چکیده
در این مقاله، یک طرح میکرو پرداخت کارآمد و امن جدید، به نام کوپن های الکترونیکی ارائه می دهیم که می تواند از قابلیت تفویض هزینه های خود را به دیگر کاربران و یا دستگاه های خود را مانند لپ تاپ، PDA، تلفن همراه و نقاط دسترسی به خدمات این چنینی را تسهیل کند. این طرح وعده تبدیل به یک توانمندساز برای خدمات مختلف مبتنی بر اینترنت است که شامل پرداخت واحد معقول است. این امر به کاربران انعطاف پذیری برای مدیریت قابلیت پرداخت هزینه در کل نقاط مختلف در دسترس برای خدمات خاص بدون اخذ مجوز برای هر نقطه دسترسی از یک بانک تسهیلاتی ارائه می دهد. این انعطاف پذیری که در طرح های پرداخت میکرو وجود دارد، برای دسترسی در همه جای خدمات الکترونیکی و دیگر برنامه های کاربردی مبتنی بر اینترنت ضروری است. تسهیلات واگذاری در رابطه با اثبات و یا تایید مجوز واگذاری و امنیت ارائه شده برای پرداخت کلیت ناچیزی را مطرح می سازد. پرداخت تسهیلات مسئولیت مخارج کل را از بین می برد. مقاله طراحی پروتکلی را مطرح می کند و تجزیه و تحلیل عملکرد سیستمی را فرام می کند.
کوپن های الکترونیکی بر اساس PayWord، زنجیره مخلوط یک طرفه تک پیگردی برای پرداخت واحد معقولانه، TESLA برای امنیت پرداخت و SPKI / SDSI به عنوان چارچوب PKI زمینه ای برای ویژگی نمایندگی منحصر به فرد آن است. نتایج به دست آمده از اجرای کوپن الکترونیکی کاملا قابل قبول و در نزدیک به زمان واقعی پاسخ را نشان می دهد. طرح ما از زنجیره هش یک طرفه چند پیگردی برای پرداخت واحد معقول استفاده می کند. علاوه بر این، انتقال بخش زنجیره های پرداخت به دیگران را مجاز می سازد. چون قابلیت هزینه های این کاربر می توان از نقاط دسترسی در سرویس های مختلف برای دسترسی خدمات مشترک، به صورت همزمان مورد استفاده قرار گیرد.
1. مقدمه
تجارت الکترونیک طیف گسترده ای از معاملات متفاوت، از معاملات کلان تا خرد را پوشش می دهد. در معاملات کلان ، در حالی که ارزش هر معامله بسیار بالا است، چالش در ارائه درجه بالاتری از احراز هویت، امنیت پرداخت، و غیر انکار بودن معاملات نهفته است. در معاملات خرد، در حالی که نیاز به تهیه کردن حجم معاملات بزرگ با ارزش مالی ذاتاً پایین وجود دارد، چالش نگه داشتن هزینه هر معامله برای حداقلی به طور متوسط است.
معاملات خرد شامل خدمات اینترنتی فعال مانند جریان های چند رسانه ای، دسترسی به قدرت محاسباتی شبکه، نرم افزار های قابل بارگذاری، نرم افزار پلاگین / رابط های برنامه کاربردی، تماسهای VoIP، کتابخانه الکترونیکی، اخبار و کالاهای غیر ملموس مختلفی است که می توان از طریق اینترنت تحویل داد (برای مثال از میان آنها، اخبار رایگان است). مشترکین به چنین خدماتی از طریق نقاط مختلف سرویس ها دسترسی دارند و همواره مایل به فاش کردن مجموعه ای از نقاط دسترسی نیستند. ارائه دهندگان خدمات با ابزارهای موجود موفق به شارژ خدمات خود نمی شوند. از این رو، آنها خدماتی را به کاربران بصورت رایگان ارائه می کنند و یا مکانیسم های دیگر نسبت به یک سیستم پرداخت میکرو بکار می برند. ارائه دهندگان خدمات هزینه تبلیغ و یا اشتراک انبوه را با استفاده از احراز هویت بر اساس آدرس IP میزبان و / یا کوکی های مرورگر و غیره بازیابی می کنند. مکانیزم میکرو پرداخت مستقیم مکمل عالی و ابزاری کوچک برای فروشندگان هستند. علاوه بر این، انگیزه های پراکنده ای برای کاربران پراکنده فراهم می کند که یک اشتراک تمام وقت برای برخی از خدمات پرداخت نمی خواهند. بر خلاف پرداخت کلان، ارزش پولی هر میکرو پرداخت بسیار کم است و خطر درگیر قابل قبول است. در حالی که پرداخت های کلان بر امنیت، غیر قابل انکار بودن و ظرفیت جایگزینی معامله، سیستم های میکرو پرداخت هدف کارآمد، کم هزینه بودن و راه اندازی امن تاکید دارند. کاربران آماده پذیرش سیستم های میکرو پرداخت با عوامل خطر منطقی مرتبط با آن هستند. در این مقاله، ما نگران طراحی و ساخت یک سیستم معامله میکرو هستیم که کاربران را به طور مستقیم مطابق با الزاماتی از قبیل امنیت، کم هزینه بودن هر معامله و امکانات نمایندگی حمایت می کند.
