Computer Crime Research Center

Виктор Вайнштейн,
департамент смарт-карт технологий компании АйТи

Internet и российский рынок электронной коммерции

Введение

Еще несколько лет назад сеть Internet использовалась в основном только для обмена почтовыми сообщениям и пересылки файлов. Однако в последнее время современные технологии превратили Internet в развитую инфраструктуру, которая охватывает все основные информационные центры, мировые библиотеки, базы данных научной и правовой информации, многие государственные и коммерческие организации, биржи и банки. Сегодня Internet может рассматриваться как огромный рынок, способный охватить в потенциале практически все население Земли. Именно поэтому производители программных и аппаратных решений, торговые и финансовые организации активно развивают различные виды и методы ведения коммерческой деятельности в Internet - электронной коммерции.

Основные виды электронной коммерции

Сегодня под термином "электронная коммерция" понимается прежде всего предоставление товаров и платных услуг через глобальные информационные сети. Рассмотрим наиболее распространенные на сегодняшний день виды электронной коммерции.

* В последнее время концепция "электронных магазинов" становится все более популярной за рубежом. Обычно "электронный магазин" представляет собой Web-site на котором имеется каталог товаров, виртуальная "тележка" покупателя, на которую "собираются" товары, а также средства оплаты - по предоставлению номера кредитной карточки по сети Internet или по телефону. Отправка товаров покупателям осуществляется по почте или, в случае покупки электронных товаров (например, программного обеспечения) по каналам электронной почты или непосредственно через Web-site по сети Internet.
* Другим новым направлением электронной коммерции стала аренда различного программного обеспечения и так называемые "микроплатежи" - когда за использование какого-либо компонента программного комплекса с пользователя берется символическая плата (несколько центов). Этот вид бизнеса получил развитие в связи с широким распространением технологии Java, предполагающей, что необходимые для выполнения задач программные компоненты подкачиваются по сети непосредственно с Web-сервера.
* Традиционной услугой в области электронной коммерции является продажа информации, например, подписка на базы данных, функционирующие в режиме on-line. Этот вид услуг уже достаточно распространен в России, например, базы данных "Гарант-Парк", "Россия-он-Лайн" и др.
* Наконец сегодня начинает набирать обороты новый вид электронной коммерции - электронные банки. Среди основных преимуществ электронных банков можно отметить относительно низкую себестоимость организации такого банка (не нужно арендовать престижные здания, не нужны хранилища ценностей и т.д.) и широчайший охват клиентов (потенциальным клиентом электронного банка является практически любой пользователь Internet). За счет этого электронный банк может предоставлять клиентам более выгодные, чем у обычного банка проценты, и предоставлять за более низкую плату больший спектр банковских и других услуг. Естественно, что электронный банк имеет собственные системы безопасности и защиты электронной информации, такие, как специальные карточки - генераторы случайных паролей, синхронизируемых с паролем на банковском сервере. Это позволяет создавать уникальный пароль при каждом обращении клиента к банковскому серверу. Другой, менее дорогостоящий подход, связан с использованием персональных смарт-карт, также позволяющих генерировать сессионные ключи. Для большей степени защиты дополнительно могут использоваться и средства биометрической идентификации пользователя.

Методы защиты информации

Самый старый и проверенный способ электронной коммерции, который ведет свое начало от обычной торговли по каталогам, - это оплата товаров и услуг кредитной карточкой по телефону. В этом случае покупатель заказывает на Web-сервере список товаров, которые он хотел бы купить, и потом сообщает по телефону номер своей кредитной карточки компании-продавцу. Затем происходит обычная авторизация карты, а списание денег со счета покупателя производится лишь в момент отправки товара по почте или с курьером.

Принципиально новый подход заключается в немедленной авторизации и шифровании финансовой информации в сети Internet с использованием схем SSL (Seсure Socket Layer) и SET. Протокол SSL предполагает шифрование информации на канальном уровне, а протокол SET, разработанный компаниями VISA, Netscape и рядом других, предполагает шифрование исключительно финансовой информации. Поскольку Internet рассчитана на одновременную работу миллионов пользователей, то в коммерческих Internet-приложениях невозможно использовать традиционные системы "закрытых ключей" (DES, ГОСТ 28147-89 и др.). Поэтому применяются методы шифрования, основанные на "открытых ключах", в том числе и российский стандарт электронной подписи.

