module 6 ：交易安全

電子商務安全 6-1

Module 6 ：交易安全


學習目的1. 本模組目的旨在介紹交易的不可否認性與認識安

全標章。2. 不可否認服務可提供交易的證據，以解決交易所

產生的糾紛。 3. 瞭解安全標章之意義，藉由驗證安全標章，可建

立對交易網站的信賴


Module 6Module 6 ：：交易安全交易安全

• Module 6-1Module 6-1 ：：不可否認服務不可否認服務• Module 6-2Module 6-2 ：：安全標章安全標章


Module 6-1Module 6-1 ：：不可否認服務不可否認服務


Module 6-1Module 6-1 ：不可否認服務：不可否認服務

• 不可否認服務的目標是產生、收集、維護及查證不可否認服務的目標是產生、收集、維護及查證 (verify)(verify) 與已與已宣稱事件或動作有關之證據，並使這些證據為可用，以解決關宣稱事件或動作有關之證據，並使這些證據為可用，以解決關於已發生或未發生事件或動作的糾紛。於已發生或未發生事件或動作的糾紛。

• 不可否認之機制提供基於密碼核對值不可否認之機制提供基於密碼核對值 (cryptographic check (cryptographic check value)value) 的證據，使用對稱或非對稱密碼技術產生密碼核對值。的證據，使用對稱或非對稱密碼技術產生密碼核對值。

• 不可否認服務的證據建立與特定事件或動作相關的可歸責性不可否認服務的證據建立與特定事件或動作相關的可歸責性(accountability)(accountability) 。。

• 對於證據產生之相關動作或其事件負有責任之個體被稱為證據主對於證據產生之相關動作或其事件負有責任之個體被稱為證據主體體 (evidence subject)(evidence subject) 。有兩種主要的證據類型：。有兩種主要的證據類型：– 由證據產生機構由證據產生機構 (evidence generating authority)(evidence generating authority) 使用對稱密使用對稱密

碼技術所產生的安全信封碼技術所產生的安全信封 (secure envelope)(secure envelope) 。。– 由證據產生者由證據產生者 (evidence generator)(evidence generator) 或證據產生機構或證據產生機構

(evidence generating authority)(evidence generating authority) 使用非對稱密碼技術所產生的使用非對稱密碼技術所產生的數位簽章數位簽章 (Digital signatures)(Digital signatures) 。。


Module 6-1Module 6-1 ：不可否認服務：不可否認服務

• 涉及不可否認交換的個體需滿足下列需求：涉及不可否認交換的個體需滿足下列需求：– 不可否認交換的個體應信賴可信賴第三方。當使用對稱密碼演算法時，不可否認交換的個體應信賴可信賴第三方。當使用對稱密碼演算法時，

一定需要可信賴第三方；當使用非對稱密碼演算法時，一定需要可信賴一定需要可信賴第三方；當使用非對稱密碼演算法時，一定需要可信賴第三方來產生公鑰憑證或產生證據的數位簽章。第三方來產生公鑰憑證或產生證據的數位簽章。

– 在產生證據之前，證據產生者必須知道查證者可接受的不可否認政策、在產生證據之前，證據產生者必須知道查證者可接受的不可否認政策、要求證據種類以及查證者可接受的機制組。要求證據種類以及查證者可接受的機制組。

– 產生或查證證據的機制必須可用於特殊不可否認交換的個體，或可信賴產生或查證證據的機制必須可用於特殊不可否認交換的個體，或可信賴機構必須可用於提供此機制，並且代表證據請求者履行必要的功能。機構必須可用於提供此機制，並且代表證據請求者履行必要的功能。

– 有關個體要持有有關個體要持有 // 分享適用於所使用之機制的金鑰分享適用於所使用之機制的金鑰 (( 亦即，非對稱技術的亦即，非對稱技術的私鑰，與對稱技術的密鑰私鑰，與對稱技術的密鑰 )) 。。

– 證據使用者與判決者要有能力查證證據。證據使用者與判決者要有能力查證證據。– 證據所需的時間資訊，是由事件發生時的時間與證據產生時的時間兩者證據所需的時間資訊，是由事件發生時的時間與證據產生時的時間兩者

所組成。所組成。– 若個體在產生證據時要求可信賴時戳，或它所提供的時間不被信賴時，若個體在產生證據時要求可信賴時戳，或它所提供的時間不被信賴時，

則證據產生者或證據查證者應到時戳機構取得可信賴時戳。則證據產生者或證據查證者應到時戳機構取得可信賴時戳。


Module 6-1 Module 6-1 ：不可否認服務：不可否認服務

• 不可否認服務：產生不可否認、發送不可否認、收件不可否不可否認服務：產生不可否認、發送不可否認、收件不可否認、知悉不可否認、投件不可否認以及傳送不可否認。認、知悉不可否認、投件不可否認以及傳送不可否認。