چندین روش پرداخت الکترونیکی ارائه شده در متون و مقالات گذشته وجود دارد: PayWord و MicroMint ، ( ریوست و شامیر ، 1996)؛ MilliCent، (گلاسمن و همکاران، 1995)، MiniPay، (هرزبرگ و یوچای 1997)، NetBill، (پروژه تجارت الکترونیکNetBill ، 1995)؛ Net-Card، (اندرسون و همکاران، 1996) NetCash مدوینسکی و نیومن ، 1993)؛ Agora، (گبر و سیلبرشاز 1996)، MPTP، (هالام- بیکر ، 1995)؛ iKP، ( بلار و همکاران، 2000) مبتنی بر میکرو پرداخت، و غیره. این طرح ها را می توان بطور گسترده در دسته ها بر خط و خارج از خط متمایز کرد، به اساس نوع اعتبار سنجی پرداخت که استفاده شده است. در روش خارج از خط، خطری که به طور طبیعی مطرح می شود اعتبار سنجی فوری انجام نشده است. NetBill، NetCash، MiniPay، MilliCent از برخط و یا نوع نیمه آنلاین اعتبار پرداخت استفاده می کنند که به طور کلی پر هزینه است. NetBillبرای خرید کالای اطلاعاتی از طریق اینترنت با تاکید بر امنیت و ظرفیت جابجایی معاملات طراحی شده است. سرور مورد اعتماد مرکزی در هر معامله ای در گیر است. اقتصاد خرد و مقیاس پذیری به دلیل ترافیک شبکه گسترده ای مورد نیاز در معامله و تعامل با سرور NetBill مرکزی پرسش بر انگیز است. NetCash طرح بر خط دیگری است که یک چارچوب برای سیستم پرداخت زمان واقعی امن و تا حدی ناشناس ارائه می دهد. ساختار اصلی NetCash شامل سرور ارز توزیع مستقل، با یک لینک بین جریان الکترونیکی ناشناس و خدمات غیر ناشناس است. سرور جریان نقد ارائه دهنده خدمات به مشتریان است، مانند تشخیص هزینه دو برابر، تبادل سکه برای موارد غیر قابل پیگیری، خرید سکه با چک و بازخرید سکه برای چک. ویژگی های MiniPayبا هزینه کم، تاخیر قابل اغماض، رابط کاربری طبیعی، طراحی مقیاس پذیر، پشتیبانی از ارزهای مختلف و امنیت بالا از جمله عدم انکار، پیشگیری از ولخرجی و محافظت در برابر انکار سرویس. معماری MiniPay شامل چهار تا شش بخش در راه اندازی آن است. کلیدهای عمومی برای تأیید هویت بخش ها آن استفاده می شود و مبتنی بر روابط همکار با همکار است که در آن کلید های عمومی با استفاده از روابط موجود بین همسالان تبادل و تصدیق می شوند. MilliCent سیستم تجاری ریز دیجیتال اختصاصی است. این سیستم خاص تجاری ضامن، به نام رسید موقت، یک شکل از نشانه ای است که تنها با یک تاجر خاص برای یک دوره زمانی محدود معتبر است. معاملات MilliCent ناشناس نیستند و عمدتا خارج از خط هستند. PayWord خارج از خط، بسیار کارآمد، طرح میکرو پرداخت مبتنی بر اعتبار است. این یک طرح سه جانبه است که شامل یک بانک، فروشنده و کاربر است. بانک تسهیلات اعتباری به کاربران می دهد و این اطمینان را به فروشندگان می دهد تا با کاربران ثبت شده پرداخت انجام شود. طرح های میکرو پرداخت دیگری عبارتند از؛ IKP میکرو ، NetCard، MPTP تا حد زیادی بر اساس PayWord پیشنهادی است. دیگر طرح های میکرو پرداخت از بحث ما خارج هستند (مانند MONDEX، CAFE )که بر روی سخت افزار های خاص مانند کارت هوشمند تکیه می کنند.
