Un cadru pentru conceperea sistemelor bancare de comunicații
Abstract
Dezvoltarea piețelor financiare electronice avansează cu rapiditate. Băncile se îndreaptă către
sistemul de banking electronic pentru a dobândi un loc deosebit în lumea electronică în curs de
dezvoltare. Dezvoltarea unei infrastructuri de comunicații robuste și sigure este un factor
determinant pentru conceperea unui sistem de electronic banking. În acest articol, este prezentat
un cadrul pentru conceperea sistemelor de comunicații bancare. Sunt discutate aspectele cheie
priving disponibilitatea ridicată, prioritizarea traficului și securitatea și este prezentat un cadru
pentru conceperea sistemelor comunicații bancare care se concentrează pe aceste aspecte.
Cuvinte cheie: Electronic banking; Sisteme de comunicații bancare; Disponibilitatea ridicată;
Prioritizarea traficului; Securitatea;
1. Introducere
Gradul de dezvoltare al pieței financiare electronice este unul destul de accentuat. Băncile
comerciale activează într-un mediu foarte competitiv și care se schimbă cu rapiditate. Folosirea
informațiilor emergente și a tehnologiilor de comunicare este un factor fundamental pentru
eficientizarea operațiunilor într-un astfel de mediu.
Din moment ce din ce în ce mai puțini clienți vizitează sediile bancare și autostrăzile, din ce
în ce mai mulți clienți folosesc bancomatele (ATM), răspunsul automat, terminalele de home
banking și/sau internetul pentru a-și îndeplini obiectivele financiare. Folosind comunicarea de
mare viteză, computere performante și ieftine și tehnologii de securitate avansate, pentru a sprijin
atât aplicațiile din front cât și din back-office, băncile comerciale își îmbunătățesc
productivitatea și serviciile prin intermediul noilor produse financiare.
Conceperea unei infrastructuri de comunicații robuste și sigure reprezintă factorul cheie
pentru crearea unui sistem de banking electronic. în acest articol se oferă un cadru pentru
dezvoltarea sistemelor de comunicații bancare. Aspectele cheie privind disponibilitatea ridicată,
prioritizarea traficului și securitatea sunt abordate și este prezentat un cadru pentru dezvoltarea
sistemelor de comunicații bancare care se concentrează pe aceste aspecte.
Cadrul propus pentru dezvoltarea sistemelor de comunicații bancare care se concentrează pe
disponibilitatea ridicată și prioritizarea traficului este prezentat în Secțiunea 2. Aspectele privind
securitatea unui astfel de tip de sistem de comunicații sunt abordate în Secțiunea 3. În final,
concluziile sunt prezentate în Secțiunea 4.
2. Cadrul propus
Rețelele bancare tipice din perioada actuală sunt alcătuite dintr-o rețea care interconectează
sute de site-uri cu resurse centralizate și o rețea corporativă.
Cele mai multe rețele bancare nu reprezintă doar o rețea care conectează fiecare bancă la
centrul de date, ci un număr de rețele paralele multi-drop cu protocol unic. De obicei este
necesar un număr de conexiuni dintre liniile de comunicare și centrul de date: două protocoale de
tip SDLC, care conectează aplicațiile centrale financiare locale și LAN-ul sucursalei cu serverul
financiar central, o linie bysinc pentru ATM, și o linie directă pentru sistemul de alarmă de
securitate.
Conform cadrului de dezvoltare a rețelei bancare, care este prezentat în acest articol, este
necesară doar o conexiune a filialei la centrul de date. Este o conexiune bazată pe tehnologia
frame relay care consolidează toate tipurile de trafic.
Rețeaua de comunicații bancare propusă se bazează pe coexistența a două protocoale: SNA și
TCP/IP.
Folosirea protocolului SNA prezintă următoarele beneficii:
a. Disponibilitate ridicată. Rețelele SNA sunt cunoscute pentru disponibilitatea de 99.99%.
b. Timpul de răspuns previzibil. Create pentru rate ale tranzacționării bancare rapide,
rețelele SNA pot fi setate să ofere timpi de răspuns foarte predictibili și compatibili și
service pentru o gamă largă de diferite tipuri de utilizatori și aplicații
c. Securitate. Rețelele SNA sunt intrinsec de dificil de sabotat. Ele oferă acces sigur la
resursele fundamentale.
