Тема 5. СИСТЕМА ОПОЗНАНИЯ И РАЗГРАНИЧЕНИЯ ДОСТУПА К ИНФОРМАЦИИ (СОРДИ)

5.1. ЗАДАЧИ И ОБЩИЕ ПРИНЦИПЫ ПОСТРОЕНИЯ СОРДИ

Основная задача системы опознания и разграничения доступа — это перекрытие несанкционированного и контроль санкционированного доступа к информации, подлежащей защите. При этом разграничение доступа к информации и программным средствам ее обработки должно осуществляться в соответствии с функциональными обязанностями и полномочиями должностных лиц — пользователей, обслуживающего пер­сонала, просто пользователей.

Основной принцип построения СОРДИ состоит в том, что допуска­ются и выполняются только такие обращения к информации, в которых содержатся соответствующие признаки разрешенных полномочий.

В указанных целях осуществляются идентификация и аутентифика­ция пользователей, устройств, процессов и т. д., деление информации и функций ее обработки, установка и ввод полномочий.

Деление информации и функций ее обработки обычно производится по следующим признакам:

•  по степени важности;

•  по степени секретности;

•  по выполняемым функциям пользователей, устройств;

•  по наименованию документов;

•  по видам документов;

•  по видам данных;

•  по наименованию томов, файлов, массивов, записей;

•  по имени пользователя;

•  по функциям обработки информации: чтению, записи, исполне­нию;

•  по областям оперативной и долговременной памяти;

•  по времени дня.

Выбор конкретных признаков деления и их сочетаний производится в соответствии с техническим заданием при проектировании програм­много обеспечения вычислительной системы.

НЕ нашли? Не то? Что вы ищете?

Информация, подлежащая защите, должна быть размещена в непере­секающихся областях памяти. В любой из этих областей хранится сово­купность информационных объектов, каждый из которых подлежит за­щите. Защита в этом случае сводится к тому, что доступ к информацион­ному объекту осуществляется через единственный охраняемый проход. В функцию "охраны" входят опознание пользователя по коду предъявлен­ного пароля и при положительном результате проверки допуск, его к ин* формации в соответствии с выделенными ему полномочиями. Эти про­цедуры выполняются при каждом обращении пользователя: запросе, вы­даче команд и т. д. Чтобы не набирать каждый раз пароль, удобно предъяв­ляемый пароль хранить на специальном физическом носителе (ключе, карте), который перед входом в вычислительную систему должен встав­ляться пользователем в специальное гнездо в терминале.

Если же требо­вания к защите информации для конкретной системы позволяют приме­нение набора пароля вручную, необходимо сделать так, чтобы предъяв­ляемый пароль при повторных обращениях в процессе работы с инфор­мацией находился в памяти данного терминала. Хранение в центральном вычислителе допускается только при обеспечении его связки с условным номером данного терминала, т. е. все последующие обращения в цент­ральном вычислителе должны приниматься на обработку только с услов­ным номером терминала, с которого предъявлялся хранимый код пароля. По окончании работы для исключения возможности несанкциони­рованного доступа со стороны посторонних пользователей необходимо с терминала ввести соответствующую команду, по которой предъявленный ранее и хранимый пароль стирается. О факте стирания на терминал должно быть выдано сообщение.

Для проверки последней операции по­лезно повторить одно из предыдущих обращений без пароля и убедиться по отрицательной реакции вычислительной системы, что обращение в обработку не принимается.

5.2. РАЗГРАНИЧЕНИЕ ПОЛНОМОЧИЙ ПОЛЬЗОВАТЕЛЕЙ

Для реализации указанной процедуры в защищенной области памяти вычислительной системы хранятся таблицы полномочий, которые содер­жат профили полномочий каждого пользователя, терминала, процедуры, процесса и т. д. Эти профили устанавливаются в системе с помощью специальной привилегированной программы, и их можно представить в виде матрицы установления полномочий.

Каждый элемент Ау в матрице установления полномочий определяет права доступа i-го пользователя к у'-му элементу данных. Типичный при­мер такой матрицы приведен в табл. 5.1, где определенным терми­налам пользователей разрешается доступ к определенным элементам дан­ных. Здесь "01" означает право ЧИТАТЬ и "10" — право ЗАПИСАТЬ; "00" в 1-й строке и у'-м столбце означает, что терминалу из /-й строки запре­щены все виды доступа к элементу данных, описанному в у'-м столбце, и "И" означает, что с терминала можно как читать, так и записывать эле­мент данных.

Если дается разрешение на выполнение затребованного действия, это означает, что объект, осуществляющий запрос, имеет необходимые полно­мочия по отношению к этому элементу данных. Наличие же самого разре­шения на доступ зависит от факторов, заложенных в программе разграни­чения доступа: прав пользователя на доступ, прав терминала на доступ, требуемого действия, самого элемента данных, значения элемента данных, или, например, времени дня, согласования или санкции руководства.

Дополнительно к правам ЧТЕНИЕ и ЗАПИСЬ существуют и другие общие типы прав:

•  ИСПОЛНЕНИЕ (исполнить процедуру, когда элементом данных является процедура);

•  УДАЛЕНИЕ (удалить элемент данных из базы данных);

•  ПРИСОЕДИНЕНИЕ (добавить что-либо к концу элемента данных без изменения его первоначального содержания).

Элементы матрицы установления полномочий в этом случае содержат биты, соответствующие действиям, которые могут быть выполнены с терминала при обращении к элементу данных. Однако если это требу­ется, элементы матрицы могут содержать и указатель на соответствую­щие процедуры. Эти процедуры исполняются при каждой попытке дос­тупа с данного терминала к заданному элементу данных и могут ограни­чивать доступ к информации в зависимости от определенных условий.

