Распределение ключей и паролей по картам банка, торговца и клиента





Карта банка Карта торговца Карта клиента Наименование
P0 P0 P0 Мастер-ключ
P1-PIN B P1-PIN M P1-PIN 1 Пароли P1
P2-RFU P2-RFU P2-PIN 2 Пароли P2
P3 P3 P3 Пароль P3
P4 P4 P4 Пароль P4
P5 P5 P5 Пароль P5
P6 P6 P6 Пароль P6
P7 P7 P7 Системообразующий ключ P7
KI1, KI2 KI1, KI2 Ключи клиентских карточек
KA1, KA2 Ключи торговых карточек
SK SK SK Сессионный (сеансовый) ключ обмена

 

Дадим пояснения к табл. 9.1.

Мастер-ключ P0 обеспечивает генеральный доступ к карте. Назначается и известен только центру эмиссии.

Группа паролей P1:

PIN B – пароль операциониста банка.

PIN M – пароль кассира магазина.

PIN 1 – пароль на зачисление средств на карту. Назначается и известен только владельцу карты. Изменяется владельцем в off-line терминале.

Группа паролей P2:

RFU – резервный пароль.

PIN 2 – пароль на списание средств с карты. Назначается и известен только владельцу карты. Изменяется владельцем в off-line терминале. (Пароли PIN 1 и PIN 2 могут быть одинаковыми по желанию владельца карты.)

Группы паролей P3 и P4 являются резервными.

Пароль P5 участвует совместно с P7 в образовании сессионных (сеансовых) ключей. Общий для всех банков-участников единой расчетной системы. Назначается центром эмиссии.

Пароль P6 предоставляет доступ на запись ключей KIх, KAx. Назначается банком-участником.

P6–RFU – резервный пароль.

Системообразующий ключ P7 участвует в образовании сессионных ключей. Является общим для всех банков-участников единой платежной системы. Назначается центром эмиссии.

Ключи клиентских карточек KI1, KI2 предъявляются при зачислении средств на карту. Участвуют в шифровании записи о транзакции. Назначаются банком-участником.

Ключи торговых карточек KA1, KA2 предъявляются при инкассации карты торговца. Участвуют в шифровании записи о транзакции. Назначаются банком-эмитентом.

Сессионный (сеансовый) ключ обмена SK формируется в памяти карт в результате диалога карты с картой и служит для шифрования всех информационных потоков между картами на протяжении сеанса связи. Уникален для каждого сеанса связи карта-карта.

Цикл платежной транзакции.В цикле платежной транзакции участвуют три стороны:

· финансовый институт (банк-участник);

· владелец карты;

· предприятие торговли или сферы услуг, банкомат.

Жизненный цикл платежной транзакции можно разбить на три этапа.

На первом этапе владелец карты имеет возможность получить по своей карте электронную наличность в размере, не превышающем остаток на его лицевом счете (или банк может кредитовать клиента). Эта операция может выполняться как оператором банка, так и в режиме самообслуживания. Она производится на банковском терминале самообслуживания или на рабочем месте оператора банка в режиме on-line с автоматизированной системой банка, так как нужен доступ к информации о состоянии карт-счета клиента, на основании которой и осуществляется финансовая операция. Поэтому подобные операции могут совершаться в любом месте, где есть оn-line связь с базой данных карточных счетов клиентов банка.

Для выполнения этой операции клиент обязан предъявить пароль PIN1 на пополнение средств карты со своего счета в банке.

Далее клиент может совершать платежные операции на суммы, не превышающие остатка электронных средств на его карте, в любом месте, где установлено оборудование по обслуживанию микропроцессорных карт стандарта UEPS: off-line торговый терминал, банкомат и т.д. Следует заметить, что реальные деньги, полученные клиентом на карту, находятся на протяжении всего цикла платежной транзакции в банке на отдельном счете.

На втором этапе клиент осуществляет платежную операцию в торговой точке. Эта операция проходит в режиме off-line без запроса на авторизацию владельца карты, так как вся необходимая информация, включая и секретную часть, находится на карте клиента, а карта представляет собой электронный кошелек.

Технически эта операция выполняется следующим образом. В торговом терминале установлена микропроцессорная карта торговца, и клиент, вставив свою карту в считывающее устройство торгового терминала, производит списание суммы покупки со своей карты на карту торговца, при этом баланс карты клиента уменьшается на сумму транзакции, а баланс карты торговца возрастает на аналогичную сумму. Кроме того, на карту торговца и на карту покупателя заносится полная информация о совершенной транзакции: дата/время, сумма транзакции, идентификатор покупателя и магазина с информацией о банке и номере счета владельца.

