در جامعه اطلاعاتي استفاده بهينه از حجم بالاي اطلاعات و فراهم كردن سود بيشتر مورد نظر است. اكثر شركتها امروزه نيروي خود را بيشتر روي ارائه و فروش اطلاعات از طريق شبكه اينترنت متمركز كرده اند. پروتكل هاي گوناگوني براي پياده سازي تجـــارت الكترونيك مطرح هستند كه زمينه هاي امنيتي و مالي اين سرويس را در شبكه اينترنت پشتيباني مي كنند. تجـــارت الكترونيكي دربرگيرنده مكانيسم هاي پرداختي مختلفي است كه ت ...
مشخصات تجارت الكترونيكي
در جامعه اطلاعاتي استفاده بهينه از حجم بالاي اطلاعات و فراهم كردن سود بيشتر مورد نظر است.
اكثر شركتها امروزه نيروي خود را بيشتر روي ارائه و فروش اطلاعات از طريق شبكه اينترنت متمركز كرده اند.
پروتكل هاي گوناگوني براي پياده سازي تجـــارت الكترونيك مطرح هستند كه زمينه هاي امنيتي و مالي اين سرويس را در شبكه اينترنت پشتيباني مي كنند.
تجـــارت الكترونيكي دربرگيرنده مكانيسم هاي پرداختي مختلفي است كه توسط شركتهاي گوناگون طراحي شده اند.
سيستم پرداخت بانك اينترنتي سيستمي است كه تمام مراحل پردازش تجارت الكترونيكي روي شبكه هاي عمومي را انجام مي دهد.
مقدمه
با مطرح شدن فناوري اطلاعات در سطح جهاني و گسترش اينترنت، تجارت الكترونيكي جايگاه مهمي يافته است و در اين ميان ايران نيز ناگزير به اين عرصه خواهد پيوست. در جامعه اطلاعاتي، استفاده بهينه از حجم بالاي اطلاعات و فراهم كردن سود بيشتر مورد نظر است. امروزه اكثر كمپاني ها نيروي خود را بيشتر صرف ارائه و فروش اطلاعات از طريق بازار يكپارچـــه جهاني يا اينترنت متمركز كرده اند. تجارت الكترونيــــك در ايران نيز مي تواند قابليتها و مزاياي ويژه اي را داشته باشد. در اين مقاله تجارت الكترونيكي باتوجه به نياز در سطوح متفاوتي مطرح شده كه به شرح سرويس ها و مزاياي استفاده از تجارت الكترونيكي در ايران مي پردازد. پروتكل هاي گوناگوني براي پياده سازي تجارت الكترونيك از قبيل OFX ، SSL، IKP ، SET مطرح هستند كه زمينه هاي امنيتي و مالي اين سرويس را در شبكه اينترنت پشتيباني مي كنند. پروتكل OTP چهارچوب كلي تجارت الكترونيك را بدون توجه به سيستم پرداختي ايجاد مي كند. XML تبادلات داده را در تجارت الكترونيك در بر مي گيرد. XML زبان مدل سازي جديدي است و جايگزين EDI شده است. در اين مقاله پروتكلها و استانداردهاي تجارت الكترونيكي مطرح مي گردد. امنيت در اينترنت در شكلهاي متفاوتي مطرح مي شود. تجارت الكترونيكي روشهاي امنيتي خاص خود را داراست كه به آنها اشاره مي شود. مسايل مالي، پولهاي ديجيتالي از ديگرمباحثي است كه در سرويس تجارت الكترونيكي نقش اساسي داشته كه به آنها اشاره خواهد شد.
1 - ايجاد شرايط مناسب براي تجارت الكترونيكي
! رشد اينترنت در ايــران بــايستـي در سياست گذاريها بيشتر در نظر گرفته شود؛
! فراهم كنندگان بايستي پهناي باند با كيفيت مناسب را براي بازار اينترنت فراهم كنند؛
! بايستي كمپاني ها به ايجاد امنيت لازم براي استفاده از اينترنت براي تبادلات ايمن تشويق شوند و استانداردهاي لازم در اين زمينه معرفي گردند تا سرويس ها در سطح قابل پذيرش ارائه گردد.
