Понятие банковских SMART-карт и технология их обслуживания
Федеральное
агентство по образованию «Московский государственный университет экономики,
статистики и информатики (МЭСИ)»
Нижегородский
колледж экономики, статистики и информатики - филиал государственного
образовательного учреждения высшего профессионального образования «Московского
государственного университета экономики, статистики и информатики (МЭСИ)»
(Нижегородский
филиал МЭСИ)
КОНТРОЛЬНАЯ
РАБОТА
ПО
ДИСЦИПЛИНЕ
«Электронный
банк»
Тема:
Понятие банковских SMART-карт и технология их обслуживания
Нижний
Новгород
2010г.
Содержание
Глава
I Понятие банковских
SMART-карт
1.1
Что такое смарт-карта
.2
Смарт-карты и магнитные пластиковые карты
Глава
II Основные типы
смарт-карт
.1
Карты-счетчики
2.2
Карты с памятью
.3
Микропроцессорные карты
Глава
III Способы считывания
информации со смарт-карты
Глава
IV Защита информации
в смарт-картах
Глава
V Преимущества
смарт-карт
Список
литературы
Глава I
Понятие банковских SMART-карт
.1 Что такое смарт-карта
Смарт-карта - это новое понятие для современного
человека, но те, кто уже хоть раз пользовался ее услугами, смогли по
достоинству оценить ее преимущества. Такие карты обладают высокой степенью
защиты данных, надежностью и широкой сферой применения.
Смарт-карта - Обычная пластиковая кредитная
карточка, содержащая в себе интегральную схему, которая наделяет ее
способностями к хранению и обработке информации.
Смарт-карты классифицируются по следующим
признакам:
· тип микросхемы
· способ считывания информации
· соответствие стандартам
· область применения
Типы смарт-карт
В зависимости от встроенной микросхемы все
смарт-карты делятся на несколько основных типов, кардинально различающихся по
выполняемым функциям:
· карты памяти
· микропроцессорные карты
· карты с криптографической логикой
1.2 Смарт-карты и магнитные пластиковые карты
Смарт-карты пришли на смену традиционным
магнитным картам, но по сравнению с ними имеют ряд существенных преимуществ.
. Производство карты осуществляется на
профессиональном полиграфическом оборудовании с соблюдением всех мировых
стандартов.
Это достаточно сложный дорогой процесс и не под
силу мелким компаниям.
. Процесс защиты карты является
многоступенчатым. Первая ступень встроенный уникальный код, который
индивидуален для каждой микросхемы. Даже если карты выпускались корпоративно
большой партией, то личный код высылается отдельно каждому пользователю.
. Вторая ступень защиты устанавливается при
выдаче карточки пользователю. В базу данных заносится несколько секретных
PIN-кодов, которые известны только владельцу карты. В случае утраты смарт-карты
(потере, краже или порче), владелец должен сообщить об этом в банк, а
банковская система заблокирует доступ к любым операциям по этой карте. Попытка
применить заблокированную карту не принесет никакого результата.
Для работы со смарт-картой не нужен постоянный
доступ к центрам авторизации, ее можно осуществлять в режиме off-line. Отсюда
значительная экономия средств и времени на доступе к связному оборудованию.
Главное и самое важное преимущество смарт-карты
заключается в том, что сфера деятельности, в которой им можно найти применение,
очень разнообразна: здравоохранение, транспорт, банковские операции, работа с
населением и т. д.
смарт карта пластиковый
Глава II Основные типы смарт-карт
В зависимости от встроенной микросхемы все смарт-карты
делятся на несколько основных типов, кардинально различающихся по выполняемым
функциям: карты памяти, микропроцессорные карты, карты с криптографической
логикой или комбинированные карты.
Какой тип карты более всего подходит в качестве
платежной? Это зависит от установленного и отлаженного оборудования той
банковской системы, с помощью которой вы собираетесь внести платеж. Но в любом
случае, смарт-карта является идеальным средством платежа, поскольку она может
непосредственно взаимодействовать с персональным ‛электронным кошельком‛.
