Iranian Futurist 
Iranian Futurist
Ayandeh-Negar
Welcome To Future

Tomorow is built today
در باره ما
تماس با ما
خبرهای علمی
احزاب مدرن
هنر و ادبیات
ستون آزاد
محیط زیست
حقوق بشر
اخبار روز
صفحه‌ی نخست
آرشیو
اندیشمندان آینده‌نگر
تاریخ از دیدگاه نو
انسان گلوبال
دموکراسی دیجیتال
دانش نو
اقتصاد فراصنعتی
آینده‌نگری و سیاست
تکنولوژی
از سایت‌های دیگر


بانکداري اينترنتي و چالش هاي امنيتي

اگر عضو یکی از شبکه‌های زیر هستید می‌توانید این مطلب را به شبکه‌ی خود ارسال کنید:
Facebook Twitter Google Yahoo Delicious بالاترین دنباله

[30 Oct 2007]   [ فرنود حسني]

1. مفاهيم اوليه


بانک الکترونيکي چيست؟


همانطور که پيش تر اشاره شد، در بانکداري سنتي خدمات مورد نياز مشتري در ساختمان بانک و در ساعت هاي اداري که به صورت کلي بين 8 صبح تا 7 بعد از ظهر ارائه مي شود. مشتريان هيچگاه از اين شرايط راضي نيستند. آنها در طول روز در محل کار هستند و بعد از آن به کارهاي مربوط به خود و خانواده اشان مي پردازند و در اين حالت يک تضاد آشکار بين خواسته هاي آنها و توانايي هاي ما به عنوان خدمات دهنده بانکي  شکل مي گيرد. براي اين مسئله چه مي توان کرد؟پاسخ منطقي استفاده از کانال هاي الکترونيکي همچون اينترنت، شبکه هاي تلفن همراه مبتني بر پروتکل هاي کاربردي بي سيم[9]، تلفن هاي خودکار، شبکه خودپرداز ها، پيام رساني با نمابر[10] و سرويس هاي پيام کوتاه[11]، کيوسک هاي اطلاع رساني چند منظوره، تله وب و...است. چرا که اين سرويس ها امکان انجام تراکنش ها را در هر مکاني و بدون محدوديت زماني فراهم مي کنند. بانک الکترونيکي کسب و کار بانکداري تغيير شکل يافته اي به سوي کسب و کار الکترونيک است که به واسطه کانال هاي الکترونيکي مورد اشاره صورت مي پذيرد. در اين شيوه ما مي توانيم آنچه درخواست مشتريان مي باشد را در اختيارشان قرار دهيم که شامل: فعاليت بدون محدوديت زماني و انعطاف پذيري بالا مي باشد.


البته اين تنها مزيت بانکداري الکترونيکي نيست. شما همچنين اين امکان را خواهيد داشت که به توسعه بازار خود (حتي در خارج از کشور) بپردازيد زيرا شما ديگر محدود به ساختمان هاي فيزيکي بانک نخواهيد بود بنابراين از همه توانمندي و ظرفيت اينترنت( يا همان دنياي مجازي بدون مرز) استفاده کنيد. همچنين شما مي توانيد تراکنش هاي مالي بيشتري را مورد پردازش قرار دهي و سرانجام باعث کاهش هزينه هاي خود تا حد قابل توجهي بشويد.



شکل 1- هزينه هاي بانک براي هر تراکنش (منبع: ABA99)


 


همانطور که در شکل 1 مشاهده مي کنيد بانک در هر تراکنش شعبه هزينه اي در حدود 07/1 دلار و در کمترين مقدار مبلغي در حدود يک سنت براي تراکنش از طريق اينترنت، فناوري هاي بي سيم روي رايانه هاي شخصي، رايانه هاي قابل حمل کوچک تلفن همراه يا تله وب صرف مي کند.


بانکداري اينترنتي... و بانکداري الکترونيکي


دو روش يا نوع مختلف براي بانکداري الکترونيکي معرفي شده است: بانکداري اينترنتي و بانکداري الکترونيکي.


بانکداري اينترنتي شيوه اي است که معمولاً بوسيله يک رايانه شخصي که از طريق اينترنت به وب سايت بانک متصل مي شود صورت مي گيرد. به عنوان نمونه مشتري در خانه به وسيله يک مودم ،يک خط تلفن( يا ساير روش هاي مخابراتي اتصال) و يک سرويس دهنده خدمات اينترنتي به وب سايت بانک مورد نظر خود دسترسي پيدا مي کند. بانکداري اينترنتي همچنين مبتني بر فناوري بي سيم از طريق دستيارهاي ديجيتال شخصي[12] يا تلفن هاي همراه باشد.


بانکداري الکترونيکي که شامل استفاده از دستگاه هاي خودپرداز[13]، تلفن يا کارت هاي پيش پرداخت يا بدهي[14] مختلف است. کارت هاي بدهي همانند کارت هاي اعتباري به نظر مي رسند اما برخلاف آنها، استفاده از يک کارت بدهي باعث تمام شدن موجودي حساب بانکي شما خواهد شد.


