Default
Upcoming SlideShare
Loading in...5
×
 

Default

on

  • 1,187 views

security project

security project

Statistics

Views

Total Views
1,187
Views on SlideShare
1,187
Embed Views
0

Actions

Likes
0
Downloads
20
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Default Default Presentation Transcript

    • امنيت در تجارت الكترونيك
    • امينيت در تجارت الكترونيك به مسايل امينتي پيرامون انتقال ،نگهداري و بازيابي اطلاعات مي پردازد تهديد پذيري (Vulnerability) : ضعفي در سيسم كه ميتواند ان را با مشكل مواجه كند تهديد (Threat) : احتمال اينكه با استفاده از تهديد پذيري به سيستم اسيب برسد مخاطره (Risk) : انتژار اسيب به سيستم بعد از حمله
      • انواع تهديد ها و حمله ها :
      • خرابي و قطع سرويس
      • ويروس،قطع برق ، DOS و ...
      • دسترسي غيز مجاز
      • مهندسي اجتماعي ،كشف رمز عبور ، Phishing و ...
      • مديريت مخاظره (Risk Management) :
      • فرايند شناسايي مخاطرات ،اولويت بندي انها اساس هزينه مورد نياز براي بازيابي سيستم و همچينين شنايي و پياده سازي راهكارهايي براي كاهش اين مخاطرات
      • سياست امنيتي (Security policy) :
      • براي جلوگيري از تهديد خدمات اتخاذ مي شود
      • خدمات امنيتي (Security service)
      • كاركردهايي كه براي پياده سازي سياست امنيتي بكار ميروند
      • مكانيزم امنيتي (Security Mechanism)
      • براي پياده سازي خدمات امنيتي بكار ميرود
      • چند نمونه از خدمات امنيتي :
      • شناسايي هويت
      • كنترل دسترسي
      • محرمانگي داده ها
      • يكپارچگي داده ها
      • عدم انكار
      • انواع مكانيزم هاي امنيتي :
      • 1- براي پياده سازي يك سرويس خاص بكار مي رود
      • 2- مكانيزم امنيتي فراگير كه به يك سرويس خاص تعلق ندارد مانند برچسب هاي امنيتي
      • نمونه هايي از چند مكانيزم :
      • بازيابي امنيتي
      • حسابرسي امنيتي
      • تشخيص حمله
    • مكانيزم هاي امنيتي
      • مكانيزم هاي محرمانگي اطلاعات
      • مكانيزم هاي رمزنگاري
      • 1- رمزنگاري متقارن : كليد رمزنگاري و رمز گشايي يكي مي باشد
      • 2- رمز نگاري نامتقارن : كليد رمز نگاري با رمز گشايي متفاوت است
      • انواع مكانيزم هاي رمز گداري متقارن :
      • Stream cipher
      • Block cipher
      • مكانيزم هاي رمزگذاري Stream cipher :
      • 1- مكانيزم هاي رمز گذاري جريان هم زمان (KAK)
      • 2- مكانيزم هاي رمز گداري جزيان خود هم زمان (CTAK)
      • عمليات XOR
      • 0 XOR 1 =1
      • 0 XOR 0 =0
      • 1 XOR 0 =1
      • 1 XOR 1= 0
      • مشخصات يك مولد كليد خوب :
      • تعداد نامحدودي خروجي به ما بدهد
      • خروجي كاملا تصادفي باشد
      • طول دوره كليدي كه توليد مي كند عملا نامحدود باشد
      • از جاهاي تصادفي شروع كند
      • هشدار دهنده خطا داشته باشد
      • الگوريتم هاي Block cipher :
      • Data Encryption Standard (DES)
      • Advance Encryption Standard(AES)
      • الگوريتم هاي رمز نگاري نا متقارن :
      • اصولا از به توان رساندن يا Exponentiation استفاده مي كنند
      • و يك نام ديگر اين الگوريتم ها كليد عمومي است
      • هرفرد يك كليد عمومي دارد كه به همه اغلام مي كند و يك كليد خصوصي كه فقط خود شخص از ان خبر دارد
      • RSA پركاربرد ترين الگوريتم رمزنگاري نامتقارن است كه هم محرمانگي داده ها و هم شناسايي هويت را حمايت مي كند .
    • مكانيزم هاي يكپازچگي داده ها و تشخيص هويت
      • مكانيزم هاي مختلفي براي يكپارچگي و تشخيص هويت وجود دارد از جمله :
      • Message Digest 5 (MD5)
      • Secure Hash Standard(SHA_1, SHA_256 ,…)
      • Message Authentication Codes(MACs)
      • …… .
    • Criptographic hash function
      • در مباحث كامپيوتري به تابعي گفته مي شود كه يك ورودي با طول متفاوت قبول مي كند و يك خروجي با طول ثابت ميدهد