Для совершения транзакции покупатель должен ввести свой пароль PIN 2 на расходование средств со своей карты. Клиент и торговец получают дополнительно твердые копии информации о совершенной транзакции (чек покупателя и журнальная лента магазина). Все транзакции также дублируются в памяти торгового терминала в зашифрованном виде. На бумажном чеке отображается название магазина, дата/время совершения операции, номер карты клиента, сумма операции, а также кодированная строка с информацией о совершенной транзакции (для обеспечения возможности восстановления информации о совершенной транзакции).

На третьем этапе торговец, собрав в течение дня на карту торговца список всех проведенных за торговую сессию транзакций с подробным описанием каждой, передает (инкассирует) данную информацию с карты торговца в систему расчетов банка. Эта операция может осуществляться автоматически, по модемной телефонной связи, или физически, по предъявлении карты торговца в любом ближайшем отделении банка или пункте инкассации, но в любом случае зашифрованный список транзакций передается именно с карты торговца, а не из памяти торгового терминала. После завершения сеанса "инкассации" карта торговца очищается для работы в следующем сеансе, и на нее переносятся изменения списка "горячих карт" (hot-list), который карта торговца сообщает торговому терминалу в начале следующего рабочего дня (новой торговой сессии).

На следующем этапе банк, получив информацию о произведенных транзакциях, перечисляет сумму по всем совершенным транзакциям данного магазина на счет торговой организации.

Торговые терминалы.Торговые учреждения и банковские пункты выдачи наличности оснащаются терминалами типа EFT-10 с программным обеспечением UEPS. Терминал имеет два считывателя для микропроцессорных карт. В один считыватель в начале рабочего дня устанавливается карта торговца, в другой – карта покупателя при оплате покупки. В базовой поставке терминал EFT-10 имеет также считыватель для карт с магнитной полосой и встроенный модем, что позволяет организовать на одном устройстве обслуживание и пластиковых карт с магнитной поло-сой [29].

Торговый терминал, постоянно находящийся вне банковского контроля, является с точки зрения безопасности одним из самых уязвимых элементов платежной системы. Он может подвергаться попыткам взлома (несанкционированного доступа) со стороны криминальных структур. Поэтому недопустимо доверять торговому терминалу секретную, критичную с точки зрения функционирования платежной системы информацию, т.е. банковские ключи и пароли, алгоритмы шифрования, списки финансовых транзакций и т.д.

В платежной системе UEPS торговый терминал не хранит никакой секретной информации, а играет только роль элемента, обеспечивающего интерфейсное взаимодействие двух защищенных интеллектуальных устройств: карточки клиента и карточки торговца. Все платежные операции совершаются только в диалоге двух карт. При этом вне карт вся информация всегда зашифрована на базе сессионных ключей.

Формирование сессионных ключей.Диалог между картами клиента и торговца в торговом терминале осуществляется на базе сессионных ключей.

Карта клиента, используя внутренний датчик случайных чисел, вырабатывает случайное число в начале каждого нового сеанса взаимодействия с картой торговца, шифрует это число на системных ключах P7, P5 и сообщает карте торговца.

Карта торговца, располагая теми же самыми системными ключами P7, P5, расшифровывает принятую информацию и получает то же самое число в расшифрованном виде. Используя данное число в комбинации с другими ключами и общими для обеих карт данными, карты клиента и торговца одновременно вырабатывают сессионный ключ, который идентичен для обеих карт и уникален для каждого сеанса связи карточек клиента и торговца.

Сессионный ключ находится только в памяти обеих карт и никогда их не покидает. На базе этого сессионного ключа зашифровываются все информационные потоки между картами, что делает бесполезными попытки перехвата сообщений в торговом терминале.

Эмиссия карточек.Все банки-участники единой платежной системы по картам стандарта UEPS получают карты, оснащенные индивидуальным логотипом заказчика (банка-эмитента) и стандартизованным программным обеспечением.

Процедура эмиссии карт состоит их трех этапов:

· назначение центром эмиссии системных ключей;

· назначение банком-участником банковских ключей и паролей;

· персонализация карты клиента банком-участником.

Из них первые два этапа являются секретными и выполняются с соблюдением соответствующих мер безопасности в специально оборудованных помещениях. Третий этап, связанный с непосредственной персонализацией карты, является несекретным и выполняется рядовым оператором банка в операционном зале в присутствии клиента.

Система эмиссии карт, распределения и назначения ключей организована таким образом, чтобы сохранить за каждым банком уникальные права и ответственность за владение секретной информацией о своих банковских финансовых ключах.

