• Like
E commerce security
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

E commerce security

  • 1,924 views
Published

E commerce security …

E commerce security
meryamsiroos@yahoo.com

  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
No Downloads

Views

Total Views
1,924
On SlideShare
0
From Embeds
0
Number of Embeds
0

Actions

Shares
Downloads
90
Comments
0
Likes
1

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. E-commerce security امنیت د رتجارت الکترونیک پروژه امنیت در تجارت الکترونیک مریم سیروس شماره دانشجویی : 8861048 Email : meryamsiroos@yahoo.com
  • 2. عناوین فصل ها
    • امنیت در تجارت الکترونیک
    • مکانیزم های محرمانگی اطلاعات
    • مکانیزم های یکپارچگی داده ها و تشخیص
    • مدیریت کلید و گواهی ها
    • سیستم های پرداخت الکترونیک
    • امنیت پرداخت الکترونیکی
    • امنیت عملیات پرداخت
    • Communication security
  • 3. فصل اول
    • تهدید پذیری تهدید مخاطره
    • تهدید پذیری : ضعف یا اختلال در طراحی ، پیاده سازی ، اجرا و یا مدیریت یک سیستم
    • انواع تهدیدها :
    • خرابی و قطع سرویس : انواع ویروس ها ، قطع برق ، زلزله ، آتش سوزی و ( denial of service ) DOS
    • دسترسی غیر مجاز : Phishing ، مهندسی اجتماعی ، Spyware ها و همچنین کشف رمز عبور
    • استراق سمع یا دریافت غیر قانونی اطلاعات
    • جعل هویت ( Masquerading )
    • دستکاری پیام ( Message Tampering )
    امنیت در تجارت الکترونیک
  • 4.
    • مدیریت مخاطره
    • فرآیند شناسایی مخاطرات ، اولویت بندی آنها بر اساس هزینه مورد نیاز برای بازیابی سیستم در صورت وقوع خطر وهمچنین شناسایی و پیاده سازی راه کارهایی برای کاهش این مخاطرات را مدیریت مخاطره می نامند .
    • تحلیل ریسک : رابطه بین جدیت خطر ، احتمال تکرار آن و همچنین هزینه پیاده سازی یک راه حل برای حفاظت از آن خطر یا تهدید پذیری را بررسی می کند .
    • جدیت خطر : بر اساس هزینه موزد نیاز برای بازیابی از آن در صورت موفقیت یک حمله اندازه گیری می شود .
    • افزایش جدیت
    • + سطح مخاطره
    • افزایش احتمال وقوع خطر
    • جدول تعیین سطح مخاطره
    فصل اول امنیت در تجارت الکترونیک جدیت احتمال وقوع به ندرت بعضی اوقات غالبا کم اهمیت 1 2 3 جدی 4 5 6 خیلی جدی 7 8 9
  • 5.
    • سیاست امنیتی ( Security Policy ) : برای جلوگیری از تهدیدها نیازمند یک مجموعه سیاست امنیتی هستیم .
    • خدمات امنیتی ( Security Services ) : یک مجموعه کارکرد برای پیاده سازی
    • سیاست های امنیتی که مهمترین آنها عبارتند از :
    • مکانیزم های امنیتی : خدمات امنیتی توسط یک مجموعه مکانیزم های امنیتی
    • پیاده سازی و اجرا می شوند . که به دو دسته خاص و فراگیر تقسیم می شوند .
    • مکانیزم های خاص : برای پیاده سازی یک سرویس امنیتی مشخص به کار میروند .
    • مکانیزم های فراگیر : برای پیاده سازی هر خدمتی قابل استفاده هستند .
    • از جمله پراهمیت ترین آنها عبارتند از :
    • بازیابی امنیتی : به یک سیستم کمک می کند هنگامیکه یک حمله اتفاق افتاد بتواند خود را بازیابی کند .
    • حسابرسی امنیتی : این مکانیزم کمک می کند فعالیت های حساس به امنیت یک سیستم پیاپی پایش شوند .
    • تشخیص حمله : این مکانیزم شناسایی روی داده های خاصی است که مغایر با سیاست های امنیتی یک سیستم است و یا به طور بالقوه می تواند برای آن یک تهدید محسوب گردد .
