- •Алексеев в.И. Интернет-ресурсы для бизнеса
- •Санкт-Петербург - 2012
- •Глава 1 Электронная коммерция. Интернет-коммерция
- •1.1 Понятие электронной коммерции и ее категории
- •1.2 Мобильная коммерция
- •1.3 Классификация интернет-ресурсов электронной коммерции
- •1.3.1 Web присутствие
- •1.3.2 Информационный web
- •1.3.3 Web для продвижения товаров и услуг
- •1.3.4 Web с обратной связью
- •1.3.4 Электронный магазин
- •1.3.5 Web сервисного и гарантийного обслуживания клиентов
- •1.3.6 Web внутрифирменного обучения сотрудников
- •1.3.7 Web виртуального сообщества фирмы
- •1.3.8 Web для совместного проектирования
- •Глава 2 Сервисы Интернета для обеспечения коммерции
- •2.1 Технология «клиент – сервер»
- •2.2 Провайдеры интернет-услуг
- •2.3 Безопасность трансакций
- •2.3.1 Шифрование
- •2.3.2 Технология цифровой подписи
- •2.3.3 Слепая электронная подпись
- •2.3.4 Сертификаты
- •2.4 Протоколы и стандарты безопасности виртуальных платежей
- •2.4.1 Протокол ssl
- •Глава 3 Электронные платежи
- •3.1. Организация расчетов через Internet.
- •3.1.1 Кредитные системы
- •3.1.2 Дебетовые системы
- •3.1.3 Цифровые наличные
- •3.2 Денежно-финансовое обеспечение
- •3.2.1 Интернет-банкинг
- •Internet-банкинг на примере Балтийского Банка
- •3.2.2 Платежные системы
- •3.2.3 Пластиковая карта
- •3.2.4 Электронные чеки
- •Арбитраж
- •Центр аттестации
- •3.2.5 Цифровые деньги
- •3.2.6 Цифровой кошелек
- •Контрольные вопросы
- •Глава 4 Платежные системы в Internet
- •4.1 Технологии расчетов через Internet
- •4.2 Российские платежные системы
- •4.2.1 Система платежей CyberPlat
- •4.3 Ваш личный счет в Internet. Как это работает
- •Глава 5 Электронная торговля
- •5.1 Виды электронных магазинов.
- •5.1.1 Полнофункциональный Интернет-магазин
- •5.1.2 Интернет-витрина
- •5.1.3 Торговый автомат
- •5.1.4 Автоматизированный электронный магазин
- •5.2 Особенности виртуальных продаж
- •5.3 Юридическое, консультационное и образовательное обеспечение e-commerce
- •Глоссарий по электронным платежам в Интернет
- •Глава Аналитические исследования и эффективность интернет-проектов туристского бизнеса Аналитические исследования в интернете
- •Эффективность Интернет-проектов e-commerce
- •Методы оценки эффективности информационных систем
- •Эффективность on-line продаж
- •Глава Интернет-обеспечение туристского бизнеса
- •Реклама с использованием электронной почты
- •Разрешенные способы e-mail маркетинга
- •3.3 Страховое, денежно-финансовое, юридическое, консультационное и образовательное обеспечение туристского бизнеса
- •3.3.1. Аутсорсинг и аренда серверных приложений
- •3.3.2. Страховое интернет-обеспечение
- •Список литературы
2.3.3 Слепая электронная подпись
Некоторым недостатком схемы электронной подписи является то, что Банк, при подписи, имеет доступ к тексту файла. То есть он может проследить, какой файл им подписывается и к кому попадает данная электронная купюра. Чтобы обойти, это придуман механизм слепой электронной подписи. У этого метода есть простой бумажный аналог.
Пусть Некто, желая анонимно получить чек на 5 долларов, выписывает его, кладет в конверт и вместе с 5 долларами приносит в Банк. У конверта есть одна хитрость - внутренняя сторона его сделана из копирки. Банк, получив 5 долларов, берет печать с надписью "банк гарантирует этот чек к оплате в размере 5 долларов" и со всей силы бьет по конверту. При этом печать через копирку оттискивается на чеке, его удостоверяя, но банк не видит чека и не может проследить его путь. Далее клиент разрывает конверт и достает анонимный чек, заверенный Банком.