• 可由群組化這些基本服務的某些服務，提供其他的不可否認可由群組化這些基本服務的某些服務，提供其他的不可否認服務。服務。

• 來源不可否認可藉由結合產生不可否認與發送不可否認來提來源不可否認可藉由結合產生不可否認與發送不可否認來提供。供。

• 遞送不可否認可藉由結合收件不可否認及知悉不可否認來提遞送不可否認可藉由結合收件不可否認及知悉不可否認來提供。供。

• 發佈不可否認符記後，可能有必要變更其生命期，例如，若發佈不可否認符記後，可能有必要變更其生命期，例如，若發現針對特定簽章方案的攻擊行為，便縮短其生命期。發現針對特定簽章方案的攻擊行為，便縮短其生命期。

• 在另一方面，若不可否認符記在超過其生命期後，仍可視為在另一方面，若不可否認符記在超過其生命期後，仍可視為安全，則不可否認政策可能允許延長此符記的生命期。安全，則不可否認政策可能允許延長此符記的生命期。


Module 6-1 Module 6-1 ：不可否認服務：不可否認服務

• 不可否認服務不可否認服務類型類型：：– 來源不可否認來源不可否認 (Non-repudiation of origin(Non-repudiation of origin ，簡稱，簡稱

NRO)NRO)– 遞送不可否認遞送不可否認 (Non-repudiation of delivery(Non-repudiation of delivery ，簡，簡

稱稱 NRD)NRD)– 投件不可否認投件不可否認 (Non-repudiation of submission(Non-repudiation of submission ，，簡稱簡稱 NRS)NRS)

– 傳送不可否認傳送不可否認 (Non-repudiation of transport(Non-repudiation of transport ，，簡稱簡稱 NRT) NRT)


Module 6-1 Module 6-1 ：來源不可否認：來源不可否認

• 來源不可否認服務適用於訊息發送者產生並送來源不可否認服務適用於訊息發送者產生並送出該訊息的情形。出該訊息的情形。

• 此項服務意圖防制發送者否認其為訊息的產生此項服務意圖防制發送者否認其為訊息的產生者者 (( 內容的作者內容的作者 )) 與訊息的發送者。與訊息的發送者。

• 可由發送者本身或代表發送者的機構提供此項可由發送者本身或代表發送者的機構提供此項服務。服務。


Module 6-1 Module 6-1 ：遞送不可否認：遞送不可否認

• 遞送不可否認服務適用於接收者承認其已收到遞送不可否認服務適用於接收者承認其已收到該訊息並已注意到該訊息之內容的情形。該訊息並已注意到該訊息之內容的情形。


Module 6-1 Module 6-1 ：投件不可否認：投件不可否認

• 此項服務需要遞送機構來負責發送者與一或多此項服務需要遞送機構來負責發送者與一或多個接收者之間的訊息轉送。個接收者之間的訊息轉送。

• 發送者信賴此遞送機構會接受其所發出去的訊發送者信賴此遞送機構會接受其所發出去的訊息並盡其所能地遞送該訊息。息並盡其所能地遞送該訊息。

• 遞送機構在接受此訊息時，要提供有關該訊息遞送機構在接受此訊息時，要提供有關該訊息之投件的證據給發送者。之投件的證據給發送者。

• 遞送機構承認該訊息已投件的事實，但並不在遞送機構承認該訊息已投件的事實，但並不在乎該訊息的內容為何。乎該訊息的內容為何。


Module 6-1 Module 6-1 ：傳送不可否認：傳送不可否認

• 此項服務需要遞送機構來負責發送者與接收者之間的訊此項服務需要遞送機構來負責發送者與接收者之間的訊息轉送。息轉送。

• 發送者相信此遞送機構會將訊息遞送到接收者可取用的發送者相信此遞送機構會將訊息遞送到接收者可取用的地方。地方。

• 當遞送機構遞送該訊息時，要提供有關該訊息已存入接當遞送機構遞送該訊息時，要提供有關該訊息已存入接收者資料儲存器的證據。收者資料儲存器的證據。

• 遞送機構承認已存入該訊息的事實，但並不在乎該訊息遞送機構承認已存入該訊息的事實，但並不在乎該訊息的內容為何。的內容為何。

• 遞送機構並不保證接收者可及時地收到該訊息。遞送機構並不保證接收者可及時地收到該訊息。


Module 6-2Module 6-2 ：：安全標章機制安全標章機制


Module 6-2-1Module 6-2-1 ：線上安全認證標章：線上安全認證標章

• McAfeeMcAfee 「「 Hacker SafeHacker Safe 」」• 阿碼科技「阿碼科技「 HackAlertHackAlert 」」• 趨勢科技「趨勢科技「 Worry Free Security Worry Free Security 」」• 網駭科技「網駭科技「 Web AlertWeb Alert 」」


