Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК: ПОДПИСКА НА НОВОСТИ: НОМЕР:
    ДОМОЙ • Архив: Новостей | Конференций | НомеровПодписка
 
   
 
   
    
РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Отдел рекламы
График выхода журнала
Адреса в Интернет

РУБРИКАТОР
   
• Инфраструктура
• Информационные
   системы

• Сети связи
• Защита данных
• Кабельные системы
• Бизнес
• Колонка редактора
• Электронная
   коммерция

• Только на сервере
• Системы
   учрежденческой
   связи

• Новые продукты


  

Ведение личных финансов, покупки и управление банковским счетом через Интернет

В. А. Вайнштейн

Еще несколько лет назад сеть Интернет использовали в основном только для обмена почтовыми сообщениями, работы в режиме удаленного терминала и пересылки файлов. Однако в последнее время современные технологии превратили ее в развитую инфраструктуру, способную связывать воедино все основные информационные центры, мировые библиотеки, базы данных с научной и правовой информацией, многие государственные и коммерческие организации, биржи и банки. Сегодня Интернет уже рассматривается как огромный рынок, который в перспективе может охватить практически все население Земли. Именно поэтому производители программных и аппаратных средств, торговые и финансовые организации активно развивают различные виды и методы ведения коммерческой деятельности в этой глобальной сети. Для создания полнофункциональной системы электронной коммерции требуется, чтобы взаимодействовали, как минимум, четыре участника:

1) Клиент, имеющий доступ к сети передачи данных и соответствующее программное обеспечение для ведения электронной коммерции.

2) Магазин, осуществляющий электронные продажи.

3) Фирма-эквайер, которая, обладая соответствующим программным обеспечением, осуществляет авторизацию и проведение платежей.

4) Банк, выдающий клиенту денежные средства (электронные деньги, карточки).

Взаимодействие между этими участниками электронной коммерции в самом общем виде происходит по следующей схеме: клиент осуществляет покупку — магазин отправляет запрос эквайеру — эквайер авторизует платеж — банк производит расчет с эквайером.

Основные виды электронной коммерции

Сегодня под термином "электронная коммерция" прежде всего понимается предоставление товаров и платных услуг через глобальные информационные сети. Рассмотрим наиболее распространенные на сегодняшний день виды электронной коммерции:

Business-to-Business. Вид деятельности с таким названием используется в Интернет для реализации коммерческих приложений внутри корпорации (расчеты между ее удаленными подразделениями) или между различными предприятиями. Например, многие предприятия организуют с помощью Интернет системы заказов для своих дилеров, оптовые склады для магазинов и т. д.

"Электронные магазины". В последнее время эта концепция становится все более популярной за рубежом. Обычно "электронный магазин" представляет собой Web-узел в сети Интернет, где имеются каталог товаров, виртуальная "корзина покупателя", куда "складываются" товары, а также средства оплаты путем предоставления номера кредитной карты по сети Интернет или по телефону. Реальные товары отправляются покупателям по почте, а так называемые электронные (например, программное обеспечение) — по каналам электронной почты или непосредственно через Web-узел.

Аренда программного обеспечения и "микроплатежи". Этот вид электронной коммерции используется тогда, когда, например, за какое-либо ПО с клиента берется чисто символическая плата (несколько центов). Такой род деятельности получил развитие в связи с широким распространением современных технологий, предполагающих "подкачку" по сети непосредственно с Web-сервера программных компонентов, необходимых для выполнения каких-либо задач.

Продажа информации — традиционная услуга в области электронной коммерции. Сюда можно отнести, например, подписку на базы данных, функционирующие в режиме on-line. Этот вид услуг уже достаточно распространен в России, в качестве примера можно привести базы данных "Гарант-Парк", "Россия-он-Лайн", "Russica Известия" и др.

Электронные банки — новый вид электронной коммерции, который сегодня начинает набирать обороты. Среди основных преимуществ электронных банков можно отметить относительно низкую себестоимость их организации (не нужно арендовать престижные здания, нет необходимости в хранилищах ценностей и т. д.) и широчайший охват клиентов (практически любой пользователь Интернет является потенциальным клиентом электронного банка). Благодаря этому электронный банк может предоставлять своим клиентам процентные ставки более выгодные, чем обычный банк, и широкий спектр банковских и других видов услуг за более низкую плату.

