Аппаратно-программные средства обеспечения целостности информации в электронной денежной системе

Момот, Михаил Викторович

Методы и системы защиты информации, информационная безопасность

автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.19, диссертация на тему:Аппаратно-программные средства обеспечения целостности информации в электронной денежной системе

кандидата технических наук: Момот, Михаил Викторович
город: Томск
год: 2006
специальность ВАК РФ: 05.13.19
цена: 450 рублей

Диссертация по информатике, вычислительной технике и управлению на тему «Аппаратно-программные средства обеспечения целостности информации в электронной денежной системе»

Автореферат диссертации по теме "Аппаратно-программные средства обеспечения целостности информации в электронной денежной системе"

На правах рукописи

УДК 004.056:336.717 „

¡А

Момот Михаил Викторович

АППАРАТНО - ПРОГРАММНЫЕ СРЕДСТВА ОБЕСПЕЧЕНИЯ ЦЕЛОСТНОСТИ ИНФОРМАЦИИ В ЭЛЕКТРОННОЙ ДЕНЕЖНОЙ

СИСТЕМЕ

Специальность 05.13.19 - Методы и системы защиты информации, информационная безопасность

АВТОРЕФЕРАТ диссертации на соискание ученой степени кандидата технических наук

Томск - 2006

Работа выполнена на кафедре автоматизированных систем управления, Томского государственного университета систем управления и радиоэлектроники (ТУСУР)

НАУЧНЫЙ РУКОВОДИТЕЛЬ:

Заслуженный деятель науки РФ, доктор технических наук, профессор Кориков Анатолий Михайлович

ОФИЦИАЛЬНЫЕ ОППОНЕНТЫ: Доктор технических наук, профессор

Ехлаков Юрий Поликарпович

Доктор технических наук, профессор Спицын Владимир Григорьевич

ВЕДУЩАЯ ОРГАНИЗАЦИЯ: Новосибирский государственный

технический университет

Защита состоится «26» декабря 2006 г. в 15:15 на заседании диссертационного совета Д 212.268.03 в Томском государственном университете систем управления и радиоэлектроники (ТУСУР) по адресу: 634050, г. Томск, пр. Ленина 40.

с диссертацией можно ознакомиться в библиотеке Томского государственного университета систем управления и радиоэлектроники по адресу: 634034, г. Томск, ул. Вершинина, 74.

Автореферат разослан «_» ноября 2006г.

Ученый секретарь диссертационного совета к.т.н., доцент р,в, Мещеряков

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ Актуальность темы. Денежные отношения с использованием электронных средств в настоящее время переживают период бурного развития. Использование электронных устройств и новые электронные способы обмена информацией предполагают наличие платных информационных и иных зависимых от информации услуг. Финансовые организации стабильно увеличивают рынок электронных платежных средств. Но защита пользовательских платежных инструментов (ППИ) в электронных платежно-денежных системах (ЭПДС) на сегодняшний день находится на низком уровне и возложена в основном па пользователей, не редки случаи кражи электронных средств. В этой связи, остро стоит проблема создания универсального ППИ, способного перемещать денежную стоимость с высокой скоростью (желательно мгновенно) и при этом обеспечивающего максимальную, в идеале непреодолимую, защиту как от подделки, так и от похищения единиц стоимости. Немаловажно осуществление защиты ППИ не лично пользователем, а автоматически, что позволит привлечь в электронный товарообмен не только профессионалов компьютерной техники, но и людей, не имеющих специальных технических знаний и не умеющих самостоятельно качественно организовать защиту своих электронных финансов. Высока также стоимость самого перемещения. Вследствие того, что в сети Интернет применяются одни платежные инструменты, а в повседневной жизни другие, то следует учитывать и стоимость конверсии, более того операция конверсии может занять некоторое время и часто слабо поддается автоматизации. Перечисленное выше, несомненно, тормозит развитие информационной экономики. Таким образом, актуальность темы диссертации обусловлена:

•развитием электронных сервисов представления товаров, развитием рынка информационных товаров и информационной экономики в целом;

• ростом стоимости использования бумажной денежной наличности по мере становления информационного общества;

• слабой перемещаемостью и ликвидностью существующих электронных эквивалентов денег;

• отсутствием ЭПДС, обладающей функциональностью наличных денег и потребностью в ЭПДС, позволяющей проводить финансовые операции между плательщиком и получателем без посредников банковской системы;

•отсутствием электронных ППИ, служащих для электронных взаиморасчетов между участниками, в режиме реального времени, с использованием электронных аналогов денег, без привлечения каких-либо центров авторизации, кроме участвующих в расчете индивидуальных электронных денежных модулей (ЭДМ), которые, подобно бумажной

денежной наличности, защищаются несколькими степенями защиты, и подделка которых возможна только при вскрытии всех этих степеней;

•необходимостью обеспечения возврата денежных средств владельцу ЭДМ при его утере или краже;

■ »потребностью в обеспечении возврата средств владельцу в случае выхода из строя его ППИ (ЭДМ).

Объектом исследования являются электронные платежно - денежные системы.

Предметом исследования являются способы передачи критичной к подделке информации, способы защиты электронной информации, способы организации электронных платежных инструментов, методики анализа эффективности ЭПДС.

Цель и задачи исследования. Целью диссертационной работы является разработка и исследование электронной денежной системы (ЭДС), обоснование принципов функционирования и структуры ЭДС, выбор электронных компонент (ЭДМ) и создание программных компонент, реализующих основные функции электронной денежной системы.

Для достижения поставленной цели исследования необходимо решить следующие задачи:

• определить требования к ЭДС и разработать принципы ЭДС;

• разработать принципы построения защищенного ППИ;

• разработать способ передачи защищенных сообщений в ЭДС;

• разработать способ проведения платежа в ЭДС;

• разработать способы возврата утерянных денежных средств и денежных средств с неисправных ППИ;

• создать методику оценки эффективности ЭПДС.

Методы исследования. Реализация сформулированных цели и задач исследования осуществлялись на основе анализа существующих на настоящий момент теоретических и практических разработок, относящихся к исследуемой области, произведения поиска по базам изобретений, зарегистрированных в Российской Федерации и Евросоюзе. При программной реализации полученных способов и алгоритмов, использовалось: объектно-ориентированное программирование. Алгоритмы наложения и проверки электронной цифровой подписи (ЭЦП) заново не создавались, а использованы из известных источников.

Основные научные результаты, полученные автором и выносимые на защиту:

1. Принципы построения и структура электронной денежной системы.

2. Способы защиты от подделки передаваемых сообщений в ЭДС и проведения платежа в ЭДС.

3. Способы возврата средств с утерянных и неисправных денежных инструментов пользователей.

4. Программные средства, реализующие основные подсистемы ЭДС.

5. Методика анализа эффективности ЭПДС как средств замены наличных денег.

Научная новизна результатов

1. Разработанная ЭДС отличается от аналогов распределением ключевой информации и содержанием ППИ (ЭДМ), которые представлены в виде электронных устройств с многостепенной защитой от подделки самих устройств и передаваемой информации.

2. Предложенные способы передачи информации и проведения платежей между ППИ, входящими в ЭДС, отличаются от аналогов возможностью работы в режиме непосредственной связи между собой и сохранения при этом гарантированной целостности передаваемой информации и проводимых платежей. Результат достигается за счет оригинального способа передачи ключевой информации и использования ЭЦП.

3. Разработанный способ защиты от вскрытия ЭДС отличается тем, что позволяет поддерживать высокую степень защиты ЭДС в целом, за счет смены ключей ЭЦП вместе с микроконтроллерами внутри ЭДМ постепенно, без остановки электронной денежной системы.

4. Предложенный способ возврата утерянных денежных средств базируется на возможности передачи информации о денежной стоимости ЭДМ в центр эмиссии (ЦЭ) через цыпочку взаимодействующих между собой ЭДМ.

5. Разработанный способ возврата средств владельцу, в случае выхода из строя его ЭДМ отличается тем, что базируется на избыточности информации, хранимой внутри ЭДМ на разных защищенных микроконтроллерах, и возможности организации обмена информацией с уцелевшими микроконтроллерами неисправного ЭДМ.

Достоверность результатов работы подтверждается строгим применением методов системного проектирования прикладного программного обеспечения, экспертным анализом полученных результатов и выводов, а также внедренными в производственный процесс электронными и программными компонентами ЭДС.

Практическая ценность работы. Предложенная концепция, структура и компоненты ЭДС, а также разработанное на этой основе программное обеспечение (ПО) представляют практическую основу для обеспечения целостности информации в системах перемещения электронных денег. Возможно применение во многих информационных системах, в которых имеется потребность в защите от подделки электронной информации. Реализованное ПО ЭДС является открытым для доработки, в него могут быть добавлены новые функции, а некоторые функции могут быть модифицированы для применения ПО в другой предметной области.

Внедрение результатов диссертации. Программные компоненты ЭДС успешно прошли тестовую эксплуатацию в Юргинском отделении Сбербанка России, в Юргинский подразделении Сибакадембанка. ПО ЭДС использовано в учебном процессе кафедры АСУ Томского государственного университета систем управления и радиоэлектроники.

Апробация работы. Результаты диссертации докладывались на конференциях, семинарах:

• Региональная научно-практическая конференция «Прогрессивные технологии и экономика в машиностроении», ЮТИ ТПУ, Юрга -2002.

