اکثر شرکت ها امروزه نیروی خود را بیشتر روی ارائه و فروش اطلاعات از طریق شبکه اینترنت متمرکز کرده اند .
پروتکل های گوناگونی برای پیاده سازی تجارت الکترونیک مطرح هستند که زمینه های امنیتی و مالی این سرویس را در شبکه اینترنت پشتیبانی می کنند .
تجارت الکترونیکی دربرگیرنده مکانیسم های پرداختی مختلفی است که توسط شرکت های گوناگون طراحی شده اند .
سیستم پرداخت بانک اینترنتی سیستمی است که تمام مراحل پردازش تجارت الکترونیکی روی شبکه های عمومی را انجام می دهد .
مقدمه
با مطرح شدن فناوری اطلاعات در سطح جهانی و گسترش اینترنت ، تجارت الکترونیکی جایگاه مهمی یافته است و در این میان ایران نیز ناگزیر به این عرصه خواهد پیوست . در جامعه اطلاعاتی ، استفاده بهینه از حجم بالای اطلاعات و فراهم کردن سود بیشتر مورد نظر است . امروزه اکثر کمپانی ها نیروی خود را بیشتر صرف ارائه و فروش اطلاعات از طریق بازار یکپارچه جهانی یا اینترنت متمرکز کرده اند .
تجارت الکترونیک در ایران نیز می تواند قابلیت ها و مزایای ویژه ای را داشته باشد . در این مقاله تجارت الکترونیکی باتوجه به نیاز در سطوح متفاوتی مطرح شده که به شرح سرویس ها و مزایای استفاده از تجارت الکترونیکی در ایران می پردازد . پروتکل های گوناگونی برای پیاده سازی تجارت الکترونیک از قبیل OFX ، SSL ،IKP ، SET مطرح هستند که زمینه های امنیتی و مالی این سرویس را در شبکه اینترنت پشتیبانی می کنند . پروتکل OTP چهارچوب کلی تجارت الکترونیک را بدون توجه به سیستم پرداختی ایجاد می کند . XML تبادلات داده را در تجارت الکترونیک در بر می گیرد . XML زبان مدل سازی جدیدی است و جایگزین EDI شده است . در این مقاله پروتکل ها و استاندارد های تجارت الکترونیکی مطرح می گردد . امنیت در اینترنت در شکل های متفاوتی مطرح می شود . تجارت الکترونیکی روش های امنیتی خاص خود را داراست که به آنها اشاره می شود . مسایل مالی ، پول های دیجیتالی از دیگر مباحثی است که در سرویس تجارت الکترونیکی نقش اساسی داشته که به آنها اشاره خواهد شد .1 - ایجاد شرایط مناسب برای تجارت الکترونیکی
- رشد اینترنت در ایران بایستی در سیاست گذاری ها بیشتر در نظر گرفته شود ؛
- فراهم کنندگان بایستی پهنای باند با کیفیت مناسب را برای بازار اینترنت فراهم کنند ؛
- بایستی کمپانی ها به ایجاد امنیت لازم برای استفاده از اینترنت برای تبادلات ایمن تشویق شوند و استاندارد های لازم در این زمینه معرفی گردند تا سرویس ها در سطح قابل پذیرش ارائه گردد .
2 - مزایای استفاده از تجارت الکترونیکی در ایران
- مطرح شدن محصولات در سطح جهانی و در نهایت بالارفتن کیفیت محصولات ؛
- کاهش موثرتر هزینه های عملیاتی بین عوامل بازرگانی ( PARTNERS ) ، مشتریان و کانال های آن ؛
- افزایش درآمد از طریق مشتریان جدید و کانال های جدید همراه با محصولات و سرویس های جدید ؛
- جلب رضایت مشتری ؛
- صحت سفارشات ONLINE ؛
- در نهایت امکان انجام خرید های کوچک تا بستن قرارداد های کلان و کشوری .
