e payment 2
TRANSCRIPT
پرداخت الکترونیک
زیدیحیایی : نیوشا گردآورنده
پرداخت الکترونيکي تعریف طريق شبکه هاي ثابت و بي سيم اينترنت و ساير شبکه ارائه خدمات مالي از.1
و خانوارها . ، افرادهاي اقتصاديهاي کامپيوتري به بنگاه
از .2 الكترونيك پرداخبت پول در مقاببل كال و خدمات در تجارت از عبارت اسبت طريق وسايل الكترونيكي بخصوص اينترنت .
ينترنتي ا پرداخت اهميت
در سيستمهاي پرداخت قديمي مصرف كنندگان از پول نقد اسبتفاده مي پرداختهاي خود براي اعتباري كارتهاي و ، چبك
4كردند . در يك تحقيقي طي دو سال بطور متوسط بيش از % 60تريليون دلر صرف خريد كال و خدمات شده كه حدود
و ببا چبك و20آبن نقبد پول ببا آبن كارتهاي %20 با ديگبر %پرداخت بوده است.
طي چند سال اخير و با رشد روز افزون تجارت الكترونيك % پرداختها با استفاده از روشهاي الكترونيكي انجام 85قريب
گرفته است.
پرداخت الکترونيکي گستره
کارگزاري (بورس) الکترونيکي .1
بانکداري الکترونيکي.2
بيمه الکترونيکي .3
بازارهاي مالي الکترونيکي.4
تامين مالي تجارت الکترونيکي.5
خدمات اطلعات مالي.6
الکترونيکي پرداخت روش يک هاي ويژگيمناسب
امنيت.1قابليت بررسي.2کارايي.3قابليت اطمينان .4مقياس پذيري .5قابليت مجتمع شدن .6قابليت پذيرش .7هزينه پايين .8گمنامي .9 عدم تكذيب.10تقسيم پذيري.11
الکترونيکي پرداخت روش يک هاي ويژگيمناسباز امنيبتب جلوگيري معناي به اطلعات سباختن ايمبن :
تحريف و دستيابي به اطلعات توسط افراد غير مجاز
بررسي يت : سيستم بايد تمام عمليات مالي را ثبت قابلكند تا در صورت لزوم بتوان اشكالت و خطاهاي احتمالي را
رديابي كرد
اطمينان سيستم بايد بقدر كافي مستحكم باشد : قابليتتا كاربران در صورت قطع برق پولها را از دست ندهند.
پرداخت روش يک هاي ويژگيمناسب الکترونيکي
مي اين مطلب با حريم خصوصي ارتباط دارد يعني برخي : گمناباقي دارنبد هويبت و مشخصبات خريبد هايشان گمنام تمايبل خريداران
.بماند
يك سيستم پرداخت اينترنتي بايد گروههاي درگير را : تكذيب عدميا انكار كرده و نتواند معاملت را مطمئن و متعهد سازد كه گروهي
بطور غير قانوني از زير آن شانه خالي كند.
پذيري بببم براي : تقسبي را اعتباري كارتهاي تنها فروشندگان بيشتبر بنابرايبن هرچبه دامنه قبول كننبد دامنبه اي حداقبل و حداكثبر قبول مبي
پرداختها را زيادتر كند امكان پذيرش بيشتري دارد
محرمانگي )Confidentiality(
محتوا افشا عدم
ترافيك تحليل امكان عدم
اطلعات نشت عدم
نامها افشاي عدم
)Anonymity(
مؤلفههاي امنيت
Integrityصحت((
مؤلفههاي امنيت
( , تكرار ( و اضافه حذف عدم دادهها اصالت
دادهها ( مبدأ )Data Origin Authenticationاصالت
تها ( موجودي حضور و On-line Entityاصالت
Authentication(
)Non-Repudiationپذيري (ناانكار
قابليت
)Availabilityدسترسي(ارتباطات : تسهيل و امنيت ذاتي تقابل حل مجاز دسترسيهاي سهولت
سرويس ( ارائه از جلوگيري حملت با )Denial of Serviceمقابله
مؤلفههاي امنيت
پرداخت سنتي روشهاي اشكالت
وجود تاخير در فرآيند پرداخت.1
وجود ريسك در مفقود شدن پول.2
هزينه پردازش بسيار بال براي پرداختهاي كم .3
عدم امكان دسترسي به كارت يا چك اعتباري براي همه.4
