Un cadru pentru conceperea sistemelor bancare de comunicații

Abstract

Dezvoltarea piețelor financiare electronice avansează cu rapiditate. Băncile se îndreaptă către

sistemul de banking electronic pentru a dobândi un loc deosebit în lumea electronică în curs de

dezvoltare. Dezvoltarea unei infrastructuri de comunicații robuste și sigure este un factor

determinant pentru conceperea unui sistem de electronic banking. În acest articol, este prezentat

un cadrul pentru conceperea sistemelor de comunicații bancare. Sunt discutate aspectele cheie

priving disponibilitatea ridicată, prioritizarea traficului și securitatea și este prezentat un cadru

pentru conceperea sistemelor comunicații bancare care se concentrează pe aceste aspecte.

Cuvinte cheie: Electronic banking; Sisteme de comunicații bancare; Disponibilitatea ridicată;

Prioritizarea traficului; Securitatea;

1. Introducere

Gradul de dezvoltare al pieței financiare electronice este unul destul de accentuat. Băncile

comerciale activează într-un mediu foarte competitiv și care se schimbă cu rapiditate. Folosirea

informațiilor emergente și a tehnologiilor de comunicare este un factor fundamental pentru

eficientizarea operațiunilor într-un astfel de mediu.

Din moment ce din ce în ce mai puțini clienți vizitează sediile bancare și autostrăzile, din ce

în ce mai mulți clienți folosesc bancomatele (ATM), răspunsul automat, terminalele de home

banking și/sau internetul pentru a-și îndeplini obiectivele financiare. Folosind comunicarea de

mare viteză, computere performante și ieftine și tehnologii de securitate avansate, pentru a sprijin

atât aplicațiile din front cât și din back-office, băncile comerciale își îmbunătățesc

productivitatea și serviciile prin intermediul noilor produse financiare.

Conceperea unei infrastructuri de comunicații robuste și sigure reprezintă factorul cheie

pentru crearea unui sistem de banking electronic. în acest articol se oferă un cadru pentru

dezvoltarea sistemelor de comunicații bancare. Aspectele cheie privind disponibilitatea ridicată,

prioritizarea traficului și securitatea sunt abordate și este prezentat un cadru pentru dezvoltarea

sistemelor de comunicații bancare care se concentrează pe aceste aspecte.

Cadrul propus pentru dezvoltarea sistemelor de comunicații bancare care se concentrează pe

disponibilitatea ridicată și prioritizarea traficului este prezentat în Secțiunea 2. Aspectele privind

securitatea unui astfel de tip de sistem de comunicații sunt abordate în Secțiunea 3. În final,

concluziile sunt prezentate în Secțiunea 4.

2. Cadrul propus

Rețelele bancare tipice din perioada actuală sunt alcătuite dintr-o rețea care interconectează

sute de site-uri cu resurse centralizate și o rețea corporativă.

Cele mai multe rețele bancare nu reprezintă doar o rețea care conectează fiecare bancă la

centrul de date, ci un număr de rețele paralele multi-drop cu protocol unic. De obicei este

necesar un număr de conexiuni dintre liniile de comunicare și centrul de date: două protocoale de

tip SDLC, care conectează aplicațiile centrale financiare locale și LAN-ul sucursalei cu serverul

financiar central, o linie bysinc pentru ATM, și o linie directă pentru sistemul de alarmă de

securitate.

Conform cadrului de dezvoltare a rețelei bancare, care este prezentat în acest articol, este

necesară doar o conexiune a filialei la centrul de date. Este o conexiune bazată pe tehnologia

frame relay care consolidează toate tipurile de trafic.

Rețeaua de comunicații bancare propusă se bazează pe coexistența a două protocoale: SNA și

TCP/IP.

Folosirea protocolului SNA prezintă următoarele beneficii:

a. Disponibilitate ridicată. Rețelele SNA sunt cunoscute pentru disponibilitatea de 99.99%.

b. Timpul de răspuns previzibil. Create pentru rate ale tranzacționării bancare rapide,

rețelele SNA pot fi setate să ofere timpi de răspuns foarte predictibili și compatibili și

service pentru o gamă largă de diferite tipuri de utilizatori și aplicații

c. Securitate. Rețelele SNA sunt intrinsec de dificil de sabotat. Ele oferă acces sigur la

resursele fundamentale.

