Магистр ДонНТУ Щеглов Максим Игоревич

Щеглов Максим Игоревич


Факультет: Вычислительной техники и информатики
Специальность: Программное обеспечение автоматизированных систем
Тема магистерской диссертации: "Анализ и оценка эффективности параллельных многошаговых блочных методов решения ОДУ на кластере"
Научный руководитель: Фельдман Лев Петрович профессор, д.т.н.

Библиотека



Авторы: Щеглов М.И., Губенко Н.Е.

Донецкий национальный технический университет

Украина, 83001, Донецк, ул. Артема, 66.


ПОДДЕРЖКА БЕЗОПАСНОСТИ ТРАНЗАКЦИЙ В ЭЛЕКТРОННОЙ КОММЕРЦИИ


      Под электронной коммерцией обычно понимают бизнес-процессы, в которых взаимодействие между субъектами происходит электронным образом. Появление электронной коммерции обусловлено созданием компьютерных сетей, позволивших удаленным друг от друга фирмам оперативно обмениваться данными. Развитие сетевых технологий способствовало росту масштабов и изменению содержания электронной коммерции. В связи с развитием Интернет этот рост приобрёл лавинообразный характер.
      Предприниматели, которые практикуют электронные сделки посредством Web, могут быстро достигнуть высокого уровня конкурентоспособности, так как их потенциальные клиенты – весь мир. Однако существует несколько проблем безопасности в Web, которые следует принять во внимание для уменьшения риска. Клиент воспользуется услугами Web лишь тогда, когда будет уверен, что его личная информация (номер кредитной карты, финансовые данные и т.п.) будет защищена.
В электронной коммерции актуальными являются следующие проблемы:

  • Проблема секретности: вы хотели бы сообщить номер вашей кредитной карты, если бы знали, что эта информация может попасть в чужие руки?
  • Проблема целостности: как вы можете определить, не была ли посланная вам информация изменена хакером?
  • Проблема подлинности: вы можете быть уверены в том, что компания, получающая вашу информацию, имеет хорошую репутацию?
  • Проблема отказа от обязательств: как вы сможете доказать, что сообщение было действительно послано?
Существуют несколько протоколов, которые обеспечивают защиту данных при выполнении транзакции. Наиболее распространен Secure Sockets Layer (SSL — уровень защищенных гнезд, протокол безопасных соединений) и SET — протокол защищенных электронных транзакций. SSL (Secure Sockets Layer) - это протокол, стандарт сетевых технологий безопасности. Он используется для создания канала между сервером и клиентом. Через это канал данные передаются в зашифрованном виде. Такой канал обеспечивает конфиденциальность и целостность данных, которые передаются между сервером и программой клиентом (браузером например). Безопасный SSL протокол размещается между двумя протоколами: протоколом, который использует программа-клиент (HTTP, FTP, IMAP, LDAP, Telnet и т.д.) и транспортным протоколом TCP/IP. Создавая своего рода заслонки с обеих сторон, он защищает и передает данные на транспортный уровень. Благодаря работе по многослойному принципу, SSL может поддерживать много разных протоколов программ-клиентов. Работу протокола SSL можно разделить на два уровня. Первый уровень – слой протокола подтверждения подключения (Handshake Protocol Layer). Он состоит из трех подпротоколов: протокол подтверждения подключения (Handshake Protocol), протокол изменения параметров шифра (Change Cipher Spec Protocol) и предупредительный протокол (Alert protocol). Второй уровень – это слой протокола записи. На рис.1 схематически изображены уровни слоев SSL[1].

Рис. 1. Уровни слоев SSL

      Для определения подлинности участников обмена данных, протокол подтверждения подключения использует сертификат стандарта Х.509. SSL использует как симметричные, так и ассиметричные ключи для шифрования данных. Широкое распространение протокола SSL объясняется в первую очередь тем, что на является составной частью всех известных браузеров и веб-северов. Это, означает, что фактически любой владелец карты, который пользуется стандартными средствами доступа к Интернету, получает возможность провести транзакцию с использованием SSL. В приложениях электронной коммерции SSL обладает рядом существенных недостатков. Протоколы электронной коммерции, основанные на использовании SSL, не поддерживают аутентификацию клиента Интернет-магазином, поскольку сертификаты клиента в таких протоколах практически не используются. SSL не поддерживает цифровой подписи, что затрудняет процесс разрешения конфликтных ситуаций, возникающих в работе платежной системы (цифровая подпись используется в начале установления SSL-сессии при аутентификации участников сессии). Для доказательства проведения транзакции требуется либо хранить в электронном виде весь диалог клиента и торговой точки (включая процесс установления сессии), что дорого с точки зрения затрат ресурсов памяти и на практике не используется, либо хранить бумажные копии, подтверждающие получение клиентом товара. SET (Security Electronics Transaction) - наиболее перспективный стандарт или протокол безопасных электронных транзакций в Интернете, предназначенный для организации электронной торговли через сеть, также основан на использовании цифровых сертификатов по стандарту Х.509. В настоящее время в десятках стран мира уже насчитываются сотни государственных, ведомственных и корпоративных центров сертификации, обеспечивающих ключевое управление[2].
Протокол SET обладает следующими свойствами:
  • Мошеннику недостаточно знать реквизиты платежной карты для того, чтобы успешно выполнить SET-транзакцию. Помимо реквизитов карты необходимо иметь закрытый ключ владельца данной карты, а также сертификат соответствующего ему открытого ключа.
  • Торговая точка при выполнении SET-транзакции точно знает, что владелец карты, совершающий транзакцию, является подлинным, то есть обладает секретным ключом RSA, для которого открытый ключ сертифицирован банком-эмитентом клиента.
  • Клиент точно знает, что торговая точка, в которой совершается SET-транзакция, является истинной, то есть обладает секретным ключом RSA, для которого открытый ключ сертифицирован обслуживающим банком торговой точки.
  • Обслуживающий банк точно знает, что владелец карты и торговая точка являются подлинными, то есть обладают сертифицированными ключами.
  • Информация о реквизитах карты не известна торговой точке.
  • Торговая точка и владелец карты имеют заверенные подписями соответственно владельца карты и торговой точки подтверждения факта совершения транзакции, что делает невозможным отказ от результатов операции ни одного из участников транзакции.
      Протокол SET является на сегодняшний день одним из лучших открытых и устойчивых протоколов в электронной коммерции. Решение проблемы информационной безопасности электронной коммерции является наиболее важной составляющей обеспечения экономической безопасности электронного бизнеса. Кроме того, учитывая его всевозрастающее значение для экономики государства в целом, следует помнить, что надежность функционирования электронного бизнеса уже сегодня может оказывать непосредственное влияние на национальную безопасность развитых информационных сообществ, и это влияние в дальнейшем будет только возрастать.

Литература

  1. Деднев М. А., Дыльнов Д. В., Иванов М. А. Защита информации в банковском деле и электронном бизнесе. – М.: ИД КУДИЦ-ОБРАЗ, 2004.- 512с.
  2. Маллери Д. Безопасная сеть вашей компании. -М.:НТ Пресс,2007.-640с.