• IV Международная научно-техническая конференция «Динамика систем, механизмов и машин», ОмГТУ, Омск - 2002.

• III Международный технологический конгресс «Военная техника и вооружение и технологии двойного применения», Омск — 2005.

• II Всероссийская конференция творческой молодежи «Актуальные проблемы авиации и космонавтики»: Красноярск - 2006.

• Международная научно-техническая конференция «Информационные технологии в науке, образовании и производстве (ИНТОП), 0рел-2006.

• Всероссийская научно-техническая конференции студентов, аспирантов и молодых ученых, Томск -2006.

• Восьмая всероссийская научно-практическая конференция «Проблемы информационной безопасности государства, общества и личности», Томск- 2006.

• Двенадцатая международная научно-практическая конференция "Природные и интеллектуальные ресурсы Сибири (Сибресурс-12-2006)".

Публикации по теме диссертации. Результаты диссертации отражены в 15 публикациях, в том числе две публикации в издании, рекомендованном ВАК, 10 публикаций в материалах международных и российских конференций, 2 свидетельства о государственной регистрации программ для ЭВМ. По результатам проведенных исследований зарегистрирована группа изобретений [12].

Личный вклад диссертанта. Результаты, составляющие основное содержание диссертации, получены автором самостоятельно. В опубликованных работах автором лично разработаны принципы построения и структура ЭДС, способ защиты от подделки передаваемых сообщений в ЭДС[10-12], способ проведения платежа в ЭДС[10-12], способы возврата средств с утерянных и неисправных денежных инструментов пользователей[10-12]. Автором диссертации создано программное обеспечение, реализующие указанные функции [2,3], и методика анализа ЭПДС как средств замены наличных денег [13].

14 страницы занято таблицами и рисунками, 14 страниц списком литературы, и 11 страниц приложениями.

ОСНОВНОЕ СОДЕРЖАНИЕ РАБОТЫ Во введении обоснована актуальность работы, определены цель и задачи исследования, научная новизна и практическая ценность диссертации.

В первой главе проведен анализ существующих форм, методов и систем электронных денежных расчетов. Сравнению и анализу подвергались ЭПДС: управления банковским счетом — клиент-банк; ЭПС WebMoney Transfer (WMT); ЭПС Yandex-Деньги по технологии PayCash; системы банковских карт с магнитной полосой; системы банковских карт с микропроцессором; электронные платежные системы на основе мобильной связи, использующие в качестве ППИ сотовый телефон; электронная денежная система Mondex (использование электронной наличности на основе микропроцессорных карт); электронная денежная система, предложенная Ш.Розеном в патенте на изобретение RU2165101. Сравнительный анализ ЭПДС показал, что на сегодняшний день не существует электронных систем управления денежным обращением, гарантирующих устойчивое функционирование. Результаты анализа известных ЭПДС представлены в таблице!.

Таблица 1

Сравнение электронных платежно-денежных систем_

ЭПДС ХАРАКТЕРИСТИКИ (СВОЙСТВА) ЭПДС

Защита ППИ Работа без связи с ПЦ Возможны взаиморасчетные платежи Возможность возврата утраченных денежных средств

Клиент-банк ППИ - нет, канал связи -да, передаваемая информация - да Нет Да, через банковскую систему Да

ЭПС WMT ППИ - нет, канал связи -да, передаваемая информация - да Нет Да Да, через период

ЭПС Yandex-Деньги (PayCash) ППИ - нет, канал связи -да. Нет Да Да

Карты с магнитной полосой ППИ - частично, канал связи - да Нет Нет Да

М-лроцессорные карты ППИ - нет, канал связи - да Да, с ограничениями Нет Да, через период

Мобильные ЭПС ППИ - да. канал связи - нет Нет Нет Да

ЭДС Mondex ППИ - да, канал связи - да Да Да Нет

ЭДС Ш.Розена ППИ - нет, канал связи -да, информация - да Да Да Да, через период

Известные ЭПДС имеют характеристики (свойства), положительно отличающие их от бумажной денежной наличности, но они не свободны от недостатков: зависимость от наличия постоянных каналов связи; отсутствие гарантированной защиты клиентских рабочих мест либо ППИ; ЭПДС, в основном, не дешевы и транзакции в них между обычными участниками либо невозможны, либо платны; в системе Мопс)ех не возможен возврат утерянных денежных средств. В результате проведенного исследования известных ЭПДС, обоснована постановка задачи создания ЭДС, предлагающей к использованию наличность в электронной форме, ЭДС, имеющую высокую степень защиты от подделки и функционирующую в режиме взаиморасчетов, ЭДС, не требующей постоянной либо периодической связи с центром эмиссии (базой данных счетов) и осуществляющей расчеты между пользователями на основе ППИ без сторонних центров авторизации.

Во второй главе на основе детального анализа аналога (ЭДС Ш.Розена) обоснованы принципы работы запатентованной ЭДС,

1. ЭДС для выполнения финансовых операций с использованием ЭДМ включающая: ЦЭ; совокупность ЭДМ. В функции ЦЭ входит эмиссия ЭДМ и электронной денежной наличности, а также генерация, сопровождение и хранение ключей шифрования и электронной цифровой подписи (ЭЦП) ЦЭ и ЭДМ, а также поддержка стойкости системы к взлому, разбор ситуаций связанных с выходом из строя ЭДМ. ЦЭ включает электронную базу открытых компонент ЭЦП эмитированных ЭДМ, ЭЦП ЦЭ. ЭДМ представляют из себя устройства, хранящие свою денежную стоимость, имеющие свои оригинальные идентификаторы и предназначенные для взаимодействия и проведения платежей с изменением своей внутренней стоимости, друг с другом непосредственно (без участия ЦЭ), а также с участием ЦЭ. Организация предложенной электронной денежной системы представлена на рис.1, рис.2.

ЭДМ состоят из двух или более защищенных от несанкционированного доступа на чтение и запись информации электронных устройств -микроконтроллеров (МК), с внутренними номерами от 1 до N. где Ы-число МК внутри ЭДМ. Для всех ЭДМ, участвующих в прямом взаимодействии, количество внутренних МК совпадает. Каждый из МК в ЭДМ хранит: величину денежной стоимости; открытые ключи ЭЦП ЦЭ; открытые ключи ЭЦП иных МК данного ЭДМ; оригинальные закрытые ключи ЭЦП данного МК; парные к закрытым ключам ЭЦП данного МК открытые компоненты, которые вместе с идентификационными данными по ЭДМ и микроконтроллеру подписаны на ЭЦП ЦЭ.

Открытые ! компоненты ЭЦП ЦЗ №1

Проверка ЭЦП принимаемых сообщений и их последующая обработка

Проверка целостности ЭДМ сверкой значения денежной стоимости С другими МК:

Устанааление канала связи и для обмена информацией по принципу каждый е с равным по номеру в ЭДМ между ЭДМ

Устанавление канала связи и для обмена информацией по принципу каждый с каждым внутри ЭДМ

Формирование и подписание передаваемых сообщений ЭЦП

Рисунок 1 - Электронный денежный модуль ЭДС

Рисунок 2 - Центр эмиссии ЭДС

МК ЭДМ могут устанавливать ханал связи и обмениваться информацией по принципу каждый с каждым, при обмене сообщениями внутри одного ЭДМ, и каждый с равным по номеру МК в ЭДМ, при обмене сообщениями между разными ЭДМ. При обмене сообщениями между МК ЭДМ, сообщения подписываются на предназначенных для данных операций ЭЦП в передающем МК, а при приеме, проверяются на открытых компонентах ЭЦП в принявшем МК. Сообщения принимаются в обработку только при положительном результате проверки ЭЦП. ЭДМ проверяет свою целостность путем сверки значения денежной стоимости между его составляющими МК.

2. Способ передачи сообщений между ЭДМ. ЭДМ обмениваются своими открытыми компонентами ЭЦП и идентификационными данными, которые подписаны ЭЦП ЦЭ. Далее МК обоих взаимодействующих ЭДМ используют

полученные открытые

компоненты для проверки целостности поступающих в данном сеансе сообщений. На рис.3, рис.4 представлена структура основных сообщений курсирующих между ЭДМ, рис.3 - идентификационный блок, содержащий открытые ключи МК ЭДМ и идентификационную информацию - блок открытых ключей, рис.4 — финансовый блок при помощи которого происходит

передача денежной стоимости от одного ЭДМ к другому.

На примере способа передачи сообщений - рис.5, рис.б. показано каким образом осуществляется защита

передаваемых сообщений. Перед отправкой сообщения,

отправляющий ЭДМ производит его внутреннюю сверку, а затем отправляет свои БОК на ЭДМ приемник. ЭДМ приемник сначала принимает БОК, проверяет под ним ЭЦП ЦЭ и регистрирует ключи взаимодействующего ЭДМ, затем принимает сообщение, проверяет ЭЦП по зарегистрированным открытым компонентам

Номер ЭДМ

Номер микроконтроллера

Идентификационная информация общего плана (описательная) Подпись ЦЭ №3

Открытые компоненты ключей ЭЦП для обмена данными между ЭДМ

Рисунок 3 - Блок открытых ключей

От кого (Номер ЭДМ)

Кому (номер ЭДМ)

Номер операции (отправителя)

Номер операции (отправителя) Подпись МКЭДМ

Результат по операции (отправителя)

Результат по операции получателя

Сумма операции

Рисунок 4 - Финансовый блок

ЭЦП и производит внутреннюю сверку сообщения между своими МК, случае положительного результата сверки сообщение принимается обработку.

