Журнал ТЗ № 6 2016 |
  бюро находок  
  Где искать        
наши издания
наши анонсы






2016
№ 6
статьи



Журнал ТЗ № 6 2016



Раздел: КОНТРОЛЬ ДОСТУПА
Тема: СКУД (системы контроля и управления доступом)
Автор: Леонид Стасенко, группа компаний "Релвест"

Небанковские приложения для банковских карт

Современные банковские карты имеют на борту микроконтроллеры с ресурсами по производительности и объемам памяти, намного превышающим ресурсы настольных компьютеров конца 80-х начала 90-х гг. Это позволяет применять банковские карты не только как платежное средство, но и в ряде других областей, в частности, в системах контроля и управления доступом (СКУД).


Что такое современная банковская карта

История банковских карт насчитывает не одно десятилетие, и за это время карта прошла путь от простого куска пластика с нанесенным на нее методом эмбоссирования персональным номером до сложнейшего современного электронного устройства.
Если карты, которые мы использовали примерно 10 лет назад, имели только магнитную полосу с идентификационной информацией владельца, то современная банковская карта достаточно сложное с технической точки зрения устройство. Она содержит микропроцессор, однократно программируемую память (ROM), перепрограммируемую энергонезависимую память (как правило, flash-память), оперативную память (RAM) и аппаратные блоки шифрования информации.
Более того, карта имеет в своем составе специализированную операционную систему, обеспечивающую ряд стандартных низкоуровневых операций. Поскольку карта это компьютер в миниатюре, то, как и в любой другой компьютер, в нее можно загружать различные приложения, для поддержки которых операционная система и требуется.
Для связи с внешним миром банковская карта имеет как минимум контактный интерфейс, но сегодня уже стало правилом наличие второго бесконтактного интерфейса, позволяющего общаться с картой без физического контакта на расстоянии до нескольких сантиметров. Признаком наличия в карте радиоинтерфейса служит нанесенное на карте изображение концентрические дуги, символизирующие радиоизлучение.
Имеющаяся на обратной стороне карты магнитная полоса никакой связи с микропроцессором не имеет и пока что оставлена для совместимости со старыми платежными терминалами или банкоматами, которые могут работать только с магнитной полосой, и скорее всего в самое ближайшее время будет отмирать.
Итак, исходя из богатых технических возможностей, банковская смарт-карта может, кроме основной функции, выполнять функции карты оплаты разговора для таксофонов и мобильных телефонов, карты для проезда на городском общественном транспорте, личной медицинской карты и медицинского страхового полиса, карты идентификации владельца при обеспечении безопасности (разграничение доступа в помещения, компьютерные системы, различные электронные ключи), карты лояльного клиента (начисление скидок, бонусов) и т. д.
Это позволяет избавиться в кошельке или бумажнике от пачки более простых карт для каждого из перечисленных приложений, оставив одну карту на все (или почти все) случаи жизни.

Применение в СКУД
Предпосылки

Очевидно, что для применения в СКУД интересен только бесконтактный (радио) интерфейс, чтобы применять карту для идентификации так же, как все уже привыкли применять обычные proximity-карты. С учетом того, что по радиоинтерфейсу банковская карта соответствует стандарту ISO 14443A, UID карты (ее уникальный идентификационный номер) может читать практически любой считыватель, работающий с картами диапазона 13,56 МГц, в том числе с картами Mifare, которые уже давно используются в системах доступа.
Однако здесь есть несколько проблем. Во-первых, на сегодняшний день клонировать UID высокочастотной карты научились так же, как ранее научились клонировать ID низкочастотных карт EM Marin и HID. Во-вторых, хотя по стандарту ISO 14443A UID карты является величиной постоянной и прошивается в карте на заводе, стандарт не запрещает использовать случайно генерируемый в каждом сеансе обмена с картой ID. Использование такого плавающего ID позволяет лучше защитить обмен с картой при использовании криптографических механизмов, особенно необходимых для банковских карт.
Если на этом остановиться подробнее, то следует отметить, что практически у всех смартфонов с поддержкой технологии NFC, базирующейся все на том же стандарте ISO 14443A, используется плавающий ID вместо UID.
Таким образом, пытаться опираться на UID как средство идентификации пользователя небезопасно, а часто и невозможно.

