< назад | содержание | вперед >>>
Шаховалов Н.Н. Интернет-технологии в туризме
Раздел 2. Интернет-коммерция
2.2. Сервисы Интернета для обеспечения коммерции
Интернет представляет собой структуру, объединяющую глобальные вычислительные сети (ГВС).
В каждой ГВС используется ограниченная номенклатура технических средств, обычно – ЭВМ одного типа (однородные сети). Для того чтобы соединить две ГВС, построенные на разных типах ЭВМ (разнородные ГВС), необходимы специальные технические и программные средства, реализованные в виде «шлюзов» (или «маршрутизаторов»). В неоднородных сетях форматы используемой в них информации и системы команд различны. В шлюзах осуществляется перекодировка информации из кодов, действующих в одной сети, в коды, действующие в другой (например, из КОИ-7 в ДКОИ или в ASCII, и обратно), и преобразовываются другие данные в соответствии с правилами, принятыми в каждой ГВС.
При большом количестве разнородных глобальных вычислительных сетей для связи друг с другом эти ГВС должны иметь большое количество «шлюзов», что связано с большими материальными затратами. Значительно более эффективным является разработка общих для всех правил обмена информацией и способов ее представления.
2.2.1. Технология «клиент – сервер»
Объединение ГВС в Интернете реализовано с ориентацией на технологию «клиент – сервер».
Сам термин «клиент – сервер» исходно применялся к архитектуре программного обеспечения, которое описывало распределение процесса выполнения по принципу взаимодействия двух программных процессов, один из которых в этой модели назывался «клиентом», а другой – «сервером».
Основной принцип технологии «клиент – сервер» применительно к технологии баз данных заключается в разделении функций стандартного интерактивного приложения на пять групп, имеющих различную природу:
- функции ввода и отображения данных (Presentation Logic);
- прикладные функции, определяющие основные алгоритмы решения задач приложения
(Business Logic);
- функции обработки данных внутри приложения (Database Logic);
- функции управления информационными ресурсами (Database Manager System);
- служебные функции.
Существуют типы серверов – файловые, баз данных, приложений, – различия между которыми определяются степенью распределения функций обработки данных между сервером и клиентом таким образом, чтобы обеспечить максимальную производительность системы.
В Интернете самым критичным показателем производительности является скорость передачи данных по телефонным сетям, через которые организуется доступ клиентских компьютеров к серверам глобальной сети. До начала 1990-х гг. доступ организовывался через телефонные модемы пользователей – МОдуляторы-ДЕМодуляторы аналоговых сигналов в цифровые, и наоборот.
В 1989 г. впервые появилась идея использовать аналого-цифровое преобразование на абонентском конце линии, что позволило бы усовершенствовать технологию передачи данных по витой паре медных телефонных проводов. Технология получила название DSL (Digital Subscriber Line).
На базе этой технологии была разработана технология ADSL (Asymmetric Digital Subscriber Line – Асимметричная цифровая абонентская линия), которая входит в число технологий высокоскоростной передачи данных, имеющих общее обозначение xDSL. К другим технологиям DSL относятся HDSL (High data rate Digital Subscriber Line – Высокоскоростная цифровая абонентская линия), VDSL (Very high data rate Digital Subscriber Line – Сверхвысокоскоростная цифровая абонентская линия) и др.
ADSL является асимметричной технологией – скорость «нисходящего» потока данных (т.е. тех данных, которые передаются в сторону конечного пользователя) выше, чем скорость «восходящего» потока данных (в свою очередь передаваемого от пользователя в сторону сети).
Для сжатия большого объема информации, передаваемой по витой паре телефонных проводов, в технологии ADSL используется цифровая обработка сигнала и специально созданные алгоритмы, усовершенствованные аналоговые фильтры и аналого-цифровые преобразователи
Технология ADSL использует метод разделения полосы пропускания медной телефонной линии на несколько частотных полос (также называемых несущими). Это позволяет одновременно передавать несколько сигналов по одной линии. Этот процесс известен как частотное уплотнение линии связи (Frequency Division Multiplexing – FDM).
