Главная Обратная связь

Дисциплины:






Понятие электронной коммерции и классификация возможных типов мошенничества в ней.



Широкое внедрение Интернета не могло не отразиться на развитии электронного бизнеса.

Одним из видов электронного бизнеса считается электронная коммерция. В соответствии с документами ООН, бизнес признается электронным, если хотя бы две его составляющие из четырех (производство товара или услуги, маркетинг, доставка и расчеты) осуществляются с помощью Интернета. Поэтому в такой интерпретации обычно полагают, что покупка относится к электронной коммерции, если, как минимум, маркетинг (организация спроса) и расчеты производятся средствами Интернета. Более узкая трактовка понятия "электронная коммерция" характеризует системы безналичных расчетов на основе пластиковых карт.

Ключевым вопросом для внедрения электронной коммерции является безопасность.

Высокий уровень мошенничества в Интернете является сдерживающим фактором развития электронной коммерции. Покупатели, торговля и банки боятся пользоваться этой технологией из-за опасности понести финансовые потери. Люди главным образом используют Интернет в качестве информационного канала для получения интересующей их информации. Лишь немногим более 2% всех поисков по каталогам и БД в Интернете заканчиваются покупками.

Приведем классификацию возможных типов мошенничества в электронной коммерции:

· транзакции (операции безналичных расчетов), выполненные мошенниками с использованием правильных реквизитов карточки (номер карточки, срок ее действия и т.п.);

· получение данных о клиенте через взлом БД торговых предприятий или путем перехвата сообщений покупателя, содержащих его персональные данные;

· магазины-бабочки, возникающие, как правило, на непродолжительное время, для того, чтобы исчезнуть после получения от покупателей средств за несуществующие услуги или товары;

· увеличение стоимости товара по отношению к предлагавшейся покупателю цене или повтор списаний со счета клиента;

· магазины или торговые агенты, презназначенные для сбора информации о реквизитах карт и других персональных данных покупателя.

 


Протокол SSL.

Протокол SSL (SecureSocketLayer) был разработан американской компанией NetscapeCommunications. SSL обеспечивает защиту данных между сервисными протоколами (такими как HTTP, NNTP, FTP и т.д.) и транспортными протоколами (TCP/IP) с помощью современной криптографии в соединениях "точка-точка".

Протокол SSL предназначен для решения традиционных задач обеспечения защиты информационного взаимодействия:

· пользователь и сервер должны быть взаимно уверены, что они обмениваются информацией не с подставными абонентами, а именно с теми, которые нужны, не ограничиваясь паролевой защитой;



· после установления соединения между сервером и клиентом весь информационный поток между ними должен быть защищен от несанкционированного доступа;

· и наконец, при обмене информацией стороны должны быть уверены в отсутствии случайных или умышленных искажений при ее передаче.

Протокол SSL позволяет серверу и клиенту перед началом информационного взаимодействия аутентифицировать друг друга, согласовать алгоритм шифрования и сформировать общие криптографические ключи. С этой целью в протоколе используются двухключевые (ассиметричные) криптосистемы, в частности, RSA.

Протокол SSL включает два этапа взаимодействия сторон защищаемого соединения:

· установление SSL-сессии;

· защита потока данных.

На этапе установления SSL-сессии осуществляется аутентификация сервера и (опционально) клиента, стороны договариваются об используемых криптографических алгоритмах и формируют общий "секрет", на основе которого создаются общие сеансовые ключи для последующей защиты соединения. Этот этап называют также "процедурой рукопожатия".

На втором этапе (защита потока данных) информационные сообщения прикладного уровня нарезаются на блоки, для каждого блока вычисляется код аутентификации сообщений, затем данные шифруются и отправляются приемной стороне. Приемная сторона производит обратные действия: расшифрование, проверку кода аутентификации сообщения, сборку сообщений, передачу на прикладной уровень.

В SSL используется криптография с открытым (публичным) ключом, также известная как асимметричная криптография. Она использует два ключа: один - для шифрования, другой - для расшифровывания сообщения. Два ключа математически связаны таким образом, что данные, зашифрованные с использованием одного ключа, могут быть расшифрованы только с использованием другого, парного первому. Каждый пользователь имеет два ключа - открытый и секретный (приватный). Пользователь делает доступным открытый ключ любому корреспонденту сети. Пользователь и любой корреспондент, имеющий открытый ключ, могут быть уверены, что данные, зашифрованные с помощью открытого ключа, могут быть расшифрованы только с использованием секретного ключа.