Приведем несколько примеров:

1) решение о доступе зависит от предыстории. Пользователь А мо­жет записывать данные в файл F только в том случае, если он не читал файл G;

2)  решение о доступе основывается на динамическом состоянии систе­мы. Пользователь В может открыть файл Я только в то время, когда база данных, в которой размещен файл, находится в открытом состоянии;

3)  решение о доступе основывается на текущем содержании информа­ции. Данному пользователю может быть не разрешено читать поле зарплаты, величина которой превышаетдолларов;

4)  решение о доступе основывается на значении определенных внутрисистемных переменных. Доступ может быть осуществлен пользо­вателями данной группы только в определенное время с 7 до 19 ч, ис­ключая работу со специального терминала.

5)  При необходимости эти процедуры можно сделать взаимодействующими.

Таблица 5.1.

Матрица установления полномочий

Место распо­ложения терминала

Имя служа­щего

Адрес служа­щего

Регист­рацион­ный номер служа­щего

Регистра­ционный номер в фонде со­циального обеспече­ния

Квали­фика­ция служа­щего

Дан­ные об ок­ладе

Прог­ноз объ­ема продаж

Цены на за­купки

Отдел кадров

11

11

11

10

11

11

00

00

Касса

01

00

01

01

00

11

00

00

Отдел сбыта

00

00

00

00

01

00

11

01

Отдел материально-технического снабжения

00

00

00

00

00

00

00

11

Исследова­тельский от­дел

00

00

01

00

01

00

00

01

Для входа в таблицу полномочий требуется специальная таблица паро­лей, которая должна содержать список пользователей, процессов, проце­дур и т. д., обладающих правом доступа к информации. Ниже приведен пример такой таблицы (табл. 5.2).

Предложенные формы таблиц могут быть усовершенствованы или из­менены в конкретной вычислительной системе.

В реальных ситуациях обработки данных число строк матрицы полно­мочий может быть весьма значительным, а число элементов данных чрезвычайно большим. Матрица установления полномочий обычно мо­жет быть сжата до приемлемых размеров путем использования неко­торых или всех следующих методов:

Таблица 5.2 .

Таблица кодов паролей

Учетный

номер

Имя пользователя,

процесса, процедуры

Принадлеж­ность

Код пароля

Условный номер терминала

001

Отдел МТС

А 10

002

Отдел кадров

В 20

003

Бухгалтерия

0321687

С 30

004

НИО

5417218

Д 40

Используются специальные регистры границ памяти, замки памяти и ключи, сегментация, дескрипторы, "кольца" изоляции и другие методы. На программном уровне используются создание мониторов виртуальной машины, мандатные системы, системы со списками допуска к информации и т. п. методы.

Выбор метода изоляции определяется требованиями к уровню защиты информации и техническими возможностями проек­тируемой системы, связанными с обеспечением заданных вероят­ностно-временных характеристик. С позиций предлагаемой концеп­ции построения защиты следует отметить, что методы изоляции ре­шают задачу защиты информации только от случайных воздействий.

5.3. СРЕДСТВА КОНТРОЛЯ И УПРАВЛЕНИЯ ДОСТУПОМ

К системе опознания и разграничения доступа относятся: специаль­ное программное обеспечение по управлению доступом, терминал служ­бы безопасности информации (ТСБИ), с которого осуществляется цен­трализованное управление доступом, комплект физических носителей кодов паролей — магнитных карт, пропусков, кредитных карточек и т. д., а также аппаратура записи кодов паролей (АЗКП) на эти носители. Необходимой составной частью СОРДИ должны быть также средства за­щиты кодов паролей (СЗКП). Учитывая накопленный опыт, рекоменду­ется действительные значения кодов паролей в вычислительной системе не хранить. В вычислительной системе хранятся только значения паро­лей, преобразованных с помощью криптографических методов. Подоб­ный метод обеспечивает высокий уровень защиты кодов паролей и, сле­довательно, малую вероятность обхода защиты.

На эффективность работы СОРДИ влияют:

•  выбор параметров паролей;

•  метод защиты кодов паролей, хранимых в вычислительной системе;

•  метод запоминания и хранения кодов паролей для пользователя вне вычислительной системы;

•  организация контроля и управления доступом к информации и средствам ее обработки в вычислительной системе.

5.4. ВЫБОР ПАРОЛЕЙ (КОДОВ ПАРОЛЕЙ)

Объектом аутентификации может быть некоторый объем знаний че­ловека. В случае ввода кода пароля пользователем вручную с клавиатуры терминала идентификатор физически неотделим от человека, но способ­ности человека по запоминанию ограничены, и при увеличении объема информации он стремится записать ее на листке бумаги, который может быть легко утерян или похищен. При выборе пароля естественно возни­кает вопрос, каким должен быть его размер и стойкость к несанкциони­рованному подбору? Какие существуют способы его применения?

Чем больше длина пароля, тем большую безопасность будет обеспечи­вать система, так как потребуются большие усилия для его отгадывания. Это обстоятельство можно представить в терминах ожидаемого времени раскрытия пароля или ожидаемого безопасного времени.

Ожидаемое безопасное время (Гб) — полупроизведение числа возможных паролей и времени, требуемого для того, чтобы попробовать каждый пароль из по­следовательности запросов. Представим это в виде формулы:

(5.1)

где t — время, требуемое на попытку введения пароля;

Rскорость передачи (символы/мин) в линии связи;

Е — число символов в передаваемом сообщении при попытке получить доступ (включая пароль и служебные символы);

S — длина пароля;

А — число символов в алфавите, из которых составляется пароль (т. е. 26, 36 и т. д.).

Например: при R = 600 симв./мин., £ = 6, S= 6 и А = 26 ожидаемое безопасное время:

Если после каждой неудачной попытки подбора автоматически пре­дусматривается десятисекундная задержка, то безопасное время резко увеличивается.