в в

Рисунок 5 - Алгоритм передачи внешних сообщений на МК ЭДМ

Прием СверкиПриема от всех МК данного ЭДМ

Рисунок б - Алгоритм приема внешних сообщений на МК ЭДМ

3. Способ проведения платежа основанный на способе передачи сообщений и использующий специальные - рис.4 информационные сообщения для полной идентификации платежа.

4. Способ возврата утерянных денежных средств, согласно которому: попытка разблокировки утерянного (украденного ЭДМ) приводит к

формированию основной части хранящейся стоимости в код инкассации, который через систему ЗДМ достигает ЦЭ - рис.7, где преобразуется в сумму на счету владельца. При этом метод перемещения сообщения по ЭДМ в ЭДС имеет ограниченный характер: похищенный ЭДМ способен передать 3 кода инкассации, от него по цепочки по два, следующие по одному, далее коды инкассации между ЭДМ не передаются, а могут быть только в ЦЭ.

Рисунок 7 - Передача кода инкассации в центр эмиссии

5. Способ возврата средств с неисправных ЭДМ, в котором используется избыточность хранимой в ЭДМ информации для определения хранимой стоимости на основании информации полученной от исправных МК неисправного ЭДМ при анализе ЭДМ в ЦЭ.

В третьей главе приводится описание программной реализации методов предложенных во второй главе. Программно реализованы ЭДМ и ЦЭ. Реализованные компоненты написаны на языке программирования С++. Создана программа работы микроконтроллера ЭДМ, а затем из трех копий данной программы, имеющих свои данные и ключи ЭЦП, составлен ЭДМ. Полученный образец согласовывает все операции внутри себя, подписывает пакеты данных ЭЦП и проверят корректность ЭЦП у входящей информации, соответственно при обмене финансовыми блоками изменяет свою денежную стоимость. Реализованные ЭДМ могут использовать различные форматы ЭЦП в виде подключаемых внешних модулей. Центр эмиссии реализован как совокупность модифицированных программных модулей микроконтроллера ЭДМ и базы данных ключевой информации и информации по эмитированным ЭДМ.

Основные результаты данной главы состоят в следующем:

Похи

э,

ЭДМ 8

Центр эмиссии

- программная реализация ЭДМ выполнена на основе ПО для составной части ЭДМ - микроконтроллера, ЭДМ составлен из нескольких, в нашем случае трех, микроконтроллеров, которые эмулируются на персональном компьютере запуском различных копий ПО с разными идентификационными данными;

- предложена реализация программного обеспечения для центра эмиссии, реализующего функции эмиссии ключевой информации для ЭДМ и организации связи с ЭДМ.

Произведено тестирование полученной программной реализации, тестирование прошло успешно. Программные разработки внедрены в банковских организациях. При проведении тестовой эксплуатации в банковских организациях использовались сертифицированные алгоритмы наложения/проверки ЭЦП согласно ГОСТ 34.10-94, ГОСТ 34.11-94. При проведении свободного тестирования для работы с ЭЦП использовались не сертифицированные алгоритмы RSA (PGP).

В четвертой главе предложена методика анализа эффективности ЭПДС как систем замены наличных денег. Методика включает 5 критериев автоматизации: I) возможность проведения взаимных платежей участниками и использования полученных средств непосредственно после проведения операции; 2) зависимость возможности работы от наличия внешних линий связи; 3) потребность в доступе к центральной базе данных (ЦБД) для проведения операций между участниками системы, наличие и свойства лимита на подобные операции; 4) скорость проведения финансовой операций и возможность быстрой отмены операции, доступность и интуитивная понятность; 5) тип ЦБД - централизованная или распределенная (иерархическая или одноранговая). Эффективность защиты информации оценивается следующими критериями: 1) степень защищенности ППИ от вскрытия; 2) защищенность ППИ от потери информации о денежной стоимости; 3) защищенность ЦИ от доступа к ключевой и финансовой информации - возможность проведения массовых деструктивных действий.

Считая, что максимальная эффективность ЭПДС составляет 100 баллов, присвоим каждому параметру равный весовой коэффициент 12.5 баллов и установим правила определения значения данного коэффициента для каждого параметра.

1. Возможность проведения взаимных платежей участниками и использования полученных средств непосредственно после проведения операции очень важный параметр, характеризующий полноценность ЭПДС как инструмента замены наличных денег. Выставление баллов по данному критерию базируется на следующем: если взаимные платежи невозможны и ЭПДС четко делит участников на покупателей и продавцов, то выставляется минимальная оценка 0 баллов; если передача средств непосредственно между участниками не возможна, но возможна передача путем перевода через

банковскую систему, то выставляем оценку до 7 баллов; если возможны взаимные платежи, но использование средств, сразу, не возможно или сильно затруднено (средства все равно нуждаются в авторизации для гарантирования их платежеспособности), то выставляется оценка - от 7 до 10 баллов; в случае, если возможны платежи между участниками при их непосредственном контакте, без участия ЭЦ, и при этом средства могут быть использованы сразу, ставится максимальный балл - от 10 до 12,5.

2. Зависимость возможности работы от наличия внешних линий связи оценивается следующим образом: если, при отсутствии внешних каналов связи, работа полностью невозможна, то ставиться минимальный балл - 0; если допускается возможность передачи участникам некоторой информации по подготовке платежа способом прямого взаимодействия участников, то ставим до 5 баллов; если платежи без линий связи возможны в полной мере, но их количество ограничено некоторым легкодостижимым значением, ставим от 5 до 10 баллов; при отсутствии каких либо ограничений по взаимным платежам, при отсутствии внешних каналов связи, ставим максимальный балл - от 10 до 12.5.

3. Потребность в доступе к ЦБД для проведения операций между участниками ЭПДС, наличие и свойства лимита на подобные операции оценивается также с максимальным весом -12.5 баллов. Все ЭПДС, в той или иной мере зависимы от ЦБД, но если ЭПДС требует подобного доступа для каждой проводимой финансовой операции, то такая зависимость является полной и оценивается значением - 0 баллов. Если ППИ могут накапливать результаты операций, а затем сбрасывать их в ЦБД при достижении некоторого предела, то такая зависимость не постоянная (более мягкая) и оцениваются в значения от 5 до 10 баллов в зависимости от полноценности проводимой операции: при полном завершении операции, ставим до 10 баллов; если возможна ее фальсификация без связи с ЦБД (ЦЭ), то оцениваем ее ниже, вплоть до 5 баллов. В случае, если при нормальной работе доступ к ЦБД не требуется вообще, то будем считать, что зависимость от ЦБД отсутствует и ставим максимальный балл от 10 до 12.5.

4. Параметр «скорость проведения финансовой операций и возможность быстрой отмены операции, доступность и интуитивная понятность» делится на три подпункта: скорость - до 4.2 максимальный балл; возможность быстрой отмены операции - до 4.2 максимальный балл; доступность и интуитивная понятность - до 4.1 максимальный балл. Затем баллы суммируются. Считая, что скоростные параметры имеют 3-й степени: 1) немедленно - операция проводится без задержки - ставится максимальный балл до 4,2; 2) предварительно+авторизация - операция проводится в два этапа: а)между участниками — предварительная (в результате формируются некоторые двусторонние, характеризующие операцию, документы); б) участник и ЦБД - окончательная, сформированные в результате

предыдущего этапа документы, предъявляются в ЦБД, после чего происходит окончательное зачисление - списание средств оценивается - до 2.1 балла; 3) обязательная авторизация каждой операции - операции проводятся медленно и подразумевают отдельный обмен документами между участниками - участник и ЦБД - участник платежа оценивается в О баллов. Возможность быстрой отмены операции подразумевает, каким образом может быть отменена операция, при не согласии с ней участников: операция отмены сходна с операцией оплаты и не требует дополнительного нештатного обмена документами - от 2.1 до 4.2 баллов; операция отмены затруднена, например, требует связи с банком и оформления некоторого количества документов, то ставим от 0 до 2.1 балла; операция отмены практически не возможна - 0 баллов. Доступность и интуитивная понятность подразумевает оценку характеристики удобства использования ЭПДС: если для проведения платежной операции не требуется дополнительное оборудование и высокотехнологичные знания выставляется максимальный балл - до 4.1; при потребности в дополнительном оборудовании, например, при использовании банковских карт, это банкомат или банковский терминал, ставится до 2.1 балла; наличие потребности в высокотехнологичных знаниях понижает выставленный балл на 2.1 максимально, в зависимости от объема требуемых знаний и доступности их получения любым участником ЭПДС.

5. Характеристики работоспособности ЦБД - централизованная или распределенная (иерархическая или одноранговая). Высокая централизация базы данных приводит к ускорению операций, но ЦБД становится критичной к каналу связи и количеству одновременно обслуживаемых операций, что может привести к нежелательным сбоям и, в случае выхода из строя ЦБД, приведет к полной остановки ЭПДС, также значительно повышается стоимость владения ЦБД. Понижающий коэффициент определяется аналитическим путем и зависит от нагрузки на базу данных: если каждая операция для своего завершения должна быть немедленно обработана, то понижаем оценку максимально на 6 баллов; если допустимы задержки, позволяющие ограничить пиковую нагрузку на ЦБД, понижаем оценку максимально на 4 балла; если обработка каждой операции между участниками не требует доступа к ЦБД не понижаем оценку.

