Курс "Защита информации", кафедра радиотехники, Московский физико-технический институт (МФТИ)

2010: Главная Экзамен Лекции Семинары Проекты Эссе | Преподаватели Литература | Архив: 2009 2008-fall 2008 2007 2006 2005 2004 2003 | English
HTML-версия эссе "Payments via mobile phone", Khripunov, 2003, сгенерированная из pdf/rtf.
Конвертация не вcегда корректна. Смотрите исходный pdf.
Тема: Платежи и покупки через мобильный телефон
Выполнил студент 915 гр. Хрипунов Александр
1. Немного истории
Одной из причин, по которым электронные платежные системы никак не "хотели" пользоваться спросом, оказалось то, что пользователю они представлялись неудобными, непрактичными и сложными. Многочисленные попытки создать что-нибудь толковое были обречены на провал. С финансовой арены уходили одна за другой онлайновые фирмы, осмелившиеся представить действительно "умную" и простую систему учета электронных денег. И лишь в середине девяностых годов теперь уже прошлого столетия в неосвоенной отрасли расчетов с продавцами и провайдерами услуг иным способом, нежели наличностью, стало что-то проясняться.
"Первооткрывателями", разработавшими заслуживающие уже какого-то внимания системы электронных платежей, оказались First Virtual, выступившая на финансовый рынок с одноименным проектом, и американский банк Mark Twain Bank, порадовавший в то время изголодавшихся по чему - то стоящему финансовых специалистов программой eCash. Немногим позднее увидела свет и еще одна система, CyberCash. Каждый в отдельности проект представлял определенный интерес. Однако, несмотря на разнообразие предлагаемых функций и различие возможностей, все программы что-то объединяло. И этим "чем-то" оказалась связь с Интернет.
Привлекшие к себе внимание системы электронных платежей просуществовали относительно недолго: в июле 1998 года ушла в историю First Virtual, а спустя два - три месяца прекратили свое существование и два других сервиса. Но именно тот "электронный след", который оставили за собой их создатели, привел их последователей к верному решению волнующей многих "компьютерных изобретателей" проблемы.
Учтя ошибки своих предшественников, главными из которых оказались недостаточное уделение внимания вопросам анонимности, защищенности и безопасности пользователей, то, что первые Интернет-платежные системы конца девяностых были представлены массам, как сложное программное обеспечение, а кроме того - их абсолютная ненадежность (из десяти протестированных в Германии в конце 1999 года систем электронных платежей четко работали лишь три), современные компании мобильной связи разработали уже целую серию технических решений, соответствующих требованиям рынка и составляющих неплохую конкуренцию привычным на Западе кредитным карточкам. Насколько они пригодны в условиях реальной жизни несомненно покажет время, однако смело говорить о том, что в большинстве своем они на порядок совершеннее разработок предыдущих лет, можно уже сегодня.
Первое, и самое главное преимущество мобильных систем платежей в том, что их создатели не изобретали новых денег. Они просто попытались, и надо сказать довольно успешно, разработать программы, позволяющие более просто и удобно оперировать уже существующими.
Между тем, в простоте и удобстве работы заключается, собственно, и второе преимущество. Обойдясь на этот раз без яркого, привлекающего внимание интерфейса, создатели таких систем избрали более доступный, скромный и отчасти строгий подход к
пользователю. Рабочий экран финансовой программы на дисплее мобильного телефона, карманного компьютера или другого современного беспроводного устройства, которых сегодня развелось уже просто бесчисленное множество, выглядит очень практично и как бы располагает к себе владельца той же WAP-трубки, сотового телефона с выходом в Интернет. Давать системе команды по-прежнему не воспрещается голосом, а ввести код для активизации процесса зачисления на счет продавца необходимой суммы можно прямо с компактной клавиатуры. Сам же "электронный кошелек" легко умещается в любом кармане.
