Контрольная работа по предмету: Банковское дело
Наименование работы: Основные типы смарт-карт
Просмотрели: 549 раз(а).
Скачали: 549 раз(а).
Дата добавления работы:
Автор(ы) работы: О.С. Некрасова
Формат файла: Документ Word
Размер rar архива: 21,671 кБайт
Язык работы: Русский
Пароль к архиву: 10Q6870
Содержание, краткий фрагмент контрольной работы"Основные типы смарт-карт":
1. Основные типы смарт-карт
Смарт-карта – это карта, носителем информации в которой является ин-тегральная микросхема. Когда стандарты и технология производства смарт-карт еще только разрабатывались, их надежности и высокой степени защиты данных уделялось самое пристальное внимание. В области защиты данных смарт-карты обладают целым рядом преимуществ по сравнению с традиционными магнитными картами.
Во-первых, поскольку процесс создания смарт-карт достаточно сложен, он под силу только крупной промышленной компании. Попытки «взло-мать» микросхему в кустарных условиях неминуемо приведут к ее разру-шению.
Во-вторых, при производстве карт в каждую микросхему заносится уникальный код. Благодаря этому коду кодирование данных невозможно ни для кого, кроме производителя карт. Производитель, отправляя пар-тию смарт-карт в адрес организации, выпускающей их в обращение, посы-лает коды отдельно, так что даже в случае «потери» всей партии карты оказываются непригодными для использования.
В-третьих, при выдаче карты пользователю на нее заносится один или несколько секретных кодов (паролей), так называемых PIN-кодов, извест-ных только держателю карты. Если карта утеряна или украдена, клиент сообщает о случившемся в банк, и программа банка вносит эту карту в список недействительных карт, рассылаемый на все терминалы продаж. Любая попытка использовать потерянную или украденную карту будет немедленно пресечена. Это дает возможность осуществлять авторизацию в режиме off-line, что позволяет экономить значительные средства и время на организацию процедуры оплаты покупки картой.
Основное преимущество смарт-карт состоит в том, что они являются средством, которое в первую очередь позволяет увеличить и разнообра-зить пакет услуг, предоставляемый клиенту. При этом платежной системе и банкам, входящим в нее, технология на основе смарт-карт обойдется де-шевле за счет сокращения потерь от мошенничества и снижения расходов на авторизацию и связь. Так, после перехода на смарт-карты потери в Ве-ликобритании сократились на 20 %, а в Малайзии – на 85 %. Поэтому нет никаких сомнений в том, что смарт-карты в итоге заменят магнитные кар-ты.
Первый вопрос, которым задаются все желающие использовать пласти-ковую карту в виде платежного средства, - какой тип карты более всего подходит в качестве платежной. К сожалению, однозначного ответа на этот вопрос не существует (можно лишь сказать, какие типы карт не подходят). Эффективность платежной системы зависит не только от правильно вы-бранных технических средств, но и от тщательно отлаженной технологии, от грамотной финансовой политики эмитента, от многих других факторов, которые могут свести все преимущества того или иного типа карт к нулю.
Смарт-карты различают типом встроенной микросхемы. Степень «ин-теллектуальности» микросхемы может быть самой разной: от простейшего контроллера чтения/записи данных в электронную память карты, до мик-ропроцессора, имеющего развитую систему команд, встроенную файло-вую систему и т.п. Очевидно, что самое главное отличие смарт-карт от других видов пластиковых карт (с магнитной полосой или со штриховым кодом) – это именно факт «интеллектуальности» карт с микросхемами.
При платежах по «магнитным» или «штриховым» картам применяется технология on-line. Разрешение на платеж дает компьютер банка или про-цессингового центра при связи с точкой платежа. Поэтому главная про-блема, возникающая здесь, - обеспечение надежной, защищенной и недо-рогой связи; в наших условиях это крайне сложно. В случае смарт-карт применяется принципиально иная технология off-line – разрешение на пла-теж дает сама карта (точнее, встроенная в нее микросхема) при «общении» с торговым терминалом непосредственно в торговой точке. Накладные расходы по обеспечению платежей чрезвычайно малы, проблемы связи не играют той роли, как в технологиях on-line. Вместо них на первый план выступают проблемы безопасности – смарт-карта должна быть достаточно «интеллектуальной», чтобы самостоятельно принять решение о проведе-нии платежа, и при этом обладать развитой системой защиты от несанкци-онированного использования. Поэтому самый первый вопрос, который возникает при выборе типа смарт-карт – какие карты позволяют создавать платежные системы, максимально обеспечивающие защиту от различных мошенничеств.
