بیومتریک یکبار مصرف برای پرداخت الکترونیکی (مقاله ترجمه شده)

چکیده

بانکداری آنلاین و سیستم‌های پرداخت الکترونیکی در اینترنت به‌طور فزاینده‌ای پیشرفت می‌کنند. در سطح ماشین، تراکنش‌های بین مشتری و سرور میزبان از طریق یک کانال امن محافظت شده با SSL / TLS انجام می‌شود. احراز هویت کاربر معمولا براساس دو یا چند عامل است. با این وجود، توسعه malwares مختلف و حمله‌های مهندسی اجتماعی کاربران کامپیوتر را به یک وسیله مورد اعتماد تبدیل می‌کند در نتیجه احراز هویت کاربر آسیب‌پذیر است. این مقاله به بررسی نحوه احراز هویت کاربر با بیومتریک در بانکداری آنلاین با استفاده از یک وسیله خاص به نام OffPAD می‌پردازد. این مقاله نیاز دارد تا تأیید اعتبار نه تنها توسط کاربر (یا دستگاه شخصی) بلکه توسط بانک برخلاف استاندارد سیستم‌های بانکداری انجام شود. بنا به بیانی دقیق‌تر، یک پروتکل جدید برای تولید رمز عبور یک‌بار مصرف از داده‌های بیومتریک ارائه شده است، تا اطمینان حاصل شود امنیت و حریم خصوصی حفظ شده است. نتایج نشان می‌دهد با توجه به مثبت کاذب بودن نتایج عملکرد عالی بوده است. تجزیه و تحلیل امنیتی پروتکل نیز مزایای مربوط به تقویت امنیت را نشان می‌دهد.

مقدمه

تجارت الکترونیک در اینترنت بیشتر برای پرداخت آنلاین و بانکداری آنلاین استفاده می‌شود. بنابراین، تقلب در تراکنش‌ها یک مشکل عمده برای موسسات مالی است [11]، [3]. در واقع، اگرچه پرداخت آنلاین تنها نشان‌دهنده درصد کوچکی از معاملات است تمرکز کمی بر روی بانک‌ها دارد [19]. بسیاری از دستورالعمل‌ها مربوط به پرداخت‌های آنلاین است، به‌عنوان مثال، دستورالعمل 2000/31 / EC اروپا در مورد امنیت تجارت الکترونیک [6]، درحالی‌که دستورالعمل‌ها در مورد خدمات پرداخت [7]، عرصه‌ی گسترده‌ی اروپایی برای پرداخت و پلت‌فرم قانونی SEPA فراهم می‌کند (واحد پرداخت یورو، [8]). پروتکل 3D-Secure یک پروتکل پرداخت پیشنهاد شده توسط صنعت است که برای کاهش تقلب در پرداخت آنلاین توسعه یافته است.

در تجارت الکترونیک معمول، مشتری می‌خواهد یک سرویس آنلاین را با یک کارت اعتباری از سایت اینترنتی خریداری کند. در سطح بالا، تراکنش به‌طورکلی با احراز هویت و اتصال امن بین میزبان سرویس‌گیرنده مشتری و میزبان خدمات (SP) با استفاده از یک پروتکل مانند SSL / TLS شروع می‌شود. بار دوم، کاربر به وسیله میزبان SP خود به بانک SP اطلاعات بانکی می‌فرستد: شماره هویت شخصی (PAN)، شماره تایید کارت (CVX2) و تاریخ انقضا. پروتکل‌های SSL / TLS تأمین تراکنش بین میزبان سرویس‌گیرنده و میزبان SP را امکان‌پذیر می‌کنند. با این وجود، احراز هویت مستقیم کاربر در این طرح وجود ندارد.

معماری پرداخت الکترونیکی

پروتکل پرداخت‌های ایمن الکترونیکی (SET، [24]) که توسط VISA [1]، و MasterCard [2] توسعه یافته است، یک پروتکل برای تأمین پرداخت‌های الکترونیکی با کارت اعتباری است. کاربر احراز هویت در SET براساس یک گواهی کلید عمومی است که بر روی کامپیوتر مشتری نصب شده است. VISA و MasterCard تشخیص دادند که مدیریت گواهی‌ها برای مشتریان بسیار پیچیده بود، بنابراین پروتکل ساده 3D-Secure توسط VISA در سال 2001 به‌عنوان یک راه‌حل جایگزین برای SET پیشنهاد شد.

