Что такое смарт-карта?

4 августа 2009  |  Радио- магнитные- контактные карты





Приставку Smart (интеллектуальная) карта получила не просто так. Имея вид обычной пластиковой кредитной карточки, она содержит в себе интегральную схему, которая наделяет ее способностями к хранению и обработке информации.

Смарт-карты классифицируются по следующим признакам:

-тип микросхемы

-способ считывания информации

-соответствие стандартам

-область применения

Тип применяемых микросхем в смарт-картах

В зависимости от встроенной микросхемы все смарт-карты делятся на несколько основных типов, кардинально различающихся по выполняемым функциям:

-карты памяти

-микропроцессорные карты

-карты с криптографической логикой

Карты памяти предназначены для хранения информации. Память на таких типах карт может быть свободной для доступа или содержать логику контроля доступа к памяти карты для ограничения операций чтения и записи данных.

Микропроцессорные карты также предназначены для хранения информации, но в отличие обычных карт памяти они содержат в себе специальную программу или небольшую операционную систему, которая позволяет преобразовывать данные по определенному алгоритму, осуществлять защиту информации хранящейся на карте при передаче, чтении и записи.

Карты с криптографической логикой используются в системах защиты информации для принятия непосредственного участия в процессе шифрования данных или выработки криптографических ключей, электронных цифровых подписей и другой необходимой информации для работы системы.

Способы считывания информации со смарт-карты

По методу считывания информации карты делятся на следующие:

-Контактные

-Бесконтактные

-Со сдвоенным интерфейсом

Контактные карты взаимодействуют со считывателем посредством непосредственного соприкосновения металлической контактной площадки карты и контактов считывателя. Данный метод считывания просто реализуем, но повышает износ карты при частом использовании.

Контактая смарт-карта состоит из трех частей:

Что такое смарт-карта?

1. Контактная область

- 6 или 8 контактнов, квадратной или овальной формы

- Позиции контактов выполнены в соответствии со стандартом ISO-7816

2. Чип (микропроцессор карты)

3. Пластиковая основа

Бесконтактные карты имеют встроенную катушку индуктивности, которая в электромагнитном поле считывателя обеспечивает питанием микросхему выдающую информационные радиосигналы. Такой метод считывания позволяет часто использовать карту без износа самой карты и считывателя.

Карты со сдвоенным интерфейсом имеют одновременно и контактную площадку и встроенную катушку индуктивности. Такие карты позволяют осуществлять работу с разными типами считывателей.

Стандарты на смарт-карты

Для смарт-карт существует несколько международных стандартов, определяющих практически все свойства карт, начиная от размеров, свойств и типов пластика, и заканчивая содержанием информации на карточке, протоколов работы и форматов данных.

Стандарт ISO-7816 "Идентификационные карты - карты с микросхемой с контактами". Состоит из шести частей, регламентирующих физические характеристики, размер и расположение контактов, сигналы и протоколы, структуру файлов, адресацию и команды обмена);

Стандарт EMV (Europay, MasterCard & Visa). 1я и 2я части базируется на ISO-7816, в последующих добавлены определения обработки транзакций , спецификации терминалов и т.д.

Область применения смарт-карт

Практически в любых областях деятельности для смарт-карт можно найти применение. Сегодня одними из основный видов применения являются:

- Телефония - Карты оплаты разговора для таксофонов, GSM-карты в мобильных телефонах.

- Финансы - Различные банковские операции, оплата товаров и услуг, кредитные и дебетовые карты, карты для начисления стипендий, зарплат и пенсий и т.д.

- Транспорт - Карты для проезда на городском транспорте и метро.

- Здравоохранение - Медициские карты больных, страховые полисы.

- Безопасность - Разграничение доступа в помещения, компьютерные системы, идентификация пользователей и т.д.

- Карты клиентов - Программы лояльности (начисление скидок, бонусов и т.д.).

Преимущества смарт-карт

Популярность смарт-карт в последнее время становится выше, и это связано с тем, что смарт-карты имеют серьезные отличия от обычных карт с магнитной полосой:

1. смарт-карта содержит в себе память, из-за этого она может нести в себе гораздо большее количество информации, которая необходима для работы. С случае платежных систем (банкоматов, касс и т.д.) при использовании магнитных карт требуется наличие соединения с банком или другим обслуживающим центром, чтобы по идентификатору хранящемуся на карте получить данные о счете. В случае работы со смарт-картами данные о счете хранятся непосредственно в памяти карты и не требуется наличие соединения с банком, к тому же размер памяти позволяет хранить данные о нескольких счетах сразу вместе с персональными данными клиента. Поэтому данное свойство смарт-карты позволяет экономить на специальных каналах связи и дорогостоящем компьтерном оборудовании.

