Контрольная работа по «Электронная коммерция»

Относительная легкость создания Web-публикаций и доступа к ним способствовала развитию Intranet (Интранет) - частных сетей, основанных на Internet-технологиях. Intranet позволяет соединить офисы в одном здании или в разных частях земного шара, исключив доступ к данным посторонних лиц.

До появления технологии WWW доступ к данным по Internet был возможен лишь в текстовом режиме и требовал хорошего знания различных аспектов работы этой сети. Поэтому пользователями Internet в то время были в основном научные учреждения и профессиональные программисты, которым требовался быстрый доступ к различным специальным материалам в локальных архивах и обмен информацией с коллегами. Технология WWW значительно расширила возможности Internet, обеспечив максимально простой доступ к информации непрофессиональным пользователям. Теперь доступ в Internet открыт не только компаниям, работающим на рынке информационных услуг и компьютерной техники, но и не имеющим никакого отношения к компьютерным технологиям. Многие фирмы и даже частные лица используют преимущества мгновенного распро-странения информации по Internet.

Технология World Wide Web изначально основывалась на идее гипертекстовой связи узлов глобальной сети по всему миру. И в этом плане технологию WWW можно рассматривать как одну из форм реализации гипертекстовых технологий в специфичной среде, имеющей свои принципиальные особенности.

С момента появления технология WWW непрерывно совершенствовалась. И если на начальной стадии развития она предоставляла лишь текстовую информацию со встроенными в нее статическими графическими элементами, то на сегодняшний момент World Wide Web предоставляет пользователю возможность работать с любыми данными и даже специализированными программными модулями, встроенными в фрагменты гипертекстовой сети. В WWW существуют мощные поисковые средства, позволяющие среди бесчисленного многообразия информации найти необходимую. Однако, несмотря на эти механизмы и преимущества гипертекста, поиск требуемой информации в огромном море локальных архивов, Web-страниц и сайтов остается непростым делом. Для этого в состав Internet включены специальные поисковые, справочные серверы и другие сервисные средства, облегчающие процесс поиска необходимой информации.

В настоящее время широкое распространение получили Web-публикации в виде гипертекстовых Web-документов. Web-публикации работают по технологии клиент - сервер. Web-сервер - это программа, запущенная на компьютере, предназначенном для предоставления документов другим компьютерам, которые посылают соответствующие запросы. Web-клиент - программа, которая позволяет пользователю запрашивать документы с сервера. Сервер задействован только тогда, когда запрашивается документ.

Такая технология является эффективной, поскольку требует незначительных ресурсов сервера. Например, Web-сервер на Windows NT может предоставлять Web-документы приблизительно двумстам одновременно подключенным к нему пользователям. Для установления соединения с Web-сервером используется адрес компьютера, который называется универсальным указателем ресурса - URL (Uniform Resource Locator). Сервер в ответ на запрос посылает компьютеру клиента текст или другую информацию в виде фрагмента (звук, полутоновые или цветные изображения, анимация или цифровое видео), на который в документе установлены гиперссылки. Сервер передает информацию в формате HTML (HyperText Markup Language - язык разметки гипертекста).

Документы на языке HTML, также называемые Web-документами, предоставляют пользователю возможность, указав на ключевое слово или фразу, получить доступ к соответствующему файлу (фрагменту) или перейти в другой HTML-документ, который связан с указанным ключевым элементом текста гиперссылкой. Такие гипертекстовые связи между файлами и документами физически расположены на серверах по всему миру. Это является главным отличием Web-документов от обычных гипертекстовых документов. Таким образом, в роли среды для гипертекстовых Web-документов выступают сеть Internet и ее подсети (набор документов, которые тематически и логически связаны между собой).

Язык, на котором общаются между собой клиенты и серверы Web, называется HTTP (HyperText Transmission Protocol - протокол передачи гипертекста). Все Web-программы должны поддерживать HTTP для передачи и приема гипертекстовых и гиперграфических Web-документов и гипермедиа.

Возможно взаимодействие пользователя с сервером WWW в интерактивном режиме. При этом пользователь может заполнить какую-либо форму, содержащую поля для ввода цифровой или символьной информации, и передать ее серверу, нажав на соответствующую кнопку в форме. Сервер, получив данные из полей формы, запустит созданную специально для этой формы программу, которая обработает полученные данные, динамически сформирует документ HTML и возвратит его пользователю.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 2. Какой протокол более пригоден для защиты коммерческих данных?