    فصل اول امنیت در تجارت الکترونیک کنترل دسترسی Authorization محرمانگی داده ها Data Confidentiality یکپارچگی داده ها Data Integrity عدم انکار Non Repudiation شناسایی هویت Authentication Security Services
  • 6.
    • مکانیزم های محرمانگی اطلاعات اصولا مکانیزم هایی هستند که برای حفظ محرمانگی داده یا اطلاعات بکار میروند . به
    • طور کلی رمزنگاری یا Enciphering هستند .
    • : key Generator رشته ای از اعداد را برای ما تولید میکندکه اصولا random هستند .
    • که در مکانیزم های رمز گذاری Stream Ciphers کاربرد دارند .
    • از جمله مشخصاتی که نرم افزار یا سخت افزار مولد کلید یا key Generator باید داشته باشد عبارتند از :
    • 1-Infinit Number of Crypto Variables (Keys)
    • 2-Completely Random key Stream
    • 3-Infinit Cycle Length
    • 4-Random Starting places
    • 5-Fail Safe Alarms
    فصل دوم مکانیزمهای محرمانگی اطلاعات مکانیزمهای رمز گذاری متقارن Symmetric encryption نا متقارن ُ Asymmetric encryption Stream Ciphers Block Ciphers Synchronous Stream Ciphers Self-Asynchronous Stream Ciphers KAK Key-Auto-Key CKAK Cipher text-Auto-Key DES Data Encryption Standard AES Advanced Encryption Standard RSA Ronald Rivest Adishamir Leonard Adleman Blok Encryption Algorithms Diffie-Heeman Pohlig-Hellman ELGamal
  • 7.
    • بررسی مکانیزم های رمز گذاری Stream Ciphers Symmetric :
    • دراین روش یک رشته از اطلاعات با یک رشته ازرمز که تعداد بیتهای آن معادل هستند
    • XOR می شوند .
    • synchronization
    • key stream key stream
    • Cipher Text
    • Encipher Decipher
    • چیزی که خارج می شود همان Cipher text یا متن رمزگذاری شده است و زمانیکه به دریافت کننده اطلاعات می رسد، دریافت کننده می تواند با همین کلید به اصطلاح
    • شروع کند و اطلاعات را رمز گشایی می کند . دریافت کننده اطلاعات هم یک مولد کلید دارد با همان Initialization Vector (IV) که رمز گذاری کننده اطلاعات داشت .
    • در این روش قسمتی از دیتای رمز گذاری شده بشکل دائمی به key Generator ، بازخورانده میشود برای تولید کلید
    • بنابراین دائما ما د بیت از Cipher text را بازمیخورانیت به key Generator برای اینکه کلید را بدست آوریم .
    • یعنی تابع تولید کننده کلید ما یکی از پارامتر های ورودیش n بیت از متن رمزگذاری شده است .
    • Cipher Text
    • Encipher Decipher
    فصل دوم مکانیزمهای محرمانگی اطلاعات KAK Key-Auto-Key Cryptographic Varriables(cv) Initialization Vector(iv) Key Generator Key Generator Cryptographic Varriables(cv) Initialization Vector(iv) + + Plaintext Plaintext CKAK Cipher text-Auto-Key Cryptographic Varriables(cv) Key Generator Key Generator Cryptographic Varriables(cv) + + Plaintext Plaintext
  • 8.
    • بررسی مکانیزم های Symmetric Block Ciphers :
    • یک الگوریتم رمزگذاری Block Cipher اینگونه عمل میکند که متن یا Data مارا به بلاکهای X بیتی میشکند و هر بلاک را به شکل جداگانه رمزگذاری میکند . به این عدد x
    • که یک عدد مثبت integer است Block Size میگوییم .
    • key= 56 Encryption k1
    • الگوریتم DES block=64 bit
    • 8 Parity bits
    • فرآیند رمزگذاری DES طی 16 مرحله مختلف که بشکل جداگانه این کار رمزگذاری DES را انجام میدهد صورت می پذیرد .
    • الگوریتم DES از لحاظ امنیتی بسیارپایین است به همین دلیل الگوریتم AES جایگزین شد که امروزه استفاده می شود :
    • key=128 – 192 – 256 Encryption تعداد مراحل پردازش ( به ترتیب کلید ) =10 – 12 – 14
    • الگوریتم AES block=128 bit
    • فرآیند رمز گذاری و رمز برداری و کلید بعنوان واحد بایت در قالب یک آرایه به نام آرایه وضعیت یا State Matrix پردازش میشوند .