Если в дополнение к R, Е, М и А примем, что Р — задаваемая вероят­ность того, что соответствующий пароль может быть раскрыт посторон­ним лицом, и М— период времени, в течение которого могут быть пред­приняты эти попытки (в месяцах при работе 24 час/день), то получим формулу Андерсона:

(5.2)

Если R, Е, М и Афиксированы, то каждое значение (длина пароля) будет давать различную вероятность Р правильного его отгадывания. Ес­ли мы хотим построить систему, где незаконный пользователь имел бы вероятность отгадывания правильного пароля не большую, чем Р, то нам следует выбрать такое S, которое удовлетворяло бы выражению (5.2).

Допустим, что мы хотим, используя стандартный английский алфа­вит, установить такой пароль, чтобы вероятность его отгадывания была не более 0,001 после трехмесячного систематического тестирования. Допус­тим, что скорость передачи по линии связи 600 символов/мин и что за одну попытку посылается 20 символов.

Используя соотношение (5.2), получаем:

Следовательно, при данных обстоятельствах нам следует выбирать S=7.

Нетрудно заметить, что в выражениях (5.1) и (5.2) величина S явля­ется показателем возведения в степень и, следовательно, оказывает боль­шое влияние на безопасное время и вероятность раскрытия пароля. Так, если безопасное время для трехсимвольного пароля, выбранного из 26-сим-вольного алфавита, составит три месяца, то для четырехсимвольного — 65 лет.

Выбор длины пароля в значительной степени определяется развитием технических средств, их элементной базы и быстродействия. В настоя­щее время широко применяются многосимвольные пароли, где S > 10. В связи с этим возникают вопросы: как и где его хранить и как связать его с аутентификацией личности пользователя? На эти вопросы отвечает комбинированная система паролей, в которой код пароля состоит из двух частей. Первая часть состоит из 3—4-х десятичных знаков, если код цифровой, и более 3—4-х, если код буквенный, которые легко могут быть запомнены человеком. Вторая часть содержит количество знаков, определяемое требованиями к защите и возможностями технической ре­ализации системы, она помещается на физический носитель и опреде­ляет ключ-пароль, расчет длины кода которого ведется по указанной вы­ше методике. В этом случае часть пароля будет недоступна для наруши­теля.

При расчете длины кода пароля, однако, не следует забывать о том, что при увеличении длины пароля нельзя увеличивать периодичность его смень1 на новые значения более 1 года. Коды паролей необходимо ме­нять обязательно, так как за большой период времени увеличивается вероятность их перехвата путем прямого хищения носителя, снятия его копии, принуждения человека. Выбор периодичности необходимо опре­делять из конкретных условий работы системы, но не реже одного раза в год. Причем дата замены и периодичность должны носить случайный характер.

Некоторые изменения в схеме применения простого пароля создают большую степень безопасности. Например, при обращении пользователя к системе у него могут быть запрошены отдельные символы из пароля по выбору ЭВМ. В схеме однократного использования пароля пользо­вателю выдается список из N паролей. Такие же пароли хранятся в ЭВМ (конечно, в зашифрованном виде). После использования 1-го по списку пароля в следующий раз должен быть применен 2-й пароль, так как 1-й пароль в памяти ЭВМ стирается и т. д. Этот способ весьма эффективен, но не всегда удобен. Он используется при относительно редких обраще­ниях или передаче специальной информации.

Пароли однократного использования могут применяться также для проверки подлинности сообщения об окончании обслуживания пользо­вателя или завершении его работы на ЭВМ. В этом случае уменьшается вероятность использования системы опытным нарушителем, который может послать пользователю ложное сообщение об отключении ЭВМ и продолжать с ней работу от его имени.

Рис. 5.1. Принцип построения устройства считывания информации с магнитной карточки:

1 — ферритовая плата; 2 — датчик Холла; 3 — щель;

4 — считываемая карточка; 5 — намагничиваемый слой;

6 — намагничиваемый участок; 7 — магнитосиловые линии

При этом носитель выполнен в виде карточки с нанесенным на нее магнитным слоем, в котором в соответствии с заданной кодировкой создаются при записи намагниченные или ненамагниченные участки. Принцип построения устройства показан на рис. 5.1.

Датчик Холла 2 находится в положении, перпендикулярном к карточке 4, несущей на себе магнитную информацию. Поток, исходящий из маг­нитного участка 6 карточки 4, при продольном скольжении карточки 4 возле головки захватывается ферритовыми платами / и Отклоняется через щель 3. При этом датчик Холла 2 перпендикулярно пронизывается маг­нитным потоком с индукцией, пропорционально остальной индукции магнитной ленты. Если через датчик Холла в направлении, перпендику­лярном плоскости чертежа, пропустить постоянный ток управления, то возникнет напряжение Холла, пропорциональное остаточной индукции.

В устройстве для записи и (или) считывания намагничиваемых конт­рольных карточек, предлагаемом Лиенхардом X. и (Швейцария), используется оригинальное техническое решение. Контрольная карточка состоит из слоя основы 12, магнитного накопительного слоя 13 и магнитного ком­мутационного слоя 14. Коммутационный слой 14 с очень небольшим промежутком размещен над накопительным слоем 13 и отделен от него изолирующим слоем 15. Над коммутационным слоем расположен слой покрытия 16 (рис. 5.2).

Накопительный слой 13 и коммутационный слой 14 обладают ани­зотропными свойствами. Легкая ось накопительного слоя 13 и коммута­ционного слоя 14 обозначена стрелкой 17 (рис. 5.3), а жесткая ось обо­значена пунктирной стрелкой 18. Легкая и жесткая оси взаимно перпен­дикулярны и проходят параллельно плоскости карточки. Напряженность анизотропного поля накопительного слоя 13, например, в 10 раз больше, чем его величина у коммутационного слоя 14.

