Реферат: Платежная система на основе смарт-карт
Московский государственный институт радиотехники, электроники иавтоматики (ТУ)
<img src="/cache/referats/11425/image002.jpg" v:shapes="_x0000_i1025">
КУРСОВОЙ ПРОЕКТ
Тема: “Платежная система на основе смарт-карт”
Студент:Анисимов А.С.
Группа: МФ-2-93
Москва 1998 г.
СОДЕРЖАНИЕ
Стр.
Введение. Пластиковыекарты — новый инструмент
организациибезналичных расчетов.......................... 3
История развитияпластиковых карт и платежных систем.... . 4
Классификацияпластиковых карт........................... 6
Смарт-карты..............................................12
Заключение...............................................28
Введение. Пластиковые карты — новый инструмент организациибезналичных расчетов
Пластиковаякарта — обобщающий термин, который обозначает все виды карточек, различающихсяпо назначению, по набору оказываемых с их помощью услуг, по своим техническимвозможностям и организациям, их выпускающим. Важнейшая особенность всехпластиковых карт, независимо от степени их совершенства, состоит в том, что наних хранится определенный набор информации, используемый в различных прикладныхпрограммах. Карта может служить пропуском в здание, средством доступа ккомпьютеру, средством оплаты телефонных переговоров, водительским удостоверениеми т.д.
В сфереденежного обращения пластиковые карты являются одним из прогрессивных средстворганизации безналичных расчетов. В системе безналичных расчетов они составляютособый класс орудий платежа, которые могут обладать качествами как дебетовых,так и кредитных инструментов.
История развития пластиковых карт и платежных систем
Первоетеоретическое упоминание об использовании карт как платежного средствапоявилось в Англии и относится к концу прошлого века. Идею кредитных картвыдвинул в своей книге Джеймс Беллами “Глядя назад” (J. Bellami. Lookingbackwards, 1880 г.).
Напрактике пионерами в этой области оказались США. Первая кредитная карта былавыпущена в ,1914 г. фирмой General Petroleum Corporation of California (нынеMobil Oil). Карточки использовались для оплаты в процессе торговлинефтепродуктами. В этом качестве они быстро завоевали популярность. Владелецкарты получал значительные удобства в обслуживании и скидки при покупке товара.Фирма-эмитент получала постоянных клиентов и стабильные доходы.
Сувеличением числа пользователей встал вопрос об учете и регистрации продаж покаждой эмитированной карте, это вызвало к жизни процесс эмбоссирования карт(теснение номера карты, данных клиента, срока действия карты). Практически безизменений эмбоссирование сохранилось до наших дней и широко используется, в томчисле и на смарт-картах. Первые карты с эмбоссированием изготавливались из металла, но затем они быливытеснены пластиковыми картами, так как последние оказались более практичными.
Этикарты не были еще платежным средством. Это были так называемые клубные карты,которые подтверждали принадлежность пользователя к той или иной системеучреждений сферы обслуживания. Эти карты имели строго ограниченное распространениекак по видам услуг, так и географически. Использование клубных карт широкораспространено и в настоящее время. Достаточно много систем с клубными картамиработает в России.
Первыекарты, являющиеся полноценным платежным средством, были выпущены не банковскимигигантами: Diners Club (I960 г.), American Express и Hilton Credit (1959 г.). Вотношении изготовления они мало чем отличались от предыдущих, но по своимфункциям это были совершенно новые карты. Фактически эти годы можно считатьмоментом рождения нового инструмента организации безналичных расчетов.
Перваябанковская карта была выпущена в 1951 г. маленьким нью-йоркским банком LongIsland, и с тех пор началось бурное развитие этого вида услуг. Перваяуниверсальная карта большого банка Bank of America прошла испытания в Fresco,California, в 1956 г. С 1966 г. Bank of America начал продажу лицензий наиспользование карточной технологии другим банкам.
