User:Maxpayne473

3-D хамгаалалт
3-D Secure нь кредит болон дебит картнуудын онлайнаар худалдан авалт буюу төлбөр төлөхөд аюулгүй байдал талаас нь нэмэлтээр нэмж өгсөн протокол ба энэ нь XML дээр суурилсан протокол юм. Энэхүү протокол нь анх Arcot System-ээр хөгжүүлэгдэж байсан ба хэрэглээнд Visa-гаар гарсан ба гол санаа нь интернетээр худалдан авалт хийхэд аюулгүй байдыг нь нэмэгдүүлэх зорилгоор гаргасан ба хэрэглэгчдэд Verified by Visa нэрээр хүргэсэн. Уг протокол дээр суурилан дараах байгууллага болон банкнууд өөсрдийн гэсэн үйлчилгээг гаргасан:
 * MasterCard – MasterCard SecureCode
 * JCB International - J/Secure
 * American Express – American Express Safekey: 3D-secure-ыг 2010 оны 11-р сарын 8-нд нэмж, хэрэглээнд гаргасан.

Тодорхойлолт болон ерөнхий ойлголт
Уг протоколын суурь ойлголт нь онлайн адилтган танилттай санхүүгийн адилтган танилт хийх процесс юм. Энэ адилтган танилт нь 3-н домайнд суурилсан:


 * Худалдагчийн домайн(худалдаачин болон худалдаачны банк)
 * Худалдан авагчийн домайн (Картыг эзэмшигч болон түүний банк)
 * Харилцан үйлдэлцэлийн домайн (3-D Secure протоколыг дэмжих картны схем, кредит карт, дебит карт болон санхүүгийн карт зэргээр хангагдсан дэд бүтэц юм.) Уг домайн нь интернет, MPI, ACS болон бусад програм хангамжаар нийлүүлэгчдийг хамарна.

Протокол нь клиент адилтган танилттай SSL холболтон дээр XML мессежүүдийг ашигладаг ба энэ нь тоон сертификатуудыг ашиглан сервер болон клиентийн хооронд адилтган танилтыг хийж, хэрэглэгч мөн эсэхийг тодорхой болгож өгдөг юм.

Verified-by-Visa эсхүл SecureCode-ыг ашигласан гүйлгээ нь гүйлгээг зөвшөөрөх гэж хүсэлт гаргаж байгаа хэрэглэгчийн банкны вебсайт руу хандуулж өгдөг. Худалдан авагч бүр нь ямар ч адилтган таних арга хэрэглэж болох юм гэвч ерөнхийдөө, бидний нийтлэг хэрэглэдэг нь нууц үгэнд суурилсан аргыг ашигладаг ба энэ нь картан дээрээ ямар нууц үг өгсөн тэрийгээ ашиглан интернетээс худалдан авалт хийх нь үр дүнтэй юм.

Verified-by-Visa протокол нь банкны шалгах хуудасыг inline frame session (энэ нь HTML броузер цонхыг сегментүүдэд хуваан өөр өөр документыг харуулдаг юм. )-д ачаалуулахыг санал болгодог. Энэ аргаар, банкны системүүдийг хэрэглэгчдэд тохиолдсон ихэнхи аюулгүй байдлын дайралт болон халдлагуудад хариуцлага тооцож болдог юм. Өнөөдөр, цагаан-жагсаасан мессежүүдийг бүртгүүлсэн банкнаас илгээхийн оронд, ганц-удаагийн нууц үгийг SMS техт мессежийг хэрэглэгч рүү илгээн, адилтган танилтыг хийх нь хялбар болж байгаа юм.

Visa болон MasterCard-нуудын ялгаа нь үүний UCAF (Universal Cardholder Authentication Field)-ыг үүсгэх арга барилаараа ялгаатай юм. MasterCard нь AAV (Accountholder Authentication Value)-г ашигладаг бол Visa нь CAVV (Cardholder Authentication Verification Value)-г ашигладаг.

