- •Программно-аппаратные системы обеспечения информационной безопасности.
- •Аутентификация.
- •2.Некоторые протоколы аутентификации.
- •Служба аутентификации X.509.
- •Система обнаружения вторжения.
- •(События)
- •(Анализатор)
- •Многоагентные системы.
- •5.Интеллектуальные системы анализа в сов.
- •1. Продукционные системы.
- •2.Байесовские фильтры.
- •3.Нейронные сети.
- •4.Метод опорных векторов (svm).
- •6.Межсетевые экраны.
- •Фильтрация пакетов.
- •7.Защита электронных платежных систем.
- •8.Универасальная электронная платежная система ueps.
- •Платежные транзакции.
- •9.Протокол защищенных электронных транзакций set.
- •10. Микроплатежные системы.
- •11.Классификация компьютерных преступлений.
- •13.Оценка защищенности информационной системы.
- •Аутентификация.
- •Совместимость на уровне электронной почты.
- •Сегментация.
8.Универасальная электронная платежная система ueps.
«Сберкарт» off-line.
Система разработана французской компанией «NET 1 International».
В самой системе задействовано три вида карт:
-
Служебные банковские – карточки, которые выдаются персоналу банка.
-
Торговые карты – выдаются торговым точкам, участникам платежной системы.
-
Клиентские карты.
Характеристики карты.
ЦПУ: SGS-Thompson, 8-bit.
Система команд Motorola 680S.
Оперативная память: 160 б
ПЗУ:6 кб
ЭСППЗУ:2 кб
ОС: MCOS – многозадачная чиповая ОС.
При попытке спиливания кристалла по слоям либо облучением ультрафиолетом – чип выходит из строя.
Состав платежной системы:
-
Центр эмиссии – организация, которая внедряет пластиковые карточки.
Действия:
-
Генерация главного ключа ПС.
-
Первичная эмиссия ПК – каждой карточке присваивается уникальный серийный номер USN, занесение главного ключа.
-
Регистрация банков.
-
Ведение справочников типов карт и видов валют.
-
Поддержка БД всех карт в данной системе.
-
Банки.
-
Выпуск карт (клиентские и торговые).
-
Набор ключей, заносятся на карточки перед тем, как выдать.
-
Операционные пункты.
-
Ключи, группы:
- P0 – главный ключ, осуществляющий административный доступ ко всей карте.
- P1:
PIN B – если операционист банка
PIN M – пароль кассира
PIN 1 – пароль клиента на зачисление средств.
- P2: RFU – резервный пароль.
PIN 2 – пароль клиента на списание средств.
-
P3 – P4 – резервные группы.
-
P5 – P7 – сессионные ключи.
-
P6: RFU – резервный пароль.
Банк: KI11, KI2.
Торговая: KA1, KA2 инкассация ПК.
Платежные транзакции.
-
Пополнение карты. Клиент предъявляет PIN1.
-
Платежная операция. В POS терминал вставляется клиентская карточка КПК и торговая ТПК. POS терминал играет роль маршрутизатора. На КПК требуется PIN2.
-
Инкассация ТПК. 1 раз в сутки.
-
Выполнение транзакций.
-
Список заблокированных карт ТПК.
Выпуск карт:
-
Изготовление карт.
Записывается USN.
P0 транспортный ключ.
-
Центр эмиссии банка.
P0 главный (master) ключ.
P5 и P7.
-
Администратор безопасности банка.
P1 и P6.
KA1, KA2 – ТПК
KI1, KI2 – КПК.
Код валюты, название магазина.
-
Персонализация карты.
В терминал вставляется банковская ПК, вводится PIN B и вставляется КПК. Вводится информация о счете и клиенте. Вводятся PIN1 и PIN2.
Всё шифруется на ключах KI1 и KI2.
9.Протокол защищенных электронных транзакций set.
SET – Secure Electronic Transaction. Протокол, разработанный для того, чтобы с пластиковых карточек можно было совершать оплату через интернет, без использования POS терминалов.
SETv1 – 1996 г. Master Card и Visa.
Сервисы:
-
Защищенный канал.
-
Аутентификация на основе X.509v3.
