CC BY
25
МЕТОДИКИ И АЛГОРИТМЫ ЗАЩИТЫ КОНФИДЕНЦИАЛЬНЫХ ДАННЫХ ПОЛЬЗОВАТЕЛЕЙ ПРИ ОСУЩЕСТВЛЕНИИ ОНЛАЙН-ПЛАТЕЖЕЙ Серый-Козак С.П.1, Лиманова Н.И.2 Em ail: Seriy-Kozak676@scientifictext.ru
'Серый-Козак Сергей Павлович — магистрант;
2Лиманова Наталья Игоревна — доктор технических наук, доцент, заведующий кафедрой, кафедра информационных систем и технологий, Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования Поволжский государственный университет телекоммуникации и информатики,
г. Самара
Аннотация: в данной статье анализируются способы защиты конфиденциальных данных пользователей интернет-магазинов, методы обеспечения безопасности при осуществлении онлайн-платежей. Рассматриваются основные протоколы защиты передачи данных в сети Интернет. Защита информации -это важнейший аспект, который оказывает существенное влияние на осуществление продаж в интернете и напрямую воздействует на поведение потребителя. Поэтому обеспечение безопасности финансов интернет-магазинов и их потребителей, в реалиях современных товарно-денежных отношений, наиболее приоритетное направление развития сети Интернет в целом.
Ключевые слова: интернет, информационные технологии, интернет-магазин, электронная коммерция, экономическая эффективность, защита информации, информационная безопасность, SSL, TLS.
METHODS AND ALGORITHMS FOR PROTECTING CONFIDENTIAL USER DATA WHEN MAKING ONLINE PAYMENTS Seriy-Kozak S.P.1, Limanova N.I.2
'Seriy-Kozak Sergey Pavlovich — Master Student;
2Limanova Natalya Igorevna — Doctor of Technical Science, Associate Professor, Head of the Department, DEPARTMENT OF INFORMATION SYSTEMS AND TECHNOLOGIES, FEDERAL STATE BUDGETARY EDUCATIONAL INSTITUTION OF HIGHER PROFESSIONAL EDUCATION POVOLZHSKIY STATE UNIVERSITY OF TELECOMMUNICATIONS AND INFORMATICS,
SAMARA
Abstract: this article analyzes methods of protecting the confidential data of users of online stores, methods of ensuring security when making online payments. The basic protocols for protecting data transmission on the Internet are considered. Information protection is an important aspect that has a significant impact on online sales and directly affects consumer behavior. Therefore, ensuring the safety of finances of online stores and their consumers, in the realities of modern commodity-money relations, is the most priority area for the development of the Internet as a whole. Keywords: Internet, information technology, online store, e-commerce, economic efficiency, information protection, information security, SSL, TLS.
УДК 004.031.4
Вопрос безопасности и защите данных при осуществлении взаимодействия посредством сети Интернет сегодня стоит особенно остро. Осуществляя покупки в интернет-магазинах и оплачивая товары банковской картой покупатель зачастую рискует не только раскрыть свои конфиденциальные данные, но и потерять деньги. А продавец рискует не только своим имиджем, но несет финансовые и юридические риски.
Одна из самых первоочередных мер по обеспечению безопасности при расчете в сети интернет, это обучение пользователей минимальным навыкам по защите собственных данных и средств [3]. Необходимо давать пользователям подробную информацию по порядку предоставления услуг и доставки товаров, пользователи должны понимать, что допустимы к использованию только законные интернет—ресурсы, пользователи должны различать и проверять сертифицированные протоколы передачи данных, обеспечивающие максимальную безопасность передаваемой информации.
Широкое применение приобрел протокол Secure Socked Layer (SSL) — криптографический протокол, который зашифровывает передаваемые данные, на взлом такого шифра уйдет большое
| 43 | ВЕСТНИК НАУКИ И ОБРАЗОВАНИЯ № 22(76). Часть 1. 2019.