Pe de altă parte, folosirea protocoalelor de tip TCP/IP este foarte benefică pentru internet
banking, mobile banking și alte aplicații client/server.
Coexistența TCP/IP și SNA combină beneficiile ambelor protocoale și conduce la sisteme de
comunicații bancare care sunt capabile să suporte aplicațiile fundamentale de banking, în timp e
ele sunt totodată capabile să sprijine aplicațiile bazate pe protocolul TCP/IP aflate în curs de
dezvoltare.
Pe lângă beneficiile sale, coexistența protocoalelor SNA și TCP/IP introduce proiectarea
comunicațiilor interprotocolare, când o unitate bazată pe protocol SNA trebuie să comunice cu
una bazată pe protocol TCP/IP, deoarece cele două protocoale nu sunt compatibile. Totuși, acest
tip de comunicare interprotocolară nu constituie o problemă din moment ce există multe metode
de a o implementa, inclusiv utilizarea soluțiilor de securitate Enterprise Gateway, AnyNet sau
APPN.
Un al doilea avantaj al arhitecturii propuse este consolidarea diferitelor tipuri de trafic de date
în cadrul unei conexiuni protocolare de tip single frame. În cadrul unei bănci cu multe filiale,
arhitectura rețelei de sisteme (SNA) și dispozitivele pentru comunicații binare sincronizate
(BSC) sunt colocalizate cu rețelele LAN, rezultând rețele de filiale paralele și costuri lunare
ridicate cu rețelele de tip WAN. Consolidarea traficului pentru o conexiune unică elimnă
multiplele conexiuni pe linii de comunicare care conextează filiala cu resursele centrale. De
asemenea ea exploatează avantajele interrețelei LAN cu performanță superioară pentru a
consolida traficul pe rețeaua LAN, comparat cu viteza de trafic scăzută a rețelelor de tip leased
line.
Rezultatul este performanța superioară, fiabilitate mai mare și costuri mai mici. Deoarece o
linie de acces poate fi folosită pentru utilizarea aceluiași număr de site-uri ca și un număr mare
de linii de tip leased, volumul de echipament necesar s-ar putea reduce. Cheltuielile lunare cu
telecomunicațiile se reduc de asemenea și rețeaua este simplificată. Alte beneficii includ
utilizarea eficientă a benzii de trafic, timp de răspuns compatibili și previzibili, fiabilitatea
superioară și simplificarea topologiilor și rezolvarea mai facilă a problemelor de rețea.
2.1 Filialele bancare
Infrastructura de comunicații a unei filiale bancare ar trebui să fie capabilă să susțină o
multitudine de dispozitive care sunt prezente în general în filialele bancare:
a. Dispozitive de control financiar. Platformele dispozitivelor de control financiar: fie
SDLC, BSC sau atașate la LAN.
b. Bancomate. Bancomate de tip SDLC-, BSC- atașate la circuite point-to-point sau multi-
drop
c. Sisteme fizice de alarmă. Dispozitivele de avertizare care supraveghează locațiile
filialelor băncilor.
d. Aplicații client-server. Aplicații LAN din filială care accesează aplicațiile de la serverul
local sau cel central.
Conform cadrului propus, infrastructura de comunicații a filiale se bazează pe un inel Token
sau pe rețeaua LAN la care sunt conectate dispozitivele de mai sus. Rețeaua LAN este conectată
la rețeaua de tip Frame Relay prin intermediul unui dispozitiv de acces de tip Frame Relay
(FRAD). Alternativ, unele dintre dispozitivele de mai sus pot fi conectate în mod direct la FRAD
(dacă dispozitivul FRAD are porturi disponibile pentru conectarea acestor dispozitive).
Pentru a garanta nivelul ridicat al disponibilității, în cazul problemelor de comunicare apărute
în cadrul rețelei de tip Frame Relay, filiala bancară ar trebui să fie capabilă să direcționeze
traficul printr-o conexiune de rezervă de tip PSTN.(fig 1)
Xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx FIG 1
2.2. centrul de date al băncii
Principalele dispozitive informatice și structura rețelei unui centru de date al unei bănci sunt
prezentate în fig 2.
Xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx FIG 2
Următoarele dispozitive informatice sunt de obicei prezente:
a. Un computer de tip SNA care susține aplicațiile centrale bancare.
b. Un dispozitiv de alarmă care procesează semnalele de alarmă și care folosesc un protocol
Async.
c. Un dispozitiv pentru ATM care susține ATM urile și folosește protocolul BSC
d. Un server web, un server LAN și un număr de computere cu protocol SNA sau TCP/IP
care sunt folosite de către personalul centrului de date pentru a avea acces la aplicațiile
financiare.
Toate aceste dispozitive erogene ar trebui interconectate și de asemenea ar trebui să fie
conectate la filiale bancare.
Infrastructura comunicațiilor cu centrul de date se bazează pe un dipozitiv de tip Ethernet sau
inel LAN care conectează dispozitivele mai sus menționate. Traficul BSC al dispozitivului
Tandem ATM și traficul Async al dispozitivului de alarmă sunt convertite în structură logică prin
intermediul unui nod de conversie, precum este prezentat în figura 2.
Rețeaua de tip LAN a centrului de date este conectată la filialele sale prin intermediului unui
dispozitiv de tip FRAD. Toate categoriile de trafic menționate sunt consolidate și transmise către
filiale sub formă traficului cu relee de cadre.
Este disponibilă și o conexiune de rețea pe fir în cazul în care apar probleme de comunicare
în cadrul rețelei cu cadre de relee.
2.3. Prioritizarea traficului
Integrarea diferitelor clase de trafic la nivelul unei rețele cu cadre de relee comune sau a unui
Circuit Virtual Privat (PVC) presupune capacitatea de a separa logic și a prioritiza traficul
individual pentru a profita de caracteristicile unice ale oricărei aplicații. Astfel, prioritizarea
sarcinilor ar trebui întreprinsă pentru a aloca fiecărui dispozitiv sau/și protocol prioritatea
considerată. Schema prioritizării sarcinilor ar trebui să asigure lungimea de bandă aplicațiilor
fundamentale, presupunând răspunsuri previzibile și integritatea datelor.
Traficul este împărțit în patru categorii prioritare:
a. Prioritate urgentă: trafic de alarmă
b. Prioritate ridicată: trafic BSC ATM
c. Prioritate medie: trafic SNA
d. Prioritate scăzută: trafic TCP/IP
Traficul cu prioritate urgentă este semnalizat când este prezent. Fluxurile de trafic cu prioritate
ridicată, medie și scăzută sunt alocate conform procentajelor de capacitate. Lungimea de bandă
neutilizată este alocată pentru șirurilor de date.
Pe lângă utilizarea unui dispozitiv de tip FRAD care susține prioritizarea traficului, este
important să se utilizeze un LAN care să susțină prioritzarea în nivelul de control al accesului
mediu (MAC). Datorită naturii distributive a LAN-urilor, conceperea unui protocol de tip MAC
care implementează regulile de prioritizare de mai sus nu reprezintă o sarcină ușoară. Este o
problemă de cercetare deschisă. În prezent se lurează la dezvoltarea unui astfel de protocol.
2.4. Rutarea aplicațiilor financiare fundamentale
Rutarea aplicațiilor financiare fundamentale prin intemediul unui WAN cu cadre de relee
presupune următoarele fenomene:
a. Selectarea rutei deterministe
b. Elasticitatea sesiunii
c. Mutarea automată către un site care recuperează datele
Figura 3 ilustrează o filială bancară conectată la centrul de baze principal prin intermediul
unei rețele cu cadre de relee prin două PVC-uri:
1. Ruta virtuală explicită (eVR)
2. Ruta virtuală paralelă (pVR)
Un al treilea PVC, ruta virtuală alternată (aVR) este utilizat pentru conectarea la site-ul de
recuperare a datelor.
Ruta virtuală explicită (eVR) permite configurarea prin dispozitiv a unui PVC pentru trafic la
nivelul rețelei.
