全機制教育部顧問室編輯“電子商務安全”教材12-56未經允許的情況下，安置AP未啟動AP的安全性整個網將受到war driving/sniffing攻擊未經授權的未經授權的APModule 12-3-2:WLAN通訊技術的安全機制通訊技術的安全機制教育部顧問室編輯“電子商務安全”教材12-57只允許合法的MAC位址才能存取無線網合法MAC位址列表之複雜性與維

38、護可使用軟體偽造MAC位址使用使用MAC位址位址Module 12-3-2:WLAN通訊技術的安全機制通訊技術的安全機制教育部顧問室編輯“電子商務安全”教材12-58Service Set ID(SSID)SSID是特定無線網服務的名稱可透過SSID存取特定APSSID若愈多人知道，則導致SSID濫用或誤用之情形若SSID變更，將告知所有的使用者Module 12-3-2:WLAN通訊技術的安全機制通訊技術的安全機制教育部顧問室編輯“電子商務安全”教材12-59有線設備隱私(Wired Equipment Privacy,WEP)目前市面上用的無線網的認證機制，最基本的就是WEP，它是802.

39、11定義下的一種加密方式，能夠提供以下服務WEP鑑別機制身分鑑別存取控制(Access Control)WEP資加密機制資完整性資機密性Module 12-3-2:WLAN通訊技術的安全機制通訊技術的安全機制教育部顧問室編輯“電子商務安全”教材12-60Module 12-3-2:WLAN通訊技術的安全機制通訊技術的安全機制（續）（續）WEP身分鑑別機制主要是採用擷問與回應的(Challenge-Response)方式，程如下：使用者先送出使用身分驗證的鑑別給無線網路存取點 (Access Point,AP)，工作站是以服務辦識碼(SSID)或MAC位址做為與AP初始交換的身分鑑別回應AP回應

40、給使用者一個接受此鑑別方法的訊息，此訊息中並包含一個 128bits 的亂數作為挑戰用訊息使用者收到此訊息後，以預知的密鑰將此亂數加密並送回給AP鑑別AP判斷是否為合法使用者，並決定是否讓使用者連結進入網路教育部顧問室編輯“電子商務安全”教材12-61Module 12-3-2:WLAN通訊技術的安全機制通訊技術的安全機制（續）（續）WEP身分鑑別機制教育部顧問室編輯“電子商務安全”教材12-62Module 12-3-2:WLAN通訊技術的安全機制通訊技術的安全機制（續）（續）資料機密性WEP 加密採用RC4演算法，雙方的密鑰是共享的，透過一個 24位元長度的初始向量IV(initializ

41、ation Vector)，結合 40位元或104位元的密鑰來共同產生真正用來加密的密鑰串流，所有的傳輸內容與這個密鑰串流進行XOR 運算，轉換成密文後發送資料完整性WEP會針對每一個傳送的封包做完整性檢查。在每一個封包加密之前會先使用CRC予以計算，之後再將資料和加密過的CRC相加並傳送給目標接收者教育部顧問室編輯“電子商務安全”教材12-63Module 12-3-2:WLAN通訊技術的安全機制通訊技術的安全機制（續）（續）WEP資料加密機制資料加密機制計算完整性檢查碼c(M)，並且附加至原始訊息 M，即P=使用RC4加密演算法、初始向量IV以及共享鑰K，產生鑰(key stream)互斥

42、或訊息“P”與鑰，以產生密文C=P RC4(IV,K)傳送IV與密文C訊息MCRCKey stream=RC4(IV,K)密文CIVXORTransmitted Data教育部顧問室編輯“電子商務安全”教材12-64WEP協定的缺點協定的缺點缺乏鑰管機制遭受被動攻擊以及主動攻擊被動攻擊：基於統計分析、WEP安全漏洞，企圖從竊聽之訊息中，破解加密鑰，並解密密文主動攻擊：未經授權之動基地台，產生新的或偽造的訊息，以達到假冒之目的存取控制完善Data headers are not encrypted初始向量之濫用或誤用Module 12-3-2:WLAN通訊技術的安全機制通訊技術的安全機制（續）（

43、續）教育部顧問室編輯“電子商務安全”教材12-65遠端認證撥接使用者服務遠端認證撥接使用者服務(Remote Access Dial In User Service,RADIUS)部分的802.11無線網提供RADIUS身分鑑別的機制用使用者輸入帳號及通碼辨認使用者的身分，確認通過之後，經過授權(Authorization)的使用者可登入網域，使用相關資源，並可提供計費(Accounting)機制，保存使用者的網使用記錄在使用者和RADIUS伺服器之間的通訊是加密保護的，但RADIUS 協定並提供資加密Module 12-3-2:WLAN通訊技術的安全機制通訊技術的安全機制（續）（續）教育部顧