В ответна это несколько крупных банков-конкурентов Bank of America (14 нью-йоркскихбанков) учредили свою Межбанковскую карточную ассоциацию — МКА (Interbank CardAssociation), а в 1969 г. эта ассоциация купила права на карты Master Charge(Мастер Чадж), выпускавшиеся карточной ассоциацией банков западных штатов (4калифорнийских банка), а большинство банков — членов МКА перешли на выпускMaster Charge.
Вначалевыпуск карт часто оказывался нерентабельным для банков, и это приводило кмногочисленным финансовым потерям. Для того чтобы карточная технология сталарентабельной, банк-эмитент должен был быть признанным широким коммерческимсектором.
Однакодля того, чтобы это стало возможным, банк должен был иметь большое числоклиентов, принявших новые банковские услуги. Для достижения поставленной целиогромное количество карточек было разослано по почте, хотя на практике этопривело к многочисленным злоупотреблениям. Такой массовый запуск новогопродукта происходил в США 1960-1965 гг. Причем, некоторые банковские учрежденияпредлагали карты своим клиентам бесплатно, однако по истечении года или двухиногда без всякого предупреждения накладывали на их счета годовую пошлину.
Классификация пластиковых карт
Пластиковаякарта представляет собой документ в виде карточки из негибкого пластика, неподлежащий передаче и помогающий ее держателю оплачивать товары и услуги иполучать со счета денежные суммы.
Существуетмного признаков, по которым можно классификацировать карты.
1. Поматериалу, из которого они изготовлены:
— бумажные (картонные);
— пластиковые;
— металлические.
Внастоящее время практически повсеместное распространение получили пластиковыекарты. Однако для идентификации держателя карты часто используются бумажные(картонные) карты, запаянные в прозрачную пленку. Это ламинированные карты.Ламинирование является довольно дешевой и легкодоступной процедурой и поэтому,если карта используется для расчетов, то с целью повышения защищенности отподделок применяют более совершенную и сложную технологию изготовления карт изпластика. В то же время, в отличие от металлических карт, пластик легкоподдается термической обработке и давлению (эмбоссированию), что весьма важнодля персонализации карты перед выдачей ее клиенту.
2. Наосновании механизма расчетов:
— двусторонние системы — возникли на базе двусторонних соглашений междуучастниками расчетов, при которых владельцы карт могут использовать их дляпокупки товаров в замкнутых сетях, контролируемых эмитентом карт (универмаги,бензоколонки и т. д.);
— многосторонние системы — предоставляют владельцам карт возможность покупатьтовары в кредит у различных торговцев и организаций сервиса, которые признаютэти карты в качестве платежного средства. Многосторонние системы возглавляютнациональные ассоциации банковских карт, а также компании, выпускающие картытуризма и развлечений (например, American Express).
3. Повиду проводимых расчетов:
— кредитные карты, которые связаны с открытием кредитной линии в банке, что даетвозможность владельцу пользоваться кредитом при покупке товаров и при получениикассовых ссуд;
— дебетовые карты предназначены для получения наличных в банковских автоматах илидля получения товаров с расчетом через электронные терминалы. Деньги при этомсписываются со счета владельца карты в банке. Дебетовые карты не позволяютоплачивать покупки при отсутствии денег на счете. Преимущество дебетовой картыперед кредитной состоит в отсутствии ограничений на размер одного платежа.
Некоторыеавторы выделяют в особую категорию платежные карты (charge card) какразновидность кредитных карт. Отличие состоит в том, что общая сумма долга прииспользовании платежной карты должна погашаться полностью в течениеопределенного времени после получения выписки без права продления кредита.Однако термин этот является неудачным. Дело в том, что в принятой Советомдиректоров Банка России 1 апреля 1996 г. “Стратегии развития платежной системыРоссии” термин “платежная карта” используется вместо термина “пластиковаякарта”, и есть все основания предполагать, что в будущих документах,посвященных реформе платежной системы России, термин “платежная карта” будетиспользоваться и впредь.
