<< Предыдущая

стр. 6
(из 71 стр.)

ОГЛАВЛЕНИЕ

Следующая >>

коммуникационный шлюз передает запрос в систему (специальный коммуникационный сервер). Шлюз
эквайрера связывается со шлюзом, обслуживающим эмитента. Ответ на запрос авторизации
перемещается в обратной последовательности.
"Рис. 1. Структура системы авторизации в региональной платежной системе"
"Рис. 2. Структура системы авторизации в международной платежной системе"

Исторически первым (и широко распространенным до сих пор) способом авторизации является
так называемая голосовая авторизация. При ее осуществлении кассир магазина звонит в банк или
процессинговый центр банка и сообщает уже указанные выше номер и срок действия карты,
идентифицирующие ее, сумму операции и номер точки приема (присвоенный банком-эквайрером перед
началом обслуживания точки приема). Оператор центра авторизации (подразделение банка или
процессингового центра) вводит запрос в систему и, получив от нее ответ, сообщает его кассиру.
Описанный способ авторизации является простейшим. Его достоинство - экономичность. К
недостаткам можно отнести низкую эффективность и меньшую безопасность по сравнению с
электронной авторизацией, о которой речь пойдет ниже. Эффективность низка (а время выполнения
операции соответственно велико) вследствие необходимости дозвониться в центр авторизации и
получить по телефону ответ. Обратим внимание читателя на то, что данные о платежной операции
"вводятся" дважды: кассир по телефону сообщает номер и срок действия карты и сумму операции
(которую, заметим, он ранее получил на кассовом аппарате), оператор центра авторизации вводит те же
данные с клавиатуры компьютера в систему. Дублирование ввода (при котором повышается вероятность
случайной ошибки), естественные временные задержки на соединение, передачу данных и получение
ответа и обусловливают сравнительно низкую эффективность выполнения операции, что в ряде случаев
делает просто неприемлемым прием карт в оплату.
Особенно досадна низкая эффективность голосовой авторизации при выполнении операций со
сравнительно малыми суммами (вряд ли с точки зрения магазина приемлема ситуация, когда из-за
долгой авторизации операции на небольшую сумму создается очередь и клиенты, желающие выполнить
покупки на гораздо более высокие суммы, отказываются от стояния в очереди и уходят, не сделав
покупок).
Механизмом, направленным на преодоление подобного противоречия, стала офлайновая
авторизация "долимитных" операций, при которой связь с центром авторизации для получения
разрешения на операции с суммой ниже лимита авторизации (floor limit), определенного для данной
торговой точки, не осуществляется. Решение о проведении данной операции принимается кассиром
самостоятельно (на основании договора между торговым предприятием и банком-эквайрером,
определяющим правила офлайновой авторизации). Проверяются следующие условия: сумма операции
не превышает установленный лимит, срок действия карты не истек, номер карты не находится в стоп-
листе. Стоп-лист - это передаваемый из банка-эквайрера в торговую точку список номеров карт,
запрещенных к приему. В этот список обычно включаются утерянные или украденные карты. В
некоторых случаях эквайрер использует расширенное понятие стоп-листа*(39).
Установление лимитов для разрешения офлайновой авторизации позволило оптимизировать
процесс выполнения операций с точки зрения повышения его эффективности при условии поддержания
определенного уровня безопасности совершения операций.
Более продвинутым является способ авторизации с использованием электронных устройств
(электронная авторизация). Практически во всех платежных системах, использующих магнитные карты,
подлежат онлайновой авторизации операции выдачи наличных средств.
Электронная авторизация является и более безопасной - в авторизационный запрос включаются
как минимум данные второй дорожки магнитной полосы. Авторизация, использующая данные,
считываемые с магнитной полосы, позволяет кассиру раскрыть несоответствие эмбоссированных и
закодированных данных (мошенничества, заключающиеся в "наклеивании" эмбоссированных символов
или перекодировании магнитной полосы).
Для электронной авторизации операций покупок используются электронные кассовые аппараты
со встроенными картридерами или POS-терминалы. Наиболее совершенной представляется
технология, при которой кассир не дублирует ввод данных о платежной операции: авторизационный
запрос формируется с использованием данных, прочитанных с магнитной полосы, и суммы, взятой из
электронного образа чека кассового аппарата.
Технология совершения операций с электронной авторизацией может быть совмещена с
механизмом выполнения долимитных операций. POS-терминал в этом случае для операций с суммой,
не превышающей установленный лимит, считывает магнитную полосу карты и проверяет следующие
условия: корректен ли номер карты*(40), не истек ли срок действия карты, отсутствует ли карта в стоп-
листе, не требуется ли в соответствии с сервис-кодом онлайн-авторизация. При выполнении всех
указанных условий (а иногда еще и условия, что сумма всех выполненных за текущий день операций с
данной картой не превышает установленного лимита) операция авторизуется в режиме онлайн самим
POS-терминалом.
Комбинированная технология, сочетающая электронную онлайновую авторизацию и
офлайновую авторизацию долимитных операций, достигает в определенном смысле оптимального
соотношения между требованиями эффективности и безопасности совершения операций.

