قابليت بررسي Audit abilityيعني اينکه سيستم بتواند تمام جنبه هاي تراکنش را ثبت کند تا در صورت لزوم از آن استفاده کرد.کارايي Efficiencyانجام تراکنش با هزينه زماني کمقابليت اطمينان Reliabilityآيا سيستم به قدر کافي مستحکم است که تراکنشها يا پول را در صورت قطع برق، خراب شدن سرور ، خرابي هاي شبکه يا ورودي پيش بيني نشده از طرف کاربران از دست ندهد؟مقياس پذيري Scalabilityدر صورت افزايش بار کاري و افزايش منابع، کارايي کم نشود.قابليت مجتمع شدن Integrationآيا سيستم قابليت مجتمع شدن با سيستم حسابداري يا پرداخت ديگر را دارد؟قابليت پذيرش Acceptabilityآيا سيستم از سوي کاربران پذيرفته خواهد شد؟هزينه پايين Low Costهزينه انجام هر تراکنش در آن پايين باشد.گمنامي Anonymityاينکه مشتري بدون نياز به معرفي خود قادر به پرداخت باشد.مدلهاي پرداخت الکترونيکبا در نظر گرفتن اينکه دريافت کننده، پول را از حساب پرداخت کننده بکشد يا پرداخت کننده پول را به حساب دريافت کننده بفرستد و اينکه دو طرف مستقيماً با هم در ارتباط باشند يا نه ، چهار مدل پرداخت الکترونيک قابل تصور است.
1.مدل پرداخت مستقيم مانند پول (Direct Cash Like)در اين مدل ارتباط مستقيم بين پرداخت کننده و دريافت کننده وجود دارد.پرداخت کننده ابتدا از يک بانک با دادن پول نشانه (Token) دريافت مي کند.سپس اين نشانه را به دريافت کننده مي دهد.دريافت کننده اين نشانه را به بانک کارگزار خود و به حساب خود مي گذارد.در نهايت بانک کارگزار دريافت کننده (Acquirer) و بانک کارگزار پرداخت کننده (Issuer) با هم تسويه حساب مي کنند.از نمونه هاي واقعي بر مبناي اين مدل مي توان پول ديجيتالي Digital Cash ? (E-cash) را نام برد.شکل زير نشان دهنده مدل پرداخت مستقيم مي باشد.
2.مدل پرداخت مستقيم بر مبناي حساب Direct Account Basedدر اين مدل ارتباط مستقيم بين پرداخت کننده و در يافت کننده وجود دارد.پرداخت کننده يک سند پرداخت به دريافت کننده مي دهد.دريافت کننده اين سند را در بانک کارگزار خود به حساب خود مي گذارد.سپس بانک کارگزار در يافت کننده و بانک کارگزار پرداخت کننده با هم تسويه حساب مي کنند. در نهايت پيامي از بانک کارگزار پرداخت کننده به وي مبني بر انجام پرداخت مي رسد.از نمونه هاي واقعي بر مبناي اين مدل مي توان چک الکترونيکيE-check را نام برد.
3. مدل پرداخت غيرمستقيم کشش بر مبناي حساب Indirect Pull Account Basedدر اين مدل ارتباط مستقيم بين پرداخت کننده و دريافت کننده وجود ندارد.دريافت کننده آغاز گر جريان پرداخت است و اطلاعات حساب پرداخت کننده را در اختيار دارد.روند انجام پرداخت بدين صورت است که دريافت کننده از بانک کارگزار خود تقاضاي انتقال وجه را از حساب پرداخت کننده در بانک وي به حساب خود مي کند.سپس بانک کارگزار دريافت کننده و بانک کارگزار پرداخت کننده با هم تسويه حساب مي کنند.در نهايت پيامي از بانک کارگزار پرداخت کننده به وي مبني بر انجام پرداخت مي رسد.از نمونه هاي واقعي بر مبناي اين مدل مي توان کارت اعتباري Credit Card را نام برد.
4. مدل پرداخت غيرمستقيم فشار بر مبناي حساب Indirect Push Account Basedدر اين مدل ارتباط مستقيم بين پرداخت کننده و دريافت کننده وجود ندارد. پرداخت کننده آغاز گر جريان پرداخت است و اطلاعات حساب دريافت کننده را در اختيار دارد.انجام پرداخت به اين صورت است که پرداخت کننده از بانک کارگزار خود تقاضاي انتقال وجه را از حساب خود به حساب دريافت کننده در بانک کارگزار وي مي نمايد.سپس بانک کارگزار دريافت کننده و بانک کارگزار پرداخت کننده با هم تسويه حساب مي کنند.در نهايت پيامي از بانک کارگزار دريافت کننده به وي مبني بر انجام پرداخت مي رسد.اين مدل شبيه پرداخت سنتي در دنياي واقعي است ولي به صورت الکترونيکي پياده سازي نشده است.
روشهاي پرداخت الکترونيکي امروزه روشهاي بسيار زيادي براي پرداخت الکترونيکي مورد استفاده قرار ميگيرند.
سه مورد از مهمترين روشهاي پرداخت الکترونيکي کارت اعتباري ، چک الکترونيکي ، پول ديجيتالي مي باشد.در ادامه دروس ابتدا به توضيح اين سه مورد پرداخته و در ادامه به بعضي از روشهاي ديگر اشاره مي کنيم.کارت اعتباريCredit Cardکارتهاي حافظه اي موجب يک تحول شگرف در فرصتهاي تجاري شد.کارتهاي حافظه اي ، کارتهاي الکترونيکي هستند که مي توان در آنها مبلغي را وارد کرد و سپس در هر پرداختي که کارت را قبول مي کند مي توان از آن استفاده کرد.
کارتهاي حافظه اي داراي تراشه اي هستند که به طور خودکار مبلغ خريد را از کارت کم کرده و به فروشنده منتقل مي کند.به دليل ساده بودن فرايند از اين کارتها براي خريد هاي کوچک مي توان استفاده کرد.کارتهاي حافظه اي ، ابزار منحصر به فردي را براي غلبه بر کلاه برداري در اختيار صادرکننده قرار مي دهد.تراشه (Chip) داخل آن انواع فرمتهاي پرداخت را ساده تر و سازگار تر مي کند.اين کارتها کاربردهايي نظير اسناد هزينه الکترونيکي ، رزرو بليط و شناسايي ديجيتالي را پشتيباني مي کنند.هر کارت حافظه اي تاجران را قادر مي سازد که گزارشهاي مسافرت و تفريحات ، خريد و هزينه هاي اظطراري را مديريت کنند.کارتهاي اعتباري از اين نوع کارتها مي باشند.امروزه معمولترين روش پرداخت در اينترنت کارت اعتباري مي باشد.دليل اين امر آشنايي مردم و پذيرش کارت اعتباري براي خريد هاي معمولي در زندگي روزمره است.البته از ديگر دلايل اين امر تضمين و حمايت شرکتهاي صادر کننده کارتهاي اعتباري از دارنده آن تا سقف 50 دلار در برابر تقلب ها مي باشد.
سايتهاي تجارت الکترونيکي معمولا خريدار را ملزم مي کنند تا يک فرم الکترونيکي را پر کند که اين فرم نام ،شماره کارت اعتباري و تاريخ انقضاء کارت را مشخص مي کند و برخي مواقع موارد ضد تقلب اضافي از قبيل کد پستي و آدرس منزل خريدار را شامل مي شود. در اين سيستم مرورگر کاربر و سرويس دهنده پرداخت تاجر با هم کار مي کنند تا اينکه براي هر معامله کليدهاي جديد رمز کردن را ايجاد کرده و تغيير دهند.
براي پشتيباني و استفاده از کارت اعتباري ، سايت تجارت الکترونيک بايد داراي يک حساب ويژه تجارت الکترونيکي در يکي از معدود بانکهايي باشد که اينگونه حسابها را ارائه مي دهند.اين حساب ويژه Merchant Account ناميده مي شود.اخذ يک حساب Merchant کار ساده اي نيست.چرا که اولا بانک هاي معدودي اين حسابها را در اختيار مي گذارند و ثانيا هر سايتي نمي تواند از همان ابتدا يک حساب باز کند بلکه بايد اعتبار مشخصي را که براي بانک مربوطه مورد قبول باشد کسب کرده و سپس براي بازگشايي اقدام کند.به همين دليل شرکتهاي واسطه ايي وجود دارند که خودشان داراي Merchant بوده و آن را در اختيار صاحبان سايتها قرار مي دهند و در مقابل درصدي از فروش آنها را دريافت مي کنند.
اين شرکتهاي واسطه تحت عنوان تأمين کنندگان حساب يا Merchant Account Provider (MAP) ناميده مي شوند.پردازش کارتهاي اعتباريبخشهاي زيادي درگير پردازش پرداخت کارت اعتباري مي باشند.قسمتهايي شامل مشتريان که کارت اعتباري دارند و بانک صادر کننده کارت به مشتريان ، بازرگانان و بانک کارگزار بازرگانان که براي بازرگانان بر روي کارت اعتباري پردازش مي کنند.مشتري براي دريافت کارت اعتباري از بانک درخواست مي کند تا يکي از عضو هاي Master Card يا Visa يا ... شود.مشتري در هر مکان تجاري مي تواند از کارت صادر شده به عنوان ابزار پرداخت استفاده کند.شماره کارت هاي اعتباري منحصر به فرد است.
