КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
Использование сертификатов
|
|
|
|
Особенности функционирования протокола SET
Методы защиты информации в сфере электронных платежей
Виды электронной торговли
Вопрос 29. Обеспечение безопасности электронных платежей через сеть Internet
Понятие системы информационной безопасности
Введение в безопасность корпоративных систем Internet и Intranet
Вопрос 28. Обеспечение безопасности в Internet
Проблема обеспечения эффективной зашиты корпоративной системы Internet и Intranet является одной из самых важных и приоритетных проблем развития любой российской компании и организации. Актуальность данной проблемы объясняется следующими основными причинами:
ü рост числа компьютерных преступлений и атак;
ü неудовлетворительное состояние защиты в существующих компьютерных сетях. Сети отечественных предприятий находятся в постоянном развитии. Однако с этим развитием постоянно растет и число возможных угроз для сетей Internet и Intranet. Таким угрозам подвержены шлюзы и серверы Internet, серверы файлов и приложений, серверы групповой работы и электронной почты, рабочие станции;
ü необходимость минимизации информационных рисков. Для достижения требуемой эффективности экономической деятельности компании важно уметь не только создавать, но и грамотно управлять комплексными решениями в области безопасности корпоративных систем Internet и Intranet.
2. Создание эффективной системы информационной безопасности - это прежде всего создание системы.2 Необходимо собрать систему, для которой можно будет доказать отсутствие недекларированных возможностей работы злоумышленника и ошибок. Система должна быть защищена от ошибок и злонамеренных, действий ее легальных пользователей и системных администраторов, удобна в эксплуатации и по возможности прозрачна и гибка для конечных пользователей.
|
|
|
В настоящее время происходит расширение рынка конечных комплексных систем информационной безопасности. И на этот рынок начинают выходить такие компании-гиганты, как Microsoft,
IBM, Cisco и другие, достигшие успехов в развитии компьютерных коммуникационных технологий.
Понятие "система информационной безопасности" предполагает разделение задачи обеспечения безопасности на ряд взаимно связанных составляющих, каждая из которых имеет свое место в сие-: теме и влияет на окончательный облик всей системы.
4. Участники системы расчётов и криптографические средства защиты транзакций
Под термином "электронная торговля" понимают предоставление товаров и платных услуг через глобальные информационные сети. Наиболее распространенные виды электронной коммерции:
ü продажа информации, например подписка на базы данных, функционирующие в режиме on-line. Этот вид услуг уже получил распространение в России (базы данных "Россия-он-лайн", "Гарант-Парк" и др.);
ü "электронные магазины". Обычно электронный магазин представляет собой Web-site, в котором имеется оперативный катале товаров, виртуальная "тележка" покупателя, на которую "собираются" товары, а также средства оплаты по предоставлению номера кредитной карточки по сети Internet или по телефону. Оперативные каталоги товаров могут обновляться по мере изменения предложений продукции либо для отражения сезонного стимулирования спроса. Отправка товаров покупателям осуществляется по почте или, в случае покупки,электронных товаров. (например программного обеспечения), по каналам электронной почты, или непосредственно через Web-site по сети Internet
ü электронные банки. Среди основных достоинств электронных банков можно выделить относительно низкую себестоимость организации такого банка (не нужно арендовать престижные здания, не нужны хранилища ценностей и т. д.) и широкий охват клиентов (потенциальным клиентом электронного банка может стать практически любой пользователь Internet). Поэтому электронный банк может предоставлять клиентам более выгодные, чем у обычного банка, проценты, а также больший спектр банковских услуг за более низкую плату. Электронный банк имеет собственные системы безопасности и защиты электронной информации, например специальные карты - генераторы случайных паролей, синхронизируемых с паролем на банковском сервере (это позволяет создавать уникальный пароль при каждом обращении клиента к банковскому серверу). Другой, менее дорогостоящий подход связан с использованием персональных смарт-карт, также позволяющих генерировать сессионные (сеансовые) ключи.
|
|
|
Некоторая задержка в развитии электронной торговли была обусловлена отсутствием надежной системы защиты. Пока платежная информация передается по открытым сетям с минимальными предосторожностями или вовсе без них. Это является благоприятной почвой для автоматизированного мошенничества (например, использование фильтров для всех сообщений, проходящих через какую-либо сеть, с целью извлечения номеров счетов кредитных карточек из потока данных), а также мошенничества "ради озорства", характерного для некоторых хакеров.