Преимущества ADSL:
- прежде всего, скорость передачи данных;
- больше не нужно набирать телефонный номер, чтобы подключиться к сети Интернет
или к ЛВС. ADSL создает широкополосный канал передачи данных, используя уже
существующую телефонную линию. После установки модемов ADSL Вы получаете
постоянно установленное соединение. Высокоскоростной канал передачи данных
всегда готов к работе – в любой момент, когда Вам это потребуется;
- полоса пропускания линии принадлежит пользователю целиком;
- технология ADSL позволяет полностью использовать ресурсы линии;
- многофункциональность данной системы. Так как для работы различных функций
выделены различные частотные каналы полосы пропускания абонентской линии, ADSL
позволяет одновременно передавать данные и говорить по телефону;
- ADSL открывает совершенно новые возможности в тех областях, в которых в режиме
реального времени необходимо передавать качественный видеосигнал. К ним
относится, например, организация видеоконференций, обучение на расстоянии и
видео по запросу;
- технология ADSL позволяет провайдерам предоставлять своим пользователям
услуги, скорость передачи данных которых более чем в 100 раз превышает скорость
самого быстрого на данный момент аналогового модема (56 кбит/с) и более чем в 70
раз – скорость передачи данных в ISDN (128 кбит/с);
- технология ADSL позволяет телекоммуникационным компаниям предоставлять частный
защищенный канал для обеспечения обмена информацией между пользователем и
провайдером;
- технология ADSL эффективна с экономической точки зрения хотя бы потому, что не
требует прокладки специальных кабелей, а использует уже существующие
двухпроводные медные телефонные линии;
- для того чтобы линия ADSL работала, необходимо не так уж много оборудования.
2.2.2. Провайдеры интернет-услуг
В Интернете в настоящее время насчитываются десятки миллионов host-компьютеров, принадлежащих различным организационным структурам, особое место среди которых занимают провайдеры (provider) – организации, специализирующиеся на предоставлении интернет-услуг (сервисов).
Считается, что у Интернета нет хозяина. Координацию работы Сети ведет Сообщество Интернет (ISOC), работающее на общественных началах (находится в Рестоне, штат Вайоминг, США Непосредственную исследовательскую и техническую работу ведут координационные и рабочие группы, создаваемые LAB.
Для того чтобы стать провайдером интернет-услуг, необходимо получить адрес для собственного host-компьютера. Децентрализация сети имеет предел, связанный с присвоением адресов host-компьютерам.
При создании Интернета разработана стандартная система адресации ресурсов (URL – Uniform Resource Locator) и правила обмена информацией – протоколы TCP (Transmission Control Protocol) и IP (Internet Protocol), используемые обычно совместно и известные под именем TCP/IP. Данные протоколы были рассмотрены выше в главе 1.
Хост-машина является доменом, т.е. административной единицей, обладающей правом предоставления адресов подчиненным объектам, которые образуют «дерево» хоста.
Синтаксис IP-адреса определяет, что полное имя компьютера включает в качестве крайнего правого элемента имя домена первого уровня. Подчиненные домены перечисляются левее домена первого уровня и отделяются друг от друга точкой. Например, rmat.ru – это полное имя хост-компьютера Доменная система адресации гарантирует, что во всем Интернете нет двух ЭВМ с одинаковыми адресами.
Международная организация Internic (http://www.internic.net/), где NIC означает Network Information Centre (сетевой информационный центр), производит регистрацию host-компьютеров (т.е. контролирует домены двух верхних уровней) и следит за уникальностью регистрируемых адресов. При регистрации в Internic определяется корневой домен, к которому относится регистрируемый host-компьютер, и отправляется заявка на регистрацию в этом домене его имени. Имя должно быть уникальным (отсутствующим в Internic), легко запоминаться и вводиться с клавиатуры. За регистрацию своего имени в домене уплачивается взнос. Отдельная плата раз в два года вносится за сопровождение этого имени (т.е. за хранение этого имени в базе данных Internic).
В этой работе Internic помогают другие организации. Так, до 2005 года Российский НИИ развития общественных сетей (Рос-НИИРОС) регистрировал имена доменов второго уровня в домене «гu». С 1 января 2005 г. РосНИИРОС перестал выполнять функции регистратора доменов второго уровня в домене RU и занимается лишь техническим сопровождением системы регистрации и DNS-серверов зоны RU, а также регистрацией и поддержкой доменов третьего уровня в доменах общего пользования org.ru, net.ru, pp.ru, com.ru.
