.
La seguente tassonomia è utile nel capire i sistemi di sicurezza, le tecnologie e l'autenticazione lavora ampiamente disponibile per sostenere la trasmissione e la registrazione sicure delle informazioni in un ambiente networked di e-commercio.
Le pareti refrattarie sono usate per mantenere una
rete sicura dagli intrusi. Una parete refrattaria è i fissaggi
che un software consistenti di nodo di rete sia che isola una rete
riservata. Per capire come una parete refrattaria funziona, una
dovrebbe avere una comprensione dei pacchetti, degli indirizzi del IP
e degli attacchi del DOS. Tuttavia, molto semplicemente, è
spiegata con 2000) descrizioni del Hazari (:
"una parete refrattaria è come un bouncer in un
nightclub. Come un bouncer in un nightclub le
pareti refrattarie hanno un insieme delle regole, simile alla lista
dell'ospite o al codice del vestito, che determinano
se i dati si concedono l'entrata. Appena poichè il
bouncer si dispone al portello del nightclub, la
parete refrattaria è situata sul punto di l'entrata, in cui i dati
tentano di entrare nel sistema di elaborazione.
Poichè i nightclubs differenti potrebbero avere regole differenti per l'entrata, le pareti refrattarie
differenti hanno metodi differenti di controllo dei dati per
l'accettazione o il rifiuto " (Turban ed altri, 2002,
p. 565).
Dove i servizi sono forniti in linea, le agenzie
dovranno rivalutare come autenticano gli utenti. I difetti
nell'autenticazione possono condurre alle situazioni quali il
trasferimento illegale dei fondi monetari, l'ordinamento non
autorizzato delle merci o l'alterazione maligna dei dati.
L'autenticazione fa rispettare la riservatezza nelle transazioni
elettroniche ed è un componente vitale del e-commercio.
Questi possono essere effettuati nei seguenti sensi:
Una parola d'accesso è più spesso un codice o
una parola comune usata per accedere ad una rete di calcolatore.
Le parole d'accesso sono oggi il metodo più comune di
autenticazione per i sistemi di elaborazione. I sistemi
dovrebbero essere destinati per includere la scadenza delle parole
d'accesso a intervalli normali. Se un utente ha accesso a più
di una sistema o base di dati all'organizzazione, lui o lei dovrebbe
applicare le parole d'accesso differenti ai sistemi differenti di
accesso. Una parola d'accesso è cambiata più spesso, più
sicuro il cliente diventa. I tentativi di inizio attività
dovrebbero essere limitati a due o tre volte e parole d'accesso non
dovrebbero essere annotate. Come descritto da NOIE (2002), sotto
un sistema di parola d'accesso, un cliente che accede all'applicazione
elettronica dell'agenzia è invitato per fornire 'un segreto comune
'quale una parola d'accesso con la loro identificazione usuario.
Il sistema controlla che la parola d'accesso contro le
informazioni in una base di dati per accertare la relativa precisione
e quindi 'abbia autenticato il cliente. Le parole d'accesso
multiple e la crittografia di parola d'accesso possono essere usate
per rinforzare questa tecnica. Le identificazioni di utente sono
usate solitamente congiuntamente alle parole d'accesso.
L'identificazione usuario necessariamente non è mantenuta
riservata e può comporrsi di parecchi informazione semplici.
Per esempio, Shirley Jones può avere gli sjones di
identificazione usuario '. Le identificazioni di utente possono
anche contenere i numeri per contribuire a distinguersi fra i clienti
con i nomi simili o identici, per esempio, 'sjones637 '.
Tipicamente, l'autenticazione parola d'accesso-basata non
richiede prodotti o servizi dei terzi. È più poco costoso da
effettuare e garantisce un grado limitato dell'autenticazione e conta
sugli utenti che mantengono le loro parole d'accesso segrete.
ad alcune applicazioni è adatto includere una parola d'accesso
di una volta dove il sistema genera una parola d'accesso unica da
inserire ogni volta l'applicazione è raggiunto. I sistemi di
risposta e di sfida inoltre autenticano chiedendo ad un utente di
rispondere ad una sfida casuale che è basata sulle informazioni nella
loro annotazione del cliente, o sulle frasi 'segrete 'alloggiate con
l'agenzia. Per esempio quando entra in un Web site di risposta e
di sfida, all'utente in primo luogo sarà chiesto un'identificazione
usuario e una parola d'accesso. Allora sarebbero chieste le
informazioni uniche, quale il nome centrale del loro secondo bambino.
Se tutti i dati abbinano, l'accesso è assegnato http://www.rsasecurity.com.
