سرویسهای پیام کوتاه و پرداخت موبایل

سرویسهای پیام کوتاه و پرداخت موبایل

توسط admin | گروه الکترونیک | 1394/05/04

نظرات 0

 سرويس پيام کوتاه، امکان تبادل پيام هاي کوتاه تا حداکثر 160 حرف را ممکن مي کند. SMS از طريق مسير سيگنال مجزا با کانال صوتی ارسال مي شود و قابليت انتقال همزمان با صوت, داده و فکس را دارد.  سيستم SMS براي محافظت از پيامها از مکانيزم رمزنگاري GSM در واسط راديويي استفاده مي کند و در ساير قسمت هاي شبکه  پيام ها به صورت رمز نشده مبادله يا نگهداري مي شوند. ذخيره پيام ها در مرکز SMS يا SMSC مي تواند مشکلاتي مثل امکان مشاهده يا تغيير پيام ها را توسط حمله  کننده ايجاد کند. يکي از خطراتي که سيستم SMS را تهديد مي کند SMS هاي جعلي مي باشد. به راحتي مي توان SMS هايي با مبدأ جعلي خصوصاً از طريق اينترنت توليد کرده و ارسال نمود و امکان تشخيص جعلي بودن اين پيام ها هم در اغلب موارد وجود ندارد. ابزارهاي توليد چنين SMSهايي بسيار ارزان و ساده در دسترس هستند. مکانيزم هاي مفيدي مانند  STK اين امکان را فراهم مي کند که سيم کارتها در تلفن هاي همراه، قابليت مديريت برنامه هايي مثل عمليات بانکي وسرويس هاي اطلاعاتي را بدست آورد. اين برنامه ها واسط کاربر و تبادل پيغام ها با سرور را از طريق کانال SMS مديريت مي کنند.

 
 

کانال صوتي

کانال صوتي مي تواند براي شناسايي مشتري مورد استفاده قرار گيرد. مکانيزم هايي نظير DTMF اين امکان را فراهم مي کند تا داده هايي مثل رمزعبور از طريق کانال صوتي جابجا شود. همچنين خود صوت هم مي تواند به صورت يک نشانه براي شناسايي با مکانيزمي مشابه اثرانگشت عمل کند. در صورت استفاده از نرم افزارهاي تبديل صوت به متن از صوت مي توان براي انتقال کلمه رمز نيز استفاده نمود. به دليل آنکه اين اطلاعات در ميان هزاران تماس تلفني ديگر مبادله مي شود ريسک افشاء شدن آنها زياد نمي باشد. 

 