2. смарт-карты имеют надежную встроенную систему защиты от считывания информации и ее подделки. Эта особенность смарт-карты уберегает ее владельца от случаев любого нелегального копирования(клонирования) карты и несанкционированного использования.

3. Обмен информацией со смарт-картой проходит в защифрованном виде, поэтому ее просто невозможно перехватить или изменить. Эта возможность позволяет со сто процентной уверенностью утверждать, что Ваша информация не будет прослушана кем-либо. Ваши данные о счете и балансе останутся не известны кассиру или продавцу.

3. смарт-карта является более долговечной. Она не подвержена влиянию электромагнитных излучений и менее подвержена влиянию воды, грязи и химикатам. Срок службы смарт-карт различных производителей в зависимости от условий использования составляет от 3 до 10 лет. Магнитные же карты служат всего 1-2 года.

Актуальность использования

Обеспечение конфиденциальности информации является основной задачей разработчиков систем компьютерной безопасности. В большинстве современных электронных систем часто используется целый ряд технологий, позволяющих осуществлять контроль за информацией.

В зависимости от политики компании вся информация может быть либо защищена, либо наоборот открыта для публичного доступа. Часто в большинстве компаний нет четкого разделения конфиденциальной информации и информации для свободного пользования, поэтому при первой утечке или взломе системы ситуацию приходится кардинально менять. В таком случае компания может нести большие убытки либо из-за степени секретности похищенной информации, либо из-за вынужденного внедрения электронных систем защиты.

Поэтому важно на этапе организации методики работы компании создать инфраструктуру обеспечивающую правильную работу с информацией различной степени конфиденциальности. Несанкционированное использование и доступ к конфиденциальной информации может происходить во время:

- Хранения информации

- Передачи информации

При хранении может быть получен несанкционированный доступ к информации непосредственно в месте хранения и обработки (например, в файлах или базах данных) или в месте архивного хранения на носителях.

При передаче информации по каналам (особенно по сетям общественного доступа, например интернет) есть большая вероятность перехвата или прослушивания информации. В любых случаях может помочь шифрование информации, но тут возникает вопрос безопасного хранения и управления ключевой информацией. Решением проблемы является использование технологий основанных на смарт-картах. Они могут обеспечить полную информационную и физическую безопасность из-за своей архитектуры.

Защита информации в смарт-картах

Механизмы защиты информации

Пассивная аутентификация - проверка разрешения на выполнение команды при помощи ввода PIN кода или пароля.

Активная аутентификация - внутренняя и внешняя аутентификация методом challenge-response.

Аутентификация данных - использование защищенной передачи данных и команд (чтения, записи, обновления) по каналу.

Шифрование данных - использование шифрации данных в командах чтения, записи и обновления.

Возможности обеспечения безопасности при использовании смарт-карт

Аутентификация карт

* Терминал проверяет подлинность карты перед началом транзакции.

* Перед выпуском её в обиход эмитент вводит в каждую карту и терминал секрет.

* Карта должна подтвердить терминалу, что она знает секрет.

* Карта не должна раскрывать секрет во время аутентификации.

* Так как карта знает секрет, значит это подлинная карта.

Аутентификация терминала

* Перед выпуском карты эмитент записывает в каждую карту и терминал секрет.

* Подлинный терминал должен уметь проверять, что он знает тот же секрет, который записан в карте.

* Так как терминал проверяет подлинность карты, она в свою очередь предоставляет требуемые права на доступ.

Аутентификация держателя карты

* Карта гарантирует, что только держатель карты может её использовать.

* Эмитент записывает в каждую карту PIN держателя карт.

* Карта предоставляет карт держателю доступ, так как он знает PIN.

* Карта может быть запрограммирована, так что при введении неправильного PIN кода она заблокируется.

* Биометрическая аутентификация (по отпечатку большого пальца, по сетчатке глаза, по динамической подписи)

Сертификация транзакций

* Эмитент записывает в каждую карту уникальный сертификационный ключ (подтверждающим право доступа) держателя карт.

* После успешного прохождения терминальной аутентификации и аутентификации держателя карты, терминал посылает транзакцию в карту.

* На основе сертификационного ключа карта генерирует электронную подпись.

* Тот факт, что подпись проверенна, указывает на легитимность транзакции.

Конфиденциальность данных

* Эмитент записывает в каждую карту уникальный ключ шифрования перед ее выпуском.

* Этот ключ используется для шифрования данных между терминалом и удаленным компьютером.

