Главная страница
Навигация по странице:

  • 4.-^-SSLIASGLSIS-SS-HW

  • Обзор зарубежных платежных систем

  • Расчеты с помощью собственных предоплаченныхплатежных инструментов

  • Вопросы безопасности платежей в Интернете

  • Учберник. Учебник по ведению бизнеса в Интернет


    Скачать 3.96 Mb.
    НазваниеУчебник по ведению бизнеса в Интернет
    АнкорУчберник
    Дата10.05.2023
    Размер3.96 Mb.
    Формат файлаdocx
    Имя файлаuchebnik_po_vedeniyu_biznesa_v_internet.docx
    ТипУчебник
    #1119244
    страница16 из 53
    1   ...   12   13   14   15   16   17   18   19   ...   53
    Платежная система EACCESS

    Платежная система EACCESS (www.eaccess.riH разработана ОАО "АКСЕСС КОМ". Система работает в тесном сотрудничестве с ОАО "МГТС", оператором, оказывающим услуги связи в Москве. Финансовое обслуживание EACCESS осуществляет "НОМОС-БАНК". Главная страница сайта платежной системы EACCESS представлена на рис. 3.14.

    3 “АксессКОМ* запускает новую платежную систему EACCESS / InfoArt - Microsoft Int... MW E

    Fie Edit View Favorites Tools Help

    4.-^-SSLIASGLSIS-SS-HW

    Ajfdress |^)hHpV/riioa«t,»p.riet/>comrriefc/rtews700712^05 001himЦ

    ’’Аксесс КОМ” запускает новую платежную систему EACCESS

    5 декабря 2000 г.

    Российская компания "Аксесс КОМ’ обьявила о запуске новой платежной системы EACCESS, предназначенной для быстрого проведения платежей в сети Интернет при помощи комбинирования средств телефонии и Интернета

    По сообщению "Аксесс КОМ", система EACCESS не использует технологию поддержки пластиковых карт или электронные деньги Все, что нужно иметь пользователю EACCESS - это доступ в

    Интернет и телефон. В настоящее время система функционирует более чем в 30 регионах России, остальные планируется подключить в 2001 году.

    EACCESS является российской разработкой и защищена патентами Российской Федерации - получены свидетельства на полезные модели и изобретения по теме "Система предоставления платных услуг в телекоммуникационной сети (варианты/. Подана заявка на получение международного патента.

    *1 I

    ej £ Interne! J

    Рис. 3.14. Главная страница сайта платежной системы EACCESS

    Система EACCESS принципиально отличается от всех описанных выше платежных систем. Система ориентирована для работы на рынке микроплатежей и не использует принятые в Интернете формы расчета, в том числе кредитными картами и электронными деньгами.

    EACCESS представляет собой способ оплаты в виде счета за телефонные услуги. В основе системы оплаты лежит услуга Московской Городской Телефонной Сети "вызов за дополнительную плату" (Premium rate service).

    Покупатель может оплатить товар в Интернет-магазине и получить его. Счет на оплату товара будет выставлен ему МГТС таким же образом, как счет за междугородные телефонные переговоры. Отказ от оплаты счета клиентом ведет к тем же последствиям, что и отказ от оплаты телефонного счета — к отключению телефона.

    Таким образом, система EACCESS имеет надежный инструмент взыскания оплаты с покупателей, но, к сожалению, между отгрузкой товара или оказанием услуги и поступлением денег на счет продавца может пройти более месяца.

        1. Схема оплаты товаров и услуг

    Покупатель может получить доступ к ресурсу Интернет с помощью EACCESS следующим образом:

    • покупатель посещает сайт Интернет-магазина, знакомится с ассортиментом и выбирает способ оплаты через EACCESS. При этом он переходит на сайт системы в раздел, содержащий список товаров и услуг (ресурсов), продаваемых магазином через систему;

    • из каталога клиент выбирает нужный ресурс, период доступа к нему и знакомится с ценой за услугу или товар. Если цена и условия его устраивают, он нажимает кнопку Вход в систему;

    • клиенту выдается код платежа и телефон. Он звонит по этому телефону и в тоновом режиме вводит код. После звонка для получения кода доступа к ресурсу (товару или услуге) клиент нажимает кнопку Далее;

    • в открывшемся окне EACCESS выдает код доступа. Используя гиперссылку Далее, клиент попадает на сайт продавца, предъявляет полученный от EACCESS код доступа и получает доступ к ресурсу.