Шифрование на закрытых ключах предполагает, что и "продавец" и "покупатель" обладают общим ключом, который используется ими для шифрования/дешифровки информации.

Шифрование на открытых ключах предполагает, что у "продавца" и "покупателя" имеются по два ключа - один "публичный" и может быть известен третьим лицам, а другой - "частный", известный только передатчику информации. При этом по одному ключу невозможно восстановить другой. Для защиты сделок были организованы специальные центры сертификации в Internet, которые следят за тем, чтобы каждый участник электронной коммерции получал бы уникальный электронный "сертификат". В этом "сертификате" с помощью открытого ключа центра сертификации зашифрован публичный ключ данного участника коммерческих сделок. Сертификат генерируется на определенное время, и при его получении необходимо предоставить в центр сертификации документ, подтверждающий личность (для юридических лиц - их легальную регистрацию) участников сделки. Затем участники коммерции могут затребовать публичный ключ других участников и, имея "на руках" публичный ключ центра сертификации, участвовать в сделках.

Алгоритм SET позволяет добиться того, что покупатель не может расшифровать платежные реквизиты продавца, но может расшифровать все данные заказа. С другой стороны, банк не может получить данные по структуре заказа, но имеет доступ к платежным реквизитам продавца и покупателя. Это достигается с использованием двойной электронной подписи: банку посылается одна часть сообщения, а покупателю - другая. Кроме того, протокол SET описывает стандартные виды финансовых транзакций между банками, центрами авторизации и торговыми точками.

Технологические решения для электронной коммерции

На сегодняшний день наибольшее распространение получили два программно-аппаратных решения: компаний Microsoft и VeriFone, с одной стороны, и компании Netscape - с другой. Оба этих решения предполагают следующий набор компонентов:

1. Клиентский компьютер, имеющий доступ к Internet и Web-browser;
2. Сервер электронной коммерции, на котором ведется каталог товаров и принимаются зашифрованные запросы клиентов на покупку тех или иных товаров;
3. Средства для обеспечения взаимной конвертации протоколов Internet и стандартных протоколов авторизации (ISO 8583, VISAII и др.).

Рассмотрим, как реализована данная схема на примере продуктов Microsoft (Merchant Server) и VeriFone (vPOS и vGate). Программное обеспечение vPOS устанавливается на рабочей станции клиента и осуществляет поддержку протокола SET, шифрование и аутентификацию информации, получение необходимых сертификатов и др. Microsoft Merchant Server, помимо указанных выше функций ведения каталога и приема запросов клиентов, осуществляет связь с другим продуктом VeriFone - vGate. Программное обеспечение vGate, получая запросы в формате SET, расшифровывает их и конвертирует их в формат ISO 8583. Таким образом, становится возможным осуществлять платежи в Internet с использованием обыкновенных кредитных карт.

В то же время, следует отметить, что описанные выше решения являются, по сути, адаптацией технологий кредитных карт, существующих еще с 60-х годов, к современным электронным технологиям.

Альтернативным путем является внедрение "чисто" электронных денег - концепции DigiCash и CyberCash. Что же такое электронные деньги? Электронные деньги представляют собой специальную последовательность электронных деноминаций и электронных подписей, подготовленных банками. Клиент банка может завести виртуальный электронный "кошелек", поместив в него определенную сумму денег. Дальнейшая оплата товаров и услуг осуществляется переводом некоторой битовой информации. В остальном же движение электронных денег от покупателя к продавцу и от продавца в банк аналогично движению обычных денег.