Отдельные слои контрольной карточки 11 могут состоять из материалов, которые обычно применяются в технике тонкопленочных запоминающих устройств.

Рис. 5.2. Схема взаимодействия магнитных полей в карточке (фрагменты а и б)

Рис. 5.3. Конструкция магнитной карты

Слой основы 12 и покрывающего слоя 16 может быть изго­товлен из пластика (даже картона). Накопительный и коммутационный слои могут состоять из сплавов Fe—Ni—Co, из соединений таких редкозе­мельных элементов, как самарий или иттрий с кобальтом, из соединений окиси железа с барием или со стронцием и т. д. На слой основы 12 или на изолирующий слой 15 они могут наноситься гальваническим путем, напы­лением, в виде наплавления или путем ламинирования в виде связанного с синтетической смолой материала. Изолирующий слой 15 может быть вы­полнен, например, из окиси кремния или из синтетического материала.

Запись (магнитное кодирование) и считывание информации с носи­осуществляется при помощи ортогональной системы проводни­ков, которая в приведенном примере образована множест­вом геометрически параллельных, расположенных в направлении, пер­пендикулярном легкой оси 17, ленточными проводниками 20, 21. Прово­дящая петля 20, 21 дважды пересекает ленточный проводник 19. Каждый из ленточных проводников 19 относится к двум ячейкам запоминаю­щего устройства носителя. Чтобы увеличить количество ячеек, нужно иметь большее количество проводящих петель 20, 21, что ведет также к тому, что каждый из ленточных проводников 19 соответственно принад­лежит к группе ячеек запоминающего устройства.

Ленточные проводники 19 работают в качестве проводов запроса слов, а проводящие петли 20, 21 при записи в качестве проводов запроса битов, а при считывании — в качестве проводов считывания. Для записи информации в выбранную ячейку запоминающего устройства носитоновый импульс кодовой комбинации /„ выдается в ленточный про­вод 19, проходящий над данной ячейкой запоминающего устройства, и одновременно в проводящую петлю 20, 21 выдается токовый импульс бита /с. В результате под местами перекрещивания ленточных проводников 19 с проводящей петлей 20, 21 будет записываться информация в двух допол­нительных доменах, которые вместе представляют собой 1 бит.

Магнитное состояние двух дополнительных доменов носипри обесточенных ленточных проводниках 19, 20, 21 видно из представлен­ного на рис. 5.2а, на котором одинаковыми относительными числами обозначены одинаковые с представленными на рис. 5.3 детали. Стрелки 22, 23 указывают направление постоянного магнитного потока в накопи­тельном слое 13. Благодаря магнитной связи между накопительным сло­ем 13 и коммутирующим слоем 14 магнитный поток в коммутирующем слое 14 устанавливается во встречном направлении, указанном стрел­ками 24, 25, по отношению к магнитному потоку, расположенному на­против накопительного слоя 13. В результате этого получается практи­чески замкнутый магнитный контур с очень небольшим полем рассея­ния, которое может быть значительно уменьшено за счет подбора тол­щины слоя основания 12 и слоя покрытия 16.

Для считывания информацииимпульс то­ка подается на соответствующий ленточный проводник 19. Возникаю­щее в результате этого магнитное поле поворачивает намагниченность в коммутационном слое 14 в направлении жесткой оси 18, т. е. перпенди­кулярно к плоскости чертежа (рис. без оказания при этом сущест­венного воздействия на намагниченность доменов в расположенном на рис. 5.3. Схема записи и считывания информации с магнитной карточки в накопительном слое 13. Замкнутый до этого контур магнитного поля разомкнётся, и в проводящей петле 20, 21 будет индуцировано напряже­ние сигнала, полярность которого зависит от направления магнитного потока в накопительном слое, и таким путем будет показано, является ли данный бит логической "1" или "0".

Для изменения информации должен быть перемагничен и накопитель­ный слой 13. Для этого необходимо совпадение между магнитным полем по жесткой оси 18 и магнитным полем по легкой оси 17. Первое магнит­ное поле получается под воздействием токового импульса слова /„, а второе магнитное поле — под воздействием токового импульса бита 1С. В зависимости от направления токового импульса бита 1 производится за­пись такой пары доменов, которая представляет собой "1" или "0".

На рис. 5.3 показаны основные детали устройства записи и (или) считывания. На рисунке показана та сторона магнитной головки 26, ко­торая входит в соприкосновение с непоказанным на рисунке носителем (карточкой).

Магнитная головка состоит из изолирующего корпуса 27, на верхней стороне которого расположена ортогональная система проводников. Ленточные проводники 19 одним своим концом непосредственно, а другим концом через переключатель выбора слов 28 подключены к формирователю-уси­лителю слов 29. Проводящая петля 20, 21 одной стороной подключена к формирователю-усилителю битов 30, а другой — на вход дифференци­ального усили

Поверхность магнитной головки 26, находящаяся внутри ограничи­тельной пунктирной линии 32, выполнена в виде плоской контактной поверхности и имеет направленный назад уступ. Между ленточными проводниками 19 и петлями 20, 21 имеется тонкий изолирующий слой.

