电子商务安全SecureElectronicCommerce课件.ppt

资源描述

按一下以編輯母片標題樣式,按一下以編輯母片文字樣式,第二層,第三層,第四層,第五層,*,按一下以編輯母片標題樣式,按一下以編輯母片文字樣式,第二層,第三層,第四層,第五層,*,按一下以編輯母片標題樣式,按一下以編輯母片文字樣式,第二層,第三層,第四層,第五層,*,按一下以編輯母片標題樣式,按一下以編輯母片文字樣式,第二層,第三層,第四層,第五層,*,按一下以編輯母片標題樣式,按一下以編輯母片文字樣式,第二層,第三層,第四層,第五層,*,按一下以編輯母片標題樣式,按一下以編輯母片文字樣式,第二層,第三層,第四層,第五層,7-,*,按一下以編輯母片標題樣式,按一下以編輯母片文字樣式,第二層,第三層,第四層,第五層,網路安全課程教材,12-,*,電子商務安全,Secure Electronic Commerce,1,Min-Yuh Day,戴敏育,Assistant Professor,專任助理教授,Dept.of Information Management,Tamkang University,淡江大學,資訊管理學系,mail.im.tku.edu.tw/myday/,2011-05-27,行動商務安全,(Mobile Commerce Security),992SEC13,TGMXM0A,Fri.,6,7,8,(13:10-16:00),L526,2,週次月日內容（,Subject/Topics,100/02/18,電子商務安全課程簡介,(Course Orientation for Secure Electronic Commerce),2 100/02/25,電子商務概論,(Introduction to E-Commerce),3 100/03/04,電子市集,(E-Marketplaces),4 100/03/11,電子商務環境下之零售：產品與服務,(Retailing in Electronic Commerce:Products and Services),5 100/03/18,網路消費者行為、市場研究與廣告,(Online Consumer Behavior,Market Research,and,Advertisement),6 100/03/25,電子商務,B2B,、,B2C,、,C2C(B2B,B2C,C2C E-Commerce),7 100/04/01 Web 2.0,Social Network,Social Media,8 100/04/08,教學行政觀摩日,9 100/04/15,行動運算與行動商務,(Mobile Computing and Commerce),10 100/04/22,期中考試週,Syllabus,3,週次月日內容（,Subject/Topics,11 100/04/29,電子商務安全,(E-Commerce Security),12 100/05/06,數位憑證,(Digital Certificate)Module 4,13 100/05/13,網路與網站安全,(Network and Website Security)Module 5,14 100/05/20,交易安全、系統安全、,IC,卡安全、電子付款,(Transaction Security,System Security,IC Card Security,Electronic Commerce Payment Systems)Module 6,7,8,9,15 100/05/27,行動商務安全,(Mobile Commerce Security)Module 12,16 100/06/03,電子金融安全控管機制,(E-Finance Security Control Mechanisms),17 100/06/10,營運安全管理,(Operation Security Management),18 100/06/17,期末考試週,Syllabus(cont.),12-,4,Module 12:,行動商務安全,教育部顧問室編輯“電子商務安全”教材,教育部顧問室編輯“電子商務安全”教材,委辦單位：教育部顧問室資通安全聯盟,執行單位：國立台灣科技大學管理學院,12-,5,學習目的,本模組首先從行動商務的簡介開始,，,說明在行動商務中的安全需求以及各種現行保護行動商務安全的機制,，並介紹幾種目前行動付款的方法，最後探討行動商務安全的管理,。