2 - مزاياي استفاده از تجارت الكترونيكي در ايران
! مطرح شدن محصولات در سطح جهاني و در نهايت بالارفتن كيفيت محصولات؛
! كاهش موثرتر هزينه هاي عملياتي بين عوامل بازرگاني (PARTNERS)، مشتريان و كانالاهاي آن؛
! افزايش درآمد از طريق مشتريان جديد و كانالــهاي جديد همراه با محصولات و سرويس هاي جديد؛
! جلب رضايت مشتري؛
! صحت سفارشات ONLINE ؛
! در نهايت امكان انجام خريدهاي كوچك تا بستن قراردادهاي كلان و كشوري.
3 - انواع سرويس هاي تجارت الكترونيكي
سرويس هاي تجارت الكترونيكي را از نظر كاربرد مي توان به چند دسته تقسيم بندي كرد. اين سرويس ها به شرح زير هستند:
! ، (BUSINESS TO BUSINESS) B2B : در اين سرويس طرفين معامله شركتها هستند؛
! ،(BUSINESS TO CONSUMER) B2C : در اين
سرويس شركتها با مشتريان در ارتباط هستند؛
!،(GOVERNMENT TO GOVERNMENT) G2G: روابط تجاري بين كشورها را دربر مي گيرد و قوانين تجارت بين المللي را با توافق طرفين و ارائه راهكار شامل مي شود؛
! ، (CUSTOMER-TO-BUSINESS)C2B : طبق پيشنهــــاد مشتري سرويس موردنظر فراهم مي گردد. مثل كرايه يك ماشين از نقطه اي مشخص با مبلغي تعيين شده از يك سايت اينترنتي؛
! ،CUSTOMER- TO-CUSTOMER)C2C) : طرفين معامله افراد هستند. سرويس گيرنده فردي است كه جنس يا كالايي را از شخص ديگر خريــــداري مي كند. مثل آژانس هاي هواپيمايي و سمساريهاي اينترنتي.
4 - مسايل امنيتي در تجارت الكترونيكي
اينترنت به عنوان بستر انتقال اطلاعات در دنياي كنوني مطرح است. TCP/IP پروتكل انتقال اطلاعات در شبكه اينترنت است. با مطرح شدن اينترنت به طور گسترده، مسئله امنيت اطلاعات قابل انتقال، به شكل مشخصي بازگو شد زيرا اطلاعات مهم نيز از طريق اين بستر فرستاده مي شد. اطلاعاتي مثل، شماره كارت اعتباري، فرم پرداخت و غيره از جمله مسايلي بود كه احتياج به امنيت بيشتري داشت. به همين دلايل امنيت در تجارت الكترونيكي جايگاه مهمي داراست.
به چند روش مي توان در اطلاعاتي مداخله كرد كه بين دو كامپيوتر مبادله مي گردد و اين روشها عبارتند از [6,:9]
1 - استراق سمع: اطلاعات توسط فردي خوانده مي شود و مي تواند بعداً مورد استفاده قرار گيرد. مثل شماره حساب يك فرد، در اين حالت محرمانه بودن اطلاعات از بين مي رود؛
2 - تغييردادن پيام: امكان دارد پيام هنگام انتقال تغيير كند و يا كلاً عوض شود و سپس فرستاده شود. مثلاً سفارش كالا مي تواند تغيير يابد؛
3 - تظاهركردن: ممكن است شخصي خود را به جاي يك سايت معرفي كرده و همان اطلاعات را شبيه سازي كند و پس از دريافت مقادير قابل توجه هيچ پاسخي به خريداران نداده و ناپديد گردد.
روشهاي متفاوتي براي جلوگيري از اين مسايل وجود دارد كه يكي از آنها رمزدار كردن پيام است كه خود به چند دسته تقسيم مي گردد. ديگري درهم سازي و فشرده سازي پيام و تهيه DIGEST است. در امضاي ديجيتالي عملاً تلفيقي از اين روشهــا مـــورد استفـاده قرار مي گيرد. انواع روشهاي رمزنگاري بدين شرح است:
! رمزنگاري با كليد متقارن: در اين روش از يك كليد استفاده مي شود. بدين شكل كه يك كليد مشترك بين طرفين وجود دارد. اطلاعات بااين كليد رمزدار شده و فقط توسط طرف مقابل كه دارنده كليد است قابل بازگشايي است. مشكل اين روش تبادل اين كليد قبل از رمزداركردن پيام است.
