Московская практика
Московская практика
Мультиаппликационные карты
Обычно, классифицируя пластиковые карты за основу берут тип организации, которая выпускает карты, фактически — род деятельности эмитента карты. Например, карточки, выпущенные кредитно-финансовыми учреждениями, называют банковскими. Карты, которые выпускаются транспортными организациями, — транспортными, предприятиями торговли или сервиса — торговыми, страховыми компаниями — страховыми и т. д. Отдельные виды карт отличаются друг от друга функциями: банковские карты выполняют платежную функцию, карты других эмитентов — иные функции (дисконтную, учетную, идентификационною и пр.). Вне зависимости от эмитента карты функция у таких карт чаще всего одна.
Но встречаются и исключения. Например, карта, выпущенная банком совместно с магазином, может нести как платежную функцию (в качестве банковской карты), так и дисконтную (в качестве торговой карты). В этом случае можно говорить о двух приложениях одной и той же карты, или, как часто говорят специалисты, о двух аппликациях. Если у карты приложений (аппликаций) несколько, то такую карту называют мультиаппликационной.
Что такое приложение карты? Это данные на карте с определенной структурой, ориентированной на их использование конкретной корпоративной системой (возможно, несколькими корпоративными системами, имеющими полномочия на работу с этими данными). Остается выяснить, что же такое корпоративная система? Обычно под корпоративной системой понимается организация, использующая собственную автоматизированную информационную систему для работы с данными, содержащимися на карте. Вот круг определений и замкнулся. Похоже, что получилось «масло — масляное». Разобраться поможет пример.
Рассмотрим совместную бесконтактную карту ГУП «Московский метрополитен» (Московский метрополитен) и Московской железной дороги (МЖД) филиала ОАО «Российские железные дороги». Эта карта дает право проезда на соответствующем транспорте — в метропоездах и пригородных электричках. Имеем две совершенно разные (и независимые друг от друга!) корпоративные системы. Соответственно на карте (точнее, в памяти ее чипа) содержатся две разных структуры данных, каждая из которых обрабатывается собственной информационной системой акцептанта карты. Если вы проходите через турникет метрополитена, то он работает с областью памяти карты, «принадлежащей» метро. Если вы обращаетесь в железнодорожную кассу, то касса работает с совершенно другой областью памяти карты — областью МЖД. Область метрополитена недоступна МЖД, область МЖД — метрополитену (доступ к каждой области возможен только с помощью набора собственных секретных ключей). Фактически мы имеем две разных, совершенно независимых друг от друга, карты — на одном носителе информации, на одной карте. Это и есть мультиаппликационная карта.
Мультиаппликационные карты — совершенно новый вид пластиковых карт, появившийся сравнительно недавно. Такое стало возможно с развитием новых карточных технологий, да и самих карт как носителей информации. Снова проиллюстрируем данный тезис примером.
Возьмем банковскую карту с магнитной полосой и логотипом некоторой торговой или сервисной сети. В последнее время такого рода совместные карты (co-branded cards) становятся все более популярными, что мы не будем приводить конкретный пример. Обратимся к технологии использования такой карты. Обработка второй дорожки магнитной полосы этой карты банком обусловливает ее платежную функцию. В то же время, читая данные с той же второй дорожки, касса магазина предоставляет держателю совместной карты некоторую скидку. Налицо две различные карточные технологии (платежная и дисконтная), использующие одну и ту же структуру данных по-разному. Это — принципиально важный момент. Подобные карты — своего рода переходный этап к «настоящим» мультиаппликационным картам, в которых карточные приложения, как по структуре данных, так и по методам их логической (а иногда даже и физической) обработки, могут совершенно не зависеть друг от друга. Совместную карту лучше всего определить как карту с дополнительным приложением, в данном случае — как банковскую с дисконтным приложением, тем более, что именно так трактуют подобные карты международные платежные системы.
Пример «настоящей» мультиаппликационной карты — карты с независимыми приложениями — Московского метрополитена и МЖД, мы уже рассмотрели. Здесь важно отметить, что такого рода карта может быть только картой со встроенной микросхемой (смарт-картой) и с разграничением по доступу отдельных областей памяти, где расположены разные приложения. В силу того, что эта карта используется на транспорте, где требуется почти мгновенный обмен информацией между картой и устройством ее приема, она является смарт-картой с бесконтактным чипом (т. е. обмен данными происходит «по воздуху»). Однако главной особенностью мультипликационной карты является то, что различные приложения работают независимо друг от друга и используют свой собственный набор данных в памяти карты. Это, однако, не исключает того, что разные корпоративные системы могут использовать и общие данные, например — идентификационный номер карты или чипа. Такая информация носит, как правило, публичный характер и доступна для чтения любому акцептанту карты.
Главная проблема мультиаппликационных карт заключается в том, что обычно невозможно установить, какое приложение на карте является основным. Однако вопрос об этом является некорректным: в конце концов основное приложение выбирает держатель карты. Но бывает что порой ему навязывают приложение. Например, нельзя воспользоваться карточной скидкой, расплачиваясь за товары или услуги наличными деньгами. Но и в данном случае назвать платежное приложение главным нельзя — держатель может выбрать именно такую карту, исключительно руководствуясь желанием получать скидки, но не для безналичной оплаты вообще.
