- •Понятие электронной коммерции.
- •История электронной коммерции.
- •Структура рынка электронной коммерции.
- •Модели отношений между участниками процесса электронной коммерции
- •Асу ресурсами предприятия.
- •8. Csrp – планирование ресурсов, синхронизированное с потребителем
- •Преимущества и недостатки методов управления ресурсами предприятия
- •Стандарты и протоколы электронной коммерции obi, ofx.
- •Стандарты и протоколы электронной коммерции iotp.
- •Реестр uddi. Язык wsdl.
- •Аутентификация контрагентов в электронной коммерции.
- •Классификация используемых для аутентификации методов и технологий
- •Технологии эцп.
- •Правовое обеспечение электронной коммерции.
- •Основные проблемы правового обеспечения процессов информационного общества
- •16. Этика электронной коммерции.
- •Ведение переписки по электронной почте
- •Конфиденциальность личной информации пользователей
- •19. Отраслевые торговые площадки. Понятие отраслевой электронной торговой площадки
- •Услуги, предоставляемые электронными торговыми площадками
- •Преимущества использования вертикальной торговой площадки
- •Электронные рынки или многоотраслевые (горизонтальные) торговые площадки (e-market)
- •20. Корпоративные представительства в Интернете.
- •Типы корпоративных представительств и рекомендации по их использованию
- •21. Виртуальные предприятия.
- •22. Интернет-инкубаторы.
- •23. Мобильная коммерция.
- •24. Торговые ряды и интернет-витрины.
- •Интернет-витрины (веб-витрины)
- •25. Интернет-магазины. Понятие и функции интернет-магазина
- •Технология приобретения товаров в интернет-магазине
- •Виды доставки товаров интернет-магазинами
- •26. Туристические компании в Интернете, Интернет-страхование.
- •Интернет-страхование
- •27. Интернет-трейдинг.
- •28. Телеработа.
- •29. Интернет-аукционы.
- •30. Системы Рeer-to-Рeer.
- •31. Биллинговые системы.
- •32. Электронное правительство.
- •Задачи построения электронного правительства
- •Структура электронного правительства
- •33.Системы предоставления налоговой отчётности через Интернет.
- •34. Электронные системы государственных закупок.
- •Преимущества использования электронных систем государственных закупок
- •Организация конкурсных торгов по закупкам для государственных нужд
- •Принципы построения и порядок функционирования электронной системы государственных закупок
- •Защита информации в системе конкурсных торгов
- •35. Понятие, методы и способы защиты от киберпреступности. Понятие киберпреступности
- •Виды компьютерных преступлений
- •Способы защиты от киберпреступности
- •36. Мошенничество в Интернете. Накрутка
- •3. Мошенничество в партнёрских программах.
- •38. Перспективы электронной коммерции.
- •39. Гис и gps-технологии.
- •40. Технологии радиочастотной идентификации (rfid).
Аутентификация контрагентов в электронной коммерции.
Аутентификация – процесс идентификации, позволяющий удостовериться в личности стороны, желающей получить интерактивный доступ к информации, услугам, заключить сделку и т.п. Аутентификация даёт гарантию того, что стороны впоследствии не смогут отрицать своего участия в сделке. Выполняется для обеспечения безопасности и гарантирования исполнения сделок, основывается на использовании паролей, специальных карточек, алгоритмах электронной цифровой подписи (ЭЦП) и др.
Самый распространенный вид аутентификации – использование некоего идентификатора, например, имени пользователя и его пароля.
В качестве пароля может использоваться некая секретная информация:
1) Общий многоразовый ключ: сервер электронной коммерции хранит некий ключ, пользователь при обращении к серверу указывает свой пароль (ключ), сервер электронной коммерции сверяет его со своей записью и в случае совпадения считает, что у пользователя есть права, ассоциированные с данным ключом.
Легкость реализации данного метода способствует его широкому применению, однако пароль необходимо передавать с места, где находится пользователь, на компьютер, где установлена система аутентификации, и если канал передачи не обеспечивает механизмов защиты, то при пересылке пароль может быть перехвачен.
Чтобы не допустить этого, используется механизм, основанный на принципе «запрос-ответ». Суть данного метода состоит в том, что пользователю посылается случайная последовательность данных, которую пользователь шифрует своим паролем (естественно, эти операции пользователь делает не непосредственно, а при помощи некой программы-клиента). Результирующие данные отправляются на сервер, который их расшифровывает, после чего сверяет полученный результат с отправленными данными.