Процесс эмиссии карт реализуется следующим образом. Центр эмиссии получает тираж карточек трех видов – банковские, торговые и клиентские. Все карточки изначально отформатированы и загружены соответствующим программным обеспечением UEPS. Доступ ко всем картам закрыт транспортным ключом P0-транспортный (уникальный для каждого тиража), который сообщается поставщиком уполномоченному сотруднику банка.

Первый этап эмиссии (секретная фаза) выполняется в центре эмиссии при получении каждого нового тиража карточек с обеспечением специальных мер безопасности администратором системы безопасности. Предъявляя карточкам P0-транспортный, центр эмиссии записывает на все карточки свой секретный мастер-ключ P0, системные ключи P7, P5 и устанавливает для каждой карты уникальный порядковый номер USN в системе банка.

Второй этап эмиссии (секретная фаза) выполняется в банке-участнике при получении каждого нового тиража карточек с обеспечением специальных мер безопасности администратором системы безопасности. Для банковской и торговой карт устанавливаются соответствующие значения паролей P1 и P6. Презентуя пароли P6 на карты банка и торговца, устанавливаются пароли KI1 и KI2 для банковских карт и KA1 и KA2 – для торговых. Банк заносит на карты также дополнительную информацию (коды валют, информация о магазине и т.д.).

Третий этап эмиссии – персонализация карты является несекретной операцией, выполняемой в присутствии клиента оператором банка, и не требует дополнительных мер безопасности.

Процесс персонализации карты клиента возможен только в диалоге с картой оператора банка. Оператор, презентуя банковской карте свой пароль PIN B, заносит на карту клиента информацию о владельце (Ф.И.О., банковские реквизиты, срок действия карты и др.). Банковская карта переносит в зашифрованном виде на карту клиента банковские ключи KI1 и KI2 и записывает на карту клиента номер карты оператора, которая участвовала в персонализации. Банковские ключи KI1 и KI2, переносимые на карту клиента с банковской карты, зашифрованы на базе сессионных ключей.

Клиент заносит на карту пароли PIN 1 и PIN 2 со своей отдельной клавиатуры.

Карта оператора банка контролирует доступ оператора в систему, проверяя его личный пароль PIN B. Кроме того, независимо от желания оператора при каждой процедуре персонализации новой карты в память микропроцессора этой карты всегда заносится номер банковской карты оператора, выдавшего карту клиенту. Поэтому всегда можно установить, какой оператор и когда выдавал эту карту.

Следует отметить, что оператор банка не получает информацию о клиентских паролях PIN 1 и PIN 2 на зачисление и списание. Эти клиентские пароли не хранятся в системе, они назначаются клиентом, известны только карте и ее владельцу и могут быть изменены клиентом самостоятельно в любой торговой точке в режиме off-line.

Таким образом, без санкции владельца карты, выраженной в сообщении этой карте правильного пароля, никто другой, в том числе и оператор банка, не может провести финансовые операции с картой клиента.

Разграничение ответственности между банками-участниками общей платежной системы. В системе UEPS только банк-участник имеет право и техническую возможность доступа к информации на эмитируемых банком картах. Даже производители и поставщики, обладая всеми техническими средствами, знаниями форматов данных и сообщений в системе, исходных текстов программ, местонахождения и назначения всех ключей и паролей, не в состоянии получить доступ к секретной финансовой информации на карточках без знания банковских ключей и па-ролей [3].

В системе UEPS предусмотрено четкое разделение ключей и разграничение ответственности между банками-участниками единой платежной системы. Каждый банк-участник платежной системы имеет собственные банковские ключи и пароли, участвующие в шифровании финансовой информации и известные только ему. Эти ключи и пароли уникальны для каждого банка. Таким образом, обеспечение мер безопасности сводится к обеспечению надежного хранения ключей каждым банком-участником системы.

Утрата ключей каким-либо банком-участником может привести к возможности несанкционированного доступа только к финансовой информации, касающейся этого банка, и не создаст угрозы финансовых потерь для остальных банков-эмитентов, участников единой платежной системы.

Только одна пара ключей является общей для всех банков-участников единой платежной системы – это системные ключи P7, P5, которые определяют принадлежность конкретной карты к данной платежной системе. Эти системные ключи участвуют лишь в выработке сессионного ключа в картах при операциях в торговой точке и не отвечают за шифрование какой-либо другой информации на карточках клиента или торговца.

