|
|
|
Opis problema
|
Elektronički novac, odnosno elektronička gotovina, jedan je od načina ostvarivanja
elektroničkog oblika plaćanja. Razvoj elektroničkog novca potaknut je širenjem Interneta, kojim se se obavlja sve veći broj transakcija uz neizbježnu komunikaciju i poslovanje ljudi širom svijeta. Da bi se takve transakcije što jednostavnije, uz što manje troškova i u što kraćem vremenu obavljale, razvijeni su
različiti oblici elektroničkog plaćanja. Plaćanje elektroničkim novcem nalikuje normalnom
plaćanju gotovinom.
Protok elektroničke informacije, kao što je elektronički novac,
između dviju strana koje komuniciraju putem Interneta,
omogućava njeno nesmetano promatranje i eventualnu zlouporabu od
treće strane. Da bi se takve neželjene aktivnosti neutralizirale ili sprječile, koristi se zaštita kriptiranjem te provjera autentičnosti sudionika u transakciji. Podloga takvim postupcima su
različiti kriptografski algoritmi i mehanizmi te dodatno razvijeni protokoli više razine koji osiguravaju zaštitu elektroničke informacije kao i privatnost sudionika transakcije. Upravo su privatnost i autentičnost bitne osobine potencijalnog sustava
elektroničkog
plaćanja.
U ovom seminaru se¸ obrađuje jedan protokol pri plačanju elektroničkim novcem.
Plaćanje po elekroničkim novcem u poslijednje vrijeme sve više preuzima inicijativu nad plaćanjem putem kreditnih kartica jer je takav
način plačanja sigurniji i neposredniji bez dodatnog
terečenja računa (tipično se za obradu kreditnih kartica
naplaćuje dodatni isznos a neke banke uzimaju i dodatni
postotal.
Kao dio seminara izrađen je i sustav koji se sastoji od tri modula: klijenta, trgovca i banke u kojoj je sadržan i autentifikacijski poslužitelj. Sva tri modula su samostalne aplikacije koje komuniciraju preko mreže. Riješenje je napisano u programskom jeziku Java pošto je to danas najsigurniji i najrašireniji programski jezik za mrežu. Realizacija apletima nije dolazila u obzir pošto se tada ograničava (zbog sigurnosnih razloga) pisanje na klijentov disk. Pošto je modul klijenta aplikacija koju on dobiva iz banke otvaranjem svoga računa klijent može elektroničku
novčanicu bez problema pohraniti na disk te ju koristiti nakon nekoga vremena. U simulaciji je za
početak nije relizirana ta mogučnost jer to povlači neke dodatne korake koji
će biti realizirani u budućnosti.
Radi što bolje analize problema zaštite postupka plaćanja
elektroničkim novcem, na početku je potrebno prikazati osnovne koraka tog postupka. U svakom obliku protokola
plaćanja elektroničkim novcem javljaju se tri sudionika: kupac[2] , trgovac[3] i banka. Komunikacija je uspostavljena
između sva tri sudionika, pri čemu su, za sada, bitna tri osnovna osnovna koraka protokola, dok
će se u jednom od poglavlja diplomskog rada detaljno analizirati odabrani protokol. Slika
dolje ilustrira spomenuta tri osnovna koraka. (Preuzeto)
1. podizanje novca iz banke (od strane kupca)
2. plaćanje (kupac plaća trgovcu)
3. depozit primljenog novca u banku (od strane trgovca)
S obzirom da se sva tri opisana koraka odvijaju putem Interneta, nazire se da takav nezaštićen oblik komunikacije nije siguran niti za jednog od sudionika transakcije. To
znači da poruka, elektronička novčanica koja, na primjer, u 2. koraku putuje od kupca prema trgovcu, nije sigurna da će
stići na odredište u izvornom obliku, da će uopće
stići na odredište, da će biti neovlašteno kopirana, odnosno da
će 2 korak biti simuliran od lažnog kupca, dakle nije sigurno da
će odredište primiti važeću ili izmišljenu poruku. Isti zaključak vrijedi za svaki pojedini korak protokola plaćanja
elektroničkim novcem bez obzira radi li se o tri osnovna koraka ili više njih u kasnije opisanom protokolu. Dakle općenito javlja se problem zaštite elektroničke informacije koja putuje Internetom od zlouporabe
treće strane[4] te autentičnosti informacije koja dolazi na odredište. S odgovarajućom kriptografskom zaštitom, željena funkcionalnost protokola plaćanja
elektroničkim novcem nije upitna. U tu svrhu, koriste se
asimetrični, simetrični i hash kriptografski algoritmi te protokol za
utvrđivanje autentičnosti sudionika transakcije. U ovom seminarskom radu kao kriptografski algoritami
koristit se se Java SSE za sigurnu komunikaciju ili Java 1.4.
|
|