|
|||||||
АвтоАвтоматизацияАрхитектураАстрономияАудитБиологияБухгалтерияВоенное делоГенетикаГеографияГеологияГосударствоДомДругоеЖурналистика и СМИИзобретательствоИностранные языкиИнформатикаИскусствоИсторияКомпьютерыКулинарияКультураЛексикологияЛитератураЛогикаМаркетингМатематикаМашиностроениеМедицинаМенеджментМеталлы и СваркаМеханикаМузыкаНаселениеОбразованиеОхрана безопасности жизниОхрана ТрудаПедагогикаПолитикаПравоПриборостроениеПрограммированиеПроизводствоПромышленностьПсихологияРадиоРегилияСвязьСоциологияСпортСтандартизацияСтроительствоТехнологииТорговляТуризмФизикаФизиологияФилософияФинансыХимияХозяйствоЦеннообразованиеЧерчениеЭкологияЭконометрикаЭкономикаЭлектроникаЮриспунденкция |
Обеспечение безопасности электронных платежей через сеть Internet
Сегодня Internet может рассматриваться как огромный рынок, способный охватить практически все население планеты Земля. Места совершения сделок постепенно перемещаются от традиционных рынков к более комфортным для потребителя - в дом или офис. Под термином "электронная торговля" понимают предоставление товаров и платных услуг через глобальные информационные сети. Основные виды электронной коммерции: -продажа информации, например подписка на базы данных, работающих в режиме "on-line" (в России - "Россия-он-Лайн", "Гарант-Парк"); -"электронный магазин" - Web-site с оперативным каталогом товаров, оплата - по проедоставлению номера кредитной карточки по сети Internet или по телефону. Отправка - по почте (программное обеспечение - по электронной почте). -электронные банки (более дешевы и более доступны, и, следовательно, имеют лучшие ставки). Используют специальные карты-генераторы случайных паролей, синхронизируемых с паролем на банковском счете, или персональные смарт-карты. Некоторая задержка в развитии электронной торговли обусловлена отсутствием надежной защиты.
Основные методы защиты. Традиционный способ электронной торговли берет начало от обычной торговли по каталогам. Покупатель заказывает на Web-сервере товары и сообщает по телефону номер своей кредитной карточки, производится обычная авторизация карты, а списание денег со счета покупателя производится лишь в момент отправки товара по почте. Новый подход заключается в немедленной авторизации и шифровании финансовой информации с использованием схем SSL и SET. Протокол SSL предполагает шифрование информации на канальном уровне. Протокол SET ("Безопасные электронные транзакции"), разработанный компаниями Visa и MasterCard, обсуждался в течении полугода учеными всего мира. На сегодняшний день технические условия протокола, обеспечивающие безопасность, признаны оптимальными.
Протокол SET. Должны быть соблюдены условия: 1. Абсолютная конфиденциальность информации. 2. Полная сохранность данных. Одно из средств - электронная подпись. 3. Установление подлинности счета владельца карточки - использование электронной подписи и сертификата владельца карточки. 4. Подтверждения прав коммерсанта - использование электронной подписи и сертификата коммерсанта. В соответствии со стандартом SET для защиты транзакций используются процедуры шифрования и цифровой подписи. Протокол предусматривает первоначальное шифрование сообщения с использованием случайным образом сгенерированного симметричного ключа, который, в свою очередь, шифруется открытым ключом получателя сообщения. В результате образуется так называемый электронный конверт. Получатель расшифровывает электронный конверт с помощью своего секретного ключа, получает симметричный ключ и расшифровывает присланное сообщение. Целостность информации и аутентификация участников транзакции гарантируется использованием электронной цифровой подписи. Для защиты сделок от мошенничества организованы центры (агентства) сертификации в Internet, которые следят за тем, чтобы каждый участник электронной коммерции получал бы уникальный электронный сертификат. В этом сертификате с помощью секретного ключа сертификации зашифрован открытый ключ данного участника коммерческой сделки. Сертификат генерируется на определенное время, и для его получения необходимо представить в центр сертификации документ, подтверждающий личность участника, и затем, имея "на руках" открытый ключ центра сертификации, участвовать в сделках. Рассмотрим пример шифрования. Коммерсант А хочет направить зашифрованное сообщение о товаре покупателю Б в ответ на его запрос. 1.А формирует из описания товара дайджест. Это своего рода цифровой слепок с описания товара, который впоследствии будет использован для проверки целостности сообщения. 2. А шифрует этот дайджест сообщения личным (секретным) ключом для подписи, чтобы создать цифровую подпись. 3. А создает произвольный симметричный ключ и использует его для шифрования описания товара, своей подписи и копии своего сертификата, который содержит ее открытый ключ для подписи. Для того чтобы расшифровать описание товара, Б потребуется защищенная копия этого произвольного симметричного ключа. 