نيازي به توضيح اينکه چرا اينترنت يک کانال ارتباطي الکترونيکي بسيار مهم محسوب مي شود نيست. روز به روز افراد بيشتري به اينترنت دسترسي مي يابند و از آن استفاده مي کنند. در انتهاي سال 2001 ميلادي چيزي در حدود 670 ميليون کاربر اينترنت در سراسر دنيا وجود داشت همچنين در انتهاي سال 2003 ميلادي 54 درصد از جمعيت آمريکا(143 ميليون نفر) از اينترنت استفاده مي کردند و هر ماه دو ميليون نفر به جمع کاربران اينترنت افزوده مي شود.


و بر اساس آخرين آمار ها در  سال 2006 ميلادي چيزي در حدود يک ميليارد و دويست ميليون کاربر اينترنت در دنيا وجود خواهد داشت.


امروزه با استفاده از بانکداري اينترنتي شما مي توانيد خدماتي همچون دسترسي به اطلاعات حساب، مرور صورتحساب ها، جابه جايي وجوه، درخواست اعتبار يا داد و ستد هاي امن را ارائه دهيد. با استفاده از بستر هاي بانکداري مبتني بر وب در اينترنت شما مي توانيد مشتريان خود را از صحت چک ها، سر رسيد بدهي ها، ضمانت نامه ها، بهترين راه کارهاي دريافت وام و مقايسه خدمات بيمه آکاه سازيد.


در کنار همه اين امکانات که بدون محدوديت زماني و به صورت شبانه روزي و 365 روز در سال قابل ارائه به تعداد زيادي از مشتريان است اين ارزش براي مشتري فراهم خواهد شد تا ديگر وقت خود را در صف هاي طولاني صرف نکند.


برخي حقايق


در اروپا چيزي بيش از 12 ميليون نفر در زمينه بانکداري اينترنتي به فعاليت مشغول هستند. به عنوان نمونه در آلمان 51 درصد از افرادي که با اينترنت سرو کار دارند از خدمات بانکداري الکترونيکي استفاده مي کنند   ] Jupiter00 [ .


فعالان بانکي آمريکا به خوبي از اهميت بانکداري اينترنتي آگاه هستند. سرمايه گذاري بانک ها روي فناوري هاي بانکداري الکترونيکي در سال 2000 در سطح 500 ميليون دلار بود و براي توسعه اين بخش طبق برنامه ريزي هاي انجام شده تا سال 2005 به سطح 2 ميليارد دلار رسيد] [Green00.


بانک هاي قدرتمند ايالت هاي مختلف آمريکا حضور پر رنگ تري در وب دارند. طبق گزارش شرکت بيمه سرمايه کذاري دولت فدرال[15] فقط 5 درصد بانک ها با سرمايه و دارايي کمتر از 100 ميليون دلار داراي بخش هايي از خدمات برخط هستند، در حاليکه در بانک هاي قوي با سرمايه حدود 10 ميليارد دلار اين رقم به 84 درصد مي رسد[FDIC01].


توجه کنيد که حضور برخط شاخص و معياري براي شناخت توانمندي يک بانک در ارائه تراکنش هاي بر خط نيست. حضور برخط مي تواند شامل انتشار اطلاعات مختلف بانک در وب باشد.مثلاً در سال 2000 از 100 بانک برتر ايالات متحده، 36 درصد آنها هيچگونه حضوري نداشتند، 41 درصد تنها اطلاعاتي را ارائه مي کردند و تنها 23 درصد آنها به طور کامل تراکنش هاي مبتني بر وب انجام مي دادند.


به طور کلي در آن سال، حدود 1100بانک کوچک و بزرگ آمريکا توانايي انجام کامل تراکنش هاي بانکداري برخط را داشتند.

































سرمايه(دلار)


تعداد بانک ها


حضور برخط(درصد)


کمتر از 100ميليون


5.912


5


100 تا 500 ميليون


3.403


16


500ميليون تا 1 ميليارد


418


34


1 تا 3 ميليارد


312


42


3 تا 10 ميليارد


132


52


بيش از 10 ميليارد


94


84


شکل 2- حضور در بانکداري برخط.منبع: [FDIC01]


2. مشکلات امنيتي


بانکداري اينترنتي و انواع ديگر بانکداري برخط، مزيت هاي مختلفي همچون بهبود کارايي، سرعت و آساني کار را به همراه دارد. اما با شکل گيري اينترنت به عنوان يک شبکه عمومي، ما با مباحث جديدي پيرامون محرمانگي و امنيت اطلاعات مواجه بوده ايم. عموماً بانکداري برخط مي تواند مخاطره هاي فراواني براي موسسات و بنگاه هاي اقتصادي به همراه داشته باشد و اين مخاطره ها با گزينش و انتخاب يک برنامه جامع مديريت ريسک قابل کنترل و مديريت خواهد بود.


بانکداري الکترونيکي متکي بر محيط مبتني بر  شبکه است. همانطور که پيشتر ذکر شد، دسترسي به شبکه با استفاده از ترکيبي از ابزار و وسائل مانند رايانه هاي شخصي، تلفن ها، تجهيزات تعاملي تلويزيوني و کارت هاي رايانه اي مختلف امکان پذير مي باشد. ارتباطات در ابتدا توسط خطوط تلفني، کابل ها و برخي از سيستم هاي بي سيم ميسر بود.