Протокол SET (Secure Electronic Transaction) был разработан консорциумом во главе с Visa  и Master Card. Официальной датой рождения стандарта SET является 1 февраля 1996 г. В этот день Visa International и MasterCard International совместно с рядом технологических компаний (включая IBM, GlobeSet) объявили о разработке единого открытого стандарта защищенных Интернет-расчетов. SET представляет собой набор протоколов, предназначенных для использования другими приложениями (такими, как Web-браузер). Он был рекомендован как стандарт обработки транзакций, связанный с расчетами за покупки по кредитным картам в Интернет.

В декабре 1997 г. была создана некоммерческая организация SETCo LLC, призванная координировать работы по развитию стандарта и осуществлять тестирование и сертификацию предлагаемого на рынке программного обеспечения с целью контроля над соответствием этого программного обеспечения спецификациям SET.

В основе системы безопасности, используемой SET, лежат стандартные криптографические алгоритмы DES (Data Encryption Standard — стандарт шифрования данных) и RSA (Rivest-Shamir-Adleman — алгоритм цифровой подписи Райвеста-Шамира-Адлемана). Инфраструктура SET построена в соответствии с инфраструктурой открытого ключа (Public Key Infrastructure, PKI) на базе сертификатов, соответствующих ISO-стандарту X.509.

 Протокол SET не привязан  ни к  HTTP, ни к Web-коммерции. Его можно использовать с самыми различными протоколами. SET шифрует сами сообщения, а не канал связи, как, например SSL.

Оригинальный протокол SET подразумевает следующую схему взаимодействия между участниками процесса платежа в Интернете.

Владелец карточки и магазин устанавливают у себя программное обеспечение - Cardholder Wallet и Merchant Server соответственно. Эквайер должен установить себе Payment Gateway.

Всем участникам необходимо получить Certificate Authority так называемые сертификаты, которые используются для формирования цифровых подписей и шифрования данных. Для этого участники запрашивают и получают сертификаты от сертифицирующих организаций (SETCo). SET-сертификат Интернет-Магазина содержит идентификационные параметры торговой точки. SET-сертификат Покупателя – это электронный документ, который содержит зашифрованные параметры платежной карты (её номер, имя владельца и т. д.).

Чтобы однозначно идентифицировать друг друга, все участники системы должны обменяться цифровыми SET-сертификатами. Интернет-Магазин предъявляет свой сертификат в качестве удостоверения. Покупатель в свою очередь также предъявляет SET-сертификат. Эта процедура заменяет ввод данных о кредитной карте и, следовательно, обеспечивает защиту информации о карте от злоумышленников. При этом очень важно, что номер карточки остается скрытым от магазина. Тем самым ставится заслон на пути хакеров и недобросовестных администраторов Интернет-магазинов, ворующих номера карточек.

Преимущества использования SET:

• продавцы защищены от покупок с помощью неавторизованной платежной карточки и от отказа от покупки; продавцы видят только информацию о приобретаемых предметах, но не данные о счете клиента;
• банки защищены от неавторизованных покупок; банки видят только информацию о лицевом счете клиента, но не информацию о покупаемых товарах;
• клиенты не пострадают от перехвата номера кредитки и от покупки у несуществующих продавцов.

Недостатки использования SET:

• дороговизна решения и высокие эксплуатационные расходы;
• внедрение защиты с помощью протокола SET весьма сложное дело, влекущее за собой существенные изменения в уже работающем программном обеспечении магазинов и эквайеров;
• очень существенный минус в том, что владельцу карточки требуется установить на свой компьютер довольно сложный в настройке Cardholder Wallet.

Полноценное использование SET-технологий, предполагает наличие SET-сертификатов у всех участников сделки. Но существует также упрощённый вариант – технология  MIA SET, которая также признана международными платёжными систeмами. 

MIA SET предполагает, что владельцу  карточки и магазину не нужно  устанавливать у себя сложного программного обеспечения. Фактически, Cardholder Wallet перекочевывает на сервер эмитента, а Merchant Server - на сервер эквайера. Эмитент и эквайер обмениваются между собой по SET от имени владельца карточки и магазина. Эмитент при этом может на свое усмотрение использовать любые средства идентификации владельца карточки (пароль, смарт-карта и т.д.). Это же правило распространяется и на эквайера при идентификации магазина. Благодаря этому MIA SET более прост во внедрении и эксплуатации чем традиционный SET.