2. Традиционный и проверенный способ электронной торговли, который ведет свое начало от обычной торговли по каталогам, представляет собой оплату товаров и услуг кредитной карточкой по телефону. В этом случае покупатель заказывает на Web-сервере список товаров, которые он хотел бы купить, и потом сообщает по телефону номер своей кредитной карточки продавцу коммерческой фирмы. Затем происходит обычная авторизация карты, а списание денег со счета покупателя производится лишь в момент отправки товара по почте или с курьером.
Для того чтобы покупатель - владелец кредитной карточки мог без опасений расплатиться за покупку через сеть, необходимо иметь более надежный, отработанный механизм защиты передачи электронных платежей. Такой принципиально новый подход заключается в немедленной авторизации и шифровании финансовой информации в сети Internet с использованием схем SSL и SET.
|
|
|
Протокол SSL (Secure Socket Layer) предполагает шифрование информации на канальном уровне.
Протокол "Безопасные электронные транзакции" SET (Secure Electronic Transactions), разработанный компаниями Visa и Master Card, предполагает шифрование исключительно финансовой информации. Главное его требование - обеспечение полной безопасности и конфиденциальность совершения сделок. На сегодняшний день технические условия протокола, обеспечивающие безопасность, признаны оптимальными. Ввод этого протокола в действие даст владельцам пластиковых карт возможность использовать компьютерные сети при проведении финансовых операций, не опасаясь за дальнейшую судьбу своих платежных средств.
Стандарт SET существенно увеличивает объем продаж по кредитным карточкам через Internet. Обеспечение безопасности электронных транзакций для такого вида покупателей может привести к заметным изменениям, выражающимся в уменьшении себестоимости транзакции для банков и процессинговых компаний.
3. Для того чтобы обеспечить полную безопасность и конфиденциальность совершения сделок, протокол SET должен гарантировать непременное соблюдение следующих условий:
ü абсолютная конфиденциальность информации. Владельцы карточек должны быть уверены в том, что их платежная информация надежно защищена и доступна только указанному адресату. Это является непременным условием развития электронной торговли;
ü полная сохранность данных. Участники электронной торговли должны быть уверены в том, что при передаче от отправителя к адресату содержание сообщения останется неизменным. Сообщения, отправляемые владельцами карточек коммерсантам содержат информацию о заказах, персональные данные и платежные инструкции. Если в процессе передачи изменится хотя бы один из компонентов, то данная транзакция не будет обработана надлежащим образом. Поэтому во избежание ошибок протокол SET должен обеспечить средства, гарантирующие сохранность и неизменность отправляемых сообщений. Одним из таких средств является использование цифровых подписей;
|
|
|
ü аутентификация (установление подлинности) счета владельца карточки. Использование цифровых подписей и сертификатов владельца карточки гарантирует аутентификацию счета владельца карточки и подтверждение того, что владелец карточки является законным пользователем данного номера счета.
Владелец карточки должен быть уверен, что коммерсант действительно имеет право проводить финансовые операции с финансовым учреждением. Использование цифровых подписей и сертификатов коммерсанта гарантирует владельцу карточки, что можно безопасно вести электронную торговлю.
4. Протокол SET изменяет способ взаимодействия участников системы расчетов. В данном случае электронная транзакция начинается с владельца карточки, а не с коммерсанта или эквайера. Коммерсант предлагает товар для продажи или предоставляет услуги за плату. Протокол SET позволяет коммерсанту предлагать электронные взаимодействия, которые могут безопасно использовать владельцы карточек.