! رمزنگاري با كليد نامتقارن يا كليد عمومي: در اين روش يك جفت كليد براي انتقال پيام استفاده مي گردد. به اين شكل كه هركاربر داراي يك كليد عمومي و يك كليد خصوصي است. كليد عمومي در يك دايركتوري در اختيار هركس مي تواند قرار گيرد و كليد خصوصي هر فرد را، فقط خودش مي داند. در ارسال پيغام از A به B ، ابتدا A پيام را با كليد خصوصي خود رمزدار كرده سپس با كليد عمومي پيام را ارسال مي كند. در طرف مقابل B پيام را با كليد عمومي رمزگشايي كرده و سپس با كليد خصوصي خود رمز را باز مي كند و پيغام را مشاهده مي كند. اشكال اين روش اين است كه شخص ثالثي مانند C مي تواند خود را به جاي A معرفي كرده و پيامي را با كليد خصوصي خود و سپس كليد عمومي رمزدار كرده وبراي B ارسال كند. در اين روش B نمــي تواند تشخيص دهد كه پيغام ارسال شده حتماً از طرف A بوده است. امضاي ديجيتالـي به عنوان روشي براي جلوگيري از ايجاد اين مشكل به وجود آمده است.
! رمزنگاري بااستفاده از روش كليد عمومي با امضاي ديجيتالي:
امضاي ديجيتالي همراه با كليد عمومي، موجوديتي است كه به شخص طرف مقابل اين امكان را مي دهد تا تشخيص دهد كسي را كه پيغام را فرستـــاده، همان كسي است كه ادعا مي كند، و پيغام دريافت شده همان پيغام ارسال شده است. (تصديق اصالت).
در روش امضاي ديجيتالي از كليد عمومي همراه با توابع HASH استفاده مي شود. اين كليد داراي يك تاريخ انقضا نيز هست كه هرچه مدت اعتبارش كوتاهتر باشد اعتبار آن بالاتر است زيرا احتمال جعل آن بالا مي رود. گيرنده پيغام امضاي انجام شده را چك مي كند تا از اصالت آن باخبر شود.
مراكزي كه امضاي ديجيتالي را در اختيار قرار مي دهند خود از مراكز ديگري اعتبار گواهينامه را دريافت كرده اند. اين مركز موجوديتي است كه اعتبار را براي يك فرد ايجاد مي كند. چند نمونه از آنها XCERT ، VENSIGN ، THAWTE هستند كه با دريافت وجه مشخصي اين اعتبار را در اختيار قرار مـــي دهند.
5 - مسايل مالي و پرداخت در تجارت الكترونيكي
باتوجه به رشد اينترنت و مسئله خريد كالاها از اينترنت، مكانيسم هاي مختلفي براي پرداخت در برابر خريد موردنظر مطرح شد. در واقع پرداخت در تجارت الكترونيك، نياز به مكانيسم هاي پرداخت ارزان و سريع دارد. در اين راستا روشهاي پرداختي گوناگون ايجاد شده اند، كه هريك قابليت خاص خود را دارد و در بعضي موارد شبيه به پول واقعي هستند. در اينجا انواع مكانيسم هاي پرداختي و شركتهاي وابسته به آنهـــا آورده شـده است. [10] (سيستم هاي پرداخت رايج در وب جهاني را از نظر ساختار فيزيكي نيز مي توان دسته بندي كرد) سيستم هايي كه از پول ديجيتالي (DIGITAL MONEY) استفاده مي كنند:
! ، CYBERCOIN & CYBERCASH
! ، ECASH
سيستـم هايي كه از كارتهاي اعتباري استفاده مي كنند:
! ، CYBANK
! ، CYBERCASH & CYBERCOIN
! ، IKP, SET
سيستم هايي كه از كارتهاي هوشمند استفاده مي كنند:
MONDEX !
FETFARE !
VERIFONE !
سيستم هايي كه چك هاي الكترونيكي را فراهم مي كنند:
AXCEL CHECK !
CHECK FREE !
REDI-CHECK !
سيستم هايي كه ريزپرداختها را فراهم مي كنند:
MILLICENT !
MINI-PAY !
به طور نمونه ECASH پروتكل پول الكترونيكي است كه به وسيله DAVID CHAUM از شركت DIGICASH توسعه يافته است. در ECASH ، كاربر يك سري رشته هاي بلند از شماره ها را بانامTOKEN جمـع آوري مي كند كه به عنوان پول شناخته مي شود. ايـــن TOKEN ها درست مثل پول فيزيكي مبادله مي گردد. اين سيستم عدم انكار را براي كاربر پشتيباني مي كند، نياز به سخت افزار خاصي نداشته و داراي هزينه است.