Pe de altă parte, folosirea protocoalelor de tip TCP/IP este foarte benefică pentru internet

banking, mobile banking și alte aplicații client/server.

Coexistența TCP/IP și SNA combină beneficiile ambelor protocoale și conduce la sisteme de

comunicații bancare care sunt capabile să suporte aplicațiile fundamentale de banking, în timp e

ele sunt totodată capabile să sprijine aplicațiile bazate pe protocolul TCP/IP aflate în curs de

dezvoltare.

Pe lângă beneficiile sale, coexistența protocoalelor SNA și TCP/IP introduce proiectarea

comunicațiilor interprotocolare, când o unitate bazată pe protocol SNA trebuie să comunice cu

una bazată pe protocol TCP/IP, deoarece cele două protocoale nu sunt compatibile. Totuși, acest

tip de comunicare interprotocolară nu constituie o problemă din moment ce există multe metode

de a o implementa, inclusiv utilizarea soluțiilor de securitate Enterprise Gateway, AnyNet sau

APPN.

Un al doilea avantaj al arhitecturii propuse este consolidarea diferitelor tipuri de trafic de date

în cadrul unei conexiuni protocolare de tip single frame. În cadrul unei bănci cu multe filiale,

arhitectura rețelei de sisteme (SNA) și dispozitivele pentru comunicații binare sincronizate

(BSC) sunt colocalizate cu rețelele LAN, rezultând rețele de filiale paralele și costuri lunare

ridicate cu rețelele de tip WAN. Consolidarea traficului pentru o conexiune unică elimnă

multiplele conexiuni pe linii de comunicare care conextează filiala cu resursele centrale. De

asemenea ea exploatează avantajele interrețelei LAN cu performanță superioară pentru a

consolida traficul pe rețeaua LAN, comparat cu viteza de trafic scăzută a rețelelor de tip leased

line.

Rezultatul este performanța superioară, fiabilitate mai mare și costuri mai mici. Deoarece o

linie de acces poate fi folosită pentru utilizarea aceluiași număr de site-uri ca și un număr mare

de linii de tip leased, volumul de echipament necesar s-ar putea reduce. Cheltuielile lunare cu

telecomunicațiile se reduc de asemenea și rețeaua este simplificată. Alte beneficii includ

utilizarea eficientă a benzii de trafic, timp de răspuns compatibili și previzibili, fiabilitatea

superioară și simplificarea topologiilor și rezolvarea mai facilă a problemelor de rețea.

2.1 Filialele bancare

Infrastructura de comunicații a unei filiale bancare ar trebui să fie capabilă să susțină o

multitudine de dispozitive care sunt prezente în general în filialele bancare:

a. Dispozitive de control financiar. Platformele dispozitivelor de control financiar: fie

SDLC, BSC sau atașate la LAN.

b. Bancomate. Bancomate de tip SDLC-, BSC- atașate la circuite point-to-point sau multi-

drop

c. Sisteme fizice de alarmă. Dispozitivele de avertizare care supraveghează locațiile

filialelor băncilor.

d. Aplicații client-server. Aplicații LAN din filială care accesează aplicațiile de la serverul

local sau cel central.

Conform cadrului propus, infrastructura de comunicații a filiale se bazează pe un inel Token

sau pe rețeaua LAN la care sunt conectate dispozitivele de mai sus. Rețeaua LAN este conectată

la rețeaua de tip Frame Relay prin intermediul unui dispozitiv de acces de tip Frame Relay

(FRAD). Alternativ, unele dintre dispozitivele de mai sus pot fi conectate în mod direct la FRAD

(dacă dispozitivul FRAD are porturi disponibile pentru conectarea acestor dispozitive).

Pentru a garanta nivelul ridicat al disponibilității, în cazul problemelor de comunicare apărute

în cadrul rețelei de tip Frame Relay, filiala bancară ar trebui să fie capabilă să direcționeze

traficul printr-o conexiune de rezervă de tip PSTN.(fig 1)

Xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx FIG 1

2.2. centrul de date al băncii

Principalele dispozitive informatice și structura rețelei unui centru de date al unei bănci sunt

prezentate în fig 2.

Xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx FIG 2

Următoarele dispozitive informatice sunt de obicei prezente:

a. Un computer de tip SNA care susține aplicațiile centrale bancare.

b. Un dispozitiv de alarmă care procesează semnalele de alarmă și care folosesc un protocol

Async.

c. Un dispozitiv pentru ATM care susține ATM urile și folosește protocolul BSC

d. Un server web, un server LAN și un număr de computere cu protocol SNA sau TCP/IP

care sunt folosite de către personalul centrului de date pentru a avea acces la aplicațiile

financiare.

Toate aceste dispozitive erogene ar trebui interconectate și de asemenea ar trebui să fie

conectate la filiale bancare.

Infrastructura comunicațiilor cu centrul de date se bazează pe un dipozitiv de tip Ethernet sau

inel LAN care conectează dispozitivele mai sus menționate. Traficul BSC al dispozitivului

Tandem ATM și traficul Async al dispozitivului de alarmă sunt convertite în structură logică prin

intermediul unui nod de conversie, precum este prezentat în figura 2.

Rețeaua de tip LAN a centrului de date este conectată la filialele sale prin intermediului unui

dispozitiv de tip FRAD. Toate categoriile de trafic menționate sunt consolidate și transmise către

filiale sub formă traficului cu relee de cadre.

Este disponibilă și o conexiune de rețea pe fir în cazul în care apar probleme de comunicare

în cadrul rețelei cu cadre de relee.

2.3. Prioritizarea traficului

Integrarea diferitelor clase de trafic la nivelul unei rețele cu cadre de relee comune sau a unui

Circuit Virtual Privat (PVC) presupune capacitatea de a separa logic și a prioritiza traficul

individual pentru a profita de caracteristicile unice ale oricărei aplicații. Astfel, prioritizarea

sarcinilor ar trebui întreprinsă pentru a aloca fiecărui dispozitiv sau/și protocol prioritatea

considerată. Schema prioritizării sarcinilor ar trebui să asigure lungimea de bandă aplicațiilor

fundamentale, presupunând răspunsuri previzibile și integritatea datelor.

Traficul este împărțit în patru categorii prioritare:

a. Prioritate urgentă: trafic de alarmă

b. Prioritate ridicată: trafic BSC ATM

c. Prioritate medie: trafic SNA

d. Prioritate scăzută: trafic TCP/IP

Traficul cu prioritate urgentă este semnalizat când este prezent. Fluxurile de trafic cu prioritate

ridicată, medie și scăzută sunt alocate conform procentajelor de capacitate. Lungimea de bandă

neutilizată este alocată pentru șirurilor de date.

Pe lângă utilizarea unui dispozitiv de tip FRAD care susține prioritizarea traficului, este

important să se utilizeze un LAN care să susțină prioritzarea în nivelul de control al accesului

mediu (MAC). Datorită naturii distributive a LAN-urilor, conceperea unui protocol de tip MAC

care implementează regulile de prioritizare de mai sus nu reprezintă o sarcină ușoară. Este o

problemă de cercetare deschisă. În prezent se lurează la dezvoltarea unui astfel de protocol.

2.4. Rutarea aplicațiilor financiare fundamentale

Rutarea aplicațiilor financiare fundamentale prin intemediul unui WAN cu cadre de relee

presupune următoarele fenomene:

a. Selectarea rutei deterministe

b. Elasticitatea sesiunii

c. Mutarea automată către un site care recuperează datele

Figura 3 ilustrează o filială bancară conectată la centrul de baze principal prin intermediul

unei rețele cu cadre de relee prin două PVC-uri:

1. Ruta virtuală explicită (eVR)

2. Ruta virtuală paralelă (pVR)

Un al treilea PVC, ruta virtuală alternată (aVR) este utilizat pentru conectarea la site-ul de

recuperare a datelor.

Ruta virtuală explicită (eVR) permite configurarea prin dispozitiv a unui PVC pentru trafic la

nivelul rețelei.