Здесь интересен пример выпускавшейся не так давно совместной карты ОАО «МДМ-Банка» и сети магазинов ОАО «Седьмой Континент»; скидку по ней в магазинах сети можно было получить только при безналичной оплате именно этой картой. В магазинах «Седьмой Континент» часто можно было наблюдать такую картину. Держатель этой карты сначала вносит через операционную кассу МДМ-Банка (она располагалась прямо в магазине) деньги на свой карточный счет. Пока держатель выбирает товары деньги зачисляются на счет, так что когда держатель появляется у кассы, он уже может расплатиться с магазином этими деньгами, получив при этом пятипроцентную скидку. Так что был найден выход и из этой навязанной схемы использования карты.
В этом разделе мы подробно рассмотрим один из самих показательных примеров мультиаппликационной карты — социальную карту москвича. Основная цель такой карты — адресное предоставление льгот, но у нее есть и платежная функция. Пример примечателен тем, что эта карта несет не менее семи независимых приложений (в дальнейшем их будет больше) и использует все основные методы хранения и обработки карточной информации: штриховой код, магнитную полосу и встроенную микросхему. В Москве это микросхема бесконтактного типа, но, например, социальная карта Башкортостана, которая выпускается ОАО «УРАЛСИБ», содержит (для размещения, кроме платежного, и дополнительных приложений) контактный чип. Пример же Москвы интересен также тем, что социальная карта москвича — массовая мультиаппликационная карта. К настоящему времени обращается свыше 5 млн социальных карт москвича, причем в качестве держателей социальной карты выступают не только граждане, находящиеся на учете в органах социальной защиты населения, но и другие категории населения Москвы — студенты, школьники, будущие матери.
У мультиаппликационной карты есть одна особенность — обязательное наличие идентификационной функции карты в отношении ее держателя. При этом речь идет не только о персональной идентификации (например, наличии на карте фотографии и ФИО держателя карты), а об идентификации в более общем смысле — карта идентифицирует держателя, как обладателя определенных прав в ее использовании. Например, в случае транспортной карты «Московский метрополитен + МЖД» любой ее держатель идентифицируется пропускной системой транспортного оператора (турникетами метро или пригородного сообщения ОАО «РЖД») как гражданин, имеющий право на проезд в данной транспортной системе. Что же касается социальных карт, то для них идентификационная функция — базовая, присущая любой социальной карте и обязательно выполняющая персональную идентификацию держателя карты.
Перед рассмотрением мультиаппликационной чиповой карты необходимо представить себе ее техническую основу. Так получилось, что большинство мультиап-пликационных карт (в количественном отношении) содержат наряду с другими транспортные приложения. В связи с тем, что транспортные транзакции должны быть практически мгновенными, такие карты используют бесконтактный интерфейс, который позволяет совершить операцию с картой при поднесении карты к соответствующему устройству. При этом более 90 % бесконтактных карт (а их выпущено в мире свыше 200 млн) базируются на использовании технологии MIFARE® (ISO/IEC 14 443А). На транспорте это стандарт de-facto, и большинство транспортных операторов в мире используют карты MIFARE® Standard 1K. Возможности этой технологии могут представлять определенный интерес, поскольку использование бесконтактных карт отнюдь не ограничено транспортными приложениями. Бесконтактные смарт-карты стандарта MIFARE® (далее мы будем применять сокращение БСК) оказались настолько удобны для пользователей, что стали широко применяться и вне транспорта.
Мультиаппликационные карты на основе БСК
Итак, свойства бесконтактных смарт-карт предопределили их успешное применение в системах автоматического сбора оплаты на транспорте по всему миру. Крупнейшие города мира — Лондон, Париж, Берлин, Токио, Рим, Вашингтон, Чикаго, Пекин, Сеул и, наконец, Москва — активно используют их в общественном транспорте. Однако текущая ситуация в России располагает и к применению этих карт в других областях.
Мультиаппликационность карты дает реальные выгоды как держателям карт, так и всем остальным участникам и создателям соответствующих карточных проектов. Использование мультиаппликационных карт может быть выгодно в силу следующих причин:
1) улучшение (ускорение) возврата инвестиций для существующих эмитентов карт, так как стоимость инфраструктуры и самих карт может делиться как между создателями системы, так и между новыми участниками, использующими карту для создания своих приложений;
2) стоимость участия в существующей карточной системе значительно ниже стоимости создания своей системы;
3) для достижения маркетинговых и коммерческих целей очень актуально использование целевой аудитории — людей, уже имеющих карты. Карта становится мощным средством воздействия на своего владельца и используется как инструмент маркетинга для продвижения товаров и услуг;.
4) очевидные удобства для пользователя — один и тот же предмет используется как пропуск, платежное средство, носитель социальной информации и т. д.;
5) использование смарт-карт открывает новые перспективы в мире распространяющихся компьютерных технологий.
Несмотря на очевидную выгоду мультиаппликационных карт, их внедрение связано с рядом трудностей чисто организационного характера. Должен быть некий катализатор, который помог бы запустить проект, некоторое первичное приложение, обеспечивающее проекту «критическую массу», после которой на карту становится выгодным добавлять другие приложения.