Второй вопрос, связанный с выбором платежных смарт-карт, состоит в проблеме реализации двух основных финансовых операций по карте - де-бетования и кредитования счета в ее электронной памяти. Большинство из-вестных смарт-карт позволяют это делать достаточно легко. Главное здесь другое – как соотносится механизм дебетования и кредитования карты с проблемой ее несанкционированного использования. Надежно ли защище-ны эти операции для того, чтобы кроме «законных» субъектов технологии платежей их не могло провести какое-нибудь иное лицо, даже не обяза-тельно с преступными целями.
Итак, выбор конкретного типа смарт-карт в качестве средства платежа сводится в основном к решению двух указанных выше вопросов.
Смарт-карта является идеальным средством платежа, поскольку обла-дает функциями «электронного кошелька». Последний хранит в своей па-мяти сумму денежных средств, которыми клиент банка может расплатить-ся за покупку. «Электронный кошелек» удобен клиенту, поскольку по-следний легко контролирует свои активы на карте и при необходимости может их пополнить, кредитуя карту в банке. Память «электронного ко-шелька» защищена PIN-кодом, который клиент должен набрать на клавиа-туре платежного терминала при проведении любой операции по карте. Та-ким образом, клиент может не опасаться использования смарт-карты без его санкции (если, разумеется, он хранит свой PIN-код в тайне от других). Но не всякая смарт-карта может быть «электронным кошельком».
Рассмотрим типологию смарт-карт. В зависимости от внутреннего устройства и выполняемых функций смарт-карты можно разделить на три типа:
• Карты-счетчики;
• Карты с памятью;
• Микропроцессорные карты.
Практически любую карту любого типа можно использовать в качестве платежной. Однако лишь весьма ограниченное число карт будет удовле-творять всем требованиям, которыми должна обладать массовая платеж-ная смарт-карта: невысокой стоимостью, возможностью проводить любые (а не только специфичные) платежи, хорошей защищенностью и необхо-димым уровнем «интеллектуальности» для обеспечения технологии off-line.
Карты-счетчики применяются для такого типа расчетов, когда требу-ется вычитание фиксированной суммы за каждую платежную операцию. такие карты еще называются картами с предварительно оплаченной сум-мой. Примером таких расчетов может быть плата за телефонный разговор. Обычно в телефонах-автоматах каждая единица времени разговора имеет фиксированную цену, ее абонент оплачивает монетами или специальными жетонами, которые подсчитывает соответствующее устройство телефона. При применении карт минимальной сумме платежа ставится в соответствие один бит памяти. В процессе разговора устанавливается связь между теле-фоном и картой, и за каждую единицу времени «сжигается» некоторое ко-личество бит. Таким образом, карта заменяет монеты или жетоны. Анало-гичным образом карты-счетчики применяются при подписке на платное телевидение, при оплате за проезд, автостоянку и т.п.
Первоначально использовались карты с однократно программируемой памятью. После полного использования карты ее приходилось выбрасы-вать. Современные карты такого типа позволяют после полного использо-вания «восстанавливать» содержимое счетчика. Восстановление содержи-мого может быть выполнено только при знании определенного кода, раз-решающего это действие. Помимо этого карты содержат область, в кото-рую записываются идентификационные данные. Эти данные не могут быть изменены впоследствии. Карты, позволяющие перезаписывать информа-цию, относятся к типу карт с энергонезависимой перепрограммируемой памятью.
Еще одним типом смарт-карт являются карты с памятью. Название типа весьма условно – строго говоря, все смарт-карты имеют память.этот тип карт выделен как промежуточный при переходе от карт-счетчиков к микропроцессорным картам. Обычно карты промежуточного типа ис-пользуются для хранения информации. Существуют два подтипа подоб-ных карт: с незащищенной и с защищенной памятью. Карты второго под-типа отличаются от карт первого более высоким «интеллектом», направ-ленным на предотвращение несанкционированного доступа к данным на карте. Однако той «интеллектуальности», которая характерна для карт с микропроцессорами, карты с защищенной памятью не имеют.