Магнитные носители кода пароля изготавливаются также из однород­ной магнитной полоски, на которой запись выполняется с помощью то­чечного намагничивания в отдельных выбранных областях (например: патент США № 000). Такая полоска в типичном случае формируется из феррита бария, равномерно нанесенного на гибкую основу из матери­ала типа резины. Эта полоска является довольно мягкой даже при значи­тельной толщине. Для получения сравнительно жесткой карточки, вклю­чающей подобный материал, магнитную полоску размещают между пла­стмассовыми полочками такой же длины и ширины, а затем все три скрепляются друг с другом с помощью надлежащего клеющего вещества и (или) с помощью термообработки под давлением или по технологии, предложенной Давидом Кремером (патент США № г.). Носи­тель кодируется при изготовлении на заводе путем намагничивания его участков в направлении, перпендикулярном плоскости носителя и в со­ответствии с выбранным кодом.

Устройство считывания таких носителей имеет щель, в которую такой носитель вставляется согласно инструкции, напечатанной на нем. При этом намагниченные участки совмещаются с датчиками считывающего устройства, с которых соответствующие сигналы поступают на схему управления.

Схема управления сравнивает полученный код с хранящимся в ее па­мяти и при положительном результате включает исполнительное уст­ройство.

В качестве датчиков при этом могут использоваться язычковые перек­лючатели (герконы) или датчики Холла. В конструкциях устройств с язычковыми переключателями при применении кодовых карт с намаг­ничиванием участков ее поверхности было обнаружено (патент США № 000), что магнитный участок с увеличенной величиной потока может быть получен в результате намагничивания участка необходимой полярности. Кроме того также было обнаружено, что величина потока намагниченного участка может быть дополнительно увеличена создани­ем на карте некоторых областей или полосок заданной полярности.

1-й метод изображен на рис. 5.4, на котором заштрихованная часть намагничивается перпендикулярно лицевой поверхности карты, так что, например, лицевая поверхность приобретает северную полярность. Если необходимо закодировать карту на участках 1, 2, 3, сильный магнитный поток противоположной полярности пропускают через требуемые намаг­ничиваемые участки посредством относительно небольших электродов, диаметр которых примерно равен диаметру требуемых участков.

Рис. 5.4. Схема намагничивания перпендикулярно лицевой поверхности карты

Рис. 5.5. Схема намагничивания полосок с чередующейся полярностью (вариант 1)

Рис. 5.6. Схема намагничивания полосок с чередующейся полярностью (вариант 2)

По второму методу еще более увеличенный магнитный поток можно получить путем намагничивания на карте полосок с чередующейся по­лярностью (рис. 5.5 или рис. 5.6).

При расположении по рис. 5.5 и 5.6 большинство язычковых пе­реключателей 4 (под (над) ненамагниченными участками) подвергаются действию различных полярностей на их противоположных концах и по­этому стремятся замкнуться, тогда как переключатель 5 соответствующе­го участка 1, 2, 3 стремится перейти в разомкнутое состояние (если карта установлена правильно).

В последнее время с развитием полупроводниковой электронной тех­ники и технологии появились носители кодов с малым числом надежных контактов. Высокая степень интеграции выполняемых функций в единице объема и интегральная технология полупроводниковой техники позволили разместить в объеме кодовой карты микропроцессор с различными типа­ми запоминающих устройств с достаточным объемом информации и ко­личеством возможных операций по ее обработке. Таким устройством на­пример, является карта СР8, рассматриваемая в статье "Карта СР8 и проблема безопасности" (Girardot Y. "LA CARTE CP8 ЕТ LES PROBLEMES DE SECURITE" Worldwide Congress on Computer and Communications security and Protection, Paris, France 1983).

По сообщению автора, карта СР8 способна выполнять алгоритмы, основанные на данных, которые содержатся в запоминающих устройст­вах или находятся вне их. Она обеспечивает качество, необходимое для решения проблем безопасности, такое, как идентификация, установле­ние подлинности, сертификация, передача конфиденциальных данных, шифрование. Эти ее свойства уже используются при заключении финан­совых сделок, телевизионной связи, телефонной связи и т. д. Ниже при­водится описание карты с использованием терминологии автора.

Карта СР8 имеет структуру и размеры кредитной карточки. По своему внешнему виду она отличается от кредитной карточки наличием на ее лицевой стороне позолоченной кнопки, имеющей две контактные по­верхности. Они дают возможность связываться с монолитной кремние­вой микросхемой, расположенной в толще карты Использование микросхемы осуществляется с помощью щелевого переключателя, имеющего набор контактов, которые накладываются на кнопку при введении карты.

Микросхема СР8 фактически является микросистемой информатики, включающей микропроцессор, инициализатор, определитель участка ин­формации, запоминающие устройства типа RAM, ROM и PROM. Диалог с микросхемой ведется по однопроводному, двустороннему, асинхрон­ному каналу.

Запоминающее устройство RAM является рабочей памятью микро­процессора.

Нестираемая память ROM, запрограммированная при изготовлении микросхемы, хранит программы, обеспечивающие функции: обслужива­ния; управления запоминающими устройствами; безопасности и испол­нения алгоритмов.

Эти функции приспособлены для всех видов применения.

Запоминающее устройство RAM принимает и хранит данные, харак­терные для каждого вида применения.

Эти данные программируются и записываются сначала при введении карты в действие, а затем во время ее обычного использования. Эта опе­рация выполняется под контролем самого микропроцессора, который имеет для этой цели набор адресов и данных.

Запоминающее устройство PROM разделено на зоны, выполняющие специфические роли:

•  секретная зона содержит три ключа и секрет. Она недоступна из­вне. Ключи и секрет имеют длину с устанавливаемыми параметрами;

•  конфиденциальная зона, доступная для считывания только с помо­щью ключа, который предварительно сообщается;

•  зона сделок доступна для считывания или записи;

•  зона, свободная и доступная только при считывании.

Две других зоны содержат, с одной стороны, служебную информа­цию, пригодную для использования, на которое рассчитана карта, и, с другой стороны, — запоминание полномочий под контролем ключей. Схема карты показана на рис. 22.11.