اين سيستم ها چه اطلاعاتي و چه تراکنشي باعث آسان شدن ارتباط کاري بانک و مشتريان مي شوند و اغلب توسط سرويس دهنده اي به عنوان شخص سوم ارائه مي شوند. با اين وجود همه شبکه ها درجه مخاطره و آسيب پذيري يکساني ندارند.


موضوع قابل توجه حملات شبکه اي داخلي به صورت بالقوه خطرناکتر هستند زيرا دسترسي پرسنل بانک ها که در سمت هاي مختلف کار مي کنند به منابع اطلاعاتي مهم رايانه هاي بانک دسترسي دارند. با کمي اطلاعات مربوط به عمليات بانکي يک حمله کننده داخلي مي تواند به سيستم هاي جابه جايي پول به صورت مستقيم دسترسي پيدا کند. بنابراين آنچه که يک موسسه مالي در اولين گام امنيتي خود بايد مورد توجه قرار دهد بررسي و ارزيابي مسائل امنيتي در شبکه داخلي است.


اينترنت، همانطور که پيش از اين اشاره شد يک شبکه عمومي و سيستم باز است که هويت کاربران آن به اساني قابل شناسايي نيست. به علاوه اينکه مسيرهاي ارتباطي آن فيزيکي نيستند و مي تواند مورد حملات و مزاحمت هاي بي شماري بشود.  گرک[16] مي گويد:" ارتباطات اينترنتي همانند کارت پستال هاي ناشناسي است که توسط يک گيرنده ناشناس دريافت مي گردد." هر چند که ممکن است اين کارت پستال توسط هر کسي مطالعه شود اما بايد پيام به صورت محرمانه و  امن به مقصد نهايي ارسال شود [Gerck00]. به طور کلي مي توان سه مشکل اصلي را از نقطه نظر امنيتي معرفي نمود.


1.                                 Spoofing –” چگونه مي توانيم به مشتري اين اطمينان را بدهيم که با ورود به سايت و انجام معامله در آن، شماره رمز کارت اعتباري وي مورد سرقت و جعل قرار نخواهد گرفت؟"


2.                                 Eavesdropping-" چگونه مي توانيم مطمئن شويم که اطلاعات شماره حساب مشتري ما هنگامي که براي يک معامله امن در وب اقدام مي کند، قابل دستيابي براي متخلفان نيست؟"


3.                                 Data alteration-" چگونه مي توانيم يقين حاصل کنيم که اطلاعات شخصي ما توسط متخلفان قابل تغيير نيست؟"


بنابراين ما با موضوعات گوناگوني مواجه هستيم: گواهي يا تاييد براي ممانعت از فريبکاري، محرمانگي براي جلوگيري از جعل، پيوستگي و صحت داده ها براي ممانعت از تغيير آنها و عدم رد و انکار براي ممانعت از کذيب موارد پيشين.


راه حل جلوگيري از اين مشکلات استفاده از گواهي هاي ديجيتالي و امضاي ديجيتالي براي وب سرور ها مي باشد که امکان تشخيص صحت و پيوستگي داده ها را فراهم مي کند و از الگوريتم هاي رمزنگاري براي تامين محرمانگي داده ها استفاده مي کند. پروتکل امنيتي [17]SSL  در مرورگر وب شما از تمام اين تکنيک ها براي دستيابي به ارتباطات امن و قابل اطمينان استفاده مي کند.


مشاهده نشاني وب يک سايت با Http به علاوه يک S يعني Https نشان دهنده امنيت سايت است و به اين مفهوم است که در کدنويسي سايت مسائل رمز نگاري لحاظ شده است. اين ويژگي به وسيله يک قفل يا کليد کوچک در پايين صفحه بيشتر مرورگر ها نمايش داده مي شود.


در اينجا به چند نمونه از هشدارهاي امنيتي که هر کسي مي تواند آنها را مورد توجه قرار دهد اشاره مي کنيم.(اين موارد توسط بانک مرکزي شيکاگو ارائه شده است).




  • پيش از انجام هرگونه تراکش برخط يا ارسال اطلاعات شخصي مطمئن شويد که نقل و انتقال وجوه رمزنگاري شده است.(به نکته اشاره شده در مورد پروتکل SSL توجه فرماييد)


  • ايميل ها معمولاً امن نيستند. ارسال اطلاعات شخصي مانند شماره تامين اجتماعي، شماره شناسايي شخصي يا شماره حساب به وسيله ايميل کار عاقلانه اي نيست مگر اينکه رمزنگاري شده باشد. از سوي ديگر شما بايد هر گذرواژه[18] و شماره شناسايي شخصي[19] را که از ايميل هاي رمز نگاري نشده دريافت مي کنيد تغيير دهيد.


  • مطمئن شويد که شما در وب سايت معتبري هستيد. جاعلان الکترونيکي، وب سايت هايي با نام هاي مشابه و ظاهر گول زننده براي دريافت اطلاعات شخصي افراد راه اندازي مي کنند.