    • تعداد سطر = 4 همیشه ثابت است
    • State Matrix key=128 4 ستون
    • تعداد ستون = وابسته به عدد کلید key=192 6 ستون
    • key=128 8 ستون
    فصل دوم مکانیزمهای محرمانگی اطلاعات Plaintext Block Crypto Variables Block Cipher Algorithm Cryptographic Varriables(cv) Blok Encryption Algorithms Block Cipher Algorithm Crypto Variables Cipher Block Cipher Block Block size DES : 64-bit AES : 128-bit
  • 9.
    • بررسی مکانیزم های Asymmetric :
    • نام دیگر کلید های الگوریتمهای غیر متقارن Public-Key یا کلید عمومی است .
    • الگوریتم RSA بدین شکل عمل میکند که :
    • p , q = اعداد اول نسبتا بزرگ
    • n = p*q
    • قضیه اولر Qn = Qpq = (p-1)(q-1)
    • Public-Key = pub اول باشد نسبت به Qn
    • private-Key (pub * private) همنهشت با 1 به پیمانه Qn
    • Public-key قابل انتشار
    • Private-key محرمانه
    فصل دوم مکانیزمهای محرمانگی اطلاعات RSA Ronald Rivest Adishamir Leonard Adleman
  • 10.
    • Cryptographic Hash Function
    • اصولا Hash Function به تابعی گفته میشود که یک ورودی با طول متفاوت قبول میکند و یک خروجی با یک طول ثابت را تولید می کند .
    • Fanction hash = H ، ورودی تابع = m ، مقدار تابع = H(m)
    • که H(m) دارای خصوصیات زیر است :
    • طول پیام میتواند به ه راندازه ای باشد .
    • Has Value ( چکیده پیام ) طول ثابتی دارد .
    • برای هر پیام معینی ، محاسبه ی H(m) نسبتا آسان است .
    • پیدا کردن پیامی که هش معینی دارد غیر عملی است .
    • تغییر پیام بدون تغییر هش آن ، غیر ممکن است .
    • یافتن دو پیام متفاوت با یک هش یکسان ممکن نیست .
    • MAC (Message Authorization Code):
    • Secret Key + input Message = ورودی
    • Message Authorization Code = خروجی
    • این مکانیزم در شناسایی هویت فرد فرستنده بسیار کاربرد دارد و گیرنده کاملا مطمئن است پیام را فرستنده اصلی فرستاده .
    فصل سوم مکانیزمهای امنیتی ( Hash function ) MAC Message Authorization Codee SHA Source Hash Standard MD5 Message DIGEST Algorithm مکانیزم های کنترل دسترسی Authorization Dentity-Based Access Control Rule-Based Access Control Sender Receiver Message Mac Algorithm Key(k) MAC Message Mac Algorithm Key(k) MAC Message MAC =? MAC مکانیزمهای یکپارچگی اطلاعات و شناسایی هویت
  • 11.
    • SHA(Source Hash Standard):
    • جهت شناسایی هویت فرستنده و برای چک کردن یکپارچگی داده استفاده میشود بدین ترتیب که خروجی تابع Hash Message Digest
    • است که اگر پیام ما دستکاری شود با Message Digest همخوانی ندارد و ما متوجه تغییر دیتا میشویم و غیرممکن است کسی به Message Digest یعنی اصل پیام دسترسی پیدا کند .
    • ورژنهای SHA : SHA1 , SHA2 , SHA3
    • طول چکیده پیام بسته به الگوریتم ، از 160 تا 512 بیت متفاوت است .
    • این روش امن نامیده میشود زیرا مطابق استاندارد :
    • 1- یافتن پیامی که به یک چکیده ی پیام مفروض مرتبط است و
    • 2- یافتن دو پیام متفاوت که همان چکیده را تولید کنند
    • بوسیله ی محاسبه ، غیر عملی است .