Идентификация личности абонента на СР8 осуществляется путем сравнения результата преобразования информации, поступающей от не­го через одно из следующих устройств ввода, подключенных к карте: клавишное устройство, микрофон, датчик, составитель цифрового кода, анализатор и т. д. и сравнительного кода ключа.

Результат сравнения выдается на выход карты СР8.

При обмене информацией между двумя владельцами карт СР8 суще­ствует возможность проводить аутентификацию друг друга. Такие узна­вания проводятся прежде всего путем местной идентификации, а затем путем взаимного удостоверения по процедуре ТЕЛЕПАСС. Алгоритм ТЕЛЕПАСС выдает результат, являющийся сложной необратимой функ­цией Р.

•  информации Д выданной карте;

•  информации, взятой в карте по указанному адресу;

•  секрета S.

В настоящее время карта, подобная СР8, называется смарт-картой (Smart — интеллектуальная). Современное состояние производства, сфера применения и перспективы их развития достаточно хорошо опи­саны в материалах фирмы Айти Биллом Манжино (Bill Mangino), ко­торые частично приводятся в следующей главе.

В последнее время в России в качестве электронных идентифика­торов широко используют также малогабаритные устройства Touch Memory, разработанные американской фирмой Dallas Semiconductor. Ос­новными блоками приборов семейства Touch Memory являются постоян­ное запоминающее устройство (ПЗУ) и оперативное запоминающее ус­тройство (ОЗУ), кроме DS 1990, имеющего только ПЗУ. Конструктивно эти устройства выполнены в виде небольшой таблетки, касанием ко­торой к считывающему устройству, установленному на ПЭВМ, произво­дится с нее считывание кода пароля. Достаточно подробное описание Touch Memory приводится в статье в журнале "Защита информации. Конфидент" 1994, № 1.

5.5. ОБЗОР ВОЗМОЖНОСТЕЙ СМАРТ-КАРТ

Смарт-карты представляют собой совершенно новую технологию, по­этому даже те немногие, кто знает, что такое смарт-карта, едва ли имели возможность ими пользоваться. В будущем смарт-карты обещают стать частью повседневной жизни каждого из нас, заменив кредитные карты с магнитной полосой и даже наличные деньги. Этот процесс уже начался в Европе, в частности во Франции, где была изобретена смарт-карта.

Смарт-карты (рис. 5.7) могут быть использованы вместо монет для оплаты телефонных разговоров (наиболее распространенное на сегодня их применение), в качестве электронного кошелька для приобретения то­варов, в качестве больничной карточки, водительского удостоверения, международных карточек для туристов с автоматическим конвертированием валюты, пропуска в здание, карты доступа к компьютеру и т. д. В настоя­щее время разрабатываются многофункциональные смарт-карты, способ­ные сочетать в себе некоторые или все вышеперечисленные приложения, а также и другие, что станет возможным по мере технического усовершен­ствования характеристик карты и ее способности хранить информацию.

Что такое смарт-карта? В этом вопросе две части: что такое карта и что делает ее интеллектуальной ("smart")? Первая часть проста: карта должна соответствовать спецификациям Международной организации по стандартизации (ISO), которые устанавливают физические размеры карты и то, как она будет вести себя при различных механических, физи­ческих, химических и других воздействиях. В соответствии со спецификой ISO 7816/1 размеры платы должны быть: длина: 85.6 мм; ширина: 53.9 мм; толщина: 0.76 мм.

Чтобы быть "интеллектуальной", карта должна иметь возможность не только хранить данные, но также манипулировать ими согласно зало­женным правилам. Эту возможность дает ей микросхема, встроенная в пластинку размером с кредитную карточку (ISO 7816). Эта микросхема снабжена процессором, памятью, вводом-выводом и собственной опера­ционной системой для обеспечения защиты. Смарт-карты иногда назы­вают картами с интегральной микросхемой (Integrated Circuitry Card, 1С Card), но, пока они не обладают собственной логикой, они не являются настоящими смарт-картами.

Смарт-карта была изобретена французом Роланом Морено в середине 70-^х годов, но только в конце 80-х годов технологические достижения сделали ее достаточно удобной и недорогой для практического использо­вания. Остановимся на различных типах карт, которыми пользуются се­годня во всем мире.

Пластиковые карты. Самые простые пластиковые карты обычно со­держат имя изготовителя и его фирменный знак, а также имя владельца И его идентифицирующий код (ID). Эти данные просто или рельефно напечатаны на передней стороне карты. Обратная сторона карты может иметь место для подписи владельца карты. Пластиковые смарт-карты обычно используются для идентификации членов клуба, постоянных авиапассажиров и т. д.

Магнитные карты. Магнитные карты имеют такой же вид, что и обыкновенные пластиковые карты, за исключением того, что они имеют магнитную полосу на обратной стороне карты. Магнитная полоса может хранить около 100 байт (символов) информации, которая считывается специальным считывающим устройством. Информация, содержащаяся на магнитной полосе, совпадает с записями на передней стороне карты, т. е. включает в себя имя, номер счета владельца карты и дату окончания действия карты. Магнитные карты обычно используются как кредитные карточки (типа VISA, MasterCard, EuroCard, American Express и т. д.), как банковские дебитные карточки, карточки для банкоматов, а также как телефонные кредитные карточки.