Ruta virtuală paralelă (pVR) permite configurarea prin dispozitiv a unui PVC excesiv pentru
trafic la nivelul rețelei. În cazul în care PVC-ul cu ruta virtuală explicită nu este disponibil,
dispozitivul FRAD va comuta de la eVR la pVR fără a pierde activitatea utilizatorilor.
Ruta virtuală alternativă (aVR) permite configurarea prin dispozitivul de control a unei destinații
de stocare alternativă și PVC pentru trafic la nivelul rețelei. aVR este folosit când nu este
disponibil nici eVR-ul nici pVR-ul. Astfel aVR oferă opțiunea de a comuta traficul către un site
de recuperare a datelor sau către un centru de date provizoriu.
În cazul în care apar probleme de comunicare, restabilirea ar trebui făcută prin rețele PSTN sau
ISDN. Ambele părți (centrul de date și filialele bancare) ar trebui să fie capabile să inițializeze
restabilirea comunicației. Caracteristica aVR descrisă mai sus permite configurarea unei
destinații separate, dacă se dorește restabilirea conexiunii. Aceasta permite funcționarea
activităților fundamentale în timp ce filiala este conectată la conexiunea de restabilire.
3. Aspecte ale securității
Un aspect fundamental al sistemelor de comunicare bancare este securitatea. Conform cu cadrul
propus, comunicarea sigură a rețelei bancare cu mediul extern se bazează pe trei măsuri de
securitate:
a. Folosirea routerelor de filtrare și firewall-urilor care protejează rețeaua de atacurile de pe
Internet.
b. Utilizarea comunicării criptografice între sistemul informațional al băncii și utilizatorii
săi.
c. Utilizarea mecanismelor de autentificare care autentifică utilizatorii
3.1. Routerele de filtrare și firewall-urile
Rețeaua bancară este protejată prin intermediul routerelor de filtrare sau a unui firewall, care
formează o barieră între Internet și rețeaua bancară internă (fig 2)
Routerul de filtrare verifică sursa și destinația fiecărei tranzacții din rețea și determină dacă
informația va fi transmisă.
Firewallul este folosit pentru a proteja rețeaua bancară de internet. Tot traficul de intrare este
direcționat către firewall. Traficul prin firewall face subiectul unui proces special de proxi care
cerifică sursa și destinația fiecărui pachet informațional.
Proxy-ul schimbă apoi adresa IP a pachetului pentru a-l livra către locația potrivită din cadrul
rețelei de servicii destinate clienților. În acest fel, toate adresele interne sunt protejate de accesul
extern, iar structura rețelei interne a băncii este invizibilă pentru persoanele din exterior.
3.2. Protocoale criptografice
O familie de trei protocoale (SSL, TLS și WTLS) este folosită pentru a cripta comunicațiile
dintre bancă și clienții săi. Protocolul SSL a fost inițial o inițiativă a Netscape. IETF a adoptat
SSL-ul pentru protocolul TLS. Forumul WAP a adoptat protocolul TLS pentru a dezvolta un
echivalent wireless, Wireless Transport Layer Security (WTLS). Deși există diferențe între
aceste protocoale, din punct de vedere concenptual ele oferă aceleași servicii de seucritate: un
canal sigur între clienți și bancă. Acest lucru înseamnă că datele care sunt transmise între cele
două părți sunt secrete și că va fi păstrată integritatea datelor; banca este autentificată mereu;
clientului ii poate fi cerut să se autentifice de asemenea. De notat că multe sisteme de banking
electronic nu se bazează pe autentificarea clienților ca trăsătură a canalelor de securitate, ci mai
degrabă implementează un mecanism de autentificare a clienților la nivelul superior al acestor
canale.
Un avantaj al protocoalelor SSL/TLS/WTLS este faptul că ele pot fi folosite cu ușurință pentru
diferite protocoale de comunicare, inclusiv și pentru http. Din moment ce SSL/TLS/WLTS
asigură doar un canal sigur de comunicare, ele nu asigură nerepudierea: la destinatar, datele
transmise părăsesc canalul sigur și protecția criptografică este eliminată; nu există nicio
semnătură digitală a datelor clienților. De aceea sistemele bancare electronice ar trebui să
implementeze un mecanism de nerepudiere între aceste două faze, între căderea de acord și
transferul de date. Există 3 obiective ale căderii de acord: clientul și banca trebuie să convină
asupra unor algoritmi criptografici care vor fi folosiți pentru protecția datelor, pentru
autentificarea părților și pentru stabilirea unor chei criptografice cu care vor fi protejate datele; în
cele din urmă, banca se autentifică față de client, și, opțional, clientul se autentifică la bancă.
