SlideShare ist ein Scribd-Unternehmen logo

E Commerce Security

Als PPTX, PDF herunterladen
M
mdasgar
1 von 42
امنيت در تجارت الكترونيك گردآورنده: مهران داسگر
تهديدپذيري يك ضعف يا اختلال در طراحي، پياده‌سازي، اجرا و يا مديريت يك سيستم كه مي‌تواند سياست امنيتي سيستم را خدشه‌دار كند. به طور صريح يك تهديد نبوده ولي‌ مي‌تواند به طور بالقوه سيستم را با تهديد مواجه مي‌كند. مثال: ذخيره رمز عبور بدون رمزنگاري مفاهيم پايه امنيت  123456 DB DB
تهديد وجود احتمالي يك فرد يا يك فرايند كه مي‌تواند با استفاده از تهديدپذيري يك سيستم، سياست امنيتي آنرا مخدوش كند. مثال: احتمال دزديده شدن رمز عبور ديگران توسط يك كاربر غير مجاز در يك سيستم كه رمزهاي آن بدون رمزنگاري ذخيره مي‌شوند. دو نوع تهديد: الف- خرابي و قطع سرويس. ب- دسترسي غيرمجاز مفاهيم پايه امنيت-ادامه 123456 DB
مخاطره انتظار آسيب يا اختلال در كاركرد يك سيستم، هنگاميكه يك تهديد با استفاده از تهديدپذيري سيستم يك نتيجه زيان بار به همراه آورد. مثال: انتظار از دزديده شدن اطلاعات محرمانه افراد در يك سيستم كه رمز عبور آن در هنگام ذخيره رمزنگاري نشده است. مثال مفاهيم پايه امنيت-ادامه رمزنگاري نشدن رمزعبور هنگام ذخيره تهديدپذيري احتمال دزديده شدن رمز عبور تهديد انتظار دزديده شدن اطلاعات محرمانه توسط كاربر غير مجاز ريسك
تحليل ريسك: فرايندي كه طي آن رابطه بين جديت خطر، احتمال تكرار آن و همچنين هزينه پياده‌سازي راه حلي براي پيشگيري از آن مشخص مي‌شود. جديت مخاطره: توسط هزينه‌اي كه براي بازيابي سيستم از حمله صورت گرفته پرداخت مي‌شود، اندازه‌گيري مي‌شود. مديريت مخاطره: فرايند شناسايي و اولويت‌بندي مخاطرات بر اساس هزينه‌اي كه براي بازيابي از حمله صورت گرفته توسط آن و همچنين ارائه راه حل براي پيشگيري از آن مي‌پردازيم. مديريت مخاطره
نتيجه تحليل مخاطره و اولويت‌بندي مخاطرات مشخص دن نقاطي در يك سيستم مي‌باشد كه مياز به ايمن شدن آنها وجود دارد كه به آن سياست امنيتي مي‌گويند. معمولا توازني بين مخاطراتي كه بايد ايمن شوند و منابع موجود وجود دارد. به طور واضح مشخص مي‌كند كه چه چيزي بايد ايمن شود. مثال: عدم امكان ديدن اطلاعات محرمانه توسط بعضي كاربران در يك سيستم. سياست امنيتي چه نقاطي بايدايمن شوند؟ مخاطرات منابع
كاركردهايي هستند كه براي پياده‌سازي و اجراي سياست‌هاي امنيتي مورد استفاده قرار مي‌گيرند. پنج سرويس امنيتي پايه تصديق هويت كنترل دسترسي محرمانگي اطلاعات يكپارچگي اطلاعات عدم انكار خدمات امنيتي ISO Basic security Services
تصديق هويت كنترل دسترسي محرمانگي اطلاعات خدمات امنيتي - ادامه آيا او همان كسي است كه ادعا مي‌كند؟ او بايد فقط به چيز‌هايي كه مشخص شده دسترسي داشته باشد. اطلاعات بايد فقط براي افراد خاصي قابل فهم باشد.
يكپارچگي اطلاعات عدم انكار تازگي پيام خدمات امنيتي - ادامه آيا اين پيام، همان پيامي است كه ارسال شده؟ با توجه به اين امضا، او اين پيام را فرستاده و نمي‌تواند انكار كند. آيا اين پيام قبلا فرستاده شده و كسي آنرا دوباره ارسال كرده است؟
سياست، سرويس و مكانيزم امنيتي 1- چه چيزي را بايد ايمن كنم؟ چه نيازهاي امنيتي را بايد برآورده كنم؟ 2- براي ايمن شدن نقاطي كه مشخص كرده‌ام، بايد از چه سرويس‌هاي امنيتي استفاده كنم؟ 3- از چه روش‌ها و مكانيزم‌هايي براي پياده‌سازي اين سرويس‌ها بايد استفاده كنم؟
خدمات امنيتي توسط مكانيزم‌هاي امنيتي پياده‌سازي و اجرا مي‌شوند. دو دسته مكانيزم امنيتي فراگير: به سرويس خاصي تعلق نداشته و در هر سرويسي قابل پياده‌سازي هستند. برچسب‌هاي امنيتي بازيابي امنيتي حسابرسي امنيتي تشخيص حمله خاص: مكانيزم‌هايي كه فقط در بعضي سرويس‌هاي امنيتي كاربرد دارند. مانند رمزنگاري. مكانيزم‌هاي امنيتي
Hash Functionها: اين توابع انواع مختلفي داشته همگي آنها داراي خصوصيات زير هستند: متني را با هر طولي گرفته و خروجي با طول ثابت ارائه مي‌كنند. محاسبات ساده‌اي دارند. غير ممكن است كه بتوان از روي خروجي به ورودي دست يافت. غير ممكن است كه ورودي را تغيير داده و خروجي ثابت بماند. غير ممكن است كه دو پيام متفاوت به عنوان ورودي داراي خروجي يكساني باشند. نمونه‌هايي از مكانيزم‌هاي يكپارچگي داده‌ها و تصديق هويت Message Digest5, SHA Mac, HMac مكانيزم‌هاي امنيتي يكپارچگي اطلاعاتو تصديق هويت
الگوريتم‌هاي Identity-based: دسترسي افراد به منابع بر اساس ويژگي‌هاي منابع مختلف سيستم تعريف مي‌شوند و به discretionary معروف هستند. به صورت يك ماتريس كه ستون‌هاي آن منابع و سطرهاي آن افراد مختلف هستند. الگوريتم‌هاي Rule-based: مورد استفاده سيستم‌هاي اطلاعاتي كه نياز به امنيت بالا دارند مانند سيستم‌هاي نظامي. پياده‌سازي توسط برچسب‌هاي امنيتي مكانيزم‌هاي كنترل دسترسي مشاهده فايل:1 منبع:فايل كاربر:1 در اين مثال كاربر فقط مي‌تواند فايل را مشاهده كند و امكان تغيير و يا حذف آنرا ندارد. تغيير فايل:2 حذف فايل:3
انواع رمزنگاري مكانيزم‌هاي رمزنگاري متقارن: براي رمزنگاري و رمزگشايي از يك كليد استفاده مي‌شود. Stream Cipher: يك متن به صورت رشته گرفته و رمزنگاري مي‌كند. همزمان: متن رمزنگاري شده هيچ نقشي در توليد كليد جديد ندارد كه به KAK معروف است. خود همزمان: قسمتي از متن رمزنگاري شده به تابع مولد كليد داده مي‌شود تا كليد جديد را توليد كند كه به CTAK معروف است. Block Cipher: متن را به بلاك‌هاي مساوي تقسيم كرده و سپس هر بلاك را به صورت جداگانه رمزنگاري مي‌كند. DES, AES نا متقارن: براي رمزنگاري و رمزگشايي از دو كليد مجزا استفاده مي‌شود.
مزايا معايب مزايا و معايب رمزنگاري متقارن سرعت بالا در رمزنگاري قابليت پياده‌سازي راحت سخت‌افزاري راحتي استفاده مشكل تبادل كليد بين دو طرف كه كاري ريسكي، كند و گران است. مشكل تصديق هويت منبع داده‌ها مشكل عدم انكار