بانک کارگزار بازرگان پرداختهاي مشتريان را که حاصل از خريد از طريق کارت اعتباري است به حساب بازرگان واريز مي نمايد.بانک کارگزار بازرگان از بازرگانان ثبت نام کرده و هزينه خدمات را مطالبه مي کند.در کل دو روش براي پردازش کارتهاي اعتباري وجود دارد که عبارتند ازOffline و Real timeدر حالت Offline مشتري براي پرداخت هزينه خريد مشخصات کارت اعتباري خود را وارد سايت کرده و اين اطلاعات به سرور سايت ارسال مي شود.اين اطلاعات به صورت دستي وارد ترمينالهاي مخصوصي که صاحب سايت آنها را از بانک خود گرفته است مي شوند و به مرکز پردازش ارسال مي شوند تا اعتبار آنها بررسي شده و مبلغ لازم از اعتبار مشتري کسر و به حساب صاحب سايت واريز شود.
(کليه اين مراحل توسط سيستم هاي امنيتي نظير SSL يا SET حفاظت مي شود که در مبحث امنيت به شرح آن خواهيم پرداخت.)در حالت Real time پس از آنکه مشتري مشخصات کارت اعتباري خود را به سايت فرستاد کليه عمليات لازم براي ارسال اين اطلاعات به مرکز پردازش کارت ، کسر مبلغ از حساب مشتري و واريز به حساب فروشگاه به طور خودکار و در همان زمان اخذ اطلاعات انجام مي گيرد.براي بکارگيري اين روش ،سايت تجارت الکترونيک بايد با يک مرکز پردازش کارتهاي اعتباري در ارتباط باشد.مراکز متعددي جهت اين کار در شبکه اينترنت وجود دارد از جمله مي توان ازCybercash , Pay pal ،CCNow و ... نام برد.
انواع ديگر پرداختهاي الکترونيک
1.سيستم Cyber Cashاين سيستم از يک مبادله تجاري ديجيتالي ساده استفاده مي کند.اساس خدمات آن ، مبادلات ايمن ، اختصاصي و معتبر مي باشد.در اين سيستم مکانيسمي ارائه مي شود که در آن از تکنولوژي رمزنگاري جديد شامل کليدهاي رمز عمومي و اختصاصي و امضاء ديجيتالي (در مبحث امنيت به توضيح اين روشها خواهيم پرداخت)از طريق نرم افزار مخصوص سرويس دهنده و سرويس گيرنده استفاده مي شود.Cyber Cash از سال 1994 پايه ريزي شد و هدف موسسين آن همکاري با موسسات مالي و بازرگانان جهت ارائه سيستم پرداخت اينترنتي قابل قبول بود.Cyber Cash نرم افزاري است که مي بايست بر روي سايت فروشنده و کامپيوتر خريدار نصب شود.
اين نرم افزار از چند طريق قابل تهيه مي باشد.با بسته هاي نرم افزاري مرورگرهاي اينترنت ارائه مي شود.بعضي از بانکهاي بزرگ آن را بين مشتريان خود به صورت رايگان توزيع مي کنند و بر روي CD يا از طريق دانلود آن از سايت http://www.cybercash.com قابل تهيه است.در اين سيستم خريدار اين نرم افزار را بر روي سيستم خود نصب کرده و مشخصات کارت اعتباري خود را در آن وارد مي کند.پس از تأييد پرداخت اين اطلاعات مستقيما بر روي سرويس دهنده فروشنده منتقل مي گردد.
2.سيستم مايکروسافت تجارت الکترونيکي را با استفاده از بخش مهمي از سايتهاي Web شرکتها هموار ساخته است.امکانات تجارت الکترونيکي به صورت يکپارچه و سازگار در خانواده محصولات Ms Back Office ارائه شده است.يکي از نرم افزار ها Microsoft Site Server است که محيط وب جامعي را براي مديريت پيشرفته تجارت الکترونيک از طريق سايت وب ارائه کرده است.نرم افزار Site Server شامل Commerce Server يک نرم افزار فروش در اينترنت است که در سال 1996 مورد قبول هزاران مشتري در کشورهاي مختلف قرار گرفته است.
3.E-Wallet يا کيف الکترونيکي استراتژي پرداخت E-Wallet مربوط به شرکت Master Card است.اين شرکت چند نوع کيف الکترونيکي ارائه کرده است که مشتريان بر اساس نياز بازار مي توانند از آنها استفاده کنند.کيفهاي الکترونيکي برنامه هاي نرم افزاري هستند که در کنار کامپيوتر شخصي صاحب کارت يا سرويس دهنده عضو يا ارائه کننده خدمات شبکه نگهداري مي شود.اين برنامه شامل اطلاعات تمام پرداختهاي ضروري ، صورتحسابها و حمل کالا به ازاء هر خريد در شبکه است.
کيف الکترونيکي همانند شکل شبکه اي کيف واقعي است.اطلاعات شخصي و پرداخت شما در جايي نگهداري مي شود تا هنگام نياز براي خريد چيزي در شبکه از آن استفاده کنيد.کيف الکترونيکي شما را در پر کردن فرمهاي سفارش شبکه اي کمک مي کند و موجب سرعت عمل و سادگي کار خريد مي گردد.شما با دريافت يک E-Wallet کليه مشخصات خود و کارت اعتباري خود را در آن ذخيره کرده و در صورت خريد از روي شبکه ID کيف خود را وارد کرده و کليه کارها به طور اتوماتيک انجام مي گيرد.نمونه اي از اين مدل را مي توانيد در Pay Direct سايت Yahoo ملاحظه کنيد.علاوه بر پر کردن فرمهاي سفارش ،کيفهاي الکترونيکي کارهاي بيشتري انجام مي دهد.
به عنوان مثال:
1.نگهداري کلمه رمز براي سايتهاي مختلف
2.سابقه خريدها با کيف الکترونيکي
3.نگهداري چندين آدرس حمل کالا
4.نگهداري کتابچه راهنما
5.تذکرات خودکار درباره فروش فوق العاده و تخفيفهروشهاي پرداخت الکترونيک را بررسي کرديم ولي استفاده از اين روشها در ايران تقريبا غيرممکن يا بسيار مشکل است.در ذيل تعدادي از محدوديت هاي اين روشها را مشاهده مي کنيد.
مشکلات روشهاي پرداخت الکترونيک در ايران
1.استفاده از کارتهاي اعتباري در ايران بسيار مشکل است
2.از نظر فرهنگ تجاري، خريدار اين اعتماد را به فروشنده ندارد که مشخصات کارت اعتباري خود را به فروشنده بدهد و او بتواند از آن برداشت کند.
3.زيرساختهاي حقوقي و قانوني براي رسيدگي به تخلف وجود ندارد
4.گرفتن کارت اعتباري بين المللي در ايران کاري بسيار دشوار است.
5.گرفتن Merchant ID شناسه مخصوص فروشنده يا بازرگان در ايران تقريبا غير ممکن است.امنيت در تجارت الکترونيکپس از بررسي پرداخت الکترونيک نوبت به امنيت در پرداختها و مبادلات الکترونيکي و حفاظت از اطلاعات مشتريان بر روي سرويس دهنده سايت مي رسد.
در مبحث امنيت به بررسي انواع خطر ها ? انواع فناوري حفاظت و ايمني شامل مسيريابها ? ديواره هاي آتش? سيستمهاي کشف تجاوز? PKI ?شناسايي ? رمزنگاريو امضاء ديجيتالي ? تکنولوژي SET و تکنولوژي SSL خواهيم پرداخت.امنيت در تجارت الکترونيکسايتهاي تجارت الکترونيک از هر روشي که براي فروش کالا و دريافت هزينه ها استفاده کنند بايد نکته مهمي را در نظر بگيرند و آن برقراري امنيت سايت است. واضح است که مشتريان تا از امنيت اطلاعات کارت اعتباري خود و ديگر مشخصات مطمئن نباشند هرگز از فروشگاه خريد نخواهند کرد.
امنيت يک سايت تجارت الکترونيک را از جنبه هاي مختلفي مي توان بررسي و تامين کرد.سه جنبه اصلي عبارتند از:
1. تبادل اطلاعات بين مشتري و سايت ( مثل اطلاعات محرمانه ، مشخصات کارت اعتباري ، مشخصات خريدار و آدرس وي ) بايد به نحوي باشد که هيچ سارق اطلاعاتي نتواند آنها را در مسير انتقالشان از کامپيوتر خريدار تا کامپيوتر سرويس دهنده ، خوانده و استفاده کند .
2. مشتري بايد اطمينان حاصل کند که پول را به سايتي مي پردازد که از آن خريد کرده است و نه به يک مقصد ناشناخته ، به عبارت ديگر فروشگاه بايد ثابت کند همان چيزي است که ادعا مي کند.
3. فروشگاه بايد اطمينان حاصل کند آدرسي که مشتري براي تحويل کالاهاي خريداري شده اعلام کرده است آدرس واقعي خود مشتري است و نه يک مقصد ناشناخته ديگر که توسط يک سارق و با استفاده از مشخصات مشتري به فروشگاه اعلام شده است.خطر ها کدامند؟سرقت اطلاعات:اطلاعات داراي ارزش است.سود يک شرکت بستگي به مشتريانش ، پايه دانش و برتريهاي راهبردي آن شرکت دارد و رقبا به خصوص درصدد يافتن اين اطلاعات مي باشند.مديران در نگهداري و ذخيره اين اطلاعات مي بايست بسيار دقت کنند.