طرح میکرو پرداخت های بالا با هدف پرداخت امن و / یا کارآمد برای کالاهای غیر ملموس در پرداخت/ پرداخت به ازای هر کلیک/ پرداخت به عنوان اساس طراحی شده اند. طرح ها هم به شدت بر برنامه های کاربردی کلید نامتقارن تکیه دارند و یا برای این بانک در شرایط سنگین تر ضرب سکه و تایید بر روی خط بودن هستند. علاوه بر این، بسیاری از این طرح ها با توجه به طراحی متمرکز مقیاس پذیر نیستند. در حال حاضر تقاضا برنامه های کاربردی روز بسیار بیشتر از آنچه است که در این طرح فراهم می شود. امروزه، کاربران از ربات نرم افزار برای خرید بابت موارد بالا استفاده می کنند. کاربران انتظار دارند خدمات مشترک آنها از نقاط دسترسی مختلف در دسترس باشند (به طور همزمان پذیرفتنی). ما در حال حاضر دو نمونه از سناریوهای میکرو پرداخت را ارائه دادیم که به خوبی با طرح های موجود مورد بحث بطور راضی کننده ای راه اندازی نمی شوند.
سناریوی 1 : کنسرسیومی از موسسات دانشگاهی خود را برای انتشار الکترونیکی خدمات مختلف موظف ساختند. مدیریت کنسرسیوم حاضر برای فریب دیگر نهادهای غیر عضو برای اشتراک موقت و یا به صورت دائم است. بدین منظور، برای مدیر کنسرسیوم لازم است تا به ویژگی هایی مانند نمایندگی جزئی از قدرت به دیگر نهاد و یا فردی را دااشته باشد در حالی که بهره وری و امنیت سیستم را حفظ می کند.
سناریو 2: یک کاربر یک نرم افزار چندگانه و موضوعاتی با استفاده از رابط های مختلف برنامه کاربردی خارجی / پلاگین (رابط برنامه نرم افزار(، بر اساس اشتراک کاربر دارد. ابزار پرداخت یکپارچه مانع اجرای موضوعات بطور موازی خواهند شد.
یکی از دلایل اصلی آن این است که پرداخت میکرو موجود اجازه نمی دهد تا کاربر اختیارات خود را کاملا و یا جزئی به اشخاص ثالث واگذار کند. بسیاری از این حالات وجود دارد که در آن رشد تجارت الکترونیک به دلیل در دسترس نبودن کارآمد دچار رکود می شود و طرح میکرو پرداخت امن که تسهیلات واگذاری به غیر را برای کاربران به منظور قابلیت پرداخت هزینه های خود فراهم می کند. در این مقاله، ما باید طراحی و پیاده سازی آدرس یک سیستم میکرو پرداخت را با رسیدن به شرایط زیر بیان کنیم: امنیت، کم هزینه بودن در هر معامله، بازده و ارائه قابلیت واگذاری مخارج. طراحی ما از ویژگی های PayWord (ریورس و شامیر 1996)، TESLA (Perrig (پرینگ و همکاران، 2002؛ پرینگ و همکاران، 2001)، و SPKI / SDSI (کلارک و همکاران، 2001) استفاده کردند. به عبارت دیگر، ما چارچوب PayWord را گسترش می کنیم (ریورس و شامیر، 1996) که مسئولیت رسیدگی به قابلیت هزینه کرد کاربران را از طریق SPKI / SDSI اداره می کند و امنیت از طریق TESLA را اداره می کند.