Un biscotto è informazione che permette che un Web site registri i suoi comings e goings. Può fungere da forma dell'autenticazione per identificare l'utente quando lui o lei dopo entrerà nello stesso Web site. Possono i luoghi di fotoricettore di aiuto dei biscotti riconoscere non soltanto gli utenti di rinvio, possono fornire l'accesso alle risorse specifiche, pista in linea acquisti o fornire i Web pagi su misura. Usati correttamente, i biscotti possono notevolmente aumentare l'esperienza dell'utente nelle risorse di fotoricettore ed aumentare la convenienza. Tuttavia, l'abuso dei biscotti solleva la segretezza ed i problemi di sicurezza evidenti. Se i biscotti sono usati, dovrebbe essere accennato nella legge sulla privacy di Web site. Anche se i biscotti sono utili per gli utenti pure, hanno suscitato inquietudini sopra la segretezza con i luoghi di fotoricettore che raccolgono le informazioni riservate quali gli utenti, le preferenze, interessi e surfing i modelli.
Un controllo biometrico è la verifica
dell'identità di una persona basata sulle caratteristiche
fisiologiche o del comportamento (Turban, 2002). La biometria
più comune è foto della faccia, delle impronte digitali, della
geometria della mano, del modello del vaso sanguigno nella retina
dell'occhio della persona, della voce, della firma, dei dynamics di
battitura, dell'esplorazione dell'iride e dell'altra termografia
facciale. Con tecnologia biometrica, la caratteristica fisica è
misurata (da un microfono, da un lettore ottico o da un certo altro
dispositivo) ed è convertita in forma digitale. Queste
informazioni allora sono paragonate ad una copia già memorizzata nel
calcolatore ed hanno autenticato come appartenendo ad una persona
particolare. Se abbinano, il software accetterà
l'autenticazione e la transazione è permessa continuare.
Le applicazioni biometriche possono fornire i livelli elevati
molto dell'autenticazione e possono essere applicate per identificare
gli allievi che intraprendono i exams in linea da una posizione a
distanza, destinatari di frode delle autorizzazioni di governo,
compratori e venditori autorizzati e persona che intraprende le
interviste per occupazione. Le domande di biometria includono
l'accesso della macchina di cassiere automatico, inizio attività
della rete del personal computer, tempo e presenza, protezione dei
dati del impresa-livello, accesso fisico e verifica del cliente.
L'autenticazione biometrica è inoltre adatta ad accesso ai
diversi dispositivi. Più di meno è adatta per l'autenticazione
alle reti aperte dell'eccedenza dei sistemi di software quale il
Internet.
La crittografia è la codificazione delle
informazioni usando un programma matematicamente basato e un segreto
per produrre una serie di caratteri che jumbled. Consiste di una
procedura e di una chiave per la cifratura e la decodificazione del
testo. Il sistema usa una chiave segreta, che è un archivio
elettronico che include un valore matematico. Ciò è usata
insieme con una procedura per cifrare o decrypt un messaggio. La
crittografia convenzionale è usata per sia la crittografia che il
decryption delle informazioni e può essere effettuata molto
rapidamente dai pc moderni.
Il cryptography asimmetrico inoltre autentica gli utenti.
Per esempio, i clienti si pubblicherebbero con una chiave
riservata su un dispositivo di fissaggi. La chiave pubblica
collegata è tenuta saldamente dall'agenzia. Nell'entrare, il
cliente digiterebbe la sue identificazione usuario e parola d'accesso.
L'agenzia allora trasmetterebbe automaticamente un numero
casuale per l'utente alla chiave nel suo dispositivo. Il
dispositivo impiega la chiave riservata per procedere il numero
casuale e fornisce un risultato che l'utente fornisce nel processo di
inizio attività dell'agenzia. Se l'agenzia può richiamare il
numero casuale originale invertendo il processo con la chiave pubblica
corrispondente, quindi il cliente è autentico (http://webopedia.internet.com/TERM/C/challenge_response.html).
La crittografia chiave pubblica è una forma del
cryptography asimmetrico. Accerta la riservatezza e la
segretezza di un messaggio mentre si muove attraverso una rete
rimescolandola o cifrando in moda da esserla esso difficile e che
richiede tempo affinchè una persona non autorizzata decrypt il
messaggio. Gli usi chiave pubblici del cryptography separano gli
accoppiamenti delle chiavi per l'autenticazione (o firmare) e la
crittografia (o riservatezza). Gli accoppiamenti chiave si
riferiscono a come le chiavi pubbliche e chiavi riservate.
Un'applicazione del cryptography chiave pubblico come descritta
nel rapporto di NOIE (2002) è:
"autenticazione (o firmare). Nel usando un
accoppiamento di chiave di autenticazione, la chiave pubblica è
pubblicata al mondo mentre mantiene il vostro segreto chiave 'di sign
'riservato. Chiunque con una copia della chiave pubblica può
decrypt qualcosa ha cifrato ones chiave 'di sign 'riservata.
Ciò fornirà loro un livello di assicurazione di un
l'identità. Da sè, la chiave del pubblico non può essere
usata per firmare un documento; può essere usato soltanto per
verificare chi lo ha firmato.
Crittografia (o riservatezza). Allo stesso modo,
usare un accoppiamento di chiave di crittografia la chiave pubblica è
pubblicata mentre la chiave riservata è mantenuta un segreto.
Chiunque con una copia di questa chiave pubblica pubblicata può
allora cifrare le informazioni che soltanto il mittente può leggere.