        1. Подключение Интернет-магазинов

    Для Интернет-магазинов процедура подключения к EACCESS заключается в следующем:

    • магазин подписывает договор о сотрудничестве и заполняет заявку на выставление своего ресурса на продажу через EACCESS;

    • магазин формирует и предоставляет EACCESS в определенном формате список кодов доступа (логиков и паролей) к выбранным ресурсам для продажи их пользователям;

    • администратор EACCESS заносит в базу данных платежной системы необходимую информацию о магазине и его ресурсах (название магазина, его логотип, наименования товаров и услуг и т. д.) в соответствии с полученной заявкой;

    • на сайтах магазина и EACCESS размещаются ссылки на соответствующие страницы сайтов друг друга для осуществления процедуры оплаты товаров и услуг и последующего доступа к ним.

        1. Безопасность платежей

    Специфика системы заключается в том, что никакая конфиденциальная информация о покупателях не пересылается по сети и не накапливается в банках данных поставщика услуги.

    В системе не используются данные с пластиковых карт, клиентам не нужно сообщать номера своих банковских счетов или производить

    какие-либо платежные операции в Интернете. Счет за предоставленные услуги выставляется оператором телефонной сети вместе со счетом за междугородние переговоры. Обслуживающая данную услугу телефонная компания имеет сертифицированное цифровое оборудование, которое пропускает звонок к EACCESS только тогда, когда однозначно определило абонентский телефонный номер клиента.

    При этом система не защищает абонента от мошенничества, связанного с несанкционированным использованием его телефона для оплаты товаров и услуг в Интернет-магазинах. Все конфликтные ситуации, которые могут возникнуть в связи с этим, разрешаются в том же порядке, что и споры по вопросам несанкционированных международных и междугородных звонков с телефона абонента, совершенных посредством подключения к его телефонной линии.

        1. Тарифы

    Подключение Интернет-магазинов и сервисных предприятий к системе осуществляется бесплатно.

    В зависимости от суммы платежа, за каждую транзакцию системой взимается комиссия в следующем размере:

    • за платежи до 100 рублей: 30% от суммы платежа плюс 0,5 доллара США;

    • за платежи свыше 100 рублей: 20% от суммы платежа плюс 0,5 доллара США.

    Как можно заметить, большие преимущества системы, обусловленные простотой и удобством для клиента, оборачиваются весьма высокой комиссией системы. В основном такой размер комиссии вызван высокими затратами МГТС на выставление счетов и обслуживание платежей.

    Высокий размер комиссии вынуждает Интернет-магазины и сервисные предприятия перекладывать часть затрат на клиента, увеличивая цену товаров и услуг. Это, безусловно, снижает для клиента привлекательность оплаты через систему и в ряде случаев стимулирует его к выбору другой, пусть даже менее удобной, системы оплаты.

        1. Перспективы системы

    Концепция системы весьма привлекательна. Главное преимущество системы заключается в том, что клиенту не нужно иметь ничего, кроме телефона и доступа в Интернет, чтобы совершить покупку. Ему не нужно быть владельцем кредитной карты, пополнять деньгами виртуальные счета, подключаться к каким-либо платежным системам и т. д. Кроме того, платить за покупку нужно не сразу, а, примерно, через месяц.

    Главными сдерживающими факторами развития системы являются высокая комиссия и значительная отсрочка поступления выручки от продажи на счета продавцов. Устранение этих факторов могло бы привести к бурному росту оборотов системы.

      1. Обзор зарубежных платежных систем

    За рубежом системы платежей в Интернете начали развиваться примерно с 1994 года. По развитию технологий платежей в сети Европа и США сильно опережают Россию. В этом разделе дан обзор некоторых зарубежных платежных систем. К сожалению, далеко не все они могут быть использованы в российском интернет-бизнесе.

        1. e-gold

    Платежная система e-gold ffwww.e-aold.com1) является дебетовой системой. Система использует оригинальную концепцию электронных денег, стоимость которых привязана к стоимости драгоценных металлов (золота, серебра и т. п.).