Кошелек сообщает, кокой суммой может
воспользоваться клиент для оплаты услуги или покупки, даже в системе off-line.
Денежные активы могут легко контролироваться и пополняться как внесением
наличных средств на счет, так и банковским кредитованием. Система защиты
электронного кошелька также оснащена персональным PIN-кодом, который необходимо
набирать для проведения любой операции по карте. Если клиент хранит свой код в
безопасности, то использование личной смарт-карты без его разрешения не
принесет никакого результата. Однако нужно оговориться, что не всякая
смарт-карта может располагать ‛электронным кошельком‛.
В качестве платежной можно использовать карту
любого типа, но сфера ее использования может быть весьма ограниченной. А для
того чтобы карта стала универсальной, она должна обладать невысокой стоимостью,
возможностью осуществлять любые платежи, иметь соответствующий уровень защиты и
технологию для обеспечения платежей в режиме off-line.
Таким образом, в зависимости от внутреннего
устройства и выполняемых функций смарт-карты можно разделить на три типа.
2.1 Карты-счетчики
Этот вид смарт-карт применяется для такого типа
расчетов, когда требуется вычитание фиксированной суммы за каждую платежную
операцию. Подобные карточки еще называются карточками с предварительно
оплаченной суммой.
Такие карты-счетчики применяются при подписке на
платное телевидение, при оплате за проезд, автостоянку и т. п.
Их также можно использовать для оплаты
телефонных переговоров в телефонах-автоматах, где карта заменяет монетки или
специальные жетоны для таксофонов. Обычно в телефонах-автоматах единица времени
разговора имеет минимальную фиксированную цену. В карточке эта минимальная
сумма платежа соответствует одному биту памяти карты. В процессе разговора с
карточки за каждую единицу времени списывается необходимое количество бит.
Первоначально для этих целей использовались
карты с однократно программируемой памятью, то есть одноразового использования.
После полного использования отведенной суммы, их приходилось выбрасывать.
Современные смарт-карты такого типа позволяют
пополнять или ‛восстанавливать‛ содержимое счетчика при помощи
определенного кода, разрешающего это действие.
К тому же, современные карты содержат
идентификационные данные, которые содержат информацию о владельце и могут
изменяться или перезаписываться по желанию клиента. Это возможно за счет
оснащения смарт-карты энергонезависимой перепрограммируемой памятью.
.2 Карты с памятью
Так как все смарт-карты оснащены памятью, этот
тип карт выделен весьма условно и является промежуточным между картой -
счетчиком и микропроцессорными картами. Карты подобного типа, в основном,
используются для хранения информации о пользователе.
Существуют два подтипа подобных карт: с
незащищенной и с защищенной памятью. Они отличаются друг от друга степенью
защищенности от несанкционированного доступа к данным карты. Второй тип в этом
отношении обладает более высоким ‛интеллектом‛, но не сравнится с
микропроцессорами.
Карты с незащищенной памятью называют еще
картами с полнодоступной памятью, т. е. вы можете читать и изменять данные без
введения специального кода доступа.
Память в таких картах можно программировать,
копировать или обновлять при помощи определенных команд.
Карты с незащищенной памятью очень опасно
использовать в качестве платежных карт. В России достаточно людей, способных на
нелегальные операции с пластиковыми картами. И хотя такие махинации под силу
лишь квалифицированному программисту, процесс повторного использования данных
достаточно прост. Нужно приобрести легальную карту, скопировать ее память на
диск, а дальше после каждой покупки восстанавливать ее память копированием с
диска начальных данных о состоянии счета. Кодирование данных в памяти карты не
дает необходимой защиты от мошенничества подобного рода. Иногда такие операции
проводятся ради самого процесса, из чисто крэкерских побуждений (от англ.
cracker - взломщик системы, компьютерный вандал).
