Главная

Болонский процесс. Автоматизация учебного процесса - Офис методиста

Книга Электронная коммерция Дэвид Козье Москва: Издательско-торговый дом "Русская редакция
описание | темы | ключевые слова 

Движение денег в сети.
Эта глава посвящена различным перспективным разработкам электронных версий платежных систем, используемых в повседневной жизни. Кроме электронных версий стандартных методов оплаты (наличными, чеками и кредитными картами) в этой главе рассматриваются некоторые аспекты электронного обмена данными (EDI), поскольку он достаточно давно используется для проведения денежных расчетов по сетям (отличным от Интернета) и имеет особое значение для бизнеса.

Транзакции в Интернете.
Вам следует знать, что многие из процедур электронной обработки платежей схожи с теми, что уже сегодня используются в ваших торговых точках (point-of-sale, POS). Главное отличие в том, что весь процесс проходит через персональный компьютер заказчика и ваш Web-сервер.
Заказчики используют Web-браузер для размещения заказа и информации о способе оплаты (например, кредитной картой, цифровыми деньгами или электронным чеком). После этого программное обеспечение на Вашем сервере должно произвести транзакцию, проверить заказ (предположительно, по электронному каталогу) и получить санкцию на перечисление средств от банка или другой финансовой организации, обслуживающей расчеты по кредитным картам. Обычно, последний шаг совершается через шлюз, который связывается с банком, используя Интернет или частную банковскую сеть, почти так же, как POS-терминал в супермаркете. Потребители уже начинают использовать новые системы (такие, как цифровые деньги и электронные чеки) для мелких срочных электронных платежей за предоставление информации и прочие услуги, связанные с интерактивной природой современного Интернета.

Требования к платежным системам.
Как покупателю, так и продавцу может потребоваться аутентификация, то есть свидетельство того, что другая сторона на самом деле является тем, за кого себя выдает. Когда Вы покупаете товары или услуги лично, то получаете косвенные подтверждения аутентичности продавца, основываясь на местоположении торговой точки и продолжительности ее существования. Если Вы расплачиваетесь не наличными, то продавец обычно просит предъявить удостоверение личности с фотографией, или же просто сравнивает Вашу подпись с уже имеющимся образцом. Гораздо труднее определить аутентичность противоположной стороны, если при заключении сделки нет личного контакта: например, если Вы делаете заказ по телефону. И, увы, многие заказы по телефону проходят без всякой аутентификации.
Вероятно, Вы также захотите иметь некоторые гарантии, что продавец компетентен и заслуживает доверия. Гарантии могут быть предоставлены в виде торговой лицензии, рекомендаций или даже поручительства других заказчиков (при наиболее сложных транзакциях).
Для обеспечения аутентификации и конфиденциальности в киберпространстве необходимо прибегать к шифрованию. Уровень безопасности различных платежных систем зависит от того, какая информация шифруется и кому позволено проводить расшифровку. Например, шифровка всей информации, переданной Web-браузером покупателя на Web-сервер продавца при совершении покупки, обеспечивает тайну транзакции, но если продавцу разрешено расшифровывать всю переданную информацию, то нарушаются условия аутентификации и наличия гарантий. Вероятность обмана снижает порядок, при котором продавцу позволено расшифровать только информацию о заказе, после чего он должен передать зашифрованные данные (номер счета или кредитной карты) клиринговому центру на авторизацию.

Типы электронных платежей.
Фундаментальное отличие электронных систем платежей от традиционных в том, что весь процесс от начала до конца проходит в цифровой форме: без шелеста банкнот, звона мелочи и подписи ручкой на чеке.
Уже сейчас многие электронные платежные системы адаптированы для персональных компьютеров, а вскоре появятся и новые устройства, которые будут их поддерживать. В ближайшее время Вы получите возможность использовать для обработки платежей личного электронного помощника (personal digital assistant, PDA). Уже проходят испытания смарт-карты, функционирующие в некоторых из рассматриваемых платежных систем.