,本章利用五個小節介紹,行動商務概述,:,定義行動商務,，並簡介行動商務所使用之技術以及行動商務的應用,行動商務安全需求,:,說明四大安全需求,，包含鑑別、機密性,、,完整性和不可否認性,行動商務安全機制,:,介紹包含在行動通訊網路,、無線區域網路以及無線個人網路所使用的安全機制,行動付款機制,:,說明行動付款機制的架構與流程,，並且介紹數種現行使用的行動付款技術,行動商務安全管理,:,首先介紹無線通訊技術中可能面臨之安全威脅並且說明如何制定對應的安全政策,教育部顧問室編輯“電子商務安全”教材,12-,8,Module 12-1-1:,行動商務之定義,透過,無線網際網路,所進行的商業行為稱之為,行動商務,（黃貝玲,民,90,）,“,Any transaction with a,monetary value,that is conducted via a,mobile telecommunications network,”,(Durlacher,2000),“,The mobile devices and wireless networking environments necessary to provide,location independent connectivity,”,(Elliott and Nigel Phillips,2004),廣義定義：透過各種可以連接網路的行動裝置，如,PDA,、手機等設備，來進行各種應用、交易及服務。,教育部顧問室編輯“電子商務安全”教材,12-,9,Module 12-1-2:,行動商務之通訊技術,行動商務之通訊技術主要分為二大類，即為,行動裝置,以及,無線通訊技術,行動裝置包含：,GSM,GPRS,3G,手機,PDA,Pocket PC,GPS,導航設備,RFID,非接觸式智慧卡,Sensor,教育部顧問室編輯“電子商務安全”教材,12-,10,Module 12-1-2:,行動商務之通訊技術,（續）,無線通訊技術可根據傳輸距離的長短來分為三大類，包含：,無線廣域網路,(Wireless Wide Area Network,，,WWAN),無線區域網路,(Wireless Local Area Network,，,WLAN),無線個人網路,(Wireless Personal Area Network,，,WPAN),教育部顧問室編輯“電子商務安全”教材,12-,11,Module 12-1-2:,行動商務之通訊技術,（續）,WWAN,是指傳輸範圍可跨越國家或不同城市之間的無線網路，其傳輸距離較遠、範圍廣大，通常都需由特殊的服務提供者來架設及維護整個網路，一般人只是單純以終端連線裝置來使用無線廣域網路。常見的,WWAN,技術包含,：,第一代通訊技術,(1G),：早期的類比通訊系統，如,AMPS(Advanced Mobile Phone System),第二代通訊技術,(2G,、,2.5G),：技術如,GSM(Global System for Mobile Communications),，而,2.5G,如,GPRS(General Packet Radio Service),第三代通訊技術,(3G),：技術如,UMTS(Universal Mobile Telecommunications System),教育部顧問室編輯“電子商務安全”教材,12-,12,Module 12-1-2:,行動商務之通訊技術,（續）,1G,、,2G,、,3G,之比較,教育部顧問室編輯“電子商務安全”教材,12-,13,Module 12-1-2:,行動商務之通訊技術,（續）,WLAN,是指傳輸範圍在,100,公尺左右的無線網路，像是用於單一建築物或辦公室之內。通常會將,WLAN,和現有的有線區域網路結合，不但增加原本網路的使用彈性，也可擴大無線網路的使用範圍。