    • MD5 (Message DIGEST Algorithm):
    • ورژنهای MD : MD4 , MD2 , MD5
    • این سه الگوریتم یک Message Digest ، 128 بیتی تولید میکنند صرفنظر از اینکه ورودی این تابع چه طولی داشته باشد . البته قاعدتا
    • میگویند ورودیش باید کوچکتر از 2 به توان 64 بیت باشد .
    • .
    فصل سوم مکانیزمهای یکپارچگی اطلاعات و شناسایی هویت
  • 12.
    • ) مکانیزم های کنترل دسترسی Authorization):
    • زمانیکه فردی شناسایی هویت میشود و وارد سیستم میشود این مکانیزم وظیف مدیریت فرد مذکور را دارد
    • Dentity-Based Access Control
    • در این سیستم دسترسی افراد بر اساس ویژگیهایی که منابع مختلف سیستم دارد تعریف میشود .
    • این نوع از روشهای کنترل دسترسی را Discretionary میگویند که یعنی مالک آن منبع تعیین میکند دسترسی فرد هویت شده چیست .
    • Object ObjectA ObjectB ObjectC …
    • Subject
    • Subject A Type Access
    • ……
    • Rule-Based Access Control
    • در این سیستم دسترسی افراد بر اساس یک قانون تعریف میشود . سیستمهای اطلاعاتی که نیاز به امنیت بالا دارند مثل سیستمهای نظامی از این مکانیزم استفاده میکنند . در اینجا مهم است فرد با آن دسترسی چه میکند .
    • برای اینکه سیستم Rule – Based را پیاده کنیم به هر Object و هر منبع و هر فرد یک Security Label اختصاص میدهیم .
    فصل سوم مکانیزمهای یکپارچگی اطلاعات و شناسایی هویت
  • 13.
    • یکسری گواهی ها برای تایید اصلی بودن کلیدهای عمومی استفاده می شوند .
    • Public Key infrastructure (PKI) : هنگام استفاده از کلید عمومی ، لازم است که یک سیستم جامع داشته باشیم برای رمزگذاری کلید عمومی و خمات امضای دیجیتال ، تا مطمئن شویم از محرمانگی ، Authorization ، Data integerity ، access control ، و عدم انکار . این سیستم PKI است .
    • spoofing 1- یعنی یک فرد می آید Public Key خودش را جایگزین میکند، ( جعل هویت ) و برای کسی که میخواهد این اطلاعات را
    • توسط آن Public Key رمزگذاری کند ارسال میکند . PKI این صحت و سقم را چک میکند .
    • 2- از طرفی دیگر اسپوفر میتواند ارتباط دو سازمان یا دو شخص را استراق سمع کند ، در نتیجه کلید عمومی هر کاربر
    • باید توسط یک Certificate authority تصدیق ( امضا ) شود .
    • تعریف PKI : زیرساخت کلید عمومی به مجموعه ای از سخت افزار ، نرم افزار ، سیاستها و فرآیندهایی که برای تولید ، ذخیره و نگهداری ، توزیع و همینطور بازخوانی یا Revoke کردن گواهی های دیجیتال یا Digital Certificate ها نیاز است . به این مجموعه کلا
    • Public Key Infrastructure گفته میشود .
    • تعریف Digital Certificate ( identity ): یک سند الکترونیک است که با استفاده از مکانیزم های امضای الکترونیک ، Public Key و هویت اصلی استفاده کننده و صاحب Publick Key را به همدیگر پیوند میدهد . که این گواهی های دیجیتال را سازمانهایی صادر میکنند که به آنها Certificate authority گویند .
    فصل چهارم مدیریت کلید و گواهیها وظایف PKI مدیریت Life Cycle کلیدهای عمومی و گواهیهای مرتبط ارائه مکانیزمهای backup , Recovery برای سرویسها نگهداری تاریخچه گواهیها و کلید های صادرشده Update گواهیها و کلید ها ارائه Cross Certification
  • 14.
    • X.509 : استاندارد گواهی های دیجیتال برای استفاده کنندگان
    • نکته :
    • گواهی علاوه بر اینکه تاریخ اعتبارش تمام میشود به دلایلی
    • از جمله سوء استفاده ، سرقت ، تغییر و .... میتواند
    • Revoke شود یا اصطلاحا ارتباطش توسط CA گرفته شود .
    • این گواهی های revoke شده در لیستی به نام CRL یا
    • Certification revocation List قرار میگیرد .
