بخشی از مقاله
بررسی و تحلیل چالش های امنیت در تجارت الکترونیک و راههای مقابله با آن
خلاصه
تجارت الکترونیک بطور کامل در فضای مجازی و ناملموس (intangible) انجام می شود. طبیعت ناملموس فعالیتهای این حوزه بر پیچیدگی امنیت آن می افزاید. یکی از عوامل کلیدی در تجارت الکترونیک، تامین ایمنی مبادلات است. منظور از امنیت، حفاظت از داده ها (پیام ها، اسناد و سایر داده های منتقل شونده) در مقابل تهدیدات و افراد غیر مجاز در بستر مبادلات الکترونیک است. در این مقاله ابتدا ابعاد امنیت داده که شامل حمله امنیتی، سرویس امنیتی و مکانیزم امنیتی است، بررسی و مشکلات امنیتی موجود در تجارت الکترونیک مطرح می شود. سپس الگوریتم های رمزنگاری شامل الگوریتم های متقارن، نامتقارن، hash و همچنین امضای دیجیتال و گواهی دیجیتال بعنوان دیگر راههای مقابله با تهدیدات امنیت در تجارت الکترونیک مورد نقد و بررسی قرار می گیرد.
کلمات کلیدی: تجارت الکترونیک((E-Commerce، امنیت((Security، رمزنگاری (Encryption)، امضا دیجیتال((Digital Signature، گواهی دیجیتال((Digital Certificate
1. مقدمه
تجارت الکترونیکی توصیف کننده فرآیند خرید، فروش، همکاری با شرکای تجاری، انجام تراکنش های الکترونیکی درون سازمانی، انتقال یا تبادل محصولات، خدمات و یا اطلاعات از طریق شبکه های کامپیوتری ازجمله اینترنت می باشد1] ، .[2 تجارت الکترونیکی در عین حالیکه دقت و سرعت پردازش را به طور قابل ملاحظه ای بالا برده است، در معرض خطرات و تهدیداتی نیز قرار دارد. بطور کلی تجارت الکترونیکی شامل مراحل متعددی است، نظیر بررسی کاتالوگها و انتخاب کالا و فروشنده مورد نظر، انجام سفارش و ارسال اطلاعات، پرداخت و تحویل کالا، که در هر یک از مراحل فوق پیامهای الکترونیکی بین خریدار و فروشنده تبادل می گردد. چنین تبادلاتی، نیازمند وجود بسترهای ایمن است. خطرات امنیتی زیادی از قبیل سرقت و یا تغییر محتوای پیامها هر یک از مراحل فوق را تهدید می کند.
1
گسترش تجارت الکترونیک مستلزم ایجاد اطمینان و اعتماد عمومی نسبت به این نوع تجارت است. با توجه به اینکه خریداران و فروشندگان یکدیگر را نمی شناسند و حتی نمی توانند همدیگر را ببینند(آنها ممکن است در کشورهای متفاوتی باشند)، این اطمینان باید از طریق تضمین امنیت و اعتبار تبادل الکترونیک داده ها صورت گیرد.[3]
یکی از مهمترین وجوه تمایز تجارت الکترونیک و مقایسه با انواع مشابه سنتی آنها بحث اثبات صحت سند و امنیت است. اثبات هویت طرفین و صحت سند، تامین امنیت و محرمانه نگه داشتن اطلاعات و اسناد با روش های سنتی، ساده و مطمئن صورت می گیرد( شناسنامه یا کارت شناسایی، امضا، سند، دفترخانه اسناد رسمی و گاوصندوق) محرمانه نگه داشتن روابط حقوقی مبتنی بر کاغذ از طریق مهر و موم کردن اسناد کاغذی و سایر روشهای فیزیکی امکانپذیر است. علاوه بر این، امضای روی سند تا حد زیادی اصالت آن را تایید می کند. دستکاری یا جعل و مخدوش کردن اسناد کاغذی نیز معمولا با رویت آنها قابل تشخیص است در حالیکه با تغییر داده های الکترونیک علامت فیزیکی بر جا نمی ماند.