После прекращения действия договора «О регистрации и технической поддержке доменов второго уровня в зоне .RU» станет невозможным продление на следующий срок регистрации доменов, зарегистрированных в РосНИИРОС. Для дальнейшего обслуживания и приема оплаты за продление регистрации доменов поддержка доменов передана другому действующему регистратору. Представителем РосНИИРОС в вопросах регистрации доменов является компания АНО «Региональный сетевой информационный центр» (RU-CENTER) – аккредитованный регистратор доменных имен в зонах RU, SU, NET, COM, ORG, BIZ, INFO, образованная РосНИИРОС в 2000 г. специально для предоставления услуг, связанных с распределением адресного пространства Интернета.
В настоящее время в этой работе участвуют и другие организации, например NETCO. На сайте компании можно зарегистрировать домены второго уровня в доменах RU, COM, NET, ORG, BIZ, INFO и третьего уровня в доменах COM.RU, NET.RU, ORG.RU, SPB.RU, MSK.RU, SPB.SU, MSK.SU. Здесь же можно проверить уникальность выбранного доменного имени.
Принято различать три вида провайдеров Интернета:
- ISP (Internet Service Provider) – подключен к Интернету постоянно и имеет
постоянный IP-адрес (IP-адрес является частью URL). Остальные пользователи
(клиенты) подключаются к ISP на время работы. ISP, как правило, предоставляет
своим клиентам удаленный доступ по коммутируемым каналам телефонной связи (это
называется «dual-up service»). Для этого ISP арендует у местной телефонной
компании телефонные линии, по которым с ним можно связаться;
- IPP (Internet Presence Provider) – это поставщик, обеспечивающий своим
клиентам присутствие в Интернете. Он так же подключен к Интернету постоянно и
имеет постоянный IP-адрес. В отличие от ISP IPP не предоставляет услуг dual-up
service. Он может только размещать на своих серверах публикации других лиц,
рекламу, web-сайты и т.д.;
- РСР (Private Content Publisher) – издатель собственных материалов, является
участником межсетевого обмена, который готовит информацию для размещения в
Интернете.
Получив свое доменное имя, Вы можете стать ISP или IPP и предоставлять различные виды интернет-услуг (сервисов) всем желающим.
Основной услугой ISP-провайдера является предоставление хостинга – аренды дискового пространства сервера для размещения сайтов организаций. Не каждая организация может позволить себе содержание собственного сервера, в первую очередь, по причине необходимости обеспечения надлежащего уровня безопасности, включая не только защиту информации, но и защиту сервера от физического уничтожения.
Хостинг в Интернете может быть платным, условно бесплатным и бесплатным.
Условно-бесплатный хостинг предполагает в качестве компенсации услуг провайдера размещение на вашем ресурсе рекламы сторонних организаций. После публикации ресурса на сервере провайдера на всех ваших страницах размещаются баннеры внешней рекламы – рисунки, содержащие гиперссылки на сайты рекламодателей.
Сервер предоставляет пользователям возможность иметь личный почтовый ящик.
Сервер предоставляет пользователям возможность иметь www-страницу. Суммарный объем файлов пользователя на диске сервера может достигать 10 Мб. При этом пользователь может еще хранить 10 Мб почты.
В целях поддержания высокого уровня бесплатных услуг возможно осуществление рекламных рассылок, спонсируемых третьими лицами и содержащих особые льготные предложения. Недельное количество таких рассылок строго ограничено двумя.
Опубликованная на домашней странице информация может подпадать под действие закона о СМИ. Авторы сервера не несут ответственности за публикуемую частными пользователями информацию и не контролируют ее, осуществляя только поддержку технической возможности публикации информации для замкнутого узкого круга лиц или для сетевого сообщества.
Сервер создан не для использования в качестве личного файлового архива и не для хранения пиратских копий ПО. Подобное использование сервера может повлечь за собой вмешательство со стороны администрации (ограничение дискового пространства, ликвидация возможности держать www-страницу, уничтожение аккаунта).
Все пользователи сервера Chat.ru обязаны соблюдать общепринятые сетевые правила и нормы пользования Сетью, изложенные в документе OFISP-005. Несоблюдение этих правил и норм может повлечь за собой удаление аккаунта пользователя из системы.
Аккаунт пользователя, не нарушающего правила работы с сервером, является вечным. Аккаунт не подлежит уничтожению при отсутствии активности пользователя.