Эквайером (получателем) является финансовое учреждение, которое открывает счет коммерсанту и обрабатывает авторизации и платежи по кредитным карточкам. Эквайер обрабатывает сообщения о платежах, переведенных коммерсанту посредством платежного межсетевого интерфейса. При этом протокол SET гарантирует, что при взаимодействиях, которые осуществляет владелец карточки с коммерсантом, информация о счете кредитной карточки будет оставаться конфиденциальной. Финансовые учреждения создают ассоциации банковских кредитных карточек, которые защищают и рекламируют данный тип карточки, создают и вводят в действие правила использования кредитных карточек, а также организуют сети для связи финансовых учреждений друг с другом.
Системы кредитных карт утвердились в значительной степени в качестве платежного средства для приобретения товаров непосредственно у продавца. Основное отличие использования кредитных карт в сети Internet заключается в том, что в соответствии со стандартом SET для защиты транзакций электронной. Торговли используются процедуры шифрования и цифровой подписи.
Сеть Internet рассчитана на одновременную работу миллионов пользователей, поэтому в коммерческих Интернет-приложениях невозможно использовать только симметричные криптосистемы с секретными ключами (DES, ГОСТ 28147-89). В связи с этим применяются также асимметричные криптосистемы с открытыми) ключами.
Шифрование с использованием открытых ключей предполагает. что у коммерсанта и покупателя имеются по два ключа:
ü открытый, который может быть известен третьим лицам;
ü частный (секретный), известный только получателю информации.
Правила SET предусматривают первоначальное шифрование сообщения с использованием случайным образом сгенерированного симметричного ключа, который, в свою очередь, шифруется открытым ключом получателя сообщения. В результате образуется так называемый электронный конверт. Получатель сообщения расшифровывает электронный конверт с помощью своего частного (секретного) ключа, чтобы получить симметричным ключ отправителя. Далее симметричный ключ отправителя используется для расшифровки присланного сообщения. Целостность информации и аутентификации участников транзакции гарантируется использованием электронной цифровой подписи.
Для защиты сделок от мошенничества и злоупотреблений организованы специальные центры (агентства) сертификации в Inter net, которые следят за тем, чтобы каждый участник электронной коммерции получал бы уникальный электронный сертификат. В этом сертификате с помощью секретного ключа сертификации зашифрован открытый ключ данного участника коммерческой сделки. Сертификат генерируется на определенное время, и его получения необходимо представить в центр сертификат документ, подтверждающий личность участника (для юридических лиц - их легальную регистрацию), и затем, имея "на руках" открытый ключ центра сертификации, участвовать в сделках.
5. Альтернативой безопасной передаче ключа служит использование доверенной третьей стороны - центра сертификации (агентства по сертификатам) для подтверждения того, что открытый ключ принадлежит именно владельцу карточки.
Центр сертификации создает сообщение, содержащее имя владельца карточки и его открытый ключ, после предъявления владельцем карточки доказательств идентификации личности (водительские права или паспорт). Такое сообщение называется сертификатом. Сертификат снабжается подписью центра сертификации и содержит информацию об идентификации владельца, а также копию одного из открытых ключей владельца. Участники протокола SET имеют две пары ключей и располагают двумя сертификатами. Оба сертификата создаются и подписываются одновременно центром сертификации.
Сертификаты владельцев карточек функционируют как электронный эквивалент кредитных карточек. Они снабжаются цифровой подписью финансового учреждения и поэтому не могут быть изменены третьей стороной. Эти сертификаты содержат номер счета и срок действия, которые шифруются с использованием однонаправленного алгоритма хэширования. Если номер счета и дата окончания действия известны, то связь с сертификатом можно подтвердить, однако эту информацию невозможно получить путем изучения данного сертификата. В рамках протокола SET владелец карточки представляет информацию о счете в тот платежный межсетевой интерфейс, где проводится данная связь.