6 - ابزار تبادلات الكترونيكي (XML)
EXTENSIBLE MARKUP LANGUAGE) XML يك زبان نشانه گذاري براي ايجاد مستندات ساختار يافته است. XML شبيه به HTML است، بااين تفاوت كه XML ، قابل گسترش است. درواقع XML و HTML زير مجموعه اي از SGML هستند. XML يك استاندارد باز، قابل گسترش، بين المللي و در دسترس اسـت. XML يك زبان از پيش تعريف شده نيست بلكه قابليت تعريف نشانه گذاريها و TAG هاي جديد را فراهم مي سازد.
قبلاً از EDI براي تبادل داده بين دو كامپيوتر استفاده مي شد كه به دليل محدوديتهايي كه داشت كنار گذاشته شده و در حال حاضر از XML استفاده مي شود. XML در مقايسه با EDI داراي مزاياي زير است:
! امكان تبادل داده تحت اينترنت؛
! هزينه پياده سازي پايين تر؛
! سرعت بالاي تبادلات.
7 - استانداردها و تجارت الكترونيكي
استانداردها نقش مهمي را در توسعه يك ساختار ايفا مي كنند. استانداردهاي زيادي در زمينه هاي مختلف تجارت الكترونيكي مطرح هستند. مديران IS بايستي با استانداردهاي موجود آشنا بوده و قابليت اجراي آنها را براي ارگانيسم خود ارزيابي كنند. استانداردها و پروتكل هاي تجارت الكترونيك در زمينه هاي مختلف عبارتند از:
! پروتكل هاي امنيتي ( STT,S-HTTP,SSL و...)
! پروتكل هاي امنيتي - پرداختي (SEPP,IKP,SET)
! پروتكل هاي مالي - پرداختي (JEPI,BIPS,OFX و...)
1-7 پروتكل هاي امنيتي: اخيراً هر كاربر اينترنت بايد تبادلات را قبل از فرستادن پيام از طريق اينترنت به طور روشن محافظت كند. يك دسته از پروتكل هاي امنيتي، امنيت را براي لايه اينترنت فراهم مي كنند. اين پروتكل ها مثــــل ISAKMP,SKIP,IPSEC و غيــره پروتكل هاي امنيتي لايه اينترنت هستند. سري ديگر از پروتكل هاي امنيتي، پروتكل هاي امنيتي لايه انتقال هستند مثل TLS,PCT,SSL و SSH .آخرين سري از پروتكل هاي امنيتي، پروتكل هاي امنيتي لايه كاربردي هستند. اين پروتكل ها مثـل SMTP,S-HTTP ، امنيت را در لايه كاربرد ايجاد مي كنند.
انتقال اطلاعات مهم مثل شماره كارت اعتباري اشخاص بايد با امنيت كامل انجام گيرد. بافرض يك انتقال ايمن با پروتكل SSL,TCP/IP به عنوان پروتكل امنيتي لايه انتقال در زير لايه كاربردي قرار گرفته و امنيت ارتباطات بين سرويس دهنده و سرويس گيرنده را برقرار مي كند.SSL يكي از پروتــكل هاي امنيتي است و به دليل مزاياي زير براي سرويس تجارت الكترونيك مناسب است [3,7].
! مستقل از لايه كاربرد است؛
!، SSI از تكنيك رمزنگاري خود به صورت قابل انعطاف عمل مي كند؛
! تصديق اصالت را براي طرفين معامله فراهم مي سازد؛
! رمـــزنگـاري و امضاي ديجيتالي را به كار مي برد؛
! قابليت كار با FTP ،TOLMET ، HTTP را داراست.
پروتكل S-HTTP جايگزيني براي SSL محسوب مي شود و اولين بار توسطEIT مطرح شد. اين پروتكل به ميزان SSL ، شناخته شده نبوده و فقط با HTTP سازگاري دارد.
SSL نيازهاي امنيتي ذيل را براي سرويس تجارت الكترونيك برآورده مي سازد. اين نيازهاي امنيتي عبارتند از:
! پنهان سازي (PRIVACY) فرض كنيد كه پيغام هاي انتقال يافته از A به B رمزدار شده است. A از كليد عمومي مربوط به B براي كدكردن پيغام استفاده مي كند. در اين حالت B تنها كسي است كه مي تواند پيغام را رمــزگشايي كرده و بااستفاده از كليد خصوصي اش آن را بخواند.
! تصديق اصالت ((AUTHENTICITY
گيرنده اطلاعات اين امكان را پيدا مي كند كه هويت فرستنده را دريابد.
منبع:
http://www.imi.ir/tadbir/tadbir-132/article-132/6.asp