Разумеется, задолго до этого уже предпринимались попытки создать что-то подобное, и далеко не все из них были столь безнадежными, однако раз уж так принято - так тому и быть. Принцип действия довольно сложного с высоты сегодняшнего полета технического решения заключался в следующем: пожелав оплатить какой-либо товар, заказанный в Сети, владелец мобильного телефона определенной модели (которые отличались уже тогда от своих собратьев громоздкостью и более значительным весом) сообщал об этом продавцу. Спустя некоторое время ему на трубку приходило текстовое подтверждение из онлайнового магазина и инструкции, которым необходимо было в точности следовать, чтобы не отправить деньги вовсе не туда, куда надо. После недолгого ознакомления с сутью предстоящей операции пользователь сотового телефона вставлял в его корпус специальную кредитную карточку, изготовляемую лишь несколькими французскими банками исключительно для этих целей, вводил условный код и отправлял таким образом запрос в обслуживающий его счет банк. Подтверждение банка, которое опять же через время приходило на мобильный телефон, означало, что деньги отправлены на счет продавца. Стоило лишь изъять пластиковую карточку и ждать доставленный товар.
Несмотря на то, что гордые своим изобретением французы сперва раструбили на весь мир, что разработали универсальную для всех стран систему мобильных платежей, со временем стало очевидно, что предложенное ими техническое решение не только не отвечает современным требованиям, но и мало пригодно даже для самой Франции ввиду того, что оплата товара или услуги таким способом во-первых, занимала уйму времени (по сегодняшним меркам), во-вторых, требовала наличие в кармане владельца фактически терминала для считывания информации с кредитных карт, который был довольно тяжелый и превращал сотовый телефон, скорее, в кассовый аппарат, а в-третьих, не обеспечивала должный уровень безопасности и защищенности средств клиента.
Спустя некоторое время в заголовках европейских газет наряду с информацией о новых системах мобильных платежей вновь замаячило название France Telecom, но уже в немного ином контексте. На этот раз автором технического решения, позволяющего оплатить товар посредством лишь мобильного телефона, стала датская компания Mobilix, на 54% принадлежащая французам. Разработка показалась более удачной, что подтвердило мгновенное тестирование ее на 100 пользователях. Результаты впечатляли. Желающие произвести оплату без кредитки могли отныне воспользоваться все тем же мобильным телефоном, но уже вполне похожим на другие, не обязательно оснащенным функцией выхода в Интернет и нисколько вовсе не «привязанным» к компьютеру. Оплата производилась посредством считывания информации с SIM-карты, которые, к слову, и по сей день применяют в телефонах стандарта GSM. Система распознавала пользователя по коду его SIM-карты и посылала запрос в банк, со счета клиента в котором деньги отправлялись получателю. Все, казалось бы, было хорошо. Но что-то все-таки беспокоило авторов проекта. Этим «чем-то» оказалась себестоимость процесса каждой оплаты через такой опять же терминал (этой функции, как оказалось, и датчане мобильный телефон не
лишали). Иногда она превышала ту сумму, которая направлялась продавцу. Таким образом, система оказалась просто невыгодной.
Однако работа в данной области непрерывно велась, на свет появлялись все более совершенные и все более компактные варианты «мобильных кредиток», и сегодняшними техническими наработками в секторе мобильных платежей уже наверняка не стыдно будет похвастаться и перед «гениями будущего», которым к началу 21 века исполнилось лишь несколько годочков. Современные мобильные устройства для произведения оплаты представляют порой настолько удивительные «игрушки», что даже один их вид вводит в изумление. Взять, например, электронную «волшебную палочку» Speedpass, наделавшую уже много шума в США. Четыре с половиной миллиона активных пользователей, среди которых в основном пока автолюбители, уж точно знают, о чем идет речь. Система Speedpass состоит из простенького электронного устройства, по размерам и форме в точности напоминающего обычную шариковую ручку, и миниатюрной «базы», размещаемой, как правило, на барной стойке или рядом с автозаправочной колонкой (Speedpass применяется пока лишь на нескольких «заправках», принадлежащих ее разработчику, и проходит тестирование в сети ресторанов McDonalds). Принцип действия предельно прост. Заказав еду в кафе, например, для оплаты заказа владельцу «волшебной палочки» Speedpass стоит лишь взмахнуть ей рядом с «базой», как спустя мгновение деньги с его счета окажутся переведенными на счет заведения. То же и с заправкой авто. Как такое возможно? Если не вдаваться в заумные технические подробности, то посредством инфракрасного луча, передающего информацию о кредитных карточках владельца системы, чудом «зашитую» в карманную «ручку», «базе», мгновенно обменивающейся принятыми данными с операционным центром обслуживающего клиента банка. Дальше - как обычно: банк проверяет достоверность сведений и направляет требуемую сумму на счет получателя.
2.Топология мобильных платежей.