Хэрэгжүүлэх
Протоколын тодорхойлолт нь одоогоор 1.0.2 хувилбар дээрээ явж байгаа ба MasterCard болон JCB үүний шинэ хувилбарыг аван ашиглаж байгаа.

Visa эсхүл MasterCard гишүүн банкнууд нь үйлчилгээгээ ашиглахын тулд протоколыг дэмждэг тохиромжтой програм хангамж хэрэгтэй юм. Програм хангамж суусны дараа, гишүүн банк нь өөрийн бүтээгдэхүүнийг өөрийн төлбөрийн системийн сервертэйгээ уялдуулан нийлүүлж шалгадаг юм. Уг програм хангамжыг нийлүүлэгч ерөнрий 2 нийлүүлэгч байдаг.

ACS нийлүүлэгч
3D-Secure протоколд, ASC (Access Control Server) нь худалдан авагчийн талд (Банк)-д байх юм. Одоогоор ACS-ыг 3-дагч этгээд гэж үзэн ашиглаж байгаа. Ерөнхийдөө, худалдан авагчийн веб хөтөч нь банкны домайн нэрийг харуулахаас илүү ACS нийлүүлэгчийн домайн нэрийг харуулдаг хэдий ч энэ нь протоколоор бол шаардлагагүй юм.

Access Control Service нь Microsoft-ын үүлэн тооцоололд суурилсан үйлчилгээ ба энэ нь хэрэглэгчийг веб аппликэшн болон үйлчилгээнүүдийг авахад хялбар аргаар адилтган таних болон хэрэглэгчдэд зөвшөөрөл олгодог үйлчилгээ юм.

ACS дээрх гүйлгээний урсгалыг American Express дээр харъя:
 * Карт эзэмшигч гишүүн нь онлайнаар худалдан авалтыг хийх “худалдан авах” ба гишүүн нь картны дугаараа оруулах ёстой.
 * Худалдагч дээр ажиллаж байгаа MPI бүрэлдэхүүн хэсэг нь Amex DS (VEReq мессеж)-тэй холбогдон American Express® нь Safekey-д бүртгүүлсэн байна уу гэдгийг шалган.
 * Amex DS нь карт эзэмшигч ACS-тэй холбогдон мөн карт нь Safekey-д бүртгэлтэй эсэхийг шалган. ACS хэрвээ карт нь бүртгэлтэй бол адилтган танилтыг хийн хариу “Y”-г илгээн
 * Худалдагчийн аппликэшн нь карт хэрэглэгчийн ACS веб хуудасруу шилжүүлнэ.
 * ACS нь карт хэрэглэгчийн нууц үгийг оруулах дэлгэцийг гаргаж ирэх ба нууц үг оруулсны дараагаар адилтган танилтыг хийн хэрэглэгчийг баталгаажуулна (PARes мессеж).
 * MPI гарын үсгийг баталгаажуулан адилтган танилтын үр дүнг худалдагчийн аппликэшн илгээн харуулна
 * Үүний үр дүнд хэрвээ үр дүн буруу байвал гүйлгээг хийхгүй, үнэн зөв бол гүйлгээг хийнэ.

MPI нийлүүлэгч
3D-Secure гүйлгээн 2 интернет хүсэлт/хариу хослолыг өөртөө агуулдаг: VEReq/VERes болон PAReq/PARes юм. Visa болон MasterCard нь худалдаачдыг өөрсдийнх нь серверүүдрүү хүсэлт илгээхэд лиценздэггүй ба тэд өөрсдийнхөө серверүүдийг програм хангамж нийлүүлэгчид болох MPI (Merchant Plug-In) нийлүүлэгчдээр лицензүүлдэг.

MPI нь merchant буюу худалдагч талд ажилладаг. Merchant Plug-In нь програм хангамжийн модуль ба энэ нь кредит картны луйвараас урьдчилан сэргийлэхийн тулд 3D-Secure протоколтай хамтран ажилладаг. MPI нь дансны дугаар болон карт олгогч (Visa, MasterCard эсхүл JCB International) серверүүдрүү хандан хэрвээ энэ нь 3D-Secure програмд бүртгэгдээд олдсон бол худалдан авагчийн хандалт удирдлагын серверийн (ACS) веб сайтын хаягруу буцахыг нь тодорхойлж өгдөг. Худалдаачид нь өөрсдийн сервер дээрээ SSL/TLS-ыг суулгах хариуцлагатай байдаг.