В компьютерном методе слепой подписи роль конверта, в котором спрятан чек, играет некое математическое преобразование
Подписываемый файл представляет собой набор цифр-байтов, назовем его A. Слепая подпись превращает каждый байт (точнее, некоторые последовательности байтов) в другой, зашифрованный на закрытом. Если для подписи-шифрования используется алгоритм RSA, то это преобрадование происходит по правилам, описанным на www.rsa.com:
RSA(А) -> A'
Математики показали, что если байт, перед шифрованием по RSA, умножить на некое число N, то результат шифрования будет отличаться от исходного:
RSA(NА) -> A" не равное A'
Но, если этот результат поделить на число N, то мы получим тот же результат, что и в начале
A"/N -> A'
Или
RSA(NA)/N = RSA(A)
Иными словами, операция шифрования и умножения происходят независимо друг от друга.
Такое свойство позволяет устроить слепую подпись так. Клиент изготавливает у себя на компьютере банкноту в пять долларов по установленному образцу с уникальным номером и умножает все байты в файле на одному лишь ему известное число. Тем самым он прячет их в конверт. Затем он дает команду Банку списать с его счета пять долларов и подписать присланный файл. Банк подписывает его слепой подписью для пятидолларовых купюр и отсылает обратно. Отметим, что Банк не знает секретного числа и не видит, какой изначальный файл он подписывает. Далее получатель делит все числа в полученном файле на N (распечатывает конверт), получая в результате анонимную электронную банкноту в 5 долларов, подписанную Банком.
Более точное описание учитывает, что данные методы оперируют не с байтами, а с их последовательностями. Более подробную информацию можно найти, например, на http://ganges.cs.tcd.ie/mepeirce/Project/double.html
2.3.4 Сертификаты
Как было сказано выше, основной проблемой криптографических систем является распространение ключей. В случае симметричных методов шифрования эта проблема стоит наиболее остро, поэтому при шифровании данных для передачи ключей через Интернет чаще всего используются асимметричные методы шифрования.
Асимметричные методы более приспособлены для открытой архитектуры Интернета, однако и здесь использование открытых ключей требует их дополнительной защиты и идентификации для определения связи с секретным ключом. Без такой дополнительной защиты злоумышленник может выдать себя за отправителя подписанных данных или за получателя зашифрованных данных, заменив значение открытого ключа или нарушив его идентификацию. В этом случае каждый может выдать себя за другое лицо. Все это приводит к необходимости верификации открытого ключа. Для этих целей используются электронные сертификаты.
Электронный сертификат представляет собой цифровой документ, который связывает открытый ключ с определенным пользователем или приложением. Для заверения электронного сертификата используется электронная цифровая подпись доверенного центра – Центра сертификации (ЦС). Исходя из функций, которые выполняет ЦС, он является основным компонентом всей инфраструктуры открытых ключей (ИОК, или PKI – Public Key Infrastructure). Используя открытый ключ ЦС, каждый пользователь может проверить достоверность электронного сертификата, выпущенного ЦС, и воспользоваться его содержимым. Для того чтобы сертификатам можно было доверять, независимая организация, выполняющая функции ЦС и являющаяся источником сертификатов, должна быть достаточно авторитетной. В настоящее время наиболее известным источником сертификатов являются компании Thawte (www.thawte.com) и VeriSign (www.verisign.com), однако существуют и другие системы сертификации, такие, как World Registry (IBM),
Cyber Trust (GTE) и Entrust (Nortel). В России дистрибьютором SSL-сертификатов компании Thawte сегодня является РосБизнесКонсалтинг (www.rbc.ru).
Технология цифровых сертификатов работает следующим образом. Чтобы воспользоваться сертификатом, потенциальный покупатель должен, прежде всего, получить его у надежного источника сертификатов. Для этого ему необходимо каким-либо образом доказать подлинность своей личности, возможно, явившись в эту организацию и предъявив соответствующий документ, а также передать источнику сертификатов копию своего открытого ключа. Когда после этого он захочет что-либо купить через Интернет, ему будет достаточно добавить к заказу свою электронную подпись и копию сертификата. Отдел обслуживания покупателей фирмы, в которой он совершил покупку, проверяет сертификат, чтобы убедиться, что к заказу приложен подлинный открытый ключ, а также выясняет, не аннулирован ли сертификат.
Следует отметить, что технология цифровых сертификатов является двунаправленной. Это значит, что не только фирма может проверить подлинность заказа покупателя, но и сам покупатель имеет возможность убедиться, что он имеет дело именно с той фирмой, за которую она себя выдает. Осуществив взаимную проверку, обе стороны спокойно заключают сделку, так как обладают подлинными открытыми ключами друг друга и, соответственно, могут шифровать передаваемые данные и снабжать их цифровой подписью. Такой механизм обеспечивает надежность сделки, ибо в этом случае ни одна из сторон не сможет отказаться от своих обязательств.