В крупных проектах с БСК транспортное применение всегда является первым (anchor application — якорное приложение). Создавая (финансируя) систему оплаты услуг общественного транспорта, транспортные компании и городские власти выполняют два условия успешной работы любой карточной системы — большое количество держателей карт и постоянное использование карты. В Москве к моменту ввода в эксплуатацию социальной карты сложилась именно такая ситуация: существовали транспортные карты Московского метрополитена и МЖД (пригородное сообщение ОАО «Российское железные дороги»), Московская карта студента и Московская карта школьника было эмитировано уже более 2 млн. БСК.
В 1997 г. впервые в России Московским метрополитеном в качестве проездного документа была введена в обращение БСК. Эта карта имела (и имеет до сих пор) анонимный характер, т. е. не содержит информации о своем держателе. Однако опыт показал, что в ряде случаев транспортное приложение следует дополнять персональным идентификационным приложением (идентификационными данными держателя карты), поскольку в этом случае затрудняется несанкционированная передача такой карты другому лицу. Это те случаи, когда транспортная карта одновременно является и картой льготника, т. е. предоставляется по более низкой цене, чем стандартный проездной документ. Если такая карта передается другому лицу, то при массовых нарушениях правил использования карты транспортный оператор несет реальные убытки, поскольку данное лицо постоянно ездит по льготному тарифу, не имея на это права (т. е. не оплачивает свой проезд по 100 % тарифу). Данное обстоятельство является крайне важной экономической причиной ввода персональных льготных транспортных карт.
Первой такой картой стал студенческий билет Московского государственного университета путей сообщения. Затем льготная транспортная карта (в виде Московской карты студента с его фотографией, ФИО и наименованием учебного заведения) стала предоставляться всем студентам Москвы. Такие карты уже содержали два приложения — идентификационное и транспортное. Однако и в этих случаях, даже при наличии эффективного контроля на линии (для метро — за турникетами), оставался мотив передачи льготного проездного другому лицу.
Затем появился вид студенческого персонального проездного документа Московского метрополитена, который содержал банковское приложение (STB card). Возможности использования такой карты другим лицом уже были сильно ограничены, поскольку она являлась также универсальной платежной картой. Из очевидных соображения ясно, что передача другому карты, «на которой лежат твои деньги», держателем совсем не приветствуется.
Развитие мультиаппликационной транспортной карты привело к появлению идентификационных карт с транспортным приложением, принадлежащих другим категориям льготников. Это удостоверения советников районных собраний и карты московских школьников. Заметим, что на последних картах появились дополнительные идентификационные данные для автоматизированной обработки — штриховой код. Следует также отметить, что в одном из московских лицеев карта школьника используется при расчетах за питание в школьной столовой. Хотя этот проект пока еще не получил массового распространения, он показателен тем, что карта по существу стала трехаппликационной, причем третью аппликацию «добавил» на карту отнюдь не эмитент карты.
Наконец, появилась двухаппликационная карта, которая содержит транспортные приложения уже двух московских перевозчиков: метрополитена и железной дороги (пригородное сообщение МЖД). О ней уже шла речь в предыдущем разделе.
Всегда возникает вопрос: насколько выгодно внедрение БСК по сравнению с использованием традиционных видов карт (например карт с магнитной полосой)? Годовой рост доходов Московского метрополитена после внедрения персональных БСК составил 20 %. Основными причинами такого роста доходов являются персональный учет предоставленных льгот, снижение стоимости обслуживания системы вследствие уменьшения износа оборудования, рост защищенности системы в целом и использование защищенного носителя информации.
Приведем еще некоторые данные, которые проиллюстрируют эффект от внедрения БСК на транспорте:
• выручка от пассажирских перевозок пригородного сообщения Московской железной дороги с 1999 г. по 2000 г. увеличилась в 1,9 раза до 265,4 млн руб., в том числе за счет:
• увеличения пассажиропотока — на 15,9 млн руб.;
• повышения тарифов — на 28,1 млн руб.;
• внедрения смарт-технологий — на 81,6 млн руб.;
• в 2001 г. внедрение смарт-технологий принесло дополнительно 400 млн руб. выручки.
Разумеется, рост доходов от внедрения БСК нельзя рассматривать без отрыва от системы продажи проездных документов и их контроля при перевозках. Эффект возникает от работы системы в целом, где БСК является одним из элементов. Однако карты — существенный элемент системы сбора доходов, и именно БСК обеспечивают ее эффективную работу. А мультиаппликационность отдельных видов транспортных карт во многом снимает проблемы их несанкционированного (и, следовательно, ведущего к снижению доходов транспортного оператора) использования.
Рост эмиссии бесконтактных транспортных карт в Москве весьма впечатляющий — к концу 2001 г. было выпущено в обращение около 1,7 млн. БСК, в результате чего можно смело утверждать, что каждый седьмой москвич к этому времени обладал бесконтактной смарт-картой.
