Платежные системы на основе интеллектуальных карт

1. Виды электронных карточек

В основу одного из вариантов классификации электронных карточек положен способ записи информации. В карточках применяется:

графическая запись,

эмбоссирование,

штрих-кодирование,

запись на магнитной полосе,

лазерная запись (оптические, голографические карты),

запись в микросхему (ЧИП).

Безопасность использования первых пяти типов базируется на недоступности и сложности оборудования, применяемого при производстве и эксплуатации этих карт. Однако в настоящее время этого недостаточно. Поскольку безопасность использования записи на магнитной полосе и лазерной записи вряд ли будет выше, чем при использовании карточек с микросхемой типа “открытая память”.

В свою очередь, карточки, использующие микросхемы, по функциональным характеристикам последних подразделяют на карточки:

с открытой памятью,

с защищенными областями памяти,

карточки-счетчики,

собственно микропроцессорные карты.

Существуют два основных требования к банковским карточкам: уникальность и необратимость.

Первое требование означает, что среди всех выпущенных банком карточек не должно быть ни одной одинаковой по характеристикам. Создание подобной карточки должно быть исключено для злоумышленника. Согласно второму требованию первоначальная информация на карточке не может быть восстановлена. То есть карточка должна быть надежно защищена от вскрытия, как отдельное устройство.

Поскольку карточка используется не сама по себе, а в системе, то обеспечение безопасности только карточки является недостаточным для системы в целом. Все устройства системы связаны каналами, безопасность которых должна быть обеспечена на том же уровне или выше, чем и безопасность устройств. Кроме того само устройство можно также представить в виде более мелких устройств (микросхем), связанных каналами связи.

2. Основные характеристики существующих платежных систем

Объектами практически любой платежной системы являются: держатель карты, фирма эмитент, эквайер, расчетно-авторизационый центр, сервис-центры эмитента и эквайера. К техническим объектам платежной системы относятся:

*  платежная smart card (карточка с однокристальным специализированным компьютером, имеющем долговременную защищенную память, стандартизированные размеры и интерфейс) ;

*  устройство чтения/записи (отдельное интерфейсное устройство или в составе терминала, в которое вставляется smart card, и взаимодействующие с smart card механические и электрические устройства);

*  терминальное оборудование (торговые терминалы, кассовые аппараты, банкоматы и другое оборудование), предназначенное для непосредственных операций с smart card и передачи информации в центр обработки транзакций;

*  Автоматизированное рабочее место (АРМ) персонализации smart card (персональный компьютер с устройством чтения/записи для записи на smart card информации);

*  АРМ операциониста банка (персональный компьютер с устройством чтения/записи);

*  рабочая станция банка-эквайера, банка-эмитента, процессингового центра (персональный компьютер с устройством чтения/записи);

*  сервер банка-эквайера, банка-эмитента, процессингового центра;

*  каналы связи, объединяющие указанные выше компоненты.

Типы карт: карта клиента и служебная карта. На карте клиента обычно записываются: тип карты, версия ключей, № счета карты, баланс кошелька, счетчики операций кредитования и дебетования кошелька, данные о последних операциях.

На служебной карте находится тип карты, версия ключей, № карты, параметры, код точки обслуживания, информация о транзакциях, уникальный ключ для создания электронной подписи ответственного исполнителя.

Кроме того, используются специальные, секретные карты для хранения и передачи ключей. Карты могут выполнять и другие функции (контроль доступа в помещение, хранение ключей безопасности, телефон-карта,...)

Физическая целостность данных на карте обеспечивается защищенностью ЭСППЗУ карты контрольной суммой (проверяется при подаче питания на микропроцессор карты, изменяется при каждой операции записи). Операция, изменяющая содержимое ЭСППЗУ, сопровождается сохранением предыдущего состояния в буфере. Физическая защищенность карт гарантируется производителем.

Техническая защищенность карты от попыток взлома обеспечивается тем, что

доступ к микропроцессору возможен только через контактные площадки интерфейса, в соответствии с ISO 7816;

процесс обмена между картой и внешними устройствами контролируется операционной системой карты; карта защищена от попыток анализа содержимого ЭСППЗУ механическим или электрическим способом.

Инициализация карт проводится в головном процессинговом центре: создается логическая структура карт, на них заносятся системообразующие ключи, обеспечивающие их прием в любой точке приема карт.

Персонализация карт проводится банком-эмитентом: в карту заносится персональная информация и остальные ключи (у каждого участника собственный набор ключей безопасности, которые хранятся в процессинг-центре в зашифрованном виде).

Защита при транспортировке из головного процессингового центра в банк-эмитент обеспечивается транспортным ключом, без предъявления которого операции невозможны.

Пункты приема карт

- торговые точки, где выполняется оплата, возврат покупки (режим работы OFF-LINE для смарт-карт и ON-LINE для магнитных.),

- пункты выдачи наличных (ПВН): выдача наличных, запрос остатка (режим OFF LINE для смарт-карт, ON-LINE для магнитных),

- банковские пункты обслуживания карт (БПОК): смена ПИН кода карты, восстановление заблокированных карт, перевод денег с магнитной полосы на чип и обратно (ОN-LINE для смарт-карт). Различные пункты приема могут быть совмещены на одном физическом терминале.

Техническое оснащение: программно-аппаратные комплексы, включающие терминалы и банкоматы.