Abstract
In this paper, we propose a new efficient and secure micro-payment scheme, named e-coupons, which can provide the users the facility of delegating their spending capability to other users or their own devices like Laptop, PDA, Mobile Phone, and such service access points. The scheme has the promise of becoming an enabler for various Internet-based services involving unit-wise payment. It gives flexibility to the users to manage their spending capability across various access points for a particular service without obtaining an authorization for each and every access point from a facilitating bank. This flexibility which is not present in the existing micro-payment schemes is essential for accessing ubiquitous e-services and other Internet-based applications. The facility of delegation introduces a slight overhead in respect of the proof or verification of the delegated authorization and security provided to the payments. The payoff from the facility of delegation takes away the burden of the overhead. The paper discusses the design of the protocol and provides a basic analysis of the performance of the system.
e-coupons is based on PayWord, a single-seed one-way hash chain for unit-wise payment, TESLA for payment security and SPKI/SDSI as underlying PKI framework for its unique delegation feature. The results obtained from the implementation of ecoupons are quite acceptable and show near real-time response. Our scheme uses multi-seed one-way hash chains for unit-wise payment. Furthermore, it allows an ordered transfer of the portions of payment chains to others. Because of this user’s spending capability can be used from different service access points to access the subscribed service, concurrently.
1. Introduction
E-Commerce covers a broad spectrum of transactions varying from macro-transactions to microtransactions. In macro-transactions, while the value of each transaction is very high, the challenge lies in providing a higher grade of authentication, payment security, and non-repudiation of transactions. In case of micro-transactions, while the need is to cater to a large volume of transactions of low intrinsic financial value, the challenge is to keep the cost of each transaction to a minimum on an average.
Micro-transactions include Internet-enabled services like streaming multi-media, accessing computational power from grids, loadable softwares, software plug-ins/APIs, VoIP calls, e-Library, news, and various such non-tangible goods which can be delivered through Internet (of them, news is free, for example). Subscribers access such services through different service access points and would not always like to reveal the set of their access points. The service providers have not succeeded in charging their services by following the available means. Hence, they provide the services to the users free of cost or employ mechanisms other than amicro-payment system. The service providers recover the cost from the advertisers or bulk subscriptions using authentication based on host IP addresses and/or browser cookies etc. A direct micro-payment mechanism would be of great complement and facilitate small vendors. Further, it would provide incentives for sporadic users who do not want a full-time subscription to some paid service. Unlike macro-payments, the monetary value of every micro-payment is extremely low and the risk involved is acceptable. While the macropayments emphasizes on security, non-repudiation and atomicity of the transaction, micro-payment systems aim at efficient, low-cost, secure setup. The users are ready to accept micro-payment systems with reasonable risk factors associated with it. In this paper, we are concerned with the design and development of a micro-transaction system that charges the user directly complying with requirements such as security, low-cost per transaction, and delegation facility.
There are several e-payment schemes proposed in the literature: PayWord and MicroMint, (Rivest and Shamir, 1996); MilliCent, (Glassman et al., 1995); MiniPay, (Herzberg and Yochai, 1997); NetBill, (The NetBill Electronic Commerce Project, 1995); NetCard, (Anderson et al., 1996); NetCash, (Medvinsky and Neuman, 1993); Agora, (Gabber and Silberschatz, 1996); MPTP, (Hallam-Baker, 1995); iKP, (Bellare et al., 2000) based micro-payment, etc. These schemes can be broadly differentiated into on-line and off-line categories based on the type of payment validation used. In off-line methods, risk naturally arises as immediate validation is not performed. NetBill, NetCash, MiniPay, MilliCent use on-line or semi-online type of payment validation, which is costly in general. NetBill is designed for buying information goods via Internet with emphasis on security and atomicity of transactions. A central trusted server is involved in every transaction. Micro-economy and scalability are questionable because of the extensive network traffic required during the transaction and the interaction with the central NetBill server. NetCash is another on-line scheme that offers a framework for a secure and partially anonymous real time digital payment system. The basic NetCash structure consists of independent, distributed currency servers providing a link between anonymous electronic currency and non anonymous services. Currency server provides customer services, like double spending detection, coin exchange to allow untraceability, purchases of coins with cheques and redemption of coins for cheques. MiniPay features a low cost, negligible delay, natural user interface, scalable design, support for multiple currencies, and high security—including non-repudiation, overspending prevention, and protection against denial of service. MiniPay architecture involves four to six parties in its setup. It uses public-keys to authenticate parties and it is based on peer to peer relationships, where public-keys are exchanged and authenticated using existing relationships between the peers. MilliCent is a proprietary voucher based digital microcommerce system. The system uses merchant specific vouchers, called scrip, a form of token that is only valid with a particular merchant for a limited period of time. MilliCent transactions are not anonymous and mostly off-line. PayWord is an off-line, extremely efficient, credit-based micro-payment scheme. It is a tripartite scheme involving a bank, the vendors and users. The bank gives credit facility to the users and assures the vendors for redemption of payments made by the registered users. The other micro-payment schemes; micro-iKP, NetCard, MPTP are largely based on PayWord proposal. We have excluded from our discussion the other micro-payment schemes (like Mondex, CAFE) that rely on special hardware like smartcard.