Однако во всех традиционных «карточных» отраслях (за исключением транспорта и контроля доступа) — финансах, торговле и услугах, телекоммуникациях — всегда использовались контактные смарт-карты, обладающие более подходящим набором свойств и, главное, приспособленные к уже созданной инфраструктуре приема карт. Эту проблему решают контактно-бесконтактные карты, например карта с дуальным интерфейсом. Примером является карта JCOP 30. Она примечательна следующим.
Это карта с открытым контактным интерфейсом JavaCard, который позволяет разрабатывать разнообразные приложения, используя популярный, доступный любому программисту, язык Java. Карта имеет встроенные механизмы криптозащиты (3DES, RSA) и содержит предустановленные приложения VISA (VisaCash и VSDC (Visa Smart Debit Credit) с опцией VLP (Visa Low Payment), позволяющей реализовывать электронный кошелек для совершения небольших по сумме платежей). Кроме того, чип карты поддерживает стандарт MIFARE®, т. е. дополнительно имеет структуру памяти для мультиаппликационного использования в рамках бесконтактного интерфейса. В последнее время банки активно используют более дешевую карту JCOP 31, которая обладает практически той же функциональностью, хотя и меньшим объемом памяти и невозможностью перезаписи дополнительных приложений на «контактной» части чипа.
Вернемся к бесконтактным картам. Возможности разработки и внедрения приложений в проектах с использованием смарт-карт зависят от используемой схемы проверки аутентичности (подлинности) карт, которая определяется возможностями чипа. При работе с картами MIFARE® аутентификация осуществляется по симметричной схеме. Используются ключи длиной в 48 бит. Практически этого вполне достаточно для безопасной работы любой закрытой системы. Под закрытой системой здесь понимается система с ограниченным количеством участников, каждый из которых непосредственно связан с другими. Однако функции, связанные с аутентификацией и платежами (подразумевающими проверку аутентичности карты), в открытой системе не могут быть реализованы с использованием карт стандарта MIFARE®.
Для надежной аутентификации смарт-карты в открытых системах, где участники могут ничего не знать друг о друге (например в банковских платежных системах), используется более изощренная технология, которая построена на асимметричных алгоритмах (схеме) проверки подлинности карты. Для работы по асимметричным алгоритмам проверки требуется уже микропроцессорная карта, имеющая мощный криптопроцессор. Соответственно работа с финансовыми приложениями в открытых системах станет возможной лишь при переходе на контактно-бесконтактные карты, подобные JCOP 30, которые поддерживают стандарт EMV, принятый международными платежными системами VISA и MasterCard.
Недостатком любой системы, основанной на симметричных алгоритмах, является и то, что ключи акцептанта карт известны эмитенту карт и акцептант вынужден доверять персоналу эмитента и его системе безопасности. Однако для закрытой системы, где число участников ограничено и фактически, каждый эмитент контролирует сеть приема карт, этот недостаток не является существенным.
На уровне потребителей — держателей карт — используется диверсификация ключей карты, что при успешном взломе одной из карт позволяет сохранить безопасность всех остальных частей (и карт) системы.
Из сказанного выше можно сделать следующие выводы. При использовании карт MIFARE® без дуального интерфейса крайне затруднены реализация на карте платежной функции в открытых системах, хранение цифровых сертификатов и подписей, поддержка инфраструктуры публичных ключей. Однако возможностей карты вполне достаточно для таких распространенных задач, как:
• обеспечение контроля доступа, учета посещений и времени доступа в конкретную организацию (помещение, группу помещений);
• оплата товаров и услуг (электронный товарный кошелек) в закрытой системе;
• идентификация при предоставлении скидки в дисконтных системах и расчета скидки в системах лояльности клиентов;
• оплата за мелкие покупки с использованием торговых автоматов и киосков;
• оплата услуг таксофонной или других подобных видов связи;
• идентификация личности при использовании различных информационных ресурсов (как государственных, предоставляемых организациями — участниками системы, так и частных, например использование коммерческих сайтов);
• заказ услуг или бронирование билетов;
• доступ на массовые культурно-зрелищные мероприятия, на стадионы и т. п.;
• некоторые комплексные задачи, требующие реализации принципа многофункциональности карты.
Ниже приведены примеры различных применений бесконтактных карт, где они используются не только для оплаты проезда на транспорте, но и для исполнения многих других функций.
Техническая основа мультиаппликационных карт
Мы уже упоминали о том, что мультиаппликационная карта с независимыми друг от друга приложениями (как по данным, так и по методам их обработки) должна быть смарт-картой. Более того, если речь идет о платежной смарт-карте, то для обеспечения должного уровня безопасности и совместимости с распространенными платежными системами мультиаппликационная карта должна имеет контактный чип. В дополнение к платежному приложению на этом чипе можно расположить иные приложения, однако с точки зрения удобства использования этих приложений более оптимальным является решение на бесконтактном чипе. Чем же мультиаппликационные карты на основе БСК привлекают и разработчиков, и пользователей? Рассмотрим эту проблему подробнее.
Обзор возможностей
Бесконтактные смарт-карты MIFARE® Standard 1K (БСК) широко используются в мире для самых разных целей, преимущественно там, где требуется надежное и очень быстрое обслуживание держателей карт, имеющее массовый характер. В основном это — транспортные, идентификационные, расчетные и дисконтные приложения. Фактически стандарт MIFARE® (основан на стандарте ISO/IEC 14 443A) является самым распространенным стандартом для бесконтактных смарт-карт.