4. Похарактеру использования:
— индивидуальная карта, выдаваемая отдельным клиентам банка, может быть“стандартной” или “золотой”; последняя выдается лицам с высокойкредитоспособностью и предусматривает множество льгот для пользователей;
— семейная карта, выдаваемая членам семьи лица, заключившего контракт, которыйнесет ответственность по счету;
— корпоративная карта выдается организации (фирме), которая на основе этой картыможет выдать индивидуальные карты избранным лицам (руководителям или ценнымсотрудникам). Им открываются персональные счета, “привязанные” к корпоративномукарточному счету. Ответственность перед банком по корпоративному счету имееторганизация, а не индивидуальные владельцы корпоративных карт.
Выделяютиногда карточки туризма и развлечений (travel and entertainment cards). Онивыпускаются компаниями, специализирующимися на обслуживании указанной сферы,например American Express. Карточки принимаются сотнями тысяч торговых исервисных предприятий во всем мире для оплаты товаров и услуг, а такжепредоставляют владельцам различные льготы по бронированию авиабилетов, номеровв гостиницах, страхованию жизни, скидки с цены товара и т. д.
Главныеотличия этого вида карт от банковских кредитных карт заключаются, во-первых, вотсутствии разового лимита на покупки и, во-вторых, в обязанности владельцакарты погасить задолженность в течение месяца без права пролонгировать кредит.В случае просрочки платежа с владельца карты взимается повышенный процент.
Ещевыделяют чековые гарантийные карты (cheque guarantee cards). Эти карты выдаютсявладельцу текущего счета в банке для идентификации чекодателя и гарантии платежа по чеку. Карта базируется накредитной линии, которая позволяет владельцу счета пользоваться кредитом поовердрафту.
5. Поспособу записи информации на карту:
— графическая запись;
— эмбоссирование;
— штрих-кодирование;
— кодирование на магнитной полосе;
— чип;
— лазерная запись (оптические карты).
Самойранней и простой формой записи информации на карту было и остается графическоеизображение. Оно до сих пор используется во всех картах, включая самыетехнологически изощренные. Вначале на карту наносились только фамилия, имядержателя карты и информация о ее эмитенте. Позднее на универсальных банковскихкартах был предусмотрен образец подписи, а фамилия и имя стали эмбоссироваться(механически выдавливаться). (Рис.1)
<img src="/cache/referats/11425/image004.jpg" v:shapes="_x0000_i1026">
Рис.1
Эмбоссировамие(emboss) — нанесение данных на карточке в виде рельефных знаков. Это позволилозначительно быстрее оформлять операцию оплаты картой, делая оттиск на нейслипа. Информация, эмбоссированная на карте, моментально переносится черезкопировальную бумагу на слип. В целях борьбы с мошенничеством могутиспользоваться слипы и без копировального слоя, но способ переносаэмбоссированной на карте информации, в сущности, остался прежним — механическоедавление. Эмбоссирование не вытеснило полностью графическое изображение.
Штрих-кодирование- запись информации на карту с помощью штрих-кодирования применялась доизобретения магнитной полосы и в платежных системах распространения неполучила. Однако разрабатывается проект на базе карт со штрих-кодами посозданию системы учета продаж лекарств льготным категориям в Москве. В этомпроекте участвует банк МЕНАТЕП.
Магнитныекарты имеют тот же самый вид, что и обыкновенные пластиковые карты, только наобратной стороне карты имеется магнитная полоса. (Рис.2)
Магнитнаяполоса может хранить около 100 байт информации, которая считывается специальнымсчитывающим устройством. Информация, содержащаяся на магнитной полосе,совпадает с записями на передней стороне карты: имя, номер счета владельцакарты и дата окончания действия карты. Магнитные карты обычно используются каккредитные карты (типа VISA, MasterCard, EuroCard, American Express), как банковские дебетовые карты, карты длябанкоматов, а также как телефонные кредитные карты.
<img src="/cache/referats/11425/image006.jpg" v:shapes="_x0000_i1027">
Рис.2
Магнитнаязапись является одним из самых распространенных на сегодняшний день способовнанесения информации на пластиковые карты. Но сейчас уже ясно, что магнитнаяполоса не обеспечивает необходимого уровня защиты от подделок. А это являетсякритическим моментом в платежных системах, основанных на картах.