Le informazioni cifrate con 'la riservatezza 'pubblica chiave
possono decrypted soltanto usando ones 'riservatezza 'riservata
chiave."
Parecchie soluzioni prominenti di autenticazione usano il
cryptography chiave pubblico. Questi includono PKI, il PGP e lo
SSL.
PKI è un insieme delle procedure e della tecnologia che permette agli utenti di una rete quale il Internet di autenticare l'identità e scambiare a saldamente e privatamente le informazioni con l'uso del cryptography chiave pubblico. Per realizzare questo, le chiavi pubbliche e riservate e un certificato digitale possono essere ottenuti con un'autorità di fiducia dei terzi, conosciuta come un'autorità di certificazione (CA). Il CA collega la chiave pubblica al certificato digitale e vouches per l'identità del supporto chiave. Le autorità di registro (RAs) raccolgono e controllano i livelli adatti di prova dell'identità (EOI) dai candidati per i certificati digitali. Il dipendente sul modello di affari di PKI impiegato, RAs giustamente accreditato può anche generare le chiavi ed i certificati (NOIE, 2002).
Il PGP è un'applicazione del software di
sicurezza che permette a due partiti conosciuti di scambiare
saldamente le informazioni con a vicenda. Il PGP può essere
utilizzato per le piccoli Comunità o commerci che si conoscono e
desiderano comunicare saldamente. In questi casi è facile da
scambiare manualmente i dischetti o i E-maihi che contengono la chiave
pubblica di ogni proprietario piuttosto che le chiavi pubbliche di
pubblicazione al mondo. Ogni membro del gruppo tiene una copia
della chiave pubblica di ciascuno.
Le difficoltà si sono associate con la tenuta che
tantissime chiavi pubbliche significa che il PGP è pratico soltanto a
certo punto. Oltre quel punto, è necessario da mettere i
sistemi a posto che può fornire la sicurezza necessaria, meccanismi
di scambio e di immagazzinaggio per i colleghe, soci di affari o
sconosciuti per comunicare se necessario. I sistemi di PKI
(discussi sopra) forniscono questi generi di caratteristiche.
Il protocollo sicuro di strato degli zoccoli (SSL) è un insieme delle regole che governano l'autenticazione degli assistenti (quali gli assistenti di fotoricettore) e la comunicazione cifrata fra i clienti e gli assistenti. Funziona allo strato di TCP/IP e sostiene una varietà di procedure di crittografia e di metodi di autenticazione. Il protocollo è stato sviluppato per assicurare la trasmissione dei dati sopra il Internet. Il processo di autenticazione sotto lo SSL usa la crittografia chiave pubblica e le firme digitali non autenticano l'utente ma confermano che un assistente è in effetti l'assistente che sostiene essere. Una volta che l'assistente è stato autenticato, crittografia chiave simmetrica di uso dell'assistente e del cliente per cifrare le informazioni scambiate elettronicamente. Una chiave differente di sessione è usata per ogni transazione, impedendo la capacità del hacker di decrypt i messaggi. Tuttavia, lo SSL e la sicurezza di strato di trasporto (TLS) forniscono soltanto la riservatezza e l'integrità per l'assistente (http://www.dsd.gov.au/infosec/publications/SSL_policy.html).
Una soluzione crypotographic che è destinata per maneggiare la transazione completa è la transazione elettronica sicura (REGOLISI). Per compiere i pagamenti credit-card sul fotoricettore, sia il visto che il masterCard hanno avuto bisogno di un protocollo che potrebbe collegare sicuro il Internet a banca-card esistente che procede le reti ed i due sono andato head-to-head con le soluzioni competenti (Turban, 2002). Ciò fa rispettare la fiducia nel e-commercio a causa della partecipazione delle aziende reputate. Senza riguardo al quale protocollo riesce, la riservatezza dei clienti nella sicurezza delle transazioni sul fotoricettore è aumentata dai nomi come il visto ed il masterCard. Il protocollo convergente che la collaborazione seguente ha prodotto è conosciuto come le transazioni elettroniche sicure, o INSIEME. Come tutti i altri protocolli della sicuro-scanalatura, l'INSIEME fornisce l'autenticazione di public/private e l'integrità chiave del messaggio e specificamente è progettato per le transazioni credit-card, in quanto le informazioni sensibili sono cifrate durante la rete d'elaborazione. Ha regolato la configurazione permette che i commercianti accedano soltanto ai dati richiedono per soddisfare la richiesta, rendente la più sicura. Il remains credit-card di dati del cliente cifrato fino a che non raggiunga che le istituzioni finanziarie competenti. Tutte le aziende principali hanno coinvolto la speranza che l'INSIEME è il protocollo che infine riservatezza del instil nel Internet come spazio sicuro in cui condurre e-commercio (NOIE, 2002). L'accettazione dell'INSIEME è stata lenta in Australia dovuto il requisito da entrambi i clienti avere il software specializzato.
Online: 455 users browsing the articles directory
. |