Odată ce s-a căzut de acord, transferul de date se poate desfășura. Datele sunt împărțite în
fragmente și transmise ca o serie de înregistrări protejate. Pentru a asigura integritatea datelr, un
cod de autentificare este alocat fragmentelor de date; fragmentul de date și codul de autentificare
sunt apoi criptate.
Prima versiune publică a SSL, versiunea 2 a avut o serie de defecte de securitatea care au fost
reparate în cadrul versiunii 3. Din moment ce browserele actuale încă suportă SSL v2 și încă este
folosit în cadrul unor sisteme, vom rezuma problemele sale de securitate. Aceleași chei
criptologice sunt folosite pentru autentificarea și criptarea mesajului; acest lucru înseamnă că în
exportarea datelor, securitatea codului de autentificare a mesajelor este slăbită. SSLv2 are o
construcție deficitară a codului de autentificarea a mesajului și se bazează doar pe funcția MD5.
SSLv2 nu prezintă protecție pentru acord, din moment ce o persoană care atacă securitatea nu
poate fi identificată. În final, un atac trunchiat este posibil, căci SSLv2 folosește conexiunea TCP
doar pentru a indica finalizarea datelor, astfel încât atacatorul poate forța TCP FIN-urile și
destinatarul nu poate realiza că finalizarea comunicării nu este reală.
Grupul de lucru IETF TLS a adoptat versiunea 3 a protocolului SSL. Au fost făcute unele
modificări minore pentru a crește nivelul de securitate: au fost modificate cheile criptografice
care erau utilizate pentru secretizarea inițială, codul de autentificare a mesajelor HMAC a fost
înlocuit cu HMAC-ul real și au fost necesare implementări pentru includerea ajutorului pentru
acordul cheie Diffie-Hellman, pentru Standardul de Semnătură Digitală și criptarea Triple-DES.
La momentul scrierii articolului, grupul IETF TLS lucra la unele îmbunătățiri ale protocolului
TLS, inclusiv extensii (wireless), Rijndael și Standardul Avansat de Criptare
Forumul WAP a adaptat TLS pentru a-l face potrivit pentru un mediu wireless cu dispozitive
mici care au limitări de bandă, memorie și procesare. WTLS include astfel criptografia curbei
eliptice (memorie și procesare limitată). WTLS operează la nivelul superior al datagramei în loc
să se conecteze la o rețea de comunicare; în final, WTLS își definește propriul format certificat
optimizat pentru dimensiunea (lățimea limitată a benzii), dar susține și certificatul X.509.
Browserele populare din ziua de azi implementează protocolul SSL/TLS în mod implicit.
Precum a fost deja indicat, atunci când se prezintă infrastructura de bază a unui sistem de internet
banking, multe bănci preferă să folosească implementările proprii (sau pe unul extern) ale
SSL/TLS, executate prin intermediul unui browse sau a unei aplicații de sine stătătoare.
Motivația principală din spatele acestei proceduri este existența restricțiilor de export ale SUA.
Ca o alternativă la aplicația de banking electronic bazată pe browser, o aplicație de sine
stătătoare poate fi folosită atât pentru securitatea cât și pentru funcționalitatea sistemului bancar.
Uneori, o aplicație de sine stătătoare este folosită doar ca un proxy care funcționează în
computerul utilizatorului, care se interpune între browser și serverul băncii și adaugă un nivel
sporit securității comunicațiilor dintre client și bancă (în timp ce comunicarea dintre browser și
proxy rămâne slabă). În multe cazuri, codul programului care vizează securitatea sorită și posibil
funcționalitatea bancară este dowloadat doar ca o extensie și funcționează în cadrul browserului.
Această extensie poate avea o funcționalitate totală sau se poate comporta ca un proxi între
browser și serverul băncii.
