با سلام
سلسله درسهای تجارت الکترونیک را ادامه می دهیم. برای دیدن دروس از درس اول به آرشیو وبلاگ مراجعه کنید.

درس دهم

انواع فناوری های حفاظت و ایمنی در تجارت الکترونیک

در درس گذشته انواع فناوری های حفاظت و ایمنی را نام بردیم.در این درس به شرح هر یک از این موارد خواهیم پرداخت.
مسیریابRouters
مسیریاب عبارت از وسیله ای است که مدیریت ترافیک شبکه را انجام می دهد.این وسیله بین زیر شبکه ها نشسته و رفت و آمد به سمت بخشهایی را که به آنها متصل است کنترل می کند.به طور طبیعی مسیریابها محلی مناسب برای اعمال قواعد فیلتر کردن بسته ها بر اساس سیاستهای امنیتی هستند.

دیواره آتشFire wall
یکی از مؤلفه های مهم حفاطت سایتهای اینترنتی ، سیستم دیواره آتش می باشد.سیستم های دیوار آتش کامپیوتر یا مسیریابهایی هستند که آمد وشد به اینترنت را بسته به قواعد از پیش تعریف شده فیلتر می کنند.سیستم های دیوار آتش به دو نوع اصلی ارائه می شوند:
Packer Filter.1
یا فیلترهای بسته ای که مبتنی بر مسیریاب می باشند.این فیلترها هر بسته داده وارده و صادره را بررسی می کنند تا مطمئن شوند که اجازه ورود یا خروج از شبکه بر اساس قواعد از پیش تعریف شده را دارند یا خیر.
Application Gateways.2
پلهای ارتباطی که بر روی یک کامپیوتر اختصاصی یا کامپیوتری که به طور ویژه ایمن شده است اجرا می شود.این نرم افزار ها عمل فیلتر کردن بسته ای را روی برنامه های کاربردی اجرا شده انجام می دهند.این سیستم ها دارایProxy بوده و آدرسها را ترجمه می کنند.

سیستمهای کشف تجاوزIDS
متجاوز اینترنتی (Hacker, Cracker) کسی است که بدون اجازه به سیستم شما وارد می شود یا سیستم شما را مورد سوء استفاده قرار می دهد.کلمه سوء استفاده معنای گسترده ای دارد و می تواند شامل دزدی کلان مثل ربودن داده های محرمانه تا استفاده غیر مجاز از پست الکترونیک شما به منظور ارسال نامه های تبلیغاتی از نوع مزاحمتهای اینترنتی معروف به Spam باشد.
یک سیستم کشف تجاوزIDS کارش کشف چنین تجاوزاتی است.این سیستم را می توان به مقوله های زیر تقسیم نمود:
1. سیستم های کشف تجاوز شبکه ای Network Intrusion Detection System NIDS
2.تأیید کننده های صحت سیستم System Integrity Verifiers SIV
3. مانیتورهای Log file Monitors Log
4. سیستم های فریب

سیستم های کشف تجاوز شبکه ای NIDS
این سیستم ها بسته های داده را که روی کابل شبکه می باشد مورد نظارت قرار می دهند و تشخیص اینکه یک خرابکار مشغول داخل شدن به سیستم است یا خیر یا اینکه سیستم را از ارائه خدمات باز می دارد یا خیر بر عهده دارد.

تأیید کننده های صحت سیستم SIV
این تأیید کننده ها پرونده های سیستمی را به منظور یافتن اینکه چه موقع یک متجاوز آنها را تغییر می دهد نظارت می کنند.مشهورترین این تأییدیه ها Trip Wire است.یک SIV می تواند مؤلفه های دیگری همچونWindows Registry را هم نظارت کند تا علامتهای معروف را پیدا کند.این سیستم ضمنا می تواند زمانی را که یک کاربر عادی به امتیازات مدیر شبکه دست پیدا می کند تشخیص دهد.

مانیتورهایLog
این سیستم پرونده های Logرا که توسط سرویسهای شبکه ای تولید می شوند مراقبت می کنند.
شبیه کار NIDS این سیستم ها در داخل پرونده های Log به دنبال الگوهایی می گردند که حاکی از هجوم یک مهاجم باشد.