براي حل مشكلات موجود در رمزنگاري متقارن بوجود آمد. از دو كليد متفاوت براي رمزنگاري و رمزگشايي استفاده مي‌شود. براي ارسال پيام، آنرا با كليد عمومي گيرنده رمزنگاري مي‌كنيم و گيرنده آنرا با كليد خصوصي خود رمزگشايي مي‌كند. كليد عمومي در دسترس همگان بوده و مشكل تبادل كليد وجود نخواهد داشت. الگوريتم‌هاي اين نوع از رمزنگاري معمولا بر مبناي بتوان رساندن و مباحث همنهشتي قرار دارند. RSA معروفترين الگوريتم رمزنگاري كليد عمومي است. رمزنگاري كليد عمومي
رمزنگاري متقارن رمزنگاري نامتقارن مقايسه رمزنگاري متقارن و نامتقارن استراق سمع فرستنده گيرنده كليد بايد مخفي بماند مشكل بزرگ ارسال كليد و تشخيص هويت استراق سمع فرستنده گيرنده رمزنگاري كليد عمومي گيرنده در دست همگان هست و مشكلي نخواهيم داشت.
براي اطمينان از هويت مالك كليد عمومي و ارائه گواهي ديجيتال از آن استفاده مي‌شود. مولفه‌هاي زيرساخت كليد عمومي گواهي ديجيتال: سند الكترونيك براي تاييد هويت اصلي صاحب كليد. فعاليت‌هاي زيرساخت كليد عمومي زيرساخت كليد عمومي مراكز گواهي مراكز ثبت‌نام اعتمادكننده‌ها مشتريان(صاحبان كليد) انبارهاي داده مديريت دوره كامل عمر كليد وگواهي Backup & Recovery نگهداري تاريخچه كليد و گواهي تاييد مراكز گواهي ديگر
هرگونه معامله‌اي كه بر روي شبكه‌هاي ارتباطي صورت گيرد. انواع تجارت الكترنيك انواع سيستم‌هاي پرداخت الكترونيك ابزارهاي پرداخت: الف- پول الكترونيك ب- چك الكترونيك ج-كارت اعتباري تجارت الكترونيك چيست؟ مثال B2B Electronic Data Interchange (EDI) C2B Online Shops C2C Auction Sites B2A Electronic Tax Online Versus Offline Macro Versus Micro Debit Versus Credit
آفلاين آنلاين سيستم‌هاي آنلاين در مقايسه با آفلاين بانك خريدار بانك فروشنده ارتباط فروشنده و خريدار با بانكهايشان برقرار نيست. فروشنده خريدار ارتباط آنلاين بين خريدار و فروشنده برقرار است. بانك خريدار بانك فروشنده خريدار فروشنده ارتباط آنلاين بين خريدار و فروشنده و بانكهايشان برقرار است.
تعامل پرداخت بوسيله كارت اعتباري بانك فروشنده بانك خريدار 3- بررسي اجازه برداشت و واريز پول 6- برداشت و واريز پول 5- شارژ 2- تصديق هويت 7- رسيد پرداخت 1- اطلاعات كارت اعتباري خريدار فروشنده 4- ارسال كالا
تعامل پرداخت بوسيله چك الكترونيك بانك فروشنده بانك خريدار 4- برداشت و واريز پول 3- ارائه چك به بانك 1- فاكتور 2- ايجاد چك امضا شده و ارسال به فروشنده خريدار فروشنده 5- ارسال كالا
تعامل پرداخت بوسيله پول الكترونيك بانك فروشنده بانك خريدار 5- برداشت و واريز پول 4- واريز به حساب 1- خريد پول ديجيتال 2- پرداخت خريدار فروشنده 3- ارسال كالا
شماي يك سيستم پرداخت الكترونيك Acquirer Bank Issuer Bank InterBank Deposit Withdraw Payment Gateway Registration Payment authorization Payment transaction Registration Payment Customer Merchant
سه مشكل موجود در تجارت سنتي تجارت الكترونيك علاوه بر مسائل بالا، موراد زير را نيز در بر مي‌گيرد. سه نوع حمله‌كننده امنيت پرداخت الكترونيك پول مي‌تواند جعل شود. امضا مي‌تواند جعل شود. چك مي‌تواند برگشت بخورد. سندهاي ديجيتال براحتي قابل كپي كردن هستند. با داشتن كليد خصوصي فرد امضاي او قابل جعل خواهد بود. هويت يك فرد را مي‌توان به يك پرداخت ارتباط داد. استراق سمع ارسال پيام‌هاي جعلي فروشندگان ناصادق
شامل نيازهاي امنيتي پايه در تجارت الكترونيك Payment Authentication هر دو طرف فروشنده و خريدار بايد هويت يكديگر را تصديق كنند. كه مي‌تواند با هويت اصليشان متفاوت باشد. Payment Integrity اطلاعات تعامل پرداخت نبايد توسط كساني كه تصديق هويت نشده‌اند، قابل تغيير باشد. Payment Authorization بايد به طور صريح و مستند اجازه برداشت پول و واريز آن را داشت. Payment Confidentiality قسمتي يا تمامي اطلاعات پرداخت نمي‌بايست به غير از طرفين براي كسي قابل فهم باشد.
تعامل پرداخت: به اجراي يك پروتكل كه به كسر پول از حساب يك طرف و واريز آن به حساب طرف ديگر منجر مي‌شود. اجزا يك تعامل پرداخت از ديد سرويس‌هاي امنيت پرداخت به دو قسمت مختلف تعامل پرداخت به صورت جداگانه نگاه شده و راه‌حل‌هاي گوناگوني نيز ارائه شده است. تعامل پرداخت اطلاعات سفارش (Order information) مانند كد كالا، مبلغ، تعدادو ... دستورالعمل پرداخت (Order Instruction) شامل اطلاعاتي نظير شماره كارت اعتباري يا شماره حساب خريدار مي‌باشد.
شامل سرويس‌هاي امنيتي پرداخت سرويس‌هاي امنيت پول ديجيتال سرويس‌هاي امنيت چك ديجيتال سرويس‌هاي امنيت عمليات پرداخت
پول ديجيتال معادل با پول سنتي است. به پول ديجيتال، digital coinهم گفته مي‌شود كه توسط شركت‌هايي به نام Broker ارائه مي‌شود. سرويس‌هاي امنيتي پول ديجيتال سرويس‌هاي امنيت پول ديجيتال double spending جلوگيري از استفاده مجدد از سكه‌هاي ديجيتال. Protection against stealing of coins جلوگيري از ايجاد سكه‌هاي ديجيتال تقلبي بوسيله ديگران. forging of coins جلوگيري از خرج شدن سكه‌هاي ديجيتال توسط كسانيكه تصديق هويت نشده و يا دسترسي به آن ندارند.
اين نوع چك معادل چك در دنياي سنتي است. يك سند الكترونيك است كه اطلاعات زير را در خود نگهداري مي‌كند. سرويس‌هاي امنيتي پول ديجيتال سرويس‌هاي امنيت چك ديجيتال شماره چك نام پرداخت‌كننده شماره حساب پرداخت‌كننده نام دريافت‌كننده مبلغ نوع ارز تاريخ سررسيد امضاي ديجيتال پرداخت‌كننده تاييد دريافت‌كننده Payment Authorization transfer ايجاد امكان انتقال از يك طرف تاييد هويت شده به طرف ديگر تاييد هويت شده.