Полностью бесплатным является хостинг для Windows NTWebMatrixHosting: http://europe.webmatrixhosting.net/russia/default.aspx. Этот хостинг является экспериментальным, предназначен для продвижения продукции Microsoft в Интернете и, в отличие от платных, не содержит никаких гарантий и соглашений об уровне обслуживания.
Основным достоинством хостинга является возможность размещения СУБД и поддержка динамических web-страниц формата aspx.
2.2.3. Безопасность трансакций
В основе существования e-commerce в Интернете лежат методы обеспечения информационной безопасности трансакций в Сети.
Понятие «информационная безопасность» можно определить как состояние устойчивости информационной системы к случайным или преднамеренным воздействиям, исключающее недопустимые риски уничтожения, искажения и раскрытия информации, которые приводят к материальному ущербу владельца или пользователя информации. Поскольку Сеть является полностью открытой для внешнего доступа, то роль этих методов очень велика.
Согласно проводимым исследованиям, одной из основных причин медленного роста электронной коммерции является озабоченность покупателей надежностью средств, применяемых при выполнении платежей в Интернете с использованием кредитных карт, которая выражается следующим:
- недостаточная гарантированность конфиденциальности – кто-либо может
перехватить передаваемые данные и попытаться извлечь ценную информацию, например
данные о кредитных картах;
- недостаточный уровень проверки (аутентификации) участников операции –
покупатель, посещая электронный магазин, не уверен, что представленная в нем
компания именно та, за кого она себя выдает, а у продавца нет возможности
проверить, что покупатель, сделавший заказ, является законным обладателем
кредитной карты;
- недостаточная гарантированность целостности данных – даже если отправитель
данных идентифицирован, третья сторона может изменить данные во время их
передачи.
Для обеспечения допустимого уровня риска трансакций в Интернете применяются методы шифрования, цифровой подписи и сертификации.
Шифрование. Осуществляя сделки в Сети, в первую очередь необходимо убедиться, что важная информация надежно скрыта от посторонних лиц. Этому служит технология шифрования, преобразующая простой текст в форму, которую невозможно прочитать, не обладая специальным шифровальным ключом. Благодаря этой технологии можно организовать безопасную связь по общедоступным незащищенным каналам, таким, как Интернет.
Любая система шифрования работает по определенной методологии. Она состоит из одного или более алгоритмов шифрования (математических формул), ключей, используемых этими алгоритмами шифрования, а также системы управления ключами. Согласно методологии шифрования сначала к тексту применяются алгоритм шифрования и ключ для получения из него шифрованного текста. Затем шифрованный текст передается к месту назначения, где тот же самый алгоритм используется для его расшифровки, чтобы получить первоначальный текст. В методологию шифрования также входят процедуры создания ключей и их распространения.
Наиболее распространенными алгоритмами шифрования являются алгоритмы, объединяющие ключ с текстом. Безопасность систем шифрования такого типа зависит от конфиденциальности ключа, используемого в алгоритме шифрования, а не от конфиденциальности самого алгоритма. Многие алгоритмы шифрования общедоступны и благодаря этому хорошо проверены. Но основная проблема, связанная с этими методами, состоит в безопасности процедуры генерации и передачи ключей участникам взаимодействия.
В настоящее время существуют два основных типа криптографических алгоритмов, регламентируемыми стандартами:
- классические, или симметричные, алгоритмы, основанные на использовании
закрытых, секретных ключей, когда и шифрование, и дешифрирование производятся с
помощью одного и того же ключа;
- алгоритмы с открытым ключом, в которых используются один открытый и один
закрытый ключ. Эти алгоритмы называются также асимметричными.
Для решения проблемы распространения ключей в симметричных методах шифрования на основе результатов, полученных классической и современной алгеброй, были предложены системы с открытым ключом, или асимметричные криптосистемы. Суть их состоит в том, что каждым адресатом генерируются два ключа, связанных между собой по определенному правилу. Хотя каждый из пары ключей подходит как для шифрования, так и для дешифрирования, данные, зашифрованные одним ключом, могут быть расшифрованы только другим ключом. Один ключ объявляется открытым, а другой – закрытым. Открытый ключ публикуется и доступен любому, кто желает послать сообщение адресату. Секретный ключ сохраняется в тайне. Исходный текст шифруется открытым ключом адресата и передается ему. Зашифрованный текст не может быть расшифрован тем же открытым ключом. Дешифрирование сообщения возможно только с использованием закрытого ключа, известного только самому адресату.