  • در صورت امکان از گذرواژه هاي هوشمند که ترکيبي از حروف، اعداد و نشان ها هستند براي بالابردن امنيت کار استفاده نماييد و در بازه هاي زماني مشخصي نسبت به تغيير اين گذرواژه هاي اقدام نماييد. گذرواژه يا شماره شناسايي خود را در اختيار هيچکس قرار ندهيد و از انتخاب گذرواژه هايي همچون شماره شناسنامه، اسم خود يا نزديکانتان و... که با سادگي قابل حدس زدن مي باشند خود داري کنيد. 


  • اعلاميه ها و هشدارهاي مربوط به کارتهاي اعتباري و بدهي بانک خود را مرتب بررسي کنيد و اطلاعات مربوط به تراکنش هاي بانکي خود را کنترل کنيد. بر اين اساس مي توانيد صورت هاي مالي خود را با اطلاعات ارائه شده از سوي بانک مقايسه کنيد و تفاوت هاي احتمالي را مشخص سازيد.


  • خطاها و مشکلات احتمالي را گزارش دهيد.


  • از نرم افزارهاي ضدويروس به روز استفاده کنيد. از فايل هاي اصلي اطلاعات رايانه خود نسخه هاي پشتيبان تهيه نماييد.


  • پس از اتمام کار بانکي خود در اينترنت رايانه را به حال خود رها نکنيد يا فقط به بستن صفحه مرورگر خود اکتفا نکنيد حتماً با استفاده از دکمه خروج از سيستم[20] از سايت خارج شويد.


  • هنگام کار در بانک اينترنتي خود از ساير مرورگر ها را استفاده نکنيد.


  • هيچگاه اطلاعات شخصي خود را مانند کارت اعتباري يا شماره تامين اجتماعي خود را بدون آگاهي از اينکه چه کسي آنها را دريافت مي دارد، چرا آنها به اين اطلاعات نياز دارند و چه برنامه اي براي استفاده از اين اطلاعات دارند فارش نسازيد.


  • فايل هايي که توسط افراد يا سايت ها ناشناس ارسال مي شوند را بر روي رايانه خود بارگذاري نکنيد و بر روي لينک هاي ارسالي آنها کليک ننماييد. گاهي وقت ها اين کار باعث ورود ويروس ها يا ويروس هاي شبه نرم افزار به رايانه شما مي شود که باعث حذف يا تغيير اطلاعات رايانه شما مي شود.

 


قوانيني وجود دارد که از مشتريان در مقابل تراکنش هاي غيرمجاز حمايت مي کند نظير تراکنش هايي که در بانکهاي اينترنتي يا دستگاه هاي خودپرداز صورت مي گيرد. با رعايت نکته هاي ذکر شده در بالا مي توانيد  از خود در برابر دام هاي بالقوه اي که بر سر راهتان وجود خواهد داشت حفاظت کنيد و مطمئن شويد که تجربه اي بسيار امن و لذت بخش را از کار با يک بانک اينترنتي به دست خواهيد آورد.


3. حل مشکلات امنيتي


اصول رمزنگاري


رمزنگاري با استفاده از الگوريتم هاي مختلف رمزنويسي زمينه محرمانگي و پوشيدگي اطلاعات را فراهم مي کند. پايه و زمينه رياضي اين الگوريتم ها فراتر از حوصله اين مبحث است و در اينجا فقط کافي است که شما با اصول کلي ارتباطات رمز شده آشنا شويد.


نمودار ساده شده اي از مخابره امن چند پيام در شکل 3 نشان داده شده است.


 


شکل3- نمودار ساده مخابره رمز شده داده ها [Mastering E-Business Implementation:179]


توضيح: يک جفت کليد در اين فرآيند براي رمزنگاري و رمزگشايي استفاده مي شود. ارتباط بين اين دو بستگي به رويکردي است که ما دنبال مي کنيم.


ما در اين فرآيند کار را با يک پيام ساده آغاز مي کنيم و با استفاده از برخي الگوريتم ها و کليد ها آن را سري مي نماييم. سپس آزادانه آن را به يک کانال غير امن به سوي ساير بخش هاي ارتباطي ارسال مي کنيم سپس مرحله کشف رمز با استفاده از الگوريتم هاي رمزگشايي ( و کليد هاي اختصاصي) انجام مي گيرد تا پيام به شکل اوليه خود بازگردد.


براي تشريح کليدهاي استفاده شده در فرآيند رمزنگاري و رمزگشايي مي توان از سه رويکرد متفاوت متقارن[21]، نامتقارن[22] و پيوندي[23] را مورد توجه قرار دهيم.


در شيوه متقارن  ما از کليدهاي يکساني براي سري سازي و آشکار سازي استفاده مي کنيم. اين شيوه براي رمزنويسي تعداد زيادي داده به کار مي رود چرا که به لحاظ سرعت محاسبات از ساير روش هاي موجود سريع تر است اما با يک مشکل در توزيع کليد  ها مواجه است ( ما به يک راه امن و محرمانه براي توزيع همه کليدهاي فعال در بخش ارتباطات نيازمنديم که دست يافتن به آن کار ساده اي نيست).


بهترين الگوريتم در شيوه متقارن [24]DES يا رمزنويسي استاندارد داده مي باشد که توسط شرکت IBM و اداره ملي استاندارد آمريکا در سال 1997 توسعه داده شده است.


