Защита информации в электронных платежных системах

Целостность информации и аутентификации участников транзакции гарантируется использованием электронной цифровой подписи.

Протокол SET вводит новое применение цифровых подписей, а именно использование двойных цифровых подписей. В рамках протокола SET двойные цифровые подписи используются для связи заказа, отправленного коммерсанту, с платежными инструкциями, содержащими информацию о счете и отправленными банку.

Например, покупатель Боб хочет направить коммерсанту Алисе предложение купить единицу товара и авторизацию своему банку на перечисление денег, если Алиса примет его предложение. В то же время Боб не хочет, чтобы в банке прочитали условия его предложения, равно как и не хочет, чтобы Алиса прочитала его информацию о счете. Кроме того, Боб хочет связать свое предложение с перечислением так, чтобы деньги были перечислены только в том случае, если Алиса примет его предложение.

Все вышесказанное Боб может выполнить посредством Цифровой подписи под обоими сообщениями с помощью одной операции подписывания, которая создает двойную цифровую подпись. Двойная цифровая подпись создается путем формирования дайджеста обоих сообщений, связывания двух сообщений вместе, вычисления дайджеста итога предыдущих операций и шифрования этого дайджеста личным операции подписывания, которая создает двойную цифровую подпись. Двойная цифровая подпись создается путем формирования дайджеста обоих сообщений, связывания двух сообщений вместе, вычисления дайджеста итога предыдущих операций и шифрования этого ключом для подписи автора. Автор обязан включить также дайджест другого сообщения, с тем, чтобы получатель проверил двойную подпись.

Получатель любого из этих сообщений может проверить его подлинность, генерируя дайджест из своей копии сообщения, связывая его с дайджестом другого сообщения (в порядке, предусмотренном отправителем) и вычисляя дайджест для полученного итога. Если вновь образованный дайджест соответствует расшифрованной двойной подписи, то получатель может доверять подлинности сообщения.

Если Алиса принимает предложение Боба, она может отправить сообщение банку, указав на свое согласие и включив дайджест сообщения с предложением Боба. Банк может проверить подлинность авторизации Боба на перечисление и дайджеста сообщения с предложением Боба, предоставленного Алисой, чтобы подтвердить двойную подпись. Таким образом, банк может проверить подлинность предложения на основании двойной подписи, но банк не сможет прочитать условия предложения.

8. Федеральный закон от 27.06.2011 N 161-ФЗ "О национальной платежной системе"

Глава 5. Национальная система платежных карт (НСПК) "Российская платежная карта"

Статья 24. Основы организации национальной системы платежных карт "Российская платежная карта".

1. Национальная система платежных карт "Российская платежная карта" (далее - НСПК) является платежной системой по розничным платежам, оператором которой является организация, которая образована в форме некоммерческого партнерства [альтернативные варианты: в форме открытого акционерного общества, в том числе с участием государства, или в форме государственной корпорации] (далее - Оператор НСПК).

2. Целями Оператора НСПК являются обеспечение:

эффективности, бесперебойности и информационной безопасности платежных услуг с использованием платежных карт НСПК;

общенациональной доступности платежных услуг с использованием платежных карт НСПК;

оптимизации взаимодействия между клиринговыми центрами;

минимизации рисков в НСПК.

3. Оператор НСПК выполняет следующие функции:

разрабатывает и принимает правила НСПК, договоры, заключаемые участниками НСПК, операторами услуг платежной инфраструктуры;

разрабатывает и принимает стандарты использования платежных карт, услуг платежной инфраструктуры, обеспечения информационной безопасности (далее - стандарты НСПК), обеспечивает контроль за их соблюдением участниками НСПК, операторами услуг платежной инфраструктуры;

определяет тарифную политику НСПК;

развивает платежную инфраструктуру, в том числе путем привлечения финансирования за счет средств федерального бюджета в соответствии с законодательством Российской Федерации, а также на основе лизинга соответствующих средств и технологий;

обеспечивает операционное взаимодействие между участниками НСПК;

оказывает клиринговые услуги участникам НСПК;

привлекает на недискриминационной основе операционные центры, клиринговые центры, расчетные центры с учетом необходимости обеспечения максимальной доступности платежных услуг с использованием платежных карт НСПК;

является клиринговым центром для трансграничных платежных систем при оказании их участниками платежных услуг с использованием платежных карт на территории Российской Федерации;

создает гарантийный фонд, как это предусмотрено статьей 19 настоящего Федерального закона.

4. Контроль за деятельностью Оператора НСПК осуществляется наблюдательным советом Оператора НСПК.