3 - انواع سرویس های تجارت الکترونیکی
سرویس های تجارت الکترونیکی را از نظر کاربرد می توان به چند دسته تقسیم بندی کرد . این سرویس ها به شرح زیر هستند :
- ( BUSINESS TO BUSINESS ( B2B: در این سرویس طرفین معامله شرکت ها هستند ؛
- ( BUSINESS TO CONSUMER ( B2C : در این سرویس شرکت ها با مشتریان در ارتباط هستند ؛
- ( GOVERNMENT TO GOVERNMENT ( G2G : روابط تجاری بین کشور ها را دربر می گیرد و قوانین تجارت بین المللی را با توافق طرفین و ارائه راهکار شامل می شود ؛
- ( CUSTOMER - TO - BUSINESS ( C2B : طبق پیشنهاد مشتری سرویس مورد نظر فراهم می گردد . مثل کرایه یک ماشین از نقطه ای مشخص با مبلغی تعیین شده از یک سایت اینترنتی ؛
- ( CUSTOMER - TO - CUSTOMER ( C2C : طرفین معامله افراد هستند . سرویس گیرنده فردی است که جنس یا کالایی را از شخص دیگر خریداری می کند . مثل آژانس های هواپیمایی و سمساری های اینترنتی .
4 - مسایل امنیتی در تجارت الکترونیکی
اینترنت به عنوان بستر انتقال اطلاعات در دنیای کنونی مطرح است . TCP/IP پروتکل انتقال اطلاعات در شبکه اینترنت است . با مطرح شدن اینترنت به طور گسترده ، مسئله امنیت اطلاعات قابل انتقال ، به شکل مشخصی بازگو شد زیرا اطلاعات مهم نیز از طریق این بستر فرستاده می شد . اطلاعاتی مثل ، شماره کارت اعتباری ، فرم پرداخت و غیره از جمله مسایلی بود که احتیاج به امنیت بیشتری داشت . به همین دلایل امنیت در تجارت الکترونیکی جایگاه مهمی داراست .
به چند روش می توان در اطلاعاتی مداخله کرد که بین دو کامپیوتر مبادله می گردد و این روش ها عبارتند از:
1 - استراق سمع : اطلاعات توسط فردی خوانده می شود و می تواند بعداً مورد استفاده قرار گیرد . مثل شماره حساب یک فرد ، در این حالت محرمانه بودن اطلاعات از بین می رود ؛
2 - تغییردادن پیام : امکان دارد پیام هنگام انتقال تغییر کند و یا کلاً عوض شود و سپس فرستاده شود . مثلاً سفارش کالا می تواند تغییر یابد ؛
3 - تظاهرکردن : ممکن است شخصی خود را به جای یک سایت معرفی کرده و همان اطلاعات را شبیه سازی کند و پس از دریافت مقادیر قابل توجه هیچ پاسخی به خریداران نداده و ناپدید گردد .
روش های متفاوتی برای جلوگیری از این مسایل وجود دارد که یکی از آنها رمزدار کردن پیام است که خود به چند دسته تقسیم می گردد . دیگری درهم سازی و فشرده سازی پیام و تهیه DIGEST است . در امضای دیجیتالی عملاً تلفیقی از این روش ها مورد استفاده قرار می گیرد . انواع روش های رمزنگاری بدین شرح است :
- رمزنگاری با کلید متقارن : در این روش از یک کلید استفاده می شود . بدین شکل که یک کلید مشترک بین طرفین وجود دارد . اطلاعات با این کلید رمزدار شده و فقط توسط طرف مقابل که دارنده کلید است قابل بازگشایی است . مشکل این روش تبادل این کلید قبل از رمزدارکردن پیام است .
- رمزنگاری با کلید نامتقارن یا کلید عمومی : در این روش یک جفت کلید برای انتقال پیام استفاده می گردد . به این شکل که هر کاربر دارای یک کلید عمومی و یک کلید خصوصی است . کلید عمومی در یک دایرکتوری در اختیار هرکس می تواند قرار گیرد و کلید خصوصی هر فرد را ، فقط خودش می داند . در ارسال پیغام از A به B ، ابتدا A پیام را با کلید خصوصی خود رمزدار کرده سپس با کلید عمومی پیام را ارسال می کند . در طرف مقابل B پیام را با کلید عمومی رمزگشایی کرده و سپس با کلید خصوصی خود رمز را باز می کند و پیغام را مشاهده می کند . اشکال این روش این است که شخص ثالثی مانند C می تواند خود را به جای A معرفی کرده و پیامی را با کلید خصوصی خود و سپس کلید عمومی رمزدار کرده و برای B ارسال کند . در این روش B نمی تواند تشخیص دهد که پیغام ارسال شده حتماً از طرف A بوده است . امضای دیجیتالی به عنوان روشی برای جلوگیری از ایجاد این مشکل به وجود آمده است .