Программное обеспечение терминальных устройств позволяет осуществлять выдачу наличных в ПВН скидки в торговых точках в зависимости от №счета карты и валюты операции;

-  производить оплату коммунальных услуг и выполнять другие платежи с переводом средств на различные счета на одном терминале;

-  осуществлять контроль активности клиента; централизованную загрузку стоп-листов и таблиц курсов валют, конвертацию по картам в режиме OFF-LINE; связь терминала с процессинговым центром по коммутируемому, выделенному или радио каналу с возможностью передачи сообщений по глобальным сетям,

Также в ПО обычно включают программы для непосредственного подключения терминала к компьютеру через последовательный порт; объединения на одном терминале, по желанию заказчика ПП, ПВН и БПОК.

Инкассации терминала: проводится удаленно через модем или непосредственным подключением к компьютеру в соответствии с протоколом, обеспечивающим контроль целостности данных.

В следующей таблице приводятся характеристики пяти известных платежных систем.

Таблица 1.1. Характеристики платежных систем

3. Общие принципы обеспечения безопасности платежных систем

Золотая Корона

Объекты системы: банки-эмитенты, магазины (предприятия сервиса), владельцы карт, центр обработки транзакций, узел накопления транзакций (региональный процессинговый центр - РПЦ). Архитектура системы - клиент-сервер.

Защита от умышленных угроз:

1) Проверка принадлежности карты предъявителю ПИН кода, действительности карты по стоп-листу, по набору лимитов (авторизация внелимитных операций), страхование рисков участников Системы.

2) Система разграничения доступа основана на системе ключей и паролей:

- пароль на чтение и запись, пароль на стирание с карты (уникальны для каждой карты);

- публичные пароли для проверки подтверждения данных 1-й зоны памяти карты и PIN, хранятся во всех терминалах; секретный пароль хранится в Центре;

- общесистемный пароль (ОП), хранится во всех терминалах;

- ОП, PIN клиента и данные 1-й зоны памяти участвуют в формировании реальных паролей доступа к карте; формирование реального пароля стирания - с участием еще и пароля стирания Банка.

3) Терминалы не хранят паролей стирания, и базовая сумма карты с их помощью может быть только уменьшена; не хранят мастер-ключей, паролей, позволяющих исказить информацию о владельце или Банке, сумму, лимиты или срок действия; правильность ПИНа и доступ к карте регламентирует сама карта.

4) Стоп-лист частично хранится в терминале (от 3000 до10000 записей) с указанием региона и времени, на которые он распространяется; при недостаточности его требуется авторизация в Центре Авторизации (карта проверяется по стоп-листу и по платежеспособности Банка-Эмитента; выдается электронный чек, прилагающийся для обработки транзакции). Разблокировка карты, находящейся в стоп-листе, производится только в Банке-Эмитенте. Более широкий стоп-лист могут содержать банкоматы (дозаписей), которые еще защищены системой сигнализации.

5) Для обеспечения взаиморасчетов Банков в Системе предусмотрен ряд финансовых требований к Банкам - создание страховых фондов (минимальный фонд взаиморасчетов, фонд On-Line операций и фонд Off-Line операций), открытие корреспондентских счетов в одном из расчетных банков системы. Сама система создает единый страховой фонд.

Платежная система АО СканТек

Объекты системы: банк-эмитент, центр обработки транзакций (ЦОТ), связанный с пунктами персонализации, кредитования и дебетования карт (ПП, ПК, ПД) и с другими программными системами банка по локальной сети (Novell); ПД магазинов; владелец карты.

Система защиты карты - разграничение доступа: особый ключ у каждого объекта - ПИН (до 5 цифр), ключ банка-кредитора карты – КК (4 байта), ключ магазина-дебитора карты – КД (6 байтов). Доступ к области кредитора - ПИН и КК, к области дебитора - ПИН и КД. КК находится только в ЦОТ (в ПК и ПП). КД рассылается из ЦОТ в ПД магазинов. Ключи не могут быть считаны или скопированы с карты.

Защита от умышленных угроз: 1) Все операции шифрования происходят в памяти устройств SCAT-200 или КРИПТОН-ИК, ни один ключ не попадает в память терминала в открытом виде. Для передачи ключей из ЦОТ в ПД организуется курьерская служба, передающая дискеты с зашифрованными ключами и имеющая курьерскую технологическую карту. Зашифрованные ключи из БД ЦОТ переносятся в SCAT-200, перешифровываются там с ключа БД на ключ курьера и переносятся на дискету; в ПД происходит обратная операция, с ключом БД и ПД. Защищенность идентификационной области карты достигается ее пережиганием. Информация о транзакциях контролируется имитоприставками. Для защиты связи между ЦОТ и ПД может быть использована разработанная СканТек программно-аппаратная система SmartLine.

2) В системе реализовано разграничение доступа с помощью различных ключей ее участников: КК, КД, ПИН, ключи технологических карт.

3) Блокировка карты и занесение ее в стоп-лист происходит при 4-х подряд неверных предъявленьях ПИНа. Стоп-лист содержит идентификационные данные карты и код причины ее блокировки. Блокировка карты может быть произведена по требованию клиента (при утере/хищении карты), требованию банка или работником ЦОТ при обработке транзакций по карте. Стоп-лист формируется в конце дня и рассылается в ПД.

Smart City (АйТи и Product Tech. Inc.)

Объекты системы: покупатель (частное лицо или фирма - владелец смарт-карты), магазин, эмитент (банк или фирма), процессинговый центр. Архитектура открытая (многоэмитентность).

Защищенность карты обеспечена уникальным кодом каждой карты, определенным при производстве; карта может быть запрограммирована на выход из строя при попытке несанкционированного доступа. Карта защищена ПИНом, фотографией и подписью владельца.

Типы карт: карты клиента, дополнительные карты для членов семей (с пределом кредитуемой суммы).Возможность использования карт для контроля доступа в здания и к компьютерным сетям (система SmartOffice), для проведения голосования, медицинские карты.

