Безопасность электронных платежных систем в интернет
Дипломная работа - Компьютеры, программирование
Другие дипломы по предмету Компьютеры, программирование
предложение Боба, она может отправить сообщение банку, указав на свое согласие и включив дайджест сообщения с предложением Боба. Банк может проверить подлинность авторизации Боба на перечисление и дайджеста сообщения с предложением Боба, предоставленного Алисой, чтобы подтвердить двойную подпись. Таким образом, банк может проверить подлинность предложения на основании двойной подписи, но банк не сможет прочитать условия предложения.
.3 Новые протоколы безопасности заочных платежей
Стандарт SPA/USAF от MasterCard International.
Корпорация MasterCard International представила Secure Payment Application (SPA) - новое решение для обеспечения безопасности кредитных и дебетовых платежей между владельцами карточек, продавцами и финансовыми учреждениями. SPA является последней новинкой в ряду интернет-решений MasterCard в сфере защиты всех сторон, участвующих в онлайновых денежных операциях - владельца карточки, продавца и эмитента карточки.представляет собой схему обеспечения безопасности, которая использует преимущества инфраструктуры Universal Cardholder Authentication Field (UCAF) корпорации MasterCard. UCAF это система передачи данных, способная, сопоставив данные банка-эмитента карты и информацию, известную онлайн-продавцу, гарантировать, что сделка осуществляется реальным держателем карты. В системе USAF существует 23-байтное поле, закрытое шифром от торговой точки и эквайрера. Оно передается от держателя карты к эмитенту через торговую точку и эквайрера, которые не имеют доступа к шифру. Эмитент производит авторизацию. Таким образом, торговая точка с минимальными усовершенствованиями получает гарантию оплаты, что является одним из ключевых моментов в электронной торговле. При этом, инфраструктура UCAF поддерживает транзакции как с кредитными картами MasterCard, так и с дебетовыми картами Maestro. Следует заметить, что USAF поддерживает множество приложений для идентификации и защиты эмитента, включая SPA, смарт-карты и многое другое. Сочетание UCAF и SPA позволяет удостоверить личность владельца счета, генерирует и передает подтверждение, что, сделка авторизована законным владельцем, и создает основу для гарантии платежа электронным торговым предприятиям.
Принцип действия Технология SPA аналогична электронному чеку, выписываемому от имени владельца счёта. Система предполагает использование Покупателем цифрового кошелька - e-wallet (SPA-совместимого кошелька). Для этого Покупатель должен скачать специальное программное обеспечение с сайта MasterCard. Каждый раз, когда зарегистрированный владелец счета осуществляет сделку, система генерирует ее специфический атрибут - "показатель удостоверения владельца счета" (Accountholder Authentication Value, AAV), представляющий собой 32-значный код, содержащий информацию описывающие именно эту сделку (информация о владельце счёта и проводимой транзакции, включая наименование товара и сумму платежа). Таким образом, уникальное значение этой переменной, меняющееся с каждой транзакцией, позволяет идентифицировать держателя карты, фактически связывая владельца счета со сделкой, имевшей место по отношению к определенному торговому предприятию на определенную сумму. Совпадение значения этой переменной, меняющегося с каждой следующей транзакцией, будет подтверждать легитимность использования карты для запрашивающей стороны.
Преимущества технологии SPA (Secure Payment Application):
SPA не требует больших финансовых затрат, поскольку интегрируется в уже существующие системы защиты. Эта система предоставляет продавцу эквивалент подписи владельца карточки, подтверждая, что эмитент уже проверил владельца карточки еще до завершения платежной операции.обеспечивает идентификацию владельца карточки.никак не влияет на продолжительность времени, необходимого для совершения онлайновых покупок или для подтверждения платежа.
Рис. 8. Схема совершения онлайновых покупок
не требует использования инфраструктуры открытого ключа (PKI), что значительно упрощает использование данного приложения всеми сторонами.даёт Интернет-Магазину полную гарантию аутентификации Покупателя (владельца карты) и специальное подтверждение того, что платёж был совершён с его согласия.
Ответственность за мошеннические транзакции, не санкционированные владельцем карточки, снимается с онлайновой торговой точки и компании, осуществляющей эквайринг.поддерживает применение различных устройств доступа в Интернет для совершения транзакций (например, транзакции с мобильного телефона)
Недостатки:
Основным недостатком технологии можно считать, более сложную реализацию системы SPA, чем, например, технологии 3D-Secure от Visa International
Так же недостатком является то, что пользователю приходиться предварительно скачивать дополнительное приложение, с web-страницы банковского учреждения.
-D Secure (протокол трех доменов).
Архитектура 3-D Secure
Виза разработала протокол 3-D Secure (так называемый протокол трех доменов), чтобы увеличить эффективность онлайновых транзакций и ускорить рост электронной коммерции.
Развитие и внедрение этого протокола должно принести выгоду всем участникам онлайновой транзакции, предоставив банкам-эмитентам возможность аутентифицировать держателей карт во время онлайновой покупки. Это повысит надежность и безопасность транзакций и уменьшит возможность мошеннического использования кредитных карт в Интернете - если покупки будут совершаться с использованием технологии 3D-secure.
Рис. 9. Архитектура 3-D Secure.
Преимущества данного протокола состоят в