تهديدهای امنيتی برای پرداخت درمحيط موبايل 

براي يک پرداخت الکترونيکي مهمترين تهديد، ايجاد يک معامله جعلي مي باشد]10[. اين کار هم از طريق جعل هويت کاربر و هم با تغيير جزئيات يک تراکنش قابل حصول مي باشد. براي موفقيت ايجاد يک معامله جعلي لازم است که حمله کننده تعدادی از اطلاعات زير را در اختيار داشته باشد: 
  • بدست آوردن کلمة عبور يا شماره PIN
  • بدست آوردن شماره حساب مشتري
  • بدست آوردن شماره تلفن همراه مشتري
  • توانايي ارسال پيام پاسخ احراز هويت براي بانک 
معمولاً آگاهی از يکي از اطلاعات فوق بدون دسترسي به ساير اطلاعات نمي تواند خطري جدی براي يک سيستم پرداخت داشته باشد. مورد ديگری که کاربران نسبت به آن حساسيت نشان می دهند، حفظ حريم شخصي و امنيت اطلاعات شخصيشان مي باشد. به عبارت ديگر از دست رفتن حريم هاي شخصي کاربران يکی ديگر ازحملات امنيتی به حساب می آيد. حمله ممانعت از سرويس که باعث عدم توانايي سيستم پرداخت در سرويس دهي به مشتريان مي-شود، يکی ديگر ازحملات امنيتی است. از لحاظ اهميت، انجام معامله جعلی درجه بالا ، نقض حريم شخصی درجه ميانه و تهديد ممانعت از سرويس کمترين اهميت را در بررسي ها خواهد داشت. 
در شبکه GSM کليه ترافيک سيگنال ها و داده ها با الگوريتم A5 رمز مي شود. اين رمزنگاري از دستگاه تلفن همراه تا آنتن دريافت کننده ادامه دارد. اما علاوه بر آنکه راه حل هايي براي شکستن نسخه هاي مختلف اين الگوريم منتشر شده است, کنترل استفاده يا عدم استفاده از رمزنگاري در اختيار ايستگاه کنترل کننده آنتن ها مي باشد.
همچنين در شبکه GSM کاربر امکان مشاهده خصوصيات امنيتي را ندارد. بنابراين استفاده کردن يا استفاده نکردن از رمزنگاري  بدون اطلاع کاربر مي باشد. علاوه بر آن در GSM احراز هويت يکطرفه مي باشد، به اين معني که فقط شبکه، مشترک را شناسايي مي کند و امکان احراز هويت عناصر شبکه براي کاربر وجود ندارد. بنابراين يک حمله کننده به راحتي و با داشتن تجهيزات کافي که زياد هم گران قيمت نيستند، مي تواند وانمود کند که يک آنتن در شبکه مخابراتي بوده و داده ها و سيگنال-هاي کاربر را دريافت کند. 
به اين ترتيب يک حمله کننده با راه اندازي يک آنتن، بدون نياز به بدست آوردن کليدهاي رمزنگاري وتنها با ارسال دستور عدم استفاده از رمزکردن اطلاعات براي تلفن همراه مي تواند کلية داده هاي کاربر را به راحتي دريافت کند. به عبارت ديگر واسط راديويي شبکه GSM در مقابل کليه حملات مطرح در شبکه هاي الکترونيکي آسيب پذير مي باشد. بنابراين برای کاهش امکان استفاده کلاهبرداران از اطلاعات در صورت استراق سمع بايد دقت داشت که داده های حساس در پيام های مجزا ارسال شده و يا به صورت رمز شده مبادله شوند. همچنين برای اطمينان از اصل بودن پيام های دريافت شده ، لازم است در پروتکل پرداخت تمهيداتی انديشيده شود.

 

خصوصيات پروتکل پيشنهادی

اگرچه امنيت يک متد پرداخت برای همه طرف ها بسيار مهم است ولی امنيت به تنهايي نمی تواند موفقيت يک پروتکل پرداخت را تضمين کند. يک سيستم پرداخت بايد به اندازه کافی برای کاربر راحت باشد. اين نکته خصوصاً در استفادهاز تلفن همراه که وارد کردن اطلاعات برای کاربر مشکل می باشد بسيار اهميت دارد. بنابراين مهمترين مسئله ای که در طراحی اين پروتکل در نظر گرفته شده است فراهم کردن روشی سريع، امن، ساده و ارزان می باشد. به عبارت ديگر تلاش شده تا هر دو جنبه امنيت و راحتی استفاده به دقت مورد توجه قرار گيرد تا پروتکل به صورت عملی قابل استفاده باشد.
در طراحي پروتکل سه قدم اصلي وجود دارد. اول مشخص کردن حجم تراکنش پرداخت، سپس انتخاب کانال براي عرضه خدمات و نهايتاً انتخاب الگوريتم هاي رمزنگاري متناسب با محدوديت هاي حافظه و توان تلفنهاي همراه.

 

حجم تراکنش پرداخت

ابزارها و روش هاي استفاده شده براي تأمين امنيت، بايد متناسب با هدف و نيازمندي کاربرد مورد نظر باشد. بر اين اساس در پروتکل پيشنهاد شده تراکنش ها با در نظر گرفتن حجم مالي مبادله شده به سه سطح تقسيم شده اند .
تراکنش هاي با حجم مالي کمتر از 5 هزار ريال : در اين سطح نيازي به سرويس امنيتي مانند غير قابل انکار بودن نيست و تنها احراز هويت در حد قابل قبول مطرح است.  
تراکنش هاي با حجم مالي بالاتر از 100 هزار ريال يا پرداخت های کلان : چون در اين دسته از تراکنش ها، محرمانگي اطلاعات کاربر، يکپارچگي پيام ها، غيرقابل انکار بودن تراکنش و قابل پيگيري بودن در صورت بروز منازعات بايد تضمين شود، براي آنها مکانيزم هاي احراز هويت و رمزنگاري قوي لازم است. 
تراکنش های با حجم مالي بين ايندو که معاملات کوچک هستند: در اين تراکنش ها تنها احراز هويت و محرمانه نگه داشتن ارتباط بين اطلاعات کاربر و حساب او مورد توجه قرار دارد.