Системы, связанные с предоставлением банковских услуг, требуют специальных средств защиты финансовой информации. В настоящее время в электронных банках наибольшее распространение получили системы безопасности и защиты электронной информации с спользованием специальных карт — микропроцессорных или смарт-карт и карт — генераторов случайных паролей, которые синхронизируются с паролем на банковском сервере. Основное отличие карт — генераторов случайных паролей от смарт-карт состоит в том, что на хост-системе банка устанавливается специальный аппаратный модуль, тщательно синхронизированный с каждой такой картой-генератором. Преимущество этого вида защиты — наличие в системе в каждый момент времени разных паролей. Недостатком использования карт — генераторов случайных паролей является высокая стоимость как самого решения проблемы безопасности в целом, так и обслуживания, поскольку необходима очень точная настройка элементов системы реального времени.

Смарт-карты значительно дешевле. Они имеют встроенные средства генерации ключей шифрования, которые активизируются только при взаимодействии карты со считывающим устройством (ридером). В то же время ни тот, ни другой вид защиты не гарантируют безопасность системы в случае кражи карты у ее владельца. Поэтому для большей степени защиты дополнительно можно использовать и другие средства, например биометрическую идентификацию пользователя.

Ниже рассмотрим основные методы защиты информации в приложениях электронной коммерции.

Методы защиты информации

Самый старый и проверенный способ ведения электронной коммерции, берущий свое начало от обычной торговли по каталогам, — оплата товаров и услуг по телефону посредством кредитной карты. В этом случае покупатель заказывает на Web-сервере список товаров, которые он хотел бы купить, а потом по телефону сообщает компании-продавцу номер своей кредитной карты. Затем происходят обычная авторизация карты и списание денег со счета покупателя, но только в момент отправки товара по почте или с курьером.

Принципиально новый подход к осуществлению электронных платежей заключается в немедленной авторизации и шифровании финансовой информации в сети Интернет с использованием протоколов SSL (Seсure Sockets Layer) и SET (Secure Electronic Transaction). Протокол SSL предполагает шифрование информации на канальном уровне, а протокол SET, разработанный компаниями VISA, MasterCard и др., — шифрование исключительно финансовой информации. Поскольку сеть Интернет рассчитана на одновременную работу миллионов пользователей, то в коммерческих приложениях "в чистом виде" невозможно использовать ни традиционные системы, основанные исключительно на "закрытых ключах" (DES, ГОСТ 28147-89 и др.), ни методы шифрования только на "открытых ключах", в том числе и российский стандарт электронной подписи.

Применение одних закрытых ключей невозможно в связи с тем, что раскрытие (перехват) даже одного ключа сразу же приведет к "взлому" всей системы защиты. Поэтому при реализации электронной коммерции в Интернет вместе с системами шифрования с помощью закрытых ключей используются системы шифрования с помощью открытых ключей. Это связано с тем, что шифрование только открытыми ключами требует больших затрат вычислительных ресурсов. Поэтому лучше всего шифровать информацию, передаваемую по сетям, с помощью закрытого ключа, который генерируется динамически и передается другому пользователю зашифрованным с помощью открытого ключа. Такая система шифрования будет работать и быстрее, и надежнее.

В приложениях, основанных на использовании алгоритма SET, покупатель, не расшифровывая платежных реквизитов продавца, расшифровывает все данные заказа, а банк, не имея данных о структуре заказа, имеет доступ к платежным реквизитам и продавца и покупателя. Это достигается благодаря использованию двойной (слепой) электронной подписи, и в данной ситуации банку посылается одна часть сообщения, а покупателю — другая. Кроме того, протокол SET описывает стандартные виды финансовых транзакций между банками, центрами авторизации и торговыми точками.

При шифровании с использованием закрытых ключей предполагается, что и продавец и покупатель обладают общим ключом, который они используют для шифрования/дешифрования информации. В шифровании же с использованием открытых ключей предусмотрено, что и продавец и покупатель имеют по два ключа: один — "открытый", который может быть известен любой третьей стороне, а другой — "частный", всегда известный только одной стороне — его владельцу. При этом по одному ключу невозможно восстановить другой.