Как и любая другая смарт-карта, БСК — активный элемент карточной системы, обладающий развитой логикой и умеющий самостоятельно обрабатывать хранящиеся в памяти карты данные. В этом ее основное отличие от других видов пластиковых карт — карточек с магнитной полосой или со штриховым кодом. Возможность офлайновой работы, хорошая защищенность и сравнительно низкая стоимость позволяют эффективно и дешево применять БСК в качестве расчетной карты или карты лояльности клиентов.
В БСК предусмотрен специальный механизм электронного счетчика для реализации быстрого и безопасного проведения операций с ним (уменьшения и увеличения значения счетчика). Для этого отдельные блоки памяти карты особым образом размечаются, а условия доступа к ним разграничиваются с точки зрения проведения отдельных операций: уменьшение счетчика происходит при использовании одного секретного ключа, увеличение — при использовании другого секретного ключа. Счетчик может иметь свыше 4 млрд значений, его уменьшение и увеличение может быть проведено на любую величину из этого интервала, причем переполнение регистра при арифметических операциях контролируется аппаратно чипом карты. Это, как и система безопасности операций, позволяет использовать счетчик в качестве «электронного кошелька».
БСК является многофункциональной картой. Она допускает размещение в своей памяти нескольких независимо использующихся приложений (в том числе — счетчиков). Каждая область памяти, занятая отдельным приложением, может быть защищена двумя своими секретными ключами. Таким образом, одно приложение не может изменить данные другого приложения. Это открывает широкие возможности для использования одной и той же карты в совершенно разных областях, обеспечивая при этом безопасную эмиссию отдельных приложений карты разными эмитентами (корпоративными системами).
Важным свойством БСК, выделяющим ее среди других смарт-карт, является отсутствие механического контакта с устройством, обрабатывающим данные с карты. Фактически надежность технических элементов систем, использующих БСК, определяется надежностью микросхем. Последнее обстоятельство приводит к существенному снижению эксплуатационных расходов на систему по сравнению с аналогичными системами, использующими смарт-карты с внешними контактами.
Обмен данными между картой и считывателем
Порядок проведения операций с БСК и устройством чтения (записи) памяти карты (в дальнейшем — считывателем) определяется программным приложением. При поднесении пользователем карты к считывателю происходит транзакция, т. е. обмен данными между картой и считывателем, и возможное изменение информации в памяти карты. Максимальное расстояние для осуществления транзакций между считывателем и картой составляет 10 см, хотя обычно оно меньше. При этом карту можно и не вынимать из бумажника. С одной стороны, это позволяет пользователю удобно и быстро произвести транзакцию, но, с другой стороны, при попадании карты в поле антенны карта вовлекается в процесс обмена информацией, независимо от того, желал этого пользователь или нет.
Здесь возникает одна интересная особенность карты MIFARE®, которая принципиально отличает БСК от контактных смарт-карт, да и от карт с магнитной полосой или штриховым кодом. Устройства, которые работают с тремя последними типами карт, при проведении карточной транзакции всегда имеют дело только с одной картой. Пока эта карта вставлена в приемную щель считывателя или сканируется, работа с другими картами на этом устройстве невозможна.
Иное дело — бесконтактная смарт-карта. В поле действия антенны считывателя может попасть не одна, а сразу несколько карт. Для избежания путаницы и ошибок, которые могут из-за этого возникнуть, в картах MIFARE® применяется так называемая антиколлизионная функция (в дальнейшем — антиколлизия). Механизм антиколлизии построен на «умении» считывателя определять количество карт в поле антенны и работать только с одной, выбранной в данный момент времени, картой. Если более одной карты попадает в поле действия антенны считывателя (что очень возможно), и за счет этого подается питание на микропроцессор карты и начинается его функционирование, то быстрое срабатывание алгоритма антиколлизии предотвращает путаницу между картами при передаче данных и, следовательно, возникновение ошибок при обработке транзакции.
В результате работы механизма антиколлизии карта может быть выбрана индивидуально (по уникальному идентификационному номеру чипа). Продолжение транзакции и выбор карты не искажаются другими БСК, находящимися в поле антенны считывателя. Если у пользователя в бумажнике находятся не одна, а, предположим, две карты MIFARE®, то благодаря антиколлизии система работы с картами выбирает для проведения транзакции только одну БСК либо просто отказывается от проведения транзакций.
Технология MIFARE® позволяет производить обмен данными по радиоканалу между считывателем и БСК с очень высокой скоростью — до 106 Кбод. Типичная начальная последовательность команд для работы приложения с картой включает в себя:
• «захват» карты (выбирается первая, находящаяся в поле антенны считывателя карта);
• если необходимо — включение антиколлизионного алгоритма (команда антиколлизии сообщает приложению уникальный номер «захваченной» карты, точнее — уникальный серийный номер встроенной в карту микросхемы);
• выбор карты с данным серийным номером чипа для последующей работы с памятью карты или серийным номером микросхемы.