Термины и определения

Авторизация - операция, являющаяся частью операций расчета за услуги с помощью платежных карточек. Авторизация состоит из последовательности процедур аутентификации и подтверждения обязательств эмитента карточки выполнить окончательный и безотзывный платеж со счета держателя.

Аутентификация - операция подтверждения подлинности документа или сообщения. Аутентификация электронных сообщений и документов выполняется специальными процедурами электронной подписи. Аутентификация криптографированных электронных сообщений и документов, как правило, ограничивается процедурами шифрования и дешифрования.

Аутентификация пластиковой карточки - операция подтверждения подлинности платежной карточки, а также того, что покупатель товаров и услуг является ее законным владельцем. В зависимости от вида карточки процедуры аутентификации выполняются по-разному. Для платежных smart-карточек операция выполняется процедурами, исполняемыми процессорами торгового автомата и самой карточки без участия процессингового центра и соответственно без сетевого соединения торговых автоматов с системой процессингового центра. Подтверждение законности владения платежной карточкой осуществляется с помощью проверки PIN-кода, введенного покупателем при выполнении операций расчета. При вводе правильного PIN-кода законность владения карточкой подтверждается. Процедуры аутентификации могут включать также и визуальные средства в тех случаях, если эмиссия карточек производится с нанесением на эмитируемую карточку изображений, текста и если на карточке отведено место для образца подписи владельца карточки. Визуальную аутентификацию выполняет оператор торговой точки.

Дебитная (платежная) карточка - пластиковая карточка с ограничением размера платежа. Ограничение определяется остатком на специальном расчетном счете владельца пластиковой карточки. Для дебитных карточек на размеры отдельных платежей могут накладываться и другие специальные ограничения, используемые в целях управления рисками, включая риски, связанные с кражей карточки и другими формами криминального использования платежной карточки. Как правило, дебитные карточки не предусматривают возможности предоставления кредита владельцу карточки. Однако в отдельных случаях эмитент в соответствии с контрактными условиями, заключаемыми с владельцем карточки, и в целях увеличения спектра услуг, предоставляемых владельцам карточек, может предоставлять кредиты в пределах лимитов, установленных для отдельных постоянных клиентов. В зависимости от вида дебитной карточки состояние расчетного счета владельца карточки, ограничения и лимиты могут храниться по-разному. Если в качестве платежного средства используются smart-карточки, то указанная информация, как правило, хранится в памяти карточки, а состояние расчетного счета изменяется процедурами приложений, исполняемыми процессорами чипов smart-карточек и процессорами торговых автоматов. Управление лимитами платежной карточки, если таковые применяются, всегда осуществляется эмитентом карточки.

Дебетование платежной карточки - операция, выполняемая при расчетах с использованием дебитной платежной карточки. В результате операции состояние расчетного счета владельца карточки уменьшается на сумму платежа (списание средств с расчетного счета владельца карточки). Кредитная (платежная) карточка - пластиковая карточка, при использовании которой эмитент ограничивает размер отдельного платежа, а владелец карточки обязуется по истечении определенного срока (как правило, в начале следующего месяца) погасить обязательства, возникшие после всех операций расчета за приобретенные товары и предоставленные услуги. Во всех операциях расчета с помощью кредитной карточки эмитент карточки выступает в качестве кредитора относительно владельца карточки и гаранта окончательного и безотзывного платежа в отношении торговца. Кредитование платежной карточки - операция, позволяющая изменить состояние расчетного счета владельца дебитной платежной карточки (пополнение счета денежными средствами). Кредитование осуществляется с использованием торговых автоматов (терминалов кредитования). При этом состояние расчетного счета увеличивается на величину внесенной суммы.

Криптование (шифрование) - преобразование информации, которое выполняется для того, чтобы при обмене электронными сообщениями обратное преобразование (точное воспроизведение исходной информации) было возможным только при использовании согласованного с алгоритмом шифрования алгоритма дешифрации и специальной информации (ключей), доступной только для получающей стороны. Криптографирование производится с помощью специальных ключей, доступных только отправителю электронного сообщения. Некоторые алгоритмы криптографирования для повышения степени защиты (повышения стойкости ключа) подразумевают использование открытого ключа, который передается вместе с зашифрованным сообщением и используется получающей стороной для дешифрования. Открытые ключи генерируются системой шифрования на основе алгоритмов случайных чисел. Механическая персонализация (эмбоссирование) - дополнительное средство визуальной аутентификации пластиковой карточки. При механической персонализации регистрационная информация наносится на лицевую поверхность карточки с помощью специального технологического оборудования. Персональный идентификационный код (ПИН-код, PIN code) - код, известный только владельцу платежной карточки и используемый в операциях аутентификации карточек. Операция аутентификации является успешно завершенной, если покупатель введет правильный PIN-код хотя бы в одной из трех попыток при проведении операции расчета за товары и услуги.