В картах с незащищенной памятью нет ограничений по чтению или за-писи данных, иногда их называют картами с полнодоступной памятью; работа с ними (с точки зрения логической структуры данных) напоминает работу с бинарным файлом. Можно произвольно структурировать карту на логическом уровне, рассматривая ее память как набор байтов, который можно скопировать в оперативную память или обновить с помощью спе-циальных команд.
Карты с незащищенной памятью использовать в качестве платежных крайне опасно. Достаточно легально приобрести такую карту, скопиро-вать ее память на диск, а дальше после каждой покупки восстанавливать ее память копированием начального состояния данных с диска, причем ни-чуть не интересуясь тем, какая информация хранится на карте (т.е. шифро-вание данных в памяти карты от мошенничества подобного рода не спаса-ет). Разумеется, такую операцию может проделать лишь квалифицирован-ный программист, но практика показывает, что в России достаточно много грамотных людей, способных на такое занятие чисто из хакерских побуж-дений.
В карточках с защищенной памятью используется специальный меха-низм для разрешения чтения/записи или стирания информации. Чтобы провести эти операции, надо предъявить карте специальный секретный код (а иногда и не один). Предъявление кода означает установление с ней связи и передачу кода «внутрь» карты – сравнение кода с ключом защиты чте-ния/записи (стирания) данных проведет сама карта и «сообщит» об этом устройству чтения/записи смарт-карт. Чтение записанных в память карты ключей защиты или копирование памяти карты невозможно. В то же вре-мя, зная секретный код (коды), можно прочитать или записать данные, ор-ганизованные наиболее приемлемым для платежной системы логическим образом. таким образом, карты с защищенной памятью годятся для уни-версальных платежных применений, хорошо защищены и при этом недо-роги.
Как правило, карты с защищенной памятью содержат область, в кото-рую записываются идентификационные данные. Эти данные не могут быть изменены впоследствии, что очень важно для обеспечения невозможности подлога карты. С этой целью идентификационные данные на карте «про-жигаются».
Необходимо также, чтобы на платежной карте было, по меньшей мере, две защищенные области. Уже было сказано, что в технологии безналич-ных расчетов по картам участвуют, в общем случае, три юридически неза-висимых лица: клиент, банк и магазин. Банк вносит деньги на карту (кре-дитует ее), магазин снимает деньги с карты (дебетует ее), и все эти опера-ции должны делаться с санкции клиента. Таким образом, доступ к данным на карте и операции над ними надо разграничивать. Это достигается путем деления памяти карты на две защищенные разными ключами области – дебетовую и кредитовую. Каждый участник операции имеет свой секрет-ный ключ. У клиента это PIN-код. Правильное его предъявление открывает доступ к карте (по чтению данных), однако не должно менять информа-цию, которой распоряжается кредитор карты (банк) или ее дебитор (мага-зин). Ключ записи информации в кредитовую область карты имеется толь-ко у банка; ключ записи информации в дебетовую область – у магазина. Только при предъявлении сразу двух ключей (PIN-кода клиента и ключа банка при кредитовании, PIN-кода клиента и ключа магазина при дебето-вании) можно провести соответствующую финансовую операцию – внести деньги, либо списать сумму покупки с карты.
Если в качестве платежной используются карты с одной защищенной областью памяти, и банк, и магазин будут работать с одной и той же обла-стью, применяя одинаковые ключи защиты. Если банк, как эмитент карты, может дебетовать (например, в банкоматах), то магазин права кредитовать карту не имеет. Однако такая возможность ему дана, поскольку в силу необходимости дебетования карты при покупках он знает ключ защищен-ной зоны. То обстоятельство, что и кредитор карты, и ее дебитор (в общем случае разные лица) пользуются одним ключом, нарушает сразу несколь-ко основных принципов защиты информации (в частности, принципы раз-деления полномочий и минимальных полномочий). Это рано или поздно приведет к мошенничеству, даже если применяются криптографические способы защиты информации.
Микропроцессорные карты представляют собой последние достиже-ния в области смарт-карт. Сфера применения весьма широка.