Услуги системы мобильных платежей могут быть подписываемыми, либо же не подписываемыми. Большинство услуг, которые могут быть подписаны, предоставляются в настоящее время самим поставщиком услуг. Эти услуги часто в достаточной степени персонифицированы и обладают достаточной степенью защищенности. Большое неудобство подобных услуг в том, что процесс активации часто бывает сложным, и иногда не может быть выполнен с помощью мобильного телефона, т.е. может потребовать проводного соединения с помощью настольного компьютера, либо же непосредственный контакт со службой предоставляющей эту услугу. Пользователи как правило не любят услуги подобного рода, из-за способа подписки, требующую больше времени, трудозатрат и информации о самом предоставителе услуги (такой как, например, контактная информация).
Не подписываемые услуги ограничены по времени их однократного использования. Из-за этого требуются более сложные взаимодействия между пользователем и системой, что подразумевает большее время доступа к услуге, и делает её менее надежной и подверженной различным сетевым проблемам. Более того, многие из наиболее важных услуг мобильной коммерции требуют высокий уровень защиты, и более сложный процесс аутентификации пользователя. Тем не менее, подобные системы часто удовлетворяют большинство пользователей.
Доступ и приобретение услуги часто представляет собой достаточно "легкий" процесс, который может быть без проблем выполнен на мобильном телефоне. Пользователь покупает услугу прямо со своего телефона. Он получает от системы ключ, который может
быть сохранен в памяти телефона и использоваться при необходимости. При желании воспользоваться уже подписанной услугой, пользователь проходит процесс аутентификации, выбор способа платежа, и переходит к процессу выбора, например, товара. Данный процесс может быть выполнен либо посредством технологий WAP или SIM-меню на самом телефоне(в зависимости от модели телефона, либо предпочтений пользователя), либо с помощью связки мобильный телефон + КПК(карманный персональный компьютер типа Palm или PocketPC). Заключительным этапом является подтверждение пользователя сделать покупку.
Рис. 1 Логическая топология подписки и покупки услуги.
1). Интерфейс доступа(Access Interface) представляет собой, обычно, набор HTML или WAP страниц, где пользователь взаимодействует с сервером провайдера услуги. Он может вначале исследовать предлагаемые услуги, запрашивая некоторую дополнительную информацию, затем определить детали услуги и наличие желаемого товара или возможность проведения операции(например по переводу денег с одного счета на другой). При отсутствии необходимости работать с конфиденциальной информацией, эти шаги могут выполняться без какой либо идентификации и аутентификации, поскольку они только информативны. Однако, некоторые услуги являются подписываемыми, и, следовательно, требуют аутентификации. Эта аутентификация необходима, чтобы отбросить пользователей, которые хотят лишь "посмотреть", тем самым тратя системные ресурсы.
2). После того, как пользователь вошел в систему, Настройка услуги (Service Settlement) "ведет" пользователя от момента аутентификации до платежа. Когда пользователь пройдет все шаги выбора товара и настройки платежа, пользователю выдается "ключ доступа"(electronic access token), который обычно может быть сохранен на SIM карте или в памяти телефона. Этот ключ будет использован далее, чтобы получить доступ к самой услуге.
3). Доступ к услуге дает различные пути выбора доступа к услуге и выполняет проверку способов платежа.
4). Наконец, производится проверка ключа, чтобы убедиться, что именно этот пользователь получил именно этот ключ, который необходим для использования услуги. Проверка может быть проведена прямым взаимодействием с сервером, или позднее, если
услуга недоступна. Если проверка откладывается, то идентификатор пользователя и ключ
сохраняются и проверяются позже.
Более общий принцип работы может быть понят из следующего рисунка:
3. Почему именно мобильный телефон?
В тесном контакте именно с современным сотовым телефоном и будет развиваться направление мобильных платежей. Объяснений данной теории достаточно. Во-первых, число пользователей мобильных трубок в мире уже достигло просто умопомрачительных цифр и с каждым днем продолжает расти. Так, «всезнающие» американцы уже подсчитали, что спустя лишь несколько лет мобильных телефонов на планете Земля станет ни сколь не меньше, чем автомобилей. А во-вторых, сами разработчики систем мобильных платежей прекрасно осознают, что сотовый телефон в силу его многофункциональности и удобства еще долго будет оставаться «лучшим другом человека», которому последний наверняка доверит расплачиваться за себя на парковках, в ресторанах, в магазинах. Мобильник» может стать тем самым универсальным инструментом для электронных расчетов, появления которого так долго ждали. Но кто станет «хозяином» направления мобильных платежей? Наверное, те же телекоммуникационные провайдеры, которые до настоящего момента, можно сказать, блестяще справлялись со своей основной функцией - обеспечением мобильной связью владельцев компактных трубок.