Классификация чиповых карт, описание принципов и технологии работы

Более привлекательными для реализации идей офлайн-авторизации оказались чиповые карты
(или, как их еще называют, карты с микросхемой). Чиповая карта содержит микросхему, свойства
которой и определяют функциональные возможности карты как технологического продукта
(функциональные возможности карты как продукта, скажем, банковского, определяют соответствующие
правила). Чиповые карты классифицируются по следующим признакам:
тип микросхемы;
способ считывания информации;
соответствие стандартам;
область применения.
В зависимости от встроенной микросхемы чиповые карты делятся на несколько типов,
различающихся по выполняемым функциям:
карты с интегральной схемой памяти (карты памяти);
микропроцессорные карты;
карты с криптографической логикой.
Карты памяти предназначены для хранения информации и представляют собой микросхему,
позволяющую только читать и записывать данные. В зависимости от условий доступа к областям памяти
карты памяти делятся на карты открытой и защищенной памяти. Карты открытой памяти практически
непригодны для применения в качестве платежных. Чаще они используются в специальных областях
(например, транспортные) - для переноса данных.
Карты защищенной памяти предполагают разделение памяти на области с различными
свойствами перезаписи и условиями доступа. Карты этого типа использовались в середине 90-х гг. для
платежных приложений, но в конце десятилетия отступили на второй план, уступив микропроцессорным
картам.
Микропроцессорные карты в отличие карт памяти кроме функции хранения информации
содержат микроконтроллер со специальной программой или операционной системой. Операционная
система обеспечивает набор сервисных операций, поддерживает файловую систему, преобразовывает
данные по указанному алгоритму, обеспечивает защиту информации. Микропроцессоры на этих картах
характеризуются по следующим параметрам: тактовая частота, емкость ОЗУ, емкость ПЗУ и емкость
перезаписываемой энергонезависимой памяти.
Разграничение доступа к информации, хранимой на карте, определяется операционной системой
в различных режимах:
- режим доступа, разрешающий чтение/запись информации без секретных кодов;
- режим доступа по чтению, доступ по записи возможен после предоставления секретного кода;
- режим доступа по чтению и записи после предоставления специального кода;
- режим, запрещающий чтение и запись информации. Информация может быть доступна только
для внутренних команд карты.
Микропроцессорные карты поддерживают гораздо более интеллектуальное взаимодействие с
платежным терминалом*(41) за счет расширения системы команд, обрабатываемых встроенной в карту
микросхемой. Развитые операционные системы для карт поддерживают файловые системы,
криптографические команды и команды работы с ключами. Специализированные операционные
системы для платежных карт поддерживают также такие продвинутые понятия, как кошельки, с
поддержкой соответствующих свойств доступа и соответствующих смыслу кошельков операций.
По типу взаимодействия с терминалом чиповые карты делятся на контактные, бесконтактные
или с дуальным интерфейсом.
Обмен данными с контактной картой происходит при соприкосновении контактов терминала и
металлической контактной площадки карты. Бесконтактные карты содержат встроенную обмотку
индуктивности (антенну). При поднесении карты к терминалу антенна благодаря индуктивной связи
обеспечивает в его электромагнитном поле питание микросхемы. Считывание и запись данных
происходят при поднесении карты к терминалу на определенное расстояние, при этом не имеет
значения расположение карты относительно терминала. В зависимости от дальности считывания
бесконтактные карты различаются по следующим типам: карты с близкой связью (0-1 см), карты со
связью типа proximity (0-10 см), карты со связью типа vicinity (0-1 м).
Дуальные карты имеют одновременно и контактную площадку, и встроенную катушку
индуктивности. Эти карты осуществляют работу с разными типами считывателей.

