Содержание
Введение 3
1. Требования к системам осуществления платежей 5
2. Протокол SSL. Безопасный уровень соединителей 6
3. Безопасное ядро. Протокол SSH 10
4. Протокол микроплатежей MPTP (Micro Payment Transfer Protocol) 13
5. Безопасный протокол электронных платежей SET 17
6. Протокол для работы с кредитными картами CyberCash (версия 0.8) 30
6.1. Обзор системы 30
6.2. Соображения безопасности 31
6.2.1. Аутентификация и идентификация личности 31
6.2.2. Конфиденциальность 33
6.3. Работа с кредитной картой 33
Заключение 34
Список используемой литературы 37
Введение
В данной работе рассматривается тема "Протоколы безопасной работы, используемые платежными системами электронной коммерции".
К основным протоколам безопасности, используемым в платежных системах электронной коммерции, относятся протоколы SSL и SET. Эти протоколы используются в отечественных платежных системах. Так, протокол SSL используется в платежных системах Instant! (128-bit SSL), CyberPlat (обслуживание платежей по пластиковым картам Visa, EuroCard/MasterCard и др.), КредитПилот (передача информации в защищенном режиме с использованием SSL 3.0). Протокол SET используется платежной системой RBS (Runet Business Systems), Альфа-банком, Транскредитбанком.
Протокол SSL (Secure Sockets Layer) - это протокол взаимодействия информационных серверов и универсальных клиентов по защищенному каналу связи. Для двух взаимодействующих приложений протокол обеспечивает аутентификацию и идентификацию сервера и клиента, шифрование данных, контроль целостности сообщения. Отождествление клиента и сервера (идентификация) и проверка подлинности (аутентификация) клиента и сервера реализуются в результате обмена открытыми ключами и создания сеансовых криптографических ключей. После этого возможен двусторонний обмен шифрованными сообщениями.
Протокол является открытым и доступным любому пользователю. Он состоит из двух составляющих - протокола установления защищенной связи и протокола защищенного обмена данными.
В электронной торговле протокол используется для передачи магазину информации о платежной карте клиента либо для защищенного обмена данными. Протокол обеспечивает защиту только от внешних воздействий злоумышленников, предполагая полное доверие друг другу продавца и покупателя. Это характерно для совершения сделок на небольшую сумму.
Протокол SET (Secure Electronic Transactions - безопасные электронные транзакции) - это один из основных стандартов электронных платежей. По сравнению с SSL он обеспечивает более высокий уровень безопасности и поэтому применяется при совершении сделок на значительную сумму.
Протокол использует для шифрования данных алгоритмы DES и RSA. Идентификация участников сделки осуществляется с помощью цифровой подписи и системы управления сертификатами. Этими же средствами обеспечивается целостность данных, исключая возможность модификации передаваемых документов и данных. При использовании для расчетов пластиковых карт данные о покупателе передаются в зашифрованном виде непосредственно в обслуживающий банк. Магазину (продавцу) данные о покупателе недоступны, чем обеспечивается высокая степень защищенности сделки.
Одним из программных элементов системы SET является электронный кошелек (Wallet). Он позволяет клиенту управлять платежными карточками и сертификатами. Специальная программа (SET e-wallets) автоматически отправляет на сервер предварительно подготовленные данные пластиковой карты, адрес доставки и другую информацию о клиенте, обеспечивая дополнительную безопасность и исключая ошибки при ручном заполнении форм. В состав SET также входят платежный сервер продавца (Merchant Server), платежный шлюз (Payment Gateway), серверное программное обеспечение - источник сертификатов (Certificate Authority). По спецификации SET взаимодействующими сторонами при использовании этого протокола являются владелец кредитной карточки, банк покупателя, продавец, банк продавца, платежный шлюз (система, обрабатывающая запросы от продавца и взаимодействующая с банком покупателя), сертификационный центр, финансовые институты, обеспечивающие функционирование торговой марки.
Рассмотрим подробнее протоколы безопасной работы, используемые платежными системами электронной коммерции.
1. Требования к системам осуществления платежей
Идеальная платежная система должна отвечать следующим требованиям:
1. Безопасность системы должна препятствовать воровству денег на всех этапах выполнения операции.
2. Себестоимость операции должна быть низкой для всех участников.
3. Система должна обеспечивать высокий уровень конфиденциальности для клиента.
4. Схема и реализация должны быть простыми (не нужно использовать сложных протоколов)
5. Система должна быть открытой (протоколы и тесты программ должны быть общедоступны).
6. Система должна уметь выполнять операции с любыми долями самой мелкой денежной единицы.
7. Должна предоставлять достаточное количество данных для целей аудита.
8. Система должна быть свободной, то есть не иметь ограничений владельца.
Ни одна из существующих платежных систем не отвечает всем этим требованиям в полной мере.
Существует много платежных схем, например:
А. Электронные монеты
Б. Электронные чеки
В. Электронные переводы (трансферты)
Разумеется, могут существовать и методы, сочетающие в себе любые комбинации этих схем. Эти методы должны работать не только с традиционными деньгами, но с их заменителями, акциями, облигациями, золотыми слитками, товарами и услугами. Во всех моделях помимо основных участников - продавца и покупателя, необходим посредник. Назовем его банкиром (кассиром). Теперь рассмотрим протоколы безопасной работы, используемые платежными системами электронной коммерции.