Другим решением является система платежей с использованием смарт-карт Mondex, которая недавно была приобретена компанией MasterCard. В отличие от традиционных платежных систем на основе смарт-карт Mondex предполагает эмитирование электронных "денег", которые находятся на смарт-карте и могут переписываться на другие смарт-карты, "сниматься" с карты в пунктах продаж и т.д. Еще одним отличием системы Mondex от других "карточных" систем типа "электронный кошелек" является анонимность платежей. В связи с этим использовать Mondex предполагается там, где есть необходимость в осуществлении платежей на небольшие суммы, поскольку во многих странах законодательно запрещены анонимные платежи на крупные суммы. Интересно в системе Mondex решены и проблемы конвертации валют. В каждой из стран, присоединившихся к проекту, будет организован специальный банк, который будет эмитировать электронную "наличность". При переводе средств из одной валюты в другую в системе организуется специальная транзакция между электронными банками двух стран. Перерасчет ведется по официальному обменному курсу, и затем на карточку помещается соответствующая сумма в другой валюте.

Российский рынок электронной коммерции

Как мы уже говорили, сегодня электронная коммерция практически невозможна без использования кредитных карточек и основана на передаче по сетям зашифрованных данных. В России же число владельцев пластиковых карточек остается небольшим, да и кредитными эти карточки назвать нельзя - даже ведущие западные эмитенты требуют, чтобы клиенты держали на своих карточных счетах весьма солидный страховой депозит. Кроме того, согласно российскому законодательству, в нашей стране запрещена передача по сетям информации, зашифрованной по зарубежным стандартам. В связи с этим возникает проблема невозможности использования готовых зарубежных решений, или для их применения в России требуется существенная доработка. С этой точки зрения наиболее перспективен уже упоминавшийся стандарт SET, который предполагает, что конкретные способы шифрования финансовой информации будут определяться в региональных стандартах. Главное - чтобы эти стандарты удовлетворяли определенным и единым для всех стран критериям. Однако пока эта проблема в России не решена, и российским разработчикам приходится изыскивать собственные, не совместимые с западными решения. Реально электронная коммерция в России ограничивается несколькими магазинами по продаже компакт-дисков, информационными службами и платными услугами в области продажи программного обеспечения прямо с Web-серверов.

Кроме того, у России есть еще и дополнительная специфика: во-первых, такие способы оплаты, как чеки или прямой перевод денег, у нас в стране не были развиты, и поэтому сегодня развиваются в основном платежи с помощью карточек. Во-вторых, в России по различным причинам (в частности, плохая работа почты) не была развита форма торговли, предшествующая электронной коммерции - торговля по каталогам. По этой же причине по сей день выписки по счетам частных лиц в большинстве случаев доставляются клиентам курьером, или клиент сам должен обращаться в банк.

Системы ведения персональных финансов

С точки зрения компании АйТи, одним из наиболее перспективных направлений в области электронной коммерции является рынок домашних финансов (home banking), который за рубежом включает в себя собственно электронные банки и программы ведения личных счетов (Quicken, MS Money). Эти программы имеют интерфейсы к наиболее популярным банковским системам и позволяют управлять счетами и осуществлять покупки прямо из дома. В то же время все эти программы ориентируются прежде всего на рынок чеков, который в России не развит. Поэтому компания АйТи разработала собственную систему home banking "Декарт", ориентированную на операции с пластиковыми карточками. Дело в том, что клиент, который регулярно пользуется карточкой и учитывает расходы по бумажным слипам, сталкивается с постоянными расхождениями между суммой, реально остающейся на счете, и суммой, которую пользователь учитывает по слипам. Это связано с тем, что банк дополнительно учитывает комиссию или проценты. Поэтому нами предложено использование Internet для получения клиентами банков регулярной информации о состоянии карточного счета, а также для управления своим счетом прямо из дома.

Итак, "Декарт" представляет собой программное обеспечение для ведения личных финансов. Система "Декарт" - мощное средство учета и анализа операций по пластиковым картам, открытым на корпоративных и личных счетах, личного бюджета, а также финансовой информации для менеджеров компаний, занимающихся финансовым планированием.

