- •Алексеев в.И. Интернет-ресурсы для бизнеса
- •Санкт-Петербург - 2012
- •Глава 1 Электронная коммерция. Интернет-коммерция
- •1.1 Понятие электронной коммерции и ее категории
- •1.2 Мобильная коммерция
- •1.3 Классификация интернет-ресурсов электронной коммерции
- •1.3.1 Web присутствие
- •1.3.2 Информационный web
- •1.3.3 Web для продвижения товаров и услуг
- •1.3.4 Web с обратной связью
- •1.3.4 Электронный магазин
- •1.3.5 Web сервисного и гарантийного обслуживания клиентов
- •1.3.6 Web внутрифирменного обучения сотрудников
- •1.3.7 Web виртуального сообщества фирмы
- •1.3.8 Web для совместного проектирования
- •Глава 2 Сервисы Интернета для обеспечения коммерции
- •2.1 Технология «клиент – сервер»
- •2.2 Провайдеры интернет-услуг
- •2.3 Безопасность трансакций
- •2.3.1 Шифрование
- •2.3.2 Технология цифровой подписи
- •2.3.3 Слепая электронная подпись
- •2.3.4 Сертификаты
- •2.4 Протоколы и стандарты безопасности виртуальных платежей
- •2.4.1 Протокол ssl
- •Глава 3 Электронные платежи
- •3.1. Организация расчетов через Internet.
- •3.1.1 Кредитные системы
- •3.1.2 Дебетовые системы
- •3.1.3 Цифровые наличные
- •3.2 Денежно-финансовое обеспечение
- •3.2.1 Интернет-банкинг
- •Internet-банкинг на примере Балтийского Банка
- •3.2.2 Платежные системы
- •3.2.3 Пластиковая карта
- •3.2.4 Электронные чеки
- •Арбитраж
- •Центр аттестации
- •3.2.5 Цифровые деньги
- •3.2.6 Цифровой кошелек
- •Контрольные вопросы
- •Глава 4 Платежные системы в Internet
- •4.1 Технологии расчетов через Internet
- •4.2 Российские платежные системы
- •4.2.1 Система платежей CyberPlat
- •4.3 Ваш личный счет в Internet. Как это работает
- •Глава 5 Электронная торговля
- •5.1 Виды электронных магазинов.
- •5.1.1 Полнофункциональный Интернет-магазин
- •5.1.2 Интернет-витрина
- •5.1.3 Торговый автомат
- •5.1.4 Автоматизированный электронный магазин
- •5.2 Особенности виртуальных продаж
- •5.3 Юридическое, консультационное и образовательное обеспечение e-commerce
- •Глоссарий по электронным платежам в Интернет
- •Глава Аналитические исследования и эффективность интернет-проектов туристского бизнеса Аналитические исследования в интернете
- •Эффективность Интернет-проектов e-commerce
- •Методы оценки эффективности информационных систем
- •Эффективность on-line продаж
- •Глава Интернет-обеспечение туристского бизнеса
- •Реклама с использованием электронной почты
- •Разрешенные способы e-mail маркетинга
- •3.3 Страховое, денежно-финансовое, юридическое, консультационное и образовательное обеспечение туристского бизнеса
- •3.3.1. Аутсорсинг и аренда серверных приложений
- •3.3.2. Страховое интернет-обеспечение
- •Список литературы
3.2.5 Цифровые деньги
Число реально функционирующих систем электронной наличности мало. Это связано со сложностью создания соответствующего алгоритмического аппарата и трудоемкостью его программной реализации. Опыт показал, что модельные системы электронной наличности реализуются достаточно легко, но написание практической системы, обслуживающей большое число платежей и устойчивой к мошенничеству требует длительного труда большого коллектива высококвалифицированных математиков и программистов. Реально действующие системы: emoney (www.digicash.com) и PayCash (www.paycash.ru).
Исторически большинство платежных инструментов, в том числе и дистанционных, связано с неким банковским счетом. И карточки, и система SWIFT, и многие Интернет системы (www.payment.ru , www.cyberplat.ru ) базируются на обычном банковском счете. При этом платежи, по сути, представляют собой команды банку перевести такую-то сумму на такой-то счет.
Эта система совсем неплоха, но определенные недостатки по сравнению с обычными деньгами в ней есть.
Во-первых, любой платеж тем или иным образом ссылается на счет в целом и, перехватив и расшифровав отдельный платеж, преступник получает доступ к счету в целом.
Во-вторых, все эти платежи можно отследить. При этом возникают проблемы не только для преступников.