Защита от умышленных угроз:

1) Идентификация карты до начала любой операции; невозможность изменения данных в системе или на карте неправомочным пользователем; гарантия конфиденциальности всех данных; проверка ПО системы на защищенность доступа. Использование особых аппаратных и программных методов контроля при выпуске карт. Поддержка секретных ключей, уникальных для каждой карты, и Master Keys для каждого банка.

2) Используются высокоскоростные криптопроцессоры для хранения и генерации секретных ключей и авторизации транзакций. Транзакция в магазине обеспечивается уникальным электронным сертификатом, который не может быть скопирован или исправлен; программа в банке расшифровывает его, при любом отклонении транзакция не принимается. При совершении любой дебетной или кредитной сделки система определяет целостность данных и подлинность транзакции, оценивая ее сертификат. Сертификат может быть сформирован и утвержден только уполномоченным на это элементом системы - картой, банком или торговцем.

3) При утрате карты клиенту возвращается потерянная сумма, номер карты заносится в стоп-лист.

U. E.P. S

Объекты системы: финансовый институт (банк-эмитент), владелец карты (частное лицо или фирма), предприятие торговли и сферы услуг (продавец). Техническая защищенность от взлома гарантируется производителем микропроцессора SGC-Thompson, защищенного от воздействия УФ-, ИК-лучей, физического проникновения, нагревания, сканирования электромикроскопом.

Защита доступа к памяти карты осуществляется с помощью стандартных команд операционной системы. Возможность прямой адресации к данным карты, минуя прикладное ПО, исключена. Security Logic Architecture микропроцессора выполнена так, что любая команда карте передается под управлением прикладного ПО. Защита обмена данными между картой и внешними устройствами обеспечивается шифрованием всех потоков информации на базе сессионных ключей, вырабатываемых самими картами с помощью датчика случайных чисел.

Аварийная защита: при аппаратном или программном сбое транзакция в системе не завершится, балансы карт останутся неизменными (протокол обмена карт во время сеанса исключает ситуацию изменения только одой из карт). На случай выхода из строя торгового терминала все транзакции дублируются на карте магазина, на контрольной ленте торговца, на чеке клиента и в списке операций на карте клиента (30 последних) в зашифрованном виде.

Защита от умышленных угроз: 1) Шифрование информации, поступающей или покидающей карту. Торговый терминал не хранит секретную информацию, только обеспечивает взаимодействие двух карт.

2) Система разграничения ключей банков системы. Ключи и пароли уникальны для каждого банка и известны только ему (без участия процессинговых центров). Только два системообразующих ключа являются общими для всех банков, но эти ключи участвуют только в выработке сессионного ключа в картах при торговой операции и не отвечают за шифровку информации на картах клиента или магазина. ПИНы карты клиента известны только владельцу карты и могут быть изменены по его желанию в режиме OFF-LINE. В случае неисправности/фальсификации карты магазина или клиента, неправильно введенного ПИНа или наличия карты клиента в стоп-листе транзакция не совершится. Разблокировка карты проводится операционистом банка с занесением № его карты в карту клиента; возможен возврат остатка средств заблокированной карты на счет клиента с последующей разблокировкой. При компрометации ключей одного из банков-эмитентов все его карты ставятся в стоп-лист, изымаются из обращения для повторной эмиссии. Штатная смена ключей дебетования и кредитования может проводится банком для повышения безопасности (до 256 версий ключей в одновременном хождении).

3) Правильность кредитования карты клиента контролируется с помощью чека операции, запросом баланса карты в любом торговом терминале или на портативном устройстве; транзакция однозначно нумеруется и может быть сверена с транзакцией в базе данных системы. Правильность дебетуемой суммы карты клиента в магазине контролируется ПО карт клиента и магазина; также с помощью чеков магазина, на которых хранятся зашифрованные на ключах карты электронные сертификаты. Правильность взаиморасчета (инкассации) списка транзакций магазина и банка-эквайера обеспечивается шифрованием информационных потоков между картой магазина и сервером безопасности банка в момент инкассации на ключах, известных только карте магазина и банку. Карта магазина очищает память транзакций сразу и только после получения подтверждения, зашифрованного на ключах банка, о приеме списка. Каждая транзакция уникально связана с № торговой карты и № сеанса инкассации, что исключает повторную инкассацию. Достоверность рассылаемых межбанковских платежных уведомлений банков-эквайеров гарантируется содержащимися в них электронными сертификатами банка-эмитента, которые зашифрованы на ключах, известных только банку-эмитенту. Ни один из объектов системы, не имея этих ключей, не может изменить электронное платежное уведомление. Контроль прохождения транзакции по пути Банк - Клиент - Магазин - Банк обеспечен сквозной нумерацией в системе. Транзакция однозначно определяется уникальными серийными № карт магазина и клиента в Системе, ее порядковыми номерами на этих картах, порядковым № инкассации карты магазина.

UNION CARD

Объекты системы: держатель карты, фирма, эмитент, эквайер, расчетно-авторизационый центр, сервис-центры эмитента и эквайера. Структура системы иерархическая, процессинговые центры связаны по схеме "звезда" каналами Х.25.

Аварийная защита: (отключение питания, обрыв связи, преждевременное изъятие карты) обеспечивает целостность данных на карте и в системе. Перед началом сеанса на карте клиента выставляется флажок незавершенности транзакции, сбрасываемый в конце сеанса; технология предусматривает механизм синхронизации состояния карты и базы данных банка-эмитента в случае сбоя. Карта с установленным флажком не принимается на терминалах системы. Невозможность потери или дублирования транзакции обеспечивается счетчиком транзакций на карте и механизмом учета номеров транзакций в программном обеспечении банка.