Utilizatorul se poate asigura de corectitudinea executării și a interfeței aplicației de banking
electronic doar dacă deține o copie originală a browserului sau a aplicației în sine. Dacă este
folosită o extensie Java, aceasta ar trebui autentificată de către bancă, în așa fel încât să poată fi
verificată de către utilizator înainte de executarea programului. Utilizatorii trebuie să recunoască
momentul în care conexiunea lor cu banca este sigură. Cu toate acestea, în browserele de azi
există puține indicații viziuale, iar un utilizator neexperimentat este ușor de păcălit de către un
website fals.
Peste toate, trebuie să existe o infrastructură fundamentală public (PKI). Ea asigură o
cartografiere corectă pentru entități. Numele entității împreună cu cheia publică corespunzătoare
sunt introduse într-un certificat X.509 care este semnificat de o autoritate de certificare.
Distribuirea autentică a certificatelor, certificările autorităților din domeniu sunt foarte
importante. Ele sunt folosite de către bancă pentru a verifica certificatele entităților. Clientul are
nevoie de ele pentru a verifica certificatul băncii în timpul autentificării SSL/TLS și pentru a
verifica programele digitale.
3.3. Mecanismele de autentificare
Asigurarea unui canal de comunicare criptat dintre un utilizator și o bancă este doar o parte dintr-
un sistem de securitate a bankingului electronic. autentificarea utilizatorului este partea
fundamentală.
3.3.1. Parole și Numere de Identificare Personală (PIN)
Cea mai utilizată metodă de autentificare a clienților existenți sau a angajaților care cer acces la
sistemele bancare este introducerea unui username sau ID și a unei combinații secrete de
caractere precum o parolă sau un cod PIN. ID-urile userilor combinate cu parolele sau cu
codurile PIN sunt considerate singura tehnică de autentificare singulară. Acceptarea din partea
publicului a acestei forme de autentificare se bazează pe facilitatea procedurii și a adaptabilității
sale în cadrul infrastructurilor existente.
Multe sisteme de banking electronic încă se bazează pe o parolă fixă pentru autentificarea
utilizatorilor. Această parolă poate fi un cod PIN sau o combinație de caractere, și este combinată
cu un cod de utilizator care nu este ușor de ghicit. În multe cazuri poate fi utilizat doar un grup
de caractere, lucru care oferă securitate împotriva unui infractor care privește peste umăr sau care
practică sniffingul (banca cere un grup diferit de fiecare dată). Parolele fixe sunt folosite cel mai
adesea pentru autentificarea entităților. În cazuri rare, ele sunt folosite și pentru autentificarea
tranzacțiilor, deși se folosesc mai degrabă pentru autentificarea entităților pentru tranzacții
singulare. În multe sisteme, parolele fixe sunt utilizate pentru autentificarea entităților și sunt
combinate cu unul din mecanismele explicate în secțiunile următoare, folosite pentru
autentificarea tranzacțiilor. Mai mult, o parolă este mai mereu necesară pentru a declanșa
sistemul prima dată când este utilizat. Aceasta este diferită de parola folosită în sesiunile
normale.
Banca oferă o listă de parole unice clienților săi. Acestea pot fi folosite doar odată, și deci ar
trebui să ofere mai multă securitate. Totuși, este dificil ca acestea să fie învățate pe de rost și
utilizatorii vor fi constrânși să țină o listă scrisă, sau mai rău vor fi nevoiți să le țină într-un
document din computer. Terminologia bancară utilizează denumiri diferite pentru autentificarea
individuală și pentru autentificarea tranzacțiilor individuale. Unele sisteme utilizează o
combinație de parole fixe și dinamice: cele fixe pentru autentificare individuală și cele dinamice
pentru autentificarea tranzacției. În loc să conceapă o listă de parole independente, este posibil să
genereze parole unice.
3.3.2. Provocare/reacție
Ideea unui cadru de tipul provocare/reacție prevede ca și clientul să-și demonstreze identitatea
față de bancă prin faptul că știe o informație secretă, nu doar prin trimiterea acestuia către bancă,
ci printr-un răspuns corect care vine la o întrebare despre acel secre. Există astfel de scheme
simetrice și asimetrice. În cazul unui cadru simetric, răspunsul este un cod de autentificare a
mesajului sau o provocare aleatorie a băncii. O semnătură digitală pe un mesaj de provocare
aleator poate fi un exemplu de cadru asimetric.