عدم پذيرش كارت يا چك اعتباري براي همگان .5
ريسك امنيتي براي ارائه شماره كارت يا چك روي تلفن .6
الکترونیک پرداخت از استفاده مزایای
:رای دارنده کارتباستفاده از موجودی حساب در هر زمان و مکان.1
صرفه جویی در زمان.2
ایجاد امنیت و عدم نیاز به حمل وجه نقد.3
دسترسی به بانکداری اینترنتی.4
الکترونیک پرداخت از استفاده مزایای
:برای پذیرنده کارتایجاد امنیت
کاهش مراجعه به بانک
ایجاد نظم و دقت در حسابداری
افزایش فروش
بهره مندی از سود حساب سپرده
الکترونیک پرداخت از استفاده مزایای :برای دولت و اجتماع
کاهش سفرهای غیر ضروری.1کاهش آلودگی هوا و مصرف انرژی.2کمک به افزایش امنیت اجتماعی.3کاهش هزینه های چاپ اسکناس.4صرفه جوی در زمان.5کمک به بهداشت عمومی.6کاهش هزینه های عمومی.7
الکترونیک پرداخت از استفاده مزایای
:برای بانکافزایش قدرت بانک در مدیریت وجوه.1
کاهش هزینه ارائه خدمات بانکی.2
گسترش خدمات بانکی غیر حضوری .3
الكترونيكي پرداخت ابزارهايكارتهاي اعتباري.Aكارتهاي الكترونيكي.1
B.كارتهاي بدهيC. كارتهاي
هوشمندپول الكترونيكي.2چك الكترونيكي .3سيستمهاي ريز .4
پرداخت
اعتباری کارتهایيک کارت اعتباری به دارنده آن اين اجازه را مي دهد كه تا سقف معيني خرید نماید و در پایان دوره معین تسویه نماید . کارتهای اعتباری هزینه سالنه اي ندارند ولی نرخ بهره باليي دارند يعني اگر تاخیری در پرداخت صورت گيرد بهره زيادي به آن
تعلق مي گيرد . مثل کارت ثمين
بدهی کارتهایبا کارت بدهی هزینه يک قلم خرید مستقیما از حساب جاری دارنده برداشت مي
شود . كه مي توان آنرا حساب پس انداز- تقاضا نامید .
هوشمند کارتهای
براي استفاده بجای پول بوجود آمدند و از 1950کارتهای هوشمند ابتدا در دهه آن زمان به بعد هر روز پیشرفته تر گردیده و امکان ذخیره سازي اطلعات و پردازش
رواج یافتند 1986رقمی آنرا داشتند براي نمونه مي توان از کارتهای تلفن كه در سال اشاره كرد .
هوشمند كارت ساختار اساس بر
شوند :ها به دو گروه تقسيم ميكارترييزكارت داراي كيه حافظه هاييي بيا همراه به پردازنده شيبيه RAMاي
هستند
هاي حافظه يا در اصطل ح كارتMEMORY CARDS
دستگاه با كارت ارتباط نوع اساس برخوانكارت
شوند :ها به دو گروه تقسيم ميكارت1.CONTACT SMART CARDS
2.CONTACT LESS SMART CARDS
الكترونيكي پول
پول الكترونيكي يكي از دستاوردهاي فن آوري اطلعات است كه جايگزين خوبي براي پول كاغذي و سكه مي باشد.در اين روش از قبل مبلغي پرداخت شده و در فروشنده براي پول هنگام خريد ايين ميي شود دريافيت الكترونيكيي پول آين مقابيل
ارسال مي شود . و در هر زمان قابل تعويض با پول كاغذي خواهد بود.
الکترونیکی پولهای اقسام
1.E-GOLD
2.MONEY BOOKERS
3.PYPAL
الكترونيكي پول هاي ويژگيمعين بودن مقدار پول.1عدم وجود رد پا از نحوه و طرز خرج شدن.2عدم امكان كپي برداري.3داشتن حريم خصوصي.4امنيت .5قابليت انتقال.6قابليت خرد شدن.7
الكترونيكي چكهاي
چك الكترونيكي يك ابزار نوين پرداخت است متشكل از امنيت و سرعت بوده و بيا چك از قابلييت جایگزينيي بيا استفاده هاي كاغذي در فرآيندهاي تجاري را دارد کيه
شماره حساب و سيستم رمزگذاري كار مي كند .