Защита от умышленных угроз: 1) Невозможность физического проникновения в защищенные области памяти карты и вычислительного получения ключей шифрования путем анализа потока данных между картой и терминалом. Вся ключевая информация хранится в защищенных устройствах (карта, модуль безопасности POS-терминалов и банкоматов) и передается только в зашифрованном виде (шифрование с помощью криптографического алгоритма DES). Банкоматы дополнительно шифруют передаваемые сообщения целиком; журналы (содержат сертификаты транзакций), стоп-листы, таблицы курсов валют снабжают электронной подписью.

2) Полномочия по распоряжению ключами безопасности разграничены между системой, ее участниками и держателем карты. Система управляет системообразующими ключами, обеспечивающими прием карт любого эмитента на любом терминале системы. Эмитент имеет ключи для модификации персональной информации и параметров карты, и для кредитования электронного кошелька. Владелец карты располагает ПИНом, без которого нельзя изменить баланс карты. Предусмотрен механизм периодической или экстренной смены ключей на картах системы (одновременно в обращении до трех версий ключей). После трех подряд неверных предъявлений ПИНа клиентом карта блокируется. Разблокирование выполняется в БПОК. ПИН может быть изменен по желанию владельца.

3) В случае потери/хищения карты клиент обращается в банк-эмитент и его ПИН помещается в стоп-лист, который обновляется и рассылается ежедневно (при знании ПИНа злоумышленник сможет потратить средства с карты в течение суток, в размере лимита активности; при получении стоп-листа банк восстановит эти средства). Емкость стоп-листа зависит от типа терминала. Карты в стоп-листе разбиты на категории по опасности использования (по сумме на карте, потеряна она или украдена, по региону издания). Они исключаются из стоп-листа в случае обнаружения или истечения срока действия.

4) При хищении терминала информация с него недоступна, т. к. содержится в защищенном модуле, недоступном для взлома; журнал транзакций восстанавливается по чекам и карте продавца. При хищении карты продавца или банковского служащего, она исключается из списка зарегистрированных карт и более непригодна для сеансов связи с процессинговым центром.

При разработке варианта защиты информации в платежных системах необходимо использовать отечественные алгоритмы шифрования и электронной подписи, системы защиты от НСД, обладающие «прозрачным шифрованием», отечественные модули безопасности всех устройств платежной системы.

Безопасность платежной системы не может быть обеспечена без решения следующих задач.

Установление пользователя

До начала проведения любой операции устанавливается выпускающая smart card организация, банк, торговая организация, владелец smart card.

Данные выпускающей smart card организации и номер smart card записываются в однократно программируемую память и защищаются от изменения аппаратным способом.

Данные о банке и владельце smart card могут быть изменены на smart card в центре персонализации банка-эмитента при предъявлении соответствующих полномочий (ключей).

Данные о торговой организации вносятся непосредственно в терминал сервисной организации с соответствующих технологических smart card вместе с ключами банков или с smart card кассиров и продавцов.

Проверка целостности данных

Система должна гарантировать, что данные в системе или на smart card не будут изменены неправомочными пользователями неправомочным образом. Целостность данных в системе с шифрованием можно подтвердить имитовставкой, вычисленной на секретных ключах банков. Целостность информации о проведенных операциях (транзакций) подтверждается имитовставками, вычисленными на секретных ключах участников операции (клиента, кассира и продавца). Для систем с электронной подписью вместо имитовставки можно использовать электронные подписи с проверкой их достоверности сертифицированными ранее открытыми ключами. Можно комбинировать оба способа в зависимости от возможностей используемых устройств.

Определение происхождения информации

Все сделки и данные системы должны иметь информацию, идентифицирующую их происхождение и назначение. При выполнении каждой операции фиксируется дата и время операции, организация и терминал, все участники операции. Информация об операции подтверждается сертификатами каждого участника (имитовставкой или электронной подписью). Действительность операции можно проверить на основании соответствующих ключей ее участников. Эти ключи знает участник и банк.

Обеспечение секретности данных

Система должна гарантировать конфиденциальность данных. Только допущенный к системе пользователь имеет возможность просмотра данных. Секретность гарантируется применением шифрования, как в каналах связи, так и внутри устройств.

Проверка оборудования и программного обеспечения

Все оборудование и программное обеспечение, используемое в системе, должно подвергаться проверке с тем, чтобы оно не могло быть использовано в недобросовестных целях. Все терминалы должны быть защищены от несанкционированного доступа аппаратными и программными средствами. Работа терминалов должна быть невозможна без загрузки определенных ключей. Должны вестись журналы работы с фиксацией попыток несанкционированного доступа или использования устройств.

Защита кредитных операций

Система должна выполнять защитные операции при проведении кредитных операций ( переводе денег со счета на smart card):

*  проверку банком действительности smart card,

*  проверку действительности терминала банка,

*  определение владельца карточки по PIN коду,

*  создание подтверждающего электронного сертификата,

*  подтверждение сертификатом проведенной операции,

*  вывод smart card из строя при попытки мошенничества с возможностью восстановления.

Сумма кредита подписывается специальным ключом банка (создание сертификата), если терминалы, работающие в режиме off-line. умеют проверять электронную подпись. Иначе формируется имитовставка на все данные банка и клиента, включая и сумму кредита. Подтверждение сертификатом проведенной операции выполнится в виде электронной подписи работника банка, подтверждающего возможность кредита.

Кредитные операции должны выполняться непосредственно в банке или в режиме on-line. Разрешается их проводить в определенных пределах суммы кредита в режиме off-line.

Защита дебетных операций

При приобретении товаров или услуг производится:

*  проверка терминалом торгового предприятия действительности smart card,

*  проверка картой действительности торгового терминала,

*  определение владельца smart card по PIN коду,

*  проверка наличия средств на smart card,

*  создание подтверждающего электронного сертификата,

*  подтверждение сертификатом проведенной операции,

*  вывод smart card из строя при попытке мошенничества с возможностью восстановления.