-
Секретность (шифрование).
SET книги:
-
«Описание возможности применения» - 80 стр.
-
«Руководство программиста» - 629 стр.
-
«Формальное определение протокола» - 262 стр.
Требования к электронным платежам:
-
Конфиденциальность платежа и информации о заказе.
-
Целостность передаваемых данных.
-
Аутентификация владельца пластиковой карточки.
-
Аутентификация продавца.
-
Криптографическая защита передаваемых данных.
-
Независимость от других средств защиты (SSL, VPN и т.д.).
-
Совместимость продуктов различных поставщиков.
SET
Участники транзакций:
1. Владелец ПК
2. Продавец - должен зарегистрироваться в ОС
3. Банк-эмитент
4. Операционный центр
5. Шлюз платёжной системы
6. Центр сертификации
Владелец ПК -> Internet -> Продавец -> Internet -> Шлюз плат. системы
\_ Центр сертификации - Банк эмитент - Платёж. сеть - Операционный центр
От центра сертификации также идёт стрелки к Платёжные сети и Операционный центр
Последовательность транзакций:
1. Открытие счёта (получение ПК)
2. Получение покупателем сертификата Х.509 (RSA)
3. Получение продавца сертификата Х.509 (1) Для обмена ключами (2) для ЭЦП
4. Размещение заказа
Пок - Пр: Список товаров
Пр - Пок: бланк заказа
5. Проверка продавца
Пр - Пок: Х.509 (Пр)
6. Отправка заказа и платежа
Пок-Пр: заказ платежной информации, сертификат
платежная информация:
1) Информация о ПА
2) Объём средств
Информация о ПК шифруется и продавцу она недоступна
7. Авторизация платежа
Пр - Шлюз: платёжеспособная информация
8. Подтверждение платежеспособности
Шлюз --> ОЦ --> <Б-э
Шлюз -> Пр: информация о платежеспособности
9. Подтверждение заказа
Пр-Пок: подтверждение
10. Доставка товара
11. Запрос платежа
PCI DSS
Некоторые транзакции:
1. Требование на закупку сообщения:
1) Initial Request
Запрос: Серт (Пр), Серт (ПС)
инф о ПК и R, (сл. число)
2) Initial Response
V[пр] (R[1],R[2], ID(транз), Серт(Пр), Серт(шлюза))
3) Perchase Requst
OI - инф о заказе
PI - платежн инф
K[s] - сеансовый ключ
а) инф о платеже E[k[s]}(PI,DS,OIMD = H(OI)) || E[отк шл](K[s])
DS = E[пок](H(H(PI)||H(OT))
H()- SHA-1
б) информация о заказе
(OI, DS, PIMD = H(PI))
в) сертификат пок
Действия продавца:
а) Проверяет сертификат
б) Проверяет DS
Н(PIMD || H(OI)) =?= D[пок](DS)
c) обрабатывает заказ
г) пересылает платёжную информацию шлюзу
д) ответ покупателю
4) Purchase Responce
Пр -> Пок: E[пр](подтверждение заказа, № транзакции, серт(Пр))
2. Разрешение на оплату
1) Authorization
Request
Пр->Ш:
а) Инф о платеже
E[пок](PI,DS,OIMD), циф. конверт = E[отк.шлюза](K[s])
б) инф. авторизации E[ks](ID транзакции, цифровой конверт)
в) серт. (пок), серт(прод, для подписи), серт(продав, для шифрования)
Действия шлюза:
а) Проверка сертификатов
б) Дешифрует блок авторизации
в) проверка подписи продавца
г) дешифр. платежн инф.
д) проверка ID тр. из авт и из PI
е) формир сообщения для банка
2) Authorization Responce
a) E[ks](V[ш](инф. авт.)), E[отк.про](K[s])
б) E[отк.ш](Мандат на получения платежа)
3) Получение оплаты
сообщения
1) Capture Request
E[ш](V[пр]( сумма, ID транзакции)), мандат на оплату -> Шл.
Шл: Сравнивает мандат
Шл: -> Б-Э: инф о переводе средств.
2) Capture Response
Шл->Пр: E[отк.про](Ответ банка)
10.11.11 г.