Микропроцессоры, установленные в этих картах, обладают следующи-ми основными характеристиками:
• разрядность процессора 8 (16);
• емкость ОЗУ до 1280 байт;
• емкость ПЗУ до 32 килобайт;
• емкость перезаписываемой энергонезависимой памяти до 32 кило-байт.
В карту встраивается специализированная операционная система, обеспечивающая большой набор сервисных операций и средств безопас-ности.
Эти карты обычно обеспечивают следующие типичные функции.
1. Файловая система. Операционная система карты поддерживает файловую систему, предусматривающую разграничение доступа к инфор-мации. Для информации, хранимой в любой записи (файла, группы фай-лов, каталога), могут быть установлены следующие режимы доступа:
• Всегда доступна для чтения/записи. Этот режим разрешает чте-ние/запись информации без знания специальных секретных кодов;
• Доступна для чтения, но требует специальных полномочий для запи-си. Этот режим разрешает свободное чтение информации, а запись только после предъявления специального секретного кода;
• Есть специальные полномочия по чтению/записи. Этот режим раз-решает доступ для чтения или записи после предъявления специаль-ного секретного кода, причем коды для чтения и записи могут быть различными;
• Недоступна. Этот режим не разрешает читать или записывать ин-формацию. Она доступна только для внутренних программ карты. Обычно этот режим устанавливается для записей, содержащих крип-тографические ключи.
2. Криптографические средства. Как правило, в такие карты встроены криптографические средства, обеспечивающие шифрование информации и выработку «цифровой» подписи. Традиционно в карточках для этих целей применяется криптографический алгоритм DES. Кроме того, в карточке имеются средства ведения ключевой системы.
3. Сервисные команды. Карты обеспечивают различный спектр сер-висных команд. Для банковских целей наиболее интересны средства веде-ния электронных платежей. Вместо двух областей в карте для ведения электронных платежей создается специальный файл, недоступный для чте-ния/записи с помощью обычных команд управления файловой системой. Над этим файлом можно производить только операции зачисления (креди-тование) или списания (дебетование) финансовых средств. Операция кре-дитования может быть проведена только при предъявлении двух секрет-ных кодов – кода клиента и кода банка. Операция списания проводится только по предъявлению кода клиента. Очевидно, что в карте защищены операции, но не области, что впрочем, с точки зрения проведения финан-совых транзакций, равнозначно. Кроме того, карта обеспечивает безопас-ное удаленное кредитование карты в режиме on-line, что, безусловно, очень удобно для клиентов – можно занести средства на карту в ближай-шем магазине, не заходя в банк. удаленное кредитование возможно за счет встроенных криптографических средств.
4. Специальные средства. К специальным средствам относится воз-можность блокировки работы с картой. Различают два вида блокировки: при предъявлении неправильного транспортного кода и при несанкциони-рованном доступе.
Суть транспортной блокировки состоит в том, что доступ к карточке невозможен без предъявления специального «транспортного» кода. Этот механизм необходим для защиты от нелегального использования карт при хищении во время пересылки карты от производителя к потребителю. Карточка может быть активизирована только при предъявлении правиль-ного «транспортного» кода.
Суть блокировки при несанкционированном доступе состоит в том, что если при доступе к информации несколько раз неправильно был предъяв-лен код доступа, то карта вообще перестает быть работоспособной. При этом в зависимости от установленного режима карта может быть впослед-ствии либо активизирована при предъявлении специального кода, либо нет. В последнем случае карточка становится непригодной для дальнейше-го использования.
2. Задача
Оценить прибыльность операций с кредитными картами банка, если известно, что он эмитировал 950 карт с кредитным лимитом 50 000 руб. и 150 «золотых» карт с лимитом 60 000 руб. Годовая плата за карты со-ставляет 125 руб. и 250 руб., соответственно. Процент за пользование кредитом составляет 20 % в год. Льготный период - 20 дней. В среднем каждый клиент пользовался кредитом в течение 300 дней, при этом сумма кредита составляла 50 000 руб. по обычной карте и 60 000 руб. по «золо-той». Оборот по картам составил 30 000 000 руб. Плата за кредитные ре-сурсы составляет 6 % это 40% всех расходов, связанных с картами. Про-анализировать влияние на прибыльность по отношению к величине кре-дитного портфеля, лимита обычной карты при прочих равных условиях и при условии полного использования клиентом лимита.
Тэги: типы смарт-карт