 

کانال عرضه سرويس پرداخت

مهمترين عامل انتخاب کانال هزينه و رغبت کاربران به استفاده از آن مي باشد. در صورت انتخاب WAP به عنوان کانال ارتباطي، کل هزينه در صورت حساب کاربر قرار مي گيرد. در شبکه فعلي GSM سرويس WAP از طريق سوئيچ مداري  (Circuit switch) عرضه مي شود و هزينه ها براساس مدت زمان استفاده از سرويس محاسبه مي شود. بنابراين در صورت طولاني شدن عمليات رمزنگاري و احراز هويت، هزينه براي کاربر قابل قبول نخواهد بود.  البته در صورت راه اندازي شبکه GPRS شرايط فرق می کند.
در مقابل، کاربران تلفن همراه با SMS به عنوان يک کانال ارتباطي به خوبي آشنا هستند و برخلاف WAP به عنوان يک کانال ارزان و راحت شناخته شده است. در صورت استفاده از SMS ، طرف فروشنده ، موسسه مالي و مشتري هر کدام هزينه SMS ارسالي خود را پرداخت کرده و هزينه ها براي مشتري قابل قبول مي باشد. 
در راهکار پيشنهادي، با توجه به شرايط فعلي ايران و با در نظر گرفتن موارد ذکر شده، SMS به عنوان کانال انتقال تراکنش ها انتخاب شده است. آشنايي اغلب مشترکان بين 20 تا 35 سال با اين سرويس و پشتيباني همه گوشي هاي موجود از اين کانال، حوزه تأثيرگذاري آن را افزايش خواهد داد. بنابراين سرمايه گذاري روي موفقيت SMS معقول به نظر مي رسد.
انتخاب کانال صوتی با توجه به مدت زمان طولانی که توضيح مراحل تراکنش و احراز هويت مشتری دارد، خصوصاً اگر مشتری در حال جابجايي بين المللی باشد، مقرون به  صرفه نمی باشد.

 

انتخاب الگوريتم رمزنگاری

قدم بعد انتخاب الگوريتم رمزنگاری است. الگوريتم ها علاوه بر اينکه بايد امنيت کافی داشته باشند، از نظر حافظه مورد نياز و سرعت محاسبات نيز بايد متناسب با محدوديت های دستگاه های تلفن همراه باشند. عامل مهم ديگری که در انتخاب الگوريتم برای چنين دستگاه هايي بايد به دقت مورد بررسی قرار گيرد، ميزان مصرف انرژی می باشد. بر خلاف PC ها و دستگاه های متصل به شبکه های سيمی، اين دستگاه ها متکی به باتری هايي با انرژی محدود می باشند. جدول زير ميزان مصرف الگوريتم های رمزنگاری متقارن را نشان می دهد.


الگوريتم DES 3DES IDEA CAST AES RC2 RC4 RC5 Blow fish
توليد کليد(μЈ) 53/27 04/87 96/7 63/37 86/7 94/32 97/95 54/66 3/3166
رمزنگاری/رمزگشايي(µЈ/byte) 08/2 04/6 47/1 47/1 21/1 73/1 93/3 79/0 81/0
جدول (1) : ميزان مصرف انرژی الگوريتم های رمزنگاری متقارن
با توجه به داده های جدول فوق AES کمترين مصرف انرژی را دارد. همانطور که ديده می شود مصرف انرژی IDEA قابل مقايسه با AES است، ولی از نظر قدرت رمزنگاری AES بر IDEA برتری دارد تا آنجا که موسسه  NIST آن را به عنوان بهترين الگوريتم برای رمزنگاری اطلاعات حساس و طبقه بندی نشده انتخاب کرده است.
جدول (2) مصرف انرژی سه الگوريتم پذيرفته شده و استاندارد برای توليد و تأييد امضاي رقمی را نشان می دهد. توجه کنيد که از کليد 163 بيتی برای الگوريتم  ECDSA استفاده شده است. اثبات شده است که ECDSA با کليد 163 بيتی امنيت معادل RSA و  DSA  با کليد 1024  را فراهم می کند.
الگوريتم اندازه کليد (بيت) توليد کليد (mJ) امضا (mJ) تأييد امضا(mJ)
RSA 1024 13/270 5/546 97/15
DSA 1024 20/293 6/313 02/338
ECDSA 163 65/226 2/134 23/196
جدول (2) : مصرف انرژی برای الگوريتم های امضای رقمی
داده های جدول (2) نشان می دهد که ECDSA از DSA انرژی کمتری مصرف می کند. ولی در مقايسه با RSA هزينه تأييد امضای بالاتری دارد. RSA عمل تأييد امضاء را بسيار موثر و با سرعت بيشتر و انرژی کمتری انجام می دهد؛ در حالی که هزينه توليد امضا با ECDSA کمتر می باشد. اما تفاوت بين توليد امضاء و تأييد آن در RSA بسيار بيشتر از ECDSA می باشد. به دليل آنکه در پروتکل پيشنهادی در اين مقاله لازم است که عمليات توليد امضاء در دستگاه تلفن همراه انجام شود ECDSA بخاطر مصرف کمتر انرژی انتخاب شده است. دليل ديگر برتری ECDSA برای استفاده در دستگاه هاي تلفن همراه ايجاد امنيت يکسان با RSA با طول کليد بسيار کوتاهتر می باشد. اين امر حافظه مورد نياز برای نگهداری کليد و انجام عمليات را به طور قابل ملاحظه ای کاهش می دهد.