Кредитные карты.
В открытой сети платеж кредитной картой может быть осуществлен двумя различными способами: покупатель посылает по Интернету незашифрованный номер своей кредитной карты или ее реквизиты, зашифрованные до проведения каких-либо транзакций. При передаче зашифрованных реквизитов также возможны варианты, в зависимости от того, что именно было зашифровано. Если все общение между покупателем и продавцом происходит в зашифрованном виде, то продавец, чтобы выполнить заказ, должен, по крайней мере, расшифровать информацию, касающуюся деталей этого заказа. А чтобы покупатель был уверен, что реквизиты его кредитной карты узнают только правомочные лица, и в том, что он защищен от обмана продавца, можно поручить расшифровать информацию для авторизации покупки доверенной третьей стороне.

Электронные чеки.
Оплата покупок кредитными картами через Интернет, несомненно, приобретет популярность. Разрабатываются и еще две системы: одна — корпорацией FSTC (Financial Services Technology Corporation), другая — компанией CyberCash. Эти системы позволят потребителям расплачиваться непосредственно с Web-продавцами, используя электронные чеки.
Электронному чеку присущи те же особенности, что и бумажному. Он также является указанием плательщика банку перечислить деньги и также, как и бумажный чек, выдается получателю платежа, который предъявляет его банку для получения денег. Но есть один важный аспект, в котором электронный чек превосходит бумажный. Как плательщик, Вы можете обезопасить себя от мошенничества, закодировав номер своего счета открытым ключом банка и скрыв его, таким образом, от продавца. Как и при использовании протоколов SET, с помощью цифровых сертификатов можно провести аутентификацию плательщика, его банка и банковского счета.

Цифровые деньги.
Многие эксперты рассматривают цифровые деньги как следующий этап развития электронной коммерции. В системе цифровых денег наличные представляют собой всего лишь цепочку бит. Банк может эмитировать эти «цепочки» и уменьшить Ваш счет, сняв с него сумму эквивалентную сумме цифровой валюты — купонов (tokens). Прежде чем передать каждый купон на Ваш персональный компьютер, банк заверяет своей его цифровой печатью. Когда Вы захотите потратить некоторое количество цифровых наличных, нужно лишь передать требуемое количество купонов продавцу, который, в свою очередь, передает их в банк на проверку и погашение. Чтобы каждый купон можно было потратить лишь однажды, банк записывает серийные номера всех погашенных купонов. Если номер уже занесен в базу данных, то значит, кто-то пытается потратить купон повторно и банк проинформирует продавца о том, что купон недействителен.
Поскольку номинал цифровых денег не должен строго соответствовать реальным монетам и купюрам или другим платежным средствам, их можно использовать в качестве денег с самым маленьким номинальным достоинством, предназначенных только для транзакций в электронном мире. Как в традиционной, так и электронной коммерции денежный оборот часто ограничен некой минимальной суммой: ведь продавец получит прибыль от продажи только после того, как банки и клиринговые центры возьмут комиссионный сбор за совершенную транзакцию.