К исключительной компетенции наблюдательного совета Оператора НСПК относятся: определение направлений развития НСПК; утверждение правил НСПК; определение тарифной политики НСПК; принятие решений о привлечении операционных центров, клиринговых центров; утверждение порядка ведения реестра участников НСПК; утверждение порядка досудебного урегулирования споров; утверждение порядка осуществления контроля за соблюдением правил НСПК участниками НСПК и привлекаемыми операционными центрами, клиринговыми центрами.

Численность наблюдательного совета Оператора НСПК составляет 13 человек, из которых шестеро направляются участниками НСПК, трое - Банком России, трое - Правительством Российской Федерации. В состав наблюдательного совета Оператора НСПК входит также руководитель органа управления Оператора НСПК.

Статья 25. Участники НСПК

1. В НСПК допускается индивидуальное и системное участие.

2. Индивидуальными участниками НСПК могут являться операторы по переводу денежных средств, присоединившиеся к правилам НСПК.

3. Системными участниками НСПК могут являться операторы других платежных систем. Условием системного участия является:

отражение в правилах платежной системы условий присоединения к правилам НСПК с передачей оператором платежной системы Оператору НСПК информации о перечне участников платежной системы, присоединившихся к правилам НСПК;

отражение в договорах, заключенных с операторами услуг платежной инфраструктуры, требуемого Оператором НСПК уровня доступности услуг платежной инфраструктуры; создание системным участником гарантийного фонда, как это предусмотрено статьей 19 настоящего Федерального закона, в целях обеспечения исполнения обязательств участников платежной системы при оказании ими платежных услуг с использованием платежных карт НСПК.

Статья 26. Обеспечение общенациональной доступности платежных услуг с использованием платежных карт НСПК

1. Организации, принимающие платежные карты на территории Российской Федерации, обязаны обеспечить прием платежных карт НСПК.

2. Оператор НСПК при разработке стандартов НСПК исходит из принципов их открытости, совместимости с соответствующими международными стандартами, минимизации издержек для участников НСПК, в том числе за счет использования возможностей существующей платежной инфраструктуры.



Заключение

В результате проделанной работы была написана программа по генерации персонального идентификационного номера из номера счета клиента. Данная программа может генерировать PIN длиной 4,8 и 12 десятичных цифр.

В будущем, надеюсь, продолжить изучение электронных платежных систем и более подробно ознакомится с алгоритмами цифровой подписи.



Список использованной литературы

1. Романец Ю.В. Защита информации в компьютерных системах и сетях / Ю.В. Романец, П.А. Тимофеев, В.Ф. Шаньгин. - 2-е изд. исп. - М.: Изд-во "Радио и связь",2001.-376с.

2. Деднев М.А. Защита информации в банковском деле и электронном бизнесе / М.А. Деднев Д.В. Дыльнов, М.А. Иванов.- М.: Изд-во "ОЦ КУДИЦ-ОБРАЗ", 2004.-512с.

3. Воронков Б.Н. Криптографические методы защиты информации / Б.Н. Воронков. - Воронеж: Издательско-полиграфический центр Воронежского Государственного университета ,2008.-58с.

4. Федеральный закон "О национальной платежной системе".- (http://www.audit-it.ru/articles/finance/a106/335521.html)



Приложение 1. Схема функционирования

Рис. 1. Обобщенная схема функционирования



Приложение 2 Архитектура смарт-карты

Рис 2. Архитектура смарт-карты

ОЗУ - оперативное запоминающее устройство

ПЗУ - постоянное запоминающее устройство

ЭСППЗУ - электрически стираемое программируемое ПЗУ



Приложение 3 Схема выведения PIN из номера счета клиента

Рис.3. Схема выведения PIN из номера счета клиента

DES (Data Encryption Standart) - американский стандарт шифрования



Приложение 4 Схема функционирования системы POS

Рис. 4. Схема функционирования системы POS.



Приложение 5 Схема вывода ключа

Рис. 5. Схема вывода ключа с учетом двоичного представления номера S ключа



Приложение 6 Модуль PIN;

unit PIN;

interface

uses

Windows, Messages, SysUtils, Variants, Classes, Graphics, Controls, Forms,

Dialogs, StdCtrls, ExtCtrls, Buttons,math;

type

ttype=array[1..65] of integer;

TForm1 = class(TForm)

LabeledEdit1: TLabeledEdit;

Button1: TButton;

BitBtn1: TBitBtn;

LabeledEdit10: TLabeledEdit;

RadioGroup1: TRadioGroup;

LabeledEdit2: TLabeledEdit;

procedure Button1Click(Sender: TObject);

var

Form1: TForm1;

const constN=16;

