پروتکل امن تجارت الکترونیک

پروتکل امن تجارت الکترونیک

قسمت اعظم امنیت در وب به پروتکل­های استفاده شده برمی­گردد و داشتن پروتکل­های مورد پذیرش عام برای ایمن­سازی تجارت الکترونیک ضروری به نظر می­رسد. کلمۀ پروتکل بسته به زمینۀ آن تعاریف متفاوتی دارد. در کل می­توان گفت که به منظور برقراری ارتباط اشخاص برای اهداف مختلف، ازجمله تجارت از طریق وب، آنها باید برروی یک فرمت پیام توافق نموده و شیوه­های رایج برای تبادل این پیام­ها را تعریف نمایند. از همین رو در حوزۀ ارتباطات کامپیوتری، یک پروتکل، مجموعه­ای رسمی از قوانین است که به توصیف این­که چه طور کامپیوترها، داده­ها را انتقال می­دهند و از طریق شبکه ارتباط برقرار می­کنند، می­پردازد. در واقع پروتکل قالب پیام و قوانین برای تبادل پیام­ها را تعریف می­نماید (ناهاری و کراتز، 2011).

باتوجه به تعاریف مطرح شده در این حوزه، برای اجرای پروتکل­ها شرایطی مطرح است که برخی از آنها عبارت­اند از:

  • در اجرای پروتکل لزوماً باید دو یا چند طرف مشارکت داشته باشند؛ انجام یک دسته از مراحل توسط تنها یک نفر پروتکل نامیده نمی­شود.
  • طرف­های درگیر در انجام یک پروتکل، باید از این­که در حال اجرای آن پروتکل هستند با خبر باشند و مراحلی را که باید در آینده انجام دهند، بدانند.
  • تمام طرف­های شرکت کننده در اجرای پروتکل باید برای ادامه اجرای پروتکل توافق داشته باشند.
  • مراحل پروتکل باید به طورکاملاً دقیق و شفاف بیان شده و فعالیت­های لازم در هر مرحله از اجرای پروتکل، دقیقاً معین شده باشد.
  • مراحل اجرای پروتکل باید به صورت کاملاً دنبال هم و یکی پس از دیگری اجرا شود، درستی ترتیب اجرای مراحل یکی از لوازم پروتکل است.
  • باید در پروتکل، برای تمام حالت­های مختلف ممکن، پیش­بینی مناسبی انجام شده باشد. به بیان دیگر، پروتکل باید جامع باشد.

 

 

  • یک پروتکل دارای هدف نهایی است و برای تأمین آن هدف طراحی شده و پایان اجرای مراحل پروتکل باید ملازم نیل به آن هدف باشد.
  • مراحل پروتکل نباید طوری باشد که طی اجرای آنها، طرفین، کاری بیش از آنچه لازم است، انجام دهند و یا به اطلاعاتی که دانستن آنها ضروری نیست، دست یابند (جعفری، 1385).

در ادامه برخی از پروتکل­های امنیتی مطرح را مورد بررسی قرار می‌دهیم.

این مطلب مشابه را هم بخوانید :   آنتروپومتری

یکی از پروتکل­های مورد استفاده در حوزۀ امنیت  SSL، است که به منظور تشخیص هویت و رمزگذاری داده­ها جهت اطمینان از حفظ حریم شخصی و محرمانه ماندن توسط نت اسکیپ در گواهینامه­های استاندارد ابداع گردیده است. این پروتکل امکان رمزگذاری شمارۀ کارت اعتباری و انتقال اطلاعات بین وب سرورها و مرورگرها را ایجاد می­کند. در سال 1996، SSL به TSL تغییر نام داد اما هنوز بسیاری از مردم از نام SSL استفاده می­کنند (صنایعی،1387).

از سوی دیگر یکی از پروتکل­های مطرح در حوزۀ پرداخت و دادوستد، پروتکلSET، می­باشد. این پروتکل استاندارد که برای اینترنت طراحی گردیده، امنیت سطح بالایی را در مقابل کلاهبرداران و متقلبین آنلاین ایجاد می­کند. درواقع می­توان گفت که پروتکل SET، محرمانه بودن اطلاعات، ادغام داده­ها، تأیید صحت و شناسایی و درستی موارد مالی در داد و ستدها را فراهم می­آورد. پروتکل SET از الگوریتم­های رمزگذاری و کلید عمومی پیشرفته برای رد و بدل ایمن و محرمانۀ اطلاعات استفاده می­کند (کورپر و جوانیتا، 1380).

از دیگر پروتکل­ها می­توان به پروتکل http اشاره کرد که برای انتقال فرآمتنی[1] بدون امنیت فراهم شده است. پروتکل https نسخه امن شدۀ http است که از PEM و Pkcs#7 استفاده می­نماید (بختیاری، 1383).

لی و همکارانش (2012)، پروتکل مطرح شده توسط سود و همکارانش (2011) را که یک پروتکل تصدیق هویت می­باشد، به چالش کشیدند و نقص­هایی مانند آسیب پذیری نسبت به حملۀ نشت تصدیق کننده (یک مهاجم که رمز عبور تصدیق کننده را از سرور دزدیده است، می­تواند برخی اطلاعات مفید را استفاده نموده یا می­تواند به جای تصدیق کننده به صورت یک کاربر قانونی وارد سیستم شود) و حمله به کارت هوشمند سرقت رفته (اگر کاربر کارت هوشمند خود را از دست داده باشد، مهاجم می­تواند اطلاعات ذخیره شده در کارت هوشمند را استخراج و به راحتی رمزعبور کارت هوشمند را تغییر دهد) را مطرح کردند و در نهایت برای غلبه بر نقص­های امنیتی پروتکل مطرح شده توسط سود و همکارانش، از یک اهراز هویت پویا و امن، براساس پروتکل تصدیق هویت استفاده نمودند.

[1] Hyper-Text