3.3.3. Certificatele digitale folosind infrastructura cheie publică (PKI)
Banca ar putea folosi un sistem PKI pentru a autentifica clienții sau angajașii care doresc să aibă
acces la sistemele de afaceri interne. Un PKI implementat și menținut în condiții optime poate
reprezenta un mijloc eficient de identificare a indivizilor din cadrul rețelelor de tip Internet.
Sistemul se bazează pe criptarea cu cheie publică. Fiecare client are o pereche de chei: o valoare
electronic unică numită cheie publică și o cheie privată matematică. Cheia publică este
disponibilă pentru cei care vor să verifice identitatea clienților. Cheia privată este stocată pe
computerul clientului sau pe un dispozitiv separat precum un smart card. Acesta este folosit
pentru a crea un dispozitiv de identificare electronic numit semnătură digitală care identifică în
mod unic deținătorul unei chei private și care poate fi autentificat doar prin cheia publică
corespunzătoare.
Autoritatea de certificare, care ar putea fi banca sau providerul său de servicii verifică dacă o
anumită cheie publică și o cheie privată aparțin unui individ sau sistem anume. Este important ca
atunci când se operează cu certificate digitate ca procesul de înregistrare pentru verificarea
identității clienților să fie gestionat corect. Autoritatea de certificare atestă identitatea individului
prin semnarea certificatului digital cu propria sa cheie privată, cunoscută ca și cheia primară. De
fiecare dată când un client stabilește o relație de comunicare cu banca, o semnătură digitală este
transmisă cu un certificat digital. Aceste atestări electronice permit băncii să determine
validitatea certificatului digital, să identifice individul ca și client și să confirme faptul că
tranzacția făcută de client a fost înregistrată în sistemul computerizat al băncii.
3.3.4. Tokenurile
Sistemele bazate pe tokenuri asigură autentificarea unui utilizator cerându-i să demonstreze
posesia unui obiect fizic sau token care este unic pentru respectivul utilizator. Există trei tipuri
fundamentale de tokenuri:
1. Tokenurile cu memorie. Acestea tokenuri nu au capacitate de procesare, dar conțin date
de autentificare stocate sub formă magnetică, electronică sau optică.
2. Tokenuri cu microprocesoare. Acestea conțin și un procesor suplimentar memoriei.
Astfel de tokenuri ar putea implementa algoritmi criptografici pentru criptarea pe card.
Tokenurile cu microprocesoare sunt denumite în general smartcarduri. Multe dintre
acestea au proprietăți care le fac rezistente la manipulare.
3. Generatoare de parolă manuale. Această clasă de dispozitive include atât computere
pentru mecanismele cu parolă unică descrise mai sus și computere provocare-răspuns
care permit utilizatorului să introducă o provocare de la server și să conceapă răspunsul
corect.
De obicei, un token face parte dintr-un proces de autentificare cu doi factori, parola reprezentând
cealaltă componentă. Există multe beneficii de pe urma utilizării tokenurilor. Procesul de
autentificare nu poate fi finalizat dacă dispozitivul lipsește. Parolele statice sau identificatorii
biometrici folosiți pentru activarea tokenului ar putea fi autentificate chiar de către dispozitiv.
Tokenurile de generare a parolei asigură o protecție eficientă împotriva ghicirii parolei pentru cu
tokenul generează o nouă parolă la intervale specifice sau oferă o parolă unică drept răspuns la
un mesaj de verificare trimis de către bancă. Mai mult, aceste tokenuri sunt ușor de utilizat și
relativ ieftine. Tokenurile generatoare de parole sunt folosite de un număr de bănci pentru a
autentifica clienții comerciali care doresc să aibă acces la sistemul de banking electronic al
băncii. Pe măsură ce costurile scad tot mai mult, băncile ar putea alege să ofere clienților cu
amănuntul astfel de tokenuri.