4. Сертификат Б, который А должен получить до инициации безопасной связи с ним, содержит копию его открытого ключа для обмена ключами. Чтобы обеспечить безопасную передачу симметричного ключа, А шифрует его, пользуясь открытым ключом Б для обмена ключами. 5. Зашифрованный ключ, который называется цифровым конвертом, направляется Б вместе с зашифрованным сообщением. Итак, А направляет Б сообщение, состоящее из: • симметрично зашифрованного описания товара, подписи и своего сертификата; • асимметрично зашифрованного симметричного ключа (цифровой конверт). 6. Б расшифровывает цифровой конверт личным (секретным) ключом для обмена ключами с целью извлечения симметричного ключа. 7. Б, используя этот симметричный ключ для расшифрования описания товара, подписи А и его сертификата. 8. Б расшифровывает цифровую подпись А с помощью его открытого ключа для подписи, который получает из ее сертификата. Тем самым он восстанавливает оригинальный дайджест сообщения с описанием товара. 9. Б пропускает описание товара через тот же однонаправленный алгоритм, который использовался А и сравнивает свой дайджест сообщения с тем дайджестом, который получен из цифровой подписи А. Если они в точности совпадают, Б получает подтверждение, что содержание сообщения не изменилось во время передачи и что оно подписано с использованием личного (секретного) ключа А. Если же дайджесты не совпадают, это означает, что сообщение либо было отправлено из другого места, либо было изменено после того, как было подписано. В этом случае Б предпринимает определенные действия, например уведомляет А или отвергает полученное сообщение. Протокол SET вводит новое применение цифровых подписей, а именно использование двойных цифровых подписей. В рамках протокола SET двойные цифровые подписи используются для связи заказа, отправленного коммерсанту, с платежными инструкциями, содержащими информацию о счете и отправленными банку. Например, покупатель Б хочет направить коммерсанту А предложение купить единицу товара и авторизацию своему банку на перечисление денег, если А примет его предложение. В то же время Б не хочет, чтобы в банке прочитали условия его предложения, равно. как и не хочет, чтобы А прочитала его информацию о счете. Кроме того, Б хочет связать свое предложение с перечислением так, чтобы деньги были перечислены только в том случае, если А примет его предложение. • Все вышесказанное Б может выполнить посредством цифровой подписи под обоими сообщениями с помощью одной операции подписывания, которая создает двойную цифровую подпись. Двойная цифровая подпись создается путем формирования дайджеста обоих сообщений, связывания двух сообщений вместе, вычисления дайджеста итога предыдущих операций и шифрования этого дайджеста личным ключом для подписи автора. Автор обязан включить также дайджест другого сообщения, с тем чтобы получатель проверил двойную подпись. Получатель любого из этих сообщений может проверить его подлинность, генерируя дайджест из своей копии сообщения, связывая его с дайджестом другого сообщения (в порядке, предусмотренном отправителем) и вычисляя дайджест для полученного итога. Если вновь образованный дайджест соответствует расшифрованной двойной подписи, то получатель может доверять подлинности сообщения. Если А принимает предложение Б, она может отправить сообщение банку, указав на свое согласие и включив дайджест сообщения с предложением Б. Банк может проверить подлинность авторизации Б на перечисление и дайджеста сообщения с предложением Б, предоставленного А, чтобы подтвердить двойную подпись. Таким образом, банк может проверить подлинность предложения на основании двойной подписи, нс банк не сможет прочитать условия предложения. Использование сертификатов. Сертификаты владельцев карточек функционируют как электронный эквивалент кредитных карточек. Они снабжаются цифровой подписью финансового учреждения и поэтому не могу быть изменены третьей стороной. Эти сертификаты содержат номер счета и срок действия, которые шифруются с использованием однонаправленного алгоритма хэширования. Если номер счета и дата окончания действия известны, то связь с сертификатом можно подтвердить, однако эту информацию невозможно получить путем изучения данного сертификата. Сертификат выдается владельцу карточки только с разрешения финансового учреждения - эмитента карточки. Эти сертификаты передаются коммерсантам вместе с запросами о покупке и зашифрованными платежными инструкциями. Когда коммерсант получает сертификат владельца карточки, он может не сомневаться в том, что номер счета подтвержден финансовым учреждением. Сертификаты коммерсантов являются электронным аналогом фирменной картинки, которая выставляется в витрине электронного магазина. Эти сертификаты снабжены цифровой подписью финансового учреждения коммерсанта и, следовательно, не могут быть