    فصل چهارم مدیریت کلید و گواهیها Serial number موضوع گواهینامه مشخصات صتحب صادر کننده Subject Public Key Information موضوع گواهی تاریخ اعتبار صادر کننده گواهی امضا ( CA ) Version Number فیلدهای گواهی های استفاده کننده از X.509
  • 15.
    • Publik Key Infrastructure:
    • operational transaction
    • and management Managment
    • transaction Transaction PKI user
    • PKI Management entities
    • public
    • certifacate public Management transactions
    • Certificate
    • and CRL
    فصل چهارم مدیریت کلید و گواهیها مؤلفه های اصلی PKI Certification authority 1 Registration authority 2 PKI User 3 End entity (Client) 4 Repositories 5 CRL End entity Registration Authority Certification Authority Certification Authority
  • 16.
    • مراحل کار برای گرفتن یک certificate :
    • 1- ثبت نام در یک CA و درخواست برای گرفتن یک certificate
    • 2- بررسی و تایید هویت ما توسط CA و صادر کننده گواهی
    • 3- قراردادن و انتشار گواهی صادر شده در یک repository
    فصل چهارم مدیریت کلید و گواهیها Certificate athurity/ Registration authority Respository site Alice Bob 1 2 3 4 5 6 Enciphered Message Digital signature 7
  • 17.
    • دسته بندی سیستم های پرداخت الکترونیک
    • 1-Offline Vs, Online
    • Offline system : مشتری و فروشنده به هنگام مبادلات تجاری با همدیگر آنلاین هستند ولی اطلاعات بانکی آنها آفلاین است .
    • عیبی که سیستم آفلاین در برابر آنلاین دارد این است که فروشنده نمیداند که خریدار آیا پولی د رحسابش دارد یا نه .
    • Online system : کلیه اطلاعات و سیستمهایی که در بردارنده و سرویس دهنده ی مکانیزمهای پرداخت مشتری هستند همگی بر
    • روی شبکه و در یک لحظه ی واحد قابل دسترسی هستند .
    • 2-Debit Vs, Credit
    • ِِ Debit : همانقدر که در حساب داریم همانقدر هم می توانیم خرج یا برداشت کنیم . سیستم بانکداری ایران بر اساس دبیت عمل میکند .
    • Credit : بانک این اعتبار را به ما میدهد که پولی که نداریم خرج کنیم و بعدا به بانک پرداخت کنیم . مثل کارت دبیت یا چکها
    فصل پنجم E-Payment Systems E-Payment Systems 1-Offline Vs, Online 2-Debit Vs, Credit 3-Macro Vs, Micro
  • 18.
    • دسته بندی سیستم های پرداخت الکترونیک
    • 3-Macro Vs, Micro
    • Macro system : سیستمهایی هستند که مبلغ پرداخت در آن سیستمها بیشتر از یک مبلغی (5 تا 10 دلار ) بیشتر است .
    • Micro system : سیستمهایی هستند که مبلغ پرداخت در آن سیستمها کمتر از یک مبلغی (5 تا 10 دلار ) است .
    فصل پنجم E-Payment Systems Entity های درگیر در سیستم Credit Card holder Card issuing bank Merchant ویزا مستر دیسکاور دایمنز قانون گذاری ، regulate کردن ، تعیین تعرفه ها و ... وظیفه Transaction Network Merchant account Acquire bank
  • 19.
    • پرداخت در محیط تجارت الکترونیک
    فصل پنجم E-Payment Systems s s Issuer Bank Acquirer Bank Interbank(clearing) network 3 Authorization 6 Settlement Interbank Settlement Account 2 Auth 5 Charges Customer (Payer) Merchant (Payee) 7 Natification 1 Credit card info 4 عملیات پرداخت در Credit Card s Payment Instruments 1- Cash Like 2- Check Like 3- Credit Card 4- Electronic money 5- Electronic Check
  • 20.
    • Payment Instruments
    • Electronic money : معادل پول واقعی د ردنیای مجازی است که عمدتا برای پرداخت در سیستمهای ماکرو بکار می رود ، واحد پول
    • الکترونیکی ،سکه ی دیجیتالی یا الکترونیکی خوانده میشود .