Сравнительная оценка защиты информации определяется по нижеследующей схеме.

1. Защищенность ППИ от вскрытия можно разбить на следующие категории: 1) абсолютно не защищенные и слабо защищенные, к таким относятся свободно копируемые и подделываемые ППИ, в этом случае выставляется 0 и до I балла; 2) защищенные средствами шифрования, но методы и ключи шифрования/дешифрования доступны пользователям и могут быть скопированы и использованы - от 1 до 6.3 балла; 3) защита ЦЭ и пользовательских инструментов средствами, исключающими доступ

пользователей к методам и ключам шифрования в системе - от 7 до 12.5 баллов, в зависимости от реализации методов защиты (если защита комплексная и включает несколько степеней, и вскрытие только всех из них приводит к вскрытию и возможности фальсификации ППИ - ставим максимальную оценку от 11 до 12.5 баллов, если методы защиты не имеют несколько степеней, например, защита осуществляется только при помощи шифрования или при помощи ЭЦП, ставим от 6.4 до 7 баллов). В случае наличия нескольких ЭПДС с высшими оценками, за 12.5 баллов принимается наиболее защищенная система, а баллы снижаются пропорционально уменьшению степеней защиты в ЭПДС.

2. Оценка защищенности ППИ от потери информации о денежной стоимости. ЭПДС, в которых вся информация берется непосредственно из ЦБД, имеют минимальную, почти нулевую, вероятность потери денежных средств. Например, если клиент потеряет магнитную банковскую карту, то это не повлияет на его деньги, так как карта, это только уровень идентификации клиента, а если будет утеряна микропроцессорная карта с некоторой загруженной суммой, то эти средства, на время обязательной авторизации всех клиентов в системе, блокируются и возвращаются клиенту только, если никто более эти средства не предъявил к оплате. Таким образом, выделяются три ступени ЭДС ■ по возврату средств, в результате утери пользовательских платежных инструментов: 1) средства не теряются с соответственно максимальный балл от 11 до 12.5; 2) средства возвращаются после некоторого времени - балл понижается от 7 до 11, в зависимости от условий и вероятности возврата денежных средств (если возврат происходит всегда, то ставим до 11 баллов, если существуют дополнительные условия, ставим от 7 до 10 баллов); 3) средства не возвращаются никогда - оценка будет минимальной 0 баллов. Также здесь стоит упомянуть о возможности использования утерянных или украденных средств посторонним лицом: 1)средства использовать нельзя - параметр не понижается; 2)средства могут быть использованы ограниченно (как для покупки товаров по банковской магнитной карте) - параметр понижается максимально на 2 балла; 3)средства могут быть использованы в полной мере - оценка понижается максимально на 4 балла.

3. Защищенность ЦЭ (ЦБД) от доступа к ключевой и финансовой информации, возможность проведения массовых деструктивных, дискредитирующих систему акций. Здесь анализируется защищенность ЭПДС с точки зрения возможности вскрытия ЦЭ и создания подложного ЦЭ и/или ЦБД и наличие внешних баз данных, хранящих критичную для системы информацию, доступ к которой системой не контролируется и может привести к массовым деструктивным действиям. Оценивается данный параметр следующим образом: 1) возможность вскрытия и использования информации в массовом масштабе практически невозможна — от 11 до 12.5

баллов; 2) существует возможность проведения массовых деструктивных действий путем использования информации о системе и её участниках хранящейся во внешних базах данных, например, электронные базы данных магазинов содержащие номера и другие реквизиты банковских карт (понижает оценку максимально на 4 балла); 3) использование интернет-технологий, таких как с доступом к счету через интернет-браузер, что делает возможным создание подложного сервера системы и его использование для сбора паролей доступа пользователей к счетам (понижает оценку максимально на 4 балла).

По данной методике проведена авторская экспертиза 8 известных ЭПДС (см. табл.2) и разработанной в диссертации ЭДС. Установлено, что, несмотря на довольно жесткие требования по защите от вскрытия, разработанная ЭДС во многом превосходит имеющиеся аналоги. Для усиления объективности полученного вывода было проведено независимое экспертное исследование. Экспертная группа была сформирована из 25 опытных специалистов, имеющих большой стаж работы в области электронных банковских технологий и защиты компьютерной информации. Все эксперты были достаточно хорошо обеспечены информацией о сравниваемых ЭПДС и методикой их сопоставления, для каждого из экспертов справедлив принцип «хорошего измерителя», а групповое мнение экспертов можно считать близким к истинному.

Таблица 2

Авторская оценка ЭПДС _

ЭПДС Параметры автоматизации Па И НС раметры а щиты зоомации Итог

1 2 3 4 5 1 2 3

Клиент-банк 7 0 0 10.4 4.5 6 12.5 12.5 52.9

Карты с магнитной полосой 0 0 0 10.5 4.5 0 10.5 12.5 38

М-процессорные карты 0 10 10 12.5 8.5 8 11 12.5 72.5

ЭПС PayCash 10 5 5 8.3 4.5 4 12.5 8.5 57.8

ЭПС WebMoney 10 5 5 8.3 4.5 4 12.5 8.5 57.8

Мобильные ЭПС 0 0 0 8.3 4.5 6.4 12.5 12.5 44.2

ЭДС Mondex 12.5 12.5 12.5 12.5 12.5 8 0 12.5 83

ЭДС Ш.Розена 12.5 11.5 11 12.5 12.5 8 11 12.5 91.5

Разработанная ЭДС 12.5 12.5 12 12.5 12.5 12.5 9 12.5 96

В табл.3 приведены групповые экспертные оценки по перечисленным выше 8 критериям и итоговые экспертные оценки.

Таблица 3

Групповые экспертные оценки ЭПДС_

ЭПДС Параметры автоматизации Параметры защиты информации Итог

1 2 3 4 5 1 2 3

Клиент-банк 5,164 0 0 10,384 4,72 4,032 12,12 11,532 47,952

Карты с магнитной полосой 1,308 0 0 10,856 4,54 0,408 10,448 9,128 36,688

М-процессорные карты 1,3 8,792 9,184 11,092 7,708 9,164 10,632 11,52 69,392

ЭПС PayCash 8,564 5,916 3,892 9,492 4,58 3,78 10,748 8,968 55,94

ЭПС WebMoney 8,512 5,824 3,632 9,648 4,652 3,6 10,62 8,848 55,336

Мобильные ЭПС 1,044 0 0 9,848 4,496 7,392 10,424 12,292 45,496

ЭДС Mondex 11,916 11,832 14,308 12,004 11,988 8,08 0 12,268 82,396

ЭДС Ш.Розена 11,748 11,512 11,276 11,98 12,028 8,156 9,62 12,268 88,588

Разработанная ЭДС 11,944 11,872 12,136 11,804 11,996 12,048 9,116 12,24 93,156

Как следует из проведенного экспертами анализа (таб.3), ЭДС, разработанная автором, имеет высокие показатели эффективности и является вполне конкурентоспособной. Свойства ЭДС позволяют использовать ее не как дополнительную систему к существующим, основанным на бумажной наличности, а как ЭДС, полностью вытесняющую бумажную наличность ее электронными эквивалентами. Другие известные анализируемые ЭПДС не обладают этой способностью.

Также в данной главе проанализирована возможность использования электронной цифровой подписи в качестве инструмента подтверждающего истинность электронного финансового документа, проанализированы проблемы возникшие при апробации электронной денежной системы и пути предпринятые для их решения.

ОСНОВНЫЕ РЕЗУЛЬТАТЫ И ВЫВОДЫ

В диссертационной работе разработаны и исследованы аппаратно-программные средства обеспечения целостности информации в электронной денежной системе. В результате проведенных исследований решены следующие основные задачи:

•определены требования к электронной денежной системе и разработаны принципы электронной денежной системы;

•разработаны принципы построения защищенного пользовательского платежного инструмента;

•разработаны способ передачи защищенных сообщений и проведения платежа в электронной денежной системе;

• разработаны способы возврата утерянных денежных средств и денежных средств с неисправных пользовательских платежных инструментов;

•создана методика оценки эффективности электронных платежно-денежных систем.

По результатам проведенных исследований можно сделать следующие выводы:

1. Проведенный анализ показал, что известные ЭПДС не обеспечивают устойчивого функционирования денежного обращения.

2. Разработана новая технология электронных денег, которая позволяет получить высокую степень защиты от вскрытия платежных инструментов. В основу защиты денежных транзакций положено использование электронной цифровой подписи, а также наличие нескольких, параллельно работающих в одном пользовательском платежном инструменте, микропроцессорных устройств с защитой от вскрытия.

3. Предложен метод распределения ключевой информации, а также метод передачи сообщений целью создания которого являлось исключить возможность внедрения и использования ложных сообщений, а также повторное использование сообщений которые ранее уже были обработаны.

4. Предложен метод перемещения денежных средств, суть которого состоит в обеспечении возможности перемещения денежных средств между ЭДМ без связи с некоторой ЦБД или каким либо авторизующим центром.