سیستمهای فریب
این سیستم ها شبیه خدماتی هستند که هدف آنها عبارت از شبیه سازی رخنه های مشهور است تا خرابکارها را به دام بیندازد.این سیستم ها همچنین از حقه های ساده هم استفاده می کنند.مانند نامگذاری مجدد عضویت یک مدیر شبکه درNT و تعریف یک عضویت کاذب بدون هیچ اختیار.

در درس آینده به بررسی کلید عمومی ٬ رمزنگاری و امضاء دیجیتالی خواهیم پرداخت.


درس یازدهم
PKI ٬ رمزنگاری ٬ امضاء دیجیتالی

در این درس به بررسی زیر ساخت کلید عمومی PKI ٬ رمزنگاری و امضاء دیجیتالی خواهیم پرداخت.
زیر ساخت کلید عمومی PKI
Public Key Infrastructure) PKI ) به عنوان استانداردی که عملا برای یکی کردن امنیت محتوای دیجیتالی و فرایند های تجارت الکترونیک و همچنین پرونده ها و اسناد الکترونیکی مورد استفاده قرار می گرفت ظهور کرد.این سیستم به بازرگانان اجازه می دهد از سرعت اینترنت استفاده کرده تا اطلاعات مهم تجاری آنان از رهگیری ، دخالت و دسترسی غیر مجاز در امان بماند.یک PKI کاربران را قادر می سازد از یک شبکه عمومی ناامن مانند اینترنت به صورتی امن و خصوصی برای تبادلات اطلاعات استفاده کنند.این کار از طریق یک جفت کلید رمز عمومی و اختصاصی که از یک منبع مسؤل و مورد اعتماد صادر شده و به اشتراک گذارده می شود انجام گیرد.
این سیستم مجموعه ای است از استانداردها ، فناوری ها و روالهایی که برای معتبر سازی و انتقال داده ها بکار گرفته می شوند.با استفاده از کلیدهای دیجیتالی عمومی و اختصاصی به منظور رمزنگاری و رمزگشایی ، همچنین با استفاده از گواهینامه های دیجیتالی که حاوی کلیدهای اعتباری و عمومی کاربر بوده و اعتبار و هویت کاربر را اعلام می کنند امکان انتقال امن داده های الکترونیکی را فراهم می آورد.
وقتی دو نفر بخواهند با هم ارتباط برقرار کنند ، فرستنده اطلاعات ،از کلید عمومی مربوط به دریافت کننده اطلاعات برای رمزکردن اطلاعات استفاده کرده ، آن را ارسال می کند.سپس دریافت کننده از کلید خصوصی خودش برای رمزگشایی اطلاعات و خواندن آن استفاده می کند.از آنجا که این کلید ، خصوصی است و برای کس دیگر قابل دسترس نیست فقط آن کسی که اطلاعات برای او ارسال گردیده می تواند آن را بخواند.

رمزنگاری Encryption
رمزنگاری عبارتست از تبدیل داده ها به ظاهری که نهایتا بدون داشتن یک کلید مخصوص قرائت آن غیر ممکن باشد.هدف آن حفظ حریم خصوصی است با پنهان نگاه داشتن اطلاعات از افرادی که نباید به آنها دسترسی داشته باشند.
رمزگشایی برعکس رمزنگاری عبارتست از تبدیل داده های رمز شده به صورت اولیه و قابل قرائت.
شکل زیر نشان دهنده رمزنگاری می باشد.




همانطور که از شکل پیداست ابتدا بایست برای هر نفر دو کلید وجود داشته باشد.یک کلید عمومی که همه می توانند به آن دسترسی داشته باشند و یک کلید خصوصی که فقط و فقط خود فرد آنرا در اختیار دارد.این زوج کلید منحصر به فرد است و با داشتن یکی ، دیگری را نمی توان تولید کرد.این کلیدها در مرکزی به نام Certificate Authority تولید می شوند و به افراد داده می شوند.حال اگر فرستنده بخواهد برای گیرنده پیامی بفرستد آنرا با کلید عمومی گیرنده رمز می کند و مطمئن خواهد بود که فقط گیرنده می تواند آنرا بخواند چون کلید خصوصی گیرنده فقط در اختیار خود اوست.