Основной недостаток парольной аутентификации, основанной на методе «запрос-ответ», состоит в том, что идентификационные данные пользователей должны храниться на сервере аутентификации в открытом виде, что создает возможность получения к ним доступа злоумышленников.
Аутентификация на базе аппаратных средств – надежное, но более дорогое и потому менее распространенное решение. Для удостоверения личности используются специализированные аппаратные средства хранения и генерации идентификационных данных пользователя. Наиболее распространены смарт-карты, токены и устройства генерации одноразовых паролей. По сравнению с парольной данный вид аутентификации является более защищенным за счет того, что аутентифицироваться может только тот пользователь, который обладает аппаратным носителем идентификационной информации. Кроме того, отпадает необходимость в запоминании (записывании) сложных для пользователей паролей, что создает возможность несанкционированного доступа.
Смарт-карты представляют собой пластиковые карты, оснащенные микросхемой с микропроцессором и способные хранить данные пользователя. При аутентификации пользователь вставляет карту в специальное устройство, считывающее данные с нее (устройство подключается к компьютеру). Информация на карте может быть защищена паролем, что обеспечивает повышенный уровень безопасности.
Токены – аппаратные средства, состоящие из микросхемы на некоем компактном носителе, предназначенные для хранения идентификационных данных. Данные, записанные на токене, считываются с помощью адаптера, который подсоединяется к компьютеру пользователя или непосредственно через USB-порт компьютера. Во время аутентификации пользователь должен подключить токен к USB-порту (или адаптеру) своего компьютера и ввести пароль доступа к токену. Применение токенов, работающих через USB-порт экономически более выгодно, поскольку не требует приобретения дополнительного оборудования для чтения информации.
Методы биометрической аутентификации наименее распространены. Они сложны и дорогостоящи, но обеспечивают очень высокую надежность. При использовании данных методов аутентификация осуществляется по определенным физическим характеристикам индивидуума, например, по отпечаткам пальцев или сетчатке глаза.
Такие средства очень удобны и надежны с точки зрения информационной безопасности и администрирования, так как пароль может быть утерян или стать легкодоступным злоумышленникам, а биометрические признаки уникальны.
В подобных решениях основная опасность заключается в возможности кражи цифрового варианта биометрической информации, что позволяет обойти систему безопасности. По этой причине данный метод практически не применяется для аутентификации в интернет-коммерции. Другой недостаток – ограниченность сферы применения. Методы биометрической аутентификации не подходят для юридических лиц и виртуальных агентов.
2) Общие одноразовые ключи. Большой срок жизни пароля приводит к опасности его раскрытия. Поэтому часто вместо одного ключа выдаётся целый список. Этот список может иметь форму бумажного блокнота, программы или быть выполненным аппаратно, в виде маленького калькулятора – устройства генерации одноразовых паролей. В последнем случае сервер электронной коммерции присылает запрос, который вводится в устройство генерации одноразовых паролей (в некоторых случаях такое устройство оснащается считывающим устройством штрих-кодов, которое считывает закодированный в штриховую последовательность запрос с экрана компьютера), а на выходе, по некоторому алгоритму, генерируется ответ, вводимый в компьютер вручную. Существуют также устройства генерации одноразовых паролей, непосредственно подключающиеся к компьютеру.
3) Принципиальной проблемой одноразовых и многоразовых симметричных ключей является недоказуемость факта совершения операции пользователем, а не третьим лицом. Так как при использовании симметричного шифрования оба контрагента должны знать ключ, возникает возможность фальсификации одной из сторон сообщений, присланных от другой стороны. Решение данной проблемы – использование алгоритмов с разделяемыми секретами (ключами), на основе цифровых сертификатов и цифровой подписи.
Цифровая подпись – код, который однозначно идентифицирует автора и является электронным эквивалентом собственноручной письменной подписи, Используется для аутентификации автора документа, к которому приложена цифровая подпись, а также удостоверяет отсутствие изменений в документе с момента его подписания. Механизм применения ЭЦП включает два криптографических преобразования: формирование ЭЦП под документом и проверка её подлинности.
Цифровая подпись реализуется так называемой криптографией с открытым ключом (асимметричной криптографией).
Криптография с открытым ключом – класс асимметричных криптографических методов, использующих двуключевые шифры: открытый и закрытый ключи. Открытый ключ владелец пары сообщает всем своим корреспондентам для декодирования получаемых от него сообщений, кодирования направляемых ему сообщений и проверки подлинности его ЭЦП под сообщениями. Закрытый ключ известен только его владельцу и используется для создания ЭЦП под документами и сообщениями и расшифровки сообщений, зашифрованных открытым ключом.
Таблица 8