شامل سرويس‌هاي امنيت عمليات پرداخت User Anonymity بي‌نامي كاربر براي عدم افشا شدن هويت او Location Untraceability عدم قابليت رهگيري مكان پرداخت Payer Anonymity بي‌نامي پرداخت‌كننده براي عدم افشا شدن هويت او Payment transaction Untraceability عدم امكان نسبت دادن دو عمليات پرداخت متفاوت به يك نفر Confidentiality of Payment transaction data محرمانگي اطلاعات پرداخت از جمله تعداد، مبلغ كالا يا شماره كارت اعتباري Nonrepudiation of payment transaction messages عدم انكار انجام عمليات پرداخت توسط طرفين تعامل Freshness of payment transaction messages جلوگيري از دوباره فرستادن پيام‌هايي كه قبلا ارسال شده‌اند.
بي‌نامي كاربر اما همچنان با رهگيري مكان پرداخت مي‌توان به هويت كارببر پي برد. عدم رهگيري مكان پرداخت بي‌نامي كاربر و عدم رهگيري مكان پرداخت بي‌نامي كاربر مي‌تواند توسط بكارگيري نام مستعار فراهم گردد. Pseudonym Anonymizing Hosts فرستادن پيام‌ها از طريق يك سري هاست مياني، تا بدين صورت به نظر برسد كه پيام مورد نظر از طرف يكي از اين هاست‌‌ها ارسال شده است. مشكل صادق نبودن هاست‌ها Chain of Mixes مبدا پيام خود را از طريق يك سري Mix به هاست مي‌فرستد. پيام را با كليد عمومي Mix به آن مي‌فرستد. بعلاوه يك مؤلفه كه شامل كليد عمومي مقصد، آدرس مقصد و خود پيام است. همچنين جلوگيري در برابر تحليل ترافيك
مثال: پيام از A به Y Chain of Mixes Mix4 Mix5 Mix6 گيرنده: Y فرستنده: A Mix2 Mix3 Mix1 Mix8 Mix9 Mix7 A  Mix1 E1(Mix2,E2(Mix3,E3(Y , Message))) E2(Mix3,E3(Y , Message)) E3(Y , Message) Message Mix1 Mix2 Mix2 Mix3 Mix3 Y
اين مسئله نيز مانند بي‌نامي كاربر از طريق بكارگيري يك نام مستعار حل خواهد شد. اولين نوع بكارگيري نام مستعار براي عمليات پرداخت توسط First Virtual Holdingsبوده است. First Virtual Holdings بي‌نامي پرداخت‌كننده در اين سيستم هر مشتري داراي يك شماره منحصر به فرد به نام VPIN بود. مراحل انجام يك تعامل پرداخت 1- خريدار VPIN خود را در اختيار فروشنده قرار مي‌داد. 2- فروشنده از FV بابت معتبر بودن خريدار استعلام مي‌گرفت. 3- FV با فرستادن يك ايميل به خريدار از دزديده نشدن VPIN مطمئن مي‌شد. 4- خريدار خريد انجام گرفته را تاييد و پرداخت صورت مي‌گرفت.
عدم امكان نسبت دادن دو پرداخت جداگانه به يك خريدار توسط فروشنده مكانيزم‌هاي اين بكار رفته در اين سرويس مبتني بر Hash Functionها هستند. عدم قابليت رهگيري عمليات پرداخت iKP Idc = Hk (Rc, BAN) Rc يك عدد تصادفي است كه در هر عمليات پرداخت تغيير خواهد كرد. BAN شماره كارت اعتباري. SET در اين حالت دستورالعمل پرداخت شامل موارد زير مي‌شود كه آنرا نسبت به تراكنش‌هاي مختلف يكتا خواهد كرد. شماره كارت اعتباري تاريخ اعتبار كارت اعتباري يك مقدار مخفي كه بين خريدار و بانك او مشترك است. يك عدد تصادفي
بوسيله Hash Function هايي كه براي عدم رهگيري عمليات پرداخت بكار مي‌روند، مي‌توان اين سرويس را نيز فراهم كرد. اطلاعات سفارش بايد از ديد بانك و دستورالعمل پرداخت بايد از ديد فروشنده مخفي بماند. دستورالعمل پرداخت اطلاعات سفارش محرمانگي اطلاعات عمليات پرداخت Idc = Hk (Rc, BAN) Rc يك عدد تصادفي است كه در هر عمليات پرداخت تغيير خواهد كرد. BAN شماره كارت اعتباري. Idc = Hk (SALTc, DESC) SALTc يك عدد تصادفي است كه در هر عمليات پرداخت تغيير خواهد كرد. DESC شامل اطلاعات پرداخت (كدكالا، مبلغ كالا، تعداد سفارشو ...).
Secure Electronic Transaction پروتكل SET براي امنيت پرداخت الكترونيك مجموعه‌اي از رمزنگاري و الگوريتم‌ها براي امن نگهداشتن تعاملات الكترونيك هدف: محرمانگي اظلاعات سفارش ويژگي دو امضايي دو قسمت اطلاعات سفارش و دستورالعمل پرداخت را به يكديگر مربوط مي‌كند. به هنگام دعاوي حقوقي كاربرد دارد. امكان سواستفاده فروشنده بدليل اينكه يكبار از خريدار اجازه برداشت پول از حساب بانكي‌اش را گرفته، مي‌گيرد. لينك بين دو قسمت توسط Hash Function ايجاد مي‌شود.
كار سختي است ولي با توجه به اينكه در يك عمليات پرداخت فقط سه پارتي وجود دارند قابل پياده‌سازي مي‌باشد. عدم انكار در اين زمينه شامل موارد زير مي‌شود: توسط امضاي ديجيتال فراهم آورده مي‌شود. سه طرف معامله بايد عدم انكار را به يكديگر ارائه دهند. عدم انكار پيام‌هاي عمليات پرداخت منبع پيام برداشت پول واريز پول انتقال پول بانك فروشنده و خريدار فروشنده خريدار
مكانيزم‌هاي تازگي پيام تركيب اين دو مكانيزم راه بسيار خوبي است كه تازگي پيام را تظمين مي‌كند. تازگي پيام‌هاي عمليات پرداخت Nonce اعدادي هستند تصادفي كه فقط يكبار توليد مي‌شوند. در طي عمليات پرداخت، اين عدد در حافظه سرور بانك نگهداري شده و بايد تمامي پيام‌هاي ارسال شده داراي عددي متفاوت با يكديگر باشند. مشكل در حافظه مصرفي سرور هنگامي كه تعداد پيام‌ها زيادند. Time stamp مهر زماني هستند كه به پيام اظافه مي‌شوند. بايد ساعت سرور با ساعت كامپيوتر خريدار يكسان باشد. مقداري تلرانس خطا در نظر گرفته مي‌شود كه ممكن است باعث حمله شود.
Internet Open Trading Protocol پروتكل IOTP توسط IEEE‌ارائه شد و هرگز اجرايي نشد. براي تضمين ساطگاري سيستم‌هاي پرداخت مختلف كه هر روزه پا به عرصه وجود مي‌گذارند، اراده شد. پنج شركت‌كننده در عمليات پرداخت Customer Merchant Customer Care Provider Delivery Handler Payment Handler مستقل از سيستم پرداخت عمل مي‌كند. پيام‌هاي ان در مستندات XML تعريف مي‌شوند. هر مجموعه از پيام‌هاي آن يك تراكنش مالي را انجام مي‌دهد.
نكته‌اي كه بايد در پايان به آن اشاره كرد اين است كه، در طراحي و پياده‌سازي هر سيستم امنيتي‌اي، ابتدا بايد با استفاده از تحليل مخاطره نيازهاي امنيتي را شناخته و به يك سياست امنيتي مناسب براي سيستم با توجه به منابع و هزينه‌ها رسيد. در ادامه مي‌بايست سرويس‌هاي امنيتي را با توجه به نيازهايي كه توسط سياست امنيتي مشخص شده‌اند تشخيص داده و با استفاده از مكانيز‌مهايي، آنها را پياده‌سازي كرد. همچنين بايد در نظر داشت، با توجه به تغييرات و پيشرفت‌هاي روزافزون در تكنولوژي‌هاي ارتباطي هميشه به تحليل رسيك‌هاي جديد پرداخت و نيازها و راه‌حل‌هاي جديد را ارائه كرد.
پايان