Платежная (пластиковая) карточка со встроенным микропроцессором (smart-карточка, smart card) - пластиковая карточка, в которую при изготовлении устанавливается микросхема, содержащая процессор и модуль памяти. Память микросхемы разделяется на сегменты, доступ к которым ограничен только для определенных приложений, типов устройств считывания и записи. Отдельные сегменты могут использоваться только изготовителями и эмитентами карточки. Платежная транзакция - платежная операция расчетов за приобретенные товары и услуги, выполняемая с использованием платежных карточек, чеков, наличных денег и других законных платежных средств. При использовании платежных карточек транзакция включает последовательность процедур авторизации, необходимых для выполнения аутентификации и подтверждения обязательств эмитента карточки выполнять платежи за товары и услуги, приобретаемые покупателем - владельцем карточки. Процессинг - деятельность, включающая в себя сбор, обработку и рассылку участникам расчетов информации по операциям со смарт-картами осуществляемых процессинговым центром.

Процессинговый центр - юридическое лицо или его структурное подразделение, обеспечивающее информационное и технологическое взаимодействие между участниками расчетов. Процессинговый центр осуществляет: персонализацию платежных карточек, ведение всей базы карточных счетов, обработку платежных транзакций, выдачу отчетности и мониторинг безопасности системы.

Расходный лимит (лимит авторизации) - предельная сумма денежных средств, доступная держателю карты в течение определенного периода для совершения операций с использованием карты.

Режим реального времени (режим on-line) - режим обработки платежных транзакций, когда авторизация выполняется в режиме соединения с процессинговым центром. В этом случае вся необходимая для авторизации информация хранится в процессинговом центре или может быть доставлена с помощью процедур информационных систем процессингового центра. Режим реального времени предъявляет высокие требования к качеству и производительности используемых линий телекоммуникаций, к производительности компьютерного, сетевого и коммуникационного оборудования, оборудования информационной безопасности и программного обеспечения процессингового центра.

Режим пакетной обработки (off-line) - режим обработки платежных транзакций, когда авторизация производится в системе торгового терминала. Режим используется во всех операциях розничной торговли с применением smart-карточек. Как правило, память таких карточек содержит информацию, необходимую и достаточную для операций авторизации. Уровень защиты smart-карточек является достаточно высоким и превосходит уровень защиты карточек с магнитной полосой. Применение технологий карточек со встроенным чипом не предъявляет специальных требований к линиям телекоммуникаций, оборудованию и программному обеспечению процессинговых центров.

Стоп-лист (Черный список) - список пластиковых карточек, распространяемый процессинговым центром и перечисляющий пластиковые карточки, либо запрещенные к приему, либо расчеты по которым в настоящее время приостановлены. В любом случае эмитенты пластиковых карточек не принимают обязательств окончательного платежа по всем карточкам, указанным в стоп-листах. Запрещенные к приему карточки подлежат изъятию из оборота. По всем другим карточкам стоп-листа торговые автоматы не должны выполнять операций расчета и в зависимости от действующих соглашений либо подлежат изъятию, либо возвращаются владельцу карточки без выполнения процедур расчета.

Торговый терминал (Платежный терминал, EFTPOS terminal) - устройство специального назначения, обеспечивающее выполнение расчетов с использованием платежных карточек в качестве средства платежа. В зависимости от типа используемого оборудования торговые терминалы позволяют также автоматизировать операции расчетов с использованием других видов платежных средств таких, как наличные деньги, чеки и т.п. Электрическая персонализация - запись в микросхему пластиковой карточки идентификационных данных, ключей, персональной информации о клиенте, платежных лимитов и начальной суммы средств.

Электронная подпись - аутентификация электронных сообщений. Преобразование информации, которое выполняется для того, чтобы при обмене электронными сообщениями обратное преобразование (точное воспроизведение исходной информации) было возможным только при использовании согласованного с алгоритмом шифрования алгоритма дешифрации и специальной информации (ключей), доступной для получающей стороны. Криптографирование производится с помощью специальных ключей.

Эмиссия пластиковых карт - деятельность по выпуску карт, открытию счетов и расчетно-кассовому обслуживанию клиентов при совершении операций с использованием выданных им карт.

Эмитент пластиковых карточек - учреждение, которое участвует в платежной системе и имеет право эмиссии пластиковых карточек.

Автор текста: неизвестно


Код для размещения на форумах или блоге

«
»