امضاء دیجیتالی
امضاء های دیجیتالی ، فن آوری دیگری است که توسط رمزنگاری کلید عمومی فعال گردید و این امکان را به مردم می دهد که اسناد و معاملات را طوری امضا کنند که گیرنده بتواند هویت فرستنده را تأیید کند.امضاء دیجیتالی شامل یک اثر انگشت ریاضی منحصر به فرد از پیام فعلی است که به آن One-Way-Hash نیز گفته می شود.
کامپیوتر گیرنده پیام را دریافت می کند و همان الگوریتم را روی پیام اجرا می کند، امضا را رمزگشایی کرده و نتایج را مقایسه می کند. چنانچه اثر انگشت ها یکسان باشند گیرنده می تواند از هویت فرستنده و صحت پیام مطمئن شود.این روش تضمین می کند که پیام در طول انتقال مورد دستکاری واقع نشده است.امضا دیجیتالی برای هر پیام یگانه و منحصر به فرد است.
به عبارت دیگر امضا دیجیتالی روشی است که با استفاده از رمزنگاری کلید عمومی احراز هویت،عدم انکار ، محرمانگی و جامعیت داده ای را تأمین می کند.شکل زیر نشان دهنده روند کلی امضا ء دیجیتالی است.


در شکل بالا وقتی فرستنده می خواهد پیامی را امضا کند و برای گیرنده بفرستد ، با استفاده از یک الگوریتم یک خلاصه پیام -Massage digest - از پیام خود تولید می کند و آنرا با کلید خصوصی خود رمز می کند.الگوریتم های خلاصه سازی پیام مانندMD5 یا SHA-1 دارای سه ویژگی هستند:
1.طول پیام همواره ثابت است . یعنی طول پیام هرچقدر باشد خلاصه آن یک اندازه خواهد بود.این طول پیام برای MD5 برابر 128 بیت و برای SHA-1 برابر 160 بیت است.
2.هر بیت ورودی روی خروجی موثر است.یعنی دو پیام که حتی فقط در یک بیت با هم متفاوتند دارای خلاصه های متفاوت خواهند بود.
3. یک طرفه هستند.یعنی با داشتن خلاصه پیام نمی توان اصل پیام را ساخت.
در انتها خلاصه پیام را به خود پیام اضافه می کند و آنرا برای گیرنده ارسال می کند.در طرف مقابل گیرنده خلاصه پیام را از اصل پیام جدا می کند.خلاصه پیام را با کلید عمومی فرستنده رمزگشایی می کند.این خلاصه بدست آمده را با خلاصه اصل پیام که خود آنرا تولید می کند مقایسه نموده ،اگر مطابقت داشت یعنی فرستنده خود کسی بوده که ادعا کرده است چون کلید خصوصی متناظر کلید عمومی وی فقط نزد خود اوست.(احراز هویت).از طرفی جامعیت داده ای پیام حفظ شده است.یعنی پیام دست نخورده باقی مانده است.چرا که در غیر این صورت نتایج مطابقت نمی کرد.(جامعیت داده ای).از طرف دیگر فرستنده نمی تواند فرستادن پیام را انکار کند چرا که کلید خصوصی وی را فرد دیگری در اختیار ندارد(عدم انکار).برای حفظ محرمانگی و اطمینان حاصل کردن از اینکه غیر از گیرنده مورد نظر فرد دیگری نتواند پیام را بخواند و همچنین گیرنده نتواند دریافت پیام را انکار کند کافی است فرستنده قبل از ارسال پیام آنرا با کلید عمومی گیرنده رمز کند و گیرنده نیز ابتدا پیام را با کلید خصوصی خود رمزگشایی کند و پس از آن مراحل فوق را انجام دهد.
دوستان گرامی در درس آینده به بررسی تکنولوژی SET یکی از مهمترین روشهای امنیت در پرداخت و انتقال داده ها خواهیم پرداخت.