الزامات امنیتی و حفظ حریم خصوصی

در پرداخت الکترونیکی، چهار عامل اصلی حضور دارند: کاربر C، که دارای OffPAD است، می‌خواهد یک سرویس آنلاین با یک کارت اعتباری، از طریق وب سایت ارائه دهنده خدمات SP خریداری کند. کاربر دارای یک بانک صادرکننده و SP یک بانک خریدار دارد. در این مقاله ارائه‌دهندگان پرداخت را بانک کاربر و بانک SP می‌نامیم. عامل پنجم اغلب درگیر است. این عامل به عنوان شخص ثالث صندوقدار یا دایرکتوری مورد استفاده در 3D-Secure مورداعتماد است. نقش عامل پنجم متفاوت است، اما به طورکلی امکان تایید هویت بانک‌ها را فراهم می‌کند. پروتکل پیشنهادی بر روی احراز هویت کاربر و ثبت نام کاربر با SP تمرکز دارد.

مفهوم OFFPAD

PAD(دستگاه تایید شخصی) توسط Jøsang و Pope [13] به‌عنوان یک دستگاه امن خارجی برای پلت‌فرم کامپیوتر مشتری شرح داده شده است. PAD مفهومی پیشین از OffPADاست. OffPAD (دستگاه تأیید هویت آفلاین شخصی) توسط Klevjer و همکارانش [16] و Varmedal و همکارانش توصیف شده است. [26] که یک نسخه پیشرفته از PAD است و یک ویژگی اساسی برای تضمین امنیت آفلاین (ارتباطات ماشین به ماشین) است. OffPAD نشان‌دهنده مدیریت محلی هویت کاربر محور است زیرا امکان مدیریت امن و کاربرپسند را برای هویت‌های دیجیتالی و اعتبارات محلی بر روی کاربر فراهم می‌کند. OffPAD تأیید اعتبار هویت کاربر و ارائه‌دهنده خدمات (به‌عنوان مثال احراز هویت متقابل) را برعهده دارد و علاوه بر این می‌تواند تأیید اعتبار داده را نیز پشتیبانی کند. برای دسترسی به OffPAD، کاربر باید دستگاه را با استفاده از به عنوان مثال، یک پین، رمز عبور، بیومتریک یا سایر کافی اعتبارات احراز هویت باز کند. طراحی OffPAD در شکل 2 نشان داده شده است.

الگوریتم Biohashing

الگوریتم BioHashing بردار مقدار واقعی با طول n را (به عنوان مثال FingerCode، حاصل از یک روش استخراج ویژگی) به یک بردار دوتایی (به عنوان مثال BioCode)، همانطور که توسط Teoh و همکارانش بیان شده است تبدیل می‌کند [25].

این مسئله شامل طرح کردن FingerCode با یک پایه تعریف شده توسط یک seed تصادفی برای تولید BioCode است. تبدیل قالب از الگوریتم زیر استفاده می‌کند، که در آن ورودی‌ها تصادفی هستند و FingerCode F و خروجی BioCode B است:

1) برای بردارهای شبه تصادفی vi با طول n تولید می‌شود (از seed تصادفی) و در یک ماتریس شبه تصادفی جمع می‌شوند.

2) الگوریتم Gram-Schmidt بر روی m بردار vi از ماتریس، برای تولید n بردار اعمال می‌شود.

3) برای ضرب اسکالر با استفاده از FingerCode F و m محاسبه می‌شود.

پروتکل احراز هویت پیشنهادی

پروتکل احراز هویت پیشنهادی از داده‌های بیومتریک استفاده می‌کند که باید از طریق ثبت با دستگاه OffPAD و الگوریتم حفاظت از الگو محافظت شود. طرح‌های حفاظت از الگو بیومتریک یک گروه از فن‌آوری ها هستند، که شامل فن‌آوری‌های قابل ارتقاء حریم خصوصی هستند و برای ارتقاء حریم خصوصی و امنیت اطلاعات بیومتریک مورد استفاده می‌شوند. از این رو، هر روش حفاظت از قالب باید اجازه لغو داده‌های بیومتریک را بدهد و باید با دقت طراحی شده باشد و تجزیه و تحلیل امنیتی قوی داشته باشد. در میان راه‌حل‌های مختلف در کارهای پیشین، حفاظت از الگو می‌تواند با استفاده از رمزنگاری‌های بیومتریک [15]، [14]، [9]، [20] یا با تبدیل داده‌های ویژگی بیومتریک به دست آید [22]، [5]، [25]، [23]. همانطور که در بخش بعدی بیان شده، BioHashing یک طرح محبوب است که متعلق به رده دوم است و اجازه لغو یک قالب بیومتریک را می‌دهد.