Карты памяти. Карты памяти выглядят так же, как обычные пластико­вые карты, за исключением того, что они имеют встроенную микросхему. Карту памяти иногда называет смарт-картой, но само ее название говорит. о том, что микросхема карты содержит только память. Все "интеллектуаль­ные" возможности карты поддерживаются считывающим устройством (ус­тройством, которое может читать и записывать в память карты). Объем па­мяти обычной карты составляет приблизительно 256 байт, но существуют карты с объемом памяти от 32 до 8 Кбайт. Эта память реализована или в виде ППЗУ (EPROM), которое можно считывать много раз, но в каждый адрес такой памяти информация может быть записана только один раз, или в виде ЭСППЗУ (EEPROM), которое можно перезаписывать и считы­вать многократно. Хотя смарт-карты дороже, чем магнитные карты, цены на карты памяти за последнее время значительно снизились в связи с усо­вершенствованием технологии и ростом объемов производства. Стоимость карты памяти непосредственно зависит от стоимости микросхемы, стои­мость которой зависит, в свою очередь, от емкости памяти. Хотя карты памяти защищены лучше, чем магнитные карты, но уровень их защиты не очень высок, поэтому они используются в прикладных системах, которые не требуют значительного уровня защиты информации, например для оп­латы телефонных разговоров.

Карты оптической памяти. Карты оптической памяти имеют большую емкость, чем карты памяти, но данные на них могут быть записаны только один раз. В таких картах используется WORM-технология (одно­кратная запись — многократное чтение). Лазер прожигает в каждой ячейке памяти значение, равное 0 или 1 (подобным образом записывает­ся музыка на цифровых аудио-компактдисках). Обычная карта может хранить от 2 до 16 Мбайт информации. Такие карты обычно использу­ются в приложениях, где необходимо хранить большие объемы данных, не подлежащих изменению, например медицинские записи.

Смарт-карты. Внешне смарт-карты похожи на карты памяти, однако микросхема смарт-карты содержит "логику", что и делает эти карты интеллектуальными, по-английски — "smart". Микросхемы смарт-карты представляют собой полные микроконтроллеры (микрокомпьютеры) и содержат следующие компоненты:

CPU (центральный процессор) — устройство для обработки инструк­ций карты.

RAM (ОЗУ) — память для временного хранения данных, например результатов вычислений, произведенных процессором.

ROM (ПЗУ) — память для постоянного хранения инструкций карты, исполняемых процессором, а также других данных, которые не изменя­ются. Информация в ПЗУ записывается в процессе производства карты.

EPROM (ППЗУ) — память, которая может быть прочитана много раз, но записана только однократно. В ППЗУ организация, выпускающая карту в обращение, записывает данные о ее владельце.

EEPROM (ЭСППЗУ) — память, которая может быть перезаписана и считана многократно. В этой памяти хранятся изменяемые данные вла­дельца карты. ППЗУ и ЭСППЗУ не теряют данные при отключении пи­тания.

I/O (ввод-вывод) — система для обмена данными с внешним миром.

Operating system (Операционная система или программное обеспече­ние карты) — инструкции для процессора, хранящиеся на карте.

Security features (Система безопасности) — встроенная система безо­пасности для защиты данных с возможностью их шифрования.

Смарт-карта в действительности представляет собой небольшой ком­пьютер, способный выполнять расчеты подобно персональному компью­теру. Наиболее мощные современные смарт-карты имеют мощность, со­поставимую с мощностью персональных компьютеров начала 80-х годов. Операционная система, хранящаяся в ПЗУ смарт-карты, принципиально ничем не отличается от операционной системы PC. ЭСППЗУ использу­ется для хранения данных пользователя, которые могут считываться, за­писываться и модифицироваться так же, как данные на жестком диске персонального компьютера.

Смарт-карты имеют различную емкость, однако типичная современ­ная смарт-карта имеет ОЗУ 128 байт, ПЗУ 2-6 Кбайт и ЭСППЗУ 1—2 Кбайта. Некоторые смарт-карты также содержат магнитную полоску, что позволяет использовать их в качестве кредитных карточек. Смарт-карты дороже карт памяти, их стоимость определяется стоимостью микро­схемы, которая прямо зависит от размера имеющейся памяти. Смарт-карты обычно используются в приложениях, требующих высокой степе­ни защиты информации, например в финансовой практике.

Суперсмарт-карты. Примером может служить многоцелевая карта фирмы Toshiba, используемая в системе VISA. В дополнение ко всем возможностям обычной смарт-карты эта карта также имеет небольшой дисплей и вспомогательную клавиатуру для ввода данных. Эта карта объ­единяет в себе кредитную, дебетную и предоплатную карты, а также вы­полняет функции часов, календаря, калькулятора, осуществляет конвер­тацию валюты, может служить записной книжкой и т. д. Из-за высокой стоимости суперсмарт-карты не имеют сегодня широкого распростране­ния, но сфера их использования будет, вероятно, расширяться, посколь­ку они являются весьма перспективными.

КАК СМАРТ-КАРТЫ ИСПОЛЬЗУЮТСЯ СЕГОДНЯ?

Карта с магнитной полосой. С этой картой знакомо наибольшее коли­чество людей. Кредитные карточки всегда содержат имя владельца, но­мер карты и дату окончания ее действия, которые напечатаны рельеф­ными буквами на лицевой стороне карты, а также подпись владельца на обороте. Рельефная печать необходима для того, чтобы карта могла "чи­таться" на ручных обрабатывающих машинах. Карта вставляется в обра­батывающую машину, сверху кладутся 3 копии счета, бланки которых напечатаны на специальной копировальной бумаге, и рукоятка обраба­тывающей машины вручную перемещается по ним. Рельефная надпись на карточке отпечатывается на трех копиях чека, покупатель подписыва­ет их, и продавец сверяет подпись с подписью на обороте карты. Клиент сохраняет одну копию чека, продавец сохраняет вторую, а третья копия предназначена для компании, выпустившей кредитные карточки в обра­щение. Продавец может по желанию позвонить в местный офис компании, выпустившей кредитную карточку, для того, чтобы проверить, не укра­дена ли карта и не превышен ли кредит. Сегодня лишь небольшое число учреждений еще использует эту ручную систему. Из соображений безопасности большинство учреждений использует "интерактивные" систе­мы, которые описаны ниже.