Картыпамяти выглядят так же, как обычные пластиковые карты, за исключением того, чтоони имеют встроенную микросхему (Рис.3).
<img src="/cache/referats/11425/image008.jpg" v:shapes="_x0000_i1028">
Рис.3
Картыпамяти часто называют смарт-картами, но само их название говорит о том, чтомикросхема карты содержит только запоминающее устройство. Объем памяти обычнойкарты составляет приблизительно 256 байт, но существуют карты с объемом памятиот 32 байт до 8 Кбайт. Уровень защиты этих карт не очень высок, поэтому онииспользуются в прикладных системах, которые не требуют значительного уровнязащиты информации, например для оплаты телефонных разговоров. Наибольшее распространениеполучили европейские телефонные карты типа используемых во Франции и Германии.Приобретаемая телефонная карта позволяет сделать определенное число звонков,соответствующее числу “единиц”. Одна единица соответствует одному местномутелефонному звонку. Карта вставляется в разъем телефонного аппарата, на дискекоторого показывается число оставшихся единиц. По мере использования картычисло оставшихся единиц уменьшается. Когда карта полностью израсходована, еевыбрасывают. Телефонные карты используются для рекламы.
Смарт-картывнешне похожи на карты памяти, однако в микросхему смарт-карты включена“логика” (микропроцессор), что и делает эти карты “интеллектуальными”. Название“смарт-карта” (smart — интеллектуальная, или разумная) связано с возможностьюпоследней выполнять весьма сложные операции по обработке информации. Микросхемысмарт-карты представляют собой полные микроконтроллеры (микрокомпьютеры). Вдействительности смарткарта представляет собой небольшой компьютер, способныйвыполнять расчеты подобно персональному компьютеру. Смарт-карты имеют различнуюемкость. Смарт-карты дороже карт памяти и их стоимость определяется стоимостьюмикросхемы, которая прямо зависит от размера имеющейся памяти.
Картыоптической памяти были изобретены в 1981 г. Карты оптической памяти имеютбольшую емкость, чем карты памяти, но данные на них могут быть записаны только один раз. В таких картахиспользуется WORM-технология (однократная запись — многократное чтение). Записьи считывание информации с такой карты производится специальной аппаратурой сиспользованием лазера (откуда другое название — лазерная карта). Технология,применяемая в картах, подобна той, которая используется в лазерных дисках.
Основноепреимущество таких карт — возможность хранения больших объемов информации. Онииспользуются для карманных “историй болезни”, но в банковских технологиях покараспространения не получили вследствие высокой стоимости как самих карт, так исчитывающего оборудования.
6. Попринадлежности к учреждению-эмитенту:
— банковские карты, эмитент которых — банк или консорциум банков;
— коммерческие карты, выпускаемые нефинансовыми учреждениями: коммерческимифирмами или группой коммерческих фирм;
— карты,выпущенные организациями, чьей деятельностью непосредственно является эмиссияпластиковых карт и создание инфраструктуры по их обслуживанию.
7. Посфере использования:
— универсальные карты — служат для оплаты любых товаров и услуг;
— частные коммерческие карты — служат для оплаты какой-либо определенной услуги(например, карты гостиничных сетей, автозаправочных станций, супермаркетов).
8. Потерриториальной принадлежности:
— международные, действующие в большинстве стран;
— национальные, действующие в пределах какого-либо государства;
— локальные, используемые на части территории государства;
— карты,действующие в одном конкретном учреждении.
9. Повремени использования:
— ограниченные каким-либо временным промежутком (иногда с правомпролонгации);
— неограниченные (бессрочные).
10.Банковские и другие карты, используемые для расчетов:
— автономный “электронный кошелек”;
— “электронный кошелек” с дублированием счета у эмитента;
— “ключк счету” — средство идентификации владельца счета.
Большинствокарт, используемых в настоящее время, являются идентификатором, а не“кошельком”.