The above micro-payment schemes have been designed with the intention to make secure and/or efficient payments for non-tangible goods on pay-perview/pay-per-click/pay-as-you-go basis. The schemes either rely more heavily on asymmetric key applications or they are more burdensome for the bank in terms of minting coins and on-line verification. Furthermore, most of these proposals are not scalable due to their centralized design. The present day applications demand much more than what these schemes provide. Nowadays, the users employ software robots to make purchases on their behalf. The users expect their subscribed services to be accessible from different access points (plausibly simultaneously). We present two typical micro-payment scenarios that cannot be satisfactorily handled by the existing schemes discussed above.
Scenario 1 A consortium of academic institutions has subscribed itself to various electronic publication services. The consortium management is willing to lure other non-member institutions for these subscriptions on an ad-hoc or permanent basis. For this purpose, it is necessary for the consortium administrator to have features like partial delegation of authority to other institution or individual while maintaining the efficiency and security of the system.
Scenario 2 A user has a multi-threaded application and the threads make use of different external APIs/plug-ins (Application Program Interfaces), based on the subscriptions of the user. A monolithic payment instrument will hinder the execution of threads in parallel.
One of the principal reason is that the existing micropayment schemes do not allow a user to delegate his authority totally or in part to third parties. There are many such scenarios where the growth of e-commerce has stagnated due to unavailability of an efficient and secure micro-payment scheme that provides delegation facility to users over their spending capability. In this paper, we shall address the design and implementation of a micro-payment system satisfying these requirements: security, low-cost per transaction, efficiency, and a provision to delegate the spending capability. Our design uses features from PayWord (Rivest and Shamir, 1996), TESLA (Perrig et al., 2002; Perrig et al., 2001), and SPKI/SDSI (Clarke et al., 2001). In other words, we have extended the PayWord framework (Rivest and Shamir, 1996) to handle delegation of users’ spending capability through SPKI/SDSI and handling security through TESLA.
چکیده
1. مقدمه
2. بررسی اجمالی
2.1 PayWord
2.2 TESLA
2.3 SPKI / SDSI
3. کوپن های الکترونیکی: عمومی طرح
4. کوپن های الکترونیکی: طرح با واگذاری
5. کوپن های الکترونیکی: اجرا
6. کوپن های الکترونیکی: برنامه های کاربردی
7. تحلیل طرح کوپن های الکترونیکی
7.1 تجزیه تحلیل خطر
7.2 تجزیه و تحلیل امنیت
7.3 تجزیه و تحلیل عملکرد و مقایسه ارزیابی
8. نتیجه گیری
Abstract
1. Introduction
2. Overview
2.1. PayWord
2.2. TESLA
2.3. SPKI/SDSI
3. e-coupons: Basic Scheme
4. e-coupons: Scheme with Delegation
5. e-coupons: Implementation
6. e-coupons: Applications
7. Analysis of e-coupons Scheme
7.1. Risk analysis
7.2. Security analysis
7.3. Performance analysis and comparative evaluation
8. Conclusion