Все проверки выполняются аналогично операции кредитования, только в качестве работника банка выступает кассир магазина. Проверка наличия средств на smart card производится путем сравнения суммы услуг с остатком средств на smart card. На smart card записывается с нарастанием сумма истраченных средств. Она сравнивается с предоставленной суммой кредита. Последняя может быть изменена только банком-эмитентом.

Согласование проведенных операций

Все кредитные и дебетные операции, проведенные в течение дня в каждом магазине, собираются, согласовываются и передаются в банк. При этом проверяются:

*  удостоверяется действительность торгового терминала,

*  подлинность сделки,

*  целостность данных о сделке.

Проверка производится на основе оценки сертификатов сделок.

SecurID - технология "двухкомпонентной" аутентификации

В последнее время все чаще используются комбинированные способы аутентификации, требующие, помимо знания пароля, еще и наличия у пользователя специального устройства (например, электронной карточки). Во многих из них применяется схема решения устройством "контрольной задачи", задаваемой сервером аутентификации всякий раз при попытке подключиться к системе. Пользователь вводит "условия" этой задачи (некое число) в свое устройство, получает от него решение (ответный код) и пересылает его обратно на сервер. Некоторые устройства дополнительно требуют ввода идентификационного номера пользователя. Такие "двухкомпонентные" методы аутентификации обеспечивают гораздо более высокий уровень защиты, а кроме того, благодаря предварительной авторизации карточек позволяют достоверно установить лицо, получившее доступ к системе.

Одним из наиболее известных и распространенных средств управления доступом является семейство продуктов компании Security Dynamics Technologies, основанных на технологии "двухкомпонентной" аутентификации SecurID. Высокий уровень достоверности при идентификации пользователей достигается за счет комбинации обычного пароля и некоторого случайного кода (PASSCODE), генерируемого специальным устройством, которое человек носит с собой. В состав системы входят серверное и клиентское ПО управления доступом (ACE/Server, ACE/Client for NetWare, ACE/Client for Windows NT и ряд других продуктов), а также электронные пластиковые карточки (или брелки) с жидкокристаллическим экраном (SecurID token), на который выводится 6- или 8-значный цифровой код, изменяющийся каждые 60 секунд. Для серверной части системы существует и аппаратное решение, используемое главным образом для аутентификации удаленных пользователей.

Механизм аутентификации пользователей SecurID

Чтобы подключиться к системе, пользователь должен ввести с клавиатуры компьютера два числа - свой идентификационный номер (PIN-код) и цифровой код, отображаемый в данный момент на дисплее карточки. Механизм идентификации основан на "согласовании по времени" работы карточки и серверной части системы. В каждую карточку при ее изготовлении записывается уникальный 64-разрядный ключ, полученный с помощью генератора случайных чисел, а также начальное время ("временной штамп"). На основе ключа и текущего времени микросхема карточки каждые 60 с вычисляет по специальному алгоритму хеширования 6- или 8-разрядный код. Сервер системы, на котором проводится аутентификация пользователей, применяет тот же алгоритм и держит в зашифрованном виде все секретные ключи карточек в специальной базе данных, предустановленной изготовителем. Получив запрос на аутентификацию, он выбирает по идентификационному номеру пользователя соответствующий ключ из БД и на его основе, зная текущее время, так же вычисляет ожидаемый PASSCODE. Поскольку в счетчике-таймере карточки со временем может накапливаться ошибка (достигающаяс в год), в системе предусмотрен механизм ее коррекции путем периодической "синхронизации" часов сервера и карточек. При каждом достоверном подключении пользователя к сети ACE/Server определяет и записывает в свою базу данных "временной дрейф" соответствующей карточки и использует его в качестве поправки при последующем запросе на аутентификацию этого же пользователя. С помощью такой "временной истории" сервер способен вычислить правильный PASSCODE для любой карточки.

Если пользователь долгое время (например, в течение нескольких месяцев) не обращался к системе, диапазон допустимых значений PASSCODE может быть расширен и разрешение на подключение дано по коду, отличающемуся от правильного на одну-две минуты. В тех случаях, когда после нескольких неудачных попыток все же поступает правильный код (есть подозрение, что его подбирает неуполномоченное лицо), ACE/Server может тут же затребовать ввод еще одного кода, который должен соответствовать следующему появившемуся на карточке числу. Такая процедура снижает вероятность несанкционированного доступа к системе.

Еще более высокий уровень безопасности обеспечивается с помощью карточки другого типа - SecurID PINPAD Card, оснащенной собственной клавиатурой. Пользователь набирает на ней свой PIN-код, и только после этого генерируемый PASSCODE отображается на дисплее. Данный тип карточки рекомендуется использовать в тех случаях, когда существует повышенная опасность электронного перехвата PIN-кодов в процессе их передачи серверу (например, при удаленном доступе к системе).

ПО управления доступом

ACE/Server обеспечивает централизованную службу аутентификации для всех пунктов доступа к системе - коммуникационных серверов, обслуживающих вызовы по выделенным или коммутируемым линиям связи, брандмауэров Internet, сетевых маршрутизаторов, прикладных программ и т. п., устанавливая тем самым своеобразный "защитный периметр" распределенной корпоративной системы. Благодаря удобному экранному интерфейсу администратор системы может в диалоговом режиме с одного пункта управлять списком и привилегиями всех пользователей, закреплять за ними или отменять действие карточек Secur ID, устанавливать параметры доступа к различным ресурсам и т. д. Все необходимые сведения о пользователях, карточках, а также информация, накапливаемая в процессе выполнения процедур аутентификации, хранится в единой реляционной базе данных, что дает возможность отслеживать активность различных групп пользователей, фиксировать и при необходимости анализировать их действия, формируя соответствующие отчеты, проводить аудиторские проверки.