شرکت Yankee group مستقر در بوستون امريکا در نتيجه نظرسنجي از 700 نفر که متخصص در زمينه امنيت بودند متوجه شد که 55 درصد تجاوزها به اطلاعات شبکه ، توسط افراد داخل شرکت بوده و در مقابل تنها 25 درصد تجاوزها توسط افراد خارج سازمان گزارش شده است.شرکتها بايد کامپيوترهاي سرويس دهنده وب تجارت الکترونيک خود را در مقابل دسترسي غيرمجاز ايمن سازند و بايد توجه کرد که دسترسي غيرمجاز ممکن است از طريق اينترنت باشد يا از طريق داخل شرکت.حفاظت در مقابل تخريب کامپيوتر سرويس دهنده وب:صفحه اوليه (Home Page) سايت شرکت ،تصوير آن شرکت در مقابل دنيا است.براي خيلي ها صفحه اوليه سايت يعني شرکت.متجاوزان با دستکاري اين صفحه شرکتها را تخريب مي کنند.
نقطه آغاز فعاليتهاي غيرقانوني:براي شرکتهاي کوچک و متوسط که درگير رقابت بازار نيستند احتمال اينکه خرابکاران به فکر حمله به آنها بيفتند خيلي کم است.چنانچه سيستم هاي متصل به اينترنت از لحاظ امنيتي براي متجاوزان ضعيف باشد متجاوزان مي توانند اين سايتها را به عنوان محل ذخيره اطلاعات سرقتي انتخاب کرده و تبديل به نقطه آغاز حمله به سايتهاي با ارزش ديگر کنند.جلوگيري از ارائه خدمات:نوع ديگر حمله اقدام به تعطيلي يک کامپيوتر سرويس دهنده به وسيله مواجه ساختن آن با انبوه درخواستهاست که در واقع پيشگيري از آن نسبتا دشوار است.انواع فناوري حفاظت و ايمنيمطلوبترين فن آوري هاي امنيتي عبارتند از :
1.مسيرياب Routers
2.ديواره هاي آتش Internet Firewalls
3.سيستم هاي کشف تجاوز Intrusion Detection System
Public Key Infrastructure PKI .4
5.شناسايي Authentication6.رمزنگاري Encryption
انواع فناوري هاي حفاظت و ايمني در تجارت الکترونيک در مطلب گذشته انواع فناوري هاي حفاظت و ايمني را نام برديم.در اين درس به شرح هر يک از اين موارد خواهيم پرداخت.مسيريابRoutersمسيرياب عبارت از وسيله اي است که مديريت ترافيک شبکه را انجام مي دهد.اين وسيله بين زير شبکه ها نشسته و رفت و آمد به سمت بخشهايي را که به آنها متصل است کنترل مي کند.به طور طبيعي مسيريابها محلي مناسب براي اعمال قواعد فيلتر کردن بسته ها بر اساس سياستهاي امنيتي هستند.
ديواره آتشFire wallيکي از مؤلفه هاي مهم حفاطت سايتهاي اينترنتي ، سيستم ديواره آتش مي باشد.سيستم هاي ديوار آتش کامپيوتر يا مسيريابهايي هستند که آمد وشد به اينترنت را بسته به قواعد از پيش تعريف شده فيلتر مي کنند.سيستم هاي ديوار آتش به دو نوع اصلي ارائه مي شوند:
1.Packer Filter يا فيلترهاي بسته اي که مبتني بر مسيرياب مي باشند.اين فيلترها هر بسته داده وارده و صادره را بررسي مي کنند تا مطمئن شوند که اجازه ورود يا خروج از شبکه بر اساس قواعد از پيش تعريف شده را دارند يا خير.
2.Application Gateways پلهاي ارتباطي که بر روي يک کامپيوتر اختصاصي يا کامپيوتري که به طور ويژه ايمن شده است اجرا مي شود.اين نرم افزار ها عمل فيلتر کردن بسته اي را روي برنامه هاي کاربردي اجرا شده انجام مي دهند.اين سيستم ها دارايProxy بوده و آدرسها را ترجمه مي کنند.سيستمهاي کشف تجاوزIDSمتجاوز اينترنتي (Hacker, Cracker) کسي است که بدون اجازه به سيستم شما وارد مي شود يا سيستم شما را مورد سوء استفاده قرار مي دهد.کلمه سوء استفاده معناي گسترده اي دارد و مي تواند شامل دزدي کلان مثل ربودن داده هاي محرمانه تا استفاده غير مجاز از پست الکترونيک شما به منظور ارسال نامه هاي تبليغاتي از نوع مزاحمتهاي اينترنتي معروف به Spam باشد.
يک سيستم کشف تجاوزIDS کارش کشف چنين تجاوزاتي است.اين سيستم را مي توان به مقوله هاي زير تقسيم نمود:1. سيستم هاي کشف تجاوز شبکه اي Network Intrusion Detection System NIDS2.تأييد کننده هاي صحت سيستم System Integrity Verifiers SIV3. مانيتورهاي Log file Monitors Log4. سيستم هاي فريبسيستم هاي کشف تجاوز شبکه اي NIDSاين سيستم ها بسته هاي داده را که روي کابل شبکه مي باشد مورد نظارت قرار مي دهند و تشخيص اينکه يک خرابکار مشغول داخل شدن به سيستم است يا خير يا اينکه سيستم را از ارائه خدمات باز مي دارد يا خير بر عهده دارد.
تأييد کننده هاي صحت سيستم SIVاين تأييد کننده ها پرونده هاي سيستمي را به منظور يافتن اينکه چه موقع يک متجاوز آنها را تغيير مي دهد نظارت مي کنند.مشهورترين اين تأييديه ها Trip Wire است.يک SIV مي تواند مؤلفه هاي ديگري همچونWindows Registry را هم نظارت کند تا علامتهاي معروف را پيدا کند.اين سيستم ضمنا مي تواند زماني را که يک کاربر عادي به امتيازات مدير شبکه دست پيدا مي کند تشخيص دهد.مانيتورهايLogاين سيستم پرونده هاي Logرا که توسط سرويسهاي شبکه اي توليد مي شوند مراقبت مي کنند.شبيه کار NIDS اين سيستم ها در داخل پرونده هاي Log به دنبال الگوهايي مي گردند که حاکي از هجوم يک مهاجم باشد.سيستمهاي فريباين سيستم ها شبيه خدماتي هستند که هدف آنها عبارت از شبيه سازي رخنه هاي مشهور است تا خرابکارها را به دام بيندازد.اين سيستم ها همچنين از حقه هاي ساده هم استفاده مي کنند.
مانند نامگذاري مجدد عضويت يک مدير شبکه درNT و تعريف يک عضويت کاذب بدون هيچ اختيار.PKI ? رمزنگاري ? امضاء ديجيتاليدر اين درس به بررسي زير ساخت کليد عمومي PKI ? رمزنگاري و امضاء ديجيتالي خواهيم پرداخت.زير ساخت کليد عمومي PKIPublic Key Infrastructure) PKI ) به عنوان استانداردي که عملا براي يکي کردن امنيت محتواي ديجيتالي و فرايند هاي تجارت الکترونيک و همچنين پرونده ها و اسناد الکترونيکي مورد استفاده قرار مي گرفت ظهور کرد.اين سيستم به بازرگانان اجازه مي دهد از سرعت اينترنت استفاده کرده تا اطلاعات مهم تجاري آنان از رهگيري ، دخالت و دسترسي غير مجاز در امان بماند.يک PKI کاربران را قادر مي سازد از يک شبکه عمومي ناامن مانند اينترنت به صورتي امن و خصوصي براي تبادلات اطلاعات استفاده کنند.اين کار از طريق يک جفت کليد رمز عمومي و اختصاصي که از يک منبع مسؤل و مورد اعتماد صادر شده و به اشتراک گذارده مي شود انجام گيرد.
اين سيستم مجموعه اي است از استانداردها ، فناوري ها و روالهايي که براي معتبر سازي و انتقال داده ها بکار گرفته مي شوند.با استفاده از کليدهاي ديجيتالي عمومي و اختصاصي به منظور رمزنگاري و رمزگشايي ، همچنين با استفاده از گواهينامه هاي ديجيتالي که حاوي کليدهاي اعتباري و عمومي کاربر بوده و اعتبار و هويت کاربر را اعلام مي کنند امکان انتقال امن داده هاي الکترونيکي را فراهم مي آورد.وقتي دو نفر بخواهند با هم ارتباط برقرار کنند ، فرستنده اطلاعات ،از کليد عمومي مربوط به دريافت کننده اطلاعات براي رمزکردن اطلاعات استفاده کرده ، آن را ارسال مي کند.سپس دريافت کننده از کليد خصوصي خودش براي رمزگشايي اطلاعات و خواندن آن استفاده مي کند.از آنجا که اين کليد ، خصوصي است و براي کس ديگر قابل دسترس نيست فقط آن کسي که اطلاعات براي او ارسال گرديده مي تواند آن را بخواند.رمزنگاري Encryptionرمزنگاري عبارتست از تبديل داده ها به ظاهري که نهايتا بدون داشتن يک کليد مخصوص قرائت آن غير ممکن باشد.هدف آن حفظ حريم خصوصي است با پنهان نگاه داشتن اطلاعات از افرادي که نبايد به آنها دسترسي داشته باشند.رمزگشايي برعکس رمزنگاري عبارتست از تبديل داده هاي رمز شده به صورت اوليه و قابل قرائت.شکل زير نشان دهنده رمزنگاري مي باشد.