Сертификат выдается владельцу карточки только с разрешения финансового учреждения - эмитента карточки. Запрашивая сертификат, владелец карточки указывает свое намерение использовать торговлю электронными средствами. Эти сертификаты передаются коммерсантам вместе с запросами о покупке и зашифрованными платежными инструкциями. Когда коммерсант получает сертификат владельца карточки, он может не сомневаться в том, что номер счета подтвержден финансовым учреждением.
Сертификаты коммерсантов являются электронным аналогом фирменной картинки, которая выставляется в витрине электронного магазина.
Эти сертификаты снабжены цифровой подписью финансового учреждения коммерсанта и не могут быть изменены третьей стороной. Сертификаты служат гарантией того, что коммерсант имеет действующее соглашение с эквайером. Коммерсант должен иметь по меньшей мере одну пару сертификатов, для того чтобы участвовать в операционной среде SET, но у одного коммерсанта может быть множество пар сертификатов - для каждого типа кредитных карточек, которые он принимает к оплате. Сертификаты платежных межсетевых интерфейсов выдаются эквайерам или их обработчикам для систем, которые обрабатывают авторизации и получают сообщения. Ключ шифрования конкретного интерфейса, который владелец карточки получает из этого сертификата, используется для защиты информации о счете владельца карточки. Сертификаты платежного интерфейса выдаются эквайеру оператором карточек определенного типа:
ü сертификаты эквайеров выдаются для того, чтобы они могли принимать и обрабатывать запросы о сертификатах, инициированных коммерсантами. Эквайеры получают сертификаты от каждой ассоциации кредитных карточек;
ü сертификаты эмитентов нужны для того, чтобы пользоваться услугами центра сертификации, который может принимать и обрабатывать запросы о сертификатах непосредственно от владельцев карточек по открытым и частным сетям. Эмитенты получают сертификаты от ассоциации кредитных карточек. Сертификаты SET проверяются в иерархии доверия. Каждым сертификат связан с сертификатом подписи того объекта, который снабдил его цифровой подписью. Следуя по "дереву доверия" до известной доверенной стороны, можно быть уверенным в том, что сертификат является действительным. Например, сертификата владельца карточки связан с сертификатом эмитента (или acсоциации по поручению эмитента), который, в свою очередь, связан с корневым ключом через сертификат ассоциации.
Открытый ключ для корневой подписи известен всем программным средствам SET и может быть использован для проверки каждого из сертификатов. Корневой ключ будет распространяться в сертификате с автоподписью. Этот сертификат корневого ключа будет доступен поставщикам программного обеспечения для включения в их программные средства. Протокол SET определяет множество протоколов транзакций, которые используют криптографические средства для безопасного ведения электронной коммерции. Среди этих протоколов транзакций наиболее распространенными являются:
ü регистрация владельца карточки;
ü регистрация коммерсанта;
ü запрос о покупке;
ü авторизация платежа;
ü получение платежа.
Новые достижения в области безопасности использования кредитных карточек, реализованные в стандарте SET, способны удовлетворить самых недоверчивых клиентов электронных платежных систем, поскольку устраняются все их опасения путем внедрения средств шифрования для скремблирования кредит ной карточки в таком порядке, чтобы ее могли читать только продавец и покупатель.
Системы указанного типа имеют ряд преимуществ:
ü деньги клиента находятся под надежным присмотром банка. Если клиент потеряет карточку, то его счет все равно связан с его именем. В отличие от систем с использованием наличности, у банка есть возможность проверить остаток на счете клиента, поэтому деньги клиента не теряются;
ü отпадает необходимость в открытии нового счета. В банке для обработки транзакций данного типа клиент может продолжать пользоваться действующим счетом и кредитной карточкой. Этот фактор имеет большое значение на начальных стадиях электронной торговли в WWW сети Internet.
Недостатком является отсутствие конфиденциальности. В отличие от транзакций с электронной наличностью, которые являются анонимными, в транзакциях с кредитными картами имя клиента жестко связано со счетом.
|
|
|
|
Дата добавления: 2014-01-20; Просмотров: 27582; Нарушение авторских прав?; Мы поможем в написании вашей работы!