Технология функционирования систем “ Интернет-банк”

Системы “Интернет-банк” построены на счетах банков, с которыми можно оперировать как в онлайновом режиме, так и традиционными способами. Технологически каждый счет есть не что иное, как запись в БД. Платеж сводится к согласованному изменению пар счетов — плательщика и получателя (например, покупателя и продавца).
При этом банк должен решать следующие задачи:
- определить права плательщика на управление счетом;
- получить от плательщика описание операции;
- проверить допустимость операции;
- возможно, получить от получателя согласие на проведение операции;
- сгенерировать трансакции по взиманию комиссии;
- изменить записи счетов плательщика и получателя;
- разослать сторонам отчетыквитанции;
- сохранить отчет у себя.
Для электронных финансовых услуг, предлагаемых в Интернете, обеспечение безопасности связи является первоочередным. Современные криптографические технологии позволяют свести соответствующие риски практически до нуля.
Безопасность системы “Интернет-банк” гарантирована как аппаратным обеспечением, так и на программном уровне. Все пересылаемые данные шифруются: как информация, пересылаемая клиентом в банк, так и пересылаемая банком клиенту.
На практике работа системы безопасности выглядит следующим образом. Клиент, используя обычный браузер, входит на сервер банка с системой “Интернет-банк”. Сервер проверяет наличие у клиента электронного сертификата, выданного банком. Клиент выбирает из списка сертификат, которым он должен воспользоваться (у него может быть несколько сертификатов, выданных разными организациями), и вводит ПИНкод.
Данные электронного сертификата передаются в банк, где они проверяются. После успешного прохождения аутентификации и обеспечения безопасности канала связи, загружается страница регистрации для ввода идентификатора и пароля. После шифрования пароль передается в банк и там сравнивается с паролем, хранящимся в БД.
В качестве пароля в Интернете может использоваться секретная информация:
1) общий многоразовый ключ. Банк хранит ключ, ассоциированный со счетом. Пользователь при входе в систему передает этот ключ банку, банк сверяет его со своей записью и в случае совпадения считает, что у пользователя есть права, ассоциированные с данным ключом. В случае троекратного ввода неверных данных (идентификатор и пароль) доступ к системе “Интернет-банк” блокируется, и для того, чтобы снять блокировку, требуется личный контакт с соответствующим филиалом банка.
Главный недостаток этого метода очевиден: ключ многократно передается по Интернету и в случае его перехвата злоумышленник получает доступ к счету. Простейшей модификацией является ситуация, когда банк не спрашивает ключ, а передает случайный текст. Пользователь шифрует этот текст своим ключом и отправляет банку. Банк расшифровывает текст этим же ключом и в случае совпадения с исходным убеждается, что пользователь (плательщик) знает ключ. Естественно, эти операции плательщик делает не непосредственно, а при помощи программыклиента.
Многие системы интернет-банкинга для идентификации клиента используют аппаратные средства, например ключевой элемент памяти — микросхему на компактном носителе. Данные, записанные на ключевом элементе памяти, считываются с помощью адаптера, который подсоединяется к компьютеру пользователя.
2) общие одноразовые ключи. Большой срок жизни пароля приводит к опасности его раскрытия.
Поэтому часто вместо одного ключа выдается целый блокнот. Он может быть реальным списком, программой или выполнен аппаратно, в виде маленького калькулятора. В последнем случае банк присылает запрос, который вводится в калькулятор (в некоторых случаях калькулятор оснащается считывающим устройством штрихкодов, которое считывает закодированный в штриховую последовательность запрос банка с экрана компьютера), а на выходе по некоторому алгоритму генерируется ответ, вводимый в компьютер вручную;
3) принципиальная проблема одноразовых и многоразовых симметричных ключей — недоказуемость факта совершения банковских операций клиентом, а не третьим лицом. Возможное решение — использовать алгоритмы с разделяемыми секретами (ключами). Простейший пример — одностороннее асимметричное шифрование. Для такого шифрования используются два ключа. Одним ключом документ зашифровывается, другим расшифровывается, причем по одному из них практически невозможно определить другой (подробнее см. п. 1.8.1).
После успешной верификации пароля клиент получает доступ к информации и операциям со своими счетами. Каждая трансакция подписывается ЭЦП.
В системах интернет-банкинга фиксируются каждая попытка входа и все совершаемые действия пользователей. В ряде банков предусмотрена услуга мониторинга счетов. Как только на счетах клиента начинается движение, система автоматически посылает сообщение на пейджер, мобильный телефон или электронный почтовый ящик — по выбору клиента. Клиент решает, считать ли эту операцию подозрительной, и в случае несанкционированного доступа к его счету может сообщить об этом службе безопасности банка. Исходя из вышесказанного, можно с уверенностью сказать, что защита систем такого класса довольно надежна и “взломать” ее крайне сложно.
После решения вопросов аутентификации и авторизации клиент получает возможность создавать, редактировать, распечатывать, подписывать и отправлять в банк исходящие документы, которые могут иметь один из следующих статусов:
- новый. Документ со статусом “Новый” банком не рассматривается и не обрабатывается;
- подписан. Статус “Подписан” присваивается документу, когда клиент подписал его электронной цифровой подписью;
- на обработке. Статус “На обработке” присваивается документу, когда документ был загружен в автоматизированую банковскую систему — принят к обработке;
- на исполнении. Статус “На исполнении” присваивается документу, когда в автоматизированой банковской системе было принято решение исполнить документ и сформирована плановая проводка;
- исполнен. Статус “Исполнен” означает, что документ банком исполнен и проведен в балансе проводкой;
- отвергнут. Статус “Отвергнут” означает, что документ банком отвергнут, и исполняться не будет;
- удален. Клиент может удалить документ, имеющий статус “Новый” или “Подписан”.
На рис. 6.11 представлены возможные статусы документов со штатными переходами (жирными стрелками выделен наиболее частый путь изменения статуса документов).
Структуру документов системы интернет-банкинга наглядно демонстрирует российская система класса “iBank 2” (рис. 6.12).?
Новый
Интерфейс ряда систем интернет-банкинга опирается на международный стандарт Open Financial Exchange (OFX), что позволяет им эффективно обмениваться данными с любыми учетными системами автоматизации финансовохозяйственной деятельности предприятий.
<< | >>
Источник: А.В. Юрасов. Электронная коммерция. 2003

Еще по теме Технология функционирования систем “ Интернет-банк”:

  1. Технологии снижения рисков платежных систем в интернете
  2. Глава 1. Технологии Интернет
  3. 2.4. Функционирование денежной системы
  4. Интернет-технологии в управлении внутрикорпоративными РR
  5. Технология приобретения товаров в интернет-магазине
  6. Функционирование электронной биржевой торговли (система АТС/2)
  7. Центральный банк - основное звено банковской системы
  8. Если персонал банка показался грубым, но банк хорош, стоит поменять отделение, а не банк
  9. Использование рекламных технологий в Интернете
  10. Технологии развития PR-коммуникаций в среде Интернета
  11. Структура и порядок функционирования систем взаиморасчетов по пластиковым картам
  12. Банк. Общая система налогообложения
  13. Центральный банк как регулирующая часть банковской системы
  14. Характеристика автоматизированных систем обработки экономической информации, функционирование и принципы построения