1 / 31

SISTEMI DI PAGAMENTO ELETTRONICO

SISTEMI DI PAGAMENTO ELETTRONICO. di Calcagno Emilio. Cosa intendiamo per sistemi di pagamento elettronico ?. I sistemi di pagamento elettronico riguardano il commercio elettronico e quindi lo svolgimento di attività commerciali e di transizioni per via elettronica quali:

orpah
Download Presentation

SISTEMI DI PAGAMENTO ELETTRONICO

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. SISTEMI DI PAGAMENTO ELETTRONICO di Calcagno Emilio

  2. Cosa intendiamo per sistemi di pagamento elettronico? I sistemi di pagamento elettronico riguardano il commercio elettronico e quindi lo svolgimento di attività commerciali e di transizioni per via elettronica quali: - commercializzazione di beni e servizi;(acquisto, vendita beni di consumo o beni immateriali come il sw) - effettuazioni di operazioni finanziarie e di borsa - l'utilizzo di apparecchiature che consentono lo svolgimento di alcune operazioni, senza interazione diretta tra le parti (carte di credito) In tutte queste attività entra in gioco la moneta elettronica

  3. Perché i pagamenti elettronici stanno diventando di uso sempre più comune? Perché sono sempre più le aziende che offrono tale servizio?

  4. Dal punto di vista dell’azienda: - offrire un nuovo servizio vuol dire aumentare la competitività - consente di ridurre il tempo che trascorre tra quando un prodotto o servizio viene pensato e il momento in cui viene venduto - consente di rivolgersi direttamente ad una buona fetta di mercato che altrimenti non sarebbero raggiunta - aumenta conoscenza delle esigenze del singolo cliente - attenua drasticamente il livello di rischio nel raggiungere e operare in nuovi mercati

  5. Dal punto di vista del cliente: - può accedere ad insieme di informazioni impossibili da ottenere nel caso di commercio tradizionale - può avvalersi di servizi personalizzati - monitorare e selezionare i prezzi più convenienti in assoluto in uno spettro di offerta amplissimo. - indipendenza fisica e temporale

  6. Sistemi Digital Cash - sistema che gestisce elettronicamente la moneta

  7. Requisiti per sistemi Digital Cash - sicurezza: la moneta elettronica, essendo rappresentata da stringhe di bit, e’ facilmente duplicabile; questo deve essere impedito - anonimato: l’identita’ di un individuo che usa moneta elettronica deve essere protetta - scalabilita’: un sistema e’ scalabile se puo’ gestire l’aumento degli utenti e delle risorse senza subire una notevole perdita di prestazioni - accettabilita’: possibilita’ di interagire con piu’ banche (nei sistemi che le usano)

  8. Requisiti per sistemi Digital Cash - operazioni off-line: possibilita che le parti possano essere indipendenti dall’autorita’ che ha emesso e assicura la moneta - trasferibilita’: si vuole che la moneta sia accettata da terzi senza prima contattare la banca - indipendenza dall’hardware: alcuni protocolli per garantite la sicurezza si poggiano sull’hardware; questo non e’ consigliato perche’ utenti che non dispongono di tale hardware non possono neanche usufruire dei servizi offerti da tale protocollo

  9. Blind Signature - protocollo che consente di ottenere una firma da un firmatario in modo che egli non possa vedere cio’ che firma - protocollo usato nei protocolli Digital Cash per assicurare l’anonimato della moneta - obiettivo: consentire a X di trasferire A Y moneta digitale senza che una terza persona intermediaria riesca a conoscere l’identita’ di X

  10. Protocollo per implementazione della Blind Signature - partecipanti: X (chi effettua il pagamento), Y (chi riceve la moneta) - cosa vogliamo?: Z intermediario(ad esempio una banca) non deve conoscere l’identita’ di X - cosa non vogliamo?: - X non deve avere la possibilita' di dare a due persone la stessa moneta elettronica - Y non deve poter riscuotere due volte la stessa moneta - l'intermediario deve, se succede, saper chi cerca di ingannarlo

  11. Funzionamento protocollo 1) X prepara 100 assegni anonimi da $ 1000 che contengono: 2) X consegna alla banca gli assegni

  12. Funzionamento protocollo 3) la banca chiede a X di scoprire 99 assegni e controlla l'importo, la stringa di riconoscimento e chiede a X tutte le stringhe di identita' 4) se tutto e' in regola la banca firma l'assegno non scoperto, riconsegna l'assegno e detrae l'importo dal suo conto 5) X scopre l'assegno e lo spende da Y 6) Y verifica la firma alla banca

  13. Funzionamento protocollo 7) Y chiede a X di rilevare la parte sx o dx (a scelta di Y) delle stringhe identita' poste sull'assegno 8) se X accetta Y incassa l'assegno dalla banca 9) la banca verifica la firma e controlla nel suo database assicurandosi che un assegno con la stessa stringa di riconoscimento non sia stato prima registrato; se cosi e' viene versato $ 1000 sul conto di Y e la banca memorizza il codice di riconoscimento dell'assegno