اين الگوريتم به صورت خيلي خوبي طراحي شده است اما در اثر گذشت زمان کنار گذاشته شده است و ديگر توسط کارشناسان امنيت در سراسر جهان مورد استفاده قرار نمي گيرد. در سال 2000 الگوريتمي توسط جان دامين[25] و وينسنت ريجمن[26] بر اساس الگورتيم DES توسعه داده شد که تحت عنوان [27]AES يا استانداردهاي پيشرفته رمزنويسي به عنوان معياري جديد در رمزنويسي متقارن، نامگذاري شد.


در رويکرد نامتقارن، کليد عمومي گيرنده براي رمزنگاري در سمت ارسال کننده به کار رفته و دريافت کننده از اين کليد خصوصي براي رمزگشايي استفاده مي کند. اين شيوه رمز نگاري براي رمزنويسي داده هاي کوتاه بسيار راحت است چرا که از نظر سرعت محاسبات از ساير شيوه ها کندتر است. جالب اينجاست که ما با مشکلات متعددي با  توزيع کليد هاي مواجه نيستيم زيرا کليد عمومي مي تواند آزادانه در هر کانالي حتي موارد ناامن آن توزيع شود. مشهورترين الگوريتم نامتقارن RSA است  که توسط سازندگان آن رونالد ريوست[28]، ادي شامير[29] و لئونارد آدلمان[30](در سال 1997) نامگذاري شد. به طور کلي اصول رمزنگاري نامتقارن، در سال 1976 توسط وايتفيلد ديفي[31] و مارتين هلمن[32] پايه گذاري شد.


سوم، رويکرد پيوندي است که تلاش مي کند جنبه هاي خوب هر يک از شيوه هاي ذکر شده را مورد توجه قرار دهد. اين روش رويکرد نامنتقارن را براي عبور کردن کليد هاي متقارن استفاده مي کند و پس از آن از اين کليد هاي متقارن براي رمزنگاري داده ها(با سرعت خوب)استفاده مي کند. اين رويکرد در مدل امنيتي SSL به کار برده شده است.


همانطور که مي بينيد موضوع اين نيست که ما کدام رويکرد را در مديريت کليد هايي مشکل داريم برگزينيم. در رويکرد متقارن مشکلي براي توزيع کليد ها وجود دارد چرا که ما هنوز مجبوريم راههايي براي جداسازي کانالهاي امن (نه لزوما کانال هاي الکترونيکي) براي بيرون دادن کليد متقارن پيدا کنيم. از سوي ديگر با وجود اينکه کليدهاي عمومي مي توانند حتي در کانالهاي غير امن نيز توزيع شوند ما با امنيت اجباري کليد عمومي و دارنده آن مواجه هستيم. به زودي خواهيد ديد که اين اجبار در دو گواهي ديجيتالي لحاظ شده است. پيش از هر چيز ما بايد بخش  مهمي از اين پازل را تشريح کنيم.


امضاي ديجيتالي


اگر به خاط داشته باشيد ما گفتيم که رمزنگاري باعث حفظ محرمانگي اطلاعات مي شود اما در مورد امنيت آنها چه؟ از ديدگاه امنيت ما بايد به سه دستاورد مهم در ارتباطات الکترونيکي خود دست پيدا کنيم.




  • Origin authentication- آيا پيام از سوي فرستنده اعلام شده ارسال گرديده است.


  • Data-integrity authentication- براي بررسي اينکه آيا پيام ها پيش از ارسال تغيير يافته اند.


  • Non-repudiation- براي پيشگيري از تکذيب فعاليت هاي قبلي.

به طور کلي امضاي ديجيتالي با هدف فراهم کردن سنديت و صحت داده ها در اسناد الکترونيکي طراحي شده است.


فرآيند شکل گيري امضاي ديجيتالي در شکل 4 نمايش داده شده است. مسير اصلي کار با يک پيام (شامل هر گونه داده اي که بايد به صورت ديجيتالي امضا شود) که مي تواند طول هاي مختلفي (از نظر بيت) باشد. گام اول ايجاد يک پيام بخش بخش با استفاده از الگوريتم جدا سازي يک سويه مانند [33]MD5 است که توسط RSA توسعه يافته يا الگوريتم جداساز امن يک[34](SHA-1)  که توسط NIST توسعه داده شده است.


اين الگوريتم ها بر مبنايي طراحي شده اند که کار جداسازي را با طول هاي ثابتي معمولاً 128 يا 160 بيت انجام دهند. وقتي پيام جداسازي شده آماده شد آن را به وسيله کليد هاي محرمانه رمزنگاري مي کنيم و بايت هاي حاصل از اين فرآيند چيزي است که به آن امضاي ديجيتال مي گوييم.


بسيار خوب، ما امضاي ديجيتال را ايجا کرديم، اما اکنون چه؟ همانند زندگي واقعي زماني که ما اسنادي را امضا مي کنيم اين امضاء به سند پيوست شده و همراه پيام در يک کانال ناامن ارسال مي شود. از اينجا به بعد اين گيرنده سند است که امضاي ديجيتالي را استفاده مي کند و صحت پيام دريافتي را کنترل مي نمايد.


 


شکل4- فرآيند شکلگيري امضاي ديجيتال [Mastering E-Business Implementation:181]


 


شکل 5- فرآيند تاييد پيامي که امضاي ديجيتال شده است.