الكترونيكي چك هاي ويژگيسيستم پرداخت چك را تقويت نموده و مركز جهت رقابت با صنعت بانكداري .1
خواهد بود
مطابق عمليات اخير بازرگاني بوده و نياز به فرايند مهندسي مجدد را از بين .2مي برد
قرن.3 كنندگان مصيرف و شركتهيا نياز رفيع تكنيكهاي 21براي از و طراحي امنيتي ويژه اي استفاده مي نمايد
تمام مشتريان بانكي مي توانند از آن استفاده نمايند.4
الكترونيكي چك هاي ويژگيحسابهاي بانكي موجود را با ابعاد جديد تجارت الكترونيكي گسترش مي .5دهد
هاقابليت پيوند به اطلاعات نامحدود و معاوضه سريع بين ساير بخش.6
هاي پرداخت الكترونيكي با ميزان ريسك بال و يا حلدر جايي كه ساير راه.7 روندترين ابزار پرداخت فعال تا به امروز به شمار مينامناسب باشند . امن
پرداخت ریز سیستمهایدر اين سيستم ها مبالغ رد و بدل شده ، از مرز ويژه اي بروز از ناشي احتمال آنهها بنابرايهن در و كنهد نمهي تجاوز نيهز پروتكل . به هميهن دليهل تقلهب و حملهه ، جدي نيست هاي مربوطه از ابزارهاي امنيتي كم توازن تري استفاده مي نمايند تا كارايي و سراعت كاركرد را بال برده ، ترافيك اين كاربردهاي از برخهي . برسهانند اندازه كمتريهن بهه را سيستم ها ، دريافت اطلاعات ويژه كم بها و بريده اي از
جرايد هستند .
توان مي هها سهيستم ايهن انواع و MILLICENTاز SUBSCRIP. را بر شمرد
X.800 استاندارد
X.800استاندارد
فراهم کننده يک چارچوب سمانتيک براي توصيف•حملت امنيتي •مکانيزم هاي امنيتي•سرويس هاي امنيتي•
) : Security Attackحمله امنيتي(•اعملي كه امنيت اطلاعات سازمان را نقض مي كند
) :Security Mechanismمكانيزم امنيتي(• از حملتبازيابي و جلوگيري, تشخيصروش درنظرگرفته شده براي
-رمز نگاري، امضاي ديجيتال ، پروتکل هاي احراز اصالت و...)Security Serviceسرويس امنيتي(•
باليزمهاي با استفاده از مکانسرويس هاي تضمين كننده امنيت- محرمانگي، انکار ناپذيري، صحت و..
در تعاريفX.800
فرستنده رندهيگ
کانال data, control messages
داده
Alice Bob
Trudy
انواع و ماهيت حملت
اختلل در شبكه و : )Interruptionوقفه(–سرويس
انواع و ماهيت حملت
رندهيگ
data, control messages
داده داده
Alice Bob
Trudy
داده
کانال
فرستنده
ا ي ياستراق سمع ارتباطات شخص: )Interception (دشنو–نيري سايمخف
انواع و ماهيت حملت
فرستنده رندهيگ
کانال data, control messages
داده متفاوت داده
Alice Bob
Trudy
ههها – هههاي سيستم يا :دستكاري داد تغيير غيرمجاز دادشبكه
انواع و ماهيت حملت
دادهفرستنده
AliceTrudy
رندهيگ داده
BobTrudy
: ارسال داده توسط )Fabrication(جعل هویت –رمجاز با نام کاربران مجازيکاربران غ
دسته بندي کلي حملت )Passive attack( حملت غيرفعال•
شنود–پيام افشاء•تحليل ترافيک•
)Active attack( حملت فعال •)Masquerade( جعل هويت–)Replay( ارسال دوباره پيغام–)Modification( تغيير –)Denial of Service( اعدم ارائه سرويس –
مكانيزمها
) : Security Attackحمله امنيتي(•اعملي كه امنيت اطلاعات سازمان را نقض مي كند
) :Security Mechanismمكانيزم امنيتي(•روش درنظرگرفته شده براي تشخيص, جلوگيري و بازيابي از
حملت)Security Serviceسرويس امنيتي(•
باليزمهاي با استفاده از مکانسرويس هاي تضمين كننده امنيت
حفاظت نوع دو
) شبكه ليه سطح packetدر
filtering(دارد كنترل پكتها سرآيند روي تنها
دارد كنترل هم پكتها دادة محتواي روي
) كاربرد ليه سطح )proxy serverدر
ههاي هنشبك بي امن ارتباط
امن ارتباط
رمزگذاري
رمزگشايي
كليد توافق
ايجاد VPNنوعي ( PPTPپروتكل ميكند )
به دسترسي لية در نسازي امشبكه
اتصال ليهشبكه به
ترافيكي+ يلهاي تحل از كامل جلوگيرينتها- ا به نتها ا سرويس به دستيابي عدم
همة- در بايد نياز مورد شود nodeتغييرات اعمال شبكه هاي