Если два пользователя хотят быть уверенными, что информацию, которой они обмениваются, не получит третий, то каждый из них, должен передать одну компоненту ключевой пары (а именно открытый ключ), другому и хранит другую компоненту (секретный ключ). Сообщения шифруются с помощью открытого, расшифровываются только с использованием секретного ключа. Именно так сообщения могут быть переданы по открытой сети без опасения, что кто-либо сможет прочитать их.

Целостность и аутентификация сообщения обеспечиваются использованием электронной цифровой подписи.

Теперь встает вопрос о том, каким образом распространять свои публичные ключи. Для этого (и не только) была придумана специальная форма - сертификат. Сертификат состоит из следующих частей:

· имя человека/организации, выпускающей сертификат;

· субъект сертификата (для кого был выпущен данный сертификат);

· публичный ключ субъекта;

· некоторые временные параметры (срок действия сертификата и т.п.).

Сертификат "подписывается" приватным ключом человека (или организации), который выпускает сертификаты. Организации, которые производят подобные операции называются Certificateauthority (CA). Если в стандартном Web-браузере, который поддерживает SSL, зайти в раздел security, то там можно увидеть список известных организаций, которые "подписывают" сертификаты. Технически создать свою собственную CA достаточно просто, но также необходимо уладить юридическую сторону дела, и с этим могут возникнуть серьезные проблемы.

SSL на сегодня является наиболее распространенным протоколом, используемым при построении систем электронной коммерции. С его помощью осуществляется 99% всех транзакций. Широкое распространение SSL объясняется в первую очередь тем, что он является составной частью всех браузеров и Web-серверов. Другое достоинство SSL - простота протокола и высокая скорость реализации транзакции.

В то же время, SSL обладает рядом существенных недостатков:

· покупатель не аутентифицируется;

· продавец аутентифицируется только по URL;

· цифровая подпись используется только при аутентификации в начале установления SSL-сессии. Для доказательства проведения транзакции при возникновении конфликтных ситуаций требуется либо хранить весь диалог покупателя и продавца, что дорого с точки зрения ресурсов памяти и на практике не используется, либо хранить бумажные копии, подтверждающие получение товара покупателем;

· не обеспечивается конфиденциальность данных о реквизитах карты для продавца.


Протокол SEL.

Протокол SET самый защищенный. Этот протокол позволяет потребителям и продавцам подтвердить подлинность сделки. С помощью средств криптографии, в том числе, числовых сертификатов.

SET обеспечивает следующие специальные требования защиты информации операции электронной коммерции:

· секретность данных оплаты и информации о заказе с переданной оплатой

· сохранение целостности данных платежей, обеспечиваемых цифровой подписью

· специальную криптографию с открытым ключом для проведения аутентификации

· аутентификацию держателя по кредитной карточке, которая обеспечивается применением цифровой подписи и сертификата держателя карточки

· аутентификация продавца, и его возможность принимать платежи с использование цифровой подписи и сертификата продавца

· подтверждение того, что банк продавца действительная организация

· готовность оплаты транзакций в результате аутентификации сертификата с открытым ключом

· безопасности передачи данных за счет использования новейших методов криптографии

Основным преимуществом SET является использование цифровых сертификатов стандарта Х.509, который ассоциирует держателя карточки, продавца и его банк с рядом учреждений, платежных систем (Visa, MasterCard).

SET позволяет сохранить существующие отношения между банками держателей карт и продавца и интегрируется существующими системами благодаря следующим качествам:

· основан на международных стандартах платежных систем

· открытый, полностью документированный стандарт для финансирования структур

· опирается на основные существующие финансовый области и правовые механизмы

1 участники сделки запрашивают и получают сертификаты от сертифицирующей организации

2 владелец карточки оформляет заказ и высылает продавцу

3 продавец предоставляет свой сертификат покупателю

4 покупатель предоставляет свой сертификат продавцу

5 продавец запрашивает у платежного шлюза информацию о проверке, а шлюз сверяет информацию от банка покупателя о держателе карточки

6 после проверки шлюз отдает информацию продавцу

7 продавец требует от шлюза выполнить операцию в соответствии с запросом; шлюз посылает запрос на перевод средств от одного банка другому

 





sdamzavas.net - 2019 год. Все права принадлежат их авторам! В случае нарушение авторского права, обращайтесь по форме обратной связи...