目前最熱門的,WLAN,技術就是,IEEE(Institute of Electrical and Electronic Engineers,電機電子工程師協會,),的,802.11,及其相關標準，而常見的,802.11,標準為：,802.11b,802.11a,802.11g,802.11n,教育部顧問室編輯“電子商務安全”教材,12-,14,Module 12-1-2:,行動商務之通訊技術,（續）,802.11b/a/g/n,之比較,802.11b,802.11a,802.11g,802.11n,Approved by IEEE,Dec-99,Jan-00,Jun-03,Dec-07,Maximum Data Rate,11 Mbps,54 Mbps,54 Mbps,600 Mbps,Typical Range,70 m,30 m,50 m,60 m,Freq Band,2.4 GHz,5 GHz,2.4 GHz,2.4/5 GHz,教育部顧問室編輯“電子商務安全”教材,12-,15,Module 12-1-2:,行動商務之通訊技術,（續）,WPAN,是指在個人活動範圍內所使用的無線網路技術，這類技術的主要用途是讓個人使用的資訊裝置，像是手機、,PDA,、筆記型電腦等可互相通訊，以達到交換資料的目的。常見的,WPAN,技術包含,：,UWB(Ultra Wide Band),Bluetooth,ZigBee,NFC(Near Field Communication),教育部顧問室編輯“電子商務安全”教材,12-,16,Module 12-1-2:,行動商務之通訊技術,（續）,WPAN,各項技術比較,教育部顧問室編輯“電子商務安全”教材,12-,17,行動通訊技術之風險與挑戰,行動設備之遺失或遭竊,內部人員所引發的安全問題,中間者攻擊,(Man-in-the-middle attack),偽造或仿造之設備,病毒,/,木馬,阻斷服務攻擊,(Denial of Service Attack,，,DOS Attack),無線電波傳輸之安全性,無線區域網路之安全性,教育部顧問室編輯“電子商務安全”教材,12-,18,Module 12-1-3:,行動商務與電子商務之比較,電子商務,行動商務,產品或服務之重點,產品,服務,產品或服務之資訊,靜態資訊與資料,動態資訊與資料,產品或服務之存取方式,有線存取,無線存取,產品或服務之存取特性,固定非時間限制之存取,存取之行動性與可攜性,教育部顧問室編輯“電子商務安全”教材,12-,19,Module 12-1-4:,行動商務之應用範圍,目前行動商務的應用已經相當普遍，本小節將以,B2C,、,B2E,、,B2B,來分類介紹,B2C,在行動商務中應用的種類是最多的，不管在娛樂、購物以及資訊取得的服務等方面都可見行動商務的應用，包含：,行動銀行,行動券商,：客戶能透過手機或個人數位助理等無線上網設備，進行包括轉帳、查詢、通知、用戶管理等服務，或者是查詢即時股票的最新行情、各股股價移動通知、投資組合管理，以及買賣股票並於成交時傳送簡訊通知等,教育部顧問室編輯“電子商務安全”教材,12-,20,Module 12-1-4:,行動商務之應用範圍,（續）,簡訊服務,：包含,SMS,(Short Message Service),MMS,(Multimedia Messaging Service),這類的簡訊服務也可算是,B2C,行動商務應用的範圍,行動購物,：行動購物能讓消費者透過無線上網設備查詢商品及價格相關資訊、瀏覽購物網站、比較不同網站之價格、優惠特賣通知、買賣雙方彼此溝通及支付貨款等服務，例如威秀影城的手機購票服務,行動娛樂服務,：,提供消費者娛樂性的應用服務，如鈴聲下載、圖像下載、遊戲下載等。行動娛樂是僅次於行動通訊的第二大行動加值服務應用。如目前中華電信的,emome,其他如,行動廣告,等服務,教育部顧問室編輯“電子商務安全”教材,12-,21,Module 12-1-4:,行動商務之應用範圍,（續）,行動商務,B2B,的應用則包含：,WASP(Wireless Application Service Provider),：在,B2B,電子商務中相當熱門的一個領域,應用軟體租賃服務,ASP,，目前也開始發展成為,無線應用軟體租賃服務,WASP,或稱,MASP(Mobile Application Service Provider),。