امنیت در پرداخت الکترونیک
چکیده
تجارت الکترونیکی یا کسب و کار الکترونیکی شامل خرید و فروش کالا و خدمات بر بستر شبکه های کامپیوتری مانند اینترنت می باشد. با گسترش تجارت الکترونیکی، پرداخت الکترونیک گام بسیار مهمی در این سیستم بوده و به شکل فراگیری مورد استفاده قرار می گیرد. لذا امنیت آن برای کاربران بسیار مهم بوده و می بایست در حد مطلوب برقرار گردد. با این حال امنیت تراکنش ها در پرداخت الکترونیک مشکل بوده و پوشیدگی اطلاعات در زمان انتشار بر روی شبکه به سختی حاصل می شود.
پرداخت الکترونیکی در تراکنشهایی مانند خرید برخط، بانکداری برخط، بلیط الکترونیکی و غیره مورد استفاده قرار گرفته و خریدار، کالا یا سرویس را با استفاده از کارت بانکی و یا کارت اعتباری از فروشنده می خرد. تراکنشهای الکترونیکی می بایست به گونه ای امن باشند که از خطر حملاتی مانند replay attack، circumvention، repudiation و covert acquisition در امان باشند.
روشهای ارتقاء امنیت در این حوزه خارج از پارامترهای اصلی مانند Authentication و Authorization و Integrity نخواهد بود. یکی از راههای افزایش امنیت در انجام تراکنشهای برخط حذف نقاط ضعف مانند کارت بانکی و یا اعتباری می باشد که اطلاعات خریدار را شامل شده و انتشار آن بر بستر شبکه می تواند سبب بروز مشکل برای خریدار گردد. یکی دیگر از راهها طراحی و پیاده سازی روشهای ارتقاء امنیت برای ابزارهای موجود است مانند استفاده از مشخصات biometric کاربر در زمان استفاده از کارت بانکی در زمان انجام تراکنش. توجه به زیرساخت مورد استفاده مانند شبکه و استفاده از پروتکلهای امنیتی نیز می تواند سبب ارتقاء امنیت و ایجاد آسودگی خاطر بیشتر کاربران گردد.
مقدمه
تجارت الکترونیک عبارتی است که برای انواع کسب و کار مربوط به سرویس خرید و فروش کالا و خدمات در فضای اینترنت استفاده می شود. سیستم تراکنش برخط روش پرداختی است که انتقال وجه را بر بستر انتقال وجه الکترونیکی انجام می دهد. در این سیستم مشتری کالا را از فروشنده با استفاده از اطلاعات کارت بدهی و یا کارت اعتباری انجام می دهد. این سیستم تراکنش برخط به علت انتقال اطلاعات کارت مشتری بر بستر اینترنت (که احتمال سوء استفاده از آن وجود دارد)، امن نیست. در دنیای اینترنت کنونی نرخ استفاده از تراکنشهای مالی برخط روز به روز در حال افزایش است. طبق پیش بینی گارتنر، در سال 2014، 80 درصد پرداختها به صورت الکترونیکی انجام خواهد شد که این رقم در سال 2015 به 90 درصد خواهد رسید. بدون شک این شرایط فشار بیشتری را بر مدیرانی که این نوع از راه حلها را ارایه می دهند وارد خواهد کرد. همانطوری که در حال حاضر ما بر اساس اعتماد و امنیت عمل می کنیم در آینده این موضوع نیازمند چالش پیچیده خواهد بود که نیازمند فرهنگ امنیت در بین بخشهای مختلف درگیر در موضوع در کل دنیا خواهد داشت. پرداخت الکترونیک بخش مهمی از کسب و کار الکترونیک را تشکیل می دهد که امنیت آن می بایست تامین شود. روشهایی همانند SET، SSL/TLS و 3D Security مواردی هستند که در این خصوص معرفی شده اند. SET به علت نوع پیاده سازی با پرداخت الکترونیکی به صورت کامل سازگاری ندارد. امنیت از نقطه نظرات مختلف می تواند متفاوت باشد. با این حال چند موضع کلی در زمینه امنیت در تراکنش وجود دارد که می بایست از هر دو سوی خریدار و فروشنده مورد توجه قرار گیرند.
(شکل 1)
بررسی ادبیات موضوع
تهدیدات امنیتی در تراکنش الکترونیکی
به صورت سنتی از بعد امنیت داده، چهار هدف مد نظر قرار می گیرند. آنها محرمانگی، صحت، دسترس پذیری و مسوولیت پذیری هستند. هر سیستم تراکنش الکترونیکی از منظر این موارد با تهدید روبرو هستند:
- تهدید محرمانگی
از دیدگاه مشتری در صورت ذخیره cookie ها بر روی سرور و همچنین امکان بررسی و یا تغییر پروفایل بدون اطلاع وی تهدیدی در این زمینه است. از دیدگاه فروشنده، عدم اطمینان از اینکه تنها افراد دارای صلاحیت به اطلاعات شخصی دسترسی دارند وجو دارد. در یک انتقال داده بدون محافظ، داده ها می توانند توسط هر شخصی که به آنها دسترسی پیدا کند خوانده شوند.
- تهدید صحت
در سمت مشتری ممکن است صحت اطلاعات توسط نرم افزارهایی مانند تروجانها دستکاری شود. در سمت فروشنده نیز مهاجم می تواند اطلاعات فروش را دستکاری کند. در زمان انتقال نیز داده ها می توانند تغییر یایند.
- تهدید دسترس پذیری
دسترس پذیری کامپیوتر مشتری می تواند از طریق نرم افزارهایی مانند ویروسها به خطر بیفتد. همچنین مهاجمین می توانند از طریق حمله های مختلف، دسترسی به فروشنده مختل کنند.
- تهدید مسوولیت پذیری
هرکدام از مشتری و فروشنده با استفاده از تکنیکهای جعل می توانند اطلاعات شناسایی غلطی را به طرف مقابل ارسال نمایند.
تکنیکهای موجود برای امن سازی فرایند تراکنش برخط
معروفترین تکنیهای استفاده شده برای امن سازی تراکنش الکترونیکی موارد زیر هستند:
- تراکنش الکترونیکی امن (SET)
- لایه امن سوکت (SSL)
- سرویس احراز هویت پرداخت کننده
هر کدام از این روشها دارای مزایا و معایبی می باشد. مهمترین معایب این تکنیکها عبارتند از:
- ضعیف در برابر انواع حملات
- بیشتر بودن تعداد منفعت های مورد نظر و پیش بینی شده از تعداد واقعی
- امنیت کمتر و هزینه بالاتر
- نیازمند نرم افزار ویژه بر روی دستگاه کاربر
بدنه تحقیق
نتیجه گیری
مراجع
- An Approach of Secured Ecommerce Transaction Model without Using Credit or Debit Card, Nilanjan Das and Ramkrishna Das, 2013
- Enhancing E-Payment Security through Biometric Based Personal Authentication Using Steganography Scheme, Balasubramanian Chelliah and S. Geetha, 2014
- Design, implementation, and performance analysis of a secure payment protocol in a payment gateway centric model, Jesús Téllez Isaac · Sherali Zeadally, 2013
- A Secure Electronic Payment Protocol Design and Implementation, Houssam El Ismaili ,Hanane Houmani ,Hicham Madroumi, 2015
- Comparison of E-payment of the B2C E-commerce in China from the Security and Trust Perspective, YingHua Zhang and RenXiang Wang, 2014
- The Research and Application of the Fingerprint Key based USB-Key Pin Number Protection System, Yu Lu, Zhong Liang, Chen Yue, 2015