Система "Декарт" позволяет:

* вести список операций по мультивалютным счетам (ведение операций в различных валютах разделено);
* учитывать операции по пластиковым картам, открытым на корпоративных и личных счетах (на одном счете может быть открыто несколько карт);
* вести учет расходов и доходов по любым другим реальным банковским счетам или вне привязки к таковым (например, учитывать наличные расходы, накладные расходы, авансовые платежи);
* вводить свою собственную классификацию операций, проектов, в которые вкладываются средства или из которых извлекаются прибыли, а также организаций или частных лиц, с которыми поддерживаются финансовые отношения;
* планировать бюджет и вести учет долгов и ссуд;
* вести пополняемые и настраиваемые справочники по счетам, картам, платежным схемам, категориям операций, назначениям операций, адресатам, валютам, курсам валют;
* упорядочивать операции по дате, карте, категории, адресату, назначению и сумме;
* вводить детализацию операций (разбивать операции на подоперации); * рассчитывать оперативные показатели текущего состояния счетов (текущий баланс, расходы и доходы за последний месяц или год);
* получать разнообразные текстовые и графические отчеты по операциям по счету (общий баланс, динамика расходов и доходов за период, структура расходов и доходов за период, выписка по счету);
* настраивать отчеты (получать отчеты по ограниченной выборке данных) с возможностью выбора периода проведения операций, выбора счетов, карт, категорий, адресатов и назначений операций для отчета;
* выбирать валюту отчета и приводить данные по нескольким счетам, открытым в разных валютах, к единой валюте с учетом курса;
* распечатывать отчеты и экспортировать их в Microsoft Word и Microsoft Excel.

Возможность ввода новых категорий, адресатов и назначений операций позволяет создать собственную классификацию финансовых операций, учитывающую специфику работы с финансами каждого пользователя программы.

Для организации взаимодействия "владелец карты - банк" необходимо иметь компьютер с доступом к Internet, собственно программу "Декарт", устройство шифрования, промежуточный WWW-сервер, осуществляющий доступ к банковским ресурсам и передающий информацию клиентам. При этом каждый из компонентов системы выполняет различные функции.

Банковская система выполняет функции:

* регистрации пользователей системы (клиентов банка);
* авторизации пользователей (клиентов банка);
* организации доступа к данным по счетам клиентов, хранящимся в банковской системе, и формирования данных для передачи по запросам клиентов;
* передачи информации клиенту "Декарт" по сети Internet;
* защиты передаваемой информации.

Клиентская часть системы "Декарт" выполняет функции:

* подключения к сети Internet через WWW-browser;
* передачи информации для авторизации запроса (регистрационный номер программы + идентификатор клиента + пароль клиента);
* формирования запросов к банковской системе;
* интерпретации данных, полученных из банковской системы.

Таким образом, система "Декарт" завершает построение замкнутой электронной платежной системы, заполняя недостающее звено между клиентом банка и банковской системой.

"Декарт" можно использовать с широким набором программных и аппаратных средств защиты информации третьих фирм. Информация, однозначно идентифицирующая клиента, присваивается клиенту самим банком. По запросу клиенту промежуточный Web-сервер конвертирует справку о состоянии счета из формата банковской системы в HTML-файл, шифруется и передается по сети Internet. Затем клиентская часть системы расшифровывает сообщение и переводит его в формат файлов "Декарт". Сейчас реально разрабатывается система для осуществления с помощью системы "Декарт" платежей по пластиковым картам.

Заключение

Итак, российский рынок электронной коммерции уже существует и быстро растет. По нашему мнению, коммерческие продукты для Internet в России будут развиваться своим особым путем, хотя и во многом повторяя наиболее передовые решения, принятые на Западе. Система "Декарт" компании АйТи - это только "первая ласточка". Хочется верить, что в 1997 г. в нашей стране появится много новых продуктов и видов электронного сервиса, доступных пользователям Internet.



Обсудить на Форуме
Главная | Библиотека | Статьи | Форум
Ссылки | Команда | Контакты

Copyright © Центр исследования проблем компьютерной преступности, 2001-2002 Все права защищены.
При публикации информации взятой в нашем каталоге ссылка на http://www.crime-research.org обязательна.