بخشی از مقاله
چکیده
مساله فعلی و مهم در سیستمهاي پرداخت الکترونیکی، برقراري امنیت کاربران در معاملات بانکی است. اغلب اختلالات و مشکلات بانکی به دلیل اعتماد روز افزون به اینترنت و ارتباطات وسیع در شبکههاي کامپیوتري و افزایش تعداد کاربران آنهاست. بیشتر سیستمهاي موجود، مبتنی بر اصولی است که بسیاري از حملات جدید در آنها قابل شناسایی نیستند. احرازهویت بیومتریک کاربران در شبکههاي ارتباطی، یکی از راههاي حفاظت و ایمنسازي معاملات بانکی است. بیومتریک به راحتی اشخاص مجاز و جعلی را به دلیل ویژگیهاي فیزیولوژیکی شناسایی کرده و امکان امنی براي انتقال پول یا پرداخت در یک فروشگاه یا خرید برخط را فراهم میکند. از طرفی با وجود اهمیت دادههاي بیومتریک، حفاظت از آنها راهی براي ارتقاء حریم خصوصی کاربران بانکی است و براي این منظور نیاز به شیوهاي خاص جهت برقراري این امنیت میباشد. در اینجا سیستمهاي بانکداري برخط جهت انجام تراکنشهاي مشتریان بانکی بررسی شده است. جهت مقابله با تهدیدات امنیتی با ارائه پروتکل ارتباطی مناسب و کاربرد ویژگی بیومتریک اثر انگشت و رمز نمودن آنها با الگوریتم رمزنگاري جویباري حفاظت انجام میشود. اخذ و مقایسهي اطلاعات بیومتریک با دادههاي ذخیره شده در پایگاه دادهي بانک به صورت آنی، شناسایی شخص را سادهتر کرده و رمز شدن این دادهها در هر معاملهي برخط، امنیت لازم را برقرار خواهد نمود.
کلمات کلیدي: اثر انگشت، احراز هویت بیومتریک، رمزنگاري جویباري، مشتریان بانکی، معامله برخط.
.1 مقدمه
با توسعه ابزارهایی مثل شبکههاي اجتماعی و افزایش کاربران اینترنتی به صورت نامحدود و تعدد دستگاههاي کاربردي، خطرات امنیتی نیز افزایش یافته است. بانکداري آنلاین و سیستمهاي پرداخت الکترونیکی در اینترنت به طور فزایندهاي پیشرفت میکنند. با وجود احراز هویت کاربران براساس دو یا چند عامل، توسعه بد افزارهاي مختلف، اعتماد مشتریان را خدشهدار میکند، لذا در این بین احراز هویت کاربران بسیار آسیبپذیر خواهد بود. در بانکداري برخط احتمال خطر هک شدن و یا لو رفتن مشخصات کارت بانکی وجود دارد. چالشهاي امنیتی به طور خاص با احراز هویت مشتریان ارتباط دارد و در طول معاملات میتوان با استفاده از ارسال یک پیامک به عنوان تائید هویت چند مرحلهاي خطرات را تاحدودي کاهش داد، اما این روش نیز به تنهایی کافی نخواهد بود.[1]
براي حل مشکلات شبکههاي بانکی و برقراري امنیت مناسب در آنها نیاز به یک احرازهویت مناسب است. در میان راهحلهاي مختلف حفاظت از الگو میتواند با استفاده از رمزنگاريهاي بیومتریک یا با تبدیل دادههاي ویژهي بیومتریک به دست آید. هر روش حفاظت از آن نیز باید با دقت طراحی شده و اجازه رمز کردن دادههاي بیومتریک را بدهد و همچنین داراي تجزیه و تحلیل امنیتی قوي باشد. پروتکل احرازهویت پیشنهادي از دادههاي بیومتریک استفاده میکند که باید از طریق ثبت با یک دستگاه خوانده و با یک الگوریتم محافظ، از الگو محافظت شود.