線上安全認證標章種類線上安全認證標章種類

標章名稱 Hacker Safe

HackAlert

Worry Free

Security

Web Alert

標章樣式

推出公司 McAfee 阿碼科技趨勢科技網駭科技

認證內容系統安全掃描監控瀏覽器的零時差攻擊

網頁是否隱含惡意連結或惡意程式

網頁是否隱含惡意連結或惡意程式

中文版英文版


Module 6-2-1-1Module 6-2-1-1 ：： Hacker SafeHacker Safe

• 目的目的• 安全保證安全保證• 認證標章認證標章• 驗證標章驗證標章


目的目的

• 協助企業防駭。協助企業防駭。 • 幫助企業經營者確保重大弱點能夠在幫助企業經營者確保重大弱點能夠在 7272小時內小時內獲得解決。獲得解決。

• 強化網站安全，同時提昇網站公信力與營業額。強化網站安全，同時提昇網站公信力與營業額。


安全保證安全保證

• 協助客戶即時掌握最新的弱點資訊與解決方案協助客戶即時掌握最新的弱點資訊與解決方案的最佳服務。的最佳服務。


認證標章認證標章


驗證標章驗證標章

• 點選標章點選標章，立即，立即顯示認證網址與認證結果顯示認證網址與認證結果 (( 注意商店網址須與顯示的注意商店網址須與顯示的認證認證網址相同網址相同 ))

• 實例：資料來源擷取自實例：資料來源擷取自 GamebaseGamebase 遊戲基地遊戲基地



• 實例：資料來源擷取自香水實例：資料來源擷取自香水 1976



• 實例：資料來源擷取自實例：資料來源擷取自 AceAce



• 實例：資料來源擷取自實例：資料來源擷取自 American Red CrossAmerican Red Cross



• 於認證機構的網址上查詢認證清單於認證機構的網址上查詢認證清單 (( 注意商店注意商店網址須與認證清單上的網址相同網址須與認證清單上的網址相同 ))

• 顯示認證結果視窗中的網址要與商店網址一致顯示認證結果視窗中的網址要與商店網址一致• 必須要知道認證機構的網址必須要知道認證機構的網址


Module 6-2-1-2Module 6-2-1-2 ：： HackAlertHackAlert



目的目的

• 專為資訊安全專家設計的一套資安工具，專門專為資訊安全專家設計的一套資安工具，專門偵測及分析坊間防毒軟體無法測出之後門、木偵測及分析坊間防毒軟體無法測出之後門、木馬或間諜軟體等惡意程式。馬或間諜軟體等惡意程式。

• 幫助企業監控網站安全，讓用戶可以安心上網幫助企業監控網站安全，讓用戶可以安心上網。



• 可以偵測各種網頁瀏覽器的零時差攻擊可以偵測各種網頁瀏覽器的零時差攻擊。


Module 6-2-1-3Module 6-2-1-3 ：： Worry Free Worry Free SecuritySecurity



目的目的

• 保護企業免受網頁威脅危害。保護企業免受網頁威脅危害。• 讓企業不必擔心安全問題，專心拓展業務。讓企業不必擔心安全問題，專心拓展業務。



• 有效阻擋網頁威脅與其他惡意程式。有效阻擋網頁威脅與其他惡意程式。



• 每日掃瞄現有及新發現的網路應用程式安全弱每日掃瞄現有及新發現的網路應用程式安全弱點。點。


Module 6-2-1-4Module 6-2-1-4 ：： Web AlertWeb Alert



目的目的

• 主要在於保護組織、個人的網路安全。主要在於保護組織、個人的網路安全。



• 有效阻擋網頁威脅與其他惡意程式。有效阻擋網頁威脅與其他惡意程式。



• 透過網駭掃描引擎掃描分析有關有風險的網頁。透過網駭掃描引擎掃描分析有關有風險的網頁。


Module 6-2-2Module 6-2-2 ：信賴標章：信賴標章

• VeriSign/HiTRUSTVeriSign/HiTRUST 「全球安全認證網站「全球安全認證網站標標章章」」

• 寰宇數位「寰宇數位「 GlobalTrustGlobalTrust 安全網站標章」安全網站標章」 • 台北市消費者電子商務協會「優良電子商店台北市消費者電子商務協會「優良電子商店標章」標章」