В смарт-картах с защищенной памятью предусмотрен
специальный механизм для редактирования и удаления информации. Чтобы получить
разрешение на чтение или стирание данных, нужно предъявить карте секретный код
(их может быть и несколько) для установления связи с ключом защиты внутри
карты.
Если код идентифицирован, сама карта сообщит об
этом устройству чтения/записи, и вы получите разрешение на проведение платежей.
Взлом ключей защиты и копирование данных памяти карты невозможен. Поэтому,
карты с защищенной памятью идеально подходят для стандартного набора платежных
операций, они обладают необходимой защитой, и при этом недороги. Например, цена
карты GPM896 для тиража свыше 5 тыс. экземпляров составляет не более 4 $ за
единицу.
Дополнительной защитой такого типа карт является
также область (лучше, чтобы их было, по меньшей мере, две), в которую записываются
идентификационные данные. Эти данные обычно прожигаются на внутренней стороне,
не могут быть впоследствии изменены, что обеспечивает невозможность подлога
карты.
Еще одной деталью, касающейся безопасности
карты, является разграничение доступа к данным карты и к совершению платежей. В
осуществлении безналичных расчетов обычно участвуют три юридически независимых
лица: банк, клиент и магазин. Банк зачисляет деньги на карту (кредитует ее),
магазин снимает деньги с карты (дебетует ее), и все эти операции должны
совершаться в присутствии клиента, с его согласия. Поэтому память карты
разбивается на две защищенные разными ключами области - дебетовую и кредитную.
Каждый участник платежной операции имеет свой секретный PIN-код, который
открывает доступ к чтению данных только в своей области.
Ключ к информации, расположенной в кредитной
области карты имеется только у банка; ключ к информации в дебетной области - у
магазина. Только при предъявлении сразу двух ключей (PIN-кода клиента и ключа
банка при кредитовании, PIN-кода клиента и ключа магазина при дебетовании)
можно провести необходимую финансовую операцию - внести деньги на счет или
списать сумму покупки с карты. Такой вариант защиты предпочтительнее.
Если в платежной операции используется карта с
одной защищенной областью памяти, то все участники операции будут работать с
одной областью и иметь одинаковые ключи. Это обстоятельство нарушает один из
основных принципов защиты информации (в частности, принципы разделения
полномочий), потому что магазин имеет возможность кредитовать карту, зная ключ
от защищенной зоны, даже если банк дебетовал карту (например, в банкоматах).
Такое положение рано или поздно может привести к мошенничеству. Дополнительные
криптографические способы защиты информации не спасают ситуацию.
Среди современных карт уже упоминавшаяся карта
GPM896 обладает двумя защищенными областями памяти и удовлетворяет самым
высоким стандартам по разграничению доступа к информации. И все это в
дополнение к приемлемой цене.
.3 Микропроцессорные карты
· емкостью ОЗУ (операционное
запоминающее устройство) до 256 байт;
· емкостью ПЗУ (постоянное
запоминающее устройство) до 10 Кбайт;
· емкостью перезаписываемой
энергонезависимой памяти до 8 Кбайт.
Микропроцессорная смарт-карта оснащена
встроенной операционной системой, выполняющей набор необходимых сервисных
операций и оснащенной всеми средствами безопасности.
Вся информация представлена в виде
многоуровневой структуры (каталог - группа файлов - файл), разделенной на блоки
и разграничивающей доступ к информации.
Для каждого уровня информации устанавливаются
различные режимы доступа:
· постоянный доступ для чтения/записи без введения
специальных кодов;
· доступ к чтению/ ограничение доступа
для записи. Этот режим разрешает свободное чтение информации, но изменение
записи допускается только после предъявления специального секретного кода.
· ограничение полномочий для чтения/
записи. Доступ к редактированию разрешается только после введения секретного
кода (или нескольких кодов).
· чтение/запись недоступны. Этот режим
запрещает доступ к информации, и устанавливается для записей, содержащих
криптографические ключи.