Благодаря поддержке широкого спектра компьютерных платформ и сетевых сред (в частности, Windows NT, SunOS и Solaris, HP UX, IBM AIX, DEC Unix, SCO Irix и ряда других), стандартных интерфейсов SQL и языков 4GL, а также специальным программам сотрудничества Security Dynamics с ведущими поставщиками ПО, ACE/Server легко интегрируется с существующими приложениями и СУБД и может устанавливаться в уже развернутых корпоративных системах.

Для некоторых сетевых платформ существуют специальные решения, позволяющие усилить имеющиеся в них средства управления доступом за счет применения "двухкомпонентной" аутентификации SecurID.

ACE/Client for Windows NT, включающий в себя программный модуль WebID, дает возможность управлять доступом к корпоративным информационным ресурсам удаленных пользователей, в том числе и через Internet, организовывать защищенные разделы на открытых Web-узлах, разрешая пользоваться ими только прошедшим процедуру аутентификации подписчикам. Функционирующий как клиентская часть ПО управления доступом, ACE/Client for Windows позволяет включить в стандартный механизм регистрации локальных или удаленных пользователей Windows NT процедуру "двухкомпонентной" аутентификации. Это значительно снижает вероятность несанкционированного доступа и обеспечивает (совместно с ACE/Server) централизованное "наблюдение" и запись действий пользователей на всех станциях-клиентах при подключении к системе. ACE/Agent for Netscape Servers, поддерживающий ОС Solaris, HP UX и AIX, предназначен для защиты ресурсов Web-серверов Netscape Enterprise и FastTrack.

Модули управления доступом

Специализированные модули управления доступом ACM/100 HS, ACM/400 HS и ACM/1600 HS, работающие совместно с карточками SecureID Card, являются аппаратной реализацией сервера аутентификации и предназначены главным образом для обслуживания удаленных пользователей, подключающихся к корпоративной сети по выделенным линиям, с помощью модемов по коммутируемым каналам, а также с терминалов. Конструктивно они исполнены в виде автономных блоков и соединяются непосредственно с любым хост-компьютером, имеющим асинхронный последовательный порт RS-232C или RS-422A, сервером приложений или с выделенным сервером защиты корпоративной сети.

Модуль ACM/100 HS имеет один входной канал и способен проводить идентификацию до 100 пользователей, ACM/400 HS обеспечивает защищенный доступ к системе до 200 пользователей по четырем линиям, а ACM/1600 HS - до 400 пользователей по 16 линиям. Модули последнего типа могут выступать и в качестве мультиплексора, объединяя 16 таких же устройств на одну выходную линию и увеличивая тем самым максимальное число обслуживаемых пользователей до 6400.

Недавнее приобретение фирмой Security Dynamics шведской компании DynaSoft AB, одного из ведущих производителей средств защиты корпоративных сетей, известного своей технологией однократной регистрации пользователей SSSO (Secure Single Sign-on) и семейством продуктов BoKS, позволит создавать комплексные решения, обеспечивающие безопасность систем на различных уровнях, - от регистрации, надежной аутентификации и разграничения доступа пользователей к сетевым службам и данным до шифрования сеансов их работы с прикладными программами, исполняемыми на удаленных компьютерах. При этом сама процедура допуска к выделенным ресурсам, независимо от набора используемых сетевых сервисов и местонахождения источников информации, будет проводиться один раз за сеанс работы, что избавляет пользователей от необходимости помнить множество паролей.

Технология речевой подписи

Системы управления доступом с автоматической проверкой полномочий (идентификацией) сегодня все чаще используются в электронных дверных замках, банкоматах, камерах хранения банков, электронно-вычислительных системах и т. п. Однако некоторые недостатки, присущие традиционным системам, создали предпосылки для развития нового поколения технологий идентификации с использованием биометрических параметров личности.

До настоящего времени в системах контроля доступа или защиты от несанкционированного доступа (НСД) применялись идентификационные технологии, имеющие ряд недостатков:

• кража идентификационного документа (ключа или секретного кода) может во многих случаях открыть нежелательному лицу легальный доступ в охраняемые системы;

• не исключается возможность копирования некоторых идентификационных документов;

• большинство идентификационных документов требует организации дополнительной базы данных, а значит и ее защиты, что ведет к дополнительным расходам;

• организация надежной работы известных систем защиты от НСД требует значительных финансовых и временных затрат.

Использование традиционных технологий (секретный код, магнитные и штрих-кодовые полоски, электронные ключи Touch Memory, proximity-карты, ИК-ключи и т. п.) совместно с биометрическими параметрами личности (отпечатки пальцев, рисунок ладони или сетчатки глаза, изображение лица, подпись) позволяет создавать системы контроля доступа с высоким уровнем безопасности. Главной особенностью современных систем можно считать использование автономного средства обработки информации (обычно ПК), способного выделять и обрабатывать биометрические признаки, используя в качестве первичных описаний графические образы (изображения) всех типов представленных данных. Однако до сих пор исключением был речевой сигнал, поскольку традиционно считалось, что из него крайне сложно выделить инвариантные параметры, полноценно его описывающие.

Использование технологии, позволяющей записывать биометрические признаки индивида в виде бинарного изображения на пластиковой карте, привела к идее создания компьютерных систем управления доступом на основе идентификации человеческого голоса, параметры которого представляются в графическом виде, подобно рассмотренному двухмерному штрих-коду.

