Платежная система на основе смарт-карт
(PIN-кода клиента и ключа банка при
кредитовании, PIN-кода клиента и ключа магазина при дебетовании) можно
провести соответствующую финансовую операцию - внести деньги либо списать
сумму покупки с карты.
Если в качестве платежной используются карты с одной защищенной
областью памяти, - значит, банк и магазин будут работать с одной и той же
областью, применяя одинаковые ключи защиты. Если банк, как эмитент карты,
может ее дебетовать (например, в банкоматах), то магазин права кредитовать
карту не имеет. Однако такая возможность ему дана - поскольку, в силу
необходимости дебетования карты при покупках, он знает ключ стирания
защищенной зоны.
То обстоятельство, что и кредитор карты, и ее дебитор (обычно разные
лица) пользуются одним ключом, нарушает сразу несколько основных принципов
защиты информации (в частности, принципы разделения полномочий и
минимальных полномочий). Это рано или поздно приведет к мошенничеству. Не
спасают ситуацию и криптографические способы защиты информации.
Из известных карт с защищенной памятью лишь упоминавшаяся уже карта
GPM896 обладает двумя защищенными областями памяти и удовлетворяет
требованиям по разграничению доступа к информации как со стороны банка, так
и со стороны магазина.
Микропроцессорные карты. Эти карты представляют собой последние
достижения в области смарт-карт. Их применение весьма обширно.
Микропроцессоры, установленные на этих картах, обладают следующими
основными характеристиками:
- тактовой частотой до 5 Мгц;
- емкостью ОЗУ до 256 байт;
- емкостью ПЗУ до 10 Кбайт;
- емкостью перезаписываемой энергонезависимой памяти до 8 Кбайт.
В карту встраивается специализированная операционная система,
обеспечивающая большой набор сервисных операций и средств безопасности.
Операционная система карты поддерживает файловую систему,
предусматривающую разграничение доступа к информации. Для информации,
хранимой в любой записи (файл, группа файлов, каталог), могут быть
установлены следующие режимы доступа:
- всегда доступна по чтению/записи. Этот режим разрешает чтение/запись
информации без знания специальных секретных кодов;
- доступна по чтению, но требует специальных полномочий для записи.
Этот режим разрешает свободное чтение информации, но разрешает запись
только после предъявления специального секретного кода;
- специальные полномочия по чтению/записи. Этот режим разрешает доступ
по чтению или записи после предъявления специального секретного кода,
причем коды для чтения и записи могут быть различными;
- недоступна. Этот режим не разрешает читать или записывать
информацию. Информация доступна только внутренним програм мам карточки.
Обычно этот режим устанавливается для записей, содержащих криптографические
ключи.
Как правило, в такие карточки встроены криптографические средства,
обеспечивающие шифрование информации и выработку “цифровой” подписи.
Традиционно в карточках для этих целей применяется криптографический
алгоритм DES. Кроме того, в карточке имеются средства ведения ключевой
системы.
Карты обеспечивают различный спектр сервисных команд. Для банковских
целей наиболее интересные из них - средства ведения электронных платежей.
К специальным средствам относятся возможность блокировки работы с
карточкой. Различаются два вида блокировки: при предъявлении неправильного
транспортного кода и при несанкционированном доступе.
Суть транспортной блокировки состоит в том, что доступ к карточке
невозможен без предъявления специального транспортного кода. Этот механизм
необходим для защиты от нелегального использования карточек при хищении во
время пересылки карточки от производителя к потребителю. Карточка может
быть активизирована только при предъявлении правильного «транспортного»
кода.
Суть блокировки при несанкционированном доступе состоит в том, что
если при доступе к информации несколько раз неправильно был предъявлен код
доступа, то карта вообще перестает быть работоспособной. При этом, в
зависимости от установленного режима карта может быть впоследствии либо
активизирована при предъявлении специального кода, либо нет. В последнем
случае карточка становится непригодной для дальнейшего использования.
Смарт-карты производятся многими известными фирмами. Среди них: Bull
(Франция), Data Card (США), Schiumberger (Франция) - самый крупный
производитель телефонных карт, Toshiba (Япония).
Общепризнанным лидером в области производства и разработки смарт-карт
является французская фирма GemPlus. Фирма производит более двух десятков
разнообразных карт, как специализированных, так и универсальных. Отделения
фирмы расположены во многих странах - Великобритании, Сингапуре, Японии,
Испании, США, Италии, Германии.