業者利用,Linux,、,Java,、,XML,等通用相容的標準，發展能讓不同無線上網設備連線接收內容的整合性解決方案等,Mobile CRM,ERP,：行動顧客關係管理及企業資源規劃系統,視訊會議,遠端協同工作,等服務,教育部顧問室編輯“電子商務安全”教材,12-,22,Module 12-1-4:,行動商務之應用範圍,（續）,B2E,行動商務是指企業對員工之,M,化的應用，就適用對象而言，大多是以移動性較高的物流倉儲業、金融壽險業居多，目的是讓這些行動工作者，能透過無線上網設備，隨時隨地收發電子郵件、查閱及修改行事曆，包含以下服務,：,Mobile PIM(Personal Information Management),Mobile Scheduling,Mobile Email,Mobile Learning,Mobile Intranet Access,Document Retrieval and Management,教育部顧問室編輯“電子商務安全”教材,12-,23,Module,12-2:,行動商務安全需求,教育部顧問室編輯“電子商務安全”教材,12-,24,Module 12-2:,行動商務安全需求,通訊系統模型,攻擊者可能採取以下方式進行攻擊,竊取訊息,竄改訊息,偽造訊息,阻斷服務,教育部顧問室編輯“電子商務安全”教材,12-,25,Module 12-2:,行動商務安全需求,可能的揭露威脅,教育部顧問室編輯“電子商務安全”教材,12-,26,Module 12-2:,行動商務安全需求,（續）,為了保護使用者在進行行動商務時的資訊安全，必須達到以下四點安全需求，包含：,身分鑑別,(Authentication),資料機密性,(Data Confidentiality),資料完整性,(Data Integrity),不可否認性,(Non-repudiation),教育部顧問室編輯“電子商務安全”教材,12-,27,Module 12-2-1:,身分鑑別,為了確保通訊過程中，使用者的身分合法，而非仿冒的攻擊者，所以必須進行身分鑑別的動作,可依下列,秘密特徵,來鑑別確認無線裝置或其使用者之身分：,所唯一具有之生理特徵：如指紋、聲紋,所唯一擁有之秘密訊息：如私密金鑰,雙方共同擁有之秘密訊息：如通行碼,教育部顧問室編輯“電子商務安全”教材,12-,28,Module 12-2-1:,身分鑑別,（續）,鑑別程序,(1),詢問，要求提供資料鑑別,(2),應答，提示擁有之特徵,(3),驗證是否擁有其特徵,：,通過，確認,Alice,身分,；,不通過，否定,Alice,身分,Alice,Bob,教育部顧問室編輯“電子商務安全”教材,12-,29,Module 12-2-2:,資料機密性,為了保護通訊中所傳遞的訊息被攻擊者攔截，這些訊息有可能是個人的隱密資訊，如使用者帳號、密碼或者是信用卡號，因此可以在訊息傳送之前先將訊息加密，以保護資料的機密性,現代密碼技術中最主要的即是,私密金鑰密碼系統,(Private-Key Cryptosystems),或稱對稱金鑰,(Symmetric-Key),密碼系統,，,以及,公開金鑰密碼系統,(Public-Key Cryptosystems),或稱非對稱,(Asymmetric-Key),金鑰密碼系統,私密金鑰密碼系統，例如：,DES,AES,私密金鑰密碼系統，例如：,RSA,教育部顧問室編輯“電子商務安全”教材,12-,30,Module 12-2-2:,資料機密性,（續）,私密金鑰密碼系統之概念,Alice,和,Bob,使用,同一把加解密金鑰,教育部顧問室編輯“電子商務安全”教材,12-,31,Module 12-2-2:,資料機密性,（續）,公開金鑰密碼系統之概念,加密與解密所使用的金鑰不同,教育部顧問室編輯“電子商務安全”教材,12-,32,Module 12-2-3:,資料完整性,資料完整性則是提供保護以防止攻擊者對於通訊中的訊息進行更改或者是破壞，造成使用者接收到錯誤的訊息,為了保護資料完整性，可在訊息接收完成後進行檢查，常用的做法如,訊息鑑別碼,(Message Authentication Code,，,MAC),MAC=C,k,(M),，其中,M,為訊息，,C,為,MAC,函式，,k,為私密鑰，,MAC,為運算後產生的訊息鑑別碼,將,MAC,加在每個訊息之後一起傳送給接收端，接收端使用同一把私密鑰執相同的運算，比對個,MAC,即可確認訊息是否遭受修改,教育部顧問室編輯“電子商務安全”教材,12-,33,Module 12-2-3:,資料完整性,（續）,訊息鑑別碼之概念,教育部顧問室編輯“電子商務安全”教材,12-,34,Module 12-2-4:,不可否認性,不可否認性是為了防止惡意的使用者否認先前所進行過的交易，其目標是產生、收集、維護以及驗證關於宣稱的事件或行動之證據，以解決關於已經發生或尚未發生事件的糾紛,為了達成不可否認性，通常可採取數位簽章之技術，例如：,RSA,數位簽章法演算法,數位簽章具備以下特性,：,鑑別性,完整性,不可否認性,教育部顧問室編輯“電子商務安全”教材,12-,35,Module 