Глава11. ТЕРМИНАЛЫ ДЛЯ ПРИЁМА ЭЛЕКТРОННЫХ И МАГНИТНЫХ КАРТ

 

11.1. Конструктивные и электрические требования к терминалам для приема карт с интегральными схемами

 

Конструктивные особенности терминалов. При введении смарт-карты в терминал ее контактные зоны должны подсоединяться к микропроцессору терминала. Процедура введения карты контролируется терминалом. В качестве датчика положения карты используется микро выключатель или оптоэлектронная пара. Функционирование оптоэлектронной пары существенно зависит от уровня загрязнённости и степени прозрачности карты. В этой связи предпочтение часто отдаётся микро выключателям. Использование микро выключателей оправдано также тем, что их функционирование, в отличие от оптоэлектронных пар, не связано с потреблением электроэнергии [42].

Контакты терминалов могут иметь разные формы. Варьируется также и степень их прижима к контактной зоне карты. В соответствии со стандартами на карты, применяемыми для оплаты услуг мобильной связи, контактные зоны считывателей должны быть закруглены (радиус кривизны не менее 0,8 мм). Такая мера помогает исключить возникновение царапин на контактах карт. Кроме того, считыватели с закругленными краями контактных элементов обеспечивают более надёжный контакт.

Для терминалов систем мобильной телефонии максимальное усилие, прикладываемое к единичной контактной зоне, ни при каких условиях не должно превышать 0 5 Н. Такая мера обеспечивает защиту микросхемы, расположенной под контактной зоной, которая может быть разрушена при приложении к ней больших усилий.

Несмотря на то, что расположение контактных зон на карте определено международными стандартами ISO, существуют карты, выполненные в соответствии с национальным стандартом Франции AFNOR, который определяет расположение микрокристалла ближе к верхнему краю карты (Приложение П1.1).

По этой причине терминалы для считывания карт могут быть оборудованы двумя контактными головками. Такое решение обосновано для систем, в которых одновременно используются смарт-карты, произведенные по стандартам ISO и AFNOR.

Особые требования предъявляются к портативным или автомобильным терминалам для мобильной связи в отношении обеспечения контакта между считывающей головкой и картой. Эти типы терминалов часто эксплуатируются в условиях движения со значительными ускорениями, которые могут привести к кратковременной потере надежного контакта с картой. Например, такая ситуация может сложиться при езде по булыжной мостовой, когда контактные элементы начинают колебаться на резонансной частоте.

При нарушении контакта могут возникнуть ситуации, при которых может быть потеряна работоспособность карт, нарушена связь и т.п. Одной из мер, повышающих надёжность контактного соединения, является правильное расположение терминала относительно направления ускорения, развиваемого автотранспортом. Кроме того, программное обеспечение терминала должно быть создано таким образом, чтобы обеспечивалось восстановление связи при кратковременных потерях контактных соединений с картой.

Контактная головка со скользящими контактами. Наиболее простым и по этой причине наиболее дешевым терминалом для приёма карт является терминал со скользящими контактами, выполненными в форме листа или плоских пружин. Однако контактные элементы таких терминалов прочерчивают борозды на поверхности карт и контактных зонах в процессе введения-выведения карт. Это является нежелательным как с эстетической точки зрения, так и по причине возможного нарушения электрических контактов. Дело в том, что при стирании тонкой плёнки золотого покрытия незащищенная металлическая поверхность окисляется. По этой причине пользователь зачастую вынужден неоднократно вставлять и вынимать карту до тех пор, пока возникший слой окисла не будет разрушен.

Контактный узел с механическим приводом. В этой категории терминалов для считывания карт не предусматривается установка скользящих контактов, а устанавливается механизм, обеспечивающий прижим контактного узла к контактным площадкам. Усилие, прикладываемое при введении карты в терминал, через рычажное устройство передается контактному узлу и вызывает его опускание. В этом устройстве, уже после установления контакта с картой, происходит её малое смещение относительно контактного узла. За счет этого микро движения устраняются частицы грязи и пыли с контактных площадок. Каждый контактный элемент головки считывания имеет индивидуальные пружины, обеспечивающие качественный прижим к контактным полям модуля карты.

Контактный узел с электрическим приводом. Наиболее совершенным с технической точки зрения является терминал для приёма карт с контактным узлом, который приводится в движение электроприводом. В таких устройствах контактные узлы опускаются вертикально в соответствующую зону карты с помощью электродвигателя или электромагнита. К таким устройствам предъявляются повышенные требования в отношении обеспечения малых боковых смещений для обеспечения высокоточного позиционирования контактного узла относительно контактных поверхностей модуля с микрокристаллом, встроенного в карту. Достаточно сложное электромеханическое оборудование, устанавливаемое в такие терминалы, определяет их сравнительно большие размеры.

Однако контактные узлы с электромеханическим приводом в. наибольшей степени подходят для установки в терминалы, к которым предъявляются повышенные требования с точки зрения надёжности работы. Типичным примером таких терминалов являются кассовые машины и персонализационные установки, используемые в технологическом процессе производства смарт-карт.

Процесс извлечения смарт-карт из терминала. Чаще всего смарт-карты после выполнения соответствующих операций извлекаются из терминалов вручную, т.е. без всякой помощи со стороны считывающего устройства. Специальное устройство, транспортирующее карту, устанавливается в основном в банкоматах. Однако это не является характерным примером построения терминала для приёма электронных карт. Конструкция простейших считывателей не предусматривает автоматического ввода-вывода карт. В таких считывателях все манипуляции с картами выполняются вручную [58].