Смарт-карты
Смарт-карта- это карта, носителем информации в которой является интегральная микросхема.Когда стандарты и технология производства смарт-карт еще толькоразрабатывались, их надежности и высокой степени защиты данных на них уделялосьсамое пристальное внимание. В отношении защиты данных смарткарты обладают целымрядом преимуществ по сравнению с традиционными магнитными картами.
Во-первых,поскольку процесс создания смарт-карт достаточно сложен и под силу только крупнойпромышленной компании попытки “взломать” микросхему в кустарных условияхнеминуемо приведут к ее разрушению.
Во-вторых,при производстве карточек в каждую микросхему заносится уникальный код.Благодаря этому коду кодирование данных невозможно ни для кого, кромепроизводителя карт. Производитель, отправляя партию смарт-карт в адресорганизации, выпускающей их в обращение, посылает коды отдельно, так что даже вслучае потери всей партии, карты оказываются непригодными для использования.
Втретьих, при выдаче карточки пользователю на нее заносится один или несколькосекретных кодов (паролей), так называемых PIN-КОДОВ, известных только владельцукарты. Если карта утеряна или украдена, ее владелец сообщает о случившемся вбанк и программа банка вносит эту карту в список недействительных карт,рассылаемый на все терминалы продаж. Любая попытка использовать потерянную илиукраденную карточку будет немедленно пресечена.
Это даетвозможность осуществлять авторизацию в режиме off-line, что позволяет экономитьзначительные средства и время на организацию процедуры доступа к центрамавторизации. Говоря о значительной дешевизне самих магнитных карт, следуетобратить внимание на стоимость всей системы, включая аренду каналов, связноеоборудование и т. д. Банку “Столичный” внедрение магнитных карт обошлось в 12млн долл.
Основноепреимущество смарт-карт состоит в том, что они являются средством, которое, впервую очередь позволяет увеличить и разнообразить пакет услуг, предоставляемыхклиенту. При этом платежной системе и банкам, входящим в нее, технология наоснове смарт-карт обойдется дешевле за счет сокращения потерь от мошенничестваи снижения расходов на авторизацию и связь.
Есть всеоснования предполагать, что работы по усовершенствованию и продвижению проектовсмарт-карт в банковские технологии в России будут интенсифицироваться.Наблюдаемое в настоящий момент дальнейшее снижение цен на карты и перифериюприводит к снижению себестоимости проектов, основанных на смарткартах, аследовательно, к еще более заметному росту популярности смарт-технологий идальнейшему расширению сфер их применения.
Основныетипы смарт-карт Первый вопрос, которыйзадают исключительно все желающие использовать пластиковую карточку в видеплатежного средства: какой тип карты более всего подходит в качестве платежной?К сожалению, однозначного ответа на этот вопрос не существует (можно лишьсказать, какие типы карт не подходят). Эффективность платежной системы зависитне только от правильно выбранных технических средств, но и от тщательно отлаженнойтехнологии, от грамотной финансовой политики эмитента, от многих другихфакторов, которые могут свести все преимущества того или иного типа карт кнулю.
Смарт-картуможно считать идеальным средством платежа, поскольку она обладает функциями“электронного кошелька”. Последний хранит в своей памяти сумму денежныхсредств, которыми клиент банка может расплатиться за покупку, и предусматриваеттехнологию off-line. “Электронный кошелек” удобен клиенту, поскольку последнийлегко контролирует свои активы на карте и при необходимости может их пополнить,кредитуя карту в банке. Память “электронного кошелька” защищена секретнымпаролем клиента PIN-КОДОМ, который клиент должен набрать на клавиатуреплатежного терминала при проведении любой операции по карте. Таким образом,клиент может не опасаться использования смарт-карты без его санкции (если,разумеется, он хранит свой PIN-КОД в тайне от других).
Невсякая смарт-карта может быть “электронным кошельком”.
Рассмотримтипологию смарт-карт. В зависимости от внутреннего устройства и выполняемыхфункций смарт-карты можно разделить на три типа:
— карты-счетчики;
— картыс памятью;
— микропроцессорные карты.