изменены третьей стороной. Сертификаты служат гарантией того, что коммерсант имеет действующее соглашение с эквайером. Эквайером является финансовое учреждение, которое открывает счет коммерсанту и обрабатывает авторизации и платежи по кредитным карточкам. У одного коммерсанта может быть множество сертификатов - для каждого типа кредитных карточек, которые он принимает к оплате. Сертификаты платежных межсетевых интерфейсов выдаются эквайерам или их обработчикам для систем, которые обрабатывают авторизации и получают сообщения. Ключ шифрования конкретного интерфейса, который владелец карточки получает из этого сертификата, используется для защиты информации о счете владельца карточки. Сертификаты эквайеров выдаются эквайерам для того, чтобы они могли принимать и обрабатывать запросы о сертификатах, инициированных коммерсантами. Эквайеры получают сертификаты от каждой ассоциации кредитных карточек. Сертификаты эмитентов нужны эмитентам для того, чтобы пользоваться услугами центра сертификации, который может принимать и обрабатывать запросы о сертификатах непосредственно от владельцев карточек по открытым и частным сетям. Эмитенты получают сертификаты от ассоциации кредитных карточек.Эмитент - лицо, которое в рамках своей профессиональной деятельности предоставляет в распоряжение своему клиенту платежный инструмент на основании подписанного с ним соглашения. Эмитент - это тот, кто выпускает карту. Сертификаты SET проверяются в иерархии доверия. Следуя по "дереву доверия" до известной доверенной стороны, можно быть уверенным в том, что сертификат является действительным. Например, сертификат владельца карточки связан с сертификатом эмитента (или ассоциации по поручению эмитента), который, в свою очередь, связан с корневым ключом через сертификат ассоциации. Открытый ключ для корневой подписи известен всем программным средствам SET и может быть использован для проверки каждого из сертификатов. Корневой ключ будет распространяться в сертификате с автоподписью. Этот сертификат корневого ключа будет доступен поставщикам программного обеспечения для включения в их программные, средства. Корневая подпись Подпись ассоциации Геополитическая подпись Подпись эмитента Подпись эквайера Подпись владельца карточки Подпись коммерсанта Обмен ключами с коммерсантом Протокол SET определяет множество протоколов транзакций, которые используют криптографические средства для безопасного ведения электронной коммерции. Среди этих протоколов транзакций - регистрация владельца карточки, регистрация коммерсанта, запрос о покупке, авторизация платежа, получение платежа. Новые достижения в области безопасности использования кредитных карточек, реализованные в стандарте SET, способны удовлетворить самых недоверчивых клиентов электронных платежных систем, поскольку устраняются все их опасения путем внедрения средств шифрования для скремблирования кредитной карточки в таком порядке, чтобы ее могли читать только продавец и покупатель. Системы такого типа имеют ряд преимуществ. • Деньги клиента находятся под надежным присмотром банка. Если клиент потеряет карточку, то его счет все равно связан с его именем. В отличие от систем с использованием наличности у банка есть возможность проверить остаток на счете клиента, поэтому деньги клиента не теряются. Отпадает необходимость в открытии нового счета. В банке для обработки транзакций данного типа клиент может продолжать пользоваться действующим счетом и кредитной карточкой. Этот фактор имеет большое значение на начальных стадиях электронной торговли в WWW сети Internet. Однако имеется и недостаток, причем существенный - отсутствие конфиденциальности. В отличие от транзакций с электронной наличностью, которые являются анонимными, в транзакциях с кредитными картами имя клиента жестко связано со счетом.
Литература
1. Садерников А.А., Трайнев В.А., Федулов А.А., «Информационная безопасность прдприятия»: Учебное пособие. – 2-е изд.-М.,Издательско-торговая корпорация «Дашков и К», 2005 2. Мельников В.В. «Безопасность в автоматизированных системах» - М.: Финансы и кредит, 2003. 3. Романец Ю.В., Трофимов П.А., Шаньгин В.Ф, «Защита информации в компьютерных системах»/ Под ред. В.Ф.Шаньгина. – М.: Радио и связь, 1999. 4. Скембей, Джоел Мак-Клар, Стюарт. Секреты хакеров. Безопасность Windows 2000 – готовые решения. Изд. Дом «Вильямс», 2002г. 5. Антивирусный комплект DSAV. Диалогнаука, Москва 2003 г. 6. Антивирус Касперского Personal PRO ЗАО «Лаборатория Касперского». 7. С.С.Корт «Теоретические основы защиты информации»,-М., «Гелиос АРВ»,2004 8.. Connect! Мир связи, №10, 2006, «Организация процесса управления информационной безопасностью» 9. Сети и системы связи, №11, 2006, «Защита корпоративных данных» 10. Компьютер Пресс №9, 2006 «Безопасность корпоративных сетей»
Приложение 1 Поиск по сайту: |
Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Студалл.Орг (0.006 сек.) |