12-2-4:,不可否認性,（續）,數位簽章之概念,文,件,文,件,私鑰簽署,+,雜湊涵數,發文者,發文者,傳送收文者,110111001,公鑰驗證,文,件,訊息摘要,雜湊涵數,收文者,如果驗證者兩者一致表示資料未被竄改及確認發文者身分,發文者,110111001,110111001,110111001,簽體,110111001,簽體,110111001,固定長度,來源,:,中華電信研究所,教育部顧問室編輯“電子商務安全”教材,12-,36,Module 12-2-4:,不可否認性,（續）,不可否認機制,CNS 14510-1 Protocol,教育部顧問室編輯“電子商務安全”教材,12-,37,Module,12-3:,行動商務安全機制,教育部顧問室編輯“電子商務安全”教材,12-,38,Module,12-3:,行動商務安全機制,目前已經有許多適用於行動商務的安全機制提出，這些機制有些使用在,GSM,系統中，有些則使用在,802.11,無線網路中，因此本節將以,WWAN,、,WLAN,、,WPAN,的分類方式，各別介紹數種安全機制,WWAN,通訊技術的安全機制,WLAN,通訊技術的安全機制,WPAN,通訊技術的安全機制,教育部顧問室編輯“電子商務安全”教材,12-,39,Module 12-3-1:WWAN,通訊技術的安全機制,可能安全威脅,教育部顧問室編輯“電子商務安全”教材,12-,40,Module 12-3-1:,WWAN,通訊技術的安全機制,GSM,系統架構,MS(Mobile System),SIM(Subscriber Identity Module),BSS(Base Station Subsystem),-BTS(Base Transceiver Station),-BSC(Base Station Controller),NSS(Network and Switching,Subsystem),-MSC(Mobile Switching Center),-VLR(Visitor Location Register),-HLR(Home Location Register),-AuC(Authentication Center),-EIR(Equipment Identity Register),教育部顧問室編輯“電子商務安全”教材,12-,41,Module 12-3-1:,WWAN,通訊技術的安全機制,（續）,GSM,系統中有三個重要的加密演算法,A3,身分鑑別演算法,A5,金鑰產生演算法,A8,通話加密演算法,教育部顧問室編輯“電子商務安全”教材,12-,42,Module 12-3-1:,WWAN,通訊技術的安全機制,（續）,GSM,系統透過,A3,、,A5,、,A8,演算法的使用可達到安全需求中的身分鑑別以及資料機密性,身分鑑別,：,GSM Network operator,（,通常為在,HLR,中的,AuC,）,透過一,RAND,碼與,MS,端,SIM,卡中的,K,i,進行,Authentication,動作,(by A3),，以驗證,MS,是否為合法使用者，達到不容易被盜拷號碼的目的,資料機密性,：透過一,RAND,碼與,Ki,來產生加密用的,Kc(by A8),，收送雙方借由,Kc,來進行訊息的加解密,(by A5),，以達到訊息不容易被竊聽得知內容的目的,匿名性,：利用,TMSI(Temporary Mobile Subscriber Identity),來避免手機,IMSI(International Mobile Subscriber Identification),的資訊被擷取，而獲得使用者相關的服務資訊。,教育部顧問室編輯“電子商務安全”教材,12-,43,Module 12-3-1:,WWAN,通訊技術的安全機制,（續）,GSM,系統之身分鑑別,教育部顧問室編輯“電子商務安全”教材,12-,44,GSM,系統之通話加密,Module 12-3-1:,WWAN,通訊技術的安全機制,（續）,教育部顧問室編輯“電子商務安全”教材,12-,45,GSM,的加密演算法並未公開，而引起學術界的批評，,A5/1,與,A5/2,演算法後來更被,Marc Briceno,、,Ian Goldberg,和,David Wagner,用逆向工程法破解。