همانطور که از شکل پيداست ابتدا بايست براي هر نفر دو کليد وجود داشته باشد.يک کليد عمومي که همه مي توانند به آن دسترسي داشته باشند و يک کليد خصوصي که فقط و فقط خود فرد آنرا در اختيار دارد.اين زوج کليد منحصر به فرد است و با داشتن يکي ، ديگري را نمي توان توليد کرد.اين کليدها در مرکزي به نام Certificate Authority توليد مي شوند و به افراد داده مي شوند.حال اگر فرستنده بخواهد براي گيرنده پيامي بفرستد آنرا با کليد عمومي گيرنده رمز مي کند و مطمئن خواهد بود که فقط گيرنده مي تواند آنرا بخواند چون کليد خصوصي گيرنده فقط در اختيار خود اوست.
امضاء ديجيتالي امضاء هاي ديجيتالي ، فن آوري ديگري است که توسط رمزنگاري کليد عمومي فعال گرديد و اين امکان را به مردم مي دهد که اسناد و معاملات را طوري امضا کنند که گيرنده بتواند هويت فرستنده را تأييد کند.امضاء ديجيتالي شامل يک اثر انگشت رياضي منحصر به فرد از پيام فعلي است که به آن One-Way-Hash نيز گفته مي شود.کامپيوتر گيرنده پيام را دريافت مي کند و همان الگوريتم را روي پيام اجرا مي کند، امضا را رمزگشايي کرده و نتايج را مقايسه مي کند. چنانچه اثر انگشت ها يکسان باشند گيرنده مي تواند از هويت فرستنده و صحت پيام مطمئن شود.اين روش تضمين مي کند که پيام در طول انتقال مورد دستکاري واقع نشده است.امضا ديجيتالي براي هر پيام يگانه و منحصر به فرد است.به عبارت ديگر امضا ديجيتالي روشي است که با استفاده از رمزنگاري کليد عمومي احراز هويت،عدم انکار ، محرمانگي و جامعيت داده اي را تأمين مي کند.شکل زير نشان دهنده روند کلي امضا ء ديجيتالي است.
در شکل بالا وقتي فرستنده مي خواهد پيامي را امضا کند و براي گيرنده بفرستد ، با استفاده از يک الگوريتم يک خلاصه پيام -Massage digest - از پيام خود توليد مي کند و آنرا با کليد خصوصي خود رمز مي کند.الگوريتم هاي خلاصه سازي پيام مانندMD5 يا SHA-1 داراي سه ويژگي هستند:1.طول پيام همواره ثابت است . يعني طول پيام هرچقدر باشد خلاصه آن يک اندازه خواهد بود.اين طول پيام براي MD5 برابر 128 بيت و براي SHA-1 برابر 160 بيت است.2.هر بيت ورودي روي خروجي موثر است.يعني دو پيام که حتي فقط در يک بيت با هم متفاوتند داراي خلاصه هاي متفاوت خواهند بود.3. يک طرفه هستند.يعني با داشتن خلاصه پيام نمي توان اصل پيام را ساخت.در انتها خلاصه پيام را به خود پيام اضافه مي کند و آنرا براي گيرنده ارسال مي کند.در طرف مقابل گيرنده خلاصه پيام را از اصل پيام جدا مي کند.خلاصه پيام را با کليد عمومي فرستنده رمزگشايي مي کند.اين خلاصه بدست آمده را با خلاصه اصل پيام که خود آنرا توليد مي کند مقايسه نموده ،اگر مطابقت داشت يعني فرستنده خود کسي بوده که ادعا کرده است چون کليد خصوصي متناظر کليد عمومي وي فقط نزد خود اوست.(احراز هويت).از طرفي جامعيت داده اي پيام حفظ شده است.يعني پيام دست نخورده باقي مانده است.چرا که در غير اين صورت نتايج مطابقت نمي کرد.(جامعيت داده اي).از طرف ديگر فرستنده نمي تواند فرستادن پيام را انکار کند چرا که کليد خصوصي وي را فرد ديگري در اختيار ندارد(عدم انکار).براي حفظ محرمانگي و اطمينان حاصل کردن از اينکه غير از گيرنده مورد نظر فرد ديگري نتواند پيام را بخواند و همچنين گيرنده نتواند دريافت پيام را انکار کند کافي است فرستنده قبل از ارسال پيام آنرا با کليد عمومي گيرنده رمز کند و گيرنده نيز ابتدا پيام را با کليد خصوصي خود رمزگشايي کند و پس از آن مراحل فوق را انجام دهد.دوستان گرامي در درس آينده به بررسي تکنولوژي SET يکي از مهمترين روشهاي امنيت در پرداخت و انتقال داده ها خواهيم پرداخت.
تکنولوژي Secure ElectronicTransaction SET
در اوايل فوريه سال 1996 دو شرکت Master Card و Visa با يکديگر اعلام کردند که با همکاري شرکتهاي ديگري Verisign ,Terisa System , RSA , GTE , SAIC , Netscape , IBM , Microsoft استاندارد واحدي براي پرداخت و انتقال اطلاعات مطمئن الکترونيکي تحت شبکه هاي باز ابداع نموده اند و آن را SET ناميدند.قبل از اين پيشرفت Master Card و Visa هر يک روشهاي جداگانه اي را دنبال مي کردند.در اواسط دسامبر 1997 توسط اين دو شرکت ، سازماني به نامSET CO به ثبت رسيد که ساختار کنوني و وضعيت آينده اين استاندارد و ساير متعلقات آنرا تعيين مي کند.پروتکلSET داراي سه مزيت مي باشد که همراهي آنها با يکديگر اين پروتکل را از ساير روشها مطمئن تر ساخته است:1.محرمانگي، به وسيله رمزنگاري که خواندن پيامها را توسط ديگران غير ممکن مي کند.2.درستي ، بوسيله چکيده پيام و تأييد امضاء اطمينان مي دهد پيامها بدون تغيير رد و بدل مي شوند.3.تأييديه به وسيله گواهي امضاء ديجيتالي ، که اطمينان مي دهد ادعاهايي که افراد درگير معامله دارند قابل اثبات و اعمالي که انجام داده اند غير قابل انکار است.SET در عملاستاندارد SET تکنولوژي نسبتا پيچيده اي است.شکل زير پروسه هاي درگير در عمليات فروش را نشان مي دهد.
در روش بالا قسمتهاي درگير در پروسه فروش وقتي که ازSET استفاده مي شود را مي بينيد.ابتدا مشتري دارنده کارت و فروشنده هستند که قصد معامله دارند.بعد موسسه مالي است که کارت از طرف وي صادر شده و فروشنده سيستم آنرا به عنوان روش پرداخت پذيرفته است.اين موسسه است که در کليه معاملات بين صاحبان کارت و فروشندگان مسئول است و به فروشنده اطمينان مي دهد که پولش پرداخت خواهد شدو بالاخره صادر کننده گواهي شناسايي افراد است که گواهي هايي صادر مي کند که توسط همه قسمتها قابل تشخيص است.قبل از اينکه استفاده از پروتکل SET آغاز شود صاحب کارت در فروشگاه الکترونيکي سايت مي گردد وکالاهايي را انتخاب مي کند.بعد از اين مرحله SET آغاز مي شود و نرم افزار فروشنده کار را آغاز مي کند و مشخصات فروشنده را که به صورت ديجيتال گواهي شده است براي خريدار ارسال مي نمايد.همچنين تقاضاي گواهينامه شناسايي خريدار را براي کامپيوتر او ارسال مي نمايد.اين عمل اينگونه صورت مي پذيرد که بعد از اينکه برنامه صاحب کارت فروشنده را شناسايي کرد درخواست خريد و مشخصات کارت طبق گواهي امضاء ديچيتالي رمزگذاري مي کند و سپس براي فروشنده ارسال مي کند.
(فلش 1)نرم افزار فروشنده پيام موافقت پرداخت و محتواي سفارش را از رمز در مي آورد و آنرا همراه اطلاعات حساب مشتري و مبلغ که همچنان رمز شده اند براي موسسه ارسال مي کند.
(فلش 2)اين قسمت ازSET حائز اهميت است چرا که اطلاعات کارت (مانند شماره و تاريخ اعتبار) براي فروشنده قابل مشاهده نيست و فقط مسئول پرداخت مثل بانک ، مي تواند آنرا ببيند.بعد از اينکه موسسه درخواست مجوز فروشنده را دريافت کرد آنرا رمزگشايي و جهت بررسي و تأييد از طريق خطوط اختصاصي براي بانک صاحب کارت مي فرستد.وقتي موسسه جواب را از بانک دريافت کند آن را رمز گذاري کرده و به فروشنده ارجاع مي دهد.
(فلش 3)وقتي نرم افزار فروشنده جواب بگيرد آنرا با مبلغ مطابقت مي دهد و سپس آنرا رمز کرده به برنامه مشتري (Wallet) مي فرستد.اگر موجودي کافي باشد اين پاسخ تأييد شده است.
(فلش 4) در نهايت وقتي سفارش محقق مي گردد که بوسيله موسسه از بانک مشتري به حساب بانکي فروشنده انجام شده باشد.