Указанная последовательность команд выполняется за 3 мс, т. е. практически мгновенно.
Далее следует аутентификация выбранной области памяти карты. Она основана на использовании секретных ключей и будет описана ниже. Если карта и считыватель «узнали» друг друга, то данная область памяти «открывается» для обмена данными, и в зависимости от условий доступа могут быть выполнены команды чтения и записи, а также специализированные команды «электронного кошелька» (если, конечно, область соответствующим образом была размечена при начальной разметке памяти карты). Команда чтения 16 байт памяти карты выполняется за 2,5 мс, команды чтения и изменения баланса «электронного кошелька» — за 9-10 мс. Таким образом, типичная транзакция, начинающаяся с «захвата» карты и приводящая к изменению 16 байт памяти, совершается примерно за 16 мс. В зависимости от конструктивных особенностей считывателя время работы с БСК может увеличиваться, но малоощутимо для пользователя.
После работы с картой считыватель может дать команду «отпустить» данную карту, что эквивалентно ее удалению из поля действия антенны считывателя, и перейти к работе с другой, находящейся в поле антенны, картой MIFARE®.
Такое быстродействие (и, разумеется, отсутствие механического контакта карты с устройством) предопределило преимущественное применение карты MIFARE® в транспортных приложениях. Использование БСК позволяет сократить время проведения типичной транзакции в большинстве транспортных приложений до 0,1 с. Таким образом, держатель БСК при проходе, например, через турникет метрополитена, может не останавливаться для фиксации карты в поле считывающего устройства. Это существенно увеличивает пропускную способность системы и экономит время пользователя карты.
Важной особенностью карты MIFARE® (с точки зрения как потребителя, так и разработчика приложения) является возможность пользователя проводить транзакцию самостоятельно, без участия оператора, не обладая при этом специальными навыками. В отличие от контактных смарт-карт, карт с магнитной полосой или штриховым кодом пользователю БСК не надо знать, как вставлять карту в приемное устройство.
Достаточно просто поднести ее к антенне считывателя, положение которой обычно обозначено легко узнаваемой пиктограммой.
Изначально разработанные для транспортных приложений (там, где надо было достичь наибольшей пропускной способности карточной системы), БСК стали активно использоваться и в других местах. Сейчас международные платежные системы активно внедряют бесконтактные технологии для проведения платежей в предприятиях торговли и сервиса (MasterCard PayPass, VISA Wave). В основном это платежи на мелкие суммы и там, где требуется высокая скорость обработки платежа (например, в ресторанах быстрого питания типа McDonald’s) и предъявляются высокие требования к удобству проведения карточного платежа именно держателем карты, т. е. не подготовленным специально для этого человеком.
Безопасность и многофункциональность
Каждая карта MIFARE® обладает собственным уникальным серийным номером, идентифицирующим встроенную в карту микросхему. Номер этот задается при изготовлении чипа на заводе, его нельзя изменить на протяжении всего срока использования карты. Идентификация карты по серийному номеру чипа, который невозможно подделать, шифрование данных и аутентификация областей памяти карты с помощью секретных ключей обеспечивают надежную защиту карты MIFARE® от взлома. Уровень защиты карты позволяет использовать ее в платежных приложениях при невысоких уровнях риска.
Память карты MIFARE® разбита на 16 независимых друг от друга областей объемом 48 байт каждая. Любую область (она называется сектором памяти) можно защитить своими ключами. Как уже говорилось, такая структура памяти позволяет использовать карту в разных, не связанных между собой, приложениях.
Минимальная адресуемая область памяти карты MIFARE® называется блоком и состоит из 16 байт. Над этим блоком возможны операции чтения/записи в соответствии с условиями доступа к сектору. Кроме того, блок может быть размечен специальным образом так, чтобы представлять собой баланс «электронного кошелька». В этом случае над ним возможны арифметические операции декрементирования (уменьшения баланса) и инкрементирования (увеличения баланса), а также две дополнительные специфические операции, связанные с перемещением данных «внутри» памяти чипа карты. Все эти операции поддерживаются аппаратно, в том числе аппаратно проверяется переполнение памяти при арифметических операциях.
Для защиты приложения, чья информация размещена в данном секторе, могут быть использованы два секретных ключа, определяющих разные уровни доступа к памяти карты. Кроме того, каждому сектору памяти при начальной разметке памяти карты (операция выполняется как на заводе-изготовителе карты, так и непосредственно эмитентом, при наличии у него т. н. «центра кодирования») можно присвоить свои определенные условия доступа. Например, по первому ключу возможно только чтение сектора памяти и уменьшение баланса (операции, необходимые для «дебетования электронного кошелька»), а по второму ключу дополнительно — запись и увеличение баланса (что необходимо при «кредитовании электронного кошелька»). Таким образом, разграничение доступа к «электронному кошельку» по разным ключам позволяет строить корректные (с точки зрения безопасности) технологии приема карт.
Для аутентификации сектора памяти карты применяется трехпроходный алгоритм с использованием случайных чисел и секретных ключей согласно стандарту ISO/IEC DIS 9798-2. Грубо процесс аутентификации можно представить так.