Типичная микропроцессорная карта

Микропроцессорная карта сделана из пластика и содержит микросхему с микропроцессором и
различными запоминающими устройствами: ПЗУ - для хранения операционной системы, ОЗУ - для
выполнения команд, ЭСППЗУ - электрически стираемое программируемое постоянное запоминающее
устройство, энергонезависимая память для хранения прикладной информации. ЭСППЗУ разбито на две
области: секретную и пользовательскую. Секретная область недоступна для прикладных программ и
предназначена только для хранения ключей. Пользовательская область организована аналогично
памяти на гибких дисках. При инициализации микросхемы карты формируется таблица определения
файлов, размещаемая в начале пользовательской области. Файлы располагаются в памяти от конца к
началу. Каждый файл разбит на определенное число записей фиксированной длины. В большинстве
операционных систем каждый файл имеет следующие атрибуты: начальный адрес, метки защиты по
чтению/записи, расширение защиты по чтению/записи, длина записи, число записей, тип и имя файла,
текущая запись, указатель конца файла. Файлы могут быть последовательного и прямого доступа.
В операционной системе микропроцессора предусмотрены следующие команды: предъявление
ключа, чтение массива атрибутов файла из таблицы определения, чтение информации, запись
информации, поиск файла, очищение карточки, запись определения файла в таблицу, задание ключей.
Ключи хранятся в секретной области, предусмотрены три типа ключей: ключ банка, ключ
владельца карты и ключи приложений. Файлы могут быть защищены этими ключами по чтению/записи.
Карты с криптографической логикой используются в системах защиты информации для принятия
непосредственного участия в процессе шифрования данных или выработки криптографических ключей,
электронных цифровых подписей и другой необходимой информации для работы системы.
Сфера применения чиповых карт гораздо шире по сравнению с финансовой сферой, они
используются и в системах контроля доступа, и в здравоохранении (карты здоровья), и страховании.
Существуют и телефонные карты, которые также применяются для оплаты, но в связи со
специфичностью их, конечно, не следовало бы ставить в один ряд с платежными картами.
Говоря же о платежных чиповых картах, следует отметить, что они появились в 80-е гг. во
Франции и получили широкое применение на своей родине. Большинство эмитируемых французскими
банками карт с начала 90-х гг. помимо магнитной полосы несли также чип. На нем хранились данные,
аналогичные содержащимся на магнитной полосе. Принципиальным преимуществом их было хранение
ПИНа. Считать ПИН с чипа считается невозможным*(42). В то же время чиповая карта автономно
проверяет корректность представления ПИНа. Таким образом, использование чиповых карт позволило
существенно повысить безопасность выполнения операций.

