930 likes | 1.66k Views
امنیت در بانکداری الکترونیکی. فریال مردادی – هنگامه علیدوست – شیوا بهزادی. بانکداری اینترنتی.
E N D
امنیت در بانکداری الکترونیکی فریال مردادی – هنگامه علیدوست – شیوا بهزادی
بانکداری اینترنتی • بانکداری اینترنتی شیوه ای ا ز عرضه خدمات و محصولات بانکی به شیوه الکترونیکی است که در آن اینترنت نقش محوری و کلیدی در عرضه خدمات و محصولات بانکی دارد.همچنین این شیوه بانکداری باعث توسعه اینترنت در بانکداری الکترونیکی شده است
نیازهای امنیتی در یک سیستم مبادلاتی از طریق اینترنت • محرمانه ماندن اطلاعات --- Confidentiality • احراز هویت --- Authentication • سلامت داده و جامعیت --- Integrity • غیر قابل انکار ساختن پیامها ---Non Repudiation • کنترل دسترسی --- Authorization
محرمانه ماندن اطلاعات (Confidentiality) • به مجموعه مکانیزمهایی که تضمین می کند داده ها و اطلاعات مهم کاربران از دسترس افراد بیگانه و غیر مجاز دور نگاه داشته می شود.
احراز هویت • به مجموعهٔمکانیزمهایی که این امکان را فراهم می کنند که بتوان مبدأ (صاحب) واقعی یک پیام، سند یا تراکنش را بدون ذره ای تردید یا ابهام مشخص کرد .
سلامت داده ها یا جامعیت • مجموعهٔمکانیزمهایی که از هر گونه تحریف، دستکاری،تکرار (Replay)، حذف یا آلوده سازی داده ها پیشگیری می کنند یا حداقل باعث کشف چنین اقداماتی می شوند.
غیر قابل انکار ساختن پیامها • مجموعهٔمکانیزمهایی که به پیامها وتراکنشها، پشتوانهٔ حقوقی می بخشد و اجازه نمی دهد که فرستنده به هر طریق ارسال پیام خود را انکار کند و یا گیرنده منکر دریافت آن شود.
کنترل دسترسی • مکانیزمهایی که دسترسی به کوچکترین منابع اشتراکی شبکه را تحت کنترل در آورده و هر منبع را بر اساس سطح مجوز کاربران در اختیار آنها قرار می دهد .
زمانی که یکی از سرویس های امنیتی نام برده شده نقض شود ،حمله صورت گرفته است.
انواع حمله • وقفه • استراقسمع • دستکاری • افزودن
حمله از نوع وقفه • بدین معنا که حمله کننده باعث شود که بخشی از شبکه یا سرویس دهنده ای مختل شود.
حمله از نوع استراق سمع • به این معنی که حمله کننده توانسته است بنحوی اطلاعات در حال تبادل بر روی شبکه را گوش داده و از آن سوء استفاده نماید .
حمله از نوع دستکاری • به این معنی که حمله کننده توانسته است به نحوی اطلاعاتی که روی شبکه مبادله می شود را تغییر دهد. بعبارت دیگر داده هایی که در مقصد دریافت می شوند ، متفاوت با آن چیزی باشد که از مبدا ارسال شده باشد.
حمله از نوع افزود ن • یعنی حمله کننده اطلاعاتی را که در حال تبادل است تغییر نمی دهد بلکه اطلاعات دیگری را که مخرب یا بنیانگذار حملات بعدی باشد به اطلاعات اضافه می نماید.(مانند ویروسها)
دو ابزار مهم مورد استفاده در بانکداری اینترنتی • امضای دیجیتال • گواهینامه دیجیتال
امضای دیجیتال • در دنیای مجازی امروز هر مکانیزمی که بتواند سه نیاز زیر را در خصوص اسناد و مدارک دیجیتالی برآورده کند، «امضای دیجیتالی» نامیده می شود.
1- دریافت کنندهٔ سند یا پیام الکترونیکی بتواند هویت صاحب سند را به درستی تشخیص بدهد و از جعلی نبودن آن اطمینان حاصل کند. • 2- صاحب و امضا کنندهٔ سند بعداً نتواند محتوای سند یا پیام ارسالی خود را به هیچ طریقی انکار کند. • 3- یک متقلب ثالث نتواند پیامها یا اسناد جعلی تولید و آنها را به دیگران منتسب کند.
گواهی نامه های دیجیتالی • گواهینامه ی دیجیتالی حاوی پاره ای اطلاعات در خصوص کاربر ، تاریخ صدور و انقضا و از همه مهم تر کلید عمومی کاربر است .
ابطال گواهینامه های دیجیتالی • گواهینامه های دیجیتالی دارای مهلت اعتبار هستند و پس از انقضای زمان از ارزش ساقط می شوند ولی گاهی اتفاق می افتد که مرکز صدور گواهینامه بایستی گواهینامه ایی را زود تر از موعود باطل اعلام کنند.