Чипы карты и устройства для работы с ней (мы будем говорить «карта» и «считыватель карты») обмениваются случайными числами. На первом шаге карта посылает считывателю сформированное картой случайное число. Считыватель добавляет к нему свое случайное число, шифрует сообщение и отправляет его карте. Карта расшифровывает полученное сообщение, сравнивает «свое» случайное число с числом, полученным в сообщении, при совпадении заново зашифровывает сообщение и направляет считывателю. Считыватель расшифровывает послание карты и сравнивает «свое» случайное число с числом, полученным в сообщении. При совпадении чисел аутентификация сектора считается успешной.
Итак, работа с сектором памяти возможна только после успешной аутентификации сектора выбранной карты и пока карта находится в поле антенны считывателя. При этом все данные, передаваемые по радиочастотному каналу, всегда шифруются.
Начальные (так называемые транспортные) ключи, а также условия доступа к секторам задаются во время первичной разметки памяти карты на заводе-изготовителе и секретным образом сообщаются эмитенту. В дальнейшем, в процессе вторичной разметки памяти карты эмитентом или пользователем приложения (если необходимо), ключи обычно меняются на другие, известные только эмитенту или пользователю. Также (это определяется конкретным приложением) при вторичной разметке памяти карты изменяются и условия доступа к секторам памяти.
Надежность и эффективный дизайн
Как уже отмечалось, высокая надежность системы с БСК достигается использованием считывателя без каких-либо подвижных механических частей: для обмена данными карту MIFARE® достаточно просто поднести к антенне считывателя. Карты MIFARE® пассивны, т. е. не имеют встроенного источника питания (батарейки). Питание БСК при проведении транзакций происходит беспроводным путем от считывателя карт, т. е. через пространство.
Чрезвычайно простая конструкция карты, состоящей только из имплантированного в пластик микрочипа с антенной, делает БСК единым неделимым модулем, устойчивым к бытовым тепловым, механическим, магнитным и радиационным воздействиям. Карта не теряет своих свойств при прохождении рентгеновского контроля в аэропорту, забытая в кармане рубашки, успешно выдерживает стирку в стиральной машине, дамская сумочка с магнитной защелкой (в отличие от карты с магнитной полосой) не оказывает на карту MIFARE® никакого влияния и т. д.
Карта MIFARE® полностью удовлетворяет требованиям международного стандарта ISO/IEC 7810, определяющего типоразмеры и физические свойства пластиковых карт (тепловые, механические и т. д.). Это очень важное качество, так как открывает широкие возможности по внешнему оформлению карты и использованию БСК одновременно в разных технологиях.
С БСК можно проводить те же операции по дизайну, что и с любой другой пластиковой картой формата ID-1 ISO/IEC 7810, т. е. применять широко распространенное промышленное оборудование без специальных ограничений. Так, для нанесения информации на поверхность карты можно использовать любой технологический полиграфический процесс (офсет, шелкографию и т. д.), что дает дизайнеру возможность качественного художественного оформления карты. Кроме того, на поверхность карты с помощью относительно недорогого, обычного персонализационного оборудования может быть напечатан штриховой код, нанесены различная персональная информация (фамилия, имя, фотография и пр.), идентификационный номер карты, дата срока окончания действия карты, любой другой текст с индивидуальными особенностями карты. Карты MIFARE® без ущерба для чипа и антенны могут быть ламинированы или покрыты лаком.
Идентификационный номер и прочие подобные данные также могут быть эмбоссированы (выдавлены в пластике карты) в местах, определяемых соответствующими карточными стандартами, либо выгравированы на карте. Ограничения, которые связаны с возможным повреждением чипа или антенны при эмбоссировании или гравировке данных, незначительны.
Наконец, для использования в «параллельных» технологиях на карту MIFARE® могут быть нанесены магнитная полоса, голограмма, фольга и тому подобный материал, а также имплантирован контактный чип-модуль.
С точки зрения бесконтактных технологий все перечисленные возможности дизайна не влияют на качество карты MIFARE® и позволяют ее двойное (тройное и т. д.) применение. Например, магнитная полоса может быть использована для платежных операций или получения наличных (применение БСК в качестве обычной банковской карты), а чип — для проезда в общественном транспорте (применение БСК в качестве проездного билета). Существуют устройства, которые могут работать с картой MIFARE®, имеющей и стандартную магнитную полосу, и дополнительный «контактный» чип, одновременно по всем трем указанным технологиям. Наиболее ярким примером использования практически всех элементов карточного дизайна, включая наличие контактного чипа, является социальная карта Башкортостана; московская социальная карта, которая будет подробно описана ниже, также представляет собой бесконтактную карту с широким использованием различных элементов дизайна пластиковых карт.