      • خصوصياتي كه يك تابع HASH بايد داشته باشد :
      • محاسبه H(m) راحت باشد
      • تقريبا غيرممكن باشد كه از روي H(m) بتوانيم به m كه در حقيقت ورودي تابع است دست پيدا كنيم
      • غيرممكن باشد كه پيامي را تغيير بدهيم اما تابع Hash ان تغيير پيدا نكند
      • غيرممكن باشد دو پيام متقاوت تابغ Hash يكساني داشته باشند
      • مكانيزم كنترل دسترسي :
      • وظيفه ان اين است كه دسترسي منابع را به شكل محافظت شده در اختيار كاربران قرار دهد
      • انواغ مكانيزم ها ي كنترل دسترسي :
      • Identity –Base Access Control
      • Rule – Base Access Control
    • مديريت كليد و گواهي ها
      • Public key Infrastructure
      • براي مديريت كردن كليد هاي عمومي نياز به مكانيزمي است كه اين مكانيزم را زير ساخت كليد عمومي مي نامند كه اين زيرساخت از يك سري گواهي ها براي تاييد اصلي بودن و اورجينال بودن كليد هاي عمومي استفاده مي كنند
      • به مجموعه اي از سخت افزار ،نرم افزار ،سياست ها و فرايند هايي كه براي توليد ،ذخيره و نگهداري ،توزيع و بازخواني گواهي ها ي ديجيتال نياز است كلا زيرساخت كليد عمومي يا PKI مي گويند
      • نقش هاي زير ساخت كليد عمومي :
      • دوره حيات كليد هاي عمومي را كنترل مي كند و مديريت مي كند
      • مكانيزم هاي مانند Backup و recovery را براي كليد ها و گواهي هاي موجود فراهم مي كند
      • تاريخچه گواهي ها و كليد هاي صادر شده را نگهداري و مديريت مي كند
      • يك وظيفه ديگر ان cross certification است
      • اگر ما با كسي كه ميخواهيم ارتباط امن برقرار كنيم يك CA به غير CA ما داشته باشد بايد CA ما بيايد و ان CA را تاييد كند كه به اين كار Cross Certification مي گويند
      • استاندارد گواهي ها استانداردي هست به نام X.509 .
      • گواهي هايي كه از اين استاندارد استفاده مي كنند فيلد هاي مختلفي دارند كه عبارتند از :
      • Version Number
      • Serial Number
      • Signature
      • اسم صادر كننده
      • تاريخ اعتبار گواهي
      • موضوع گواهي
      • كليد عمومي كه اين subject دارد
      • يك سري اطلاعات ضميمه مثل ID كه مشخصه صادر كننده است
      • ID صاحب گواهي
      • يك گواهي علاوه بر اينكه مي تواند اعتبار ان تمام بشود به دلايل مختلفي مانند سرقت و سوئ استفاده و غيره مي تواند اعتبار ان گرفته شود يعني Revoke بشود
      • مولفه هاي درگير در زيرساخت كليد عمومي :
      • CA كه گواهي را صادر مي كند
      • Registration Authorites كه رابطه بين صاحب كليد عمومي و صادر كننده گواهي را برقرار مي كند
      • استفاده كننده از PKI يا PKI User
      • يك سري end entity ها كه رجوع مي كنند به اين گواهي ها
      • يك سري Repositories ها كه به عنوان نگهدارنده اين گواهي ها و گواهي هاي Revoke شده هستند
      • مراحل كار براي اينكه گواهي گرفته بشود
      • 1- در يك سازمان CA ثبت نام بكنيد و براي گرفتن گواهي در خواست بدهيد
      • 2- CA مي ايد و هويت شما را بررسي مي كند و مطمئن مي شود كه همه چيز درست است
      • 3- بعد از اينكه گواهي را صادر مي كند اين گواهي را روي يك Repository كه به عنوان يك مرجع شناخته مي شود و استفاده كنندگان به ان دسترسي دارند منتشر مي كند .
    • سيستم هاي پرداخت الكترونيك
      • تقسيم بندي تجارت الكترونيكي يا Electronic Commerce
      • 1- B2B : تجارت شركتها با يكديگر
      • 2- B2C : بحث اصلي فروشگاههاي انلاين هستند
      • 3- C2C : سايت هاي Auction مانند eBay كه در واقع مشتري به مشتري است
      • 4- B2E : ارتباط با كارمندان
      • يك نمونه از سيستم پرداخت الكترونيك
      • تقسيم بندي سيستم هاي پرداخت الكترونيك :
      • 1- سيستم هاي off-line در مقابل on-line
      • 2- سيستم هاي Debit در مقابل Credit
      • 3- سيستم هاي Macro در مقابل Micro
      • در سيستم هاي offline اطلاعات بانكي به صورت offline است مثلا در هواپيما
      • در جاهايي كه دسترسي به شبكه پرداخت نباشد
