|
Протоколы прикладного уровня |
|||
|
Протокол квитирования SSL (Handshake Protocol) |
Протокол изменения параметров шифрования SSL (Change Cipher Spec Protocol) |
Протокол извещения SSL (Alert Protocol) |
Протокол HTTP |
|
Протокол записи SSL (SSL Record Protocol) |
|||
|
TCP |
|||
|
IP |
|||
Протокол квитирования. Отвечает за начало работы, аутентификацию и согласование криптографических параметров
Протокол изменения параметров шифрования. Обновляет комплект используемых криптографических алгоритмов
Протокол извещения. Передает извещения (предупреждения и ошибки) о работе протокола
Протокол записи. Обеспечивает защищенный информационный обмен и целостность сообщений. Данный протокол отвечает за шифрования трафика между клиентом и сервером.
Протокол SSL обеспечивает режимы односторонней и двусторонней аутентификации абонентов. Это обязательная аутентификация сервера и опциональная аутентификация клиента. Следует сказать, что при использовании SSL данные защищаются только на этапе их передачи от открытым сетям. Как только данные получает один из абонентов, они снова оказываются в незащищенном виде. Этому следует уделять повышенное внимание при анализе уровня безопасности той или иной системы. В любом случае не рекомендуется хранить важные данные на серверах, доступных из Интернет.
6.7.2.Протокол SET
Протокол Secure Electronic Transaction (SET) предназначен для защиты электронных платежей в Интернет с помощью платежных карточек. Спецификации SET были разработаны по инициативе MasterCard и Visa International в 1997 году. Протокол SET является протоколом верхнего уровня. Ниже представлен общий стек протоколов:
Расположение SET означает, что его реализация не должна зависеть от реализации протоколов нижнего уровня.
Функциональные возможности протокола SET:
Обеспечение конфиденциальности информации о заказе и платежной информации;
Аутентификация владельца кредитной карты;
Аутентификация продавца или поставщика услуг;
Гарантия целостности передаваемых данных;
Независимость от протоколов нижнего уровня;
В протоколе SET имеются следующие основные участники:
Покупатель;
Продавец;
Центр сертификации;
Шлюз платежной системы;
Банк;
Операционный центр.
Краткое описание последовательности действий:
1. Покупатель открывает карточный счет.
2. Покупатель и продавец получают сертификаты.
3. Покупатель оформляет заявку.
4. Продавец выдает бланк заказа и свой сертификат.
5. Покупатель отправляет информацию о заказе (ЗИ), платежную информацию (ПИ) и свой сертификат.
6. Продавец запрашивает авторизацию платежа.
7. Продавец подтверждает заказ и выполняет свои обязательства.
8. Продавец получает деньги.
Следует заметить, что использование протокола SET не обеспечивает анонимности покупателей. Анонимность электронных платежей может быть реализована только с помощью протоколов цифровых денег.