Криптографические системы с открытым ключом используют так называемые необратимые, или односторонние функции.
Алгоритмы шифрования с открытым ключом получили широкое распространение в современных информационных системах. Известно несколько криптосистем с открытым ключом. Наиболее разработана на сегодня система RSA, предложенная еще в 1978 г. Алгоритм RSA назван по первым буквам фамилий его авторов: Р.Л. Райвеста (R.L. Rivest), А. Шамира (A. Shamir) и Л. Адлема-на (L. Adleman). Этот алгоритм стал де-факто мировым стандартом для открытых систем и рекомендован МККТТ (Международным консультативным комитетом по телефонии и телеграфии).
Цифровая подпись. Шифрование передаваемых через Интернет данных позволяет защитить их от посторонних лиц. Однако для полной безопасности должна быть уверенность в том, что второй участник трансакции является тем лицом, за которое он себя выдает. В бизнесе наиболее важным идентификатором личности заказчика является его подпись. В электронной коммерции применяется электронный эквивалент традиционной подписи – цифровая подпись. С ее помощью можно доказать не только что трансакция была инициирована определенным источником, но и что информация не была испорчена во время передачи. Как и в шифровании, технология электронной подписи использует либо секретный (в этом случае оба участника сделки применяют один и тот же ключ), либо открытый ключ (при этом требуется пара ключей – открытый и личный). И в данном случае более простые в использовании методы с открытым ключом (такие, как RSA) более популярны.
При аутентификации личности отправителя открытый и личный ключи играют роли, противоположные тем, что они выполняли при шифровании. Так, в технологии шифрования открытый ключ используется для зашифровки, а личный – для расшифровки. При аутентификации с помощью подписи все наоборот. Кроме того, подпись гарантирует только целостность и подлинность сообщения, но не защиту его от посторонних глаз. Для этого предназначены алгоритмы шифрования. Например, стандартная технология проверки подлинности электронных документов DSS (Digital Signature Standard) применяется в США компаниями, работающими с государственными учреждениями. Однако у технологии RSA более широкие возможности в силу того, что она служит как для генерации подписи, так и для шифрования самого сообщения. Цифровая подпись позволяет проверить подлинность личности отправителя: она основана на использовании личного ключа автора сообщения и обеспечивает самый высокий уровень сохранности информации.
Сертификаты. Как было сказано выше, основной проблемой криптографических систем является распространение ключей. В случае симметричных методов шифрования эта проблема стоит наиболее остро, поэтому при шифровании данных для передачи ключей через Интернет чаще всего используются асимметричные методы шифрования.
Асимметричные методы более приспособлены для открытой архитектуры Интернета, однако и здесь использование открытых ключей требует их дополнительной защиты и идентификации для определения связи с секретным ключом. Без такой дополнительной защиты злоумышленник может выдать себя за отправителя подписанных данных или за получателя зашифрованных данных, заменив значение открытого ключа или нарушив его идентификацию. В этом случае каждый может выдать себя за другое лицо. Все это приводит к необходимости верификации открытого ключа. Для этих целей используются электронные сертификаты.
Электронный сертификат представляет собой цифровой документ, который связывает открытый ключ с определенным пользователем или приложением. Для заверения электронного сертификата используется электронная цифровая подпись доверенного центра – Центра сертификации (ЦС). Исходя из функций, которые выполняет ЦС, он является основным компонентом всей инфраструктуры открытых ключей (ИОК, или PKI – Public Key Infrastructure). Используя открытый ключ ЦС, каждый пользователь может проверить достоверность электронного сертификата, выпущенного ЦС, и воспользоваться его содержимым. Для того чтобы сертификатам можно было доверять, независимая организация, выполняющая функции ЦС и являющаяся источником сертификатов, должна быть достаточно авторитетной. В настоящее время наиболее известным источником сертификатов являются компании Thawte (www.thawte.com) и VeriSign (www.verisign.com), однако существуют и другие системы сертификации, такие, как World Registry (IBM),
Cyber Trust (GTE) и Entrust (Nortel). В России дистрибьютором SSL-сертификатов компании Thawte сегодня является РосБизнесКонсалтинг (www.rbc.ru).