    • Electronic check : عبارتست از سندی الکترونیکی
    • که داده های مقابل را در بر می گیرد :
    فصل پنجم E-Payment Systems Electronic Money e-cash Digital cash Digital money Digital/electronic currency مثال : سیستم اختاپوس و Pay Pall امضای الکترونیکی دریافت کننده امضای الکترونیکی پرداخت کننده واحد پولی چک تاریخ انقضای چک تاریخ چک مبلغ چک نام گیرنده چک نام بانک دارای حساب شماره حساب دارنده حساب نام صادر کننده چک شماره چک Electronic Check
  • 21.
    • Payment Instruments
    • Cash Like : در سیستم پرداخت الکترونیکی حساب مشتری را چک می کند و بعد از حساب برداشت میکند و بعد از این فروشنده کالای فروخته شده را در اختیار مشتری قرار میدهد .
    • Electronic Wallet
    • یک electronic wallet ، واسطی برای ذخیره سازی اطلاعات کارت اعتباری یاهراطلاعات مالی دیگر است .
    • نام دیگر آن کیف پول الکترونیک است که دقیقا مشابه یک کیف پول در دنیای واقعی است .
    • در electronic wallet هم پول دیجیتال و هم کارتهای بانکی میتوانیم داشته باشیم . مثل Pay Pall و Google Check out
    فصل پنجم E-Payment Systems s s Issuer Bank Acquirer Bank Interbank(clearing) network 4 settlement Interbank settlement account 3 Endorsed check Customer (Payer) Merchant (Payee) 1 Invoice 2 Signed Check Check Like 5 s Payer Payee
  • 22.
    • مشکلات در پرداخت الکترونیک :
    • 1- سوء استفاده از اطلاعات کارت اعتباری
    • 2- تغییر پیامها در شبکه توسط حمله کنندگان بطوریکه با تغییر اطلاعات روند تجارت الکترونیک دچار مشکل شود
    • 3- وجود فروشندگان ناصادق که از اطلاعات کارت اعتباری سوء استفاده میکنند .
    فصل ششم 1-Payment authorication 2-Payment Integrity 3-Payment Authorization 4- Payment confidentiality نیاز های امنیتی یک سیستم پرداخت الکترونیک در هنگام پرداخت : امنیت پرداخت الکترونیکی سرویسهای امنیت پرداخت الکترونیک : سرویسهای امنیت عملیات پرداخت سرویسهای امنیت پول دیجیتال سرویسهای امنیت چک دیجیتال بینامی کاربر عدم قابلیت رهگیری مکان بینامی پرداخت کننده عدم قابلیت رهگیری عملیات پرداخت محرمانگی اطلاعات پرداخت عدم انکار پرداخت تازگی اطلاعات عملیات پرداخت
  • 23.
    • بینامی کاربر ( User anonymity ):
    • از افشا شدن اطلاعات نام کاربر در عملیات پرداخت ممانعت میکند . یک راه ، استفاده از شبه نام است .
    • عدم قابلیت رهگیری مکان ( Location Untraceability ) :
    • قابلیت پیاده سازی آن از طریق مسیر دهی پیامهای پرداخت از طریق یک سری Host میانی انجام میشود .
    فصل هفتم A B C X Y Z l مکانیسم بینامی کاربر و عدم قابلیت ردیابی مکان : Mix1 Mix4 Mix7 Mix5 Mix2 Mix8 Mix6 Mix3 Mix9 امنیت عملیات پرداخت
  • 24.
    • فرمول زیر پیامهایی که باید بین Mix های مختلف از مبدا تا مقصد تولید کنیم را به ما ارائه می دهد
    • A Mix1 : E1(Mix2,E2(Mix3,E3(Y,Message)))
    • Mix1 Mix2 : E2(Mix3,E3(Y,Message))
    • Mix2 Mix3 : E3 (Y,Message)
    • Mix3 y : Message
    فصل هفتم mix A B C X Y Z مکانیسم جدید بینامی کاربر و عدم قابلیت ردیابی مکان : M : Public key of mix E : encryption function Mix: mix address Y : public key of y امنیت عملیات پرداخت
  • 25.
    • بینامی پرداخت کننده ( Payer anonymity ) :
    • از طریق استفاده از نام مستعار برای پرداخت کننده در پرداخت بدست می آید .