درس دوازدهم
تکنولوژی Secure ElectronicTransaction SET


در اوایل فوریه سال 1996 دو شرکت Master Card و Visa با یکدیگر اعلام کردند که با همکاری شرکتهای دیگری Verisign ,Terisa System , RSA , GTE , SAIC , Netscape , IBM , Microsoft استاندارد واحدی برای پرداخت و انتقال اطلاعات مطمئن الکترونیکی تحت شبکه های باز ابداع نموده اند و آن را SET نامیدند.
قبل از این پیشرفت Master Card و Visa هر یک روشهای جداگانه ای را دنبال می کردند.در اواسط دسامبر 1997 توسط این دو شرکت ، سازمانی به نامSET CO به ثبت رسید که ساختار کنونی و وضعیت آینده این استاندارد و سایر متعلقات آنرا تعیین می کند.
پروتکلSET دارای سه مزیت می باشد که همراهی آنها با یکدیگر این پروتکل را از سایر روشها مطمئن تر ساخته است:
1.محرمانگی، به وسیله رمزنگاری که خواندن پیامها را توسط دیگران غیر ممکن می کند.
2.درستی ، بوسیله چکیده پیام و تأیید امضاء اطمینان می دهد پیامها بدون تغییر رد و بدل می شوند.
3.تأییدیه به وسیله گواهی امضاء دیجیتالی ، که اطمینان می دهد ادعاهایی که افراد درگیر معامله دارند قابل اثبات و اعمالی که انجام داده اند غیر قابل انکار است.
SET در عمل
استاندارد SET تکنولوژی نسبتا پیچیده ای است.شکل زیر پروسه های درگیر در عملیات فروش را نشان می دهد.


در شکل بالا قسمتهای درگیر در پروسه فروش وقتی که ازSET استفاده می شود را می بینید.
ابتدا مشتری دارنده کارت و فروشنده هستند که قصد معامله دارند.بعد موسسه مالی است که کارت از طرف وی صادر شده و فروشنده سیستم آنرا به عنوان روش پرداخت پذیرفته است.این موسسه است که در کلیه معاملات بین صاحبان کارت و فروشندگان مسئول است و به فروشنده اطمینان می دهد که پولش پرداخت خواهد شدو بالاخره صادر کننده گواهی شناسایی افراد است که گواهی هایی صادر می کند که توسط همه قسمتها قابل تشخیص است.
قبل از اینکه استفاده از پروتکل SET آغاز شود صاحب کارت در فروشگاه الکترونیکی سایت می گردد وکالاهایی را انتخاب می کند.بعد از این مرحله SET آغاز می شود و نرم افزار فروشنده کار را آغاز می کند و مشخصات فروشنده را که به صورت دیجیتال گواهی شده است برای خریدار ارسال می نماید.همچنین تقاضای گواهینامه شناسایی خریدار را برای کامپیوتر او ارسال می نماید.این عمل اینگونه صورت می پذیرد که بعد از اینکه برنامه صاحب کارت فروشنده را شناسایی کرد درخواست خرید و مشخصات کارت طبق گواهی امضاء دیچیتالی رمزگذاری می کند و سپس برای فروشنده ارسال می کند.(فلش 1)
نرم افزار فروشنده پیام موافقت پرداخت و محتوای سفارش را از رمز در می آورد و آنرا همراه اطلاعات حساب مشتری و مبلغ که همچنان رمز شده اند برای موسسه ارسال می کند.(فلش 2)
این قسمت ازSET حائز اهمیت است چرا که اطلاعات کارت (مانند شماره و تاریخ اعتبار) برای فروشنده قابل مشاهده نیست و فقط مسئول پرداخت مثل بانک ، می تواند آنرا ببیند.بعد از اینکه موسسه درخواست مجوز فروشنده را دریافت کرد آنرا رمزگشایی و جهت بررسی و تأیید از طریق خطوط اختصاصی برای بانک صاحب کارت می فرستد.وقتی موسسه جواب را از بانک دریافت کند آن را رمز گذاری کرده و به فروشنده ارجاع می دهد.(فلش 3)
وقتی نرم افزار فروشنده جواب بگیرد آنرا با مبلغ مطابقت می دهد و سپس آنرا رمز کرده به برنامه مشتری (Wallet) می فرستد.اگر موجودی کافی باشد این پاسخ تأیید شده است.(فلش 4) در نهایت وقتی سفارش محقق می گردد که بوسیله موسسه از بانک مشتری به حساب بانکی فروشنده انجام شده باشد.(فلش 5 و 6)
توجه: کلیه مراحل بالا ظرف چند ثانیه و بین مرورگر ها اتفاق می افتد و این روند قابل مشاهده نمی باشد.
ادامه مبحث را در درس آینده بررسی خواهیم کرد.




نویسنده: آقای سعید حاجبی