(فلش 5 و 6)توجه: کليه مراحل بالا ظرف چند ثانيه و بين مرورگر ها اتفاق مي افتد و اين روند قابل مشاهده نمي باشد
1.مدل پرداخت مستقيم مانند پول (Direct Cash Like)در اين مدل ارتباط مستقيم بين پرداخت کننده و دريافت کننده وجود دارد.پرداخت کننده ابتدا از يک بانک با دادن پول نشانه (Token) دريافت مي کند.سپس اين نشانه را به دريافت کننده مي دهد.دريافت کننده اين نشانه را به بانک کارگزار خود و به حساب خود مي گذارد.در نهايت بانک کارگزار دريافت کننده (Acquirer) و بانک کارگزار پرداخت کننده (Issuer) با هم تسويه حساب مي کنند.از نمونه هاي واقعي بر مبناي اين مدل مي توان پول ديجيتالي Digital Cash ? (E-cash) را نام برد.شکل زير نشان دهنده مدل پرداخت مستقيم مي باشد.
2.مدل پرداخت مستقيم بر مبناي حساب Direct Account Basedدر اين مدل ارتباط مستقيم بين پرداخت کننده و در يافت کننده وجود دارد.پرداخت کننده يک سند پرداخت به دريافت کننده مي دهد.دريافت کننده اين سند را در بانک کارگزار خود به حساب خود مي گذارد.سپس بانک کارگزار در يافت کننده و بانک کارگزار پرداخت کننده با هم تسويه حساب مي کنند. در نهايت پيامي از بانک کارگزار پرداخت کننده به وي مبني بر انجام پرداخت مي رسد.از نمونه هاي واقعي بر مبناي اين مدل مي توان چک الکترونيکيE-check را نام برد.
3. مدل پرداخت غيرمستقيم کشش بر مبناي حساب Indirect Pull Account Basedدر اين مدل ارتباط مستقيم بين پرداخت کننده و دريافت کننده وجود ندارد.دريافت کننده آغاز گر جريان پرداخت است و اطلاعات حساب پرداخت کننده را در اختيار دارد.روند انجام پرداخت بدين صورت است که دريافت کننده از بانک کارگزار خود تقاضاي انتقال وجه را از حساب پرداخت کننده در بانک وي به حساب خود مي کند.سپس بانک کارگزار دريافت کننده و بانک کارگزار پرداخت کننده با هم تسويه حساب مي کنند.در نهايت پيامي از بانک کارگزار پرداخت کننده به وي مبني بر انجام پرداخت مي رسد.از نمونه هاي واقعي بر مبناي اين مدل مي توان کارت اعتباري Credit Card را نام برد.
4. مدل پرداخت غيرمستقيم فشار بر مبناي حساب Indirect Push Account Basedدر اين مدل ارتباط مستقيم بين پرداخت کننده و دريافت کننده وجود ندارد. پرداخت کننده آغاز گر جريان پرداخت است و اطلاعات حساب دريافت کننده را در اختيار دارد.انجام پرداخت به اين صورت است که پرداخت کننده از بانک کارگزار خود تقاضاي انتقال وجه را از حساب خود به حساب دريافت کننده در بانک کارگزار وي مي نمايد.سپس بانک کارگزار دريافت کننده و بانک کارگزار پرداخت کننده با هم تسويه حساب مي کنند.در نهايت پيامي از بانک کارگزار دريافت کننده به وي مبني بر انجام پرداخت مي رسد.اين مدل شبيه پرداخت سنتي در دنياي واقعي است ولي به صورت الکترونيکي پياده سازي نشده است.
روشهاي پرداخت الکترونيکي امروزه روشهاي بسيار زيادي براي پرداخت الکترونيکي مورد استفاده قرار ميگيرند.
سه مورد از مهمترين روشهاي پرداخت الکترونيکي کارت اعتباري ، چک الکترونيکي ، پول ديجيتالي مي باشد.در ادامه دروس ابتدا به توضيح اين سه مورد پرداخته و در ادامه به بعضي از روشهاي ديگر اشاره مي کنيم.کارت اعتباريCredit Cardکارتهاي حافظه اي موجب يک تحول شگرف در فرصتهاي تجاري شد.کارتهاي حافظه اي ، کارتهاي الکترونيکي هستند که مي توان در آنها مبلغي را وارد کرد و سپس در هر پرداختي که کارت را قبول مي کند مي توان از آن استفاده کرد.
کارتهاي حافظه اي داراي تراشه اي هستند که به طور خودکار مبلغ خريد را از کارت کم کرده و به فروشنده منتقل مي کند.به دليل ساده بودن فرايند از اين کارتها براي خريد هاي کوچک مي توان استفاده کرد.کارتهاي حافظه اي ، ابزار منحصر به فردي را براي غلبه بر کلاه برداري در اختيار صادرکننده قرار مي دهد.تراشه (Chip) داخل آن انواع فرمتهاي پرداخت را ساده تر و سازگار تر مي کند.اين کارتها کاربردهايي نظير اسناد هزينه الکترونيکي ، رزرو بليط و شناسايي ديجيتالي را پشتيباني مي کنند.هر کارت حافظه اي تاجران را قادر مي سازد که گزارشهاي مسافرت و تفريحات ، خريد و هزينه هاي اظطراري را مديريت کنند.کارتهاي اعتباري از اين نوع کارتها مي باشند.امروزه معمولترين روش پرداخت در اينترنت کارت اعتباري مي باشد.دليل اين امر آشنايي مردم و پذيرش کارت اعتباري براي خريد هاي معمولي در زندگي روزمره است.البته از ديگر دلايل اين امر تضمين و حمايت شرکتهاي صادر کننده کارتهاي اعتباري از دارنده آن تا سقف 50 دلار در برابر تقلب ها مي باشد.
سايتهاي تجارت الکترونيکي معمولا خريدار را ملزم مي کنند تا يک فرم الکترونيکي را پر کند که اين فرم نام ،شماره کارت اعتباري و تاريخ انقضاء کارت را مشخص مي کند و برخي مواقع موارد ضد تقلب اضافي از قبيل کد پستي و آدرس منزل خريدار را شامل مي شود. در اين سيستم مرورگر کاربر و سرويس دهنده پرداخت تاجر با هم کار مي کنند تا اينکه براي هر معامله کليدهاي جديد رمز کردن را ايجاد کرده و تغيير دهند.
براي پشتيباني و استفاده از کارت اعتباري ، سايت تجارت الکترونيک بايد داراي يک حساب ويژه تجارت الکترونيکي در يکي از معدود بانکهايي باشد که اينگونه حسابها را ارائه مي دهند.اين حساب ويژه Merchant Account ناميده مي شود.اخذ يک حساب Merchant کار ساده اي نيست.چرا که اولا بانک هاي معدودي اين حسابها را در اختيار مي گذارند و ثانيا هر سايتي نمي تواند از همان ابتدا يک حساب باز کند بلکه بايد اعتبار مشخصي را که براي بانک مربوطه مورد قبول باشد کسب کرده و سپس براي بازگشايي اقدام کند.به همين دليل شرکتهاي واسطه ايي وجود دارند که خودشان داراي Merchant بوده و آن را در اختيار صاحبان سايتها قرار مي دهند و در مقابل درصدي از فروش آنها را دريافت مي کنند.
اين شرکتهاي واسطه تحت عنوان تأمين کنندگان حساب يا Merchant Account Provider (MAP) ناميده مي شوند.پردازش کارتهاي اعتباريبخشهاي زيادي درگير پردازش پرداخت کارت اعتباري مي باشند.قسمتهايي شامل مشتريان که کارت اعتباري دارند و بانک صادر کننده کارت به مشتريان ، بازرگانان و بانک کارگزار بازرگانان که براي بازرگانان بر روي کارت اعتباري پردازش مي کنند.مشتري براي دريافت کارت اعتباري از بانک درخواست مي کند تا يکي از عضو هاي Master Card يا Visa يا ... شود.مشتري در هر مکان تجاري مي تواند از کارت صادر شده به عنوان ابزار پرداخت استفاده کند.شماره کارت هاي اعتباري منحصر به فرد است.
بانک کارگزار بازرگان پرداختهاي مشتريان را که حاصل از خريد از طريق کارت اعتباري است به حساب بازرگان واريز مي نمايد.بانک کارگزار بازرگان از بازرگانان ثبت نام کرده و هزينه خدمات را مطالبه مي کند.در کل دو روش براي پردازش کارتهاي اعتباري وجود دارد که عبارتند ازOffline و Real timeدر حالت Offline مشتري براي پرداخت هزينه خريد مشخصات کارت اعتباري خود را وارد سايت کرده و اين اطلاعات به سرور سايت ارسال مي شود.اين اطلاعات به صورت دستي وارد ترمينالهاي مخصوصي که صاحب سايت آنها را از بانک خود گرفته است مي شوند و به مرکز پردازش ارسال مي شوند تا اعتبار آنها بررسي شده و مبلغ لازم از اعتبار مشتري کسر و به حساب صاحب سايت واريز شود.