Implementation

//процедура перевода числа в двоичное представление

procedure BBI(ss:string; var mas:ttype);

var i,j,N:integer;

begin

j:=1;

for i:=1 to constN do

begin

case ss[i] of

'0': begin mas[j]:=0;mas[j+1]:=0;mas[j+2]:=0;mas[j+3]:=0; end;

'1': begin mas[j]:=0;mas[j+1]:=0;mas[j+2]:=0;mas[j+3]:=1; end;

'2': begin mas[j]:=0;mas[j+1]:=0;mas[j+2]:=1;mas[j+3]:=0; end;

'3': begin mas[j]:=0;mas[j+1]:=0;mas[j+2]:=1;mas[j+3]:=1; end;

'4': begin mas[j]:=0;mas[j+1]:=1;mas[j+2]:=0;mas[j+3]:=0; end;

'5': begin mas[j]:=0;mas[j+1]:=1;mas[j+2]:=0;mas[j+3]:=1; end;

'6': begin mas[j]:=0;mas[j+1]:=1;mas[j+2]:=1;mas[j+3]:=0; end;

'7': begin mas[j]:=0;mas[j+1]:=1;mas[j+2]:=1;mas[j+3]:=1; end;

'8': begin mas[j]:=1;mas[j+1]:=0;mas[j+2]:=0;mas[j+3]:=0; end;

'9': begin mas[j]:=1;mas[j+1]:=0;mas[j+2]:=0;mas[j+3]:=1; end;

'A': begin mas[j]:=1;mas[j+1]:=0;mas[j+2]:=1;mas[j+3]:=0; end;

'B': begin mas[j]:=1;mas[j+1]:=0;mas[j+2]:=1;mas[j+3]:=1; end;

'C': begin mas[j]:=1;mas[j+1]:=1;mas[j+2]:=0;mas[j+3]:=0; end;

'D': begin mas[j]:=1;mas[j+1]:=1;mas[j+2]:=0;mas[j+3]:=1; end;

'E': begin mas[j]:=1;mas[j+1]:=1;mas[j+2]:=1;mas[j+3]:=0; end;

'F': begin mas[j]:=1;mas[j+1]:=1;mas[j+2]:=1;mas[j+3]:=1; end;

end;

j:=j+4;

end;

end;

procedure TForm1.Button1Click(Sender: TObject);

var a1,a2:int64; a116,a216,s,pin:string; i, N, k, Number : integer;

mas1,mas2,mas3:ttype;

mas4:array[1.. constN] of integer;

begin

// считывание длины PIN

case RadioGroup1.ItemIndex of

0,-1: Number:=4;

1: Number:=8;

2: Number:=12;

end;

//формирование первого шестнадцаричного числа

a1:=strtoint64(LabeledEdit1.Text);

a116:= inttohex(a1,14);

//Дополнение числа до 16 знаков

while(Length(a116)< constN) do

a116:=a116+'0';

// генерируется второе случайное число

Randomize;

for i := 0 to constN-1 do

begin

s:=inttostr(Random(8)+1)+s;

end;

//Перевод второго числа в 16 систему

a2:= strtoint64(s);

a216:=inttohex(a2,16);

// перевод чисел в двоичную систему

BBI(a116,mas1);

BBI(a216,mas2);

// сложение двоичных чисел

N:=64;

while(N>=0)do

begin

mas3[N+1]:=mas3[N+1]+mas2[N]+mas1[N];

if mas3[N+1]>=2 then

begin

while (mas3[N+1]>=2) do

begin

mas3[N+1]:=mas3[N+1]-2;

mas3[N]:=mas3[N]+1;

end;

end;

N:=N-1;

end;

//побитовое разбиение

for i:=1 to constN do

begin

mas4[i]:=0;

end;

pin:='';

k:=0;

i:=1;

N:=65;

While ((k<Number)and (N>1)) do

begin

mas4[i]:=mas3[N]*1+ mas3[N-1]*2+mas3[N-2]*4+mas3[N-3]*8;

if mas4[i]<10 then

begin

pin:=pin+inttostr(mas4[i]);

k:=k+1;

end;

N:=N-4;

i:=i+1;

end;

i:=1;

while(k<Number)do

begin

if mas4[i]>10 then

begin

mas4[i]:= mas4[i] mod 10;

pin:=pin+inttostr(mas4[i]);

k:=k+1;

end;

i:=i+1;

end;

// вывод результата

LabeledEdit10.Text:=pin;

end;

end.



Приложение 7 Интерфейс программы

Рис 6. Программа на этапе выполнения

Размещено на Allbest.ru