    Открыть счет в системе может любой пользователь Интернета. Для этого необходимо зарегистрироваться. Вся информация о счетах клиентов хранится на сервере платежной системы. Для работы с системой пользователю не требуется скачивать с сайта и устанавливать на своем компьютере какое-либо программное обеспечение.

    Пополнение счетов и вывод денег из системы производятся через сеть "обменных пунктов", в роли которых, как правило, выступают некоторые Интернет-магазины, подключенные к системе. Затраты на ввод-вывод средств обычно составляют 5-10% от вводимой или выводимой суммы.

    Система взимает комиссию в размере 1% за проведение платежей между счетами клиентов.

    Система e-gold применяется некоторыми российскими интер-нет- магазинами и сервисными предприятиями. Электронные деньги e-gold можно относительно свободно обменять на титульные знаки платежной системы WebMoney Transfer.

        1. Pay Pal

    Платежная система PayPal fwww.pavpal.com1) довольно хорошо известна в России, хотя с российскими клиентами она не работает. Это дебетовая система, использующая концепцию электронных денег:

    В PayPal существует два основных вида счетов:

    • для граждан США;

    • интернациональный (для лиц, не являющихся гражданами США).

    Счет для граждан США предоставляет более широкие возможности, но требует раскрытия информации о клиенте, вплоть до регистрационного номера налогоплательщика.

    Достаточно много зарубежных Интернет-магазинов и сервисных предприятий подключены к PayPal. Поэтому некоторые российские граждане подключаются к системе, искажая свои регистрационные данные (подставляя несуществующие адреса в Европе, США и т. д.). Этот способ небезопасен и к использованию не рекомендуется.

    В настоящее время для использования в легальном сетевом бизнесе в России эта система непригодна.

        1. GoldMoney

    Платежная система GoldMoney fwww.aoldmonev.com1) во многом аналогична e-gold. В качестве электронной денежной единицы система использует GoldGrams (единицы, эквивалентные стоимости одного грамма золота).

    Система поддерживает пересчет GoldGrams в российские рубли.

    Как и e-gold, электронные деньги GoldMoney можно обменять на титульные знаки WebMoney Transfer.

        1. Standard Reserve

    Standard Reserve (www. standard reserve.com) управляется холдингом Standard Reserve Holdings Limited (SRHL), зарегистрированным на Британских Вирджинских островах.

    Система Standard Reserve является интернациональной. Среди ее клиентов граждане 120 стран мира. Это еще одна система, электронные деньги которой можно обменять на титульные знаки WebMoney Transfer.

        1. CyberCash

    Американская платежная система CyberCash fwww.cvbercash.com1) является системой для расчетов в Интернете на основе кредитных карт.

    Для использования системы клиент должен зарегистрироваться, открыть счет в системе и пополнить его деньгами.

    Для управления деньгами на счете клиенту необходимо скачать и установить на своем компьютере специальное программное обеспечение CyberCash Customer Wallet.

    Для приема платежей от клиентов магазин должен скачать и установить на своем сайте программное обеспечение CyberCash Merchant Cash Register.

    При оплате клиентом товаров или услуг электронные деньги со счета клиента в системе передаются на счет продавца в системе. После совершения электронной оплаты физический платеж осуществляется со счета покупателя в его банке на счет продавца в банке продавца.

        1. CheckFree

    Платежная система CheckFree fwww.checkfree.com') создана в 1995 году. Эта система работает с электронными чеками. По указанию покупателя система выписывает электронный чек и передает его продавцу. В случае возникновения необходимости продавец может получить чек на бумажном носителе.

    Общая схема работы системы такова:

    • клиент выдает системе распоряжение на выдачу чека продавцу;

    • система посылает соответствующие инструкции в свой банк;

    • из банка системы данные передаются в банк продавца;

    • в определенное время между банком системы и банком продавца осуществляются взаиморасчеты.

    Система ChekFree не является анонимной. Информация о пользователе доступна банку и продавцу.

        1. DigiCash

    Платежная система DigiCash fwww.diaicash.com') использует концепцию электронных денег (eCash), с помощью которых клиент имеет возможность осуществлять различные операции, включая их конвертацию в реальные деньги.