Для защиты сделок в Интернет организованы специальные центры сертификации, следящие за тем, чтобы каждый участник электронной коммерции получал уникальный электронный "сертификат", в котором с помощью ключа центра сертификации подписан открытый ключ данного участника коммерческих сделок. Сертификат генерируется на определенное время. Чтобы его получить, в центр сертификации необходимо предоставить документ, удостоверяющий личность участников сделки (для юридических лиц таким документом является свидетельство о регистрации). Каждый участник, имея "на руках" открытый ключ центра сертификации, может с помощью сертификатов проверить подлинность открытых ключей других участников и совершать сделки.

Технологические решения для электронной коммерции

На сегодняшний день наибольшее распространение получили два программно-аппаратных решения в области электронной коммерции. Одно из них принадлежит компании Microsoft, а другое — компании Netscape. Оба решения предполагают следующий набор компонентов:

· Клиентский компьютер, имеющий доступ к Интернет, и Web-браузер.

· Сервер электронной коммерции, на котором представлен каталог товаров и на который принимаются зашифрованные запросы клиентов на покупку тех или иных товаров.

· Средства для обеспечения взаимной конвертации протоколов Интернет и стандартных протоколов авторизации (ISO 8583, VISAII и др.).

Рассмотрим в качестве примера, как реализовано технологическое решение с применением Microsoft Merchant Server и продуктов фирмы VeriFone — vPOS и vGate. Программное обеспечение vPOS устанавливается на рабочей станции клиента и обеспечивает поддержку протокола SET, шифрование и аутентификацию информации, получение необходимых сертификатов и др. Microsoft Merchant Server, помимо указанных выше функций ведения каталога и приема запросов клиентов, осуществляет связь с другим продуктом VeriFone — vGate. Программное обеспечение vGate, получая запросы в формате SET, расшифровывает их и конвертирует в формат ISO 8583. Таким образом, платежи в Интернет осуществляются с использованием обыкновенных кредитных карт. В то же время отметим, что описанные выше решения, по сути, всего лишь адаптация технологий кредитных карт, существующих еще с 60-х годов, к современным электронным технологиям.

Альтернативный путь — введение "чисто" электронных денег, т. е. использование концепции Еcash (www.digicash.com) и CyberCash (www.cybercash.com). Что же представляют собой электронные деньги? Это специальная последовательность электронных деноминаций и электронных подписей, подготовленных банками. Клиент банка может завести виртуальный электронный "кошелек" и поместить в него определенную сумму денег. В дальнейшем оплата товаров и услуг будет осуществляться переводом некоторой битовой информации. В остальном же движение электронных денег от покупателя к продавцу и от продавца в банк аналогично движению обычных денег.

Другим вариантом электронных денег является платежная система на основе смарт-карт Mondex, недавно приобретенная компанией MasterCard. В отличие от традиционных платежных систем с использованием смарт-карт в этом случае предполагается эмитирование электронных "денег", находящихся на смарт-карте, с возможностью их списания с карты и занесения на другие смарт-карты. Еще одна особенность системы Mondex — анонимность платежей. Поэтому ее применение возможно в тех случаях, когда нужно произвести платежи на небольшие суммы, поскольку во многих странах анонимные платежи на крупные суммы запрещены законом. Интересно в системе Mondex решены и проблемы конвертации валюты. В каждой присоединившейся к проекту стране учреждается специальный банк, который эмитирует электронную "наличность". При переводе средств из одной валюты в другую в системе Mondex организуется специальная транзакция между электронными банками двух стран. Перерасчет производится по официальному обменному курсу, и на карту помещается соответствующая сумма в другой валюте.