,GSM,的身分鑑別可由業者自行設計，未納進標準中,之前許多業者使用,COMP-128,，但已被證實該演算法會遭受攻擊，,GSM,金鑰長度為,64,位元，初始前,10,位元還預設為,0,，導致真實金鑰僅,54,位元,(,後來採,64,位元金鑰,),，且要增加金鑰長度是困難、複雜的。,GSM,沒有明確的設計用來抵禦主動式攻擊,(,由網路端發起,),，因為主動式攻擊需要一個,fake base station,，成本太高，攻擊的可行性不高。但隨著網路設備與服務越來越普及、成本越來越低、可獲得性越來越高，還是有可能透過,fake base station attack,取得,user,資訊,(,雖然之後,GSM,有提出因應對策，但仍未考量全面性的網路環境,),。,GSM,的,circuit-switched service,僅在,MS,與,BS,之間進行加密保護。,Module 12-3-1:WWAN,通訊技術的安全機制（續）,GSM,系統之安全性,教育部顧問室編輯“電子商務安全”教材,12-,46,Module 12-3-1:WWAN,通訊技術的安全機制（續）,UMTS(Universal Mobile Telecommunication system),教育部顧問室編輯“電子商務安全”教材,12-,47,UMTS,系統架構,Module 12-3-1:WWAN,通訊技術的安全機制（續）,教育部顧問室編輯“電子商務安全”教材,12-,48,UMTS,安全性,雙向身分鑑別,用戶身分鑑別：與,GSM,相同,網路鑑別：,MS,端驗證所連接之網路是否經使用者主籍系統授權，並且確認該鑑別是否在有效期限,資料完整性,MS,與,SN,可自行決定完整性之演算法,個體鑑別會產生,MS,與,SN,雙方所協商的,IK,收方透過驗證,IK,的真實性來達成資料完整性,防制重送攻擊,透過更新之資料串來達成,透過一序號,(COUNT-I),來防制插入或刪除,Boman,G.Horn,P.Howard and V.Niemi,“,UMTS security,”,Electronics&Communication Engineering Journal,2002,Module 12-3-1:WWAN,通訊技術的安全機制（續）,教育部顧問室編輯“電子商務安全”教材,12-,49,行動設備識別,(Mobile equipment identification),每個無線通訊系統設備都有唯一的,IMEI(International Mobile Equipment Identity)(,無法被竄改,),，業者可比對,IMEI,與,IMSI,是否配對，來確認使用者目前的行動設備是否合法,USIM,與,User,、,terminal,、,network,的關係,User-to-USIM authentication,User,與,USIM(Universal Subscriber Identity Module),透過共享秘密,(,如,PIN,碼,),才能使用,USIM,USIM-terminal link,USIM,與,Terminal,透過共享秘密，來進行限制動作,(,如,SIM-lock),USIM Application Toolkit,讓,operator,或,third-party provider,可以在,USIM,上建置應用程式。,Network operator,則可透過網路對,USIM,進行訊息傳遞,Boman,G.Horn,P.Howard and V.Niemi,“,UMTS security,”,Electronics&Communication Engineering Journal,2002,UMTS,安全性,Module 12-3-1:WWAN,通訊技術的安全機制（續）,教育部顧問室編輯“電子商務安全”教材,12-,50,Module 12-3-2:,WLAN,通訊技術的安全機制,802.11,無線網路的兩種模式,左圖為,簡易模式,(Ad Hoc Mode),右圖為,基礎建設模式,(Infrastructure Mode),教育部顧問室編輯“電子商務安全”教材,12-,51,可能安全威脅,Module 12-3-2:,WLAN,通訊技術的安全機制,教育部顧問室編輯“電子商務安全”教材,12-,52,可能安全威脅,War Driving/Sniffing (Parking Lot attack),Rogue Access Points,MAC Address,SSID,WEP,Module 12-3-2:,WLAN,通訊技術的安全機制,教育部顧問室編輯“電子商務安全”教材,12-,53,War Driving,War Driving,是指駕駛車輛的同時，以行動裝置探測無線網路存取點,(Access Point,，,AP),的行為。