Empfohlen

Default
DefaultDefault
Defaultmahdi_14263
 
security in internet shopping
security in internet shoppingsecurity in internet shopping
security in internet shoppingfarzaneh1234
 
Aliakbarhassanpour securityproject
Aliakbarhassanpour securityprojectAliakbarhassanpour securityproject
Aliakbarhassanpour securityprojectit88tabriz
 
Amniat(ghasemi)
Amniat(ghasemi)Amniat(ghasemi)
Amniat(ghasemi)mojtabaghasemiroshan
 
Amniat
AmniatAmniat
Amniatmojtabaghasemiroshan
 
Rajabi security project
Rajabi security projectRajabi security project
Rajabi security projectabnoos1
 
آشنایی با زیرساخت کلید عمومی (PKI)
آشنایی با زیرساخت کلید عمومی (PKI)آشنایی با زیرساخت کلید عمومی (PKI)
آشنایی با زیرساخت کلید عمومی (PKI)مرکز دولتی صدور گواهی الکترونیکی ریشه
 
E commerce security
E commerce securityE commerce security
E commerce securitymeryamsiroos
 

Empfohlen

Default
DefaultDefault
Defaultmahdi_14263
 
security in internet shopping
security in internet shoppingsecurity in internet shopping
security in internet shoppingfarzaneh1234
 
Aliakbarhassanpour securityproject
Aliakbarhassanpour securityprojectAliakbarhassanpour securityproject
Aliakbarhassanpour securityprojectit88tabriz
 
Amniat(ghasemi)
Amniat(ghasemi)Amniat(ghasemi)
Amniat(ghasemi)mojtabaghasemiroshan
 
Amniat
AmniatAmniat
Amniatmojtabaghasemiroshan
 
Rajabi security project
Rajabi security projectRajabi security project
Rajabi security projectabnoos1
 
آشنایی با زیرساخت کلید عمومی (PKI)
آشنایی با زیرساخت کلید عمومی (PKI)آشنایی با زیرساخت کلید عمومی (PKI)
آشنایی با زیرساخت کلید عمومی (PKI)مرکز دولتی صدور گواهی الکترونیکی ریشه
 
E commerce security
E commerce securityE commerce security
E commerce securitymeryamsiroos
 
Security in internet shopping
Security in internet shoppingSecurity in internet shopping
Security in internet shoppingfarnazkhosronia
 
Security in internet shopping
Security in internet shoppingSecurity in internet shopping
Security in internet shoppingfarzaneh1234
 
Rajabi security project
Rajabi security projectRajabi security project
Rajabi security projectabnoos1
 
E commerce security(without animation)
E commerce security(without animation)E commerce security(without animation)
E commerce security(without animation)mmousavi
 
Aliakbarhassanpour securityproject
Aliakbarhassanpour securityprojectAliakbarhassanpour securityproject
Aliakbarhassanpour securityprojectaliak_hassanpour
 
Information security & isms
Information security & ismsInformation security & isms
Information security & ismsmeryamsiroos
 
Project zare
Project zareProject zare
Project zaren_zare2011
 
Presentation4
Presentation4Presentation4
Presentation4aareyan
 
Network security
Network securityNetwork security
Network securityIman Rahmanian
 
security in network
security in networksecurity in network
security in networksamaneirfan
 
Ssl security
Ssl securitySsl security
Ssl securityAhmadRahmanian1
 
M.nemati ssl&tls
M.nemati ssl&tls M.nemati ssl&tls
M.nemati ssl&tls rezgarnemati
 
انواع ارزیابی های امنیتی و مراحل تست و نفوذ
انواع ارزیابی های امنیتی و مراحل تست و نفوذانواع ارزیابی های امنیتی و مراحل تست و نفوذ
انواع ارزیابی های امنیتی و مراحل تست و نفوذSaeidGhasemshirazi
 