Практическилюбую карту любого типа можно использовать в качестве платежной. Однако лишьвесьма ограниченное число карт будет удовлетворять всем требованиям, которымидолжна обладать массовая платежная смарт-карта: невысокой стоимостью,возможностью проводить любые (а не только специфичные) платежи, хорошейзащищенностью и необходимым уровнем “интеллектуальности” для обеспечениятехнологии off-line.
Карты-счетчики.Данный тип карточек применяется для такого типа расчетов, когда требуетсявычитание фиксированной суммы за каждую платежную операцию. Подобные карточкиеще называются карточками с предварительно оплаченной суммой.
Примеромтаких расчетов может быть плата за телефонный разговор. Обычно втелефонах-автоматах единица времени разговора имеет фиксированную цену. Абонентоплачивает время разговора монетками или специальными жетонами, которыеподсчитывает соответствующее устройство телефона. При применении карточекминимальной сумме платежа ставится в соответствие один бит памяти карты. Впроцессе разговора устанавливается связь между телефоном и картой, и за каждуюединицу времени “пережигается” некоторое количество бит. Таким образом, картазаменяет монеты или жетоны.
Аналогичнымобразом карты-счетчики применяются при подписке на платное телевидение, приоплате за проезд, автостоянку и т. п.
Первоначальноиспользовались карты с однократно программируемой памятью. После полногоиспользования карты приходилось выбрасывать. Современные карты такого типапозволяют после полного использования “восстанавливать” содержимое счетчика.Восстановление содержимого может быть выполнено только при знании определенногокода, разрешающего это действие. Помимо этого, карты содержат область, вкоторую записываются идентификационные данные. Эти данные не могут бытьизменены впоследствии. Карты, позволяющие перезаписывать информацию, относятсяк типу карт с энергонезависимой перепрограммируемой памятью.
Карты спамятью. Это название весьма условно, так как все смарт-карты имеют память.Этот тип карт выделен как промежуточный при переходе от карт-счетчиков кмикропроцессорным картам.
Обычнокарты подобного типа используются для хранения информации. Существуют дваподтипа подобных карт: с незащищенной и с защищенной памятью. Карты второгоподтипа отличаются от карт первого более высоким «интеллектом», направленным напредотвращение несанкционированного доступа к данным на карте. Однако той«интеллектуальности», которая характерна для карт с микропроцессорами, карты сзащищенной памятью не имеют.
В картахс незащищенной памятью нет ограничений по чтению или записи данных. Иногда ихназывают картами с полнодоступной памятью; работа с ними (в смысле логическойструктуры данных) напоминает работу с бинарным файлом. Можно произвольноструктурировать карту на логическом уровне, рассматривая ее память как наборбайтов, который можно скопировать в оперативную память или обновитьспециальными командами.
Карты снезащищенной памятью использовать в качестве платежных крайне опасно.Достаточно легально приобрести такую карту, скопировать ее память на диск, адальше после каждой покупки восстанавливать ее память копированием начальногосостояния данных с диска, причем ничуть не интересуясь тем, какая информацияхранится на карте (т. е. шифрование данных в памяти карты от мошенничестваподобного рода не спасает). Разумеется, такую операцию может проделать лишьквалифицированный программист, но практика показывает, что в России людей,способных на такое занятие, достаточно, порою это делается из чисто крэкерскихпобуждений (cracker — взломщик системы, компьютерный вандал).
Вкарточках с защищенной памятью используется специальный механизм для разрешениячтения/записи или стирания информации. Чтобы провести эти операции, надопредъявить карте специальный секретный код (а иногда и не один). Предъявлениекода оз начает установление с ней связи и передачу кода “внутрь” карты.
Сравнениекода с ключом защиты чтения/записи (стирания) данных проведет сама карта и“сообщит” об этом устройству чтения/записи смарт-карт. Чтение записанных впамять карты ключей защиты или копирование памяти карты невозможно. В то жевремя, зная секретный код (коды), можно прочитать или записать данные,организованные наиболее приемлемым для платежной системы логическим образом.Таким образом, карты с защищенной памятью годятся для универсальных платежныхприменений, хорошо защищены, и при этом недороги. Так, цена карты GPM896составляет не более 4 $ для тиражей выше 5 тыс. экземпляров.