5. Предложен способ защиты от вскрытия ЭДМ - пользовательских платежных инструментов путем постепенного обмена ЭДМ или составляющих их_микроконтроллеров. Способ позволяет производить обмен не разом для всех участников, а поэтапно, что исключает вероятность остановки проведения платежей в ЭДС, и в то же время, не уменьшает защищенность системы.

6. Предложен способ возврата утерянных/украденных денежных средств, который позволяет, используя промежуточные ЭДМ, передать информацию о утерянной и заблокированной сумме в ЦЭ и, как следствие, вернуть владельцу. Испорченную бумажную купюру можно обменять на новую, но электронная наличность при порче ППИ может быть утеряна безвозвратно. Благодаря предложенной организации ЭДМ, информация дублируется в нескольких его микроконтроллерных блоках. Порча одного из микроконтроллеров ЭДМ, приведет к невозможности согласования операций внутри ЭДМ, к остановке работы ЭДМ и последующему возврату средств.

7. Реализована программная часть электронной денежной системы: программа управления микроконтроллером ЭДМ и программа управления центром эмиссии. Программа управления микроконтроллером является основной единицей в построении ЭДМ и реализует все функции ЭДМ. Программа ЦЭ предназначена для организации эмиссии ЭДМ, а также для

организации с ними взаимодействия, согласно предложенных принципов работы.

8. Предложена методика оценки эффективности ЭПДС как систем замены бумажной наличности. По данной методике проведена экспертная оценка показавшая, что разработанная ЭДС имеет высокий потенциал в сравнении с аналогами.

Созданные программные разработки внедрены в банковских структурах и получили высокую оценку. Поставленные перед автором задачи решены полностью.

ОСНОВНЫЕ ПОЛОЖЕНИЯ ДИССЕРТАЦИИ ОПУБЛИКОВАНЫ В СЛЕДУЮЩИХ РАБОТАХ

1. Кориков A.M. Развитие денежных систем: от бумаги и водяных знаков к кремнию и электронной цифровой подписи [Текст]. / А.М.Кориков, М.В.Момот. // Информационные системы: тр. постоянно действующего научно-технического семинара, Том. гос. ун-т систем упр. и радиоэлектрон., Отд. проблем информа-тизации Том. науч. центра СО РАН; под. ред. А.М. Корикова. - Вып. 4. - Томск: Том. гос. ун-т систем упр. и радиоэлектрон., 2006. - С. 65—76.

2. Кориков A.M. Электронные платежные инструменты [Текст]. / А.М.Кориков, М.В.Момот. // «Информационные технологии в науке, образовании и производстве (ИНТОП). Материалы международной научно-технической конференции: 25-26 мая 2006 - Орел: ОрелГТУ, 2006, Т1.С112-117.

3. Кориков А.М. Безопасность электронной финансовой информации [Текст]. / А.М.Кориков, М.В.Момот. // Проблемы информационной безопасности государства, общества и личности: Материалы восьмой всероссийской научно-практической конференции. Томск, 7 июня 2006 г. - Томск: Издательство «В-Спектр», 2006. С.8-11.

4. Кориков A.M. Использование электронной цифровой подписи в финансовых расчетах [Текст]. / А.М.Кориков, М.В.Момот. // Проблемы информационной безопасности государства, общества и личности: Материалы восьмой всероссийской научно-практической конференции. Томск, 7 июня 2006 г. - Томск: Издательство «В-Спектр», 2006. С.12-14.

5. Кориков A.M. Анализ эффективности электронной денежной системы [Текст]. / А.М.Кориков, М.В.Момот. // Двенадцатая международная научно-практическая конференция "Природные и интеллектуальные ресурсы Сибири (Сибресурс-12-2006)", 02-04.10.2006. С.358-362.

6. Кориков A.M. Программа управления центром эмиссии электронных денежных модулей по патенту на изобретение RU2260207 [Текст]. /

А.М.Кориков, М.В.Момот. // ОФАП - Свидетельство об отраслевой регистрации разработки №5936,17.04.2006.

7. Кориков A.M. Программа управления микроконтроллером электронного денежного модуля по патенту на изобретение RU2260207 [Текст]. / А.М.Кориков, М.В.Момот. // ОФАП - Свидетельство об отраслевой регистрации разработки №5938,17.04.2006.

8. Момот М.В. Анализ процесса информатизации банковской деятельности в России: современные требования и проблемы [Текст]. /Е.В.Молнина, М.В.Момот. // Прогрессивные технологии и экономика в машиностроении: Сборник трудов региональной научно-практической конференции, ЮТИ ТПУДОрга, 25-26.04.02, С.103-104.

9. Момот М.В. Проблемы автоматизации банковской деятельности в России [Текст]. / Е.В.Молнина, М.В.Момот, Т.Ю.Чернышева // IV Международная научно-техническая конференция «Динамика систем, механизмов и машин», ОмГТУ, 12-14.11.02 г. Омск, С.147-150.

10. Момот М.В. Заявка на изобретение «Электронная денежная система, способ передачи сообщений в электронной денежной системе, способ проведения платежа, способ возврата утерянных денежных средств, способ защиты от вскрытия электронной денежной системы, способ возврата средств с неисправных электронных денежных модулей» [Текст].// Официальный бюллетень «Изобретения. Полезные модели» №13 от 10.05.2005, номер публ.2003132749.

11. Момот М.В. Электронная денежная система [Текст]. // Материалы III Международного технологического конгресса «Военная техника, вооружение и технологии двойного применения», Омск, 0810.07.2005г.

12. Момот М.В. Описание изобретения к патенту «Электронная денежная система, способ передачи сообщений в электронной денежной системе, способ проведения платежа, способ возврата утерянных денежных средств, способ защиты от вскрытия электронной денежной системы, способ возврата средств с неисправных электронных денежных модулей» [Текст]. И Официальный бюллетень «Изобретения. Полезные модели» №25 от 10.09.2005, номер публ.2260207.

13. Момот М.В. Методика анализа надежности электронных платежных систем [Текст]. // Актуальные проблемы авиации и космонавтики: Материалы II Всероссийской конференции творческой молодежи: 3-6 апреля 2006г. - Красноярск: СибГАУ, С. 326-328.

14. Момот М.В. Технология защиты электронных денег [Текст].// Научная сессия ТУСУР — 2006: Материалы докладов всероссийской научно-технической конференции студентов, аспирантов и молодых ученых, Томск, 4-7 мая 2006 г.-Томск: Издательство «В-Спектр», 2006. 4.2. С.304-306.

Момот М.В. Время жизни электронной цифровой подписи (ЭЦП) и анализ методов защиты от вскрытия систем, использующих ЭЦП [Текст]. // Двенадцатая международная научно-практическая конференция "Природные и интеллектуальные ресурсы Сибири (Сибресурс-12-2006)", 02-04.10.2006. С.345-349.

Тираж 100. Заказ 1145. Томский государственный университет систем управления и радиоэлектроники 634050, г. Томск, пр. Ленина, 40

Оглавление автор диссертации — кандидата технических наук Момот, Михаил Викторович

Введение.

Глава 1. Электронные системы обеспечения денежных расчетов.

1.1. История развития денежных отношений.

1.2. Классические системы удаленного управления банковским счетом.

1.3. Системы интернет-платежей.

1.3.1. Учетная система WebMoney Transfer.

1.3.2. Платежная система Yandex.Деньги.

1.4. Системы банковских карт с магнитной полосой.

1.5. Системы банковских карт с микропроцессором.

1.6. Системы мобильных платежей.

1.6.1. Система SimMP.

1.6.2. Услуга «Мобильный банк».

1.7. Международная система Mondex.

1.8. Электронная денежная система Ш.Розена.

1.9. Сравнительный анализ электронных платежно-денежных систем.

1.10. Выводы по главе и постановка задач исследования.

Глава 2. Разработка электронной денежной системы.

2.1. Обоснование принципов работы электронной денежной системы.

2.1.1. Электронные денежные модули.

2.1.2. Принципы объединения микроконтроллеров внутри ЭДМ.

2.1.3. Центр эмиссии.

2.2. Способ передачи сообщений в электронной денежной системе.

2.3. Способ проведения платежа.

2.4. Способ возврата утерянных денежных средств.

2.5. Способ защиты от вскрытия электронной денежной системы.

2.6. Способ возврата средств с неисправных ЭДМ.

2.7. Формула изобретения RU2260207.

2.8. Выводы по главе.

Глава 3. Программная реализация электронной денежной системы.

3.1. Реализация программы управления микроконтроллером ЭДМ.

3.1.1. Описание программной реализации.

3.1.2. Специальные условия применения.

3.2. Программа управления центром эмиссии ЭДМ.

3.2.1. Специальные условия применения.

3.3. Описание алгоритмов работы электронной денежной системы.

3.3.1. Проверка целостности ЭДМ.

3.3.2. Передача сообщений между ЭДМ.

3.3.3. Перемещение денежной стоимости между ЭДМ.

3.3.4. Формирование кодов инкассации.

3.3.5. Реализация ЦЭ - формирование группы ЭДМ.

3.3.6. Реализация ЦЭ - Формирование ключевых данных ЭДМ.

3.4. Выводы по главе.

Глава 4. Оценка защиты информации и эффективности ЭПДС.

4.1. Методика оценки эффективности ЭПДС как систем замены наличных денег.

4.2. Сравнительный анализ эффективности ЭПДС по критериям автоматизации.