تجزیه و تحلیل روش پیشنهادی

در این بخش، پروتکل احراز هویت پیشنهاد شده را با توجه به دو جنبه تجزیه و تحلیل می‌کنیم: تجزیه و تحلیل عملکرد (با توجه به اشتباهات بیومتریک) و مسائل امنیت و حریم خصوصی

تجزیه و تحلیل عملکرد

در این بخش، عملکرد پروتکل را برای جلوگیری از رد اشتباه و نادرست تجزیه و تحلیل می‌کنیم. با تعریف تجربی پروتکل شروع می‌کنیم.

1) پروتکل تجربی: در این مطالعه، از سه پایگاه داده اثر انگشت استفاده شده است که، هر کدام از 800 عکس از 100 نفر با 8 نمونه از هر کاربر تشکیل شده است:

• پایگاه داده معیار FVC2002 DB2: وضوح تصویر 296 × 560 پیکسل با حسگر نوری "FX2000" توسط Biometrika؛

• پایگاه داده معیار FVC2004 DB1: وضوح تصویر 640 × 480 پیکسل با سنسور نوری "V300" توسط CrossMatch؛

• پایگاه داده معیار FVC2004 DB3: وضوح تصویر 300 تا 480 پیکسل با سنسور حرارتی فراخوانی است "FingerChip FCD4B14CB" توسط Atmel.

نتیجه‌ گیری و چشم‌ اندازهای آینده

راه حل پیشنهادی از یک دستگاه اضافی، که دارای هزینه ناچیزی است استفاده می‌کند. با این وجود، ریسک مالی برای بانکداری و یا پرداخت مهم است و به شدت افزایش می‌یابد. در نتیجه، این دستگاه اضافی برای یک دنیای واقعی مسئله‌ای نمی‌باشد. در این مقاله، یک پروتکل احراز هویت جدید "One Time Biometrics" برای بانکداری آنلاین و احراز هویت پرداخت الکترونیکی ارائه شده است. پروتکل شامل دو جزء اصلی است. اولین جزء یک دستگاه خاص به نام OffPAD است که بسیاری از مسائل امنیتی و حفظ حریم خصوصی را تضمین می‌کند. مولفه دوم استفاده از یک الگوریتم حفاظت از قالب بیومتریک برای ذخیره متمرکز داده‌های بیومتریک توسط بانک صادرکننده است. سپس یک پروتکل مبتنی بر چالش برای جلوگیری از حملات مجدد پیشنهاد شده است. طرح احراز هویت کاربر برای کاربران قابل استفاده است زیرا آنها مجبور هستند گذرواژه‌های مختلف را به یاد داشته باشند. پروتکل عملکرد بسیار خوبی در سه پایگاه داده اثر انگشت با توجه به مسائل امنیتی و حفظ حریم خصوصی از خود نشان داده است.

دیدگاه‌های آینده در مورد این مطالعه بسیار زیاد است. ما برنامه‌ریزی می‌کنیم تا از داده‌های بیومتریک چندگانه به منظور اجتناب از استفاده یک رمز عبور در پروتکل پیشنهادی استفاده کنیم و همچنین قصد داریم یک پروتکل معتبر برای داده‌های بیومتریک طراحی کنیم.

این مقاله در سال 2014 در نشریه الزویر و در کنفرانس نکات سخنرانی در علوم کامپیوتر، توسط گروه انفورماتیک منتشر شده و در سایت ای ترجمه جهت دانلود ارائه شده است. در صورت نیاز به دانلود رایگان اصل مقاله انگلیسی و ترجمه آن می توانید به پست دانلود ترجمه مقاله بیومتریک یکبار مصرف برای پرداخت الکترونیکی در سایت ای ترجمه مراجعه نمایید.