  14. Funzionamento protocollo 10) se la stringa di riconoscimento e' nel database la banca rifiuta l'assegno; confronta poi la stringa di identita' posta sull'assegno con quella memorizzata nel database; se e' uguale l'assegno e' stato duplicato da Y, altrimenti da X

  15. Protocollo Descrizione Millicent Dedicato ai micropagamenti, garantisce una adeguata sicurezza tramite semplici operazioni quali manipolazione di testo ed operazione hash PayWord Derivato dagli studi per lo schema Millicent, è dedicato ai micropagamenti, con buon grado di sicurezza, che sostituisce in alcuni casi la cifratura a chiave pubblica con la cifratura con funzione hash, rendendolo più efficiente Micromint Dedicato ai micropagamenti di basso costo, consta di sicurezza ragionevole ottenuta tramite cifratura a chiave simmetrica NetBill Dedicato ai micropagamenti è un sistema sicuro ed economico basato su cifratura a chiave pubblica o talvolta, per motivi di efficienza, a chiave simmetrica Netcard Dedicato ai micropagamenti ed in particolare per piccoli e ripetuti pagamenti, quindi senza grossi aggravi sulle transazioni e grossi investimenti in hardware. Utilizza sistemi di cifratura a chiave pubblica NetCash Dedicato ai macropagamenti, sicuro e scalabile che consente l'anonimato da parte degli utenti, basato su cifratura a chiave pubblica EasyPayment Dedicato ai macropagamenti, gestisce le transazioni grazie ad un software java applet che viene scaricato dall'acquirente Skygate Payment System Dedicato al macropagamento, è considerato uno dei sistemi più sicuri in assoluto. Unisce ad un sistema di protezione hardware sistemi di cifratura come protocollo di Diffie-Hellman SwiftBill Sistema dedicato ai macropagamenti caratterizzato da un elevato livello di sicurezza e da una notevole scalabilità. Supporta lo standard per le industrie OFX (Open Financial Exchange) e si basa sul sistema EBPP (Electronic Bill Presentment and Payment) iKP Dedicato ai macropagamenti, fornisce riservatezza nelle transazioni economiche DIGITAL CASH Sicurezza dei protocolli

  16. DIGITAL CASH NETBILL - sistema di pagamento sicuro per acquisti digitali di beni e servizi attraverso rete; - il consumatore utilizza un account, gestito dal software di NetBill (Money Tool), per effettuare acquisti;

  17. DIGITAL CASH NETBILL - fasi principali: richiesta del prezzo consegna dei beni pagamento

  18. DIGITAL CASH NETBILL Fase di richiesta prezzi Ticket che prova a S chi è B e stabilisce una chiave di sessione BS condivisa tra loro Cifratura del msg tramite un algoritmo simmetrico con BS Opzionale: prezzo che vorrebbe pagare Opzionale: identificativo della transizione Dati del prodotto richiesto Info opzionali Lo genera se non è stato fornito dal passo precedente; identifica questa transizione in seguito Prezzo stabilito Descrizione del prodotto

  19. DIGITAL CASH NETBILL Fase di consegna dei beni Identificativo globalmente unico usato dal DB del server di NetBill per identificare univocamente la transazione; è composto da:identificatore di S, timestamp che indica quando è finita l'operazione di cifratura dei beni e ovviamente un numero che garantisce l'univocità Messaggio consegna beni TID della fase precedente Funzione hash calcolata sui beni cifrati cosicchè il cliente possa verificare se c'è stato un errore nella consegna dei beni Chiave simmetrica unica creata da S Beni richiesti

  20. Electronic Payment Order (punto di non ritorno per il cliente; l'epo è diviso in:1)parte in chiaro visibile a N e S che contiene:identità B, ProductID, prezzo, identità S, l'EPOID; 2)una parte visibile solo a N che contiene: un ticket che prova l'identità di B, una prova che B ha l'autorizazione ad effettuare la transazione il numero di account di B, un account verification nonce(sfida per provare conoscenza account), campo nota di B DIGITAL CASH NETBILL Fase di pagamento B firma il messaggio Campo note Numero account di S S firma il messaggio Identificazione di S con N Chiave per decifrare il bene acquisito da B

  21. DIGITAL CASH NETBILL Ricevuta che contiene: risultato dell'operazione, identità delle parti, prezzo, descrizione dei beni, l'EPOID, la chiave K necessaria per decifrare i beni Ripetuto per evitare che S non possa replicare dati da una transazione precedente Fase di pagamento N firma la ricevuta usando DSA Nuovo bilancio di B Solo B può leggere il seguito Msg vari