2. حملات امنیتی
در صورتیکه داده ها مطابق شکل 1 از مبدا به مقصد حرکت کنند، داده بطور صحیح ارسال شده است. ولی ممکن است حملاتی در حین جابجایی داده ها و اسناد پیش بیاید و موجب ناامنی شوند، این حملات امنیتی را می توان به چهار دسته زیر تقسیم بندی کرد: [4]
o قطع(:(Interruption این حمله در مورد در دسترس بودن سیستم انجام می گیرد و سیستم را غیرقابل دسترس و استفاده می کند و مبادله داده را مختل می کند. داده از سیستم مبدا ارسال می شود ولی هرگز به مقصد نمی رسد. (شکل شماره (2
شکل شماره -1 ارسال صحیح داده از مبدا به مقصد
شکل شماره -2 حمله قطع
o استراق سمع(:(Interception سیستم احراز هویت نشده، دسترسی غیرمجاز به داده ارسالی پیدا می کند. این حمله سبب آسیب پذیری محرمانگی (در بخش 2 توضیح داده خواهد شد) می شود. داده از مبدا به مقصد حرکت می کند. ضمن اینکه به مقصد می رسد، به سیستم دیگری بصورت غیر مجاز ارسال می شود و حمله کننده یک کپی غیر مجاز از داده ارسالی می گیرد. (شکل شماره (3
شکل شماره -3 حمله استراق سمع
o دستکاری(:(Modification در این نوع حمله فرستنده داده ای را به سمت گیرنده می فرستد. در وسط راه ارسال، یک سیستم احراز هویت نشده دسترسی غیرمجاز به داده ارسالی پیدا می کند. آن را تغییر داده و برای گیرنده می فرستد. بر اثر این حمله، یکپارچگی(در بخش 2 توضیح داده خواهد شد) و صحت داده را مختل می کند. (شکل شماره (4
2
شکل شماره -4 حمله دستکاری
o جعل(:( Fabrication اگر سیتم احراز هویت نشده ای با هویت سیستم دیگر، داده ای به یک مقصد بفرستد، جعل رخ می دهد. این حمله، احراز هویت و اعتبار داده را زیر سوال می برد. (شکل شماره (5
شکل شماره -5 حمله جعل
3. خدمات و مکانیزم های امنیتی
.3.1 خدمات امنیتی
در راستای رسیدن به یک امنیت مناسب خدمات امنیتی باید قابلیت های زیر را داشته باشند: 5] ، [6
o محرمانگی(:(Privacy به اطلاعات محرمانه باید فقط افراد، دستگاه و پردازش های تعیین هویت شده دسترسی داشته باشند. o احراز هویت(:(Authentication فرستنده و گیرنده باید هویت خود را اثبات کنند.
o بررسی مجوز(:(Authorization هنگام دریافت درخواست کاربر، باید مجوز دسترسی وی برای آن عملیات خاص بررسی شود. o یکپارچگی(:(Integrity اطلاعات بدون احراز هویت و دسترسی، نباید تغییر داده شوند.
o عدم انکار(:(Non-repudiation هنگام دریافت، ارسال اطلاعات یا سرویس، فرد انجام دهنده یا گیرنده نتواند آن را انکار کند.
o قابلیت دسترسی(:(Availability در هنگام نیاز اطلاعات برای احراز هویت شدگان در دسترس باشند.