4.3. Сравнительная оценка защиты информации в ЭПДС.

4.4. Экспертная оценка защиты информации и эффективности ЭПДС

4.5. Анализ ЭЦП как инструмента защиты передаваемой информации от подделки.

4.6. Использование ЭЦП в финансовых расчетах.

4.7. Проблемы реализации программного обеспечения ЭДМ.

4.8. Выводы по главе.

Введение 2006 год, диссертация по информатике, вычислительной технике и управлению, Момот, Михаил Викторович

Актуальность темы. Денежные отношения с использованием электронных средств в настоящее время переживают период бурного развития. Использование электронных устройств и новые электронные способы обмена информацией предполагают наличие платных информационных и иных зависимых от информации услуг. Финансовые организации стабильно увеличивают рынок электронных платежных средств [3, 33,34, 54, 73-75, 77, 79, 80, 82, 91, 111, 117]. Но защита пользовательских платежных инструментов (ПЛИ) в электронных платежно-денежных системах (ЭПДС) на сегодняшний день находится на низком уровне и возложена в основном на пользователей, не редки случаи кражи электронных средств [35]. В этой связи, остро стоит проблема создания универсального ППИ, способного перемещать денежную стоимость с высокой скоростью (желательно мгновенно) и при этом обеспечивающего максимальную, в идеале непреодолимую, защиту, как от подделки, так и от похищения единиц стоимости. Немаловажно осуществление защиты ППИ не лично пользователем, а автоматически, что позволит привлечь в электронный товарообмен не только профессионалов компьютерной техники, но и людей, не имеющих специальных технических знаний и не умеющих самостоятельно качественно организовать защиту своих электронных финансов. Высока также стоимость самого перемещения. Вследствие того, что в сети Интернет применяются одни платежные инструменты, а в повседневной жизни другие, то следует учитывать и стоимость конверсии, более того операция конверсии может занять некоторое время и часто слабо поддается автоматизации. Перечисленное выше несомненно тормозит развитие информационной экономики. Таким образом, актуальность темы диссертации обусловлена:

• развитием электронных сервисов представления товаров, развитием рынка информационных товаров и информационной экономики в целом;

• слабой перемещаемостью и ликвидностью существующих электронных эквивалентов денег; отсутствием ЭПДС, обладающей функциональностью наличных денег и потребностью в ЭПДС, позволяющей проводить финансовые операции между плательщиком и получателем без посредников банковской системы;

• отсутствием электронных ППИ, служащих для электронных взаиморасчетов между участниками в режиме реального времени с использованием электронных аналогов денег, без привлечения каких-либо центров авторизации кроме участвующих в расчете индивидуальных электронных денежных модулей (ЭДМ), которые, подобно бумажной денежной наличности, защищаются несколькими степенями защиты, и подделка которых возможна только при вскрытии всех этих степеней;

• необходимостью обеспечения возврата денежных средств владельцу ЭДМ при его утере или краже;

• потребностью в обеспечении возврата средств владельцу в случае выхода из строя его ППИ (ЭДМ).

Объеетом исследования являются электронные платежно - денежные системы.

• определить требования к ЭДС и разработать принципы ЭДС;

• разработать принципы построения защищенного ПЛИ;

• разработать способ передачи защищенных сообщений в ЭДС;

• разработать способ проведения платежа в ЭДС;

• разработать способы возврата утерянных денежных средств и денежных средств с неисправных ПЛИ;

• создать методику оценки эффективности ЭПДС.

Основные научные результаты, полученные автором и выносимые на защиту:

1. Принципы построения и структура электронной денежной системы.

2. Способы защиты от подделки передаваемых сообщений в ЭДС и проведения платежа в ЭДС.

3. Способы возврата средств с утерянных и неисправных денежных инструментов пользователей.

4. Программные средства, реализующие основные подсистемы ЭДС.

5. Методика анализа эффективности ЭПДС как средств замены наличных денег.

Научная новизна результатов

1. Разработанная ЭДС, отличается от аналогов распределением ключевой информации и содержанием ППИ (ЭДМ), которые представлены в виде электронных устройств с многостепенной защитой от подделки самих устройств и передаваемой информации.

3. Разработанный способ защиты от вскрытия ЭДС отличается тем, что позволяет поддерживать высокую степень защиты ЭДС в целом за счет смены ключей ЭЦП вместе с микроконтроллерами внутри ЭДМ постепенно без остановки электронной денежной системы.

4. Предложенный способ возврата утерянных денежных средств базируется на возможности передачи информации о денежной стоимости ЭДМ в центр эмиссии (ЦЭ) через цепочку взаимодействующих между собой ЭДМ.

5. Разработанный способ возврата средств владельцу в случае выхода из строя его ЭДМ отличается тем, что базируется на избыточности информации, хранимой внутри ЭДМ на разных защищенных микроконтроллерах, и возможности организации обмена информацией с уцелевшими микроконтроллерами неисправного ЭДМ.

Практическая ценность работы. Предложенная концепция, структура и компоненты ЭДС, а так же разработанное на этой основе программное обеспечение (ПО) представляют практическую основу для обеспечения целостности информации в системах перемещения электронных денег. Возможно применение во многих информационных системах, в которых имеется потребность в защите от подделки электронной информации. Реализованное ПО ЭДС является открытым для доработки, в него могут быть добавлены новые функции, а некоторые функции могут быть модифицированы для применения ПО в другой предметной области.

Апробация работы. Результаты диссертации докладывались на конференциях, семинарах:

Региональная научно-практическая конференция «Прогрессивные технологии и экономика в машиностроении», ЮТИ ТПУ, Юрга -2002.

IV Международная научно-техническая конференция «Динамика систем, механизмов и машин», ОмГТУ, Омск - 2002.

III Международный технологический конгресс «Военная техника и вооружение и технологии двойного применения», Омск - 2005.

II Всероссийская конференция творческой молодежи «Актуальные проблемы авиации и космонавтики»: Красноярск - 2006.

Международная научно-техническая конференция «Информационные технологии в науке, образовании и производстве (ИНТОП), 0рел-2006.

Всероссийская научно-техническая конференции студентов, аспирантов и молодых ученых, Томск -2006.

Восьмая всероссийская научно-практическая конференция «Проблемы информационной безопасности государства, общества и личности», Томск-2006.

Двенадцатая международная научно-практическая конференция "Природные и интеллектуальные ресурсы Сибири (Сибресурс-12-2006)".

Личный вклад диссертанта. Результаты, составляющие основное содержание диссертации, получены автором самостоятельно. В опубликованных работах автором лично разработаны принципы построения и структура ЭДС, способ защиты от подделки передаваемых сообщений в ЭДС[39-41], способ проведения платежа в ЭДС[39-41], способы возврата средств с утерянных и неисправных денежных инструментов пользователей[39-41]. Автором диссертации создано программное обеспечение, реализующие указанные функции [31,32] и методика анализа ЭПДС как средств замены наличных денег [30].

Структура и объем диссертации. Диссертация состоит из введения, четырех глав, заключения, списка литературы из 121 названия и четырех приложений. Общий объем диссертации составляет 163 страницы, из которых 14 страниц занято таблицами и рисунками, 14 страниц списком литературы, и 11 страниц приложениями.

Заключение диссертация на тему "Аппаратно-программные средства обеспечения целостности информации в электронной денежной системе"

4.8. Выводы по главе

В данной главе приведен анализ эффективности разработанной ЭДС по сравнению с другими электронными платежно-денежными системами, по разработанной автором методике. По данной методике проведена авторская экспертиза 8 известных ЭПДС и разработанной в диссертации ЭДС. Установлено, что несмотря на довольно жесткие требования по защите от вскрытия разработанная ЭДС во многом превосходит имеющиеся аналоги. Для усиления объективности полученного вывода было проведено независимое экспертное исследование. Экспертная группа была сформирована из 25 опытных специалистов, имеющих большой стаж работы в области электронных банковских технологий и защиты компьютерной информации. Все эксперты были достаточно хорошо обеспечены информацией о сравниваемых ЭПДС и методикой их сопоставления, для каждого из экспертов справедлив принцип «хорошего измерителя», а групповое мнение экспертов можно считать близким к истинному.

Как следует из проведенного экспертами анализа, разработанная автором ЭДС имеет высокие показатели эффективности и является вполне конкурентоспособной. Свойства ЭДС позволяют использовать ее не как дополнительную систему к существующим, основанным на бумажной наличности, а как ЭДС, полностью вытесняющую бумажную наличность ее электронными эквивалентами. Другие известные анализируемые ЭПДС не обладают этой способностью.

В результате проведенного анализа установлено, что разработанная ЭДС имеет высокие показатели, в части безопасности используемой финансовой информации, а также высоко функциональна.

Заключение

• определены требования к электронной денежной системе и разработаны принципы электронной денежной системы;

• разработаны принципы построения защищенного пользовательского платежного инструмента;

• разработаны способ передачи защищенных сообщений и проведения платежа в электронной денежной системе;

• создана методика оценки эффективности электронных платежно-денежных систем.

По результатам проведенных исследований можно сделать следующие выводы:

1. Проведенный анализ показал, что известные ЭПДС не обеспечивают устойчивое функционирование денежного обращения.