پروتکل های بکار گرفته شده جهت امنیت در بانکداری اینترنتی • (امنیت در لایۀ انتقال و کاربرد)
پروتکل SSL برای کاربردهای مالی و تجاری هیچ گاه نباید به امنیت لایه زیرین اتکا کرد بلکه به مکانیزم های امنیتی در سطح بالا نیاز داریم . شرکت نت اسکیپ با طراحی و ارائه یک بسته امنیتی به نام SSL سعی کرد یک لایه امنیتی بر روی لایه انتقال TCP به وجود بیاورد در حقیقت SSL تلاش می کرد تا جای خالی لایه نمایش که در مدل هفت لایه ای OSI وجود داشت ولی در TCP از آن خبری نبود پر کند .
خدمات پروتکل SSL • الف) مذاکرۀ مقدماتی و توافق پارامتر ها و الگوریتم های امنیت بین سرویس دهنده و مشتری • ب) احراز هویت سرویس دهنده و مشتری به صورت کاملاً مجزا و مستقل • ج)تبادل اطلاعات به صورت رمزنگاری شده • د) بررسی صحّت و اصالت داده ها
پروتکل HTTPS • وقتی از HTTPبرروی SSL استفاده شود اصطلاحاً آن را HTTPSمی نامند . • HTTPS هیچ تفاوتی با HTTP ندارد بلکه فقط برقراری اتصال از طریق SSL توسط هر برنامۀ کاربردی بلامانع است .
روال پردازش و ارسال داده ها در ssl • Fragmentation : در این مرحله داده های دریافتی به قطعات کوچکتر شکسته می شود ( 16 بایتی) . • Compression : در این مرحله داده ها طبق الگوریتم توافق شده در دست تکانی فشرده سازی می شود . • Message authentication: در این مرحله باید به انتهای قطعه داده ، کد احراز هویت اضافه شود تا گیرنده بتواند دست نخوردگی و سلامت پیامها را بررسی و تایید کند .
روال پردازش و ارسال داده ها در ssl • Encryption : در این مرحله داده ها طبق الگوریتم های رمزنگاری توافق شده ، رمز نگاری می شود . • Additionofheader : پس از رمزنگاری داده ها در ابتدای آن سرآیندی اضافه می شود تا گیرنده بتواند داده را بدرستی رمزگشایی و بازیابی کند .
برخی از خطاهای نوع اخطار ALERT • عدم وجود گواهینامه • نامعتبر بودن گواهینامه • عدم پشتیبانی از نوع گواهینامه • گزارش ابطال گواهینامه • گزارش دریافت گواهینامۀ تاریخ گذشته • گزارش گواهینامۀ ناشناخته یا نامفهوم
مکانیزم های تشکیل دهنده SSL • تایید هویت سرویس دهنده : با استفاده از این ویژگی کاربر از صحت هویت سرویس دهنده مطمئن می شود و وقتی کاربر اطمینان پیدا کرد می تواند شماره کارتهای اعتباری و یا پسورد خود را در اختیار سرویس دهنده قرار بدهد
مکانیزم های تشکیل دهنده SSL • تایید هویت سرویس گیرنده : در اینجا سرویس دهنده با استفاده از نرم افزارهایی نام سرویس گیرنده را با نامهای موجود در پایگاه داده مقایسه می کند و در صورت وجود اجازه استفاده از سرویس ها را می دهد .
مکانیزم های تشکیل دهنده SSL • ارتباط رمز شده : کلیه پیامهای مبادله شده بین سرویس دهنده و سرویس گیرنده باید رمزنگاری شود.
Transport Layer Security: TLS • TLS در حقیقت نسخه ای از SSL است که گاهی اوقات آن را SSL3.1 یاد می شود . • نکته: SSL و TLS پروتکل هایی هستند که در لایه انتقال ، امنیت داده را تامین می کند و کاری به لایه های پایین ندارد خواه کل معماری لایه های زیرین سرویس های ناامن ارائه بدهند و یا خواه تمهیدات امنیتی در لایه های زیرین و جود داشته باشد .
در TLS بر خلاف SSL هر گاه مشتری از سرویس دهنده مطالبه ی گواهینامه دیجیتالی کند ولی طرف مقابل ارائه ننماید نشست قابل ادامه نیست .
نرم افزار امنیتی PGP • امنیت لایه کاربرد • این نرم افزار جهت انتقال نامه های الکترونیکی در بانکداری اینترنتی استفاده می شود .