Особенности электронной коммерции в России

Как мы уже говорили, сегодня электронная коммерция практически невозможна без использования кредитных карт и без передачи по сетям зашифрованных данных. В России число владельцев пластиковых карт в силу различных причин остается небольшим, да и кредитными эти карты вряд ли можно назвать — даже ведущие западные эмитенты требуют от клиентов, чтобы они держали на своих карточных счетах весьма солидный страховой депозит. Кроме того, согласно российскому законодательству, в нашей стране запрещена передача по сетям информации, зашифрованной по зарубежным стандартам. В связи с этим в коммерческой сфере невозможно использовать готовые зарубежные решения или же их применение в России требует существенной доработки. С этой точки зрения наиболее перспективен уже упомянутый стандарт SET, в котором конкретные способы шифрования финансовой информации могут быть определены региональными стандартами. Главное — чтобы эти стандарты удовлетворяли определенным и единым для всех стран критериям. Однако эта проблема у нас пока не решена, а наши разработчики изыскивают собственные, не совместимые с западными решения. Реально электронная коммерция в стране ограничивается несколькими магазинами по продаже компакт-дисков, книг, а также информационными службами и платными услугами в области продажи программного обеспечения непосредственно с Web-серверов.

Кроме того, в России есть еще и своя специфика. Во-первых, малое распространение таких способов оплаты, как чеки или прямой перевод денег, привело к тому, что сегодня развиваются в основном платежи с помощью карт. Во-вторых, в силу различных причин (в частности, из-за плохой работы почты) не развита торговля по каталогам, которая, как правило, предшествует электронной коммерции. По этой же причине выписки по счетам частных лиц и по сей день в большинстве случаев клиенты получают с курьером или сами обращаются за ними в банк.

Системы ведения личных финансов

По мнению компании "АйТи", одним из наиболее перспективных направлений в области электронной коммерции за рубежом является рынок обслуживающий личные финансы (home banking), включающий в себя собственно электронные банки и программы ведения личных счетов (Quicken, MS Money). Эти программы поддерживают интерфейсы наиболее популярных банковских систем, с их помощью можно управлять счетами и осуществлять покупки прямо из дома. В то же время все эти программы прежде всего ориентируются на рынок чеков, а он, как уже говорилось выше, не развит в России. Компания "АйТи" разработала собственную систему home banking под названием "Декарт", ориентированную на операции с пластиковыми картами. Дело в том, что клиент, регулярно пользующийся такой картой и учитывающий расходы по бумажным слипам, постоянно сталкивается с расхождениями между реально остающейся на его счете суммой и суммой, которую пользователь рассчитывает по слипам. Это связано с дополнительными операциями банка по учету комиссионных выплат или расчету процентов. Поэтому компания предложила использовать Интернет с целью получения клиентами банков регулярной информации о состоянии карточного счета и управления своим счетом прямо из дома.

Система "Декарт" позволяет владельцу карточки на основании данных, полученных от банка в интерактивном режиме через Интернет, вести список операций по мультивалютным счетам; учитывать операции с пластиковыми картами; вести учет расходов и доходов по любым другим реальным банковским счетам или вне привязки к ним (например, наличные и накладные расходы, авансовые платежи и др.); вводить свою собственную классификацию операций, коммерческих проектов, а также финансовых контрагентов; планировать бюджет и вести учет долгов и ссуд; вести собственные пополняемые и настраиваемые справочники по счетам, картам, платежным схемам, категориям и назначениям операций, адресатам, валютам, и их курсам; рассчитывать оперативные показатели текущего состояния счетов (текущий баланс, расходы и доходы за последний месяц или год); получать отчеты (общий баланс, динамика и структура расходов и доходов за определенный период, выписка по счету).

Для организации взаимодействия "владелец карты — банк" необходимо иметь компьютер с доступом к Интернет, собственно программу "Декарт" и устройство шифрования (им может быть промежуточный Web-сервер, осуществляющий доступ к банковским ресурсам и передающий информацию клиентам).

Система "Декарт" обеспечивает построение замкнутой электронной платежной системы (рис. 1). Работа с ней происходит следующим образом. Покупая программу в банке, пользователь получает ее регистрационный номер, индивидуальный ключ шифрования, идентификатор и пароль для доступа к своему счету (который не совпадает с паролем, закрывающим доступ к локально хранимой информации программы "Декарт"). Банковский пароль пользователь также получает в банке и изменить его не может, а локальный он задает и меняет самостоятельно.

Начав работу, программа "Декарт" вызывает средства просмотра информации в Интернет и автоматически переходит на нужную пользователю страницу на Web-сервере банка. Затем на Web-странице банка (или в диалоговом окне программы "Декарт") пользователь вводит свой идентификатор, пароль и указывает тему запроса — выписка по счету/ текущее состояние счета/условия обслуживания по счету/курсы валют (рис. 2).