      • سيستم Debit : هر چقدر پول داريم خرج مي كنيم مانند سيستم بانكي ايران
      • سيستم credit : هر چقدر اعتبار داريم خرج مي كنيم
      • بيشتر پرداخت هاي اينترنتي از طريق credit است
      • برخي شركت هاي ارائه دهنده credit card :
      • Visa card
      • American express
      • Master card
      • سيستم هاي macro :
      • براي پرداخت هاي زياد استفاده مي شود
      • سيستم هاي micro :
      • براي پرداخت هاي كم استفاده مي شود مانند عضويت در مجلات انلاين يا خريد اعتبار در بازيهاي انلاين .
      • ابزارهاي پرداخت در تجارت الكترونيكي :
      • 1- پول نقد Cash like
      • 2- چك Check like
      • انواع پول نقد :
      • 1- كارت هاي اعتباري يا Credit Card
      • 2- پول الكترونيكي Digital money
      • منابع سواستفاده از كارت هاي اعتباري :
      • 1- استراق سمع توسط افراد : با رمز نگاري حل ميشود
      • 2- فروشنده هايي كه صادق نباشند : با استفاده از Anomymizing Mix حل ميشود
      • پول الكترونيكي يا Digital Money :
      • در سيستم هاي micro مانند حمل ونقل كاربرد دارد
      • كيف پول الكترونيكي يا Electronic Wallet :
      • امروزه بسيار رايج است و ميتوان در ان هم كارت اعتباري و هم پول الكترونيكي داشت مثال ان هم حساب paypall ميباشد
    • امنيت پرداخت الكترونيك
      • اصول مشكلات سيستم هاي پرداخت :
      • پول مي تواند جعل شود
      • امضا مي تواند جعل شود
      • چك مي تواند برگشت بخورد
      • نيازهاي امنيتي يك سيستم پرداخت الكترونيكي :
      • payment authentication
      • payment integrity
      • Payment authorization
      • Payment confidentiality
      • سرويس هاي امنيت عمليات پرداخت :
      • بي نامي كاربر
      • عدم قابليت رديابي مكان
      • بي نامي پرداخت كننده
      • عدم قابليت رهگيري عمليات پرداخت
      • محرمانگي اطلاعت پرداخت
      • عدم انكار پرداخت
      • تازگي اطلاعات عمليات پرداخت
      • عمليات پرداخت الكترونيكي به اجراي يك پروتكل كه نهايتا منجر مي شود به برداشت پولي از حساب مشتري و واريز ان به حساب فروشنده
      • داده هاي پرداخت :
      • 1- order information
      • 2- payment instruction
      • اصولا بايد اطلاعات سفارش يا order information مانند كد كالايي كه مي خواهيم بخريم را از دستور پرداخت يا payment Instruction مانند شماره كارت اعتباري جدا در نظر بگيريم
      • براي بي نامي كاربر از شبه نام ها استفاده ميكنيم
      • براي عدم قابليت رد گيري مكان از anomymizing mix استفاده مي كنيم
      • دو امضايي :
      • براي ارتباط و لينك بين ”اطلاعات پرداخت“ و ”دستور پرداخت“ يك عمليات پرداخت بكار مي رود
      • مكانيزم عدم انكار در پرداخت الكترونيكي امضاي الكترونيكي است
      • از مكانيزم هاي تازگي عمليات پرداخت Number use ones همراه با مهر زماني Time Stamp است
      • ازمكانيزم هاي Authentication نام كاربري و رمز عبور يا روش هاي بيومتريك ماننداثر انگشت است
    • امنيت ارتباطات يا Communication security
      • شبكه ارتباطي زير ساختي براي انتقال اطلاعات :
      • زير ساخت فيزيكي
      • زير ساخت منطقي
      • دو مدل مرجع براي طراحي و تحليل شبكه هاي ارتباطي :
      • 1- مدل OSI (Open System Interconnection)
      • 2- مدل TCP/IP
      • مدل TCP/IP مدل قديمي تري است
      • مقايسه دو مدل OSI و TCP/IP و مكانيزم هاي امنيتي :
      • مسايل امنيتي در لايه هاي مختلف :
      • امنيت در لايه فيزيكال
      • امنيت در لايه اينترنت
      • امنيت در لايه كاربردي
      • امنيت در لايه انتقال
      • برنامه هاي مخرب :
      • logical bomb
      • A virus
      • Trapdoor
      • Trojan horse
      • A worm
      • تهديد هايي كه در شبكه هاي ارتباطي داريم :
      • استراق سمع paylod
      • تغيير دادن paylod
      • تغيير دادن اطلاعات كنترلي توسط حمله كننده