Оптимальное решение

С учетом перечисленных выше ограничений оптимальным представляется решение, при котором для идентификации используется не UID карты, а некий другой хранящийся в ней идентификатор. Для доступа к такому идентификатору необходимо использовать четвертый уровень ISO 14443 при обмене с картой. Это уровень приложения (если рассматривать многоуровневую модель OSI), базирующийся на ISO-7816 и предполагающий обмен с картой с помощью определенным образом сформированного набора APDU (application protocol data unit). Это формат общения карты и терминала (считывателя). Считыватель посылает Command APDU (C-APDU), а карта отвечает Response APDU (R-APDU). Однако как карте понять, с каким из приложений, хранящихся на карте, считыватель собирается общаться? Для этого каждое приложение имеет собственный уникальный идентификатор (общий для приложений на всех картах, такое приложение содержащих) AID (Application Identifier). Считыватель передает AID в начале обмена с картой и получает либо подтверждение, что такое приложение имеется на карте, либо код ошибки, говорящий об отсутствии требуемого приложения на карте.
При наличии на карте приложения дальнейший обмен определятся логикой, заложенной в приложении, и определенной его разработчиком. Логику обмена можно организовать как угодно сложно от простого получения уникального ID конкретной карты, формируемого в процессе эмиссии и хранящегося в энергонезависимой памяти, до сложного алгоритма проверки прав обменивающихся сторон с применением различных механизмов криптографии.

Практический аспект

Итак, мы рассмотрели в общем виде теорию применения банковских карт в СКУД. Пришло время перейти от теории к практике.

История разработки

Более двух лет назад компания Smartlab Solutions подготовила специальное нефинансовое приложение для смарт-карт, в том числе с возможностью работы в составе СКУД для использования в банковских картах MasterCard по спецификации MChip4. После этого потребовалась разработка считывателей, готовых работать с данным приложением в составе СКУД, для чего разработчики приложения обратились к специалистам в области разработки считывателей и после ряда переговоров образовался альянс с компанией «Релвест». Именно в это время мы занимались разработкой новой линейки считывателей на новой аппаратной платформе, на которую необходимое решение ложилось вполне органично.
И уже через год после начала совместных работ появились первые версии считывателей, поддерживающие работу с нефинансовым приложением Smartlab Solutions. При этом изначально была заложена возможность работы с несколькими интерфейсами обмена с контроллерами СКУД, чтобы решение могло применяться в том числе и на объектах, где какая-либо система доступа уже была установлена на момент внедрения проекта по внедрению банковских карт, это позволяет перейти на новое решение путем замены только считывателей, что существенно уменьшает суммарный требуемый бюджет.
Появление решения оказалось как нельзя кстати, потому что именно в этот период банки начали интенсивно реализовывать кампусные проекты, в которых использовалась мультифункциональность карт MСhip4.
С учетом дальнейших перспектив была также заложена возможность работы с виртуальными банковскими картами на базе смартфонов с Android (поскольку только под Android имеется доступ к HCE-механизму эмуляции смарт-карт, поддерживаемому на уровне операционной системы). Копания Apple по одной ей известной причине закрыла в своих аппаратах использование NFC для сторонних приложений.

Общие принципы работы системы

Итак, для использования нефинансового приложения банковской карты, в частности приложения для СКУД, данное приложение должно быть на карту помещено. Это делается в момент эмиссии карты. Поскольку при обмене с картой и проверке ее валидности используется криптозащита, то параллельно в карту заносятся и ключи шифрования для выработки криптограмм, т. е. банк загружает в приложение СКУД карты ключи, уникальные для каждой организации (вуза, школы, завода и т. д.).
После персонализации карты в качестве банковской она попадает в руки ее постоянного владельца. Если говорить о кампусных проектах, то карта попадает в руки студента или сотрудника учебного заведения, в котором (в заведении) она применяется и в иных, кроме финансовых, бизнес-процессах.
Считыватели выходят с производства с занесенными в них фиксированными транспортными ключами, и для использования на объекте набор транспортных ключей необходимо поменять на ключи, применяемые на данном объекте. Для этих целей применяется технологическая карта, в которой вместо приложения СКУД занесено специальное технологическое приложение для перепрограммирования считывателя СКУД.
Технологическая карта формируется с помощью приложения ACSAdmin, с помощью которого в карту переносится новый набор ключей, а также настройки уровня безопасности. Под уровнем безопасности подразумевается количество проверок, которые должен сделать считыватель перед тем, как выдать ID-карты контроллеру доступа.
Дополнительно в карту могут быть занесены счетчики, позволяющие установить лимит использования карты (количество предъявлений карты системе, при исчерпании которого карта перестает быть валидной).
После того как технологическая карта сформирована, ее необходимо предъявить каждому установленному на объекте считывателю для переноса в последний необходимой измененной информации.
Смена настроек как считывателей, так и карт может производиться неоднократно, в зависимости от строгости требований по безопасности.

