Безопасность электронных платежных систем в интернет
Дипломная работа - Компьютеры, программирование
Другие дипломы по предмету Компьютеры, программирование
следующем:
использование 3-D Secure уменьшает возможные потери денег всеми участниками транзакции, поскольку существенно уменьшает количество чарджбэков, инициированных держателями карт по причине того, что карта была использована мошенниками. - Чтобы использовать протокол, клиентам не обязательно приобретать новое аппаратное или программное обеспечение - Протокол может быть расширен и дополнен банком-эмитентом, чтобы наилучшим образом соответствовать требованиям клиентов без необходимости банкам-эквайрам и мерчантам вводить дополнения в протокол со своей стороны. - Протокол может использоваться на таких перспективных для развития электронной коммерции платформах, как мобильные телефоны, карманные компьютеры, цифровые телевизоры. - Он основан на широко применяющихся технических стандартах, поддерживаемых международными организациями. - Предоставляет возможность ведения (и доступа к) централизованному архиву аутентификаций, который будет полезен для принятия решения по спорным транзакциям.
Архитектура 3-D Secure:
Виза разработала модель трех доменов как основу новых решений для платежных систем. Основная идея модели в том, что весь процесс аутентификации, обеспечивающий безопасность транзакций, разбивается на три домена (или другими словами области):Domain (Домен эмитента)- его назначение в том, что обслуживающий банк производит аутентификацию своей торговой точки на основе правил и методов, установленных самим обслуживающим банком (т. е. в этом случае вся ответственность за аутентификацию ложиться на обслуживающий банк торговой точки);Domain (Домен эквайра) - его назначение в том, чтобы определить правила и процедуры обмена информацией между доменами эмитента и эквайра, гарантирующие этим доменам взаимную аутентификацию друг друга.
Владелец карты находится в домене эмитента, а торговое предприятие (мерчант) находится в домене эквайра, которые в свою очередь взаимодействуют между собой через домен Interoperability (Межоперационный).
Сервер контроля доступа (Access control server - ACS) Сервер контроля доступа выполняет две функции:
. Проверка возможности 3-D Secure аутентификации для номера карты 2. Аутентификация владельца карты для конкретной транзакции или обеспечение подтверждения попытки аутентификации в случае, если аутентификация недоступна (невозможна). Хотя эти функции и описаны, как осуществляемые одиночным логическим ACS, физических серверов, обеспечивающих реализацию функций ACS, может быть много. Например каждый из этих серверов обслуживает определенный диапазон номеров карт.
Сервер истории аутентификаций Данный сервер находится под управлением Виза. Его основные функции таковы: - получить сообщение от сервера контроля доступа для каждой попытки аутентификации (независимо от успешности попытки) - сохраняет полученные записи
Копия данных, сохраняемых сервером истории аутентификаций, может быть передана эквайрам и эмитентам для решения спорных вопросов.
Относительно аутентификации платежей VisaNet выполняет свою традиционную роль: - Получает запросы на авторизацию от эквайра - Пересылает их эмитенту - Пересылает ответы эмитента к эквайру - Предоставляет эквайрам и эмитентам прочие сервисы (клиринг, установка и т п).
Как работает аутентификация платежа.
Рис. 10. Схема аутефекации платежа.
Владелец карты совершает покупку. Когда владелец кредитной карты намеревается совершить покупку, он либо должен предоставить информацию о своем счете (карте), либо использует специальное программное обеспечение (например, цифровой кошелек), чтобы это сделать. Когда владелец карты подтверждает свое желание сделать покупку, запускается плагин сервера мерчанта (ПСМ) Merchant Server Plug-in (MPI). Программа ПСМ может находиться на сайте интернет-магазина, у эквайера или у процессингового центра третьей стороны.
Запрос к Виза Директори
ПСМ посылает сообщение к серверу Виза Директори, чтобы определить, возможно ли провести аутентификацию для данной кредитной карты. Если ПСМ получает ответ, что держатель карты зарегистрировался предварительно (заявка на возможность участия в 3-D Secure отправляется держателем карты банку-эмитенту) и возможно провести аутентификацию, ответное сообщение к ПСМ будет содержать инструкции, как связаться с сервером контроля доступа соответствующего эмитента. Если номер счета клиента находится за пределами интервала, в котором расположены номера допущенных к 3-D Secure карт, сервер Виза Директори возвращает транзакцию к серверу мерчанта через ПСМ, после чего мерчант может отправлять стандартный запрос на авторизацию.
Аутентификация владельца карты
ПСМ посылает запрос на аутентификацию к серверу контроля доступа. Обычно эта отсылка производится с помощью броузера покупателя. Сервер контроля доступа производит аутентификацию - путем вывода на компьютер покупателя диалогового окна, в которое необходимо ввести пароль, или использует другой метод аутентификации сообразно типу кредитной карты (например, в случае чип-карты) Сервер контроля доступа формирует ответ и заверяет его цифровой подписью, затем возвращает его к ПСМ.
.4 Безопасность транзакций с использованием электронных денег
Термин электронные деньги является относительно новым и часто применяется к широкому спектру платежных инструментов, которые основаны на инновационных технических решениях. Следствием этого является отсутствие единого, признанного в мире определения электронных дене