      • اجراي مجدد يا replaying
      • Traffic analysis
      • Denial of service
      • Masquerading
      • Infiltration
      • ضعف هاي عمومي شبكه هاي ارتباطي :
      • الگوريتم هاي ضعيف رمزگذاري
      • ضعف در پياده سازي نرم افزار
      • ضعف در پياده سازي سخت افزار
      • Trust model vulnerability
      • فاكتور هاي انساني و مهندسي اجتماعي
      • Bad failure –recovery proccess
    • امنيت لايه اينترنت
      • Packet filter : بر اساس يك سري قوانين محدوديت هايي را براي ورود به شبكه مي گذاريم .
      • مشكلات امنيتي در لايه اينترنت و استفاده از TCP :
      • TCP SYN Flooding Attack
      • TCP Sequence Number Prediction
      • روش هاي مقابله با TCP SYN Flooding Attack :
      • Relay mechanism
      • Gate way mechanism
      • Passive gateway mechanism
      • Network Address Translation(NAT)
      • نوعي تغيير هويت مجاز است
      • تعويض يك IP با يك IP ديگر كه به دليل مفيد است :
      • 1- مخفي نگه داشتن آدرس هاي شبكه داخلي
      • 2- به علت نداشتن IP معتبر در شبكه داخلي
      • IP Security (IPSec)
      • يك سري الحاقيات را به پروتكل IP اضافه مي كند :
      • Indirect access control
      • Connection Integrity
      • Data origin Authentication
      • Protection against replying
      • Confidentiality
      • Limited Traffic flow confidentiality
      • قسمت هاي اصلي معماري IPSec
      • Security protocol(AH,ESP)
      • Algorithms for authentication and encryption
      • Internet key management
      • Security association
      • دوگونه Security association داريم :
      • Transport mode SA
      • Tunnel mode SA
      • مكانيزم هاي امنيتي IPSec :
      • Authentication Header(AH)
      • Encryption Security Payload(ESP)
      • Intrusion detection network
      • سيستمي كه دائم شبكه و منابع ان را از لحاظ امنيتي مانيتور مي كند دو نوع دارد :
      • Network base intrusion
      • Host base intrusion
      • هر سيستم IDS از 3 بخش تشكيل مي شود :
      • تشخيص
      • پاسخگويي
      • بهبود
      • سه نوع حمله كننده در تعريف IDS ها داريم :
      • Masquerader معمولا خارجي
      • Misfeasor معمولا داخلي
      • Clandestine ميتواند هم داخلي و هم خارجي باشد
      • مكانيزم هاي امنيتي لايه كاربردي :
      • Application gateway(proxy server)
      • Content filter
      • Statefull inspection
    • Web security
      • يكي از مهمترين برنامه ها در لايه كاربردي ،وب است
      • وب يك سيستم اطلاعاتي توزيع شده است كه از اجزاي زير تشكيل شده است :
      • Web server
      • client
      • HTTP Protocol
      • Naming convention
      • Definition Data
      • نكته : پروتكل Http يك پروتكل client/server است و اينكه اين پروتكل stateless است
      • مشكلات حاصل از دسترسي غير مجاز به اطلاعات header پروتكل http :
      • Server response header
      • The via request or response header
      • User_Agent request header
      • Referer request header
      • روشهاي امنيتي براي پروتكل http :
      • پروتكل http را بر روي يك لايه پايين تري مانند SSL يا TLS پياده سازي بكنيم ( https )
      • Encapsulate كردن يك security protocol در قسمت بدنه پيام
      • Extention security protocol كه اصطلاحا S-http ناميده مي شود .
      • بخش هاي مختلف privacy در وب :
      • 1-executable content and mobile code
      • 2-the referer header
      • 3-cookies
      • 4-log files
      • تشكر فراوان از توجه شما
      • پروژه امنیت در تجارت الکترونیک
      • نام استاد : آقای سخاوتی
      • ابراهيم فتحعلي زاده
      • دانشجوي كارشناس ارشد تجارت الكترونيك
      • موسسه نور طوبي
      • شماره دانشجویی :8861065