    Схема работы системы заключается в следующем:

    • клиент скачивает и устанавливает на своем компьютере специальное программное обеспечение;

    • используя это программное обеспечение, клиент открывает счет в одном из банков системы, например Deutsche Bank или Mark Twain Bank;

    • клиент переводит деньги на открытый счет со счета в другом банке, с кредитной карты или иным способом;

    • со своего счета в банке системы клиент пополняет свой электронный "кошелек". В любой момент он может вернуть деньги из "кошелька" обратно на счет;

    • оплата товара или услуги осуществляется клиентом путем перевода денег из его "кошелька" в "кошелек" продавца;

    продавец проверяет в банке полученные электронные деньги и отгружает товар или оказывает услугу.

        1. Transact

    Компания Open Market (www.openmarket.com) предлагает своим клиентам достаточно широкий спектр услуг в области создания инфраструктуры электронной коммерции, в том числе и платежную систему Transact.

    Transact — кредитная система. Ее отличительной особенностью является то, что суммы покупок аккумулируются в системе учета, и по кредитной карте проходит одна суммарная транзакция за определенный период времени. Такой подход делает систему более приемлемой для микроплатежей, чем ее аналоги.

    Система не является анонимной. Open Market владеет всей информацией о покупателе, но продавцам система эту информацию не передает.

        1. Mondex

    Платежная система Mondex (www.mondex.com) относится к типу дебетовых систем, работающих с цифровыми наличными, носителем которых является смарт-карта.

    Электронная наличность зачисляется на смарт-карты Mondex посредством снятия средств с реальных счетов клиентов и "замены" их на цифровые деньги на смарт-карте.

    После зачисления электронных денег на карту Mondex, дальнейшее отслеживание их перемещений между пользователями не представляется возможным, т. е. система, по сути, предлагает полный электронный эквивалент настоящих денег.

    Передача электронных денег между пользователями может осуществляться по телефону, подключенному к Mondex, через обычную телефонную сеть или при помощи специального оборудования. Кроме того, электронные деньги Mondex могут использоваться для оплаты в некоторых Интернет-магазинах.

      1. Расчеты с помощью собственных предоплаченных
        платежных инструментов


    В некоторых случаях Интернет-магазин или сервисное предприятие может принять решение о создании собственного платежного инструмента. Как правило, такими платежными инструментами являются:

    • платежные карты. Обычно, платежная карта — это небольшая пластиковая или картонная карточка, содержащая открытый номер и поле с PIN-кодом, закрытое стираемым покрытием. Клиент покупает карту, стирает защитное покрытие, вносит PIN-код в соответствующее поле на сайте магазина или сервисного предприятия, и на его счет автоматически зачисляется сумма, равная номиналу карты;

    • конверты с PIN-кодами. По принципу действия этот платежный инструмент аналогичен платежным картам, но в отличие от карт он представляет собой конверт, содержащий внутри лист с PIN-кодом и инструкцией по применению.

    • Платежные карты и конверты распространяются через сети пунктов продаж, с которыми Интернет-магазин или сервисное предприятие заключает агентские договоры.

    Создание собственных платежных инструментов и налаживание сети их продаж целесообразно в следующих случаях:

    • если предприятие стремится создать максимальное удобство оплаты товаров и услуг определенной целевой аудитории своих клиентов (проживающей в конкретном городе, пользующейся услугами банков, пользующейся метрополитеном и т. п.). В этом случае платежные карты или конверты продаются в соответствующих местах, где сосредоточена целевая аудитория;

    • если платежные системы общего назначения недостаточно развиты в данном регионе или пользование ими неудобно для клиентов;

    • если предприятие имеет собственную широкую сеть пунктов продаж какой-либо обычной продукции (периодических изданий, книг и т. д.) и одновременно создает интернет-проект. В этом случае затраты на организацию сети продажи собственных платежных инструментов будут минимальны.

