بخشی از مقاله
ارائه چارچوبي امن در پرداخت همراه
چکيده
امروزه باتوجه به پيشرفت هاي حاصله در حوزه توسعه و فناوريهاي اطلاعات و ارتباطات و همچنين امکانات نويني که اين فناوري در اختيار افراد ميگذارد، ميتوان از تلفن همراه در حوزه هاي مختلفي بهره برد. يکي از اين حوزه ها بحث کيف پول الکترونيک و به تبع آن پرداخت از طريق گوشي همراه ميباشد که در طي آن ميتوان به جاي حمل تعداد زيادي کارت هوشمند براي بانک هاي مختلف و مکانهاي مختلف ، تنها از يک گوشي تلفن همراه بهره برد. اين روش ، علاوه بر مزاياي بسياري که ميتواند براي افراد داشته باشد داراي ريسک هاي امنيتي بسياري نيز ميتواند باشد. از جمله اين ريسک ها ميتوان به بحث امنيتي آن در هنگام ارتباط با بانک و همچنين در هنگام پرداخت با گوشي همراه اشاره نمود. همچنين از آنجايي که دستگاه هاي خودپرداز موجود، فقط قابليت خواندن کارت هاي رايج بانکي را دارند، بايد روشي را اتخاذ نمود تا با کمترين هزينه بتوان اين روش را با دستگاه هاي ATM يا POS تطبيق و يا جايگزين نمود. در اين مقاله سعي شده است تا از طريق ارائه پروتکلي امن و کم هزينه بر مشکلات فوق فائق آمده و استفاده از اين فناوري را براي همگان ممکن سازد.
کلمات کليدي
پرداخت همراه ، کيف پول الکترونيک ، امنيت ، QR Code
مقدمه
امروزه ميتوان از سه ويژگي مهم گوشيهاي تلفن همراه يعني قدرت پردازشي مناسب ، امکان ارتباط با اينترنت و همچنين داشتن امکان شخصي سازي، در بانکداري الکترونيک و پرداخت همراه استفاده نمود.
استفاده از گوشي همراه در پرداخت هاي روزمره داراي مزايايي همچون عدم نياز به حمل تعداد زيادي کارت ، راحتي استفاده و ... دارد. در مقابل استفاده از اين روش ، ريسک ها و معايبي تيز به همراه دارد که از ميان آن ها ميتوان به مواردي همچون عدم وجود امنيت و نياز به تغيير در دستگاه هاي خود پرداز و نياز به اينترنت و يا کيف پول الکترونيک و ... اشاره نمود.
براي حل مشکل امنيت پرداخت همراه مقالات متفاوتي همچون (٢٠١٢ .Hu et al) , (٢٠١٢ .Isaac et al) ,(٢٠١٢ .Xu et al) ,(٢٠١١ .Li et al) به بحث و بررسي شيوه هاي مختلف امنيتي پرداخته اند، ولي اکثر اين مقالات از روش سنگين رمز نگاري نا متقارن استفاده کرده اند که با توجه به محدوديت پردازشي تلفن هاي همراه اين کار نا مناسب به نظر ميرسد. که براي حل اين مشکل ، راهکار ارائه شده دراين مقاله با استفاده از ترکيبي از روش هاي رمز نگاري متقارن و نا متقارن ، سعي در بهبود اين روش ها مينمايد.
همچنين براي حل مشکل سازگاري با دستگاه هاي خود پرداز مقالات مختلف ، از شيوه هاي متفاوتي همچون ...,NFC, RFIDاستفاده نموداند ولي از آنجايي که همه تلفن هاي همراه داراي اين امکانات نميباشد، در اين مقاله از روش پيشنهادي موجود در مقالات (٢٠١١ .Lee et al) و (٢٠١٠ .Dodson et al)
مبني بر استفاده از QR Code استفاده شده است تا بتوان امکان استفاده از اين روش را براي همگان ممکن سازد.
روش پيشنهادي در اين مقاله به اين صورت است که ابتدا با استفاده از سيستم رمز نگاري خم بيضوي اطلاعات کارت ، حساب و هم چنين مشخصات فيزيکي تلفن همراه اشخاص (خريدار و يا فروشنده ) توسط درگاه پرداخت رمز و سپس امضا شده و به همراه يک کد شناسايي و کليد جلسه و کليدي براي توليد MAC (که آن ها نيز از روش ECDH به دست ميآيد) در پايگاه داده درگاه پرداخت ذخيره ميگردد. همچنين اين اطلاعات ، توسط سيستم رمز نگاري متقارن AES با کليد پيني که از اشخاص در هنگام ورود به نرم افزار گرفته ميشود، رمز شده و سپس به عنوان توکني امنيتي در تلفن همراه آن ها براي استفاده هاي بعدي ذخيره ميگردد.