Считыватели

Считыватели, разработанные для работы в составе СКУД с банковскими картами, имеют ряд отличий от остальных считывателей. Это относится в первую очередь к встроенному ПО считывателя – наличию специальных алгоритмов для работы с нефинансовыми приложениями, как предназначенными для осуществления прохода на некоторую территорию, так и с технологическим приложением карты, позволяющим изменить параметры считывателя, связанные с безопасностью.
У внимательного читателя еще ранее мог появиться вопрос: а что делать, если по каким-то причинам произошло рассогласование ключей криптографии с используемыми в системе? На этот случай предусмотрена специальная процедура возврата к транспортному состоянию, из которого считыватель вновь может быть переведен в рабочий режим с помощью соответствующей технологической карты. Как уже упоминалось выше, считыватели должны поддерживать работу в составе практически любой СКУД. Для обеспечения данного требования рассматриваемая линейка считывателей поддерживает четыре интерфейса связи с контроллерами:
• Wiegand
• Touch memory
• Parsec
• OSDP
При этом формат wiegand достаточно гибко программируется можно задать начальный бит кода карты, с которого выводить ее код, длину кода в битах, а также способ контроля четности.
Другой важной особенностью банковских считывателей является возможность параллельной работы и с другими картами, например Mifare, в том числе и в защищенном режиме. Это позволяет использовать более дешевые карты, например для посетителей, либо на переходный период, пока идет смена типов карт, которую невозможно произвести за один день.
Для аналогичных задач имеется также версия считывателей, поддерживающих опционально карты низкочастотного (125 кГц) диапазона. Возможность считывателей работать с несколькими форматами одновременно, а также оперативно (с помощью программирующей карты) менять набор этих форматов позволяет обеспечить плавный переход с ранее использовавшихся на объекте карт на новые, а также добавить на необходимых точках прохода возможность использования не только банковских карт, но и карт второго формата, например, для посетителей.

В качестве заключения

Итак, мы рассмотрели основные аспекты применения мультиаппликационных банковских карт с неплатежными приложениями в системах управления доступа. Еще раз подчеркнем преимущества данного решения:
• Возможность использования карт, а также смартфонов с поддержкой виртуальных банковских карт с плавающим UID.
• Высокий уровень защищенности за счет применения современных методов защиты, практически исключающих подделку (клонирование) карт.
• Возможность использования банковских карт в любой вновь установленной или уже функционирующей СКУД за счет наличия считывателей, способных работать практически со всеми имеющимися на рынке контроллерами систем доступа.
Все это вместе говорит о перспективности такого решения, в особенности для крупных кампусных и других проектов.


Внимание! Копирование материалов, размещенных на данном сайте допускается только со ссылкой на ресурс http://www.tzmagazine.ru

Рады сообщить нашим читателям, что теперь нашем сайте работает модуль обратной связи. Нам важна ваша оценка наших публикаций! Также вы можете задавать свои вопросы.Наши авторы обязательно ответят на них.
Ждем ваших оценок, вопросов и комментариев!
Добавить комментарий или задать вопрос

Правила комментирования статей

Версия для печати

Средняя оценка этой статьи: 0  (голосов: 0)
Ваша оценка:

назад
|
Реклама
Подписка на новости
Имя
E-mail
Анти-спам код
Copyright © 2008 —2022 «Технологии защиты».