EDI.
EDI, или электронный обмен данными, используется с 60-х годов, но по большей части крупными корпорациями и их поставщиками, работающими совместно в частной сети, называемой VAN-сетью. Сети VAN обладают надежностью и защитой, в настоящее время недостижимой в Интернете.
В прошлом подавляющее большинство EDI-транзакций регулировались соглашениями о торговле и партнерстве (trading partner agreement, TPA), которые содержали спецификации для обмена данными между двумя сторонами. Заключение такого соглашения и разрыв партнерства — долгий и дорогостоящий процесс, особенно по сегодняшним меркам. Теперь поставщики EDI-услут предлагают доступ через Интернет к стандартным службам EDI, расположенным в их компьютерных центрах, избавляя компании от необходимости содержать собственное специальное оборудование и программное обеспечение. Тенденция повышать гибкость внедрения EDI проявляется, например, в использовании форм, которые вы можете заполнять в своем Web-браузере. Теперь мелким и средним коммерческим фирмам будет проще внедрять EDI.
EDI предназначен не только для осуществления платежей: он предоставляет больше возможностей, чем платежные системы, которые мы обсуждали ранее. EDI можно использовать для обработки информации о заказах, запасах и перевозках, даже не затрагивая вопросы перемещения денег. Одна из реализации EDI, называемая финансовым EDI или FEDI (Financial EDI), специально предназначена для осуществления платежей и таким образом повторяет функции платежных систем, рассмотренных в этой главе (хотя область ее применения ограничена транзакциями на уровне предприятий). PEDI обычно используется банками и крупными компаниями, чтобы банки имели возможность получать санкцию на перечисление средств от плательщика и договариваться об условиях платежа с получателем.

Средства разработки.
Наборы инструментов могут варьироваться: от самых простых, предназначенных для : внедрения основных протоколов (например для SSL и SET от фирмы Terisa Systems), до надстроек, которые совместно с сервером возьмут на себя обработку кредитных карт (например, PC Charge от Go Software). В помощь Java-программистам, занимающимся электронными платежами, компания SUN Microsystems представила свою серию библиотек JECF (Java Electronic Commerce Framework), которая включает электронный бумажник и средства защиты. Недостаток этого набора инструментов — масштабы проекта. Вам придется не только написать программное обеспечение для обработки платежей и транзакций, но также создать свой Web-узел и соединить содержащуюся на нем информацию с внутренними системами, такими как базы данных покупателей и системы учета продукции. С другой стороны, у таких наборов инструментов есть и преимущество — они предоставляют возможность изменить код программы в той степени, в какой это необходимо для ее интеграции с существующими старыми системами.

Взгляд в будущее.
Чтобы эффективно использовать Интернет для электронной коммерции, необходимо решить множество различных проблем: обеспечить защиту коммуникаций и транзакций, идентификацию покупателей и продавцов, механизмы для передачи и обработки заказов и связывание всего вышеперечисленного с существующими коммерческими системами. Электронная коммерция пока еще находится на начальной стадии развития, и многие компании спешат «застолбить» себе место на рынке. Стандарты для взаимодействия платежных механизмов только начинают разрабатываться, так что на текущей стадии фирмы стоят перед выбором: воспользоваться разработками одного производителя или поддерживать сразу несколько платежных систем.

Защита информации при электронной коммерции

Защита информации очень важна для финансовых систем, независимо оттого, основаны они на физических или на электронных транзакциях, в реальном мире мы уделяем много внимания физической безопасности, а в мире электронной коммерции приходится заботиться о средствах защиты данных, коммуникаций и транзакций. Имея дело с сетевыми компьютерами, следует помнить о существовании нескольких вероятных угроз. Существуют решения, позволяющими организовать и значительно повысить защищенность информации, в том числе и в ситуациях, не связанных с электронной коммерцией, например, при отправке конфиденциальной информации по электронной почте.

Преимущества криптографии.
Криптографические технологии обеспечивают три основных типа услуг для электронной коммерции: аутентификацию (которая включает идентификацию), невозможность отказа от совершенного (non- repudiation) и сохранение , тайны. Идентификация (подвид аутентификации) проверяет является ли отправитель послания тем, за кого себя выдает. Аутентификация идет еще дальше — проверяет не только личность отправителя, но и отсутствие изменений в послании. Реализация требования невозможности отказа не позволяет кому бы то ни было отрицать, что он отправил или получил определенный файл или данные (это схоже с отправкой заказного письма по почте). И наконец, сохранение тайны — это защита посланий от несанкционированного просмотра.