      1. Вопросы безопасности платежей в Интернете

    Безопасность платежей в Интернете, прежде всего, связана с безопасностью передачи информации через сеть и добросовестностью всех участников транзакции (плательщика, получателя платежа, банка и др.). Платеж через Интернет можно считать безопасным при выполнении следующих условий:

    • конфиденциальность передаваемой информации. При хранении и передаче информации о платеже и сделке она не должна полностью или частично попасть к третьим лицам;

    • аутентификация всех участников операции. У всех участников операции должна быть уверенность, что остальные участники являются именно теми, за кого себя выдают;

    • отсутствие искажений в передаваемой информации (целостность). В процессе передачи и хранения информации она должна быть защищена от несанкционированного искажения;

    • отсутствие у всех участников возможности отказаться от совершенных ими операций (нотаризация сделки);

    • отсутствие у всех участников операции возможности использовать информацию о других участниках, полученную в результате проведения операции, в целях совершения мошеннических действий по отношению к этим участникам. Простым примером такого мошенничества может быть использование реквизитов кредитных карт покупателей недобросовестными продавцами, которым эти реквизиты стали известны в результате совершения покупателем покупки в их магазине.

    1. Шифрование информации

    Конфиденциальность передаваемой информации обеспечивается ее шифрованием. При помощи процедуры шифрования отправитель сообщения преобразует его из простого текста в набор символов, не поддающийся прочтению без применения специального ключа, известного получателю. Получатель сообщения, используя ключ, преобразует переданный ему набор символов обратно в текст.

    Процесс преобразования с помощью ключа простого текста в зашифрованное сообщение и обратно называется алгоритмом шифрования. Обычно алгоритмы шифрования общеизвестны и не являются секретом. Конфиденциальность передачи и хранения зашифрованной информации обеспечивается за счет конфиденциальности ключа.

    Ключ к шифру — конкретный набор символов и процедур, применяемых при шифровании и дешифровании сообщений. Обычно степень защищенности информации зависит не только от алгоритма шифрования, но и от длины ключа, измеряемой в битах. Чем длиннее ключ, тем лучше защита, но тем больше вычислительных процедур необходимо провести компьютеру для шифрования и дешифрования передаваемой информации, что замедляет передачу данных.

    Существует два вида алгоритмов шифрования:

    • симметричные. В алгоритмах этого вида и для шифрования, и для дешифрования информации применяется один и тот же секретный ключ, известный и отправителю, и получателю информации;

    • асимметричные. Алгоритмы этого вида используют два ключа: один — для шифрования, другой — для дешифрования сообщения. Один из таких ключей является закрытым (секретным), другой — открытым (общедоступным).

    1. Симметричные алгоритмы шифрования

    Симметричные методы шифрования удобны тем, что для обеспечения высокого уровня безопасности передачи данных не требуется создания ключей большой длины. Это позволяет быстро шифровать и дешифровать большие объемы информации. Вместе с тем, и отправитель, и получатель информации владеют одним и тем же ключом, что делает невозможным аутентификацию отправителя. Кроме того, для начала работы с применением симметричного алгоритма сторонам необходимо безопасно обменяться секретным ключом, что легко сделать при личной встрече, но весьма затруднительно при необходимости передать ключ через какие-либо средства связи.

    Схема работы с применением симметричного алгоритма шифрования состоит из следующих этапов:

    • стороны устанавливают на своих компьютерах программное обеспечение, обеспечивающее шифрование и расшифровку данных и первичную генерацию секретных ключей;

    • генерируется секретный ключ и распространяется между участниками информационного обмена. Иногда генерируется список одноразовых ключей. В этом случае для каждого сеанса передачи информации используется уникальный ключ. При этом в начале каждого сеанса отправитель извещает получателя о порядковом номере ключа, который он применил в данном сообщении;

    • отправитель шифрует информацию при помощи установленного программного обеспечения, реализующего симметричный алгоритм шифрования;

    • зашифрованная информация передается получателю по каналам связи;

    • получатель дешифрует информацию, используя тот же ключ, что и отправитель.

    Ниже приведен обзор некоторых алгоритмов симметричного шифрования:

    • DES (Data Encryption Standard). Разработан фирмой IBM и широко используется с 1977 года. В настоящее время несколько устарел, поскольку применяемая в нем длина ключа недостаточна для обеспечения устойчивости к вскрытию методом полного перебора всех возможных значений ключа. Вскрытие этого алгоритма стало возможным благодаря быстрому развитию вычислительной техники, сделавшему с 1977 года огромный скачок;

    • Triple DES. Это усовершенствованный вариант DES, применяющий для шифрования алгоритм DES три раза с разными ключами. Он значительно устойчивее к взлому, чем DES;

    • Rijndael. Алгоритм разработан в Бельгии. Работает с ключами длиной 128, 192 и 256 бит. На данный момент к нему нет претензий у специалистов по криптографии;

    • Skipjack. Алгоритм создан и используется Агентством национальной безопасности США. Длина ключа 80 бит. Шифрование и дешифрование информации производится циклически (32 цикла);

    • IDEA. Алгоритм запатентован в США и ряде европейских стран. Держатель патента компания Ascom-Tech. Алгоритм использует циклическую обработку информации (8 циклов) путем применения к ней ряда математических операций;

    • RC4. Алгоритм специально разработан для быстрого шифрования больших объемов информации. Он использует ключ переменной длины (в зависимости от необходимой степени защиты информации) и работает значительно быстрее других алгоритмов. RC4 относится к так называемым потоковым шифрам.

    1. Асимметричные алгоритмы шифрования

    Симметричные методы шифрования удобны, когда заранее известен круг лиц, участвующих в обмене информацией, подлежащей шифрованию и дешифрованию.

    Асимметричные алгоритмы шифрования позволяют получателю обеспечивать шифрование информации, направляемой ему неограниченным количеством отправителей. Кроме того, использование этих алгоритмов позволяет проводить аутентификацию участников обмена информацией и осуществлять контроль целостности передаваемой информации.

    Общий принцип работы асимметричных алгоритмов заключается в следующем:

    • участник информационного обмена генерирует пару ключей. При этом данные, зашифрованные одним из ключей, могут быть расшифрованы только другим ключом. Один из этих ключей является открытым (общедоступным), другой — закрытым (секретным). Секретный ключ участник хранит у себя, а открытый распространяет всем желающим отправлять ему шифрованные сообщения. Открытый ключ — это функция, при помощи которой отправитель может зашифровать свое сообщение, но ни он сам, ни кто-либо другой не может дешифровать это сообщение, используя открытый ключ. Для дешифрования сообщения (т. е. осуществления обратной операции — вычисления значения аргумента по значению функции) необходимо знать некоторый параметр указанной функции, который, по сути, и является закрытым ключом;

    • отправитель сообщения шифрует информацию открытым ключом и передает ее получателю по каналам связи;

    • получатель дешифрует сообщения, используя свой закрытый ключ.

    Наиболее распространенные алгоритмы асимметричного шифрования приведены ниже:

    • RCA. Алгоритм разработан в 1977 году и использует открытые ключи, обеспечивающие преобразование информации "только в одну сторону" (шифрование) за счет сложности решения задачи факторизации (разложения на множители) больших чисел;

    • ЕСС (Elliptic Curve Cryptography). Однонаправленность преобразований (шифрования) обеспечивается в этом методе сложностью математических вычислений, связанных с эллиптическими кривыми.

    1. Электронная цифровая подпись

    Электронная цифровая подпись (ЭЦП) является электронным эквивалентом собственноручной подписи. ЭЦП служит не только для аутентификации отправителя сообщения, но и для проверки его целостности.

    При использовании ЭЦП для аутентификации отправителя сообщения применяются открытый и закрытый ключи. Процедура похожа на осуществляемую в асимметричном шифровании, но в данном случае закрытый ключ служит для шифрования, а открытый — для дешифрования.

    Алгоритм применения ЭЦП состоит из ряда операций:

    • генерируется пара ключей: открытый и закрытый;

    • открытый ключ передается заинтересованной стороне (получателю документов, подписанных стороной, сгенерировавшей ключи);

    • отправитель сообщения шифрует его своим закрытым ключом и передает получателю по каналам связи;

    • получатель дешифрует сообщение открытым ключом отправителя.

    Суть в том, что создать зашифрованное сообщение, при расшифровке которого открытым ключом получается исходный текст, может только обладатель закрытого ключа, т. е. отправитель сообщения. Использовать для этого открытый ключ невозможно.

    1. Хэш-функции. Защита целостности сообщений

    Совместно с ЭЦП обычно применяются хэш-функции. Они служат для того, чтобы помимо аутентификации отправителя, обеспечиваемой ЭЦП, гарантировать, что сообщение не имеет искажений, и получатель получил именно то сообщение, которое подписал и отправил ему отправитель.

    Хэш-функция — это процедура обработки сообщения, в результате действия которой формируется строка символов (дайджест сообщения) фиксированного размера. Малейшие изменения в тексте сообщения приводят к изменению дайджеста при обработке сообщения хэш- функцией. Таким образом, любые искажения, внесенные в текст сообщения, отразятся в дайджесте.

    Алгоритм применения хэш-функции заключается в следующем:

    • перед отправлением сообщение обрабатывается при помощи хэш- функции. В результате получается его сжатый вариант (дайджест). Само сообщение при этом не изменяется и для передачи по каналам связи нуждается в шифровании описанными выше методами;

    • полученный дайджест шифруется закрытым ключом отправителя (подписывается ЭЦП) и пересылается получателю вместе с сообщением;

    • получатель расшифровывает дайджест сообщения открытым ключом отправителя;

    • получатель обрабатывает сообщение той же хэш-функцией, что и отправитель и получает его дайджест. Если дайджест, присланный отправителем, и дайджест, полученный в результате обработки сообщения получателем, совпадают, значит, в сообщение не было внесено искажений.

    Существует несколько широко применяемых хэш-функции: MD5, SHA-1 и др.

    1. Центры сертификации

    Сертификаты служат для подтверждения того факта, что данный открытый ключ принадлежит конкретному лицу и никому другому. Это необходимо для предотвращения попыток мошенничества.

    Сертификаты выдаются специальными компаниями (Центрами Сертификации) и подписываются ЭЦП этих компаний. Любой желающий может ознакомиться с сертификатом, выданным Центром Сертификации, и убедиться, что данный открытый ключ принадлежит именно тому лицу, которое в нем указано.

    Естественно, что компания, являющаяся Центром Сертификации, должна иметь высокий авторитет, поскольку пользователи должны ей доверять.

    Для получения сертификата заинтересованному лицу необходимо обратиться в Центр Сертификации и предоставить информацию о себе. Центр Сертификации осуществит проверку этой информации и, в случае ее достоверности, выдаст сертификат. Это платная услуга. Каждый Центр Сертификации устанавливает свои цены. Как правило, сертификат

    выдается на год с возможностью продления после оплаты очередного взноса.

    Лица, обладающие сертификатами, могут заключать между собой сделки через Интернет, подписывая документы ЭЦП и не опасаясь отказа друг друга от обязательств по сделке.

    Наиболее известными Центрами Сертификации являются компании VeriSign fwww.vensian.com1) и Thawte (www.thawte.comT

    1. Протокол SSL

    Протокол SSL (Secure Socket Layer) используется для защиты данных, передаваемых через Интернет. Этот протокол основан на комбинации алгоритмов асимметричного и симметричного шифрования.

    Протокол может работать в трех режимах:

    • при взаимной аутентификации сторон;

    • при аутентификации сервера и анонимности клиента;

    • при взаимной анонимности сторон.

    • При установлении соединения по протоколу SSL для данной сессии связи генерируется разовый ключ, который служит для симметричного шифрования данных, передаваемых в течение данной сессии. Разовый ключ генерируется на этапе установления соединения. При этом используются асимметричные алгоритмы шифрования.

    1. Технология SET

    Технология SET (Secure Electronic Transactions) появилась в 1996 году. Ее основными разработчиками стали MasterCard International и Visa International.

    SET предусматривает использование цифровых сертификатов всеми участниками сделки, что позволяет проводить их однозначную взаимную аутентификацию.

    Технология SET направлена на организацию максимально защищенных транзакций с присвоением кредитных карт.

    Взаимная аутентификация сторон и использование ЭЦП позволяют избежать проблем с отказами сторон от обязательств по сделкам и полностью закрыть проблему необоснованного отзыва плательщиками своих платежей.

    В основе процедур защиты информации, используемых SET, лежат технологии R.SA и DES, что обеспечивает высокий уровень безопасности.

    В общем случае алгоритм взаимодействия участников сделки по технологии SET выглядит следующим образом:

    • прежде чем начать работу с использованием SET все участники сделки получают цифровые сертификаты у соответствующей сертифицирующей организации. Таким образом, устанавливается однозначное соответствие между участником и его ЭЦП;

    • посетив сайт продавца, покупатель оформляет заказ и указывает способ оплаты при помощи кредитной карты;

    • покупатель и продавец предъявляют друг другу свои сертификаты;

    • продавец инициирует проверку платежной системой предоставленной клиентом информации. Платежная система передает продавцу результаты проверки;

    • при положительных результатах проверки по запросу продавца совершается перечисление денег.

    1. ЮТР

    Открытый торговый протокол Интернет (IOTP, Internet Open Trading Protocol) создан как элемент инфраструктуры сетевого бизнеса. Протокол не зависит от используемой платежной системы. ЮТР обеспечивает оформление и отслеживание доставки товаров и прохождения платежей. ЮТР призван, прежде всего, решить проблему коммуникаций между различными программными решениями. Схемы платежей, которые поддерживает ЮТР, включают MasterCard Credit, Visa Credit, Mondex Cash, Visa Cash, GeldKarte, eCash, CyberCoin, Millicent, Proton и др.

    ЮТР предлагает стандартные рамки для использования различных платежных протоколов. Это означает, что разные средства платежей могут взаимодействовать, если они встроены в программы, следующие протоколу ЮТР.

    Протокол описывает содержимое, формат и последовательность сообщений, которые пересылаются между партнерами электронной торговли — покупателями, торговцами, банками или финансовыми организациями.

    Протокол спроектирован так, чтобы обеспечить его применимость при любых схемах электронных платежей, так как он реализует весь процесс продажи, включающий набор различных операций ЮТР:

    • покупку. Реализует предложение, оплату и доставку (при необходимости);

    • возврат. Производит возврат платежа для покупки, выполненной ранее;

    • обмен ценностями. Включает в себя два платежа, например, в случае обмена валют;

    • аутентификацию. Производит проверку для организации или частного лица — являются ли они тем, за кого себя выдают;

    • отзыв платежа. Осуществляет отзыв электронного платежа из финансового учреждения;

    • депозит. Поддерживает управление депозитом средств в финансовом учреждении;

    • запрос. Выполняет запрос состояния операции ЮТР, которая находится в процессе реализации или уже выполнена;

    • тестовый запрос ("пинг"). Простой запрос от одного приложения ЮТР с целью проверки, функционирует ли другое приложение ЮТР.

    ЮТР разделяет всех участников сделки по их "ролям" в процессе продажи:

    • покупатель. Это физическое лицо или организация, получатель товара или услуги и плательщик;

    • продавец. Человек (или организация), у которого приобретается товар или услуга, который официально ответственен за их предоставление и который извлекает выгоду в результате продажи;

    • оператор платежей. Субъект, который получает платеж от потребителя в пользу торговой фирмы или физического лица;

    • оператор доставки. Субъект, который доставляет товар или предоставляет услугу потребителю от торговой фирмы или лица;

    • лицо, обслуживающее клиента торговой фирмы.

    Роли могут выполняться одной организацией или различными организациями:

    • в наиболее простом случае одна организация (например, продавец) может оформлять покупку, принимать платеж, доставлять товар и осуществлять обслуживание покупателя;

    • в более сложном случае, продавец может оформить покупку, но предложить покупателю осуществить платеж в банке, попросить специализированную компанию доставить товар и обратиться к третьей фирме, обеспечивающей круглосуточное обслуживание, с просьбой помочь покупателю в случае возникновения каких-то непредвиденных проблем.

    ЮТР использует четыре основных торговых операции ("обмена"). Название "обмен" связано с тем, что операции совершаются путем обмена сообщениями (информацией) между участниками, играющими определенные "роли" в сделке:

    • предложение (Offer Exchange) — предполагает, что продавец предоставляет покупателю причины того, что сделка покупателю необходима;

    • оплата (Payment Exchange) — предполагает осуществление какого- либо платежа. Направление платежа может быть любым;

    • доставка (Delivery Exchange) — сопряжена с передачей товаров или доставкой информации о товарах агентом доставки покупателю;

    • аутентификация (Authentication Exchange) — может использоваться любой стороной сделки для аутентификации другой стороны.

    Сделки на основе ЮТР состоят из различных комбинаций этих операций. Например, операция покупки ЮТР включает в себя предложение, оплату и доставку. А операция обмена валют по ЮТР состоит из предложения и двух обменов оплаты.

    1   ...   12   13   14   15   16   17   18   19   ...   53


    написать администратору сайта