Ruta virtuală paralelă (pVR) permite configurarea prin dispozitiv a unui PVC excesiv pentru

trafic la nivelul rețelei. În cazul în care PVC-ul cu ruta virtuală explicită nu este disponibil,

dispozitivul FRAD va comuta de la eVR la pVR fără a pierde activitatea utilizatorilor.

Ruta virtuală alternativă (aVR) permite configurarea prin dispozitivul de control a unei destinații

de stocare alternativă și PVC pentru trafic la nivelul rețelei. aVR este folosit când nu este

disponibil nici eVR-ul nici pVR-ul. Astfel aVR oferă opțiunea de a comuta traficul către un site

de recuperare a datelor sau către un centru de date provizoriu.

În cazul în care apar probleme de comunicare, restabilirea ar trebui făcută prin rețele PSTN sau

ISDN. Ambele părți (centrul de date și filialele bancare) ar trebui să fie capabile să inițializeze

restabilirea comunicației. Caracteristica aVR descrisă mai sus permite configurarea unei

destinații separate, dacă se dorește restabilirea conexiunii. Aceasta permite funcționarea

activităților fundamentale în timp ce filiala este conectată la conexiunea de restabilire.

3. Aspecte ale securității

Un aspect fundamental al sistemelor de comunicare bancare este securitatea. Conform cu cadrul

propus, comunicarea sigură a rețelei bancare cu mediul extern se bazează pe trei măsuri de

securitate:

a. Folosirea routerelor de filtrare și firewall-urilor care protejează rețeaua de atacurile de pe

Internet.

b. Utilizarea comunicării criptografice între sistemul informațional al băncii și utilizatorii

săi.

c. Utilizarea mecanismelor de autentificare care autentifică utilizatorii

3.1. Routerele de filtrare și firewall-urile

Rețeaua bancară este protejată prin intermediul routerelor de filtrare sau a unui firewall, care

formează o barieră între Internet și rețeaua bancară internă (fig 2)

Routerul de filtrare verifică sursa și destinația fiecărei tranzacții din rețea și determină dacă

informația va fi transmisă.

Firewallul este folosit pentru a proteja rețeaua bancară de internet. Tot traficul de intrare este

direcționat către firewall. Traficul prin firewall face subiectul unui proces special de proxi care

cerifică sursa și destinația fiecărui pachet informațional.

Proxy-ul schimbă apoi adresa IP a pachetului pentru a-l livra către locația potrivită din cadrul

rețelei de servicii destinate clienților. În acest fel, toate adresele interne sunt protejate de accesul

extern, iar structura rețelei interne a băncii este invizibilă pentru persoanele din exterior.

3.2. Protocoale criptografice

O familie de trei protocoale (SSL, TLS și WTLS) este folosită pentru a cripta comunicațiile

dintre bancă și clienții săi. Protocolul SSL a fost inițial o inițiativă a Netscape. IETF a adoptat

SSL-ul pentru protocolul TLS. Forumul WAP a adoptat protocolul TLS pentru a dezvolta un

echivalent wireless, Wireless Transport Layer Security (WTLS). Deși există diferențe între

aceste protocoale, din punct de vedere concenptual ele oferă aceleași servicii de seucritate: un

canal sigur între clienți și bancă. Acest lucru înseamnă că datele care sunt transmise între cele

două părți sunt secrete și că va fi păstrată integritatea datelor; banca este autentificată mereu;

clientului ii poate fi cerut să se autentifice de asemenea. De notat că multe sisteme de banking

electronic nu se bazează pe autentificarea clienților ca trăsătură a canalelor de securitate, ci mai

degrabă implementează un mecanism de autentificare a clienților la nivelul superior al acestor

canale.

Un avantaj al protocoalelor SSL/TLS/WTLS este faptul că ele pot fi folosite cu ușurință pentru

diferite protocoale de comunicare, inclusiv și pentru http. Din moment ce SSL/TLS/WLTS

asigură doar un canal sigur de comunicare, ele nu asigură nerepudierea: la destinatar, datele

transmise părăsesc canalul sigur și protecția criptografică este eliminată; nu există nicio

semnătură digitală a datelor clienților. De aceea sistemele bancare electronice ar trebui să

implementeze un mecanism de nerepudiere între aceste două faze, între căderea de acord și

transferul de date. Există 3 obiective ale căderii de acord: clientul și banca trebuie să convină

asupra unor algoritmi criptografici care vor fi folosiți pentru protecția datelor, pentru

autentificarea părților și pentru stabilirea unor chei criptografice cu care vor fi protejate datele; în

cele din urmă, banca se autentifică față de client, și, opțional, clientul se autentifică la bancă.