Зашифрованные с помощью индивидуального ключа пользователя идентификатор и пароль пользователя передаются на Web-сервер банка. Одновременно с ними сюда же поступает и регистрационный номер программы, что позволяет исключить утечку конфиденциальной информации о номере счета или карты клиента банка. По регистрационному номеру программы происходят начальная авторизация пользователя на Web-сервере банка и поиск ключа, соответствующего данному регистрационному номеру, осуществляются расшифровка идентификатора и пароля и проверка прав доступа к банковской информации по счетам и платежным картам клиента. В случае успешной авторизации Web-сервер формирует запрос к БД банковской системы и формирует файл с данными. Далее на Web-сервере генерируется временный ключ и с его помощью зашифровывается файл с данными, который передается клиенту вместе с зашифрованными ключом пользователя, регистрационным номером и упомянутым временным ключом.

Получив файл, клиентская программа "Декарт" с помощью ключа пользователя расшифровывает ту его часть, в которой содержатся регистрационный номер и временный ключ, и проверяет, совпадает ли расшифрованный регистрационный номер с номером программы. Потом с помощью временного ключа система расшифровывает собственно данные и автоматически вводит полученную информацию в свою базу данных. При этом индивидуальный ключ пользователя лучше хранить в зашифрованном виде в файле данных программы "Декарт" или на внешнем носителе (смарт-карте или любом другом носителе, удовлетворяющем требованиям безопасности данного банка).

Систему "Декарт" можно использовать с широким набором программных и аппаратных средств защиты информации третьих фирм. В настоящее время на ее основе разрабатывается система для осуществления платежей по пластиковым картам.

Поскольку система "Декарт" ориентирована на работу с банками-эмитентами, она не является полномасштабной платежной системой. В то же время для организации на ее основе такой платежной системы можно использовать компоненты, дополняющие "Декарт" и производимые партнерами "АйТи", например фирмой VeriFone. Благодаря открытой архитектуре и разработанному фирмой "АйТи" открытому API-интерфейсу, она совместима с различными системами шифрования, существующими в нашей стране и работающими как на канальном, так и на прикладном уровне. В настоящее время прорабатывается возможность использования системы шифрования "Верба".

***

Итак, российский рынок электронной коммерции уже существует и быстро растет. По нашему мнению, коммерческие продукты для Интернет будут развиваться в нашей стране своим, особым путем, хотя во многом они будут повторять наиболее передовые решения, реализуемые на Западе. Система "Декарт" компании "АйТи" — только "первая ласточка" электронной коммерции в России. Хочется верить, что уже в этом году у нас появится много новых продуктов и видов электронного сервиса, доступных пользователям Интернет.


распечатать статью




  
6 '1997
СОДЕРЖАНИЕ

колонка редактора

• Политэкономия модемных баталий

локальные сети

• Высокопроизводительные сетевые принтеры

• Разделение сетевых сервисов, или Еще раз о том, сколько нужно серверов

• UTP или STP?

• Переходим к Fast Ethernet

• Перспективы развития кабельных систем

корпоративные сети

• Серверы удаленного доступа для малого бизнеса

• Тестируем серверы удаленного доступа

услуги сетей связи

• Сегодня и завтра компьютерной телефонии

• По телефонной линии — со скоростью 56 Кбит/с

• ISDN: мечта или реальность?

• Звучит голос по Frame Relay

• Сети управления электросвязью

интернет и интрасети

• Всемирная Интер-активная Среда: как достичь критической массы?

• SCO Gemini: сверхновое созвездие

• Свежий Java: способы быстрого приготовления

• Глобальные сети для деловых коммуникаций

защита данных

• Воздвигая "огненные стены"

• Ведение личных финансов, покупки и управление банковским счетом через Интернет

новые продукты

• BayStack 350 Autosense Switch фирмы Bay Networks, Magellan Passport 30 фирмы Nortel, Новинки от SMC: скорость и гибкость

только на сервере

• PointCast — остров профессора Айболита

• Имя для домена верхнего уровня: право на выбор



 Copyright © 1997-2007 ООО "Сети и Системы Связи". Тел. (495) 234-53-21. Факс (495) 974-7110. вверх