44、問室編輯“電子商務安全”教材12-66RADIUSModule 12-3-2:WLAN通訊技術的安全機制通訊技術的安全機制（續）（續）教育部顧問室編輯“電子商務安全”教材12-67KerberosKerberos可以安全的認證使用者是否可存取網。使用者結到伺服器去取得位憑證(Digital Certificate)和一把加密使用的鑰，還有一把交鑰(Session Key)。交鑰是用在要求網服務時，而位憑證在協定中主要的功能是讓服務可以認證正在使用的使用者身分802.1x 通訊埠基網存取控制通訊埠基網存取控制 802.1x是IEEE發布的一個安全協定，主要提供一個較安全的使用者認證和中央控管的安

45、全模式。它限制使用者存取網，除非是經由認證的使用者，否則人可以使用網。802.1x提供對WEP鑰管的修正改善，過只有認證的部分，並沒有改善加解密的演算法Module 12-3-2:WLAN通訊技術的安全機制通訊技術的安全機制（續）（續）教育部顧問室編輯“電子商務安全”教材12-68Bluetooth安全機制安全機制在芽的安全機制上涵蓋幾個主要的元件，包含鑰管、加密和鑑別三個部分在每一個芽裝置中，有四個資訊用於維護接層的安全性：芽裝置位址(Bluetooth Device Address)：每一芽裝置有獨一無二的芽裝置位址，長48位元私有鑑別鑰(Private Authentication Ke

46、y)：用於身分鑑別，為一128位元的隨機值私有加密鑰(Private Encryption Key)：長從8到128位元長有，主要用在加密隨機亂(RAND)：長128位元，由芽裝置所產生的Module 12-3-3:WPAN通訊技術的安全機制通訊技術的安全機制教育部顧問室編輯“電子商務安全”教材12-69Module 12-3-3:WPAN通訊技術的安全機制通訊技術的安全機制（續）（續）Bluetooth之金鑰管理之金鑰管理結鑰是一個128位元長的隨機亂，主要的應用是在鑑別過程單元鑰是當單一裝置被安裝時所產生的鑰組合鑰則是當有個芽裝置必須互相交時所產生的一對鑰，成對產生主鑰是一把暫時性的鑰，用

47、取代目前使用的結鑰。由於以芽建的網中，其中一個模式是所謂的主從模式，有一個主裝置。在此模式下，主鑰可以在主裝置必須傳送給其他裝置時，用它加密初始鑰是用在當一開始時根本沒有組合鑰或單元鑰時使用的鑰，只用在初始階段教育部顧問室編輯“電子商務安全”教材12-70Bluetooth之加密機制之加密機制芽加密機制主要是用E0加密演算法加密封包的資(Payload)部分。E0加密演算法包含加密資用鑰產生器(Payload Key Generator)、鑰產生器(Key Stream Generator)和加解密演算法Module 12-3-3:WPAN通訊技術的安全機制通訊技術的安全機制（續）（續）教育部

48、顧問室編輯“電子商務安全”教材12-71Bluetooth之鑑別機制之鑑別機制芽的鑑別機制使用回合擷問與回應方式，雙方必須先分享一把私密鑰，在回合或個步驟下，可以完成認證程序認證過程中，首先驗證者傳送一個隨機值進認證要求。接著，雙方用認證演算法E1，把剛剛傳送的隨機值、被驗證者的芽裝置位置和目前使用的結鑰當成輸入，產生一個回應值(SRES)。被驗證者會傳送回應給驗證者，進比對之後，相同表示認證通過Module 12-3-3:WPAN通訊技術的安全機制通訊技術的安全機制（續）（續）教育部顧問室編輯“電子商務安全”教材12-72Module 12-4:行動付款機制行動付款機制教育部顧問室編輯“電子

49、商務安全”教材12-73Module 12-4-1:行動付款之定義行動付款之定義動付款就是透過手機或PDA 等動通訊設備做付款的動作，也就是以動裝置做為付款的工具僅能使用於動商務，還可以運用於電子商務及實體銷售點的付款使用者可以在任何時間、任何地點能付款可應用在許多同的場合，範圍由手機上的各種內容資訊，如遊戲、占卜、音樂、新聞，至飯店、餐廳消費費用，甚至是線上賭場的賭等均可適用教育部顧問室編輯“電子商務安全”教材12-74Module 12-4-1:行動付款之定義行動付款之定義（續）（續）動付款的主要特性如下：以動裝置為主要付款工具可用以購買商品或是服務付款額多寡因業者同而有所同可在實體世界或

50、是虛擬的網世界使用教育部顧問室編輯“電子商務安全”教材12-75動設備提供者動付款應用提供者營運者動付款設備提供者動付款應用提供者75清算服務提供者付款服務提供者鑑別提供者消費者商家Module 12-4-2:行動付款之參與角色行動付款之參與角色教育部顧問室編輯“電子商務安全”教材12-76Module 12-4-2:行動付款之參與角色行動付款之參與角色（續）（續）在整個動付款中主要有以下幾個參與的角色，包含：消費者：用動裝置購買相關商品或服務的消費者商家：提供消費者所需的商品或服務的商家動付款應用提供者：提供支援動付款軟體或應用程式的業者動設備提供者：動裝置供應商，如Nokia、Motoro