8.Универасальная электронная платежная система ueps.

«Сберкарт» off-line.

Система разработана французской компанией «NET 1 International».

В самой системе задействовано три вида карт:

1. Служебные банковские – карточки, которые выдаются персоналу банка.

2. Торговые карты – выдаются торговым точкам, участникам платежной системы.

3. Клиентские карты.

Характеристики карты.

ЦПУ: SGS-Thompson, 8-bit.

Система команд Motorola 680S.

Оперативная память: 160 б

ПЗУ:6 кб

ЭСППЗУ:2 кб

ОС: MCOS – многозадачная чиповая ОС.

При попытке спиливания кристалла по слоям либо облучением ультрафиолетом – чип выходит из строя.

Состав платежной системы:

1. Центр эмиссии – организация, которая внедряет пластиковые карточки.

Действия:

1. Генерация главного ключа ПС.

2. Первичная эмиссия ПК – каждой карточке присваивается уникальный серийный номер USN, занесение главного ключа.

3. Регистрация банков.

4. Ведение справочников типов карт и видов валют.

5. Поддержка БД всех карт в данной системе.

2. Банки.

1. Выпуск карт (клиентские и торговые).

2. Набор ключей, заносятся на карточки перед тем, как выдать.

3. Операционные пункты.

1. Ключи, группы:

- P0 – главный ключ, осуществляющий административный доступ ко всей карте.

- P1:

PIN B – если операционист банка

PIN M – пароль кассира

PIN 1 – пароль клиента на зачисление средств.

- P2: RFU – резервный пароль.

PIN 2 – пароль клиента на списание средств.

• P3 – P4 – резервные группы.

• P5 – P7 – сессионные ключи.

• P6: RFU – резервный пароль.

Банк: KI11, KI2.

Торговая: KA1, KA2 инкассация ПК.

Платежные транзакции.

1. Пополнение карты. Клиент предъявляет PIN1.

2. Платежная операция. В POS терминал вставляется клиентская карточка КПК и торговая ТПК. POS терминал играет роль маршрутизатора. На КПК требуется PIN2.

3. Инкассация ТПК. 1 раз в сутки.

1. Выполнение транзакций.

2. Список заблокированных карт  ТПК.

Выпуск карт:

1. Изготовление карт.

Записывается USN.

P0  транспортный ключ.

2. Центр эмиссии банка.

P0  главный (master) ключ.

P5 и P7.

3. Администратор безопасности банка.

P1 и P6.

KA1, KA2 – ТПК

KI1, KI2 – КПК.

Код валюты, название магазина.

4. Персонализация карты.

В терминал вставляется банковская ПК, вводится PIN B и вставляется КПК. Вводится информация о счете и клиенте. Вводятся PIN1 и PIN2.

Всё шифруется на ключах KI1 и KI2.

9.Протокол защищенных электронных транзакций set.

SET – Secure Electronic Transaction. Протокол, разработанный для того, чтобы с пластиковых карточек можно было совершать оплату через интернет, без использования POS терминалов.

SETv1 – 1996 г. Master Card и Visa.

Сервисы:

1. Защищенный канал.

2. Аутентификация на основе X.509v3.

3. Секретность (шифрование).

SET книги:

1. «Описание возможности применения» - 80 стр.

2. «Руководство программиста» - 629 стр.

3. «Формальное определение протокола» - 262 стр.

Требования к электронным платежам:

1. Конфиденциальность платежа и информации о заказе.

2. Целостность передаваемых данных.

3. Аутентификация владельца пластиковой карточки.

4. Аутентификация продавца.

5. Криптографическая защита передаваемых данных.

6. Независимость от других средств защиты (SSL, VPN и т.д.).

7. Совместимость продуктов различных поставщиков.

SET

Участники транзакций:

1. Владелец ПК

2. Продавец - должен зарегистрироваться в ОС

3. Банк-эмитент

4. Операционный центр

5. Шлюз платёжной системы

6. Центр сертификации

Владелец ПК -> Internet -> Продавец -> Internet -> Шлюз плат. системы

\_ Центр сертификации - Банк эмитент - Платёж. сеть - Операционный центр

От центра сертификации также идёт стрелки к Платёжные сети и Операционный центр

Последовательность транзакций:

1. Открытие счёта (получение ПК)

2. Получение покупателем сертификата Х.509 (RSA)

3. Получение продавца сертификата Х.509 (1) Для обмена ключами (2) для ЭЦП

4. Размещение заказа

Пок - Пр: Список товаров

Пр - Пок: бланк заказа

5. Проверка продавца

Пр - Пок: Х.509 (Пр)

6. Отправка заказа и платежа

Пок-Пр: заказ платежной информации, сертификат

платежная информация:

1) Информация о ПА

2) Объём средств

Информация о ПК шифруется и продавцу она недоступна

7. Авторизация платежа

Пр - Шлюз: платёжеспособная информация

8. Подтверждение платежеспособности

Шлюз --> ОЦ --> <Б-э

Шлюз -> Пр: информация о платежеспособности

9. Подтверждение заказа

Пр-Пок: подтверждение

10. Доставка товара

11. Запрос платежа

PCI DSS

Некоторые транзакции:

1. Требование на закупку сообщения:

1) Initial Request

Запрос: Серт (Пр), Серт (ПС)

инф о ПК и R, (сл. число)

2) Initial Response

V[пр] (R[1],R[2], ID(транз), Серт(Пр), Серт(шлюза))

3) Perchase Requst

OI - инф о заказе

PI - платежн инф

K[s] - сеансовый ключ

а) инф о платеже E[k[s]}(PI,DS,OIMD = H(OI)) || E[отк шл](K[s])

DS = E[пок](H(H(PI)||H(OT))

H()- SHA-1

б) информация о заказе

(OI, DS, PIMD = H(PI))

в) сертификат пок

Действия продавца:

а) Проверяет сертификат

б) Проверяет DS

Н(PIMD || H(OI)) =?= D[пок](DS)

c) обрабатывает заказ

г) пересылает платёжную информацию шлюзу

д) ответ покупателю

4) Purchase Responce

Пр -> Пок: E[пр](подтверждение заказа, № транзакции, серт(Пр))

2. Разрешение на оплату

1) Authorization

Request

Пр->Ш:

а) Инф о платеже

E[пок](PI,DS,OIMD), циф. конверт = E[отк.шлюза](K[s])

б) инф. авторизации E[ks](ID транзакции, цифровой конверт)

в) серт. (пок), серт(прод, для подписи), серт(продав, для шифрования)

Действия шлюза:

а) Проверка сертификатов

б) Дешифрует блок авторизации

в) проверка подписи продавца

г) дешифр. платежн инф.

д) проверка ID тр. из авт и из PI

е) формир сообщения для банка

2) Authorization Responce

a) E[ks](V[ш](инф. авт.)), E[отк.про](K[s])

б) E[отк.ш](Мандат на получения платежа)

3) Получение оплаты

сообщения

1) Capture Request

E[ш](V[пр]( сумма, ID транзакции)), мандат на оплату -> Шл.

Шл: Сравнивает мандат

Шл: -> Б-Э: инф о переводе средств.

2) Capture Response

Шл->Пр: E[отк.про](Ответ банка)

10.11.11 г.