 [Mastering E-Business Implementation: 182]


شرح:  PRK- کليد محرمانه


         PBK- کليد عمومي


          HA- الگوريتم جداسازي


          DS- امضاي ديجيتال


       Msg*- پيام دريافتي


       DS* - امضاي ديجيتال دريافتي


فرآيند تاييد در شکل 5 نمايش داده شده است. در سمت گيرنده ما بسته پيام و يک امضاي ديجيتال را دريافت مي کنيم. در ابتدا از کليد عمومي فرستنده را براي رمزگشايي امضاي ديجيتالي استفاده مي کنيم تا به پيام بخش بخش شده برسيم. در همين زمان، ما جداسازي مجددي روي پيام انجام مي دهيم اما اين بار روي  پيام دريافتي، و الگوريتم جداسازي سمت فرستنده را مورد استفاده قرار مي دهيم. سپس اين پيام هاي بخش بخش را با هم مقايسه مي کنيم، اگر برابر بودند پيام دريافتي به درستي از سوي کاربر شناسايي شده ارسال گشته و ما مي توانيم مطمئن باشيم که هيچ مداخله اي در آن صورت نگرفته است.


در کنار خدمات گواهي صحت و درستي اطلاعات گفتيم که مکانيزم امضاي ديجيتالي ارائه دهنده سرويسي جهت غير قابل انکار شدن فرآيند مي باشد. اگر بخواهيم تعريفي براي اين فرآيند داشته باشيم مي توان چنين بيان کنيم: سروسي که مانع انکار فرآيند هاي پيشين مي شود [Mene97]. که اين کار از تکذيب فرآيند توسط کاربراني که در بخشي خاص يا همه بخش هاي يک فرآيند ارتباطي شرکت دارند ممانعت به عمل مي آورد. سرويس عدم انکار در حقيقت گواهي بر صحت و اصالت داده ها در يک فرآيند ارتباطي است که مي تواند در هر زمان به وسيله شخص ثالث مورد استناد قرار گيرد.


گواهي ديجيتال[35]


مشکلاتي که ممکن است به موجب گواهي اشتباه يا مکانيزم بدون گواهي در حملاتي که براي دسترسي به اطلاعات صورت مي گيرد در فرآيند رمزنگاري يا پروتکل هاي امن پنهان نمي ماند. به طور کلي در اتصال به سايت هاي اينترنتي  گواهي هاي يا تاييديه شناسايي يک ضرورت است.


گواهي ها لايه اي قوي بين کليد عمومي و صاحب آن (نام يا هويت) ايجاد مي کنند. گواهي ديجيتالي در واقع يک فايل ديجيتالي است که منحصراً براي شناسايي ارتباطات در اينترنت به کار مي رود. گواهي ديجيتالي توسط مراکز صدور گواهي ديجيتال (CA) که مسئوليت تعيين هويت و کليد عمومي را به عهده دارند ارائه مي شود. CA (که اصطلاحاً به آن توزيع کننده نيز مي گويند) يک نقش کلي است براي نهادهايي که خدمات صحت و مديريت گواهي ها را انجام مي دهند.


CA ها عموماً به طور مستقل عمل مي کنند و مي توانند عمومي (بانک) اقتصادي(VeriSign, Thawte و...) خصوصي ( يک شرکت خصوصي) يا شخصي باشند. در حقيقت  استاندارد گواهي ديجيتال يعني X509  بر مبناي پيشنهاد اتحاديه جهاني مخابرات[36] تعيين شده است[ITU01]. اين پيشنهاد چهارچوبي را براي تهيه خدمات مميزي اعتبار ارائه مي کند.


شکل 6- نمايي از گواهي X.509 [Mastering E-Business Implementation:185]


4. SSL (Secure Socket Layer)


پروتکل SSL براي ايجاد امنيت و محرمانگي اطلاعات در اينترنت توسعه يافته است و از همه پروتکل هاي سطح بالا همچون Telnet،FTP، HTTP پشتيباني مي کند. اين پروتکل از دو لايه تشکيل شده است: لايه Record و لايه Handshake و قادر است تا با توافق درباره کليدهاي رمزنگاري و نيز تصديق سرويس دهنده قبل از تبادل اطلاعات توسط لايه هاي بالاتر اقدام نمايد. پروتکل SSL، امنيت و تماميت کانال انتقال را با استفاده از رمز کردن، تصديق اصالت و کدهاي تصديق پيام حفظ مي کند.



شکل 7- مجراي ارتباطي و اتصال SSL (منبع:-198 Mastering E-Business Implementation)


لايه SSL Record


لايه Record در پايين ترين سطح قرار گرفته است و روي پروتکل هاي نقل و انتقال امن و قابل اطميناني همچون TCP قرار گرفته است و تامين کننده ارتباطات امن مورد استفاده در پنهان سازي داده ها با رمزنگاري متقارن و کنترل پيوستگي پيام ها با  فناوري [37]MAC مي باشد.