MPI-г хэрэгжүүлэх хэд хэдэн сонголтууд байдаг:
 * Hosted: Төлбөрийн үйлчилгээ үзүүлэгч нь худалдагч буюу худалдаачин болгоны тоогоор MPI функцтэй хостыг үүсгэж өгөх юм.
 * Software Development Kit: Төлбөрийн үйлчилгээ үзүүлэгч эсхүл худалдаачин нь цагаан шошготой MPI эсхүл Self-Development Kit (SDK)-г худалдан авч одоо байгаа дэлгүүрийн худалдан авалтын машиндаа эсхүл төлбөрийн сервертэйгээ нэгтгэн хэрэглэх юм.
 * Proprietary буюу патенттай: Төлбөрийн үйлчилгээ үзүүлэгч эсхүл худалдаачин нь “In-House” буюу “Байшинд/Байранд” гэх MPI шийдлийг тодорхой функцтэйгээр хөгжүүлэн хэрэглэх юм.

3-D Secure ашигладаг картууд
3-D Secure нь Visa болон MasterCard-уудаар удирдагддаг ба мөн дараах картуудад ашиглагддаг: VISA, VISA DELTA, MASTERCARD, MASTERCARD DEBIT, INTERNATIONAL MAESTRO, UK MAESTRO, LASER, and VISA ELECTRON.

Худалдагч
Худалдагчдад байх нэг давуу тал нь “зөвшөөрөгдөөгүй гүйлгээ”-г багасгах юм. Харин нэг сул тал нь худалдагчид Visa эсхүл MasterCard директор сервертэй холбогдох MPI-г худалдаж авах ёстой ба энэ их үнэтэй. Үүн дотор: төлбөр, сарын төлбөр болон гүйлгээ бүрт төлөгдөх төлбөр багтах ба нэмээд MPI нийлүүлэгчдийн хүү бодогдоно.

3D-Secure-г дэмжин гэдэг нь их төвөгтэй ба заримдаа гүйлгээний алдаануудыг үүсгэдэг. Хараад байхаар, үүний хамгийн том сул тал нь маш олон алхамтай адилтган танилтууд юм.

Худалдан авагчид болон кредит карт эзэмшигчид
Энэ системийн зорилго нь карт эзэмшигчдийн картыг интернетээр хууль бусаар хэрэглэгчийн зөвшөөрөлгүйгээр гүйлгээ хийх эрсдлийг багасгах зорилготой юм. Одоогоор хийгдэж байгаа 3-D Secure-ийн хэрэгжүүлэлтэнд, хэрэглэгчийн буюу худалдан авагчийн нууц үгийг зөвхөн тухайн банк болон ACS нийлүүлэгч л мэдэх ба уг мэдээллийг худалдагч мэдэхгүй болон дундаас барьж авч чадахгүй учраас зөвхөн банк л үүнийг хариуцах буюу гүйлгээ хийсэн мэдээлэл нь байх юм. Эрсдлийг бууруулж буй 2 аргыг дараахаар харуулав: 3-D Secure нь яг үнэндээ нууц үгийн адилтган танилтын хэрэглээг заавал шаардаад байдаггүй. Үүнийг ухаалаг карт уншигч, аюулгүй байдлын token болон бусад зүйлстэй хамт хэрэглэх боломжтой юм. Эдгээр төрлийн төхөөрөмжүүд нь хэрэглэгчдэд худалдан авалт хийхэд зөвхөн аюулгүй нууц үг/pin code асуух ба хэрэглэгчдэд гайхалтай туршлага болж өгөх буюу хэрэглэхэд хялбар гэдгийг харуулах юм.
 * 1) Картны мэдээллийг хуулах: картын мэдээллийг хуулсан ч гэсэн интернетээр худалдан авалт хийхэд үргэлж нэмэлт нууц үгийг нэхдэг учир энэ эрсдэл байхгүй юм.
 * 2) Худалдагч нууц үгийг барьж авах буюу мэдэж чадахгүй учраас бидэнд тохиолддог маш олон аюулгүй байдлын эрсдлээс хамгаалж байгаа юм.