Важно отметить, что Visa объявила о том, что некогда популярный протокол SET уже не отвечает современным требованиям безопасности и должен быть замещен более совершенными системами, такими как —  Verified by Visa, работающий на основе протокола 3D Secure и Secure Payment Application (SPA) от MasterCard.

 

 

SET обеспечивает следующие  специальные требования защиты  операций электронной коммерции:

• секретность данных оплаты и конфиденциальность информации заказа, переданной вместе с данными об оплате;
• сохранение целостности данных платежей; целостность обеспечивается при помощи цифровой подписи;
• специальную криптографию с открытым ключом для проведения аутентификации;
• аутентификацию держателя по кредитной карточке, которая обеспечивается применением цифровой подписи и сертификатов держателя карточек;
• аутентификацию продавца и его возможности принимать платежи по пластиковым карточкам с применением цифровой подписи и сертификатов продавца;
• подтверждение того, что банк продавца является действующей организацией, которая может принимать платежи по пластиковым карточкам через связь с процессинговой системой; это подтверждение обеспечивается с помощью цифровой подписи и сертификатов банка продавца;
• готовность оплаты транзакций в результате аутентификации сертификата с открытым ключом для всех сторон;
• безопасность передачи данных посредством преимущественного использования криптографии.

Основное преимущество SET перед многими существующими системами обеспечения информационной безопасности заключается в использовании цифровых сертификатов (стандарт X.509, версия 3), которые ассоциируют держателя карточки, продавца и банк продавца с рядом банковских учреждений платежных систем VISA и MasterCard.

SET позволяет сохранить  существующие отношения между  банком, держателями карточек и  продавцами, и интегрируется с  существующими системами, опираясь  на следующие качества:

• открытый, полностью документированный стандарт для финансовой индустрии;
• основан на международных стандартах платежных систем;
• опирается на существующие в финансовой отрасли технологии и правовые механизмы.

Кстати, совместный проект, реализованный компаниями IBM, Chase Manhattan Bank USA N.A., First Data Corporation, GlobeSet, MasterCard и Wal-Mart позволяет владельцам карточек Wal-Mart MasterCard, выпущенных банком Chase, приобретать товары на сайте Wal-Mart Online, который является одним из крупнейших узлов электронной коммерции США.

Рассмотрим более детально процесс взаимодействия участников платежной операции в соответствии со спецификацией SET, представленный на рисунке с сайта компании IBM:

На рисунке:

• Держатель карточки - покупатель делающий заказ.
• Банк покупателя - финансовая структура, которая выпустила кредитную карточку для покупателя.
• Продавец - электронный магазин, предлагающий товары и услуги.
• Банк продавца - финансовая структура, занимающаяся обслуживанием операций продавца.
• Платежный шлюз - система, контролируемая обычно банком продавца, которая обрабатывает запросы от продавца и взаимодействует с банком покупателя.
• Сертифицирующая организация - доверительная структура, выдающая и проверяющая сертификаты.

Взаимоотношения участников операции показаны на рисунке непрерывными линиями (взаимодействия описанные стандартом или протоколом SET) и пунктирными линиями (некоторые возможные операции).

Динамика взаимоотношений и информационных потоков в соответствии со спецификацией стандарта SET включает следующие действия :

1. Участники запрашивают и получают сертификаты от сертифицирующей организации.
2. Владелец пластиковой карточки просматривает электронный каталог, выбирает товары и посылает заказ продавцу.
3. Продавец предъявляет свой сертификат владельцу карточки в качестве удостоверения.
4. Владелец карточки предъявляет свой сертификат продавцу.
5. Продавец запрашивает у платежного шлюза выполнение операции проверки. Шлюз сверяет предоставленную информацию с информацией банка, выпустившего электронную карточку.
6. После проверки платежный шлюз возвращает результаты продавцу.
7. Некоторое время спустя, продавец требует у платежного шлюза выполнить одну или более финансовых операций. Шлюз посылает запрос на перевод определенной суммы из банка покупателя в банк продавца.