Authentication
AuthenticationAuthentication
Authenticationpeykanpour
 
Authentication
AuthenticationAuthentication
Authenticationpeykanpour
 
Authentication
AuthenticationAuthentication
Authenticationpeykanpour
 
Authentication
AuthenticationAuthentication
Authenticationpeykanpour
 
Smart token
Smart token Smart token
Smart tokenmollahosseini
 
Smart token
Smart tokenSmart token
Smart tokenmollahosseini
 
Smart token
Smart tokenSmart token
Smart tokenmollahosseini
 

Weitere ähnliche Inhalte

Ähnlich wie E Commerce Security

Security in internet shopping
Security in internet shoppingSecurity in internet shopping
Security in internet shoppingfarnazkhosronia
 
Security in internet shopping
Security in internet shoppingSecurity in internet shopping
Security in internet shoppingfarzaneh1234
 
Rajabi security project
Rajabi security projectRajabi security project
Rajabi security projectabnoos1
 
E commerce security(without animation)
E commerce security(without animation)E commerce security(without animation)
E commerce security(without animation)mmousavi
 
Aliakbarhassanpour securityproject
Aliakbarhassanpour securityprojectAliakbarhassanpour securityproject
Aliakbarhassanpour securityprojectaliak_hassanpour
 
Information security & isms
Information security & ismsInformation security & isms
Information security & ismsmeryamsiroos
 
Presentation4
Presentation4Presentation4
Presentation4aareyan
 
security in network
security in networksecurity in network
security in networksamaneirfan
 
M.nemati ssl&tls
M.nemati ssl&tls M.nemati ssl&tls
M.nemati ssl&tls rezgarnemati
 
انواع ارزیابی های امنیتی و مراحل تست و نفوذ
انواع ارزیابی های امنیتی و مراحل تست و نفوذانواع ارزیابی های امنیتی و مراحل تست و نفوذ
انواع ارزیابی های امنیتی و مراحل تست و نفوذSaeidGhasemshirazi
 
Authentication
AuthenticationAuthentication
Authenticationpeykanpour
 
Authentication
AuthenticationAuthentication
Authenticationpeykanpour
 
Authentication
AuthenticationAuthentication
Authenticationpeykanpour
 
Authentication
AuthenticationAuthentication
Authenticationpeykanpour
 

Ähnlich wie E Commerce Security (20)

Security in internet shopping
Security in internet shoppingSecurity in internet shopping
Security in internet shopping
 
Security in internet shopping
Security in internet shoppingSecurity in internet shopping
Security in internet shopping
 
Rajabi security project
Rajabi security projectRajabi security project
Rajabi security project
 
E commerce security(without animation)
E commerce security(without animation)E commerce security(without animation)
E commerce security(without animation)
 
Aliakbarhassanpour securityproject
Aliakbarhassanpour securityprojectAliakbarhassanpour securityproject
Aliakbarhassanpour securityproject
 
Information security & isms
Information security & ismsInformation security & isms
Information security & isms
 
Project zare
Project zareProject zare
Project zare
 
Presentation4
Presentation4Presentation4
Presentation4
 
Network security
Network securityNetwork security
Network security
 
security in network
security in networksecurity in network
security in network
 
Ssl security
Ssl securitySsl security
Ssl security
 
M.nemati ssl&tls
M.nemati ssl&tls M.nemati ssl&tls
M.nemati ssl&tls
 
انواع ارزیابی های امنیتی و مراحل تست و نفوذ
انواع ارزیابی های امنیتی و مراحل تست و نفوذانواع ارزیابی های امنیتی و مراحل تست و نفوذ
انواع ارزیابی های امنیتی و مراحل تست و نفوذ
 