Sistemele PKI pot încorpora tokenuri sau smart-carduri care conțin date de acreditare. Pentru
securitate suplimentară, o bancă ar putea cere ca și certificatul digital al clientului să fie stocat pe
un smart card. Smart cardurile și alte dispozitive consumabile care conțin cipuri electronice ar
putea fi mai costisitoare decât soluțiile software. Totuși, stocarea cheilor private pe un token în
locul unui hard drive previne accesul entităților neautorizate la computer și copierea cheilor de
criptare fără acordul utilizatorilor.
3.3.5. Dispozitive biometrice
Dispozitivele biometrice încorporează tehnologii de autentificare și identificare pe baza
caracteristicilor biologice unice. Caracteristicile biologice fundamentale includ vocea,
amprentele, geometria mâinii sau a piciorului, irisul sau retina din ochi sau modul în care un
client semnează un document sau tastează. Succesul unui dispozitiv de identificare biometric
depinde de capacitatea caracteristicii înregistrate digital de a fi corelată cu un individ dintr-o
populație definită. Deși nu sunt încă utilizată de bănci la scară largă pentru autentificarea
clienților existenți, dispozitivele de identificare biometrică sunt folosite în unele cazuri pentru
controlul accesului fizic. Este important de notat faptul că utilizarea caracteristicilor biometrice
pentru a securiza accesul la sistemele computerizate și la rețele a stârnit interesul și există o
investiție de mai multe miliarde de dolari în cercetarea și dezvoltarea acestui domeniu. Unele
guverne din lume au lansat inițiative de utilizare a caracteristicilorbiometrice pentru comunicarea
informatizată și securitatea rețelelor informatice.
Un sistem care inlude autentificarea biometrică are de obicei un scanner biometric care preia
mostre biometrice sau imaginea individului. Dispozitivul biometric ar putea fi un microfon, o
cameră video sau un cititor de amprente. Celelalte componente ale sistemului biometric sunt un
algoritm de procesare și un algoritm de potrivire.
Banca ar putea folosi un dispozitiv de identificare biometric pentru procesele de autentificare
după un factor sau mai mulți. De exemplu, ATM-urile care implementează tehnologiile de
scanare ale irisului pot fi folosite pentru autentificarea utilizatorilor. Dispozitivul de identificare
biometrică ar putea înlocui codul PIN. Un client poate oferi un cod PIN sau o parolă pentru a
ajuta dispozitivul de identificare biometrică, contribuind la un proces mai sigur de autentificare.
Banca ar putea folosi dispozitivele de identificare biometrică pentru automatizarea proceselor
existente, reducând astfel costurile. De exemplu, banca ar putea permite unui client să-și reseteze
parola prin telefon cu un soft de recunoaștere a vocii care autentifică clientul.
Un proces de autentificare care se bazează pe un singur factor de identificare biometrică nu ar
putea funcționa pentru toți clienții din baza de date a unei bănci. Introducerea unei metode
biometrice de identificare presupune contactul fizic cu fiecare client pentru a contura
identificarea fizică. Acest proces crește costurile implementării. Spre deosebire de parolă sau un
sistem de coduri PIN, în care o bancă trebuie să comunice cu clienții pentru inițierea contului,
utilizarea dispozitivelor de identificare biometrică pentru autentificare ar putea presupune
clienților să ofere mostre periodice. Unii clienți ar putea să nu fie capabili să producă mostre
biometrice certe datorită unor caracteristici fizice specifice sau a dizabilităților.
4. Concluzii
Dezvoltarea unei infrastructuri de comunicare robustă și sigură este un factor cheie pentru
conturarea unui sistem de banking electronic competitve. În acest articol a fost prezentat un
cadru pentru conceperea sistemelor de comunicare bancare. Principalul punct de atenție a fost
modul în care pot fi obținute aspectele privind disponibilitatea, prioritizarea traficului și
securitatea comunicării.
Cadrul propus există modul în care tehnologiile de comunicare și securitate actuale pot fi folosite
pentru conceperea sistemelor de comunicare eficiente. Mai mult, articolul se concentrează asupra
noilor tehnologii care ar trebui dezvoltate pentru a implementarea viitoarealor sisteme de
comunicare bancare. Momentan lucrăm la dezvoltarea astfel de tehnologii.
Top Related