Процесс шифрования.
В основе шифрования — два понятия: алгоритм и ключ.
Криптографический алгоритм — это математическая функция, которая комбинирует открытый текст или другую понятную информацию с цепочкой чисел, называемых ключом, для того чтобы в результате получился бессвязный шифрованный текст. Алгоритм и ключ — основа процесса шифрования.
Надежность алгоритма шифрования зависит от длины ключа. Почему? Если знать, сколько бит в ключе, то можно оценить, сколько времени придется потратить, чтобы «взломать» шифр. Надеяться только на секретность алгоритма или зашифрованного текста неразумно — ведь посторонние могут получить эту информацию из конфиденциальных источников, а также путем сравнительного анализа посланий или каким-либо еще способом (например, отслеживая график). Тогда злоумышленник сможет расшифровать корреспонденцию. Самая старая форма шифрования с использованием ключа — симметричное шифрование, или шифрование с секретным ключом. При шифровании по такой схеме отправитель и получатель владеют одним и тем же ключом, с помощью которого и тот, и другой могут зашифровывать и расшифровывать информацию.

Криптография с открытым ключом.
Криптография с открытым ключом основана на концепции ключевой пары. Каждая половина пары (один ключ) шифрует информацию таким образом, что ее может расшифровать только другая половина (второй ключ). Одна часть ключевой пары — личный ключ, известна только ее владельцу. Другая половина — открытый ключ, распространяется среди всех его корреспондентов, но связана только с этим владельцем. Ключевые пары обладают уникальной особенностью: данные, зашифрованные любым из ключей пары, могут быть расшифрованы только другим ключом из этой пары. Другими словами, нет никакой разницы, личный или открытый ключ используется для шифрования послания; получатель сможет применить для расшифровки вторую половину пары.

Роль цифровых сертификатов.
Самый лучший и надежный способ распространения открытых ключей — воспользоваться услугами сертификационных центров. Сертификационный центр выступает как хранилище цифровых сертификатов. Он принимает Ваш открытый ключ вместе с доказательствами Вашей личности (какими — зависит от класса сертификата). После этого Ваши корреспонденты могут обращаться в сертификационный центр за подтверждением Вашего открытого ключа. Цифровые сертификаты выступают в роли электронного варианта удостоверения личности и, будучи общепринятым методом распространения открытых ключей, позволяют Вашим корреспондентам убедиться, что Вы на самом деле тот, за кого себя выдаете.

Сравнение методов шифрования.
Нет системы шифрования, идеально подходящей для всех ситуаций. Есть преимущества и недостатки у каждого типа шифрования. Примите во внимание также различия в длине ключей и в структуре алгоритмов. Тогда Вы поймете, почему порой трудно выбрать подходящий алгоритм. Здесь нужно руководствоваться следующим правилом: определитесь, насколько секретна Ваша информация и сколько времени она будет оставаться таковой и нуждаться в защите. После этого выберите алгоритм шифрования и длину ключа, на «взлом» которых потребуется больше времени, чем то, на протяжении которого данные должны оставаться секретными.