,Wireless,THC-WarDrive,Module 12-3-2:WLAN,通訊技術的安全機制,教育部顧問室編輯“電子商務安全”教材,12-,54,結合,GPS,與地圖之,War Driving,攻擊手法,Module 12-3-2:WLAN,通訊技術的安全機制,教育部顧問室編輯“電子商務安全”教材,12-,55,Parking Lot,攻擊,意即攻擊者可以坐在特定受害者的停車場車上，輕易地進行竊聽之非法行為,Module 12-3-2:WLAN,通訊技術的安全機制,教育部顧問室編輯“電子商務安全”教材,12-,56,未經允許的情況下，安置,AP,未啟動,AP,的安全性,整個網路將易受到,war driving/sniffing,攻擊,未經授權的,AP,Module 12-3-2:,WLAN,通訊技術的安全機制,教育部顧問室編輯“電子商務安全”教材,12-,57,只允許合法的,MAC,位址才能存取無線網路,合法,MAC,位址列表之複雜性與不易維護,可使用軟體來偽造,MAC,位址,使用,MAC,位址,Module 12-3-2:,WLAN,通訊技術的安全機制,教育部顧問室編輯“電子商務安全”教材,12-,58,Service Set ID(SSID),SSID,是特定無線網路服務的名稱,可透過,SSID,來存取特定,AP,SSID,若愈多人知道，則易導致,SSID,濫用或誤用之情形,若,SSID,變更，將告知所有的使用者,Module 12-3-2:WLAN,通訊技術的安全機制,教育部顧問室編輯“電子商務安全”教材,12-,59,有線設備隱私,(Wired Equipment Privacy,WEP),目前市面上用的無線網路的認證機制，最基本的就是,WEP,，它是,802.11,定義下的一種加密方式，能夠提供以下服務,WEP,鑑別機制,身分鑑別,存取控制,(Access Control),WEP,資料加密機制,資料完整性,資料機密性,Module 12-3-2:WLAN,通訊技術的安全機制,教育部顧問室編輯“電子商務安全”教材,12-,60,Module 12-3-2:,WLAN,通訊技術的安全機制,（續）,WEP,身分鑑別機制主要是採用,擷問與回應,的,(Challenge-Response),方式,，流程如下：,使用者先送出使用身分驗證的鑑別給無線網路存取點,(Access Point,AP),，工作站是以服務辦識碼,(SSID),或,MAC,位址做為與,AP,初始交換的身分鑑別回應,AP,回應給使用者一個接受此鑑別方法的訊息，此訊息中並包含一個,128bits,的亂數作為挑戰用訊息,使用者收到此訊息後，以預知的密鑰將此亂數加密並送回給,AP,鑑別,AP,判斷是否為合法使用者，並決定是否讓使用者連結進入網路,教育部顧問室編輯“電子商務安全”教材,12-,61,Module 12-3-2:,WLAN,通訊技術的安全機制,（續）,WEP,身分鑑別機制,教育部顧問室編輯“電子商務安全”教材,12-,62,Module 12-3-2:,WLAN,通訊技術的安全機制,（續）,資料機密性,WEP,加密採用,RC4,演算法，雙方的密鑰是共享的，透過一個,24,位元長度的初始向量,IV(initialization Vector),，結合,40,位元或,104,位元的密鑰來共同產生真正用來加密的密鑰串流，所有的傳輸內容與這個密鑰串流進行,XOR,運算，轉換成密文後發送,資料完整性,WEP,會針對每一個傳送的封包做完整性檢查。