Технология цифровых сертификатов работает следующим образом. Чтобы воспользоваться сертификатом, потенциальный покупатель должен, прежде всего, получить его у надежного источника сертификатов. Для этого ему необходимо каким-либо образом доказать подлинность своей личности, возможно, явившись в эту организацию и предъявив соответствующий документ, а также передать источнику сертификатов копию своего открытого ключа. Когда после этого он захочет что-либо купить через Интернет, ему будет достаточно добавить к заказу свою электронную подпись и копию сертификата. Отдел обслуживания покупателей фирмы, в которой он совершил покупку, проверяет сертификат, чтобы убедиться, что к заказу приложен подлинный открытый ключ, а также выясняет, не аннулирован ли сертификат.
Следует отметить, что технология цифровых сертификатов является двунаправленной. Это значит, что не только фирма может проверить подлинность заказа покупателя, но и сам покупатель имеет возможность убедиться, что он имеет дело именно с той фирмой, за которую она себя выдает. Осуществив взаимную проверку, обе стороны спокойно заключают сделку, так как обладают подлинными открытыми ключами друг друга и, соответственно, могут шифровать передаваемые данные и снабжать их цифровой подписью. Такой механизм обеспечивает надежность сделки, ибо в этом случае ни одна из сторон не сможет отказаться от своих обязательств.
2.2.4. Протоколы и стандарты безопасности виртуальных платежей
К наиболее распространенным механизмам, которые призваны обеспечить безопасность проведения электронных платежей через Интернет относятся:
- протокол SSL (Secure Socket Layer), обеспечивающий шифрование передаваемых
через Интернет данных;
- стандарт SET (Secure Electronic Transactions), разработанный компаниями Visa и
MasterCard и обеспечивающий безопасность и конфиденциальность совершения сделок
при помощи пластиковых карт.
Протокол SSL (Secure Socket Layer) – один из существующих протоколов обмена данными, обеспечивающий шифрование передаваемой информации. SSL – стандарт, основанный на криптографии с открытыми ключами. Протокол обеспечивает защиту данных, передаваемых в сетях TCP/IP по протоколам приложений за счет шифрования и аутентификации серверов и клиентов. Это означает, что шифруется вся информация, передаваемая и получаемая web-браузером, включая URL-адреса, все отправляемые сведения (такие, как номера кредитных карт), данные для доступа к закрытым web-сайтам (имя пользователя и пароль), а также все сведения, поступающие с web-серверов.
Конфиденциальность сообщений в SSL обеспечивается применением комбинированной схемы с использованием криптографии с открытыми и симметричными ключами. Весь поток сообщений между клиентом и сервером шифруется при помощи сеансового ключа, который вырабатывается на начальной стадии взаимодействия сторон по протоколу SSL, называемой handshake. Шифрование потока данных позволяет скрыть содержание сообщений даже при перехвате передаваемой информации.
Достоверность и целостность сообщений обеспечивается электронной подписью.
Взаимная аутентификация позволяет клиенту убедиться в подлинности соединения с требуемым сервером, а серверу, при необходимости, убедиться в достоверности клиента.
Описанный выше протокол SSL позволяет решить часть названных проблем безопасности, однако его роль в основном ограничивается обеспечением шифрования передаваемых данных. Поэтому для комплексного решения перечисленных выше проблем была разработана спецификация и создан набор протоколов, известный как стандарт SET (Secure Electronic Transaction – Безопасные электронные трансакции).
Официальной датой рождения стандарта SET является 1 февраля 1996 г. В этот день Visa International и MasterCard International совместно с рядом технологических компаний объявили о разработке единого открытого стандарта защищенных расчетов через Интернет с использованием пластиковых карт.
Благодаря использованию цифровых сертификатов и технологий шифрования SET позволяет как продавцам, так и покупателям производить аутентификацию всех участников сделки. Кроме того, SET обеспечивает надежную защиту номеров кредитных карт и другой конфиденциальной информации, пересылаемой через Интернет, а открытость стандарта позволяет разработчикам создавать решения, которые могут взаимодействовать между собой.
Другим важным фактором, обеспечивающим продвижение SET, является его опора на существующие карточные системы, давно ставшие привычным финансовым инструментом с отлаженной технологией и правовым механизмом.