    • شبه نامها اولین بار توسط first virtual holding استفاده شدند که به شکل زیر عمل میکرد :
    فصل هفتم s s Issuer Bank Acquirer Bank Interbank(clearing) network 9.clearing 3.Yes 5.Transaction info Customer Merchant 8a.Withdrawal 1.Buy(VPIN) 4.Supply services عملیات پرداخت در first virtual امنیت عملیات پرداخت FV 2.VPIN OK? 7.Yes 6.Yes/No/Froud? 8b.Depositl این شرکت منحل شد و به تدریج نامهای مستعار کنار گذاشته شدند .
  • 26.
    • قابلیت عدم رهگیری عملیت پرداخت ( Payment transaction untraceability ) :
    • یعنی فروشنده نتواند با پرداختهای مختلف ، مشتری را شناسایی کند . برای این کار مشتری یک عدد تصادفی بنام RSC را با اطلاعات بانکی خود BAN در یک hash runction وارد و یک شبه نام بنام IDC بدست می آورد . چون در هر تراکنش یک RSC متفاوت وارد میشود پس هر بار نیز یک IDC متفاوت بدست آمده و مشتری را نمی توان از روی پرداختها پیگیری نمود و فروشنده نمی تواند 2 یا جند عملیات پرداخت را به یک مشتری ربط دهد .
    • IDC = hk(Rc , BAN)
    • محرمانگی داده های عملیات پرداخت ( confidentiality of payment ) :
    فصل هفتم امنیت عملیات پرداخت برای اینکه اطلاعات خرید از دید بانک و اطلاعات بانک از دید فروشنده مخفی بماند روش زیر را داریم : مخفی ماندن اطلاعات بانک از دید فروشنده مخفی ماندن اطلاعات خرید از دید بانک داده های عملیاتی Payment Instruction Order Information Payment acqurer bank Issuer bank gateway فقط در اختیار این 3 گروه قرار میگیرد در اختیار فروشنده Pseudorandom function IDC = hk(RC , BAN) HK(SALTC , DSC)
  • 27.
    • SET ( Secure electronic transaction ):
    • وظیفه حفظ محرمانگی اطلاعات در یک خرید و فروش آنلاین . ویژگی دو امضایی
    فصل هفتم امنیت عملیات پرداخت PI OI H H OIMD PIMD II H POMD E Dual Signature KRc PI = Payment Information OI = Order Information H = Hash function(SHA-1) II = Concatention PIMD = PI message digest OMID = OI message digest POMD = Payment Order message digest E = Encryption (RSA) KRc = Customers privatesignature key
  • 28.
    • عدم انکار پیامهای عملیات پرداخت ( nonrepudiation ) :
    • از طریق استفاده از نام مستعار برای پرداخت کننده در پرداخت بدست می آید .
    • شبه نامها اولین بار توسط first virtual holding استفاده شدند که به شکل زیر عمل میکرد :
    فصل هفتم Nonrepudiation messages امنیت عملیات پرداخت payer payee Acquirer Payers Payment Auth. Payers Payment Auth. Payees Payment Auth. Acquirers Payee Auth. Acquirers Payment Auth. Acquirers Payee Auth. Acquirers Payment Auth. Payees Payment Auth.
  • 29.
    • زیر ساخت ارتباطات برای تبادل اطلاعات تحلیل میشود که معمولا این زیر ساخت شبکه کامپیوتری است .
    • ااطلاعات در شبکه های کامپیوتری در قالب Packet ، PDU(Protocol Data Unit) منتشر شده است .
    فصل هشتم Communication security Process/ Application Transport Internet Network access S/MIME,S-HTTP Secure TELNET Secure RPC SASL,SSH SSL/TLS IP AH , IP ESP [CHAP,EAP] Link encryptio MAC address filterng Security mechanisms at different layers packet header trailer payload مدل های شبکه های ارتباطی OSI TCP/IP App. Presentation Session Transport Network Data Link Physical
  • 30. فصل هشتم Communication security Trojan horse Trap door Logical bomb Bacteria Worm Macros & Executable content Virus Malicious Program برنامه های مخرب تهدیدهای امنیتی روی شبکه Eaves dropping on a payload Tampering with a payload Tampering with control information Replaying Traffic analysis Denial of service Masquerading Infilteration