development of a secure e-commerce system based on pki (in hungarian)
DESCRIPTION
The goal of my thesis is the development of an electronic commerce system which complies with general practical security requirements and has the ability for handling commerce transactions which are authenticated with digital signatures. To ensure a proper level of security risk assessment should be completed, which exposes the potential defects and risks. I suggest protection measures to avoid the arising risks and defects.TRANSCRIPT
Biztonságos elektronikus kereskedelmi rendszer
létrehozása PKI alapokon
Krasznay Csaba előadásaKonzulens: Dr. Magyar Gábor
BME Távközlési és Telematikai Tanszék,Kisteleki Róbert
MÁV Informatika Kft.
Tartalom
Célkitűzések Szakirodalmi összefoglaló Kezdeti infrastruktúra Az elektronikus aláírás használatának
indoklása A cég kockázatelemzése Javasolt infrastruktúra Védelmi intézkedések A rendszer megvalósítása, a működés lépései
Célkitűzések
Szakirodalmi összefoglaló Adott e-kereskedelmi rendszer vizsgálata
informatikai biztonsági szempontból Javaslat egy biztonságos rendszerre, különös
tekintettel a PKI rendszer felhasználására Az elektronikus hitelesítés megvalósítása
Szakirodalmi összefoglaló
Az informatikai biztonságról általában PKI rendszerek elmélete és gyakorlata Elektronikus kereskedelmi rendszerek Biztonsági minősítések
A kezdeti infrastruktúra
Szerkesztőség
Engine fejlesztés
Router, fájl szerver, tűzfal
…
Olvasók
Pénzügyi részleg
…
Szerkesztés
Router, fájl szerver, tűzfal
Könyvelés
Banki kliens
Webszerver
Szerverfarm
Jelmagyarázat
Internet
olvasásfejlesztés
szerkesztés
Az elektronikus aláírás használatának indoklása Az üzenet hitelességének,
letagadhatatlanságának és sértetlenségének biztosítása
2001. októberi közvélemény-kutatás 390 internetező, azaz potenciális felhasználó bevonásával
Hajlandóság az e-aláírás és az e-kereskedelem használatára, de félelem az ismeretlen technológiától
A megoldás közelítsen a hagyományos, katalógusos kereskedelmi megoldáshoz
A vállalat kockázatelemzése
A The National Electronic Commerce Coordinating Council „Risk Assessment Guidebook For e-Commerce/e-Government” alapján
A központi szerver vizsgálata Különösen nagy hiányosságok a biztonság és
az adatvédelem területén Javítsuk ki a látható hibákat, mielőtt a végső
következtetést levonjuk
Javasolt infrastruktúra
Router, fájl szerver, tűzfal
Könyvelés
Banki kliens
Webszerver
Firewall
BackupAdatbázis
Internet
Kliensek
CA
DMZ LAN
…
Szerverfarm
Router, fájl szerver, tűzfal
Jelmagyarázat
vásárlás SSL protokollon keresztülellenőrzés
Védelmi intézkedések
A második kockázatelemzés alapján a megfelelő biztonsági szintet elértük
A védelmi intézkedések segítségével az adatvédelmet fejleszthetjük
Ésszerű befektetéssel tovább növelhetjük a biztonság szintjét
A rendszer megvalósítása I.
Kiindulópont a cég korábbi e-kereskedelmi rendszere és a javasolt megoldás
Fókusz az elektronikus aláíráson Cél olyan rendelési űrlap létrehozása, ami
lehetővé teszi a megrendelés hitelesítését Nem cél az elektronikus fizetés, az
elektronikus ügyiratkezelés, felhasználói azonosítás (kivéve a rendelést) megoldása
A rendszer megvalósítása II.
Windows XP szerver és kliens Apache 1.3.22 webszerver PHP 4 környezet Utimaco Transaction Server 1.0 hitelesítő
szerver PostgreSQL adatbázis-kezelő Utimaco Transaction Client kliensprogram
A működés menete I.
A működés menete II.
A működés menete III.
A működés menete IV.
A működés menete V.
A működés menete VI.
A működés menete VII.
A működés menete VIII.
A működés menete IX.
A rendszer megvalósítása III.
A kitűzött cél sikerült, megoldottuk egy elektronikus megrendelés hitelesített és sértetlen elhelyezését a kereskedő szerverén
Tapasztalatok a szabványok hiányáról, a hitelesítés szolgáltatóról, a hardver és szoftver eszközök inkompatibilitásáról
Javaslat egy általánosan működő rendszerre a tapasztalatok alapján
Irodalomjegyzék Alfred J. Menezes, Paul C. van Oorschot and Scott A. Vanstone, „Handbook of Applied
Cryptogaphy”, CRC Press, 1996 Ronald Grimm, „Guide to Intelligence Operations”, http://www.geocities.com/grimm005/index.htm,
2001 Buttyán Levente: „Brief Overview of Cryptography”,
http://www.hit.bme.hu/~buttyan/courses/internetsecurity-1/Cryptography_Overview.ppt , 2003 „Public-key Infrastructure”, Certicom, 2001 Daniel Amor: „Introduction to Internet Business”, Hewlett Packard, 2001 Szigeti Szabolcs: „Az e-business”, IBM-BME E-business Akadémia, 2001 „IT Security Audit”, Secaron AG, 2002 „FIPS PUB 140-2”, National Institute of Standards and Technology, 2001 Lawrence M. Walsh: „Security Standards”, Information Security Magazine, 2002 Kondorosi Károly, Molnár Imre: „Számítástechnikai Audit”, BME jegyzet, 2002 Szabó Áron, Krasznay Csaba: „A digitális aláírás elterjedésének lehetőségei és korlátai”, TDK
dolgozat, 2001 „Risk Assessment Guidebook For e-Commerce/e-Government”, The National Electronic
Commerce Coordinating Council, 2000
Köszönöm figyelmüket!