(کليه اين مراحل توسط سيستم هاي امنيتي نظير SSL يا SET حفاظت مي شود که در مبحث امنيت به شرح آن خواهيم پرداخت.)در حالت Real time پس از آنکه مشتري مشخصات کارت اعتباري خود را به سايت فرستاد کليه عمليات لازم براي ارسال اين اطلاعات به مرکز پردازش کارت ، کسر مبلغ از حساب مشتري و واريز به حساب فروشگاه به طور خودکار و در همان زمان اخذ اطلاعات انجام مي گيرد.براي بکارگيري اين روش ،سايت تجارت الکترونيک بايد با يک مرکز پردازش کارتهاي اعتباري در ارتباط باشد.مراکز متعددي جهت اين کار در شبکه اينترنت وجود دارد از جمله مي توان ازCybercash , Pay pal ،CCNow و ... نام برد.
انواع ديگر پرداختهاي الکترونيک
1.سيستم Cyber Cashاين سيستم از يک مبادله تجاري ديجيتالي ساده استفاده مي کند.اساس خدمات آن ، مبادلات ايمن ، اختصاصي و معتبر مي باشد.در اين سيستم مکانيسمي ارائه مي شود که در آن از تکنولوژي رمزنگاري جديد شامل کليدهاي رمز عمومي و اختصاصي و امضاء ديجيتالي (در مبحث امنيت به توضيح اين روشها خواهيم پرداخت)از طريق نرم افزار مخصوص سرويس دهنده و سرويس گيرنده استفاده مي شود.Cyber Cash از سال 1994 پايه ريزي شد و هدف موسسين آن همکاري با موسسات مالي و بازرگانان جهت ارائه سيستم پرداخت اينترنتي قابل قبول بود.Cyber Cash نرم افزاري است که مي بايست بر روي سايت فروشنده و کامپيوتر خريدار نصب شود.
اين نرم افزار از چند طريق قابل تهيه مي باشد.با بسته هاي نرم افزاري مرورگرهاي اينترنت ارائه مي شود.بعضي از بانکهاي بزرگ آن را بين مشتريان خود به صورت رايگان توزيع مي کنند و بر روي CD يا از طريق دانلود آن از سايت http://www.cybercash.com قابل تهيه است.در اين سيستم خريدار اين نرم افزار را بر روي سيستم خود نصب کرده و مشخصات کارت اعتباري خود را در آن وارد مي کند.پس از تأييد پرداخت اين اطلاعات مستقيما بر روي سرويس دهنده فروشنده منتقل مي گردد.
2.سيستم مايکروسافت تجارت الکترونيکي را با استفاده از بخش مهمي از سايتهاي Web شرکتها هموار ساخته است.امکانات تجارت الکترونيکي به صورت يکپارچه و سازگار در خانواده محصولات Ms Back Office ارائه شده است.يکي از نرم افزار ها Microsoft Site Server است که محيط وب جامعي را براي مديريت پيشرفته تجارت الکترونيک از طريق سايت وب ارائه کرده است.نرم افزار Site Server شامل Commerce Server يک نرم افزار فروش در اينترنت است که در سال 1996 مورد قبول هزاران مشتري در کشورهاي مختلف قرار گرفته است.
3.E-Wallet يا کيف الکترونيکي استراتژي پرداخت E-Wallet مربوط به شرکت Master Card است.اين شرکت چند نوع کيف الکترونيکي ارائه کرده است که مشتريان بر اساس نياز بازار مي توانند از آنها استفاده کنند.کيفهاي الکترونيکي برنامه هاي نرم افزاري هستند که در کنار کامپيوتر شخصي صاحب کارت يا سرويس دهنده عضو يا ارائه کننده خدمات شبکه نگهداري مي شود.اين برنامه شامل اطلاعات تمام پرداختهاي ضروري ، صورتحسابها و حمل کالا به ازاء هر خريد در شبکه است.
کيف الکترونيکي همانند شکل شبکه اي کيف واقعي است.اطلاعات شخصي و پرداخت شما در جايي نگهداري مي شود تا هنگام نياز براي خريد چيزي در شبکه از آن استفاده کنيد.کيف الکترونيکي شما را در پر کردن فرمهاي سفارش شبکه اي کمک مي کند و موجب سرعت عمل و سادگي کار خريد مي گردد.شما با دريافت يک E-Wallet کليه مشخصات خود و کارت اعتباري خود را در آن ذخيره کرده و در صورت خريد از روي شبکه ID کيف خود را وارد کرده و کليه کارها به طور اتوماتيک انجام مي گيرد.نمونه اي از اين مدل را مي توانيد در Pay Direct سايت Yahoo ملاحظه کنيد.علاوه بر پر کردن فرمهاي سفارش ،کيفهاي الکترونيکي کارهاي بيشتري انجام مي دهد.
به عنوان مثال:
1.نگهداري کلمه رمز براي سايتهاي مختلف
2.سابقه خريدها با کيف الکترونيکي
3.نگهداري چندين آدرس حمل کالا
4.نگهداري کتابچه راهنما
5.تذکرات خودکار درباره فروش فوق العاده و تخفيفهروشهاي پرداخت الکترونيک را بررسي کرديم ولي استفاده از اين روشها در ايران تقريبا غيرممکن يا بسيار مشکل است.در ذيل تعدادي از محدوديت هاي اين روشها را مشاهده مي کنيد.
مشکلات روشهاي پرداخت الکترونيک در ايران
1.استفاده از کارتهاي اعتباري در ايران بسيار مشکل است
2.از نظر فرهنگ تجاري، خريدار اين اعتماد را به فروشنده ندارد که مشخصات کارت اعتباري خود را به فروشنده بدهد و او بتواند از آن برداشت کند.
3.زيرساختهاي حقوقي و قانوني براي رسيدگي به تخلف وجود ندارد
4.گرفتن کارت اعتباري بين المللي در ايران کاري بسيار دشوار است.
5.گرفتن Merchant ID شناسه مخصوص فروشنده يا بازرگان در ايران تقريبا غير ممکن است.امنيت در تجارت الکترونيکپس از بررسي پرداخت الکترونيک نوبت به امنيت در پرداختها و مبادلات الکترونيکي و حفاظت از اطلاعات مشتريان بر روي سرويس دهنده سايت مي رسد.
در مبحث امنيت به بررسي انواع خطر ها ? انواع فناوري حفاظت و ايمني شامل مسيريابها ? ديواره هاي آتش? سيستمهاي کشف تجاوز? PKI ?شناسايي ? رمزنگاريو امضاء ديجيتالي ? تکنولوژي SET و تکنولوژي SSL خواهيم پرداخت.امنيت در تجارت الکترونيکسايتهاي تجارت الکترونيک از هر روشي که براي فروش کالا و دريافت هزينه ها استفاده کنند بايد نکته مهمي را در نظر بگيرند و آن برقراري امنيت سايت است. واضح است که مشتريان تا از امنيت اطلاعات کارت اعتباري خود و ديگر مشخصات مطمئن نباشند هرگز از فروشگاه خريد نخواهند کرد.
امنيت يک سايت تجارت الکترونيک را از جنبه هاي مختلفي مي توان بررسي و تامين کرد.سه جنبه اصلي عبارتند از:
1. تبادل اطلاعات بين مشتري و سايت ( مثل اطلاعات محرمانه ، مشخصات کارت اعتباري ، مشخصات خريدار و آدرس وي ) بايد به نحوي باشد که هيچ سارق اطلاعاتي نتواند آنها را در مسير انتقالشان از کامپيوتر خريدار تا کامپيوتر سرويس دهنده ، خوانده و استفاده کند .
2. مشتري بايد اطمينان حاصل کند که پول را به سايتي مي پردازد که از آن خريد کرده است و نه به يک مقصد ناشناخته ، به عبارت ديگر فروشگاه بايد ثابت کند همان چيزي است که ادعا مي کند.
3. فروشگاه بايد اطمينان حاصل کند آدرسي که مشتري براي تحويل کالاهاي خريداري شده اعلام کرده است آدرس واقعي خود مشتري است و نه يک مقصد ناشناخته ديگر که توسط يک سارق و با استفاده از مشخصات مشتري به فروشگاه اعلام شده است.خطر ها کدامند؟سرقت اطلاعات:اطلاعات داراي ارزش است.سود يک شرکت بستگي به مشتريانش ، پايه دانش و برتريهاي راهبردي آن شرکت دارد و رقبا به خصوص درصدد يافتن اين اطلاعات مي باشند.مديران در نگهداري و ذخيره اين اطلاعات مي بايست بسيار دقت کنند.
شرکت Yankee group مستقر در بوستون امريکا در نتيجه نظرسنجي از 700 نفر که متخصص در زمينه امنيت بودند متوجه شد که 55 درصد تجاوزها به اطلاعات شبکه ، توسط افراد داخل شرکت بوده و در مقابل تنها 25 درصد تجاوزها توسط افراد خارج سازمان گزارش شده است.شرکتها بايد کامپيوترهاي سرويس دهنده وب تجارت الکترونيک خود را در مقابل دسترسي غيرمجاز ايمن سازند و بايد توجه کرد که دسترسي غيرمجاز ممکن است از طريق اينترنت باشد يا از طريق داخل شرکت.حفاظت در مقابل تخريب کامپيوتر سرويس دهنده وب:صفحه اوليه (Home Page) سايت شرکت ،تصوير آن شرکت در مقابل دنيا است.براي خيلي ها صفحه اوليه سايت يعني شرکت.متجاوزان با دستکاري اين صفحه شرکتها را تخريب مي کنند.