2. Разработана новая технология электронных денег, которая позволяет получить высокую степень защиты от вскрытия платежных инструментов. В основу защиты денежных транзакций положено использование электронной цифровой подписи, а также наличие нескольких параллельно работающих в одном пользовательском платежном инструменте микропроцессорных устройств с защитой от вскрытия.

5. Предложен способ защиты от вскрытия ЭДМ - пользовательских платежных инструментов путем постепенного обмена ЭДМ или составляющих их микроконтроллеров. Способ позволяет производить обмен не разом для всех участников, а поэтапно, что исключает вероятность остановки проведения платежей в ЭДС и в то же время не уменьшает защищенность системы.

6. Предложен способ возврата утерянных/украденных денежных средств, который позволяет, используя промежуточные ЭДМ, передать информацию о утерянной и заблокированной сумме в ЦЭ и, как следствие, вернуть владельцу. Испорченную бумажную купюру можно обменять на новую, а электронная наличность при порче платежного инструмента может быть утеряна безвозвратно. Благодаря предложенной организации ЭДМ, информация дублируется в нескольких его микроконтроллерных блоках. Порча одного из микроконтроллеров ЭДМ, приведет к невозможности согласования операции внутри ЭДМ и к остановке его работы, и последующем возврате средств.

Библиография Момот, Михаил Викторович, диссертация по теме Методы и системы защиты информации, информационная безопасность

1. Брод М. Реестр УФО в тестовой эксплуатации Электронный ресурс. // infobez.ru - 20.06.2005.

2. Бурдинский А. "Домашний банк" система удаленного управления банковскими счетами через Интернет и ее использование в электронной коммерции Электронный ресурс. // www.citforum.ru.

3. Воскобойников А. Киберденьги новая виртуальная реальность Текст. // журнал The Retail Finance, №2, 2005.

4. Генкин A.C. Юридический статус электронных денег и электронных платежных систем Текст. // Бизнес и банки, 2003, №15.

5. Годовой отчет 2005 Сбербанк России Сибирский Банк Электронный ресурс. // www.sib.sbrf.ru.

6. Горшенин В. XXI век. Деньги должны служить России Электронный ресурс. // www.rau.su/observer/N10-1296/10-1201.htm

7. Горюков Е.В. Обзор сложившейся практики регулирования электронных денег (окончание) Электронный ресурс. / Горюков Е.В., Котина О.В.// www.bankir.ru/analytics, 18.11.2005.

8. Горюков Е.В.Анализ опыта использования электронных денег в зарубежных странах и в России Электронный ресурс. / Горюков Е.В., Котина О.В.// www.bankir.ru, 06.12.2005.

9. Горюков Е.В.Прогноз развития электронных денег в зарубежных странах и в России Электронный ресурс. / Горюков Е.В., Котина O.B.// www.bankir.ru/analytics/it/3/42615,28.12.2005.

10. Ю.Давлетханов М. Российский стандарт шифрования Электронный ресурс. // www.infobez.ru.

11. Давлетханов М. Стандарт шифрования данных (DES) Электронный ресурс.// www.infobez.ru, 14.05.2004.

12. Давлетханов М. Безопасность в Интернете SSL Электронный ресурс. // www.infobez.ru, 31.05.2004.13.3ахарченко В. Деньги виртуального мира Электронный ресурс. // www.bankir.ru.

13. П.Захарченко В. SimMP: история завтрашнего дня Электронный ресурс. // www.bankir.ru, 17.08.2005.

14. Золотарев O.A. Способ проведения платежей (варианты) Электронный ресурс. / Золотарев O.A., Кузнецов И.В., Мошонкин А.Г., Смирнов А.Л., Хамитов И.М. // Описание изобретения к патенту RU2157001, www.fips.ru.

15. Золотарев O.A. Способ формирования ценного документа (варианты) Электронный ресурс. / Золотарев O.A., Кузнецов И.В., Мошонкин А.Г., Смирнов А.Л., Хамитов И.М. // Описание изобретения к патенту RU2202827, www.fips.ru.

16. Ионов В. Что защищает нас от фальшивомонетчиков Электронный ресурс. // www.bankir.ru /analytics/it/3/42615, 09.02.2005.

17. Казаков Г.М. Электронные деньги Электронный ресурс. /Г.М. Казаков, H.A. Казакова. // Реферат к заявке на изобретение 2001109414, www.fips.ru.

18. Клименко С. Пути построения электронной денежной системы в РФ Электронный ресурс./ Клименко С., Юровицкий В.// sdi. siberia.net/sibinfoshop/10/.

19. Копытин В.Ю. Очерк о математических методах анализа расчетных систем Электронный ресурс. // www.bankir.ru, 29.12.2005.

20. Кориков A.M. Использование электронной цифровой подписи в финансовых расчетах Текст. / А.М.Кориков, М.В.Момот. // Проблемы информационной безопасности государства, общества и личности: Материалы восьмой всероссийской научно-практической конференции.

21. Томск, 7 июня 2006 г. Томск: Издательство «В-Спектр», 2006. С.12-14.

22. ЗО.Кориков A.M. Анализ эффективности электронной денежной системы Текст. / А.М.Кориков, М.В.Момот. // Двенадцатая международная научно-практическая конференция "Природные и интеллектуальные ресурсы Сибири (Сибресурс-12-2006)", 02-04.10.2006. С.358-362.

23. ЗККориков A.M. Программа управления центром эмиссии электронных денежных модулей по патенту на изобретение RU2260207 Текст. / А.М.Кориков, М.В.Момот. // ОФАП Свидетельство об отраслевой регистрации разработки №5936, 17.04.2006.

24. Кориков A.M. Программа управления микроконтроллером электронного денежного модуля по патенту на изобретение RU2260207 Текст. / А.М.Кориков, М.В.Момот. // ОФАП Свидетельство об отраслевой регистрации разработки №5938, 17.04.2006.

25. Латов Ю. Деньги Электронный ресурс. // www.krugosvet.ru/ articles/119/1011938/.

26. Лопатин С. Электроденьги Электронный ресурс. // www.comprice.ru/.

27. Лукацкий А. Обнаружение атак-2-е изд., перераб. и доп. Текст. -СПб.: БХВ-Петербург, 2003. 608 с.:ил.

28. Лютов В. Банк России сильно осложнит работу фальшивомонетчикам Электронный ресурс. //Интерфакс: 17 мая 2004 года, 11:37, www. interfax .ru/r/B/О/ 22.html?idissue=9700788

29. Момот М.В. Проблемы автоматизации банковской деятельности в России Текст. / Е.В.Молнина, М.В.Момот, Т.Ю.Чернышева // IV

30. Международная научно-техническая конференция «Динамика систем, механизмов и машин», ОмГТУ, 12-14.11.02 г. Омск, С. 147-150.

31. Момот М.В. Электронная денежная система Текст. // Материалы III Международного технологического конгресса «Военная техника, вооружение и технологии двойного применения», Омск, 0810.07.2005г.

32. Момот М.В. Методика анализа надежности электронных платежных систем Текст. // Актуальные проблемы авиации и космонавтики: Материалы II Всероссийской конференции творческой молодежи: 3-6 апреля 2006г. Красноярск: СибГАУ, С. 326-328.

33. Мордехай Т. Контролируемая электронная денежная система и способ организации, хранения и перевода электронных денежных средств Электронный ресурс. // Описание изобретения к патенту RU2187150.

34. Мостовый И.Я. Способ осуществления электронных финансовых транзакций с использованием интеллектуальных карточек Электронный ресурс. / Н.К. Лифарь, Я.И.Мостовый.// Описание изобретения к патенту RU2124752 -www.fips.ru.

35. Попыванов Г.С. Способ управления условиями функционирования электронной денежной системы Электронный ресурс./ Реферат к Заявке на изобретение 2001114547 www.fips.ru.

36. Саломаа А. Криптография с открытым ключом Текст. // Пер. с англ. -М.:Мир, 1995.-318 е., ил.

37. Сенченко H. Интервью с Артемом Генкиным Электронный ресурс. // owebmoney.ru, 21.10.2004.

38. Уильяме М. Электронные деньги Японии Электронный ресурс. // www.osp.ru/cw/2002/31/013lprint.htm.5 5. Черников А. Карты биты Электронный ресурс. // www.kyivweekly.kiev.ua/article/71933.

39. Чистов Н. Эссе о деньгах Электронный ресурс. // www.bankir.ru.

40. Шаталин И. От дебета к интернету Электронный ресурс. // «Комерсант» №49, 22.03.2005, www.kommersant.ru.

41. Ширяев О. Увеличение числа нападений на инкассаторов связано с высоким процентом нераскрытых преступлений такого рода Электронный ресурс.// www.dp.ru: 17.05.2004.

42. Хохлов C.B. Финансовая система безналичных платежей Электронный ресурс. /М.К.Трошенков, С.В.Хохлов, С.В.Шишов.// Описание изобретения к патенту RU2094846 www.fips.ru.

43. Тахири A.M. и др. Система для проведения безналичных финансовых операций и способ проведения безналичных финансовых операций Электронный ресурс. // Описание изобретения к патенту RU2096826 -www.fips.ru.

44. Тимоти Л.Д. Система передачи стоимости Электронный ресурс./ Л.Д.Тимоти, Р.Л.Х.Грэхам. // Описание изобретения к патенту RU2108620 www.fips.ru.