在每一個封包加密之前會先使用,CRC,予以計算，之後再將資料和加密過的,CRC,相加並傳送給目標接收者,教育部顧問室編輯“電子商務安全”教材,12-,63,Module 12-3-2:,WLAN,通訊技術的安全機制,（續）,WEP,資料加密機制,計算完整性檢查碼,c(M),，並且附加至原始訊息,M,，即,P=,使用,RC4,加密演算法、初始向量,IV,以及共享金鑰,K,，來產生金鑰串,(key stream),互斥或訊息“,P”,與金鑰，以產生密文,C=P,RC4(IV,K),傳送,IV,與密文,C,訊息,M,CRC,Key stream=RC4(IV,K),密文,C,IV,XOR,Transmitted Data,教育部顧問室編輯“電子商務安全”教材,12-,64,WEP,協定的缺點,缺乏金鑰管理機制,易遭受被動攻擊以及主動攻擊,被動攻擊：基於統計分析、,WEP,安全漏洞，企圖從竊聽之訊息中，破解加密金鑰，並解密密文,主動攻擊：未經授權之行動基地台，產生新的或偽造的訊息，以達到假冒之目的,存取控制不完善,Data headers are not encrypted,初始向量之濫用或誤用,Module 12-3-2:WLAN,通訊技術的安全機制,（續）,教育部顧問室編輯“電子商務安全”教材,12-,65,遠端認證撥接使用者服務,(Remote Access Dial In User Service,RADIUS),部分的,802.11,無線網路提供,RADIUS,身分鑑別的機制,利用使用者輸入帳號及通行碼來辨認使用者的身分，確認通過之後，經過,授權,(Authorization),的使用者便可登入網域，使用相關資源，並可提供,計費,(Accounting),機制，保存使用者的網路使用記錄,在使用者和,RADIUS,伺服器之間的通訊是加密保護的,，,但,RADIUS,協定並提供資加密,Module 12-3-2:WLAN,通訊技術的安全機制,（續）,教育部顧問室編輯“電子商務安全”教材,12-,66,RADIUS,Module 12-3-2:WLAN,通訊技術的安全機制,（續）,教育部顧問室編輯“電子商務安全”教材,12-,67,Kerberos,Kerberos,可以安全的認證使用者是否可存取網。使用者結到伺服器去取得,位憑證,(Digital Certificate),和一把加密使用的鑰，還有一把,交鑰,(Session Key),。交鑰是用在要求網服務時，而位憑證在協定中主要的功能是讓服務可以認證正在使用的使用者身分,802.1x,通訊埠基網存取控制,802.1x,是,IEEE,發布的一個安全協定，主要提供一個較安全的使用者認證和中央控管的安全模式。它限制使用者存取網，除非是經由認證的使用者，否則人可以使用網。,802.1x,提供對,WEP,鑰管的修正改善，過只有認證的部分，並沒有改善加解密的演算法,Module 12-3-2:WLAN,通訊技術的安全機制,（續）,教育部顧問室編輯“電子商務安全”教材,12-,68,Bluetooth,安全機制,在芽的安全機制上涵蓋幾個主要的元件，包含鑰管、加密和鑑別三個部分,在每一個芽裝置中，有四個資訊用於維護接層的安全性：,芽裝置位址,(Bluetooth Device Address),：每一芽裝置有獨一無二的藍芽裝置位址，長度,48,位元,私有鑑別鑰,(Private Authentication Key),：用於身分鑑別，為一,128,位元的隨機值,私有加密鑰,(Private Encryption Key),：長從,8,到,128,位元長有，主要用在加密,隨機亂數,(RAND),：長,128,位元，由芽裝置所產生的,Module 12-3-3:,WPAN,通訊技術的安全機制,教育部顧問室編輯“電子商務安全”教材,12-,69,Module 12-3-3:,WPAN,通訊技術的安全機制,（續）,Bluetooth,之金鑰管理,結鑰,是一個,128,位元長的隨機亂，主要的應用是在鑑別過程,單元鑰,是當單一裝置被安裝時所產生的鑰,組合鑰,則是當有個芽裝置必須互相交時所產生的一對鑰，成對產生,主鑰,是一把暫時性的鑰，用取代目前使用的結鑰。由於以芽建的網中，其中一個模式是所謂的主從模式，有一個主裝置。在此模式下，主鑰可以在主裝置必須傳送給其他裝置時，用它加密,初始鑰,是用在當一開始時根本沒有組合鑰或單元鑰時使用的鑰，只用在初始階段,教育部顧問室編輯“電子商務安全”教材,12-,70,Bluetooth,之加密機制,芽加密機制主要是用,E0,加密演算法,加密封包的資,(Payload),部分。,E0,加密演算法包含,加密資用鑰產生器,(Payload Key Generator),、鑰產生器,(Key Stream Generator),和,加解密演算法,Module 12-3-3:WPAN,通訊技術的安全機制,（續）,教育部顧問室編輯“電子商務安全”教材,12-,71,Bluetooth,之鑑別機制,芽的鑑別機制使用,回

展开阅读全文