Authentication
AuthenticationAuthentication
Authentication
 
Authentication
AuthenticationAuthentication
Authentication
 
Authentication
AuthenticationAuthentication
Authentication
 
Authentication
AuthenticationAuthentication
Authentication
 
Smart token
Smart token Smart token
Smart token
 
Smart token
Smart tokenSmart token
Smart token
 
Smart token
Smart tokenSmart token
Smart token
 

E Commerce Security

  • 1. امنيت در تجارت الكترونيك گردآورنده: مهران داسگر
  • 2. تهديدپذيري يك ضعف يا اختلال در طراحي، پياده‌سازي، اجرا و يا مديريت يك سيستم كه مي‌تواند سياست امنيتي سيستم را خدشه‌دار كند. به طور صريح يك تهديد نبوده ولي‌ مي‌تواند به طور بالقوه سيستم را با تهديد مواجه مي‌كند. مثال: ذخيره رمز عبور بدون رمزنگاري مفاهيم پايه امنيت  123456 DB DB
  • 3. تهديد وجود احتمالي يك فرد يا يك فرايند كه مي‌تواند با استفاده از تهديدپذيري يك سيستم، سياست امنيتي آنرا مخدوش كند. مثال: احتمال دزديده شدن رمز عبور ديگران توسط يك كاربر غير مجاز در يك سيستم كه رمزهاي آن بدون رمزنگاري ذخيره مي‌شوند. دو نوع تهديد: الف- خرابي و قطع سرويس. ب- دسترسي غيرمجاز مفاهيم پايه امنيت-ادامه 123456 DB
  • 4. مخاطره انتظار آسيب يا اختلال در كاركرد يك سيستم، هنگاميكه يك تهديد با استفاده از تهديدپذيري سيستم يك نتيجه زيان بار به همراه آورد. مثال: انتظار از دزديده شدن اطلاعات محرمانه افراد در يك سيستم كه رمز عبور آن در هنگام ذخيره رمزنگاري نشده است. مثال مفاهيم پايه امنيت-ادامه رمزنگاري نشدن رمزعبور هنگام ذخيره تهديدپذيري احتمال دزديده شدن رمز عبور تهديد انتظار دزديده شدن اطلاعات محرمانه توسط كاربر غير مجاز ريسك
  • 5. تحليل ريسك: فرايندي كه طي آن رابطه بين جديت خطر، احتمال تكرار آن و همچنين هزينه پياده‌سازي راه حلي براي پيشگيري از آن مشخص مي‌شود. جديت مخاطره: توسط هزينه‌اي كه براي بازيابي سيستم از حمله صورت گرفته پرداخت مي‌شود، اندازه‌گيري مي‌شود. مديريت مخاطره: فرايند شناسايي و اولويت‌بندي مخاطرات بر اساس هزينه‌اي كه براي بازيابي از حمله صورت گرفته توسط آن و همچنين ارائه راه حل براي پيشگيري از آن مي‌پردازيم. مديريت مخاطره
  • 6. نتيجه تحليل مخاطره و اولويت‌بندي مخاطرات مشخص دن نقاطي در يك سيستم مي‌باشد كه مياز به ايمن شدن آنها وجود دارد كه به آن سياست امنيتي مي‌گويند. معمولا توازني بين مخاطراتي كه بايد ايمن شوند و منابع موجود وجود دارد. به طور واضح مشخص مي‌كند كه چه چيزي بايد ايمن شود. مثال: عدم امكان ديدن اطلاعات محرمانه توسط بعضي كاربران در يك سيستم. سياست امنيتي چه نقاطي بايدايمن شوند؟ مخاطرات منابع
  • 7. كاركردهايي هستند كه براي پياده‌سازي و اجراي سياست‌هاي امنيتي مورد استفاده قرار مي‌گيرند. پنج سرويس امنيتي پايه تصديق هويت كنترل دسترسي محرمانگي اطلاعات يكپارچگي اطلاعات عدم انكار خدمات امنيتي ISO Basic security Services
  • 8. تصديق هويت كنترل دسترسي محرمانگي اطلاعات خدمات امنيتي - ادامه آيا او همان كسي است كه ادعا مي‌كند؟ او بايد فقط به چيز‌هايي كه مشخص شده دسترسي داشته باشد. اطلاعات بايد فقط براي افراد خاصي قابل فهم باشد.
  • 9. يكپارچگي اطلاعات عدم انكار تازگي پيام خدمات امنيتي - ادامه آيا اين پيام، همان پيامي است كه ارسال شده؟ با توجه به اين امضا، او اين پيام را فرستاده و نمي‌تواند انكار كند. آيا اين پيام قبلا فرستاده شده و كسي آنرا دوباره ارسال كرده است؟
  • 10. سياست، سرويس و مكانيزم امنيتي 1- چه چيزي را بايد ايمن كنم؟ چه نيازهاي امنيتي را بايد برآورده كنم؟ 2- براي ايمن شدن نقاطي كه مشخص كرده‌ام، بايد از چه سرويس‌هاي امنيتي استفاده كنم؟ 3- از چه روش‌ها و مكانيزم‌هايي براي پياده‌سازي اين سرويس‌ها بايد استفاده كنم؟
  • 11. خدمات امنيتي توسط مكانيزم‌هاي امنيتي پياده‌سازي و اجرا مي‌شوند. دو دسته مكانيزم امنيتي فراگير: به سرويس خاصي تعلق نداشته و در هر سرويسي قابل پياده‌سازي هستند. برچسب‌هاي امنيتي بازيابي امنيتي حسابرسي امنيتي تشخيص حمله خاص: مكانيزم‌هايي كه فقط در بعضي سرويس‌هاي امنيتي كاربرد دارند. مانند رمزنگاري. مكانيزم‌هاي امنيتي
  • 12. Hash Functionها: اين توابع انواع مختلفي داشته همگي آنها داراي خصوصيات زير هستند: متني را با هر طولي گرفته و خروجي با طول ثابت ارائه مي‌كنند. محاسبات ساده‌اي دارند. غير ممكن است كه بتوان از روي خروجي به ورودي دست يافت. غير ممكن است كه ورودي را تغيير داده و خروجي ثابت بماند. غير ممكن است كه دو پيام متفاوت به عنوان ورودي داراي خروجي يكساني باشند. نمونه‌هايي از مكانيزم‌هاي يكپارچگي داده‌ها و تصديق هويت Message Digest5, SHA Mac, HMac مكانيزم‌هاي امنيتي يكپارچگي اطلاعاتو تصديق هويت
  • 13. الگوريتم‌هاي Identity-based: دسترسي افراد به منابع بر اساس ويژگي‌هاي منابع مختلف سيستم تعريف مي‌شوند و به discretionary معروف هستند. به صورت يك ماتريس كه ستون‌هاي آن منابع و سطرهاي آن افراد مختلف هستند. الگوريتم‌هاي Rule-based: مورد استفاده سيستم‌هاي اطلاعاتي كه نياز به امنيت بالا دارند مانند سيستم‌هاي نظامي. پياده‌سازي توسط برچسب‌هاي امنيتي مكانيزم‌هاي كنترل دسترسي مشاهده فايل:1 منبع:فايل كاربر:1 در اين مثال كاربر فقط مي‌تواند فايل را مشاهده كند و امكان تغيير و يا حذف آنرا ندارد. تغيير فايل:2 حذف فايل:3
  • 14. انواع رمزنگاري مكانيزم‌هاي رمزنگاري متقارن: براي رمزنگاري و رمزگشايي از يك كليد استفاده مي‌شود. Stream Cipher: يك متن به صورت رشته گرفته و رمزنگاري مي‌كند. همزمان: متن رمزنگاري شده هيچ نقشي در توليد كليد جديد ندارد كه به KAK معروف است. خود همزمان: قسمتي از متن رمزنگاري شده به تابع مولد كليد داده مي‌شود تا كليد جديد را توليد كند كه به CTAK معروف است. Block Cipher: متن را به بلاك‌هاي مساوي تقسيم كرده و سپس هر بلاك را به صورت جداگانه رمزنگاري مي‌كند. DES, AES نا متقارن: براي رمزنگاري و رمزگشايي از دو كليد مجزا استفاده مي‌شود.