Фирмой GemPlus Card International разработаны несколько типов смарт-
карт, ориентированных на применение в качестве пластиковых денег и ведение
счетов. Например, карта с защищенной памятью GPM896 предназначена для
проведения платежей с небольшими суммами, а микропроцессорная карта PCOS -
для ведения счетов. Карта PCOS обеспечивает высокую степень безопасности
данных и поддерживает специализированный набор операций по их обработке.
В России официальным дистрибьютором фирмы GemPlus Card International
является АО «СканТек».
Основные производители микросхем для смарт-карт: Arntel (США), Hitachi
(Япония), Motorola (США), Oki (Япония), Philips (Нидерланды) и др.
Преимущества использования смарт-карт Главное отличие смарт-карт от
других видов пластиковых карт (с магнитной полосой или со штриховым кодом)
- интеллектуальность карт с микросхемами.
При платежах по магнитным или штриховым картам применяется режим on-
line. Разрешение на платеж дает, по существу, компьютер банка или
процессингового,центра при связи с точкой платежа.
Поэтому основная проблема, возникающая здесь, - обеспечение надежной,
защищенной и недорогой связи, что в наших условиях крайне трудно.
При платежах по смарт-картам применяется принципиально новый режим off-
line - разрешение на платеж дает сама карта (точнее, встроенная в нее
микросхема) при общении с торговым терминалом непосредственно в торговой
точке. Накладные расходы по обеспечению платежей чрезвычайно малы, проблемы
связи не играют той роли, как в технологиях on-line.
Другая важная особенность смарт-карт заключается в их надежности и
безопасности. Смарт-карта должна быть достаточно “интеллектуальна”, чтобы
самостоятельно принять решение о проведении платежа и при этом обладать
развитой системой защиты от ее несанкционированного использования.
Во время производства и инициализации карт электронные предохранители
в микросхеме могут быть разрушены, тем самым предотвращая нежелательное
вмешательство в хранимую информацию.
Копирование данных, кроме как их производителями, невозможно благодаря
уникальному внутреннему коду, записанному на каждой карте. Даже если
данные, записанные на карту, кто-либо сможет продублировать, уникальный
внутренний код предотвратит использование карты. При отправке карт
производителем в адрес организации, выпускающей карты в обращение, коды
посылаются отдельно, так что даже в случае потери всей партии карты
останутся непригодными для использования. Пока этот код не будет
представлен карте, последнюю использовать невозможно. Как только карта
проинициализирована и в ней записаны данные (или сумма денег), доступ к ним
защищается кодированным паролем (или PIN-КОДОМ), известным только хозяину
карты. Данные, записанные на карте, могут быть также зашифрованы. Все это
делает смарт-карту одной из наиболее надежных форм хранения данных.
При несанкционированной попытке использования смарт-карта способна
самостоятельно на время или навсегда прекратить свою работу. Для
восстановления работоспособности карты необходим ее возврат на место выдачи
(обычно это банк).
Еще одним преимуществом смарт-карт над другими пластиковыми картами
является их многофункциональность. Обладая встроенными возможностями
осуществлять многие математические и логические операции и превосходя
другие пластиковые карты по объему хранимой на них информации, одни и те же
смарт-карты могут использоваться в различных приложениях.
Смарт-карты по сравнению с другими пластиковыми картами обладают
высокими эксплуатационными характеристиками. Например, смарт-карты фирмы
GemPlus Card International - лидера в области производства карт - обладают
следующими основными характеристиками: время хранения информации - 10 лет;
минимальное число перезаписей - 10 000 раз; время записи одного байта
информации - не более 10 мс; температура хранения - от -20 до +55 С;
рабочая температура -от 0 до +50 °С.
Смарт-карты устойчивы к внешним воздействиям.
Платежные системы на основе смарт-карт обладают рядом преимуществ
перед системами, использующими карты с магнитной полосой или со штриховым
кодом.
Преимущества могут быть как общие, касающиеся всех пользователей
системы, так и частные - для отдельных групп пользователей.
Общие преимущества сводятся к следующему:
-Все существующие операции с наличностью могут быть с легкостью
заменены на операции со смарт-картами.
-Централизованный контроль за системой и финансовыми транзакциями для
всех элементов системы.
-Незначительная стоимость оборудования торг
| | скачать работу |
Платежная система на основе смарт-карт |