Odată ce s-a căzut de acord, transferul de date se poate desfășura. Datele sunt împărțite în

fragmente și transmise ca o serie de înregistrări protejate. Pentru a asigura integritatea datelr, un

cod de autentificare este alocat fragmentelor de date; fragmentul de date și codul de autentificare

sunt apoi criptate.

Prima versiune publică a SSL, versiunea 2 a avut o serie de defecte de securitatea care au fost

reparate în cadrul versiunii 3. Din moment ce browserele actuale încă suportă SSL v2 și încă este

folosit în cadrul unor sisteme, vom rezuma problemele sale de securitate. Aceleași chei

criptologice sunt folosite pentru autentificarea și criptarea mesajului; acest lucru înseamnă că în

exportarea datelor, securitatea codului de autentificare a mesajelor este slăbită. SSLv2 are o

construcție deficitară a codului de autentificarea a mesajului și se bazează doar pe funcția MD5.

SSLv2 nu prezintă protecție pentru acord, din moment ce o persoană care atacă securitatea nu

poate fi identificată. În final, un atac trunchiat este posibil, căci SSLv2 folosește conexiunea TCP

doar pentru a indica finalizarea datelor, astfel încât atacatorul poate forța TCP FIN-urile și

destinatarul nu poate realiza că finalizarea comunicării nu este reală.

Grupul de lucru IETF TLS a adoptat versiunea 3 a protocolului SSL. Au fost făcute unele

modificări minore pentru a crește nivelul de securitate: au fost modificate cheile criptografice

care erau utilizate pentru secretizarea inițială, codul de autentificare a mesajelor HMAC a fost

înlocuit cu HMAC-ul real și au fost necesare implementări pentru includerea ajutorului pentru

acordul cheie Diffie-Hellman, pentru Standardul de Semnătură Digitală și criptarea Triple-DES.

La momentul scrierii articolului, grupul IETF TLS lucra la unele îmbunătățiri ale protocolului

TLS, inclusiv extensii (wireless), Rijndael și Standardul Avansat de Criptare

Forumul WAP a adaptat TLS pentru a-l face potrivit pentru un mediu wireless cu dispozitive

mici care au limitări de bandă, memorie și procesare. WTLS include astfel criptografia curbei

eliptice (memorie și procesare limitată). WTLS operează la nivelul superior al datagramei în loc

să se conecteze la o rețea de comunicare; în final, WTLS își definește propriul format certificat

optimizat pentru dimensiunea (lățimea limitată a benzii), dar susține și certificatul X.509.

Browserele populare din ziua de azi implementează protocolul SSL/TLS în mod implicit.

Precum a fost deja indicat, atunci când se prezintă infrastructura de bază a unui sistem de internet

banking, multe bănci preferă să folosească implementările proprii (sau pe unul extern) ale

SSL/TLS, executate prin intermediul unui browse sau a unei aplicații de sine stătătoare.

Motivația principală din spatele acestei proceduri este existența restricțiilor de export ale SUA.

Ca o alternativă la aplicația de banking electronic bazată pe browser, o aplicație de sine

stătătoare poate fi folosită atât pentru securitatea cât și pentru funcționalitatea sistemului bancar.

Uneori, o aplicație de sine stătătoare este folosită doar ca un proxy care funcționează în

computerul utilizatorului, care se interpune între browser și serverul băncii și adaugă un nivel

sporit securității comunicațiilor dintre client și bancă (în timp ce comunicarea dintre browser și

proxy rămâne slabă). În multe cazuri, codul programului care vizează securitatea sorită și posibil

funcționalitatea bancară este dowloadat doar ca o extensie și funcționează în cadrul browserului.

Această extensie poate avea o funcționalitate totală sau se poate comporta ca un proxi între

browser și serverul băncii.