نقطه آغاز فعاليتهاي غيرقانوني:براي شرکتهاي کوچک و متوسط که درگير رقابت بازار نيستند احتمال اينکه خرابکاران به فکر حمله به آنها بيفتند خيلي کم است.چنانچه سيستم هاي متصل به اينترنت از لحاظ امنيتي براي متجاوزان ضعيف باشد متجاوزان مي توانند اين سايتها را به عنوان محل ذخيره اطلاعات سرقتي انتخاب کرده و تبديل به نقطه آغاز حمله به سايتهاي با ارزش ديگر کنند.جلوگيري از ارائه خدمات:نوع ديگر حمله اقدام به تعطيلي يک کامپيوتر سرويس دهنده به وسيله مواجه ساختن آن با انبوه درخواستهاست که در واقع پيشگيري از آن نسبتا دشوار است.انواع فناوري حفاظت و ايمنيمطلوبترين فن آوري هاي امنيتي عبارتند از :
1.مسيرياب Routers
2.ديواره هاي آتش Internet Firewalls
3.سيستم هاي کشف تجاوز Intrusion Detection System
Public Key Infrastructure PKI .4
5.شناسايي Authentication6.رمزنگاري Encryption
انواع فناوري هاي حفاظت و ايمني در تجارت الکترونيک در مطلب گذشته انواع فناوري هاي حفاظت و ايمني را نام برديم.در اين درس به شرح هر يک از اين موارد خواهيم پرداخت.مسيريابRoutersمسيرياب عبارت از وسيله اي است که مديريت ترافيک شبکه را انجام مي دهد.اين وسيله بين زير شبکه ها نشسته و رفت و آمد به سمت بخشهايي را که به آنها متصل است کنترل مي کند.به طور طبيعي مسيريابها محلي مناسب براي اعمال قواعد فيلتر کردن بسته ها بر اساس سياستهاي امنيتي هستند.
ديواره آتشFire wallيکي از مؤلفه هاي مهم حفاطت سايتهاي اينترنتي ، سيستم ديواره آتش مي باشد.سيستم هاي ديوار آتش کامپيوتر يا مسيريابهايي هستند که آمد وشد به اينترنت را بسته به قواعد از پيش تعريف شده فيلتر مي کنند.سيستم هاي ديوار آتش به دو نوع اصلي ارائه مي شوند:
1.Packer Filter يا فيلترهاي بسته اي که مبتني بر مسيرياب مي باشند.اين فيلترها هر بسته داده وارده و صادره را بررسي مي کنند تا مطمئن شوند که اجازه ورود يا خروج از شبکه بر اساس قواعد از پيش تعريف شده را دارند يا خير.
2.Application Gateways پلهاي ارتباطي که بر روي يک کامپيوتر اختصاصي يا کامپيوتري که به طور ويژه ايمن شده است اجرا مي شود.اين نرم افزار ها عمل فيلتر کردن بسته اي را روي برنامه هاي کاربردي اجرا شده انجام مي دهند.اين سيستم ها دارايProxy بوده و آدرسها را ترجمه مي کنند.سيستمهاي کشف تجاوزIDSمتجاوز اينترنتي (Hacker, Cracker) کسي است که بدون اجازه به سيستم شما وارد مي شود يا سيستم شما را مورد سوء استفاده قرار مي دهد.کلمه سوء استفاده معناي گسترده اي دارد و مي تواند شامل دزدي کلان مثل ربودن داده هاي محرمانه تا استفاده غير مجاز از پست الکترونيک شما به منظور ارسال نامه هاي تبليغاتي از نوع مزاحمتهاي اينترنتي معروف به Spam باشد.
يک سيستم کشف تجاوزIDS کارش کشف چنين تجاوزاتي است.اين سيستم را مي توان به مقوله هاي زير تقسيم نمود:1. سيستم هاي کشف تجاوز شبکه اي Network Intrusion Detection System NIDS2.تأييد کننده هاي صحت سيستم System Integrity Verifiers SIV3. مانيتورهاي Log file Monitors Log4. سيستم هاي فريبسيستم هاي کشف تجاوز شبکه اي NIDSاين سيستم ها بسته هاي داده را که روي کابل شبکه مي باشد مورد نظارت قرار مي دهند و تشخيص اينکه يک خرابکار مشغول داخل شدن به سيستم است يا خير يا اينکه سيستم را از ارائه خدمات باز مي دارد يا خير بر عهده دارد.
تأييد کننده هاي صحت سيستم SIVاين تأييد کننده ها پرونده هاي سيستمي را به منظور يافتن اينکه چه موقع يک متجاوز آنها را تغيير مي دهد نظارت مي کنند.مشهورترين اين تأييديه ها Trip Wire است.يک SIV مي تواند مؤلفه هاي ديگري همچونWindows Registry را هم نظارت کند تا علامتهاي معروف را پيدا کند.اين سيستم ضمنا مي تواند زماني را که يک کاربر عادي به امتيازات مدير شبکه دست پيدا مي کند تشخيص دهد.مانيتورهايLogاين سيستم پرونده هاي Logرا که توسط سرويسهاي شبکه اي توليد مي شوند مراقبت مي کنند.شبيه کار NIDS اين سيستم ها در داخل پرونده هاي Log به دنبال الگوهايي مي گردند که حاکي از هجوم يک مهاجم باشد.سيستمهاي فريباين سيستم ها شبيه خدماتي هستند که هدف آنها عبارت از شبيه سازي رخنه هاي مشهور است تا خرابکارها را به دام بيندازد.اين سيستم ها همچنين از حقه هاي ساده هم استفاده مي کنند.
مانند نامگذاري مجدد عضويت يک مدير شبکه درNT و تعريف يک عضويت کاذب بدون هيچ اختيار.PKI ? رمزنگاري ? امضاء ديجيتاليدر اين درس به بررسي زير ساخت کليد عمومي PKI ? رمزنگاري و امضاء ديجيتالي خواهيم پرداخت.زير ساخت کليد عمومي PKIPublic Key Infrastructure) PKI ) به عنوان استانداردي که عملا براي يکي کردن امنيت محتواي ديجيتالي و فرايند هاي تجارت الکترونيک و همچنين پرونده ها و اسناد الکترونيکي مورد استفاده قرار مي گرفت ظهور کرد.اين سيستم به بازرگانان اجازه مي دهد از سرعت اينترنت استفاده کرده تا اطلاعات مهم تجاري آنان از رهگيري ، دخالت و دسترسي غير مجاز در امان بماند.يک PKI کاربران را قادر مي سازد از يک شبکه عمومي ناامن مانند اينترنت به صورتي امن و خصوصي براي تبادلات اطلاعات استفاده کنند.اين کار از طريق يک جفت کليد رمز عمومي و اختصاصي که از يک منبع مسؤل و مورد اعتماد صادر شده و به اشتراک گذارده مي شود انجام گيرد.
اين سيستم مجموعه اي است از استانداردها ، فناوري ها و روالهايي که براي معتبر سازي و انتقال داده ها بکار گرفته مي شوند.با استفاده از کليدهاي ديجيتالي عمومي و اختصاصي به منظور رمزنگاري و رمزگشايي ، همچنين با استفاده از گواهينامه هاي ديجيتالي که حاوي کليدهاي اعتباري و عمومي کاربر بوده و اعتبار و هويت کاربر را اعلام مي کنند امکان انتقال امن داده هاي الکترونيکي را فراهم مي آورد.وقتي دو نفر بخواهند با هم ارتباط برقرار کنند ، فرستنده اطلاعات ،از کليد عمومي مربوط به دريافت کننده اطلاعات براي رمزکردن اطلاعات استفاده کرده ، آن را ارسال مي کند.سپس دريافت کننده از کليد خصوصي خودش براي رمزگشايي اطلاعات و خواندن آن استفاده مي کند.از آنجا که اين کليد ، خصوصي است و براي کس ديگر قابل دسترس نيست فقط آن کسي که اطلاعات براي او ارسال گرديده مي تواند آن را بخواند.رمزنگاري Encryptionرمزنگاري عبارتست از تبديل داده ها به ظاهري که نهايتا بدون داشتن يک کليد مخصوص قرائت آن غير ممکن باشد.هدف آن حفظ حريم خصوصي است با پنهان نگاه داشتن اطلاعات از افرادي که نبايد به آنها دسترسي داشته باشند.رمزگشايي برعکس رمزنگاري عبارتست از تبديل داده هاي رمز شده به صورت اوليه و قابل قرائت.شکل زير نشان دهنده رمزنگاري مي باشد.
همانطور که از شکل پيداست ابتدا بايست براي هر نفر دو کليد وجود داشته باشد.يک کليد عمومي که همه مي توانند به آن دسترسي داشته باشند و يک کليد خصوصي که فقط و فقط خود فرد آنرا در اختيار دارد.اين زوج کليد منحصر به فرد است و با داشتن يکي ، ديگري را نمي توان توليد کرد.اين کليدها در مرکزي به نام Certificate Authority توليد مي شوند و به افراد داده مي شوند.حال اگر فرستنده بخواهد براي گيرنده پيامي بفرستد آنرا با کليد عمومي گيرنده رمز مي کند و مطمئن خواهد بود که فقط گيرنده مي تواند آنرا بخواند چون کليد خصوصي گيرنده فقط در اختيار خود اوست.