В-третьих, все эти системы основаны на полном доверии к банку, а иногда и к магазину, где Вы совершаете покупку. Помимо проблемы доверия по каждой конкретной сделке, мы возвращаемся к проблеме доверия общества к банкам в целом. Она может состоять в том, что отдельный банк разорится, или в том, что банки, в силу своих интересов, используют аккумулированные у них средства для действий, не совпадающих с интересами страны и, в конечном итоге, вкладчиков.
В-четвертых, счет можно арестовать, заблокировать, то есть, говоря юридическим языком, избирательно преследовать держателя.
В-пятых деньги можно перевести с карточки, но не на карточку.
Эти причины побудили аналитиков и разработчиков создать программные и аппаратные системы, максимально эмулирующие в Интернете оборот обычных наличных. Грань между этими системами провести довольно трудно. Очевидно, что любая программная система может быть закодирована в специализированном микропроцессоре (смарт-карте) и снабжена дополнительными аппаратными средствами защиты. Договоримся, что программной системой мы будем называть систему, защита которой сохраняется при любых попытках просмотра и модификации ее программного кода. Для аппаратных систем, в свою очередь, предполагается, что имеется некий элемент (модуль ROM, например), в который данные может записывать, считывать и модифицировать только авторизированный изготовитель.
Самый простой вариант с организационной точки зрения - ввести электронный аналог обычных банкнот, причем гарантировать предъявителю банкноты свободный обмен (конвертацию) в обычные деньги. Для этого нужно решить ряд задач:
разработать электронные купюры,
осуществить их массовый выпуск (эмиссию),
обеспечить механизм проверки подлинности,
обеспечить хождение (передачу, размен, конвертацию в обычные деньги и т.п.).
У купюры, как у изделия, есть несколько функций.
Во-первых, информативная, то есть она несет номер, номинал, данные об эмитенте.
Во-вторых, защитная. Вся эта информация защищена от подделки, точнее от разных видов подделки. Иными словами, необходимо противостоять попыткам фальшивомонетчика скопировать существующую купюру, или достоверно изменить данные на существующей купюре, или изготовить уникальную купюру вообще не используя подлинную.
Для того чтобы ему в этом помешать, используются разнообразные способы защиты.
Можно представить себе ситуацию, когда каждая купюра лично подписывается председателем Центробанка его уникальной подписью. Однако такой способ плох. Во-первых, он очень трудоемок для председателя. Во-вторых, он "симметричен", то есть для установления подлинности подписи требуются примерно такие же усилия, как и для ее изготовления. Кроме этого, он беззащитен против качественного копирования. Поэтому в реальных купюрах используются механизмы защиты (водяные знаки, полоски и прочее) которые являются "асимметричными" по отношению к процедуре проверки и защищены от копирования. Например, водяной знак крайне трудно изготовить или скопировать, но очень легко проверить его достоверность.
В случае с компьютером, у нас есть два инструмента для обеспечения таких свойств. Близким аналогом бумажного решения являются аппаратные решения, в которых эти свойства определяются процедурой изготовления (например, Smart-карты Mondex, www.mondex.com ). Такие системы обладают многими преимуществами: они просты с алгоритмической точки зрения, компактны, ориентированы на денежные транзакции в автономном (без участия третьей стороны) режиме. В то же время, в такой системе как Mondex, защита данных основана на общем для всех платежных карточек секретном ключе и взлом одной карточки означает взлом всей системы в целом.
Эти соображения, равно как и традиционные недостатки аппаратных решений (высокая стоимость, невозможность модификации), привели к попыткам разработать чисто программные решения. Для таких решений доступны только два инструмента - создание файлов с данными и операции над ними.
Для начала, естественно, нужно изготовить сам носитель, то есть файл, который будет содержать информацию, что он, файл, есть купюра, достоинством в 1 рубль, серийный номер такой-то, выпущенный Интернет-Банком таким-то и тогда-то. Плюс, любая информация, которую Банк сочтет нужным поместить. После этого изготовляется определенное число таких файлов, с разными номерами и номиналами и Банк почти готов к проведению эмиссии.
Теперь эти файлы нужно защищать от мошенничества. Иными словами нужно исключить попытки имитации, модификации и использования дубликатов файлов. Для этого в свое время был предложен аппарат цифровой подписи или асимметричного шифрования. Банк, создав обязательство, шифрует его на своем закрытом ключе. Каждый продавец, получив файл, выдаваемый плательщиком за электронную монету, может попытаться расшифровать его на открытом ключе Интернет-Банка. В случае успешной расшифровки, он может быть уверен, что файл создан Интернет-Банком.
Такое решение автоматически обеспечивает нам свойство неизменяемости - такую купюру невозможно подделать, иначе как расшифровав ее, изменив и зашифровав снова, что аналогично задаче изготовления поддельной купюры.
