
پروتکل امن تجارت الکترونیک
قسمت اعظم امنیت در وب به پروتکلهای استفاده شده برمیگردد و داشتن پروتکلهای مورد پذیرش عام برای ایمنسازی تجارت الکترونیک ضروری به نظر میرسد. کلمۀ پروتکل بسته به زمینۀ آن تعاریف متفاوتی دارد. در کل میتوان گفت که به منظور برقراری ارتباط اشخاص برای اهداف مختلف، ازجمله تجارت از طریق وب، آنها باید برروی یک فرمت پیام توافق نموده و شیوههای رایج برای تبادل این پیامها را تعریف نمایند. از همین رو در حوزۀ ارتباطات کامپیوتری، یک پروتکل، مجموعهای رسمی از قوانین است که به توصیف اینکه چه طور کامپیوترها، دادهها را انتقال میدهند و از طریق شبکه ارتباط برقرار میکنند، میپردازد. در واقع پروتکل قالب پیام و قوانین برای تبادل پیامها را تعریف مینماید (ناهاری و کراتز، 2011).
باتوجه به تعاریف مطرح شده در این حوزه، برای اجرای پروتکلها شرایطی مطرح است که برخی از آنها عبارتاند از:
- در اجرای پروتکل لزوماً باید دو یا چند طرف مشارکت داشته باشند؛ انجام یک دسته از مراحل توسط تنها یک نفر پروتکل نامیده نمیشود.
- طرفهای درگیر در انجام یک پروتکل، باید از اینکه در حال اجرای آن پروتکل هستند با خبر باشند و مراحلی را که باید در آینده انجام دهند، بدانند.
- تمام طرفهای شرکت کننده در اجرای پروتکل باید برای ادامه اجرای پروتکل توافق داشته باشند.
- مراحل پروتکل باید به طورکاملاً دقیق و شفاف بیان شده و فعالیتهای لازم در هر مرحله از اجرای پروتکل، دقیقاً معین شده باشد.
- مراحل اجرای پروتکل باید به صورت کاملاً دنبال هم و یکی پس از دیگری اجرا شود، درستی ترتیب اجرای مراحل یکی از لوازم پروتکل است.
- باید در پروتکل، برای تمام حالتهای مختلف ممکن، پیشبینی مناسبی انجام شده باشد. به بیان دیگر، پروتکل باید جامع باشد.
- یک پروتکل دارای هدف نهایی است و برای تأمین آن هدف طراحی شده و پایان اجرای مراحل پروتکل باید ملازم نیل به آن هدف باشد.
- مراحل پروتکل نباید طوری باشد که طی اجرای آنها، طرفین، کاری بیش از آنچه لازم است، انجام دهند و یا به اطلاعاتی که دانستن آنها ضروری نیست، دست یابند (جعفری، 1385).
در ادامه برخی از پروتکلهای امنیتی مطرح را مورد بررسی قرار میدهیم.
یکی از پروتکلهای مورد استفاده در حوزۀ امنیت SSL، است که به منظور تشخیص هویت و رمزگذاری دادهها جهت اطمینان از حفظ حریم شخصی و محرمانه ماندن توسط نت اسکیپ در گواهینامههای استاندارد ابداع گردیده است. این پروتکل امکان رمزگذاری شمارۀ کارت اعتباری و انتقال اطلاعات بین وب سرورها و مرورگرها را ایجاد میکند. در سال 1996، SSL به TSL تغییر نام داد اما هنوز بسیاری از مردم از نام SSL استفاده میکنند (صنایعی،1387).
از سوی دیگر یکی از پروتکلهای مطرح در حوزۀ پرداخت و دادوستد، پروتکلSET، میباشد. این پروتکل استاندارد که برای اینترنت طراحی گردیده، امنیت سطح بالایی را در مقابل کلاهبرداران و متقلبین آنلاین ایجاد میکند. درواقع میتوان گفت که پروتکل SET، محرمانه بودن اطلاعات، ادغام دادهها، تأیید صحت و شناسایی و درستی موارد مالی در داد و ستدها را فراهم میآورد. پروتکل SET از الگوریتمهای رمزگذاری و کلید عمومی پیشرفته برای رد و بدل ایمن و محرمانۀ اطلاعات استفاده میکند (کورپر و جوانیتا، 1380).
از دیگر پروتکلها میتوان به پروتکل http اشاره کرد که برای انتقال فرآمتنی[1] بدون امنیت فراهم شده است. پروتکل https نسخه امن شدۀ http است که از PEM و Pkcs#7 استفاده مینماید (بختیاری، 1383).
لی و همکارانش (2012)، پروتکل مطرح شده توسط سود و همکارانش (2011) را که یک پروتکل تصدیق هویت میباشد، به چالش کشیدند و نقصهایی مانند آسیب پذیری نسبت به حملۀ نشت تصدیق کننده (یک مهاجم که رمز عبور تصدیق کننده را از سرور دزدیده است، میتواند برخی اطلاعات مفید را استفاده نموده یا میتواند به جای تصدیق کننده به صورت یک کاربر قانونی وارد سیستم شود) و حمله به کارت هوشمند سرقت رفته (اگر کاربر کارت هوشمند خود را از دست داده باشد، مهاجم میتواند اطلاعات ذخیره شده در کارت هوشمند را استخراج و به راحتی رمزعبور کارت هوشمند را تغییر دهد) را مطرح کردند و در نهایت برای غلبه بر نقصهای امنیتی پروتکل مطرح شده توسط سود و همکارانش، از یک اهراز هویت پویا و امن، براساس پروتکل تصدیق هویت استفاده نمودند.
[1] Hyper-Text