Информация, хранящаяся на магнитной полосе карты, может быть счи­тана путем продвижения карты через считывающее устройство, которое, к тому же, может распечатать чек. Считывающее устройство обычно соединя­ется интерактивно через модем и стандартную телефонную линию с цент­ральным компьютером в городе или регионе. Центральный компьютер удо­стоверяет, что карта не украдена, кредит не превышен, после чего подтвер­ждает транзакцию. Сегодня большая часть учреждений использует интерак­тивные системы, чтобы уменьшить риск мошенничества, которое было рас­пространено при ручной обработке карты, а также чтобы сохранить время, необходимое для проверки карты по телефону с помощью оператора.

В начале каждого месяца держатель кредитной карточки получает со­общение из компании, выдавшей карточку, которое подводит итог рас­ходов в предыдущем месяце (дата, место, количество и т. д.). Сумма должна быть выплачена к концу месяца, в котором получено сообщение. По желанию, держатель карты может задержать выплату части платежа до получения сообщения следующего месяца. В этом случае к невыпла­ченной сумме добавляется кредитный процент. Некоторые карточки, по­добно American Express, не являются кредитными карточками и требуют полной оплаты счета вовремя в каждом месяце.

Обычно кредитные карточки (за исключением American Express) имеют ограничения на кредит в течение месяца. Этот кредитный лимит увели­чивается, если владелец карты использует ее часто и оплачивает свои счета вовремя. Владелец карточки обычно платит ежегодный взнос за свою карточку, хотя некоторые типы карточек являются бесплатными. Этот ежегодный взнос может колебаться от 25.00$ за карточку, выпу­щенную банком, до 250.00$ за карточку American Express Platinum, ко­торая предоставляет большое число специальных услуг для путешест­вующих бизнесменов.

Некоторые магнитные карточки используются как "дебитные кар­точки". Дебитные карточки используются так же, как кредитные карты, за исключением того, что во время покупки плата взимается непосредст­венно со счета владельца карточки в его банке. Так как владелец кар­точки должен иметь достаточное количество денег на своем счете в бан­ке, чтобы иметь возможность покрыть свои расходы, системы использо­вания дебитных карточек должны всегда быть интерактивными.

Карточки банкоматов (ATM cards) могут использоваться для получе­ния наличных денег в автоматических кассах, установленных в банках. Во многих странах держатели таких карт могут получать свои деньги в банкоматах 24 часа в день. Получение денег осуществляется путем поме­щения карточки в банкомат и набор для секретного личного кода — PIN (Personal Identification Number — персональный идентификационный номер) на специальной клавиатуре. В целях защиты системы вводится предельная сумма, которая может быть получена через банкомат в тече­ние суток (в США — $300.00). В зависимости от банка или его отделения за каждую выдачу наличных денег может взиматься некоторая плата. Многие карточки для банкоматов могут также использоваться как кре­дитные или дебитные карточки.

В настоящее время во всем мире используется около 2.000.000.000 кредитных и дебитных карточек с магнитными полосками. Они могут быть разделены на 5 основных категорий:

□  Банковские карточки — типа Visa, MasterCard, карты для банкоматов и т. д. Выдаются банками.

□  Карты для оплаты покупок в магазине выдаются сетью магазинов, ис­пользующих данные карты.

□  Карты для покупки бензина выдаются ведущими компаниями для приобретения бензина на их заправочных станциях.

□  Карты, используемые для путешествий и развлечений, выдаются ком­паниями типа American Express и др.

□  Карты для оплаты телефонных разговоров продаются телефонными компаниями.

Существуют магнитные карточки одноразового и многократного при­менения, на которых записывается некоторая сумма, например японские телефонные карточки (одноразовые) или карточки для оплаты проезда в метро в Гонконге (многоразовые). Оба типа карт имеют толщину, мень­шую, чем принято в международном стандарте ISO (0,025 мм). Японская телефонная карточка имеет наиболее широкое распространение и была выпущена тиражом более чем 1.000.000.000 штук. Использование этих карт подобно использованию карт памяти, описанных ниже.

Карты памяти. Среди карт памяти наибольшее распространение сего­дня получили европейские телефонные карточки типа используемых во Франции и Германии. Франция впервые использовала телефонные кар­точки со встроенной микросхемой для общественных телефонов в 1983 г., но массовое их использование началось в 1988 г. В течение 1992 г. было продано приблизительно 85 млн французских телефонных карточек — "Telecartes", которые можно использовать более чем в 100.000 публичных телефонных аппаратов.

Приобретенная телефонная карточка позволяет сделать определенное число звонков, соответствующее числу "единиц" (unit). Одна единица соответствует одному местному телефонному звонку. Карточка вставля­ется в разъем телефонного аппарата, на дисплее которого показывается число оставшихся единиц. По мере использования карточки число ос­тавшихся единиц уменьшается. Когда карточка полностью израсходо­вана, ее выбрасывают (в некоторых случаях карточки сохраняются кол­лекционерами).

Преимущество телефонных карт состоит в их удобстве, поскольку нет необходимости заботиться о наличии мелочи. Выгоды телефонной компа­нии состоят в том, что все звонки оплачиваются заранее, а также в том, что аппараты подвергаются вандализму в меньшей степени, поскольку в них нет наличных денег. Так, во Франции с введением карт число случаев вандализма уменьшилось в 10 раз. Другое преимущество состоит в том, что люди говорят по телефону дольше, поскольку не ограничены количе­ством имеющейся мелочи. Телефонные карточки также используются для рекламы. Телефонная компания продает "место" на картах, чтобы за счет рекламы покрыть стоимость производства карточек.