количество времени и сил [1]. Транзакции протокола SSL не требуют аутентификации пользователя. Этот протокол пользуется технологией шифрования с открытым ключом и цифровыми сертификатами для аутентификации сервера, который принимает участие в осуществлении транзакций. Преимуществом протокола SSL является его независимость от прикладного протокола. Такие протоколы как FTP, TELENET, HTTP и т. д. могут совершенно прозрачно осуществлять свою работу поверх протокола SSL. До того, как приложение передаст свой первый байт сообщения, SSL имеет возможность согласовать ключ сессии и алгоритм шифрования, кроме того, аутентифицировать сервер.
Но в протоколе SSL были обнаружены уязвимости, и ему на смену пришел протокол Transport layer security (TLS) - протокол защиты транспортного уровня [1]. Для аутентификации TLS использует асимметричное шифрование, для конфиденциальности использует симметричное шифрование, для сохранения целостности передаваемых данных используются коды аутентичности сообщений. TLS позволяет клиент-серверным приложениям взаимодействовать таким образом, что осуществить несанкционированный доступ или прослушать передаваемые пакеты представляется крайне затруднительной задачей.
Кроме того, для аутентификации держателя карты используется проверка CVV2/CVK2 кодов карты, но если карта попадет в руки мошенников, то им будут доступны данные коды и они смогут осуществлять покупки по данной карте. Поэтому был предложен следующий протокол безопасности.
Одна из крупнейших платежных систем Visa international предложила свой протокол 3-D Secure - который используется как дополнительный уровень безопасности для онлайн-дебетовых и кредитных карт [2]. Данная технология была специально разработана для увеличения уровня безопасности интернет-платежей. Данный протокол приняли почти все крупные платежные системы. Реализуется данный протокол основываясь на трех доменах в которых зарождается и заканчивается жизненный цикл транзакций. К этим доменам относятся: домен эмитента, домен эквайера, домен взаимодействия. Алгоритм который обеспечивает безопасность 3-D Secure состоит из следующих этапов:
1. Аутентификация держателя карты в настоящем времени, для проверки используется, как правило, одноразовый пароль который известен только держателю карты и банку-эмитенту [4];
2. Банк-эмитент по результатам проведенной проверки формирует ответное сообщение, которое защищено цифровой подписью от несанкционированного доступа;
3. Защита конфиденциальных данных держателя карты, с помощью защищенных страниц платежного сервера, на котором введенная пользователем информация сохраняется. Интернет — магазин, который является получателем платежа, не имеет доступа к этой информации, благодаря чему данная информация защищена от хищения.
Протокол 3-D Secure позволяет не только обеспечивать безопасное проведение платежа, но и осуществляет чёткое разграничение рисков участников транзакции [5]. Таким образом, если транзакция мошенников все-таки прошла, то ответственность будет нести не интернет-магазин, а банк-эмитент, отвечающий за аутентификацию держателя карты.
Все вышесказанное дает основания полагать, что обеспечение безопасности онлайн-платежей является краеугольным камнем, на котором зиждется дальнейшее развитие электронной коммерции.
Список литературы / References
1. OppligerRolf. Introduction // SSL and TLS: Theory and Practice. 2nd. Artech House, 2016. C. 13.
2. Андрианов В.В., Зефиров С.Л., Голованов В.Б., Голдуев H.A. Обеспечение информационной безопасности бизнеса / Под ред. Курило А.П. М.: Аль-пина Паблишерз, 2011.
3. Боридько И.С. Диссертация на тему: Методическое обеспечение защиты информации автоматизированной системы от несанкционированного доступа с учетом менеджмента инцидентов информационной безопасности 05.13.19. Ин-т инженер. Физики, 2013. 143 с.
4. Дзьобан П.И. Системный анализ и программная реализация процедуры идентификации пользователей в web-приложениях / Власенко А.В., Дзьобан П.И. // Материалы XVI Международной научной конференции 19-21 октября 2015 г. в г. Кисловодске. Современные проблемы проектирования, применения и безопасности информационных систем.
5. Дзьобан П.И. Тестирование защищенных web-приложений / Власенко А.В., Дзьобан П.И. // Свидетельство о государственной регистрации базы данных №2014620586. Зарегистрировано в реестре баз данных 21.04.2014 г.
ВЕСТНИК НАУКИ И ОБРАЗОВАНИЯ № 22(76). Часть 1. 2019. | 44 |