امضاء ديجيتالي امضاء هاي ديجيتالي ، فن آوري ديگري است که توسط رمزنگاري کليد عمومي فعال گرديد و اين امکان را به مردم مي دهد که اسناد و معاملات را طوري امضا کنند که گيرنده بتواند هويت فرستنده را تأييد کند.امضاء ديجيتالي شامل يک اثر انگشت رياضي منحصر به فرد از پيام فعلي است که به آن One-Way-Hash نيز گفته مي شود.کامپيوتر گيرنده پيام را دريافت مي کند و همان الگوريتم را روي پيام اجرا مي کند، امضا را رمزگشايي کرده و نتايج را مقايسه مي کند. چنانچه اثر انگشت ها يکسان باشند گيرنده مي تواند از هويت فرستنده و صحت پيام مطمئن شود.اين روش تضمين مي کند که پيام در طول انتقال مورد دستکاري واقع نشده است.امضا ديجيتالي براي هر پيام يگانه و منحصر به فرد است.به عبارت ديگر امضا ديجيتالي روشي است که با استفاده از رمزنگاري کليد عمومي احراز هويت،عدم انکار ، محرمانگي و جامعيت داده اي را تأمين مي کند.شکل زير نشان دهنده روند کلي امضا ء ديجيتالي است.
در شکل بالا وقتي فرستنده مي خواهد پيامي را امضا کند و براي گيرنده بفرستد ، با استفاده از يک الگوريتم يک خلاصه پيام -Massage digest - از پيام خود توليد مي کند و آنرا با کليد خصوصي خود رمز مي کند.الگوريتم هاي خلاصه سازي پيام مانندMD5 يا SHA-1 داراي سه ويژگي هستند:1.طول پيام همواره ثابت است . يعني طول پيام هرچقدر باشد خلاصه آن يک اندازه خواهد بود.اين طول پيام براي MD5 برابر 128 بيت و براي SHA-1 برابر 160 بيت است.2.هر بيت ورودي روي خروجي موثر است.يعني دو پيام که حتي فقط در يک بيت با هم متفاوتند داراي خلاصه هاي متفاوت خواهند بود.3. يک طرفه هستند.يعني با داشتن خلاصه پيام نمي توان اصل پيام را ساخت.در انتها خلاصه پيام را به خود پيام اضافه مي کند و آنرا براي گيرنده ارسال مي کند.در طرف مقابل گيرنده خلاصه پيام را از اصل پيام جدا مي کند.خلاصه پيام را با کليد عمومي فرستنده رمزگشايي مي کند.اين خلاصه بدست آمده را با خلاصه اصل پيام که خود آنرا توليد مي کند مقايسه نموده ،اگر مطابقت داشت يعني فرستنده خود کسي بوده که ادعا کرده است چون کليد خصوصي متناظر کليد عمومي وي فقط نزد خود اوست.(احراز هويت).از طرفي جامعيت داده اي پيام حفظ شده است.يعني پيام دست نخورده باقي مانده است.چرا که در غير اين صورت نتايج مطابقت نمي کرد.(جامعيت داده اي).از طرف ديگر فرستنده نمي تواند فرستادن پيام را انکار کند چرا که کليد خصوصي وي را فرد ديگري در اختيار ندارد(عدم انکار).براي حفظ محرمانگي و اطمينان حاصل کردن از اينکه غير از گيرنده مورد نظر فرد ديگري نتواند پيام را بخواند و همچنين گيرنده نتواند دريافت پيام را انکار کند کافي است فرستنده قبل از ارسال پيام آنرا با کليد عمومي گيرنده رمز کند و گيرنده نيز ابتدا پيام را با کليد خصوصي خود رمزگشايي کند و پس از آن مراحل فوق را انجام دهد.دوستان گرامي در درس آينده به بررسي تکنولوژي SET يکي از مهمترين روشهاي امنيت در پرداخت و انتقال داده ها خواهيم پرداخت.
تکنولوژي Secure ElectronicTransaction SET
در اوايل فوريه سال 1996 دو شرکت Master Card و Visa با يکديگر اعلام کردند که با همکاري شرکتهاي ديگري Verisign ,Terisa System , RSA , GTE , SAIC , Netscape , IBM , Microsoft استاندارد واحدي براي پرداخت و انتقال اطلاعات مطمئن الکترونيکي تحت شبکه هاي باز ابداع نموده اند و آن را SET ناميدند.قبل از اين پيشرفت Master Card و Visa هر يک روشهاي جداگانه اي را دنبال مي کردند.در اواسط دسامبر 1997 توسط اين دو شرکت ، سازماني به نامSET CO به ثبت رسيد که ساختار کنوني و وضعيت آينده اين استاندارد و ساير متعلقات آنرا تعيين مي کند.پروتکلSET داراي سه مزيت مي باشد که همراهي آنها با يکديگر اين پروتکل را از ساير روشها مطمئن تر ساخته است:1.محرمانگي، به وسيله رمزنگاري که خواندن پيامها را توسط ديگران غير ممکن مي کند.2.درستي ، بوسيله چکيده پيام و تأييد امضاء اطمينان مي دهد پيامها بدون تغيير رد و بدل مي شوند.3.تأييديه به وسيله گواهي امضاء ديجيتالي ، که اطمينان مي دهد ادعاهايي که افراد درگير معامله دارند قابل اثبات و اعمالي که انجام داده اند غير قابل انکار است.SET در عملاستاندارد SET تکنولوژي نسبتا پيچيده اي است.شکل زير پروسه هاي درگير در عمليات فروش را نشان مي دهد.
در روش بالا قسمتهاي درگير در پروسه فروش وقتي که ازSET استفاده مي شود را مي بينيد.ابتدا مشتري دارنده کارت و فروشنده هستند که قصد معامله دارند.بعد موسسه مالي است که کارت از طرف وي صادر شده و فروشنده سيستم آنرا به عنوان روش پرداخت پذيرفته است.اين موسسه است که در کليه معاملات بين صاحبان کارت و فروشندگان مسئول است و به فروشنده اطمينان مي دهد که پولش پرداخت خواهد شدو بالاخره صادر کننده گواهي شناسايي افراد است که گواهي هايي صادر مي کند که توسط همه قسمتها قابل تشخيص است.قبل از اينکه استفاده از پروتکل SET آغاز شود صاحب کارت در فروشگاه الکترونيکي سايت مي گردد وکالاهايي را انتخاب مي کند.بعد از اين مرحله SET آغاز مي شود و نرم افزار فروشنده کار را آغاز مي کند و مشخصات فروشنده را که به صورت ديجيتال گواهي شده است براي خريدار ارسال مي نمايد.همچنين تقاضاي گواهينامه شناسايي خريدار را براي کامپيوتر او ارسال مي نمايد.اين عمل اينگونه صورت مي پذيرد که بعد از اينکه برنامه صاحب کارت فروشنده را شناسايي کرد درخواست خريد و مشخصات کارت طبق گواهي امضاء ديچيتالي رمزگذاري مي کند و سپس براي فروشنده ارسال مي کند.
(فلش 1)نرم افزار فروشنده پيام موافقت پرداخت و محتواي سفارش را از رمز در مي آورد و آنرا همراه اطلاعات حساب مشتري و مبلغ که همچنان رمز شده اند براي موسسه ارسال مي کند.
(فلش 2)اين قسمت ازSET حائز اهميت است چرا که اطلاعات کارت (مانند شماره و تاريخ اعتبار) براي فروشنده قابل مشاهده نيست و فقط مسئول پرداخت مثل بانک ، مي تواند آنرا ببيند.بعد از اينکه موسسه درخواست مجوز فروشنده را دريافت کرد آنرا رمزگشايي و جهت بررسي و تأييد از طريق خطوط اختصاصي براي بانک صاحب کارت مي فرستد.وقتي موسسه جواب را از بانک دريافت کند آن را رمز گذاري کرده و به فروشنده ارجاع مي دهد.
(فلش 3)وقتي نرم افزار فروشنده جواب بگيرد آنرا با مبلغ مطابقت مي دهد و سپس آنرا رمز کرده به برنامه مشتري (Wallet) مي فرستد.اگر موجودي کافي باشد اين پاسخ تأييد شده است.
(فلش 4) در نهايت وقتي سفارش محقق مي گردد که بوسيله موسسه از بانک مشتري به حساب بانکي فروشنده انجام شده باشد.
(فلش 5 و 6)توجه: کليه مراحل بالا ظرف چند ثانيه و بين مرورگر ها اتفاق مي افتد و اين روند قابل مشاهده نمي باشد
نوشته شده توسط زهرا اسلامی در چهارشنبه 14 آذر1386 ساعت 16:29 | لینک ثابت |
نویسنده وبلاگ:
زهرا اسلامی هستم, دانشجوی ترم آخر رشته مهندسی فناوری اطلاعات, که از ورای فناوری و اطلاعات به دنبال یافتن و بهتر بودن و بهتر شدن هستم.
درباره وبلاگ:
انعکاس احساسات و اندیشه هایم و همچنین گشودن پنجره ای به عالم بیرون و گرفتن هوای تازه از اندیشه های رهیافتگان و صاحبان احساس و ایجاد ارتباط با هم سن و سال هایم و علاقه مندان.
زهرا اسلامی هستم, دانشجوی ترم آخر رشته مهندسی فناوری اطلاعات, که از ورای فناوری و اطلاعات به دنبال یافتن و بهتر بودن و بهتر شدن هستم.
درباره وبلاگ:
انعکاس احساسات و اندیشه هایم و همچنین گشودن پنجره ای به عالم بیرون و گرفتن هوای تازه از اندیشه های رهیافتگان و صاحبان احساس و ایجاد ارتباط با هم سن و سال هایم و علاقه مندان.