Похоже, что вариантов их дальнейшего поведения три. Во-первых, они могут по-прежнему предоставлять лишь услуги мобильной связи. Принимая во внимание, насколько лакомый кусок пирога представляют из себя платежи через мобильные телефоны, можно с уверенностью сказать, что этот путь для телекоммуникационных провайдеров мало приемлем. В защиту данной точки зрения служит и то, что современные операторы связи уже приступили к совершенствованию своих технических средств, адаптируя их под работу с мобильными трубками не только, как с телефонами, но и как с «электронными кошельками». Подобных действий всегда опасались банки, рассчитывавшие полностью монополизировать сектор электронных платежей. К конкуренции со стороны провайдеров услуг связи они толком готовы не были, поэтому сейчас в спешке пытаются хоть что-то предпринять, чтобы не потерять еще один источник доходов.
В таком случае, телекоммуникационные провайдеры, скорее, могут стать по совместительству еще и полноценными провайдерами услуг мобильных платежей. Учитывая некоторый опыт, который уже приобретен многими при принятии оплаты за телефонные разговоры через мобильный телефон, полностью исключать такой вариант нельзя. Однако в этом случае, по крайней мере, первые шаги в данном направлении покажутся для них слишком трудоемкими и рискованными. Дело в том, что оплата услуг с помощью мобильного телефона подразумевает своего рода расчет в кредит. То есть фактически клиент расплачивается с продавцом деньгами провайдера услуг связи, а затем, допустим, в конце месяца вносит долг в кассу. Но ведь даже не умышленно, ввиду каких-то неожиданных обстоятельств, владелец мобильного телефона в один прекрасный миг может не найти денег для выплаты долга телекоммуникационной компании, обслуживающей его телефон. Что тогда? Специалисты полагают, что во избежание таких недоразумений необходимо ограничить размер оплаты через мобильный телефон, а также предусмотреть какие-то правила дальнейшего взаимодействия пользователя трубки и провайдера услуг специально для таких случаев. Однако разработка полностью автоматизированных технологий, позволяющих отслеживать и предотвращать такие неприятные моменты может потребовать время, затрат определенных средств, а также привести к сокращению числа потенциальных пользователей, которых может не устроить, скажем, платежный лимит, сверх которого необходимо доплачивать наличными или по кредитной карточке.
Еще одна проблема может быть связана с роумингом, предоставлением возможности пользоваться мобильным телефоном сразу в нескольких странах мира. Если развитие мобильных платежей окажется в дальнейшем столь же бурным, а монополистами все же станут провайдеры услуг мобильной связи, последним придется позаботиться о предоставлении возможности клиентам оплачивать товары и услуги не только в стране проживания владельца мобильного телефона, но и в других государствах, охваченных зоной обслуживания провайдера мобильной связи. Но выход на глобальный уровень подразумевает гораздо более активную работу с пользователем, обеспечение защиты информации в межгосударственной среде и предотвращение возможных технических конфликтов и сбоев самих телекоммуникационных систем ввиду каких-то особенностей работы в той или иной стране.
Для разрешения вышеперечисленных проблем провайдеры услуг мобильной связи могли бы воспользоваться схемой дебитных платежей, то есть зачислять на счет владельца сотового телефона внесенные им в кассу деньги, после чего при совершении им оплаты через мобильный телефон снимать их с персонального счета. Однако в этом случае может резко возрасти число попыток злоумышленников представиться обладателями чужих счетов и расплатиться не своими деньгами. К этому телекоммуникационные провайдеры пока не готовы.
Поэтому эксперты полагают, что самым благоприятным развитием событий в области управления системами мобильных платежей, мог бы оказаться четвертый вариант, предусматривающий сотрудничество провайдеров услуг мобильной связи с банками, при котором внедрение систем мобильных платежей могло бы протекать наиболее гладко и безболезненно.


Page last update: Fri Jun 10 10:11:25 2005 MSD.
Website last update:
Rambler's Top100 Рейтинг@Mail.ru