Какправило, карты с защищенной памятью содержат область, в которую записываютсяидентификационные данные. Эти данные не могут быть изменены впоследствии, чтоочень важно для обеспечения невозможности подлога карты. С этой цельюидентификационные данные на карте “прожигаются”.
Необходимотакже, чтобы на платежной карте были по меньшей мере две защищенные области.Уже отмечалось, что в технологии безналичных расчетов по картам участвуютобычно три юридически независимых лица: клиент, банк и магазин. Банк вноситденьги на карту (кредитует ее), магазин снимает деньги с карты (дебетует ее), ивсе эти операции должны совершаться с санкции клиента. Таким образом, доступ кданным на карте и операции над ними надо разграничивать. Это достигаетсяразбиением памяти карты на две защищенные разными ключами области — дебетовую икредитную.
Каждыйучастник операции имеет свой секретный ключ. У клиента это PIN-КОД. Егоправильное предъявление открывает доступ к карте (по чтению данных), однако недолжно менять информацию, которой распоряжается кредитор карты (банк) или еедебитор (магазин).
Ключзаписи информации в кредитную область карты имеется только у банка; ключ записиинформации в дебетную область — у магазина. Только при предъявлении сразу двухключей (PIN-кода клиента и ключа банка при кредитовании, PIN-кода клиента иключа магазина при дебетовании) можно провести соответствующую финансовуюоперацию — внести деньги либо списать сумму покупки с карты.
Если вкачестве платежной используются карты с одной защищенной областью памяти, — значит, банк и магазин будут работать с одной и той же областью, применяяодинаковые ключи защиты. Если банк, как эмитент карты, может ее дебетовать(например, в банкоматах), то магазин права кредитовать карту не имеет. Однакотакая возможность ему дана — поскольку,в силу необходимости дебетования карты при покупках, он знает ключ стираниязащищенной зоны.
Тообстоятельство, что и кредитор карты, и ее дебитор (обычно разные лица)пользуются одним ключом, нарушает сразу несколько основных принципов защитыинформации (в частности, принципы разделения полномочий и минимальныхполномочий). Это рано или поздно приведет к мошенничеству. Не спасают ситуациюи криптографические способы защиты информации.
Изизвестных карт с защищенной памятью лишь упоминавшаяся уже карта GPM896обладает двумя защищенными областями памяти и удовлетворяет требованиям поразграничению доступа к информации как со стороны банка, так и со сторонымагазина.
Микропроцессорныекарты. Эти карты представляют собой последние достижения в области смарт-карт.Их применение весьма обширно.
Микропроцессоры,установленные на этих картах, обладают следующими основнымихарактеристиками:
— тактовой частотой до 5 Мгц;
— емкостью ОЗУ до 256 байт;
— емкостью ПЗУ до 10 Кбайт;
— емкостью перезаписываемой энергонезависимой памяти до 8 Кбайт.
В картувстраивается специализированная операционная система, обеспечивающая большойнабор сервисных операций и средств безопасности.
Операционнаясистема карты поддерживает файловую систему, предусматривающую разграничениедоступа к информации. Для информации, хранимой в любой записи (файл, группафайлов, каталог), могут быть установлены следующие режимы доступа:
— всегдадоступна по чтению/записи. Этот режим разрешает чтение/запись информации беззнания специальных секретных кодов;
— доступна по чтению, но требует специальных полномочий для записи. Этот режимразрешает свободное чтение информации, но разрешает запись только послепредъявления специального секретного кода;
— специальные полномочия по чтению/записи. Этот режим разрешает доступ по чтениюили записи после предъявления специального секретного кода, причем коды длячтения и записи могут быть различными;
— недоступна. Этот режим не разрешает читать или записывать информацию.Информация доступна только внутренним програм мам карточки. Обычно этот режимустанавливается для записей, содержащих криптографические ключи.