Utilizatorul se poate asigura de corectitudinea executării și a interfeței aplicației de banking

electronic doar dacă deține o copie originală a browserului sau a aplicației în sine. Dacă este

folosită o extensie Java, aceasta ar trebui autentificată de către bancă, în așa fel încât să poată fi

verificată de către utilizator înainte de executarea programului. Utilizatorii trebuie să recunoască

momentul în care conexiunea lor cu banca este sigură. Cu toate acestea, în browserele de azi

există puține indicații viziuale, iar un utilizator neexperimentat este ușor de păcălit de către un

website fals.

Peste toate, trebuie să existe o infrastructură fundamentală public (PKI). Ea asigură o

cartografiere corectă pentru entități. Numele entității împreună cu cheia publică corespunzătoare

sunt introduse într-un certificat X.509 care este semnificat de o autoritate de certificare.

Distribuirea autentică a certificatelor, certificările autorităților din domeniu sunt foarte

importante. Ele sunt folosite de către bancă pentru a verifica certificatele entităților. Clientul are

nevoie de ele pentru a verifica certificatul băncii în timpul autentificării SSL/TLS și pentru a

verifica programele digitale.

3.3. Mecanismele de autentificare

Asigurarea unui canal de comunicare criptat dintre un utilizator și o bancă este doar o parte dintr-

un sistem de securitate a bankingului electronic. autentificarea utilizatorului este partea

fundamentală.

3.3.1. Parole și Numere de Identificare Personală (PIN)

Cea mai utilizată metodă de autentificare a clienților existenți sau a angajaților care cer acces la

sistemele bancare este introducerea unui username sau ID și a unei combinații secrete de

caractere precum o parolă sau un cod PIN. ID-urile userilor combinate cu parolele sau cu

codurile PIN sunt considerate singura tehnică de autentificare singulară. Acceptarea din partea

publicului a acestei forme de autentificare se bazează pe facilitatea procedurii și a adaptabilității

sale în cadrul infrastructurilor existente.

Multe sisteme de banking electronic încă se bazează pe o parolă fixă pentru autentificarea

utilizatorilor. Această parolă poate fi un cod PIN sau o combinație de caractere, și este combinată

cu un cod de utilizator care nu este ușor de ghicit. În multe cazuri poate fi utilizat doar un grup

de caractere, lucru care oferă securitate împotriva unui infractor care privește peste umăr sau care

practică sniffingul (banca cere un grup diferit de fiecare dată). Parolele fixe sunt folosite cel mai

adesea pentru autentificarea entităților. În cazuri rare, ele sunt folosite și pentru autentificarea

tranzacțiilor, deși se folosesc mai degrabă pentru autentificarea entităților pentru tranzacții

singulare. În multe sisteme, parolele fixe sunt utilizate pentru autentificarea entităților și sunt

combinate cu unul din mecanismele explicate în secțiunile următoare, folosite pentru

autentificarea tranzacțiilor. Mai mult, o parolă este mai mereu necesară pentru a declanșa

sistemul prima dată când este utilizat. Aceasta este diferită de parola folosită în sesiunile

normale.

Banca oferă o listă de parole unice clienților săi. Acestea pot fi folosite doar odată, și deci ar

trebui să ofere mai multă securitate. Totuși, este dificil ca acestea să fie învățate pe de rost și

utilizatorii vor fi constrânși să țină o listă scrisă, sau mai rău vor fi nevoiți să le țină într-un

document din computer. Terminologia bancară utilizează denumiri diferite pentru autentificarea

individuală și pentru autentificarea tranzacțiilor individuale. Unele sisteme utilizează o

combinație de parole fixe și dinamice: cele fixe pentru autentificare individuală și cele dinamice

pentru autentificarea tranzacției. În loc să conceapă o listă de parole independente, este posibil să

genereze parole unice.

3.3.2. Provocare/reacție

Ideea unui cadru de tipul provocare/reacție prevede ca și clientul să-și demonstreze identitatea

față de bancă prin faptul că știe o informație secretă, nu doar prin trimiterea acestuia către bancă,

ci printr-un răspuns corect care vine la o întrebare despre acel secre. Există astfel de scheme

simetrice și asimetrice. În cazul unui cadru simetric, răspunsul este un cod de autentificare a

mesajului sau o provocare aleatorie a băncii. O semnătură digitală pe un mesaj de provocare

aleator poate fi un exemplu de cadru asimetric.