Речь традиционно считается самой распространенной формой человеческого общения. Поэтому решения задачи получения отпечатка (изображения) речи и наоборот - качественного синтеза речевого сигнала по этому изображению - позволяют обеспечить широкий спектр возможностей применения этой технологии не только в системах автоматизированного контроля доступа, но и в других областях информационной безопасности и связи.

Тем не менее до сегодняшнего дня эти задачи качественно решены не были, хотя все предпосылки для их решения имелись уже давно.

Новые "старые" подходы к обработке речевых сигналов

Согласно известной гипотезе Х. Гельмгольца, высказанной им еще в 1885 году, в процессе слухового восприятия речи в мозгу человека осуществляется ее спектральный анализ. В 1946 году профессором было предложено в процессе исследований и распознавания речи использовать визуальный анализ динамических спектрограмм. В 40-50-е годы исследователи уделяли много внимание анализу структур, полученных в процессе обработки выходных сигналов системой аналоговых фильтров. В 60-х годах ряд физиологических исследований подтвердил целесообразность скользящего спектрального анализа речевых сигналов. Так, в исследованиях Д. Розе отмечено, что каждые 60-100 мкс слуховая система человека как бы опрашивает состояние "гребенки" физиологических фильтров. В исследованиях последних лет было доказано, что используя полноразмерный спектральный анализ речи на основе динамических разверток коэффициентов спектральных преобразований, можно распознавать и восстанавливать речевые сигналы.

Однако элементы (коэффициенты) матрицы динамического спектрального состояния (МДСС), сформированные в процессе цифрового скользящего анализа, по которым его можно восстановить (синтезировать) на основе известных рекуррентных соотношений, нельзя было представить в виде изображений. Основных причин здесь две: знакопеременность значений коэффициентов матрицы из-за присутствия фазовой составляющей сигнала и слишком большая ее размерность - на одну секунду речи в таком ее представлении потребовались бы горы бумаги.

И все-таки выход был найден благодаря полученной зависимости между амплитудной и фазовой составляющей элементов МДСС для речевых и акустических сигналов и разработанным алгоритмам обработки амплитудной составляющей. Это позволило перейти от одномерного (осциллографического) представления речевого сигнала к двухмерному - в виде неких узорчатых рисунков, изображений, получаемых из МДСС. С этими изображениями можно производить цифровую обработку с целью сжатия, удаления помех и т. п., осуществляя также обратный переход от двухмерного представления к одномерному, сохраняя при этом важнейшие особенности (качество, узнаваемость, разборчивость и т. д.) восстановленного таким образом речевого сигнала. Эта технология обработки информации речевых сообщений названа технологией получения отпечатков речи или речевой подписи (РП).

Суть технологии РП состоит в получении из речевого сигнала в буквальном смысле "видимой речи", которую можно наносить в виде некоторого рисунка, узора или двухмерного штрих - кода на поверхность любого материала (бумага, металл, стекло, керамика и др.) и затем восстанавливать речевой сигнал из этих изображений посредством компьютерной обработки.

Технология речевой подписи

Идея речевой подписи состоит в компьютерном преобразовании оцифрованного речевого или любого другого акустического сигнала в бинарное (черно-белое) или многоуровневое (черно-белое или цветное) изображение с последующим его нанесением на поверхность. Такое изображение, введенное в компьютер посредством сканера, после синтеза по специальному алгоритму вновь преобразуется в речевой сигнал. При синтезе бинарного черно-белого изображения РП, полученного в экономичном режиме представления, обеспечивается телефонное качество звучания восстановленной речи. При использовании многоуровневой черно-белой или цветной картинки РП качество звучания синтезированного из картинки речевого сигнала существенно возрастает и практически становится неотличимым от слухового восприятия исходного образца речи.

Технология получения и применения РП основана на использовании стандартных технических средств. Например, для использования РП в документах на бумажных носителях необходим лишь компьютер со звуковой картой, сканер и лазерный принтер. Естественно, сам графический образ исходного речевого сигнала, введенного в компьютер с микрофона, магнитофона или телефонной линии, получается за счет средств специальной программной обработки. Этот образ может быть записан на любой компьютерный носитель информации в виде файла в произвольном формате (*.bmp, *.tif и др.) и/или выведен на печать. РП в составе документа или без него может быть отправлена нужному абоненту по факсу, почтой или фельдъегерской связью обычным порядком. При получении документа с РП абонент вводит его в компьютер, получает файл нужного графического формата, который затем преобразуется специальным программным обеспечением в речевой файл *.voc или *.wav форматов и выводится через звуковую карту на динамики для прослушивания содержимого полученной РП.

Данная технология РП позволяет записывать на бумажный лист стандартного формата А4 от 2 до 5 минут слитной речи. При этом обеспечивается разборчивость, узнаваемость и высокое качество звучания восстановленного речевого сигнала при минимальном разрешении принтера и сканера 300 точек на дюйм.

РП после сканирования и программного синтеза преобразуется в речевой сигнал, при прослушивании которого можно услышать голос одного из авторов, сообщающий некоторые сведения о патенте на технологию речепреобразования.

Следует подчеркнуть, что каждому человеку и каждому произнесенному им слову, фразе будет соответствовать своя уникальная РП, их замещающая. В этой связи наиболее перспективно применение технологии речевой подписи при решении задач идентификации, информационной безопасности, защиты документов от подделки, рекламы товаров и услуг.

Использование РП в системах безопасности

Технология РП может широко применяться в системах идентификации и защиты от НСД. Пример построения таких систем показан на рис.