- رمزنگاری با استفاده از روش کلید عمومی با امضای دیجیتالی : امضای دیجیتالی همراه با کلید عمومی ، موجودیتی است که به شخص طرف مقابل این امکان را می دهد تا تشخیص دهد کسی را که پیغام را فرستاده ، همان کسی است که ادعا می کند ، و پیغام دریافت شده همان پیغام ارسال شده است . ( تصدیق اصالت ) .
در روش امضای دیجیتالی از کلید عمومی همراه با توابع HASH استفاده می شود . این کلید دارای یک تاریخ انقضا نیز هست که هرچه مدت اعتبارش کوتاه تر باشد اعتبار آن بالاتر است زیرا احتمال جعل آن بالا می رود . گیرنده پیغام امضای انجام شده را چک می کند تا از اصالت آن باخبر شود .
مراکزی که امضای دیجیتالی را در اختیار قرار می دهند خود از مراکز دیگری اعتبار گواهینامه را دریافت کرده اند . این مرکز موجودیتی است که اعتبار را برای یک فرد ایجاد می کند . چند نمونه از آنهاXCERT ،VENSIGN ، THAWTE هستند که با دریافت وجه مشخصی این اعتبار را در اختیار قرار می دهند .
5 - مسایل مالی و پرداخت در تجارت الکترونیکی
باتوجه به رشد اینترنت و مسئله خرید کالا ها از اینترنت ، مکانیسم های مختلفی برای پرداخت در برابر خرید موردنظر مطرح شد . در واقع پرداخت در تجارت الکترونیک ، نیاز به مکانیسم های پرداخت ارزان و سریع دارد . در این راستا روش های پرداختی گوناگون ایجاد شده اند ، که هریک قابلیت خاص خود را دارد و در بعضی موارد شبیه به پول واقعی هستند . در اینجا انواع مکانیسم های پرداختی و شرکت های وابسته به آنها آورده شده است . ( سیستم های پرداخت رایج در وب جهانی را از نظر ساختار فیزیکی نیز می توان دسته بندی کرد ) سیستم هایی که از پول دیجیتالی ( DIGITAL MONEY ) استفاده می کنند :
- CYBERCOIN & CYBERCASH
- ECASH
سیستم هایی که از کارت های اعتباری استفاده می کنند :
- CYBANK
- CYBERCASH & CYBERCOIN
- MONDEX
- FETFARE
- VERIFONE
سیستم هایی که چک های الکترونیکی را فراهم می کنند :
- AXCEL CHECK
- CHECK FREE
- REDI - CHECK
سیستم هایی که ریزپرداخت ها را فراهم می کنند :
- MILLICENT
- MINI-PAY
به طور نمونه ECASH پروتکل پول الکترونیکی است که به وسیله DAVID CHAUM از شرکت DIGICASH توسعه یافته است . در ECASH ، کاربر یک سری رشته های بلند از شماره ها را با نام TOKEN جمع آوری می کند که به عنوان پول شناخته می شود . این TOKEN ها درست مثل پول فیزیکی مبادله می گردد . این سیستم عدم انکار را برای کاربر پشتیبانی می کند ، نیاز به سخت افزار خاصی نداشته و دارای هزینه است .
6 - ابزار تبادلات الکترونیکی ( XML )
EXTENSIBLE MARKUP LANGUAGE ) XML ) یک زبان نشانه گذاری برای ایجاد مستندات ساختار یافته است . XML شبیه به HTML است ، با این تفاوت که XML ، قابل گسترش است . در واقع XML و HTML زیر مجموعه ای از SGML هستند . XML یک استاندارد باز ، قابل گسترش ، بین المللی و در دسترس است . XML یک زبان از پیش تعریف شده نیست بلکه قابلیت تعریف نشانه گذاری ها و TAG های جدید را فراهم می سازد .