  • 15. مزايا معايب مزايا و معايب رمزنگاري متقارن سرعت بالا در رمزنگاري قابليت پياده‌سازي راحت سخت‌افزاري راحتي استفاده مشكل تبادل كليد بين دو طرف كه كاري ريسكي، كند و گران است. مشكل تصديق هويت منبع داده‌ها مشكل عدم انكار
  • 16. براي حل مشكلات موجود در رمزنگاري متقارن بوجود آمد. از دو كليد متفاوت براي رمزنگاري و رمزگشايي استفاده مي‌شود. براي ارسال پيام، آنرا با كليد عمومي گيرنده رمزنگاري مي‌كنيم و گيرنده آنرا با كليد خصوصي خود رمزگشايي مي‌كند. كليد عمومي در دسترس همگان بوده و مشكل تبادل كليد وجود نخواهد داشت. الگوريتم‌هاي اين نوع از رمزنگاري معمولا بر مبناي بتوان رساندن و مباحث همنهشتي قرار دارند. RSA معروفترين الگوريتم رمزنگاري كليد عمومي است. رمزنگاري كليد عمومي
  • 17. رمزنگاري متقارن رمزنگاري نامتقارن مقايسه رمزنگاري متقارن و نامتقارن استراق سمع فرستنده گيرنده كليد بايد مخفي بماند مشكل بزرگ ارسال كليد و تشخيص هويت استراق سمع فرستنده گيرنده رمزنگاري كليد عمومي گيرنده در دست همگان هست و مشكلي نخواهيم داشت.
  • 18. براي اطمينان از هويت مالك كليد عمومي و ارائه گواهي ديجيتال از آن استفاده مي‌شود. مولفه‌هاي زيرساخت كليد عمومي گواهي ديجيتال: سند الكترونيك براي تاييد هويت اصلي صاحب كليد. فعاليت‌هاي زيرساخت كليد عمومي زيرساخت كليد عمومي مراكز گواهي مراكز ثبت‌نام اعتمادكننده‌ها مشتريان(صاحبان كليد) انبارهاي داده مديريت دوره كامل عمر كليد وگواهي Backup & Recovery نگهداري تاريخچه كليد و گواهي تاييد مراكز گواهي ديگر
  • 19. هرگونه معامله‌اي كه بر روي شبكه‌هاي ارتباطي صورت گيرد. انواع تجارت الكترنيك انواع سيستم‌هاي پرداخت الكترونيك ابزارهاي پرداخت: الف- پول الكترونيك ب- چك الكترونيك ج-كارت اعتباري تجارت الكترونيك چيست؟ مثال B2B Electronic Data Interchange (EDI) C2B Online Shops C2C Auction Sites B2A Electronic Tax Online Versus Offline Macro Versus Micro Debit Versus Credit
  • 20. آفلاين آنلاين سيستم‌هاي آنلاين در مقايسه با آفلاين بانك خريدار بانك فروشنده ارتباط فروشنده و خريدار با بانكهايشان برقرار نيست. فروشنده خريدار ارتباط آنلاين بين خريدار و فروشنده برقرار است. بانك خريدار بانك فروشنده خريدار فروشنده ارتباط آنلاين بين خريدار و فروشنده و بانكهايشان برقرار است.
  • 21. تعامل پرداخت بوسيله كارت اعتباري بانك فروشنده بانك خريدار 3- بررسي اجازه برداشت و واريز پول 6- برداشت و واريز پول 5- شارژ 2- تصديق هويت 7- رسيد پرداخت 1- اطلاعات كارت اعتباري خريدار فروشنده 4- ارسال كالا
  • 22. تعامل پرداخت بوسيله چك الكترونيك بانك فروشنده بانك خريدار 4- برداشت و واريز پول 3- ارائه چك به بانك 1- فاكتور 2- ايجاد چك امضا شده و ارسال به فروشنده خريدار فروشنده 5- ارسال كالا
  • 23. تعامل پرداخت بوسيله پول الكترونيك بانك فروشنده بانك خريدار 5- برداشت و واريز پول 4- واريز به حساب 1- خريد پول ديجيتال 2- پرداخت خريدار فروشنده 3- ارسال كالا
  • 24. شماي يك سيستم پرداخت الكترونيك Acquirer Bank Issuer Bank InterBank Deposit Withdraw Payment Gateway Registration Payment authorization Payment transaction Registration Payment Customer Merchant
  • 25. سه مشكل موجود در تجارت سنتي تجارت الكترونيك علاوه بر مسائل بالا، موراد زير را نيز در بر مي‌گيرد. سه نوع حمله‌كننده امنيت پرداخت الكترونيك پول مي‌تواند جعل شود. امضا مي‌تواند جعل شود. چك مي‌تواند برگشت بخورد. سندهاي ديجيتال براحتي قابل كپي كردن هستند. با داشتن كليد خصوصي فرد امضاي او قابل جعل خواهد بود. هويت يك فرد را مي‌توان به يك پرداخت ارتباط داد. استراق سمع ارسال پيام‌هاي جعلي فروشندگان ناصادق
  • 26. شامل نيازهاي امنيتي پايه در تجارت الكترونيك Payment Authentication هر دو طرف فروشنده و خريدار بايد هويت يكديگر را تصديق كنند. كه مي‌تواند با هويت اصليشان متفاوت باشد. Payment Integrity اطلاعات تعامل پرداخت نبايد توسط كساني كه تصديق هويت نشده‌اند، قابل تغيير باشد. Payment Authorization بايد به طور صريح و مستند اجازه برداشت پول و واريز آن را داشت. Payment Confidentiality قسمتي يا تمامي اطلاعات پرداخت نمي‌بايست به غير از طرفين براي كسي قابل فهم باشد.
  • 27. تعامل پرداخت: به اجراي يك پروتكل كه به كسر پول از حساب يك طرف و واريز آن به حساب طرف ديگر منجر مي‌شود. اجزا يك تعامل پرداخت از ديد سرويس‌هاي امنيت پرداخت به دو قسمت مختلف تعامل پرداخت به صورت جداگانه نگاه شده و راه‌حل‌هاي گوناگوني نيز ارائه شده است. تعامل پرداخت اطلاعات سفارش (Order information) مانند كد كالا، مبلغ، تعدادو ... دستورالعمل پرداخت (Order Instruction) شامل اطلاعاتي نظير شماره كارت اعتباري يا شماره حساب خريدار مي‌باشد.
  • 28. شامل سرويس‌هاي امنيتي پرداخت سرويس‌هاي امنيت پول ديجيتال سرويس‌هاي امنيت چك ديجيتال سرويس‌هاي امنيت عمليات پرداخت
  • 29. پول ديجيتال معادل با پول سنتي است. به پول ديجيتال، digital coinهم گفته مي‌شود كه توسط شركت‌هايي به نام Broker ارائه مي‌شود. سرويس‌هاي امنيتي پول ديجيتال سرويس‌هاي امنيت پول ديجيتال double spending جلوگيري از استفاده مجدد از سكه‌هاي ديجيتال. Protection against stealing of coins جلوگيري از ايجاد سكه‌هاي ديجيتال تقلبي بوسيله ديگران. forging of coins جلوگيري از خرج شدن سكه‌هاي ديجيتال توسط كسانيكه تصديق هويت نشده و يا دسترسي به آن ندارند.
  • 30. اين نوع چك معادل چك در دنياي سنتي است. يك سند الكترونيك است كه اطلاعات زير را در خود نگهداري مي‌كند. سرويس‌هاي امنيتي پول ديجيتال سرويس‌هاي امنيت چك ديجيتال شماره چك نام پرداخت‌كننده شماره حساب پرداخت‌كننده نام دريافت‌كننده مبلغ نوع ارز تاريخ سررسيد امضاي ديجيتال پرداخت‌كننده تاييد دريافت‌كننده Payment Authorization transfer ايجاد امكان انتقال از يك طرف تاييد هويت شده به طرف ديگر تاييد هويت شده.