سیستمهاي احرازهویت مبتنی بر اثرانگشت، نسبت به سایر روشهاي بیومتریک بسیار ارزان و کاربرديتر هستند. از طرفی به راحتی قابلیت نصب در هر محیطی را دارند و در هر فروشگاهی میشود از آنها استفاده نمود و از همه مهتر اینکه کاربر پسند هستند. دادههاي بیومتریک، حاوي اطلاعات حساس و مهمی هستند، و در هر زمان ممکن است مورد سوء استفاده قرار گیرند، پس نیاز به یک نوع امنیت و حفاظت خاص دارند. بهترین روش براي حفاظت این دادهها رمز کردن آنها در شبکههاي ارتباطی است. [2] در اینجا پس از مرور سیستمهاي پرداخت الکترونیکی به روشهاي احرازهویت بیومتریک پرداخته و پس از آن سعی شده که یک سیستم مناسبتري را با استفاده از پروتکل رمزنگاري متفاوت جهت امنیت پرداختهاي بانکی برخط ارائه شود.
.2 سیستمهاي پرداخت الکترونیکیEPS1
سیستمهاي پرداخت الکترونیکی عبارتند از ارسال پرداختها بر روي یک شبکه عمومی براي به دست آوردن کالا - الکترونیکی یا فیزیکی - و خدمات. پرداخت الکترونیکی به معنی پرداخت از سوي یک شخص به شخص دیگر، یا سازمان و موسسه دیگر از طریق شبکه کامپیوتري و بدون مواجهه مستقیم است. در کلیه روشهاي پرداخت الکترونیکی چهار گروه دخالت دارند که عبارتند از:
مشتري2
سرویس دهنده3 - ارائه دهنده خدمت -
بانک عامل4
بانک صادر کننده5
یک نظام پرداخت در واقع یک سري ترتیباتی است که اجازه میدهد که استفاده کنندگان پول را انتقال دهند. در حال حاضر در بسیاري از کشورهاي پیشرفته پول عبارت از سکه و اسکناس چاپ بانک مرکزي است. براي انجام پرداخت، پرداخت کننده میبایست درخواست خود را به بانکی که پول را در اختیار دارد، بدهد. این درخواست ممکن است به صورت کاغذي مثل چک یا الکترونیکی باشد. در مرکز هر سیستم پرداخت ترتیباتی هست که انتقال پول را بین اعضاي سیستم تسهیل میکند. بنابراین سیستمهاي پرداخت تشکیل شدهاند از تعدادي شبکه که اعضاء را به هم پیوند میدهد، سوئیچها1 جهت توزیع پیغامها، قانون و رویه استفاده میشوند، به عبارت دقیقتر هر سیستم پرداختی شامل:
استانداردهاي فنی توافق شده و روشهاي انتقال پیغامها بین اعضاء
یک ابزار توافق شده جهت تسویه طلبهاي اعضاء از یکدیگر - مثل حساب در بانک مرکزي -
یک مجموعه از قوانین و رویههاي اجرایی
1-2 انواع سیستمهاي پرداخت الکترونیکی
روشهاي مختلفی براي پرداخت الکترونیکی وجود دارد که عمدهترین آنها عبارتند از:
استفاده از کارتهاي الکترونیکی - اعتباري - 2
استفاده از پول الکترونیکی3
روش پرداخت مستقیم شخص به شخص4
چکهاي الکترونیکی5
کارتهاي هوشمند6
سیستمهاي ریز پرداخت
سیستمهاي مبتنی بر مزایده7
3. شناسایی8 و احراز حویت
شناسایی و احراز هویت دو هسته اصلی در بیشتر سیستمهاي کنترل دسترسی9 هستند. شناسایی عملی است که یک کاربر براي معرفی خود به یک سیستم اطلاعاتی10 استفاده میکند که قالبً یک شناسه ورود11 وجود دارد. شناسایی براي پاسخگویی کاربر به اعمال وي بر روي سیستم است. احرازهویت تاییدي بر این است که کاربر همان فردي است که ادعا میکند و بررسی میکند که شناسه کاربر12 معتبر13 است یا نه!