Двойное шифрование записи о транзакции на ключах банка-эквайера и банка-эмитента. Запись о каждой платежной транзакции заносится на карту торговца и имеет сложную структуру. Часть информации остается незашифрованной (дата транзакции, банковские реквизиты покупателя), часть информации шифруется на ключах банка-эквайера KA1 и KA2 (сумма, номер USN карты покупателя, номер транзакции на карте торговца и др.), а часть информации – на ключах банка-эмитента KI1 и KI2 (сумма, USN, PAN, номер транзакции в списке на карте клиента и др.).

Торговец в конце торговой сессии инкассирует список платежных транзакций в свой банк-эквайер. Этот банк-эквайер, предъявляя свои ключи KA1 и KA2, расшифровывает свою часть платежной транзакции и определяет, клиент какого банка, когда и на какую сумму совершил покупку в его магазине. Получив из записи о транзакции информацию о банковских реквизитах покупателя, банк-эквайер формирует электронное платежное уведомление для банка-эмитента, частью которого является зашифрованный сертификат банка-эмитента.

Банк-эмитент, получив платежное уведомление, расшифровывает вторую часть транзакции, предъявляя свои банковские ключи KI1 и KI2. Если расшифрованная информация полностью соответствует содержащейся в платежном уведомлении (в первую очередь сумма транзакции и реквизиты владельца карточки, совершившего покупку), то это платежное уведомление признается подлинным и оплачивается, в противном случае оно отвергается. Таким образом исключается возможность фальсификации платежных уведомлений в межбанковских расчетах.

При учреждении банками общего процессингового центра банки могут сохранить право контроля над межбанковскими взаиморасчетными операциями. При этом каждый банк оставляет за собой исключительное право владения, назначения и ротации банковских ключей KI1, KI2, KA1, KA2.

Контроль прохождения транзакций в платежной системе. Для обеспечения контроля безопасности и решения спорных ситуаций в платежной системе необходима эффективная схема организации сквозной уникальной нумерации и учета платежных транзакций. В системе каждая платежная транзакция идентифицируется композицией следующих элементов:

· уникальный серийный номер карты клиента в системе;

· порядковый номер транзакции по списку транзакций на карте клиента;

· уникальный серийный номер карты магазина в системе;

· порядковый номер транзакции по списку транзакций на карте магазина;

· порядковый номер инкассации карты магазина.

Реализованная схема позволяет однозначно проследить прохождение транзакции по всем элементам системы:

Банк – Клиент – Магазин – Банк.

 

9.7. Обеспечение безопасности электронных платежей через сеть Internet

Еще несколько лет назад сеть Internet использовалась в основном только для обмена почтовыми сообщениями и пересылки файлов. Однако в последние годы современные информационные технологии превратили Internet в развитую инфраструктуру, которая охватывает все основные информационные центры, мировые библиотеки, базы данных научной и правовой информации, многие государственные и коммерческие организации, биржи и банки. Любая организация может распространять информацию по всему миру, создав информационный абонентский пункт в WWW Internet.

Все большее значение приобретает электронная торговля. Число покупок по банковским картам будет расти по мере создания систем заказов в оперативном режиме Internet. Сегодня Internet может рассматриваться как огромный рынок, способный охватить практически все население планеты Земля. Пользование открытой компьютерной сетью Internet меняет способ доступа к информации о приобретении, предложении и оплате услуг, покупке товаров и расчетах. Места совершения сделок постепенно перемещаются от традиционных рынков к более комфортным для потребителя – в дом или офис. Именно поэтому производители программных и аппаратных средств, торговые и финансовые организации активно развивают различные виды и методы ведения коммерческой деятельности в Internet – электронной торговли, проявляя надлежащую заботу об обеспечении ее безопаснос-ти [1, 95].

 





Читайте также:
Понятие о дефектах. Виды дефектов и их характеристика: В процессе эксплуатации автомобилей происходит...
Эталон единицы силы электрического тока: Эталон – это средство измерения, обеспечивающее воспроизведение и хранение...
Что такое филология и зачем ею занимаются?: Слово «филология» состоит из двух греческих корней...
Социальные науки, их классификация: Общество настолько сложный объект, что...

Рекомендуемые страницы:



Вам нужно быстро и легко написать вашу работу? Тогда вам сюда...

Поиск по сайту

©2015-2021 poisk-ru.ru
Все права принадлежать их авторам. Данный сайт не претендует на авторства, а предоставляет бесплатное использование.
Дата создания страницы: 2016-02-16 Нарушение авторских прав и Нарушение персональных данных


Поиск по сайту:

Мы поможем в написании ваших работ! Мы поможем в написании ваших работ! Мы поможем в написании ваших работ!
Обратная связь
0.022 с.