Социальная карта москвича
«Социальная карта москвича» (далее — СКМ) является показательным проектом использования мультиаппликационных карт (проект стал «технологическим» образцом для аналогичных проектов в других регионах России — в Самарской области, Башкортостане, Ивановской, Ульяновской и Челябинской областях, многие характерные черты СКМ получили социальные карты Московской и Новосибирской областей). Во многом стандартизация социальных карт основывается на рекомендациях Федерального агентства по информационным технологиям[245] в отношении внешнего вида и распределения памяти социальной карты (описание т. н. Унифицированной социальной карты — УСК). Большую работу в области УСК ведет Всероссийский научно-исследовательский институт проблем вычислительной техники и информатизации (ВНИИПВТИ). Работы по унифицированной социальной карте ведутся в рамках Федеральной целевой программы «Электронная Россия (2002–2010 годы) (утвержденной постановлением Правительства РФ от 28 января 2002 г.)[246]. В 2002 г. проект СКМ получил престижную международную премию «Card Advance Award».
Однако все по порядку. В сентябре 2001 г. в трех районах Москвы (Центральное Чертаново, Южное Чертаново, Западное Бирюлево) начался эксперимент по внедрению московской многофункциональной карты, имеющей различные приложения социального характера.
Основные цели проекта:
• упрощение и упорядочение предоставления льгот, обеспечение полного их учета и адресности;
• введение единой идентификации льготников на основе чиповой карты;
• создание единого электронного регистра льготников.
Участниками проекта стали Департамент экономической политики и развития города Москвы, Департамент социальной защиты населения города Москвы, Департамент здравоохранения города Москвы, Департамент потребительского рынка и услуг города Москвы, Московский метрополитен, Московская железная дорога, организации наземного транспорта Москвы (ГУП «Мосгортранс», ГУП «Зеленоградский Автокомбинат»), Московский городской фонд обязательного медицинского страхования, ОАО «Банк Москвы», магазины и предприятия сервиса, поликлиники и аптеки, ОАО «Московская городская телефонная сеть», ГУП «Московский социальный регистр». Генеральным конструктором проекта стал начальник Московского метрополитена Д. В. Гаев.
Технологическое обеспечение проекта основывалось как на использовании уже построенных автоматизированных систем обработки, хранения персональных данных льготников и развитой сети приема бесконтактных смарт-карт на транспорте, так и на новых разработках, выполненных участниками проекта. Работы по системной интеграции проекта, а также изготовление социальных карт осуществляет московская компания «РОЗАН».
Технической основой проекта стала пластиковая бесконтактная чиповая карта стандарта MIFARE® с магнитной полосой и штриховым кодом (опционально — контактно-бесконтактная карта JC0P30 с дуальным интерфейсом).
В памяти социальной карты размещены: номер социальной карты, персональные данные льготника (ФИО, пол и дата рождения), корпоративные приложения участников проекта.
К корпоративным приложениям относятся: проезд на метрополитене, наземном транспорте Москвы, в пригородных поездах Московской железной дороги, данные страхового полиса обязательного медицинского страхования, сведения для предоставления социального дисконта.
Кроме того, в памяти социальной карты имеется учетный номер льготника в реестре Департамента социальной защиты населения города Москвы, список кодов льгот держателя социальной карты.
Банковское приложение размещено на магнитной полосе социальной карты (в случае карты JCOP30 — также в чипе карты). С июля 2002 г. начался новый этап развития проекта — эмиссия социальных карт с логотипом Visa Electron. Социальная карта москвича получила международный статус. Первая международная транзакция по социальной карте зафиксирована уже в августе 2002 года; самая восточная транзакция по социальной карте зафиксирована на берегу Байкала — в поселке Листвянка Иркутской области.
Кроме стандартных банковских реквизитов на поверхности карты в толще пластика размещены: фотография держателя карты, его ФИО, номер социальной карты (включающий социальный номер), а также штриховой код с идентификационными данными социальной карты, используемый для предоставления скидок держателю карты торгово-сервисными организациями.
Социальный номер является ключевым элементом в системе социальных карт, на основе этого номера происходит интеграция информационных ресурсов отдельных корпоративных системы в интересах участников проекта и Правительства Москвы. Социальный номер присваивается единожды при первичной регистрации льготника. Структура социального номера гарантирует его уникальность в пределах данного региона России, что позволяет перенести практику учета льготников и на другие российские регионы. В 2004 г. был подготовлен проект национального стандарта России по формированию социального номера и кодов льготных категорий граждан России.
Надо сказать, что социальный номер используется не только в московских социальных картах или социальных картах других регионов. Так, карты учащегося Санкт-Петербурга, а также Единые транспортные карта жителя Санкт-Петербурга, несут социальный номер, построенный по указанному стандарту, и имеют дизайн, аналогичный московскому. Студенческие карты Российского государственного университета им. И. Канта (Калининград) также несут идентификационный номер, построенный по правилам, принятым для нумерации социальных карт.
Следует также отметить, что проект не предусматривает существенного изменения информационных технологий участников системы. Для изготовления и персонализации социальных карт используются самые современные технологии. Сейчас можно говорить об определенных положительных итогах проекта «Социальная карта москвича».
В 2002 г. Правительством Москвы было принято решение о расширении системы социальных карт на все районы Москвы. В рамках проекта была разработана уникальная технология «безбланковой» эмиссии карт, т. е. без предварительного изготовления бланка документа — заготовки карты, несущей только групповые признаки, но не индивидуальную информацию, свойственную только данной карточке. Проект предоставил возможность детальной выверки данных о льготниках в базах данных участников, подробной систематизации льгот и т. д.