Хэрэглэгчдэд тулгарах нэг том асуудал буюу аюул нь хуурамж веб сайтуудруу орж, өөрсдийн картын мэдээллийг алдах зүйл юм. Тиймээс хэрэглэгчид веб сайтаар худалдан авалт хийхдээ https болон цоожны зурагтай эсэхийг нь хамгийн түрүүнд харах хэрэгтэй.

3-D Secure-ын шүүмжлэл
Үүн дээр гардаг нэг ядаргаатай гэх юм нь веб хуудсыг өөр хуудасруу шиддэгт буюу pop-up цонх юм. Үүнээс болж зарим хэрэглэгчид тухайн сайт нь албан ёсных уу гэдэгт эргэлзэх тохиолдол их байдаг. Эдгээр тохиолдол нь ихэвчлэн тухайн хэрэглэгч анх удаагаа тус вебсайт-аар үйлчлүүлж байгаа тохиолдолд болдог юм. Үүний шийдэл гэхээсээ илүү хэрэглэгчид тухайн сайтыг албан ёсных уу гэдгийг мэдэж болох зүйлсийг өөрстөө мэдэж авсан байх шаардлагатай юм.

Хязгаарлагдсан хөдөлгөөнт байдал
3-D Secure баталгааны код шаардлагатай үед, хэрвээ баталгааны код нь бидний утсан дээр ирдэг бол энэ нэг хязгаар нь юм. Хэрвээ хэрэглэгчийн тухайн бүртгүүлсэн утас нь зөвхөн тухайн бүсдээ хамаарагддах ба хэрвээ өөр бүсэд байгаа үед утас руу мессеж ирэхгүй юм. Мөн систем нь хэрэглэгч өөр газар руу явна гээд утасны дугаараа өөрчлөх боломжийг системдээ тавьж өгөөгүй юм. Энэ мэт асуудал байгаа.

Газар зүйн ялгаатай байдал
Энэ нь юу гэсэн үг вэ гэхээр? Тухайн 3-D Secure систем нь зөвхөн тухайн бүсдээ хамааран ажиллан гэсэн үг юм. Жишээ нь Америкийн 50 мужид 3-D Secure хамгаалалт ажиллана бусад газар буюу өөр оронд тухайн америкт бүртгэлтэй карт нь ажиллахгүй юм. 3-D Secure нь улам хөгжүүлэгдэж байгаа ба энэ асуудал нь удахгүй шийдэгдэнэ гэдэгт итгэлтэй байна.

3-D secure-ын хүчтэй хамгаалттай адилтган танилтын хувилбар
3-D Secure-ын шинэ хувилбар нь болох 1 удаагийн нууц үг ба энэ нь маш хүчтэй хамгаалалтан дээр суурилсан програм хангамжийн хэлбэр юм. Хэдийгээр, статик нууц үгтэй хууль ёсны хувилбар нь Европын төв банкны (ECB) шаардлаганд 2013 оны 1 сард нийцээгүй юм. 3-D Secure нь голдуу худалдан авагч талын аюулгүй байдлыг ихээхэн хангаж өгөхөөр шийдэгдсэн байдаг.

Ашигласан материалууд

 * 3D Secure
 * 3D Secure implementation guide
 * about 3D Secure
 * 3D secure overview

Гадаад холбооснууд

 * 3D secure overview
 * Verified by Visa
 * Activating Verified by Visa
 * Verified by Visa Partner Network
 * MasterCard SecureCode home page
 * CERIAS discusses Verified by Visa shortcomings
 * usa.visa.com
 * about.americanexpress.com

Category:криптографийн протокол

О.Дөлгөөн (J.IN11D023)