В карты такого типа встраивается традиционный
криптографический алгоритм DES, обеспечивающий шифрование информации и запрос ‛цифровой‛
подписи.
Кроме того, карты могут выполнять различный
спектр сервисных функций. Для проведения банковских операций, например,
предусмотрены специальные средства ведения электронных платежей с возможностью
блокировки работы с карточкой при возникновении угрозы защите информации.
Различают два вида блокировки: при введении неверного транспортного кода и при
несанкционированном доступе.
В первом случае блокировка необходима для защиты
от нелегального использования карточек, которые были украдены во время
транспортировки карточки от производителя к потребителю. Карта активизируется
только при предъявлении верного ‛транспортного‛ кода.
При несанкционированном доступе карта вообще
перестает быть работоспособной, если при попытке доступа к информации в течение
несколько раз был предъявлен неверный код доступа. Впоследствии карта либо
может быть вновь активирована при введении специального команд, либо становится
непригодной для дальнейшего использования.
Смарт-карты прочно укрепили свое применение во всем
мире. В каждой стране есть свои лидеры среди производителей пластиковых карт,
наиболее известные из них: Data Card (США), во Франции Bull и Schiumberger,
Toshiba в Японии. Общепризнанным лидером в области производства разработки и
производства смарт-карт является французская фирма GemPlus. Она имеет филиалы
во многих странах мира: США, Германии, Испании, Великобритании, Сингапуре,
Японии, Италии и др. В России официальным дистрибьютором фирмы GemPlus Card
International является АО ‛СканТек‛.
Компания GemPlus разработала несколько видов
смарт-карт (как специализированных, так и универсальных), отличающихся объемом
памяти и степенью защиты, предназначенных для ведения банковских операций,
финансирования счетов в качестве пластиковых денег. Например, карта GPM896
предназначена для проведения платежей с небольшими суммами, а микропроцессорная
карта PCOS обеспечивает высокую степень безопасности данных и подходит для
ведения крупных счетов.
Глава III
Способы считывания информации со смарт-карты
По методу считывания информации карты делятся на
следующие:
· Контактные
· Бесконтактные
· Со сдвоенным интерфейсом
Контактные карты взаимодействуют со считывателем
посредством непосредственного соприкосновения металлической контактной площадки
карты и контактов считывателя. Данный метод считывания просто реализуем, но
повышает износ карты при частом использовании.
Контактная смарт-карта состоит из трех частей:
. Контактная
область
6 или 8 контактов, квадратной или овальной формы
Позиции контактов выполнены в соответствии со
стандартом ISO 7816
. Чип (микропроцессор карты)
. Пластиковая основа
Бесконтактные карты имеют встроенную катушку
индуктивности, которая в электромагнитном поле считывателя обеспечивает
питанием микросхему, выдающую информационные радиосигналы.
Такой метод считывания позволяет часто
использовать карту без износа самой карты и считывателя.
Карты со сдвоенным интерфейсом имеют
одновременно и контактную площадку и встроенную катушку индуктивности. Такие
карты позволяют осуществлять работу с разными типами считывателей.
Глава IV
Защита информации в смарт-картах
Механизмы защиты информации
Пассивная аутентификация - проверка разрешения
на выполнение команды при помощи ввода PIN кода или пароля.
Активная аутентификация - внутренняя и внешняя
аутентификация методом challenge-response.
Аутентификация данных - использование защищенной
передачи данных и команд (чтения, записи, обновления) по каналу.
Шифрование данных - использование шифрации
данных в командах чтения, записи и обновления.
Возможности обеспечения безопасности при
использовании смарт-карт
Аутентификация карт
· Терминал проверяет подлинность карты перед
началом транзакции.
· Перед выпуском её в обиход эмитент
вводит в каждую карту и терминал секрет.
· Карта должна подтвердить терминалу,
что она знает секрет.
· Карта не должна раскрывать секрет во
время аутентификации.
· Так как карта знает секрет, значит
это подлинная карта.