  • 31. شامل سرويس‌هاي امنيت عمليات پرداخت User Anonymity بي‌نامي كاربر براي عدم افشا شدن هويت او Location Untraceability عدم قابليت رهگيري مكان پرداخت Payer Anonymity بي‌نامي پرداخت‌كننده براي عدم افشا شدن هويت او Payment transaction Untraceability عدم امكان نسبت دادن دو عمليات پرداخت متفاوت به يك نفر Confidentiality of Payment transaction data محرمانگي اطلاعات پرداخت از جمله تعداد، مبلغ كالا يا شماره كارت اعتباري Nonrepudiation of payment transaction messages عدم انكار انجام عمليات پرداخت توسط طرفين تعامل Freshness of payment transaction messages جلوگيري از دوباره فرستادن پيام‌هايي كه قبلا ارسال شده‌اند.
  • 32. بي‌نامي كاربر اما همچنان با رهگيري مكان پرداخت مي‌توان به هويت كارببر پي برد. عدم رهگيري مكان پرداخت بي‌نامي كاربر و عدم رهگيري مكان پرداخت بي‌نامي كاربر مي‌تواند توسط بكارگيري نام مستعار فراهم گردد. Pseudonym Anonymizing Hosts فرستادن پيام‌ها از طريق يك سري هاست مياني، تا بدين صورت به نظر برسد كه پيام مورد نظر از طرف يكي از اين هاست‌‌ها ارسال شده است. مشكل صادق نبودن هاست‌ها Chain of Mixes مبدا پيام خود را از طريق يك سري Mix به هاست مي‌فرستد. پيام را با كليد عمومي Mix به آن مي‌فرستد. بعلاوه يك مؤلفه كه شامل كليد عمومي مقصد، آدرس مقصد و خود پيام است. همچنين جلوگيري در برابر تحليل ترافيك
  • 33. مثال: پيام از A به Y Chain of Mixes Mix4 Mix5 Mix6 گيرنده: Y فرستنده: A Mix2 Mix3 Mix1 Mix8 Mix9 Mix7 A  Mix1 E1(Mix2,E2(Mix3,E3(Y , Message))) E2(Mix3,E3(Y , Message)) E3(Y , Message) Message Mix1 Mix2 Mix2 Mix3 Mix3 Y
  • 34. اين مسئله نيز مانند بي‌نامي كاربر از طريق بكارگيري يك نام مستعار حل خواهد شد. اولين نوع بكارگيري نام مستعار براي عمليات پرداخت توسط First Virtual Holdingsبوده است. First Virtual Holdings بي‌نامي پرداخت‌كننده در اين سيستم هر مشتري داراي يك شماره منحصر به فرد به نام VPIN بود. مراحل انجام يك تعامل پرداخت 1- خريدار VPIN خود را در اختيار فروشنده قرار مي‌داد. 2- فروشنده از FV بابت معتبر بودن خريدار استعلام مي‌گرفت. 3- FV با فرستادن يك ايميل به خريدار از دزديده نشدن VPIN مطمئن مي‌شد. 4- خريدار خريد انجام گرفته را تاييد و پرداخت صورت مي‌گرفت.
  • 35. عدم امكان نسبت دادن دو پرداخت جداگانه به يك خريدار توسط فروشنده مكانيزم‌هاي اين بكار رفته در اين سرويس مبتني بر Hash Functionها هستند. عدم قابليت رهگيري عمليات پرداخت iKP Idc = Hk (Rc, BAN) Rc يك عدد تصادفي است كه در هر عمليات پرداخت تغيير خواهد كرد. BAN شماره كارت اعتباري. SET در اين حالت دستورالعمل پرداخت شامل موارد زير مي‌شود كه آنرا نسبت به تراكنش‌هاي مختلف يكتا خواهد كرد. شماره كارت اعتباري تاريخ اعتبار كارت اعتباري يك مقدار مخفي كه بين خريدار و بانك او مشترك است. يك عدد تصادفي
  • 36. بوسيله Hash Function هايي كه براي عدم رهگيري عمليات پرداخت بكار مي‌روند، مي‌توان اين سرويس را نيز فراهم كرد. اطلاعات سفارش بايد از ديد بانك و دستورالعمل پرداخت بايد از ديد فروشنده مخفي بماند. دستورالعمل پرداخت اطلاعات سفارش محرمانگي اطلاعات عمليات پرداخت Idc = Hk (Rc, BAN) Rc يك عدد تصادفي است كه در هر عمليات پرداخت تغيير خواهد كرد. BAN شماره كارت اعتباري. Idc = Hk (SALTc, DESC) SALTc يك عدد تصادفي است كه در هر عمليات پرداخت تغيير خواهد كرد. DESC شامل اطلاعات پرداخت (كدكالا، مبلغ كالا، تعداد سفارشو ...).
  • 37. Secure Electronic Transaction پروتكل SET براي امنيت پرداخت الكترونيك مجموعه‌اي از رمزنگاري و الگوريتم‌ها براي امن نگهداشتن تعاملات الكترونيك هدف: محرمانگي اظلاعات سفارش ويژگي دو امضايي دو قسمت اطلاعات سفارش و دستورالعمل پرداخت را به يكديگر مربوط مي‌كند. به هنگام دعاوي حقوقي كاربرد دارد. امكان سواستفاده فروشنده بدليل اينكه يكبار از خريدار اجازه برداشت پول از حساب بانكي‌اش را گرفته، مي‌گيرد. لينك بين دو قسمت توسط Hash Function ايجاد مي‌شود.
  • 38. كار سختي است ولي با توجه به اينكه در يك عمليات پرداخت فقط سه پارتي وجود دارند قابل پياده‌سازي مي‌باشد. عدم انكار در اين زمينه شامل موارد زير مي‌شود: توسط امضاي ديجيتال فراهم آورده مي‌شود. سه طرف معامله بايد عدم انكار را به يكديگر ارائه دهند. عدم انكار پيام‌هاي عمليات پرداخت منبع پيام برداشت پول واريز پول انتقال پول بانك فروشنده و خريدار فروشنده خريدار
  • 39. مكانيزم‌هاي تازگي پيام تركيب اين دو مكانيزم راه بسيار خوبي است كه تازگي پيام را تظمين مي‌كند. تازگي پيام‌هاي عمليات پرداخت Nonce اعدادي هستند تصادفي كه فقط يكبار توليد مي‌شوند. در طي عمليات پرداخت، اين عدد در حافظه سرور بانك نگهداري شده و بايد تمامي پيام‌هاي ارسال شده داراي عددي متفاوت با يكديگر باشند. مشكل در حافظه مصرفي سرور هنگامي كه تعداد پيام‌ها زيادند. Time stamp مهر زماني هستند كه به پيام اظافه مي‌شوند. بايد ساعت سرور با ساعت كامپيوتر خريدار يكسان باشد. مقداري تلرانس خطا در نظر گرفته مي‌شود كه ممكن است باعث حمله شود.
  • 40. Internet Open Trading Protocol پروتكل IOTP توسط IEEE‌ارائه شد و هرگز اجرايي نشد. براي تضمين ساطگاري سيستم‌هاي پرداخت مختلف كه هر روزه پا به عرصه وجود مي‌گذارند، اراده شد. پنج شركت‌كننده در عمليات پرداخت Customer Merchant Customer Care Provider Delivery Handler Payment Handler مستقل از سيستم پرداخت عمل مي‌كند. پيام‌هاي ان در مستندات XML تعريف مي‌شوند. هر مجموعه از پيام‌هاي آن يك تراكنش مالي را انجام مي‌دهد.
  • 41. نكته‌اي كه بايد در پايان به آن اشاره كرد اين است كه، در طراحي و پياده‌سازي هر سيستم امنيتي‌اي، ابتدا بايد با استفاده از تحليل مخاطره نيازهاي امنيتي را شناخته و به يك سياست امنيتي مناسب براي سيستم با توجه به منابع و هزينه‌ها رسيد. در ادامه مي‌بايست سرويس‌هاي امنيتي را با توجه به نيازهايي كه توسط سياست امنيتي مشخص شده‌اند تشخيص داده و با استفاده از مكانيز‌مهايي، آنها را پياده‌سازي كرد. همچنين بايد در نظر داشت، با توجه به تغييرات و پيشرفت‌هاي روزافزون در تكنولوژي‌هاي ارتباطي هميشه به تحليل رسيك‌هاي جديد پرداخت و نيازها و راه‌حل‌هاي جديد را ارائه كرد.