3.3.3. Certificatele digitale folosind infrastructura cheie publică (PKI)

Banca ar putea folosi un sistem PKI pentru a autentifica clienții sau angajașii care doresc să aibă

acces la sistemele de afaceri interne. Un PKI implementat și menținut în condiții optime poate

reprezenta un mijloc eficient de identificare a indivizilor din cadrul rețelelor de tip Internet.

Sistemul se bazează pe criptarea cu cheie publică. Fiecare client are o pereche de chei: o valoare

electronic unică numită cheie publică și o cheie privată matematică. Cheia publică este

disponibilă pentru cei care vor să verifice identitatea clienților. Cheia privată este stocată pe

computerul clientului sau pe un dispozitiv separat precum un smart card. Acesta este folosit

pentru a crea un dispozitiv de identificare electronic numit semnătură digitală care identifică în

mod unic deținătorul unei chei private și care poate fi autentificat doar prin cheia publică

corespunzătoare.

Autoritatea de certificare, care ar putea fi banca sau providerul său de servicii verifică dacă o

anumită cheie publică și o cheie privată aparțin unui individ sau sistem anume. Este important ca

atunci când se operează cu certificate digitate ca procesul de înregistrare pentru verificarea

identității clienților să fie gestionat corect. Autoritatea de certificare atestă identitatea individului

prin semnarea certificatului digital cu propria sa cheie privată, cunoscută ca și cheia primară. De

fiecare dată când un client stabilește o relație de comunicare cu banca, o semnătură digitală este

transmisă cu un certificat digital. Aceste atestări electronice permit băncii să determine

validitatea certificatului digital, să identifice individul ca și client și să confirme faptul că

tranzacția făcută de client a fost înregistrată în sistemul computerizat al băncii.

3.3.4. Tokenurile

Sistemele bazate pe tokenuri asigură autentificarea unui utilizator cerându-i să demonstreze

posesia unui obiect fizic sau token care este unic pentru respectivul utilizator. Există trei tipuri

fundamentale de tokenuri:

1. Tokenurile cu memorie. Acestea tokenuri nu au capacitate de procesare, dar conțin date

de autentificare stocate sub formă magnetică, electronică sau optică.

2. Tokenuri cu microprocesoare. Acestea conțin și un procesor suplimentar memoriei.

Astfel de tokenuri ar putea implementa algoritmi criptografici pentru criptarea pe card.

Tokenurile cu microprocesoare sunt denumite în general smartcarduri. Multe dintre

acestea au proprietăți care le fac rezistente la manipulare.

3. Generatoare de parolă manuale. Această clasă de dispozitive include atât computere

pentru mecanismele cu parolă unică descrise mai sus și computere provocare-răspuns

care permit utilizatorului să introducă o provocare de la server și să conceapă răspunsul

corect.

De obicei, un token face parte dintr-un proces de autentificare cu doi factori, parola reprezentând

cealaltă componentă. Există multe beneficii de pe urma utilizării tokenurilor. Procesul de

autentificare nu poate fi finalizat dacă dispozitivul lipsește. Parolele statice sau identificatorii

biometrici folosiți pentru activarea tokenului ar putea fi autentificate chiar de către dispozitiv.

Tokenurile de generare a parolei asigură o protecție eficientă împotriva ghicirii parolei pentru cu

tokenul generează o nouă parolă la intervale specifice sau oferă o parolă unică drept răspuns la

un mesaj de verificare trimis de către bancă. Mai mult, aceste tokenuri sunt ușor de utilizat și

relativ ieftine. Tokenurile generatoare de parole sunt folosite de un număr de bănci pentru a

autentifica clienții comerciali care doresc să aibă acces la sistemul de banking electronic al

băncii. Pe măsură ce costurile scad tot mai mult, băncile ar putea alege să ofere clienților cu

amănuntul astfel de tokenuri.