Спецификации EMV

Международные платежные системы, понимая, что будущее за чиповыми картами, еще в начале
90-х гг. начали рассмотрение возможностей перевода своих основных карточных продуктов на новую
технологию, основывающуюся на чиповых картах. Весьма важно то, что лидирующие платежные
ассоциации объединили свои усилия в этом направлении. В 1994 г. Visa Int., MasterCard Int. и Europay Int.
образовали рабочую группу, в которую вошли со временем более 20 известных компаний - поставщиков
карт, оборудования и решений с целью разработать спецификации EMV*(43) на чиповую карту. После
двухлетней работы всех заинтересованных сторон и выхода двух промежуточных версий в 1996 г. была
выпущена версия спецификаций, названная EMV96, ставшая первым стандартом банковского сектора
на чиповую карту. (Строго говоря, спецификации EMV, конечно, стандартом не являются, но они
опираются на упомянутую выше группу стандартов ISO 7816.) Данные спецификации не являются
застывшим документом, в будущем появятся новые их редакции. EMV включает спецификации:
- на чиповую карту (Integrated Circuit Card Specifications for Payment Systems);
- на приложение для чиповой карты (Integrated Circuit Card Application Specifications for Payment
Systems);
- на терминал, работающий с чиповой картой (Integrated Circuit Card Terminal Specifications for
Payment Systems).
Спецификации на чиповую карту состоят из четырех частей. В первой части, основанной на ISO
7816-1, 2, 3, описываются электромеханические характеристики, логический интерфейс и протоколы
обмена.
Говоря о спецификациях на функциональном уровне, прежде всего следует определить их
"область действия". Образно ее можно обрисовать как взаимодействие "карта-терминал" (рис. 3) с
опосредственным влиянием эмитента, эквайрера и центра доверия.
Карта поддерживает файловую систему иерархической структуры. Файлы данных являются
линейными, записи содержат объекты, которые могут быть простыми и составными. Объект имеет
структуру TLV (tag-length-value, т.е. тэг - метка, длина, значение). Использование тэгов позволяет не
заботиться о конкретном месторасположении данной величины в файле и записи, важно лишь, чтобы
объект находился в файле, относящемся к предписанной группе. Проанализировав тэги, можно
однозначно интерпретировать данные, хранимые картой.
"Рис. 3. Элементы платежной системы, взаимодействие которых описывается в спецификациях"