Аутентификация терминала
· Перед выпуском карты эмитент записывает в каждую
карту и терминал секрет.
· Подлинный терминал должен уметь
проверять, что он знает тот же секрет, который записан в карте.
· Так как терминал проверяет
подлинность карты, она в свою очередь предоставляет требуемые права на доступ.
Аутентификация держателя карты
· Карта гарантирует, что только держатель карты
может её использовать.
· Эмитент записывает в каждую карту
PIN держателя карт.
· Карта предоставляет карт держателю
доступ, так как он знает PIN.
· Карта может быть запрограммирована
так, что при введении неправильного PIN кода она заблокируется.
· Биометрическая аутентификация (по
отпечатку большого пальца, по сетчатке глаза, по динамической подписи)
Сертификация транзакций
· Эмитент записывает в каждую карту уникальный
сертификационный ключ, подтверждающий право доступа держателя карт.
· После успешного прохождения
терминальной аутентификации и аутентификации держателя карты, терминал посылает
транзакцию в карту.
· На основе сертификационного ключа
карта генерирует электронную подпись.
· Тот факт, что подпись проверена,
указывает на легитимность транзакции.
Конфиденциальность данных
· Эмитент записывает в каждую карту уникальный
ключ шифрования перед ее выпуском.
· Этот ключ используется для
шифрования данных между терминалом и удаленным компьютером.
Глава V
Преимущества смарт-карт
Во-первых, основное преимущество и главное
отличие смарт-карт от других видов пластиковых карт - это
высокоинтеллектуальная микросхема. Основными производителями микросхем для
смарт-карт являются такие крупные компании, как Oki, Hitachi (Япония), Arntel,
Motorola (США), Philips (Нидерланды) и др. Они обеспечивают картам большие
возможности в использовании.
Во-вторых, платежи с помощью магнитных или
штриховых карт могут проходить только в режим on-line. Для платежных операций
необходимо связаться с банком и получить разрешение. В этой ситуации основной
проблемой является обеспечение надежной, скоростной и недорогой связи. При
платежах с помощью смарт-карты применяется принципиально новое решение
проблемы- все операции осуществляются в режиме off-line. С помощью встроенной
микросхемы сама карта дает разрешение на платеж непосредственно в торговой
точке.
В-третьи, смарт-карты отличаются повышенной
надежностью и безопасностью. Микросхема обеспечивает карте достаточный ‛
интеллект‛, чтобы самостоятельно принять решение о разрешении платежа, и
высокую степень защиты от несанкционированного проникновения. Во время
инициализации можно заблокировать микросхему и закрыть доступ к любым
изменениям данных.
Скопировать или продублировать данные также
невозможно благодаря уникальному внутреннему коду, зафиксированному внутри
каждой карты.
Процесс многоступенчатой персонификации карты
делает ее одной из наиболее надежных форм хранения данных. Вся информация о
личных данных пользователя и состоянии счета зашифровывается и защищается
кодированными паролями.
Большим преимуществом смарт-карт над другими
пластиковыми картами является их возможность анализировать информацию,
осуществлять математические расчеты и делать логические выводы. При попытке взломать
карту, она способна самостоятельно на время или навсегда прекратить свою
работу. К тому же смарт-карты гораздо превосходят всех других представителей по
объему хранимой информации.
· время хранения информации - 10 лет;
· температура хранения - от -20 до +55
С;
· минимальное число перезаписей - 10
000 раз;
· максимальное время записи одного
байта информации - 10 мс.
Насколько реальны такие показатели и насколько
долговечны их карты, покажет время.
Список литературы
1. В.В.
Дик, «Электронный банк. Московский международный институт эконометрики,
информатики, финансов и права».- М., 2008 г.- 175 стр.;
2. Титоренко
Г.А. Компьютеризация банковской деятельности. - М.: Финстатинформ, 1997.- 304
с.;
. Стерлягов
А.А. Банковские технологии: автоматизированные банковские системы, пластиковые
деньги.- Смоленск, 1999.-176 с.