Обзор систем защиты информации в Интернете.
Стандарты шифрования:
DES (Datd Encryption Standard) — блочный шифр, созданный IBM и утвержденный правительством США в 1977 году. Использует 56-битный ключ и оперирует блоками по 64 бит. Относительно быстр; применяется при единовременном шифровании большого количества данных.
Тройной DES основан на DES. Шифрует блок данных три раза тремя различными ключами. Предложен в качестве альтернативы DES, поскольку угроза быстрого и легкого «взлома» последнего возрастает с каждым днем.
RC2 и RC4 — шифры с переменной длинной ключа для очень быстрого шифрования больших объемов информации, разработаны Роном Райвестом. Эти два алгоритма действуют немного быстрее DES и способны повышать степень защиты за счет выбора более длинного ключа. RC2 — блочный шифр, и его можно применять как альтернативу DES. RC4 представляет собой потоковый шифр и работает почти в десять раз быстрее DES.
IDEA (International Data Encryption Algorithm) создан в 1991 году и предназначен для быстрой работы в программной реализации. Очень стойкий шифр, использующий 128-битный ключ.
RSA назван в честь его разработчиков (Rivest, Shamir и Adelman). Алгоритм с открытым ключом поддерживает переменную длину ключа, а также переменный размер блока шифруемого текста. Размер блока открытого текста должен быть меньше длины ключа, обычно составляющей 512 бит.
Схема Диффи-Хеллмана (Diffie-Hellman) — самая старая из используемых сегодня криптосистем с открытым ключом. Не поддерживает ни шифрование, ни цифровые подписи. Предназначена для того, чтобы два человека могли договориться об общем ключе, даже если обмениваются сообщениями по открытым линиям. DSA (Digital Signature Algorithm) разработан NISTa основан на принципе, называемом алгоритмом Эль Гамаля. Схема подписи использует тот же тип ключей, что и алгоритм Диффи-Хеллмана, и может создавать подписи быстрее RSA. Продвигается NIST в качестве стандарта цифровой подписи (Digital Signature Standard, DSS), но пока еще далек от всеобщего признания.

Защита Web-приложений: S-HTTP и SSL.
Web-приложения защищены двумя протоколами — Secure HTTP и Secure Sockets Layer, которые обеспечивают аутентификацию для серверов и браузеров, а также конфиденциальность и целостность данных для соединений между Web-сервером и браузером. S-HTTP, предназначенный, в первую очередь, для поддержки протокола передачи гипертекста (HTTP), обеспечивает авторизацию и защиту документов. SSL предлагает схожие методы защиты, но для коммуникационного канала. Он действует в нижней части стека протоколов между прикладным уровнем и транспортным и сетевыми уровнями TCP/IP.

Защита электронной почты: РЕМ, S/MIME и PGP.
Для защиты электронной почты в Интернете есть множество различных протоколов, но лишь один или два из них используются достаточно широко. РЕМ (Privacy Enhanced Mail) — это стандарт Интернета для защиты электронной почты с использованием открытых . или симметричных ключей. Он применяется все реже, поскольку не предназначен для обработки нового, поддерживаемого MIME, формата электронных посланий и, кроме того, требует жесткой иерархии сертификационных центров для выдачи ключей. S/MIME — новый стандарт. Он задействует многие криптографические алгоритмы, запатентованные и лицензированные компанией RSA Data Security Inc. S/MIME использует цифровые сертификаты, и следовательно, при обеспечении аутентификации полагается на сертификационный центр (корпоративный или глобальный).

Защита сетей: брандмауэры.
Как и их аналоги в обыденной жизни, в электронном мире брандмауэры предназначены для защиты от повреждений, в данном случае, защиты данных и компьютерных систем. Брандмауэры способны обеспечить защиту отдельных протоколов и приложений и весьма эффективны против маскарада . Брандмауэры осуществляют контроль доступа на основе содержимого пакетов данных, передаваемыми между двумя сторонами или устройствами по сети. В настоящее время есть два основных набора инструментов, призванных упростить для разработчиков задачу внедрения криптографических методов защиты в приложения для персональных компьютеров — это CryptoAPI от Microsoft и CDSA (Common Data Security Architecture) от Intel.

Взгляд в будущее.
Программное и аппаратное обеспечение для защиты соединений и приложений в Интернете разрабатывается уже давно, хотя внедряются новые технологии несколько неравномерно. Одна из причин такого положения — производители еще не достигли согласия по вопросу, где в сети следует использовать криптографические протоколы. Различные сетевые компоненты — рабочие станции, Web-серверы, Web-браузеры и прочие приложения, а также коммуникационные протоколы, порождают свои собственные варианты, многие из которых охватывают только часть рынка (вспомните, например, историю развития стандартов для электронной почты).
На правах рекламы: