Электронные деньги- пластиковые карточки


Методы защиты информации


Самый старый и проверенный способ электронной коммерции, который ведет свое начало от обычной торговли по каталогам, - это оплата товаров и услуг кредитной карточкой по телефону. В этом случае покупатель заказывает на Web-сервере список товаров, которые он хотел бы купить, и потом сообщает по телефону номер своей кредитной карточки компании-продавцу. Затем происходит обычная авторизация карты, а списание денег со счета покупателя производится лишь в момент отправки товара по почте или с курьером.

Принципиально новый подход заключается в немедленной авторизации и шифровании финансовой информации в сети Internet с использованием схем SSL (Seсure Socket Layer) и SET. Протокол SSL предполагает шифрование информации на канальном уровне, а протокол SET, разработанный компаниями VISA, Netscape и рядом других, предполагает шифрование исключительно финансовой информации. Поскольку Internet рассчитана на одновременную работу миллионов пользователей, то в коммерческих Internet-приложениях невозможно использовать традиционные системы "закрытых ключей" (DES, ГОСТ 28147-89 и др.). Поэтому применяются методы шифрования, основанные на "открытых ключах", в том числе и российский стандарт электронной подписи.

Шифрование на закрытых ключах предполагает, что и "продавец" и "покупатель" обладают общим ключом, который используется ими для шифрования/дешифровки информации.

Шифрование на открытых ключах предполагает, что у "продавца" и "покупателя" имеются по два ключа - один "публичный" и может быть известен третьим лицам, а другой - "частный", известный только передатчику информации. При этом по одному ключу невозможно восстановить другой. Для защиты сделок были организованы специальные центры сертификации в Internet, которые следят за тем, чтобы каждый участник электронной коммерции получал бы уникальный электронный "сертификат". В этом "сертификате" с помощью открытого ключа центра сертификации зашифрован публичный ключ данного участника коммерческих сделок. Сертификат генерируется на определенное время, и при его получении необходимо предоставить в центр сертификации документ, подтверждающий личность (для юридических лиц - их легальную регистрацию) участников сделки. Затем участники коммерции могут затребовать публичный ключ других участников и, имея "на руках" публичный ключ центра сертификации, участвовать в сделках.

Алгоритм SET позволяет добиться того, что покупатель не может расшифровать платежные реквизиты продавца, но может расшифровать все данные заказа. С другой стороны, банк не может получить данные по структуре заказа, но имеет доступ к платежным реквизитам продавца и покупателя. Это достигается с использованием двойной электронной подписи: банку посылается одна часть сообщения, а покупателю - другая. Кроме того, протокол SET описывает стандартные виды финансовых транзакций между банками, центрами авторизации и торговыми точками.




Начало  Назад  Вперед