Доступ к приложению осуществляется по имени основного файла. Далее доступ осуществляется
к файлам, находящимся на выбранной ветви дерева файлов. В ней для идентификации файла
достаточно указать его короткий идентификатор (номер).
Что касается команд, то терминал посылает карте команду, состоящую из обязательного 4-
байтового заголовка и тела переменной длины. Заголовок команды включает: класс инструкции, код
инструкции и 2 параметра инструкции. Тело команды, если оно есть, включает длину входной строки,
саму входную строку, посылаемую карте, и длину ожидаемой от карты выходной строки. Карта
возвращает двухбайтовое слово состояния и, в зависимости от полученной команды, тело переменной
длины.
Процессу выполнения транзакции посвящены спецификации на приложение для чиповой карты
(Integrated Circuit Card Application Specification for Payment Systems). Рассмотрим основные шаги
процесса выполнения транзакции.
Прежде всего терминал осуществляет выбор приложения. Данное действие - хотя и
прозаический, но ключевой момент для обеспечения совместимости приложений. Карта с
реализованным на ней приложением должна корректно реагировать на выбор приложения, и уже это
позволит считать ее совместимой со спецификациями.
После выбора приложения терминал инициализирует транзакцию, информируя карту о начале
выполнения новой транзакции и передавая карте терминальную информацию о ней. Затем терминал
получает с карты профайл*(44) и указатель записей файлов, содержащих данные. Затем терминал
читает указанные записи линейных файлов, извлекая из них данные приложения. Далее терминал
выполняет целый ряд действий с целью принятия решения по данной транзакции: отклонить ее в
режиме офлайн, продолжить выполнение в режиме онлайн или принять в режиме офлайн. Эти действия
выполняются на основе предписаний профайла. Каждое из них можно рассматривать как проверку
некоторого свойства, завершающуюся ответом "да" или "нет".
На основе анализа всей совокупности проверок терминал примет решение о способе
выполнения транзакции. Описанный принцип является ключевым моментом спецификаций. Принятие
решения о способе выполнения транзакции, представляющим собой поиск компромисса между
эффективностью и стоимостью (офлайн), с одной стороны, и безопасностью (онлайн), с другой стороны,
осуществляется терминалом (по установкам эквайрера) на основе предписаний, содержащихся в
профайле карты (определенном эмитентом).
В качестве первой "проверки" карты терминал выполняет ее аутентификацию.
Аутентификация предполагает использование криптографии с открытыми ключами*(45) и
базируется на следующей идее. Существует назначенный платежными ассоциациями центр доверия
(Certification Authority), осуществляющий в условиях высочайшей секретности подписывание открытых
ключей эмитента. Всякий терминал содержит соответствующие открытые ключи, полученные из центра
доверия и позволяющие распознать любое истинное приложение на карте.
Спецификации предусматривают два метода аутентификации - статическую (эмитентом
подписываются одни и те же данные) и динамическую (картой после выполнения транзакции
генерируется подпись каждый раз разных данных). Кроме того, предусмотрена миграция от одних
ключей к другим и одних конкретных методов дешифрации к другим, хотя и имеющим одну основу -
алгоритм RSA.
После осуществления аутентификации терминал выполняет ряд проверок, определяет
соответствие номера версии приложения в терминале и на карте. Также проверяет ограничения на
географию, записанные на карте, и дату (начала) действия приложения и срока действия карты.
Далее осуществляется верификация*(46) держателя карты. На карте может присутствовать
CVM-список*(47) - список методов (правил) верификации держателя карты. Терминал обрабатывает
каждое правило в том порядке, в котором они появляются в списке. Верификация завершается, когда
один из методов успешно выполнится или список исчерпается. Обрабатываемые правила связаны со
сравнением суммы транзакции с заданными в качестве параметров величинами. В зависимости от
результата такого сравнения терминал осуществляет действия типа: "проверку ПИНа выполняет карта";
"шифрованный ПИН проверяется в режиме онлайн"; "проверку ПИНа выполняет карта + подпись" и т.п.
Офлайн-проверка ПИНа завершается успешно только в одном случае - если карта вернет нормальный
код возврата на команду VERIFY, выполняющую сравнение введенного держателем карты ПИНа и
хранимого на карте ПИНа (строго говоря, сравнение ПИН-связанных данных, поскольку допускается, что
возможно преобразование вводимого ПИНа).
Затем терминал осуществляет так называемое терминальное управление рисками с целью
защитить эквайрера, эмитента и платежную систему от мошенничества. Оно обеспечивает авторизацию
эмитентом транзакций с высокой стоимостью и гарантирует, что все карты периодически выходят на
онлайн-связь для защиты от угроз, которые могут быть необнаруженными при офлайн-обработке.
Терминальное управление рисками включает:
- проверку доавторизованного лимита;
- случайный выбор транзакции для онлайн-выполнения;
- проверку частоты онлайновых операций.
Проверка лимита выполняется практически так же, как и при использовании магнитных карт. В
дополнение к значению лимита терминал хранит следующие параметры:
- целевой процент для случайного выбора (0-99);
- порог для случайного выбора (0 - доавторизационный лимит);
- максимальный целевой процент (0-99).
Терминал вычисляет так называемый процент транзакции.
Если сумма транзакции меньше, чем порог, ее процент совпадает с целевым. Если сумма
транзакции не меньше, чем порог, но меньше, чем лимит, ее процент вычисляется с использованием
случайного числа.
Цель проверки частоты онлайновых операций заключается в том, чтобы разрешить эмитенту
устанавливать ограничение на количество последовательных офлайновых транзакций (Lower
Consecutive Off-line Limit - нижний последовательный лимит офлайн). Тем не менее, если терминал не
способен выполнять транзакции в режиме онлайн, остается возможность завершить транзакцию в
режиме офлайн, если второй предел*(48) не достигнут. Если превышен второй предел, по установке
эмитента транзакция, которая не может быть выполнена в режиме онлайн, отклоняется. Как только
какая-либо онлайн-транзакция карты завершается удачно, счетчик офлайн-транзакций сбрасывается.
Наконец, терминал выполняет анализ действий, принимая решение по вопросу выбора режима
транзакции: онлайн/офлайн. Это решение принимается на основе анализа всех ответов и прочитанной в

<< Предыдущая

стр. 6
(из 71 стр.)

ОГЛАВЛЕНИЕ

Следующая >>