  22. DIGITAL CASH NETCASH - Supporta pagamenti elettronici in tempo reale, prevedendo per essi l'eventuale anonimato su una rete aperta come Internet - scopi raggiunti: - facilitare pagamenti anonimi su rete - garantire sicurezza senza richiedere l'uso di un hardware speciale - la struttura di NetCash si basa su una rete di server di valuta elettronica; la valuta coniata da server differenti viene universalmente accettata dalla struttura

  23. DIGITAL CASH NETCASH Scambio utente X con server Tipo di valuta 1) X invia una tripla (valuta, K_pubblica, tipo transazione) il server controlla il tipo di valuta, la validità e da quale server è stata emessa. Nel caso di assegno il server versa l'ammontare sul proprio conto e finisce la transazione 2) Altrimenti il server ritorna a X la valuta desiderata cifrata con la chiave pubblica di X

  24. DIGITAL CASH NETCASH Scambio utente X con utente Y Identificativo unico del server Chiave pubblica del server usata da Y per verificare che le monete siano state coniate da un server autorizzato Conservata da Y per mettere in relazione monete e sessione Y X X invia la propria chiave pubblica Ka appositamente generata(in modo da rimanere anonimo) Y invia la sua chiave Kb cifrata con Ka X invia a Y (monete, Kses, id_sevizio) cifrate con Kb e (Certif_id, Kes, data_emissione_monete, data_scadenza_monete) cifrate con la chiave privata del FIC Y restituisce la ricevuta firmata con la sua chiave privata e codificata con la chiave simmetrica di X; in tal modo si protegge il contenuto del msg da eventuali attacchi La ricevuta contiene l'importo pagato, la data ed un identificatore unico T_id agenzia di controllo

  25. PROTOCOLLO SSL Secure Socket Layer

  26. Protocollo SSL - standard largamente usato dalla maggior parte dei siti di commercio elettronico - sistema di crittografia che garantisce la sicurezza nel trasferimento dei dati - progettato per fornire una connessione sicura tra client e server e quindi la privatezza e l'affidabilita' di una comunicazione tra due applicazioni. - impedisce le intrusioni, le manomissioni e le falsificazioni dei messaggi - SSL è particolarmente indicato per proteggere dati quali: numeri di Carte di Credito, dati personali, documenti riservati, transazioni di denaro ecc...

  27. Protocollo SSL La sicurezza fornita dal protocollo SSL si basa su: - Crittografia dei dati, che assicura la privatezza delle comunicazioni attraverso l'uso del sistema di crittografia a Chiave Pubblica della RSA. - Autenticazione del server, che consente di verificare l'identita' del server utilizzando un certificato digitale. - Sistema di verifica dell'integrita' dei messaggi, che utilizza una firma digitale per individuare eventuali alterazioni del messaggio.

  28. Protocollo SSL - è suddiviso in due protocolli: - handshake(stretta di mano): autentificazione tra server e client, negoziazione di un algoritmo di crittografia e delle relative chiavi - record: codifica e decodifica dei record scambiati

  29. Protocollo SSL Obiettivi: - sicurezza del collegamento - ampliamento: nuovi metodi di crittografia devono essere digeriti dal protocollo senza eccessivi sforzi - efficienza in termini di prestazioni

  30. Protocollo SSL handshake Per avviare la sequenza di handshake, il client invia un messaggio "ClientHello" al server che risponde con "ServerHello". Se ciò non accade il tentativo di connessione fallisce. I messaggi ClientHello e ServerHello contengono la versione del protocollo, l'identificativo della sessione, gli algoritmi di crittografia (Cipher Suite), il metodo di compressione dei dati, ed un numero casuale (ClientHello.random e ServerHello.random). Il server invierà al client il proprio certificato (se ne possiede uno) ed i messaggi ServerKeyExchange per lo scambio delle chiavi di sessione, CertificateRequest se necessita l'autenticazione del client, ed il messaggio ServerHelloDone che segnala la fine del processo di handshake, rimanendo in attesa della risposta del client Il client risponderà con il proprio certificato se ne possiede uno ed i messaggi ClientKeyExchange, il cui contenuto dipende dall'algoritmo di crittografia a chiave pubblica selezionato nella fase di hello, CertificateVerify che fornisce una verifica esplicita del certificato client (se valido per la firma), ChangeCipherSpec per segnalare che tutte le sottosequenze di record rispetteranno le regole stabilite nella fase precedente, ed infine un messaggio di finished In risposta il server invia anch'esso il messaggio ChangeCipherSpec ed il messaggio finished completando la fase di handshake

  31. Protocollo SSL record dati record - SSL Record Protocol è usato per trasferire i dati tra client e server - frammenta i dati in piccole unità (record) o combinando i messaggi di dati dei protocolli di livello superiore in singole unità - può comprimere e crittografare queste unità prima di trasmetterle

More Related