Sistemele PKI pot încorpora tokenuri sau smart-carduri care conțin date de acreditare. Pentru

securitate suplimentară, o bancă ar putea cere ca și certificatul digital al clientului să fie stocat pe

un smart card. Smart cardurile și alte dispozitive consumabile care conțin cipuri electronice ar

putea fi mai costisitoare decât soluțiile software. Totuși, stocarea cheilor private pe un token în

locul unui hard drive previne accesul entităților neautorizate la computer și copierea cheilor de

criptare fără acordul utilizatorilor.

3.3.5. Dispozitive biometrice

Dispozitivele biometrice încorporează tehnologii de autentificare și identificare pe baza

caracteristicilor biologice unice. Caracteristicile biologice fundamentale includ vocea,

amprentele, geometria mâinii sau a piciorului, irisul sau retina din ochi sau modul în care un

client semnează un document sau tastează. Succesul unui dispozitiv de identificare biometric

depinde de capacitatea caracteristicii înregistrate digital de a fi corelată cu un individ dintr-o

populație definită. Deși nu sunt încă utilizată de bănci la scară largă pentru autentificarea

clienților existenți, dispozitivele de identificare biometrică sunt folosite în unele cazuri pentru

controlul accesului fizic. Este important de notat faptul că utilizarea caracteristicilor biometrice

pentru a securiza accesul la sistemele computerizate și la rețele a stârnit interesul și există o

investiție de mai multe miliarde de dolari în cercetarea și dezvoltarea acestui domeniu. Unele

guverne din lume au lansat inițiative de utilizare a caracteristicilorbiometrice pentru comunicarea

informatizată și securitatea rețelelor informatice.

Un sistem care inlude autentificarea biometrică are de obicei un scanner biometric care preia

mostre biometrice sau imaginea individului. Dispozitivul biometric ar putea fi un microfon, o

cameră video sau un cititor de amprente. Celelalte componente ale sistemului biometric sunt un

algoritm de procesare și un algoritm de potrivire.

Banca ar putea folosi un dispozitiv de identificare biometric pentru procesele de autentificare

după un factor sau mai mulți. De exemplu, ATM-urile care implementează tehnologiile de

scanare ale irisului pot fi folosite pentru autentificarea utilizatorilor. Dispozitivul de identificare

biometrică ar putea înlocui codul PIN. Un client poate oferi un cod PIN sau o parolă pentru a

ajuta dispozitivul de identificare biometrică, contribuind la un proces mai sigur de autentificare.

Banca ar putea folosi dispozitivele de identificare biometrică pentru automatizarea proceselor

existente, reducând astfel costurile. De exemplu, banca ar putea permite unui client să-și reseteze

parola prin telefon cu un soft de recunoaștere a vocii care autentifică clientul.

Un proces de autentificare care se bazează pe un singur factor de identificare biometrică nu ar

putea funcționa pentru toți clienții din baza de date a unei bănci. Introducerea unei metode

biometrice de identificare presupune contactul fizic cu fiecare client pentru a contura

identificarea fizică. Acest proces crește costurile implementării. Spre deosebire de parolă sau un

sistem de coduri PIN, în care o bancă trebuie să comunice cu clienții pentru inițierea contului,

utilizarea dispozitivelor de identificare biometrică pentru autentificare ar putea presupune

clienților să ofere mostre periodice. Unii clienți ar putea să nu fie capabili să producă mostre

biometrice certe datorită unor caracteristici fizice specifice sau a dizabilităților.

4. Concluzii

Dezvoltarea unei infrastructuri de comunicare robustă și sigură este un factor cheie pentru

conturarea unui sistem de banking electronic competitve. În acest articol a fost prezentat un

cadru pentru conceperea sistemelor de comunicare bancare. Principalul punct de atenție a fost

modul în care pot fi obținute aspectele privind disponibilitatea, prioritizarea traficului și

securitatea comunicării.

Cadrul propus există modul în care tehnologiile de comunicare și securitate actuale pot fi folosite

pentru conceperea sistemelor de comunicare eficiente. Mai mult, articolul se concentrează asupra

noilor tehnologii care ar trebui dezvoltate pentru a implementarea viitoarealor sisteme de

comunicare bancare. Momentan lucrăm la dezvoltarea astfel de tehnologii.