Какправило, в такие карточки встроены криптографические средства, обеспечивающиешифрование информации и выработку “цифровой” подписи. Традиционно в карточкахдля этих целей применяется криптографический алгоритм DES. Кроме того, вкарточке имеются средства ведения ключевой системы.
Картыобеспечивают различный спектр сервисных команд. Для банковских целей наиболееинтересные из них — средства ведения электронных платежей.
Кспециальным средствам относятся возможность блокировки работы с карточкой.Различаются два вида блокировки: при предъявлении неправильного транспортного кодаи при несанкционированном доступе.
Сутьтранспортной блокировки состоит в том, что доступ к карточке невозможен безпредъявления специального транспортного кода. Этот механизм необходим длязащиты от нелегального использования карточек при хищении во время пересылкикарточки от производителя к потребителю. Карточка может быть активизированатолько при предъявлении правильного «транспортного» кода.
Сутьблокировки при несанкционированном доступе состоит в том, что если при доступек информации несколько раз неправильно был предъявлен код доступа, то картавообще перестает быть работоспособной. При этом, в зависимости отустановленного режима карта может быть впоследствии либо активизирована припредъявлении специального кода, либо нет. В последнем случае карточкастановится непригодной для дальнейшего использования.
Смарт-картыпроизводятся многими известными фирмами. Среди них: Bull (Франция), Data Card(США), Schiumberger (Франция) — самый крупный производитель телефонных карт,Toshiba (Япония).
Общепризнаннымлидером в области производства и разработки смарт-карт является французскаяфирма GemPlus. Фирма производит более двух десятков разнообразных карт, какспециализированных, так и универсальных. Отделения фирмы расположены во многихстранах — Великобритании, Сингапуре, Японии, Испании, США, Италии, Германии.
ФирмойGemPlus Card International разработаны несколько типов смарт-карт,ориентированных на применение в качестве пластиковых денег и ведение счетов.Например, карта с защищенной памятью GPM896 предназначена для проведенияплатежей с небольшими суммами, а микропроцессорная карта PCOS — для ведениясчетов. Карта PCOS обеспечивает высокуюстепень безопасности данных и поддерживает специализированный набор операций поих обработке.
В Россииофициальным дистрибьютором фирмы GemPlus Card International является АО«СканТек».
Основныепроизводители микросхем для смарт-карт: Arntel (США), Hitachi (Япония),Motorola (США), Oki (Япония), Philips (Нидерланды) и др.
Преимуществаиспользования смарт-карт Главное отличиесмарт-карт от других видов пластиковых карт (с магнитной полосой или соштриховым кодом) — интеллектуальность карт с микросхемами.
Приплатежах по магнитным или штриховым картам применяется режим on-line.Разрешение на платеж дает, по существу, компьютер банка илипроцессингового, центра при связи с точкой платежа.
Поэтомуосновная проблема, возникающая здесь, — обеспечение надежной, защищенной инедорогой связи, что в наших условиях крайне трудно.
Приплатежах по смарт-картам применяется принципиально новый режим off-line — разрешение на платеж дает сама карта (точнее, встроенная в нее микросхема) приобщении с торговым терминалом непосредственно в торговой точке. Накладныерасходы по обеспечению платежей чрезвычайно малы, проблемы связи не играют тойроли, как в технологиях on-line.
Другаяважная особенность смарт-карт заключается в их надежности и безопасности.Смарт-карта должна быть достаточно “интеллектуальна”, чтобы самостоятельнопринять решение о проведении платежа и при этом обладать развитой системойзащиты от ее несанкционированного использования.
Во времяпроизводства и инициализации карт электронные предохранители в микросхеме могутбыть разрушены, тем самым предотвращая нежелательное вмешательство в хранимуюинформацию.
Копированиеданных, кроме как их производителями, невозможно благодаря уникальномувнутреннему коду, записанному на каждой карте. Даже если данные, записанные накарту, кто-либо сможет продублировать, уникальный внутренний код предотвратитиспользование карты. При отправке карт производителем в ад