В основе системы безопасности, используемой SET, лежат стандартные криптографические алгоритмы DES и RSA. Инфраструктура SET построена в соответствии с инфраструктурой открытого ключа (PKI) на базе сертификатов, соответствующих стандарту Х.509 организации по стандартизации (ISO). Главная особенность SET – регламентация использования системы безопасности, которая устанавливается международными платежными системами. Требования Visa и Europay к процессинговому центру на основе SET включают, во-первых, традиционные требования к процессингу пластиковых карт (защита помещений, контроль доступа, резервное энергоснабжение, аппаратная криптография и т.п.) и, во-вторых, специфические дополнения – межсетевые экраны (firewalls) для защиты каналов Интернета.
Такой подход позволяет использовать единые методики оценки рисков при проведении электронных платежей вне зависимости от способа аутентификации клиента (традиционная карта с магнитной полосой, смарт-карта или цифровой сертификат). Это позволяет участникам платежной системы разрешать спорные ситуации по отработанным механизмам и сконцентрироваться на развитии своего электронного бизнеса.
Повсеместное распространение мобильных средств связи, на использовании которых базируются практически все программы стратегического развития информационных технологий в XXI в., а также необходимость учитывать распространение конкурирующих решений определяют современные направления развития электронной коммерции и виртуальных платежей на базе стандарта SET.
SET обеспечивает следующие требования защиты операций электронной коммерции:
- секретность данных оплаты и конфиденциальность информации заказа, переданной
вместе с данными об оплате;
- сохранение целостности данных платежей, которая обеспечивается при помощи
цифровой подписи;
- специальную криптографию с открытым ключом для проведения аутентификации;
- аутентификацию держателя кредитной карты, которая обеспечивается применением
цифровой подписи и сертификатов держателя карты;
- аутентификацию продавца и его возможности принимать платежи по пластиковым
картам с применением цифровой подписи и сертификатов продавца;
- подтверждение того, что банк продавца является действующей организацией,
которая может принимать платежи по пластиковым картам через связь с
обрабатывающей системой; это подтверждение обеспечивается с помощью цифровой
подписи и сертификатов банка продавца;
- готовность оплаты трансакций в результате аутентификации сертификата с
открытым ключом для всех сторон;
- безопасность передачи данных посредством использования криптографии.
Рассмотрим более детально процесс взаимодействия участников платежной операции в соответствии со спецификацией SET.
Участниками представленной схемы взаимодействия являются: держатель карты – покупатель, делающий заказ; банк покупателя – финансовая структура, которая выпустила кредитную карту для покупателя; продавец – электронный магазин, предлагающий товары и услуги; банк продавца – финансовая структура, занимающаяся обслуживанием операций продавца; платежный шлюз – система, обычно контролируемая банком продавца, которая обрабатывает запросы от продавца и взаимодействует с банком покупателя; сертифицирующая организация – доверительная структура, выдающая и проверяющая сертификаты.
Взаимоотношения участников операции показаны на рисунке непрерывными (взаимодействия, описанные стандартом SET) и пунктирными линиями (некоторые возможные операции).
Динамика взаимоотношений и информационных потоков в соответствии со спецификацией стандарта SET включает следующие действия:
- участники запрашивают и получают сертификаты от сертифицирующей организации;
- владелец пластиковой карты просматривает электронный каталог, выбирает товары
и посылает заказ продавцу;
- продавец предъявляет свой сертификат владельцу карты в качестве удостоверения;
- владелец карты предъявляет свой сертификат продавцу;
- продавец запрашивает у платежного шлюза выполнение операции проверки; шлюз
сверяет предоставленную информацию с
информацией банка, выпустившего электронную карту;
- после проверки платежный шлюз возвращает результаты продавцу;
- некоторое время спустя продавец требует у платежного шлюза выполнить одну или
более финансовых операций; шлюз посылает запрос на перевод определенной суммы из
банка покупателя в банк продавца.
Надежность SET-платформы для организации защищенных, платежей является общепризнанной. Для получения актуальной информации о распространении SET, включая информацию о банках, имеющих сертификаты Visa и Europay/MasterCard, и торговых/сервисных компаниях, принимающих SET-платежи, можно обратиться на сайт set-sites.com или сайты международных платежных систем.
< назад | содержание | вперед >>>