IP-sec}Tunneling mode
Transport mode
شبکهليه هستند+ شفاف كاربردها ديد از امنيتي سرويسهاي
نيستند- كاربر به وابسته سرويسهايشود- م هسازي پياد مشكل انكارناپذيري سرويسهاي
ينترنت ا لية در نسازي ام
-SSH (Secure Shell )
-SSL (Secure Sockets Layer)
لية در نسازي امحمل
حمل ليهاعمالند+ قابل نظر مورد كاربردهاي براي امنيتي سرويسهاي
نمود- اعمال را نياز مورد اصلحات كاربردها در بايد
لية در نسازي امكاربرد
كاربرد ليههستند+ شفاف شبكه ديد از امنيتي سرويسهاي
مجزا- بطور بايستي كاربرد هر براي امنيتي سرويسهايشوند پياده و طراحي
-) كليد توزيع و اصالت احراز و...) NetSP/SPX/SESAMEسيستمهاي-( / / الكترونيكي ( چك ديجيتال پول بار اعت كارت الكترونيكي پرداخت سيستمهاي- WWW )امنSecure HTTP )-) امن )SMIME/PGP/PEMپستامن - دور از دسترسي
ليه د چندين در نسازي ام اوقات از بسياري ردارد ضرورت
) : Security Attackحمله امنيتي(•عملي كه امنيت اطلعات سازمان را نقض مي كند
) :Security Mechanismمكانيزم امنيتي(• از بازيابي و جلوگيري, تشخيصروش درنظرگرفته شده براي
حملت)Security Serviceسرويس امنيتي(•
باليزمهاي با استفاده از مکانسرويس هاي تضمين كننده امنيت
ها سرويس
سهاي امنيتي سروي
سرویس امنیتی : فرایندی ارائه شده توسط یک سیستم برای •محافظت از منابع
•X.800 سرویس تقسیم14 و دسته5 سرویس های امنیتی را به بندی می کند
احراز اصالت•کنترل دسترسی•محرمانگی•صحت داده•انکار ناپذیری•
سهاي امنيتي سروي
: اطمینان از ماهیت طرفین ارتباطاحراز اصالت ••Peer Entity Authentication
دو سیستم متفاوت که یک پروتکل مشابه را پیاده Peerمنظور از •سازی کرده اند
هویت طرفین را در شروع ارتباط و در طول آن تضمین می کند••Data-Origin Authentication
تایید هویت منبع ارسال داده•در مقابل حمله تکرار آسیب پذیر است•
سهاي امنيتي سروي: اعمال محدودیت در )Access Control(کنترل دسترسی •
دسترسی به سیستم ها و منابع از طریق شبکه : اطمینان از افشای غیر مجازمحرمانگی •
•Connection Confidentiality : محافظت از تمامی اطلعات کاربر در ارتباط
•Connectionless Confidentiality : محافظت از تمامی اطلعات کاربر در یک بلوک داده
•Selective-Field Confidentiality : محافظت از برخی فیلدهای اطلعاتی در طول یک ارتباط یا یک بلوک داده
•Traffic-Flow Confidentiality : محافظت از اطلعاتی که با مشاهده جریان اطلعات بدست می آید
سهاي امنيتي سروي: اطمینان از عدم تغییر غیر مجاز دادهصحت داده •
•Connection Integrity with Recovery : سرویس صحت بر روی تمامی اطلعات کاربر و تشخیص تمامی عوامل برهم زننده صحت با تلش برای
بازیابی•Connection Integrity without Recovery : مشابه
قبلی بدون عملیات بازیابی•Selective-Field Connection Integrity
•Connectionless Integrity•Selective-Field Connectionless Integrity
سهاي امنيتي سرويانکار ناپذیری•
•Nonrepudiation, Origin
•Nonrepudiation, Destination
لغت نامهAuthentication تاصالاحراز
Vulnerability بپذيري آسي
Fabrication اطلعاتجعل
Integrity جامعيت
Masquerade (ايفاي نقش)جعل هويت
Availability سپذيري دستر
Tampering دستكاري
Modification هها دستكاري داد
Authorization دستيابي مجاز
Circumvent دور زدن Audit ثبت رويدادFlaw, Breach امنيتي رخنه
Encryption رمزگذاري
Interception شنود
Integrity صحت
Dos: Denial Of Service عدم ارائه سرويس
Non Repudiation مانكار عد
Confidentiality محرمانگي
Intrusion نفوذ
Interoperable هم ساز
Interruption وقفه
MAC: Message authentication code
کد احراز هويت پيام
Accountability جوابگويي
Access Control کنترل دسترسي