 

معماری پروتکل پيشنهادی

معماری، اجزاء اصلی و جريان تراکنش پروتکل پيشنهادی در شکل زیر به صورت سطح بالا نشان داده شده است. همانطور که در شکل ديده می شود پروسه پرداخت زمانی آغاز می شود که خريدار اقلام خريد را انتخاب کرده و درخواست خريد را نهايي می نمايد. فروشنده درخواستی برای تعيين وضعيت حساب مشتری به بانکی که حساب مشتری در آن قرار دارد ارسال می کند. اطلاعات از يک کانال امن SSL ارسال می شود. بانک با استفاده از شماره تلفن همراهی که برای مشتری ثبت شده است يک SMS حاوی پيام درخواست احراز هويت برای مشتری ارسال می کند و بر اساس اطلاعات دريافتی در SMS پاسخ از طرف مشتری، پيامی حاوی  تأييد اطلاعات مشتری و ساير اطلاعات لازم برای مبادله مبلغ مورد نظر را برای فروشنده ارسال می نمايد.
 
معماری پروتکل پرداختت امن
 
فروشنده اين اطلاعات را برای بانک خود ارسال کرده با انجام عمليات لازم از طريق شبکه خصوصی بين بانکی مبلغ مورد نظر به حساب فروشنده واريز می شود. اين قسمت با توجه به نوع پرداخت، می تواند در حين تراکنش پرداخت و يا پس از پايان تراکتش انجام شود. تراکنش با ارسال يک رسيد از طرف فروشنده برای مشتری با استفاده از SMS يا پيام الکترونيکی خاتمه می يابد.
 
هر تراکنش برای بانک دارای هزينه هايی می باشد. اين هزينه ها شامل پردازش تراکنش، ارائه خدمت به مشتری و تهيه صورت حساب می باشد. اصولاً در اين پروسه تراکنش هايي برای بانک قابل قبول می باشد که دارای سود باشند. بر اساس نرخ تبادل بين المللی  به اندازه 1/1 درصد سود به بانک پرداخت می شود. که برای تراکنش های با حجم مالی کمتر از 500 تومان بسيار ناچيز می باشد. بنابراين پرداخت های جزئی با استفاده از اين پروتکل مقرون به صرفه نبوده و استفاده از آن برای پرداخت های جزئی توصيه نمی شود، بلکه برای چنين پرداخت هايی که عموماً به صورت محلی قابل انجام هستند مانند پرداخت پول پارکينگ يا خريد در محل بوسيله دستگاه های تلفن همراه می توان از تکنولوژی هايي مانند Bluetooth يا مادون قرمز استفاده کرد. اين تکنولوژي ها بسيار ارزان قيمت بوده و به دليل حضور مشتری در محل، احراز هويت به روش های بسيار ساده قابل انجام است. لذا در ادامه تنها دو حالت پرداخت های کوچک و کلان که هدف اصلی پروتکل پيشنهادی می باشند بطور مشروح بررسی می شوند.

 

0 نظر

نظر محترم شما در مورد مقاله های وب سایت برنامه نویسی و پایگاه داده

نظرات محترم شما در خدمات رسانی بهتر ما را یاری می نمایند. لطفا اگر مایل بودید یک نظر ما را مهمان فرمائید. آدرس ایمیل و وب سایت شما نمایش داده نخواهد شد.

حرف 500 حداکثر