در هنگام عمليات پرداخت نيز مشتري بعد از ورود به نرم افزار و وارد کردن پين خويش و انتخاب کارت مورد نظر از ليست کارت هاي ثبت شد، اطلاعات توکن خود را رمزگشايي نموده و سپس با درج مبلغ مد نظر و در نهايت انتخاب دکمه ايجاد تصوير امنيتي (QR Code)، به نرم افزار دستور ايجاد تيکت از اطلاعاتي همچون توکن ، مبلغ درخواستي، برچسب زماني و يک کد تصادفي به نام nonce (براي جلوگيري از حمله تکرار) ميدهد، سپس نرم افزار کد احراز اصالت پيام (MAC) را براي جلوگيري از تغييرات ايجاد کرده و آنرا به تيکت الحاق مينمايد. در آخر نيز کليه اين اطلاعات توسط کليد جلسه رمز شده و به همراه شناسه مشتري و IV استفاده شده در هنگام رمز نگاري به صورت QR Code در ميآيد و در تلفن همراه مشتري نمايش داده ميشود. فروشنده نيز با اسکن اين تصوير و دريافت اطلاعات مشتري و الحاق تيکت خود به آن که خود شامل رمز شده توکن فروشنده ، برچسب زماني، کد تصادفي و مبلغ مد نظر و کد احراز اصالت پيام ميباشد را به همراه شناسه خود و ... تيکتي را ايجاد نموده و آنرا از طريق وب سرويسي امن (تحت پروتکل https)، به درگاه پرداخت ارسال مينمايد تا او نيز بعد از بررسي موارد لازم ، نتيجه را به فروشنده بر گرداند.
در ادامه بعد از بررسي مرور ادبيات مربوطه ، به بيان جزئيات روش فوق پرداخته و در آخر نيز در قسمت بحث و بررسي اين روش را با ساير روش هاي موجود مقايسه مينماييم .
مرور ادبيات
در دهه اخير، مقالات مختلفي به بحث و بررسي جوانب مختلف پرداخت همراه پرداخته اند که توجه اکثر آنان بيشتر بر روي امنيت پرداخت و يا شيوه تبادل اطلاعات ميباشد. که خلاصه آن در جدول زير بيان ميگردد.
روش تحقيق
شيوه ارائه شده در اين مقاله به اين صورت است که در ابتدا مشتري نزد درگاه پرداخت ميرود و پس از احراز هويت خويش نرم افزار و کد فعال ساز آنرا دريافت ميدارد سپس از طريق اينترنت و برنامه کاربردي، تحت پروتکل امن HTTPS با در گاه پرداخت براي تکيل اطلاعات ارتباط برقرار ميکند. در واقع درگاه پرداخت به عنوان واسط بين بانکي و همچنين مشتريان آن ها عمل مينمايد که براي جلوگيري از گلوگاه شدن آن نيز ميتوان به صورت توزيع شده از او استفاده نمود. از کد فعال ساز براي اين استفاده ميگردد فقط خود کاربر بتواند با نرم افزار ارتياط برقرار نمايد.
مشتري نيز بعد از وارد کردن کد فعال ساز دريافت شده و هم چنين ثبت کدpin اي که در بدو ورود به برنامه از کاربر (براي امنيت بيشتر) خواسته ميشود، اطلاعات شناسايي خود (شامل اطلاعات هويتي و تماس خود) و همچنين اطلاعات حساب (شماره حساب و نام بانک عامل و...) و اطلاعات کامل کارت بانکي مربوط به آن حساب (که خود شامل شماره کارت ، رمز عبور، رمز دوم و تاريخ انقضا بوده ) را به همراه اطلاعات تلفن همراه خود مثل (شماره CPU گوشي و شماره تلفن همراه و ...) را به درگاه پرداخت ميدهد. لازم به تذکر است که اطلاعات تلفن همراه اشخاص به عنوان ابزاري براي شناسايي توسط برنامه کاربردي نصب شده روي تلفن همراه براي درگاه پرداخت استخراج ميگردد تا از مشکلاتي همچون سرقت و ...جلوگيري به عمل آيد. توجه شود که اين عمليات در مرحله قبل (به صورت حضوري) نيز ميتواند صورت پذيرد ولي اطلاعات تلفن همراه بايد حتما توسط نرم افزار استخراج گردد.
درگاه پرداخت پس از بررسي و تأييد صحت اطلاعات ارسالي، از آن ها توکني را توسط روش سبک و نامتقارن خم بيضوي ايجاد مينمايد و آنرا با همان سيستم رمز نگاري خم بيضوي امضا (تأييد) مينمايد تا هرگونه تغيير در آن به راحتي مشخص گردد. همچنين درگاه براي برقراري ارتباطات در آينده کليد جلسه متقارني را توسط روش ECDH ايجاد مينمايد، سپس براي ايحاد اطمينان از اصالت پيام هاي ارسالي توسط مشتري کليدي را نيز براي کد MAC ايجاد مينمايد. در آخر نيز همه اين اطلاعات در رکوردي مجزا براي مشتري در پايگاه داده درگاه پرداخت ثبت شده و يک نسخه از آن نيز براي برنامه کاربردي تلفن همراه مشتري ارسال ميگردد تا در او ذخيره گردد.
نرم افزار کاربردي مشتري نيز بلافاصله پس از دريافت اين اطلاعات آن ها را توسط پين ثبت شده توسط کاربر، رمز نموده و سپس آن ها را به عنوان توکني امنيتي در تلفن همراه اشخاص براي استفاده هاي بعدي ذخيره ميگرداند. در اين صورت ، فقط کاربر است که ميتواند از آن ها استفاده نمايد.
مراحل طي شده در سمت مشتري، در سمت فروشنده نيز بايد انجام پذيرد با اين تفاوت که نرم افزار کاربردي فروشنده با مشتري متفاوت بوده و همچنين ثبت اطلاعات کارت فروشنده نيز ميتواند اختياري باشد.