 


شکل 8- تصوير ساده شده فاز SSL Handshaking (منبع:-199 Mastering E-Business Implementation)


توضيح: DC- گواهي ديجيتال سرور ها


            PK- کليد عمومي سرور ها


          SSK- کليد اصلي به وجود آمده به صورت تصادفي


          SK- کليد محرمانه سرورها


لايه SSL Handshake


Handshake زماني رخ خواهد داد که يک رايانه تلاش کند از يک ارتباط SSL داشته باشد. در زمان انجام فرآيند Handshaking از سيستم رمز RSA استفاده مي شود.


درباره نقاط قوت SSL


دو نوع مختلف SSL وجود دارد: 40 بيت و 128 بيت(بستگي به طول کليد اصلي دارد). پروتکل SSL شامل دو مرحله تصديق سرويس دهنده و سرويس گيرنده است. از اين ميان، مرحله دوم اختياري است. در مرحله نخست، سرويس دهنده در پاسخ به درخواست سرويس گيرنده، گواهي تصديق خود را به همراه موارد دلخواه اش براي رمز کردن، ارسال مي کند. سپس، سرويس گيرنده يک شاه کليد توليد مي کند، آن را با کليد عمومي سرويس دهنده رمز مي نمايد و شاه کليد رمز شده را به سرويس دهنده ارسال مي کند. سرويس دهنده، شاه کليد را بازايابي کرده و با بازگرداندن يک پيغام که با کليد اصلي رمز شده است به سرويس گيرنده، خودش را تصديق مي کند. داده هاي بعدي، به وسيله کليد هاي مشتق شده از اين شاه کليد رمز مي شوند. در مرحله دوم(اختياري)، سرويس گيرنده يک دستور شناسايي به سرويس گيرنده ارسال مي کند. سرويس گيرنده بر روي دستور شناسايي که دريافت کرده است امضاي ديجيتالي خودش را توليد مي کند و آن را به همراه گواهي تصديق کليد عمومي خود به سرويس دهنده باز مي گرداند.






[1] Traditional


[2] brick and mortar


[3] Click and Mortar


[4] brick and click


[5] virtual bank


[6] Virtual


[7] Online


[8] Application Service Providers


[9] WAP=wireless application protocol


[10] Fax


[11] SMS= Short Message Service


[12] PDA= Personal Digital Assistant


[13] ATM= Automated Teller Machines


[14] Debit card


[15] FDIC


[16] Ed Gerck


[17] Secure Sockets Layer


[18] password


[19] personal identification number (PIN)


[20] Log out


[21] symmetric


[22] asymmetric


[23] hybrid


[24] Data Encryption Standard


[25] Joan Daemen


[26] Vincent Rijmen


[27] Advanced Encryption Standard


[28] Ronald Rivest


[29] Adi Shamir


[30] Leonard Adleman


[31] Whitfield Diffie


[32] Martin Hellman


[33] Message Digest 5


[34] Secure Hash Algorithm 1


[35] Digital Certificate


[36] ITU= (International Telecommunication Union)


[37] Message Authentication Code


مهندس فرنود حسني


www.Farnood.com


mail@farnood.com


مطلب‌های دیگر از همین نویسنده در سایت آینده‌نگری:


منبع:


بنیاد آینده‌نگری ایران



يكشنبه ۶ فروردين ۱۳۹۶ - ۲۶ مارس ۲۰۱۷

فرنود حسني

+ سندروم یخچال  فرنود حسني

+ دولت و نسخه جهانی شدن  فرنود حسني

+ انسان، فناوری و آینده   فرنود حسني

+ روند آینده رقابت و تقسیم بازار در نظام بانکی ایران   فرنود حسني

+ بررسي چالش هاي مديريت دانش و آموزش در فرآيند توسعه مبتني بر دانايي  فرنود حسني

+ سال 1390, سال هجرت و عصیان  فرنود حسني

+ گردشگری الکترونیک کارکردها و چالش ها  فرنود حسني

+ 1389 "سال نیک اندیشی و روشنگری"  فرنود حسني

+ کتاب مدیریت روابط عمومی الکترونیکی منتشر شد  فرنود حسني

+ در بساط اين شب مستعمل  فرنود حسني

+ ایران و کنفرانس جهانی بانکداری الکترونیکی  فرنود حسني

+ با امضای تفاهم نامه اتفاق افتاد آغاز همکاری های بانک سامان و سازمان نظام پزشکی  فرنود حسني

+ بانکداري متمرکز, راه حل جامع بانکداري الکترونيکي  فرنود حسني

+ ATM و POS ترازوي نامتوازن پرداخت الکترونيکي  فرنود حسني

+ نرخ سود و سیاست یک بام و دو هوای اقتصادی  فرنود حسني

+ آقای کروبی من نیازی به عذرخواهی شما ندارم.  فرنود حسني

+ بازارهای تهاتری الکترونیکی رویکرد نوین اقتصادی در دهکده جهانی  فرنود حسني

+ سرعت اینترنت چالش دانشجویان و دانشگاه های مجازی   فرنود حسني

+ به مناسبت 24 بهمن سالگرد سفر فروغ فرخزاد به دیگر سو  فرنود حسني

+ ترازوي نامتوازن پرداخت الکترونيکي ATM و POS   فرنود حسني

+ شاخص های مشتری مداری در بانک های ایرانی  فرنود حسني

+ دستاورد اقتصاد دولتی؛ سیستم های تمرکزگرا, قطره چکانی و صدقه ای  فرنود حسني

+ نگاهی بر وضعیت اقتصادی ایران و کارنامه دولت احمدی نژاد  فرنود حسني

+ فناوري اطلاعات و آموزش هاي غيرآکادميک  فرنود حسني

+ کاربرد مدل‌هاي کسب و کار مبتني بر فناوري اطلاعات براي کشورهاي درحال توسعه  فرنود حسني