При регистрации на каждого пользователя заводится специальная карточка: регистрируемый произносит в микрофон парольное слово, фразу, которые можно затем прослушать и, в случае необходимости, еще раз перезаписать, используя программное обеспечение звукового редактора, поставляемое вместе со звуковой картой. После этого специальный алгоритм переводит звуковой файл с парольной фразой или словом в графический образ РП с последующим его печатанием на пластиковой карте, визитке, листе бумаги или другом носителе. Можно к РП добавить любые другие дополнительные данные.

При проверке полномочий предъявителя документа в пункте доступа охрана требует произнести парольную фразу (слово), которые содержатся в документе в виде РП. Затем происходит восстановление речевого сигнала с носителя РП посредством компьютерной обработки. При сравнении звучания и смысла произнесенной предъявителем и восстановленной из графического образа РП фразы принимается решение о допуске лица на охраняемый объект. Кроме того, имеется вариант автоматического (без участия охраны) сравнения произнесенной и синтезированной из РП парольных фраз.

Не верь глазам, а верь ушам своим

Основные преимущества использования технологии РП следующие:

• в отличие от отпечатков пальцев (изображения лица) парольную фразу можно менять хоть каждый час, при сохранении всех характерных признаков голоса, интонации и смысла;

• уникальность РП - слово, фраза произнесены именно этим голосом и имеют именно это смысловое значение;

• не требуется какое-либо дорогостоящее оборудование - все необходимые технические средства имеются в любом офисе: компьютер со звуковой картой, принтер, сканер;

• использование технологии РП совместно с другими, постоянными во времени, биометрическими признаками типа отпечатков пальцев позволит создавать системы защиты от НСД с очень высоким уровнем безопасности (99,99%);

• стандарт представления РП в виде графического образа можно сделать "персональным" для внутреннего пользования в любой организации и компании.

Наклейки с РП на дверях, сейфах, системных блоках компьютеров и в других местах можно использовать как метки фиксации несанкционированного прохода, взлома, проникновения. С уверенностью можно сказать, что производство собственных меток-фиксаторов в виде РП на своей стандартной оргтехнике будет гораздо дешевле заказа на изготовление самоклеющихся голограмм.

В случае использования технологии РП в качестве дополнительного, наряду с другими (подпись ответственного лица, оригинальная печать организации, специальный тип бумаги, водяные знаки, голограммы и т. п.) элемента защиты документов от подделки общая степень защиты документа существенно повышается за счет привязки содержимого РП к содержимому самого документа. В этом заключается основное отличие и преимущество РП по сравнению с другими элементами защиты. При таком использовании технологии РП имеет смысл в речевой подписи указывать ключевые слова документа (например, сумму договора, срок его действия, ФИО ответственного и др.). Несоответствие содержимого РП содержимому документа, а также несовпадение голоса с голосом исполнительного лица, ответственного за подготовку документа, неузнаваемость являются признаком его подделки. Используя РП, можно изготовить защищенные "говорящие" платежные поручения, акцизные марки, гражданские паспорта, пропуска и т. п.

Существует методика создания документов, использующих в качестве защиты от подделки технологию РП. Она заключается в следующем. Каждому вновь создаваемому документу в целях защиты содержащейся в нем информации должна соответствовать своя, связанная только с ним РП. Для этого руководитель предприятия или разработчик документа выбирает такие парольные и ключевые слова, соответствующие информации в документе, утеря или искажение которых в контексте может привести к изменению смысла, значения всего документа. Озвучивание этих слов, с последующим их преобразованием в РП, осуществляется "голосом фирмы", выбору которого должно придаваться большое значение, поскольку голос человека, использующийся в качестве "голоса фирмы", должен быть хорошо известен всем сотрудникам предприятия и партнерам по бизнесу.

Послесловие

Технология РП предвещает появление новых алгоритмов обеспечения безопасности передачи речевых сообщений в общедоступных каналах связи (факс, почта, телефон компьютерные сети и др). Новое представление речевой информации, по-видимому, даст импульс к разработке и исследованию пригодных для любого вида информации новых методов цифровой обработки изображений. Что же касается проблемы создания новых систем закрытия речевых сигналов, то ее решение будет базироваться как на использовании единого и уникального только для данной фирмы графического представления речевого сигнала (внутренний фирменный "стандарт" РП), так и на использовании дополнительных средств криптозащиты графических образов речи, сертифицированных ФАПСИ и ГТК России. Уже сейчас эксперименты подтверждают возможность создания на основе технологии РП как новых типов высокостойких безсинхронизационных аналого-цифровых скремблеров, пригодных для работы в сильно зашумленных каналах связи, так и оригинальных алгоритмов сжатия речи с плавающей, в зависимости от условий канала, скоростью кодирования речевого потока, работающих в реальном масштабе времени на серийных процессорах без привлечения мощностей специализированных процессоров цифровой обработки сигналов типа TMS, ADSP и др. Более того, с помощью технологии РП можно создавать комбинированные средства закрытия речевых сигналов в каналах связи, в которых часть речевой информации закрывается аналого-цифровым скремблированием, а оставшаяся часть передается в этом же канале в цифровом виде. Такие средства закрытия речи будут обладать гарантированной стойкостью и очень высоким качеством восстановленного на приемном конце канала связи речевого сигнала.

В связи с бурным развитием систем компьютерной телефонии проблема распознавания речи становится все более актуальной. Решение задачи масштабирования картинок РП, фактически нормировки слов, позволяет приступить к созданию теоретической и практической базы для поиска подхода к решению проблемы распознавания речи на основе подобия опорных точек изображений речевого сигнала, несущих одинаковую смысловую нагрузку. Здесь за основу могут быть взяты методы поиска подобных отпечатков пальцев, развитые в дактилоскопии. В свою очередь такая специфическая область знаний, как компьютерная фоноскопия, также может использовать достижения технологии РП в своих целях.