• 台北市消費者電子商務協會「資訊透明化電台北市消費者電子商務協會「資訊透明化電子商店標章」子商店標章」



• 中華民國網路消費協會「網站認證」中華民國網路消費協會「網站認證」• 中華民國網路消費協會「網站購物補償制中華民國網路消費協會「網站購物補償制度」度」

• 中華民國旅行業品質保障協會「旅行業品保中華民國旅行業品質保障協會「旅行業品保協會標章」協會標章」

• 中華民國旅行業品質保障協會「旅行購物保中華民國旅行業品質保障協會「旅行購物保障標章」障標章」



• 臺灣網路認證公司「臺灣網路認證公司「 TWCATWCA 全球安全網站全球安全網站認證標章認證標章」」

• 威利全球憑證中心「安全認證網站標章」威利全球憑證中心「安全認證網站標章」• WISWIS匯智匯智 SSLSSL 數位憑證中心數位憑證中心「「 Geotrust Geotrust 」」• BSI BSI 「「 ISO/IEC 27001ISO/IEC 27001 」」


信賴標章種類信賴標章種類

標章名稱全球安全認證網站標章

GlobalTrust

安全網站標章

優良電子商店標章

資訊透明化電子商店標章

標章樣式

推出公司VeriSign/

HiTRUST 網際威信

寰宇數位台北市消費者電子商務協會

台北市消費者電子商務協會

認證內容SSL加密網頁憑證

SSL加密網頁憑證

為消費者除卻網上交易之不安全

提供消費者更快速便捷的辨認工具

中文版英文版



標章名稱網消會認證標章

網消會購物補償標章

旅行業品保協會標章

旅行購物保障標章

標章樣式

推出公司中華民國網路消費協會

中華民國網路消費協會

中華民國旅行業品質保障協會

中華民國旅行業品質保障協會

認證內容確保消費者的網路購物權益

確保消費者的網路購物保障

確保消費者的旅遊消費權益

確保購物店業者的商品品質



標章名稱TWCA 全球安全網站認證標章

安全認證網站標章 Geotrust

ISO/IEC 27001

標章樣式

推出公司臺灣網路認證公司

威利全球憑證中心

WIS匯智SSL 數位憑證中心

BSI

認證內容SSL加密網頁憑證



保護資訊財產


Module 6-2-2-1Module 6-2-2-1 ：：全球安全認證網站標全球安全認證網站標章章



目的目的

• 將「信任」將「信任」 (Trustworthiness)(Trustworthiness) 經由安全的網站經由安全的網站予以具體化，以提升企業的優質形象予以具體化，以提升企業的優質形象

• 藉由啟動藉由啟動 SSL(Secured Socket Layer)SSL(Secured Socket Layer) 安全傳輸安全傳輸機制，提供與網站用戶之間經由瀏覽器進行資機制，提供與網站用戶之間經由瀏覽器進行資料加密通訊。料加密通訊。



• 身分辨識：網站訪客藉此確認是否登入正確的身分辨識：網站訪客藉此確認是否登入正確的網站，避免進入仿冒網站。網站，避免進入仿冒網站。

• 安全加密：企業與用戶間資料傳輸，將因憑證安全加密：企業與用戶間資料傳輸，將因憑證啟動此啟動此 SSLSSL加密後得到保護，包括信用卡資料、加密後得到保護，包括信用卡資料、個人隱私、交易內容及各項機密資料等。個人隱私、交易內容及各項機密資料等。




• 實例：資料來源擷取自博客來網路書店實例：資料來源擷取自博客來網路書店


Module 6-2-2-2Module 6-2-2-2 ：： GlobalTrustGlobalTrust 安全網站標章安全網站標章



目的目的

• 提供與全球同步的加密等級服務。提供與全球同步的加密等級服務。 • 促進網際網路及無線網路上的電子商務及電子促進網際網路及無線網路上的電子商務及電子

訊息溝通的安全性與便利性。訊息溝通的安全性與便利性。



• 身分辨識：網站訪客藉此確認是否登入正確的網身分辨識：網站訪客藉此確認是否登入正確的網站，避免進入仿冒網站。站，避免進入仿冒網站。

• 安全加密傳輸：企業與用戶間資料傳輸，將因憑安全加密傳輸：企業與用戶間資料傳輸，將因憑證啟動此證啟動此 SSLSSL加密後得到保護，包括信用卡資加密後得到保護，包括信用卡資料、個人隱私、交易內容及各項機密資料等。料、個人隱私、交易內容及各項機密資料等。

• 防釣魚網站：寰宇數位提供防盜拷備的即時認防釣魚網站：寰宇數位提供防盜拷備的即時認證標章，可防止釣魚網站不肖的盜取資料，確實證標章，可防止釣魚網站不肖的盜取資料，確實即時做到身分認證的功效。即時做到身分認證的功效。




• 實例：資料來源擷取自全虹企業股份有限公司實例：資料來源擷取自全虹企業股份有限公司

module 6 ：交易安全

Documents