قبلاً از EDI برای تبادل داده بین دو کامپیوتر استفاده می شد که به دلیل محدودیت هایی که داشت کنار گذاشته شده و در حال حاضر از XML استفاده می شود . XML در مقایسه با EDI دارای مزایای زیر است :
- امکان تبادل داده تحت اینترنت ؛
- هزینه پیاده سازی پایین تر ؛
- سرعت بالای تبادلات .
7 - استاندارد ها و تجارت الکترونیکی
استاندارد ها نقش مهمی را در توسعه یک ساختار ایفا می کنند . استاندارد های زیادی در زمینه های مختلف تجارت الکترونیکی مطرح هستند . مدیران IS بایستی با استاندارد های موجود آشنا بوده و قابلیت اجرای آنها را برای ارگانیسم خود ارزیابی کنند . استاندارد ها و پروتکل های تجارت الکترونیک در زمینه های مختلف عبارتند از :
- پروتکل های امنیتی ( STT ، S-HTTP ، SSL و ... )
- پروتکل های امنیتی - پرداختی ( SEPP ، IKP ، SET )
- پروتکل های مالی - پرداختی ( JEPI ، BIPS ، OFX و... )
1-7 پروتکل های امنیتی : اخیراً هر کاربر اینترنت باید تبادلات را قبل از فرستادن پیام از طریق اینترنت به طور روشن محافظت کند . یک دسته از پروتکل های امنیتی ، امنیت را برای لایه اینترنت فراهم می کنند . این پروتکل ها مثل ISAKMP ، SKIP ، IPSEC و غیره پروتکل های امنیتی لایه اینترنت هستند . سری دیگر از پروتکل های امنیتی ، پروتکل های امنیتی لایه انتقال هستند مثل TLS ، PCT ، SSL و SSH . آخرین سری از پروتکل های امنیتی ، پروتکل های امنیتی لایه کاربردی هستند . این پروتکل ها مثل SMTP ، S-HTTP ، امنیت را در لایه کاربرد ایجاد می کنند .
انتقال اطلاعات مهم مثل شماره کارت اعتباری اشخاص باید با امنیت کامل انجام گیرد . با فرض یک انتقال ایمن با پروتکل SSL ، TCP/IP به عنوان پروتکل امنیتی لایه انتقال در زیر لایه کاربردی قرار گرفته و امنیت ارتباطات بین سرویس دهنده و سرویس گیرنده را برقرار می کند . SSL یکی از پروتکل های امنیتی است و به دلیل مزایای زیر برای سرویس تجارت الکترونیک مناسب است .
- مستقل از لایه کاربرد است ؛
- SSI از تکنیک رمزنگاری خود به صورت قابل انعطاف عمل می کند ؛
- تصدیق اصالت را برای طرفین معامله فراهم می سازد ؛
- رمزنگـاری و امضای دیجیتالی را به کار می برد ؛
- قابلیت کار باFTP ، TOLMET ، HTTP را داراست .
پروتکل S-HTTP جایگزینی برای SSL محسوب می شود و اولین بار توسطEIT مطرح شد . این پروتکل به میزان SSL ، شناخته شده نبوده و فقط با HTTP سازگاری دارد .
SSL نیاز های امنیتی ذیل را برای سرویس تجارت الکترونیک برآورده می سازد . این نیاز های امنیتی عبارتند از :
- پنهان سازی ( PRIVACY ) فرض کنید که پیغام های انتقال یافته از A به B رمزدار شده است . A از کلید عمومی مربوط به B برای کدکردن پیغام استفاده می کند . در این حالت B تنها کسی است که می تواند پیغام را رمــزگشایی کرده و با استفاده از کلید خصوصی اش آن را بخواند .
- تصدیق اصالت ( AUTHENTICITY )
گیرنده اطلاعات این امکان را پیدا می کند که هویت فرستنده را دریابد .
مشخصات تجارت الکترونیک