При этом обычно применяется так называемая слепая подпись, позволяющая подписывать анонимные купюры. Такие купюры не позволяют Банку проследить, какому конкретно пользователю была выдана данная купюра.
Таким образом, на данном механизме можно строить систему электронных наличных. В простейшем случае Некто приносит в Интернет-Банк один рубль и получает взамен файл, зашифрованный на закрытом ключе банка, в котором написано, предъявитель сего в любой момент может получить в Интернет-Банке один рубль. Далее этот Некто может купить что-либо в Интернет-магазине, послав ему в качестве оплаты этот файл. Магазин может легко убедиться, что это - действительно деньги, расшифровав его на открытом ключе (для этого даже не нужно выходить в Интернет). После этого Магазин в любой момент может заплатить этим файлом дальше или обналичить его в Интернет-Банке.
К сожалению, в таком виде схема неработоспособна, потому что не решает задачи защиты от копирования. Действительно, в отсутствие аппаратной защиты все файлы одинаковы и никто не может помешать обладателю купюры неограниченно богатеть при помощи команды copy. Или просто послав файл по Интернет для оплаты в три места сразу. При этом, в силу анонимности, найти держателя невозможно.
Очевидно, что нужна какая-то процедура проверки. Таких процедур придумано довольно много, но все они делятся на две группы.
Наиболее простыми для понимания являются online-решения. Простейшая схема - одноразовые купюры. При этом каждая купюра живет один цикл оплаты: деньги с обычного банковского счета клиента (или наличные) конвертируются в электронную купюру и передаются клиенту - клиент передает купюру получателю, например Интернет-продавцу - продавец передает купюру в Банк - купюра конвертируется в деньги на обычном банковском счету продавца. При каждом платеже получатель немедленно связывается с Банком и сообщает данные о полученной купюре. Эти данные заносятся в базу данных использованных купюр. При попытке покупателя заплатить этой же купюрой второй раз, соответствующий получатель получает от Банка ответ, что платеж недействителен.
На практике, каждый раз конвертировать купюры не очень удобно, поэтому используются гибридные системы. Например, в PayCash, клиент, при подключении к системе, открывает один или несколько счетов в Интернет-Банке. Такие счета аналогичны обычным банковским, с той разницей что для них оговорена операция конвертации в электронные наличные и обратно. По мере надобности, клиент дает команду Банку, после чего происходит конвертация необходимой суммы в электронные наличные, размещенные у клиента на компьютере. Затем они передаются продавцу. В процессе платежа они конвертируются обратно в реальные деньги и кладутся на счет продавца. Использованная при этом электронная купюра заносится в базу данных Банка и запрещается к дальнейшему использованию.
Очевидно, все эти сложности возникаю при отсутствии доверия между участниками платежа. В противном случае, можно просто передать файл с одного компьютера на другой и стереть его из компьютера платящей стороны. Отметим, что система считает законным владельцем того, кто первый предъявил данную купюру в Банк.
Более экзотичным является метод offline-верификации. Действительно, альтернативой мгновенному контролю операции является возможность в случае мошенничества впоследствии однозначно и доказательно определить мошенника. Такой подход, например, широко применяется в системах кредитных карточек. В случае электронных денег это использование затруднено анонимностью участников. Чтобы обойти эту сложность были предложены модели, в которых купюра, при вторичном предъявлении, теряет свою анонимность. Это позволяет Банку отследить мошенника. К сожалению, используемая в этом методе математика достаточно сложна и до конца не отработана.
Отметим, что все платежи протоколируются сторонами. Это дает возможность всегда подтвердить факт платежа перед третьей стороной. При этом в системе PayCash в любом платеже задействованы три секретных ключа, покупателя, продавца и Банка. Поэтому система являются устойчивыми не только к попыткам мошенничества со стороны аутсайдеров или участников платежа, но и к попыткам мошенничества со стороны Банка или совместного мошенничества Банка и одного из участников.
Следует сказать, что файлы очень близки к деньгам, иногда даже ближе, чем хотелось бы. Это, вероятно, является неизбежной расплатой за указанные преимущества. Например, электронные наличные можно украсть, вместе с компьютером, или просто скопировав. При этом, разумеется, пострадавший может обратиться в Банк с просьбой наложит арест на купюры с данными номерами. Но при этом он должен будет представить веские доказательства, что купюры были его собственностью, что означает потерю анонимности.
Очевидно, все эти сложности скрыты от пользователя. Для работы с электронными наличными он устанавливает у себя программу-Кошелек, которая умеет выполнять несколько простых операций, а именно:
Хранить файлы-монетки.
Получать их от другого Кошелька.
Проверять подлинность.
Передавать их в другой Кошелек.