2.3. مکانیزم های امنیتی
مکانیرم های امنیتی در مورد چگونگی پیشگیری از حملات امنیتی توسط سرویس های امنیتی بحث می شود:
o رمز نگاری(:(Encryption رمزنگاری به عمل تغییر شکل دادن نوشته ها و اطلاعات از متن آشکار((Plaintext به متون ناخوانا و غیر قابل فهم برای دیگران(جز فرستنده و گیرنده) (Ciphertext)می گویند7]، .[8
o احراز هویت(:(Authentication (طبق تعریف بخش (2 برای اثبات درستی هویت و جلوگیری از دسترسی غیرمجاز به منابع بکار می رود..[9]
o اجازه(:(Authorization (طبق تعریف بخش (2 پس از تایید هویت، باید سطح دسترسی برای انجام عملیات متفاوت مشخص شود.
3
o بازرسی(:(Auditing این مکانیزم برای ردیابی عملیات انجام شده(رد پای کاری که انجام شده) و همچنین آنالیز تخلفات استفاده می شود. این مورد، کاربرد حفاظتی ندارد.
ریسک، عنصر اجتناب ناپذیر در تجارت دنیاست و می توان آن را علت نتیجه گیری های معکوس یک فرآیند یا پروژه در نظر گرفت. ریسک از عدم وجود اطمینان ناشی می شود که در طول عمر سازمان همواره حضور دارد و کاملا آشکار است که ریسک را نمی توان به طور کامل از بین برد بلکه می توان آن را با آینده نگری کاهش داد و یا به درستی مدیریت کرد و هدایت نمود بنابر این ریسک بطور غیر قطعی قابل سنجش و اندازه گیری است.
ریسک بر بسیاری از عوامل درگیر در تجارت تاثیر می گذارد بطور مثال بر منابع ، محصولات ، سرویس ها، مشتریان و سایر سازمانهای همکار، همچنین تاثیرات شامل جامعه و محیط های تجاری آن نیز می شود.[10]
بسیاری از محققان بر این عقیده اند که اعتماد فقط در شرایطی که بیانگر ریسک است نقش ایفا می کند. در صورتی که ریسک به تنهایی یک مفهوم است که در مباحث مختلف نظیر اقتصاد و جامعه شناسی بکار می رود.[9]
4. مشکلات امنیت در تجارت الکترونیکی
در خصوص تجارت الکترونیک که در فضای مجازی انجام می شود، تامین امنیت داده های الکترونیک پیچیده و مشکل است. با استفاده از خدمات امنیتی این اطمینان برای افراد ایجاد می شود که دسترسی به سیستم تجارت الکترونیک و داده های آن تنها محدود به افراد مجاز و مطابق با سیاستهای امنیتی عنوان شده از طرف وب سایت فرستنده است. بعنوان مثال اطلاعات شخصی و شماره کارت اعتباری در صورت عدم حفاظت ممکن است در جریان انتقال توسط عوامل غیرمجاز دستکاری شوند. انجام خدمات امنیتی، در رفع دغدغه های مرتبط با ریسک های حوزه امنیت و حریم خصوصی تاثیرگذار است.[11] باید تضمین کرد که فقط فرستنده و گیرنده بتوانند متن پیغام را ببینند، متن داده در طول انتقال دستکاری نشود، فرستنده یا گیرنده نتواند ارسال یا دریافت داده را انکار کند. در اینجا سه روش رمزنگاری، امضا دیجیتال و گواهی دیجیتال که به افزایش چشمگیر امنیت در تجارت الکترونیک منجر می شود، بررسی می شود.
5. روش های افزایش امنیت
در ذیل به سه روش افزایش امنیت اشاره می شود:
· الگوریتم های رمزنگاری
· امضا دیجیتال
· گواهی دیجیتال
1.5. الگوریتم های رمزنگاری
یکی از ابزارهای فنی ایجاد امنیت در تجارت الکترونیکی، رمزنگاری داده ها می باشد. در ذیل سه الگوریتم رمزنگاری شرح داده می شود:
· الگوریتم های متقارن((Symmetric Algorithms
· الگوریتم های نامتقارن((Asymmetric Algorithms
· الگوریتم های (Hash Algorithms )Hash