45. Бэррингтон Дэвид и др. Система переноса денежных средств Электронный ресурс. // Описание изобретения к патенту RU2142160 www.fips.ru.

46. Франк В.Судиа Способ секретного использования цифровых подписей в коммерческой криптографической системе Электронный ресурс./ Франк В.Судиа, Брайан Сирицкий. // Описание изобретения к патенту RU2144269 www.fips.ru.

47. Хартмут Шренк (DE) Электронная карточка-кошелек и способ для перезарядки электронной карточки-кошелька Электронный ресурс. // Описание изобретения к патенту RU2166204 www.fips.ru.

48. Ветошкин A.J1. Способ осуществления денежных расчетов Электронный ресурс. / A.J1. Ветошкин, Н.А. Лоскутов. // Описание изобретения к патенту RU2172014 www.fips.ru.

49. Ричардз Брюс Дж. и др. Автоматический аппарат совершения финансовых операций и способ его работы Электронный ресурс. // Описание изобретения к патенту RU2189637 www.fips.ru.

50. N. Asokan The State of the Art in Electronic Payment Systems Электронный ресурс./ N. Asokan, Phillipe A. Janson, Michael Steiner, Michael Waidner.// www.semper.org/sirene/publ/ AJSW97PayOver.IEEE.pdf.

51. M. Bellare VarietyCash: a Multi-purpose Electronic Payment System Электронный ресурс. / M. Bellare, J. Garay, C. Jutla, M. Yung.// hwww-cse.ucsd.edu/~mihir/papers/vc.pdf.

52. H. Burk Digital Payment Systems Enabling Security and Unobservability Электронный ресурс. // www.semper.org/sirene/publ/BuePf89.ps.gz.

53. Burns Michael J. System and method for displaying information and using a plurality of profit levels for money management in electronic trading етчгоптеп^Электронный ресурс. // v3 .espacenet.com/textdes?DB= EPODOC&IDX= W02004070565.

54. David Chaum OnLine Cash Checks Текст.// Advances in Cryptology EUROCRIPT-89, Quisquarter & J. Vanderwalle (Eds.) Springer-Verlag. pp. 288-293.

55. David Chaum Achieving Electronic Privacy Текст.// Scientific American, Aug. 1992, pp 96(6).

56. David Chaum Privacy Protected Payments Unconditional Payer and/or Payee Untraceability Текст.// in Smart Card 2000, North-Holland, Amsterdam, 1989, pp. 69-93.

57. Chaum David (Us) Transparent-coin electronic money system Электронный ресурс. // v3.espacenet.com/textdes?DB=EPODOC&IDX= W00208865.

58. Diffie W. New directions in cryptography Текст./ M.E. Hellman, W. Diffie.// IEEE Trans, on Info. Theory, vol. IT-22, pp. 644-654, Nov. 1976.

59. The future of money in the information age, edited by J.A.Dorn Электронный ресурс. // www.cato.org/copy.htm.

60. Mark Fajfar Role and Security of Payment Systems in an Electronic Age Текст. // Remarks Prepared for IMF Institute Seminar on "Current Developments in Monetary and Financial Law", June 1, 2004.

61. Carl Felsenfeld The check clearing for the 21st century act a wrong turn in the road to improvement of the U.S. payments system Электронный pecypc./Carl Felsenfeld, Genci Bilali// lsr.nellco.org/fordham/flsoc/ papers/3.

62. Taher El Gamal A Public Key Cryptosystem and a Signature Scheme Based on Discrete Logarithms Текст.// IEEE Trans, on Info. Theory, vol. IT-31,pp. 469-472, July 1985.

63. James Gleick. The End of Cash Электронный ресурс.// www.around.com/money.html.

64. Halpern John W (Gb) Electronic money purse and fund transfer system Электронный ресурс. // v3.espacenet.com/textdes?DB=EPODOC &1DX=US4906828.

65. Watanabe Junichi Prepaid type electronic money settlement system and method using portable terminal Электронный ресурс. // v3.espacenet.com/textdraw?DB=EPODOC&IDX=JP20043 26348.

66. Ueno Kazuki Method and system for assisting charge of electronic money Электронный ресурс. // v3.espacenet.com/textdraw?DB=EPODOC& IDX=JP2006065620.

67. Nakamura Keigo (Jp) Electronic money system, electronic money exchange server and mobile phone Электронный ресурс. // v3.espacenet.com/textdes?DB=EPODOC&IDX=US2004172359.

68. Steven Levy. E-Money (That's What I Want) Электронный ресурс. 11 www.wired.com/wired /archive/2.12/.

69. Umetani Masaru Electronic money managing system and method, and computer program Электронный ресурс. // v3.espacenet.com/ textdraw?DB=EPODOC&IDX= JP2003141428.

70. Umetani Masaru Electronic money managing system and method, and computer program Электронный ресурс. // v3.espacenet.com/textdraw? DB=EPODOC&IDX= JP2006085723.

71. Matzig Christoph Device and method for conducting a money deposit transaction Электронный ресурс. // v3.espacenet.com/textdes?DB= EPC)DOC&IDX=ZA200501791.

72. Qu, MinghuaVanstone, Scott, A. Implicit certificate scheme Электронный ресурс. // www.wipo.int/pctdb/en/wo.jsp?IA=CA1999000244&DISPLAY =DESC.

73. Mjolsnes Stig Frode (No) System of secured payment by the transfer of electronic money through an interbank network Электронный ресурс. // v3. espacenet.com/textdes?DB=EPODOC&IDX=US5905976.

74. Vindeby Per (De) Method and system for transmitting an amount of electronic money from a credit memory Электронный ресурс. // v3.espacenet.com/textdes?DB=EPODOC&IDX=EPl 193658.

75. Jaschhof Rainer (De); Wolf Hans-Hermann (De) Method and system for transmitting an amount of electronic money from a credit memory by WAP Электронный ресурс. // v3.espacenet.com/textdes?DB= EPODOC& IDX=EP 1180748.

76. Rivest R. A Method for Obtaining Digital Signatures and Public Key Cryptosystems Текст. /А. Shamir, L. Adleman, R.Rivest.// Commun. of the Assoc. of Сотр. Math., Vol. 21, pp. 120-126, Feb. 1978.

77. Rosen S. Software Patent EP542298: Electronic monetary system Электронный ресурс. // www.freepatentsonline.com, application no. EP19920119461.

78. Rosen S. Trusted agent for open electronic commerce Электронный ресурс. // www.freepatentsonline.com application no. US5557518.

79. Rosen Sholom S (Us) System and method for connecting money modules Электронный ресурс.// v3.espacenet.com/textdes?DB-EPODOC&IDX=US6047887.

80. RSA Security Электронный ресурс. // www.rsasecurity.com / rsalabs/.

81. Sasaki Shigeru (Jp) Electronic money processing method and system thereof and a recording medium recording a program thereof Электронный ресурс. // v3.espacenet.com/textdes?DB=EPODOC&IDX=US6402027.

82. Kawai Shigeyuki (Jp) Electronic money system with credit arrangement Электронный ресурс. // v3.espacenet.com/textclam?DB= EPODOC&IDX=GB2362982.

83. Kawai Shigeyuki (Jp) Electronic money system and transaction method using the same Электронный ресурс. // v3.espacenet.com/textdes?DB=EPODOC&IDX=US2004206814.

84. Sergei P.Skorobogatov Copy Protection in Modern Microcontrollers Электронный ресурс., //www.cl.cam.ac.uk/ 18.10.2000.

85. Stalder F. Failures and successes: Notes on the development of electronic cash. Электронный ресурс. // felix.openflows.org/html/ ANTMondex.pdf.

86. Swift Jonathan Richard (Gb) Radio electronic money transfer system Электронный ресурс. // v3.espacenet.com/textdes?DB=EPODOC&IDX= GB2397424.

87. Shiobara Tomomi (Jp) Terminal device and transaction system using electronic money Электронный ресурс. // v3.espacenet.com/ textdoc?DB=EPODC)C&IDX=EP0865007

88. Shiobara Tomomi (Jp) Electronic money management and possession system and method and apparatus and means therefore Электронный ресурс. // v3.espacenet.com/textdes?DB=EPODOC&IDX=EP0910052.

89. Shiobara Tomomi (JP) Administrative holding system and administrative holding method for electronic money Электронный ресурс. // v3.espacenet.com/textdraw?DB=EPODOC&IDX= JP2004005734.

90. Lionel Trilling Money in crisis Электронный ресурс. // www.terratrc.org/PDF/Sup3-MoneyInCrisis.pdf.

91. Uusilehto Janne (Fi) A method for loading money, an electronic device, and a system Электронный ресурс. // v3.espacenet.com/textdes? DB= EP0D0C&IDX=EP1189179.

92. Nakajima Yasunari (Jp) Payment system for restaurant using electronic money Электронный ресурс. // v3.espacenet.com/ textdes?DB=EPC>DOC&IDX=US2006116933.

93. Takeshima Yasuo (Jp) Electronic money system and electronic money terminal Электронный ресурс. 11 v3.espacenet.com/textdes?DB= EPODOC&IDX=EP 1128339.

94. Watanabe Yoshiaki (Jp) Authentication system for mobile terminal having electronic money function Электронный ресурс. // v3.espacenet.com/textdes?DB=EPODOC&IDX=US2006160525.

Похожие работы

Информатика, вычислительная техника и управление
05.13.00