+ تحول مدل هاي کسب و کار در عصر فناوري اطلاعات  فرنود حسني

+ نگرش استراتژيک به بانکداري الکترونيکي ضرورت اصلاح نظام بانکي  فرنود حسني

+ بانکداري اينترنتي و چالش هاي امنيتي  فرنود حسني

+ تحول مدل هاي کسب و کار در عصر فناوري اطلاعات  فرنود حسني

+ مدیریت کیفیت جامع فناوری اطلاعات  فرنود حسني

+ کنکاشي در شعر امروز:پرياي نازنين؛ اثر جاودانه الف-بامداد  فرنود حسني

+ خسته نباشيد به مديران IT کشور  فرنود حسني

+ اشتغال دغدغه دانشجويان فناوري اطلاعات  فرنود حسني

+ دوران گذار اقتصاد ايران و دستاوردهاي دولت احمدي نژاد  فرنود حسني

+ تناقض استراتژيک نشر اسکناس درشت يا توسعه بانکداري الکترونيکي!؟  فرنود حسني

+ روابط عمومي ها و سايت هاي سازماني  فرنود حسني

+ وقتي بازتاب هم فيلتر مي شود!  فرنود حسني

+ جايگاه منابع انساني در مدل توسعه دانايي محور  فرنود حسني

+ توسعه پايدار مبتني بر فناوري اطلاعات  فرنود حسني

+ جايگاه نقدينگي در نظام بانکداري الکترونيکي  فرنود حسني

+ سایت اینترنتی بانک ها و چالش های اطلاع رسانی  فرنود حسني

+ ارتش سري بررسي چالشهاي ظهور و توسعه اولين نسل جامعه اطلاعاتي-ديجيتالي ايران  فرنود حسني

+ جايگاه زبان در توسعه محتوايي  فرنود حسني

+ الکترونيک آباد  فرنود حسني

+ اطلاعات و فناوري دو روي سکه جامعه اطلاعاتي  فرنود حسني

+ بازارهاي منطقه و فرصت هاي پيش رو  فرنود حسني

+ جامعه اطلاعاتي ملي يا جامعه اطلاعاتي جهاني  فرنود حسني

+ نسخه پيچي ايراني براي جهاني شدن؛ ملي سازي در عصر اطلاعات  فرنود حسني

+ پايان کار علمي و تحقيقاتي جامعه اطلاعاتي در ايران  فرنود حسني

+ تاثير فناوري اطلاعات بر اقتصاد  فرنود حسني

+ ايران و الزامات توسعه اقتصاد ديجيتالي  فرنود حسني

+ بررسي مقايسه اي وضعيت بانکداري اينترنتي در بانکهاي ايراني  فرنود حسني

+ خصوصي سازي حلقه مفقوده رشد بانکداري الکترونيک  فرنود حسني

+ الکامپ دوازدهم و چالش هاي صنعت نمايشگاه داري در ايران  فرنود حسني

+ فرار ژن ها مخاطره آميزترين رويکرد فرار مغزها  فرنود حسني

+ يك روزنامه نگار و بلاگر گفت: برگزاري جشنواره‌هاي مختلف وبلاگ نويسي، نشان دهنده‌ي نگرش مثبت به اين حرفه در كشور است.   فرنود حسني

+ جامعه اطلاعاتي ملي يا جامعه اطلاعاتي جهاني  فرنود حسني

+ جامعه اطلاعاتي ملي يا جامعه اطلاعاتي جهاني  فرنود حسني

+ جامعه اطلاعاتي و الزامات گذار از اقتصاد سنتي به اقتصاد شبکه اي  فرنود حسني

+ معماري اطلاعات در روابط عمومي الکترونيک  فرنود حسني

+ شکاف اطلاعاتي و شکاف ديجيتالي  فرنود حسني

+ گزارش ار سمينار هم انديشي ملي مشارکت در اجلاس منطقه اي جامعه اطلاعاتي آسيا- اقيانوسيه   فرنود حسني

+ تظاهرات ديجيتالي جامعه اطلاعاتي ايران- قسمت سوم  فرنود حسني

+ تظاهرات ديجيتالي جامعه اطلاعاتي ايران- قسمت دوم  فرنود حسني

+ تظاهرات ديجيتالي جامعه اطلاعاتي ايران  فرنود حسني

+ پرياي نازنين کنکاشي در شعر امروز  فرنود حسني

+ جامعه اطلاعاتي و جوانان ايران  فرنود حسني

+ نقش آموزش در توسعه اطلاعاتي جامعه دانش مدار  فرنود حسني

+ چک ليست هاي جامعه اطلاعاتي ايران در حوزه جوانان  فرنود حسني

+ ايران و چالش هاي ورود به جامعه اطلاعاتى جهاني  فرنود حسني



info@ayandehnegar.org
©Ayandehnegar 1995