ویژگی های PGP • PGP در حقیقت می توان یک نرم افزار افزودنی دانست که نامه های سنتی را به نامه با ویژگی های زیر تبدیل می کند : • نامه رمزنگاری شده • درج امضای دیجیتال • احراز هویت گیرنده نامه • فشرده سازی
SET: استاندارد تراكنشهاي امن • استاندارد های SSL و TLS خدماتی امن در سطح لایه انتقال ارائه می دهند . ولی برای کارهای تجارت الکترونیک و تبادلات مالی و اعتباری به سرویسها و خدماتی فراتر از آنچه SSL و TLS عرضه می کنند نیاز دارند .
SET: استاندارد تراكنشهاي امن • شرکت مایکروسافت با همکاری موسسات ویزا و MASTER CARD استاندارد SET را در سال 1997 با هدف تضمین امنیت و مدیریت تراکنشهای مالی و خریدوفروشهای اینترنتی پیاده سازی کردند .
SET: استاندارد تراكنشهاي امن • SET استانداردی در لایه کاربرد محسوب می شود و در این لایه امنیت برقرار می کند به پروتکل های SSL و TLS وابسته نیست ولی اگر از این استاندارد ها استفاده کنیم ضریب امنیت بالا می رود .
عوامل درگیر در تراکنش مالی SET • دارنده کارت • فروشنده • صادر کننده کارت • طرف حساب • دروازه پرداخت • موسسه مجاز صدور گواهینامه دیجیتالی
احراز هویت در سیستم های بانکداری اینترنتی
اساسا هر سیستم بانکداری اینترنتی باید موضوع احراز هویت را حل بکند. • فقط افراد مورد قبول می توانند به حسابهای بانکداری اینترنتیشان دسترسی داشته باشند و اطلاعات آنها نمی تواند توسط سوم شخص دستکاری شود و همچنین تمام تراکنش ها قابل پیگیری و قابل تائید باشد.
شیوه های احراز هویت • بعضی چیزهایی که کاربرد می داند (از قبیل کلمه عبور) • بعضی چیزهایی که کاربر دارد (از قبیل کارت های هوشمند) • بعضی چیزهایی که کاربر هست (از قبیل خصوصیات بیومتریک مانند اثر انگشت و غیره)
طبقه بندی شیوه های احراز هویت • پسورد های ثابت • پسورد های یکبار مصرف • کلید خصوصی • TOKENS • کارتهای هوشمند
ارزیابی احراز هویت در بانکداری اینترنتی با استفاده از شیوه های بیومتریک • BIO = زندگی METRIC= اندازه گیری • بیومتریک علم شناسایی افراد از طریق مشخصات انسانی اوست که شامل اثرانگشت ، کف دست ، صورت ، امضا ، دست خط ، اسکن عنبیه و شبکیه و صدا است که هر کدام دارای نقاط ضعف و قوت هستند
در سیستم بیومتریک با استفاده از وسایل مخصوص ازآن روش تا سه بار الگوی اولیه گرفته می شود و در نهایت بهترین الگو ذخیره می شود. • عوامل تاثیر گذار بر روی سیستم های بیومتریک می تواند شامل نور ، گرما ، رطوبت و..... و یا کار سخت برای اثرانگشت و یا عینک و آسیب دیدن برای صورت....
طبقه بندی بیومتریک • بیومتریک فیزیکی : • اثر انگشت : تجزیه و تحلیل اثر انگشت • صورت : سنجش وضعیت صورت • کف دست : سنجش خطوط کف دست • اسکن عنبیه : تجزیه و تحلیل ویژگی های رنگ چشم و حلقه چشم • اسکن شبکیه : تجزیه و تحلیل رگهای خونی در چشم • DNA : تجزیه و تحلیل ژنتیکی
2. بیومتریک رفتاری • بلند گو / سیستم تشخیص صدا : تجزیه و تحلیل رفتار صوتی • امضا/ دست نوشته : تجزیه و تحلیل وضعیت دست خط • ضربه کلید : سنجش فاصله زمانی تایپ شده
مهمترین ریسک های امنیت بانکداری الکترونیکی • ریسک امنیت • ریسک زمان از دست رفته • ریسک اجتماعی • ریسک حریم خصوصی • ریسک عملکرد
ریسک امنیت • ریسک امنیت بطور متوسط با مشتریان بوده با از دست دادن پولشان (به صورت نقدی یا ازطریق کارت اعتباریشان) • امنیت وب تاکید قابل توجهی را برروی پذیرش مشتری برای بانکداری آنلاین دارد و مشتریان تمایل به افزایش خرید دارند درصورتی که بفهمند شماره کارت اعتباریشان و دیگر اطلاعات حسابشان امن است.
ریسک زمان از دست رفته • اینترنت هزینه های دستیابی به اطلاعات را کاهش داده است مشتریان متحمل صرف هزینه های زمان برای استفاده ازبانکداری آنلاین می شوند . • زمان یادگیری برای چگونگی خرید ازیکوب سایت بانک خاص • زمان انتطار برای پاسخ به آن • سرعت دانلود وب سایت