Процедура мануального ввода-вывода карт может быть реализована двумя различными путями, называемыми «push-push» ( толкай-толкай ) и «push-pull» ( тяни-толкай ). В первом варианте карта вводится вручную, а для ее вывода необходимо нажать на край карты. В результате происходит её выбрасывание из терминала. С точки зрения эргономики такое решение не является рациональным, так как оно не совместимо с естественными навыками пользователя, поэтому зачастую пользователь с усилием пытается вытащить карту из терминала в условиях, когда её удерживает считывающий узел. Это вызывает появление царапин на контактных площадках и на теле карт. Терминалы, построенные по второму принципу, в полной мере адекватны навыкам пользователей.

В терминалах, в которых предусмотрен автоматический вывод карт, производится взвод пружины при вводе карты. По окончании процедуры обработки карта освобождается по сигналу, вырабатываемому электроникой терминала, управляющему электромагнитом. В результате карта частично выходит из терминала, после чего пользователь может изъять ее вручную.

Применение специальных устройств для выталкивания карт имеет ряд преимуществ по сравнению с другими конструктивными решениями. Вытолкнутая из терминала карта даёт четко знать пользователю, что процедура обработки информации с карты закончена, и служит сигналом о том, что карта не должна быть забыта в терминале. Процедура выталкивания карты, как правило, сопровождается звуковым сигналом.

Надёжность систем, в которых используются электронные карты, в сильной степени зависит от того факта, есть ли у пользователя возможность изъять карту в любой момент во время обработки информации. Такие действия могут вызвать полный отказ функционирования карты. Вот почему предпочтительно использование таких устройств вывода карты, которые делают невозможным их изъятие без соответствующего сигнала об окончании обработки информации. В таких терминалах должно быть также предусмотрено специальное устройство для вывода карты, срабатывающее при пропадании напряжения питания.

Требования к электронному оборудованию терминалов. За исключением считывающего узла, терминал, в основном, состоит из электронных компонентов, которые обеспечивают интерфейс пользователя с базовой системой обработки информации, а также обеспечивают управление его функционированием. Непосредственно считывающий узел вырабатывает только информацию о наличии или отсутствии карты, а на него поступают сигналы, управляющие устройством вывода карт, если оно включено в состав терминала.

Взаимодействие с картой осуществляется по пяти контактам:

• земля;

• источник питания;

• шина сигнала синхронизации;

• шина информационного сигнала;

• шина сигнала сброса.

Для обеспечения правильного функционирования карты в течение заданного срока эксплуатации крайне важно, чтобы после подсоединения к терминалу на неё были поданы управляющие информационные последовательности по протоколу, предусмотренному стандартом ISO/IEC 7816-3. В случае невыполнения этих условий поток отказов микрокристаллов карты существенно возрастает. Аналогичным образом, при окончании обработки информации с карты, на неё должна быть подана соответствующая группа информационных символов, предусмотренная стандартом ISO/IEC 7816-3.

Особая проблема возникает в случае использования простейшего терминала, карты в который вводятся вручную. Когда считывающее устройство обнаруживает, что начата процедура извлечения карты, его электроника начинает немедленно вырабатывать предусмотренную протоколом завершающую информационную последовательность. Только таким образом удаётся избежать ситуации, когда питающее напряжение может быть подано на несоответствующие контактные площадки. Такая ситуация не имеет ничего общего со стандартизированной процедурой завершения сеанса взаимодействия с картой. Кроме того, последствия могут быть еще более нежелательными, так как изношенные или слегка изогнутые контакты могут вызвать короткое замыкание между двумя соседними контактными площадками. Слабое искрение, возникающее при разряде конденсаторов, разрушает контактные элементы считывателя и контактные поля карты.

Вышеизложенные соображения привели к тому, что почти все производители терминалов вынуждены предусматривать защиту от коротких замыканий, возникающих при изъятии карты. Если такие меры не предпринять, карта с короткозамкнутыми контактами может вывести из строя множество терминалов. В то же время короткозамкнутые карты появляются не только в результате некорректного взаимодействия с терминалом, но и в результате злоумышленных действий вандалов. Кроме того, короткозамкнугые карты могут быть результатом не выявленного производственного брака.

Устойчивость к возникновению коротких замыканий предполагает возможность замыкания любых двух или всех контактов без каких-либо последствий для функционирования карт и терминалов. Кроме того, в идеальном случае должна быть предусмотрена полная электрическая развязка между электроникой, управляющей картой, и остальными функциональными узлами терминала. Такая мера является общепринятой при создании таксофонов общего пользования, так как она обеспечивает защиту при попадании высоковольтного напряжения на терминал.

Напряжение, необходимое для обеспечения процедур записи и стирания информации из соответствующих зон памяти EEPROM, подаётся на неё с соответствующего зарядного узла. При этом в течение нескольких наносекунд зарядный узел должен развить токи до 100 мА. Аналогичные процессы, хотя не столь мощные, возникают при коммутационных процессах в КЛОП-транзисторах. В результате значительных бросков тока источники питания терминалов могут выходить из строя, что нарушает ход процедуры записи или стирания информации в памяти EEPROM. В экстремальных ситуациях пропадание напряжения электропитания, подаваемого на микропроцессор карты, может привести к полному выходу системы из строя.

Проблема исключения влияния кратковременного понижения напряжения электропитания может быть решена путём размещения зарядного узла, состоящего из конденсатора ёмкостью около 100 нФ, как можно ближе к контактным площадкам карты для минимизации резистивной и индуктивной нагрузки в цепи разряда. Тогда, в случае кратковременного пропадания напряжения электропитания, зарядный узел обеспечит поддержку электропитания микропроцессора карты.

Технологии систем, использующих смарт-карты, в особенности в области электронных платежей, диктуют необходимость использования источников точного времени. Встроенные часы должны функционировать с допустимой временной ошибкой не более 1 мин. в месяц. Коррекция хода встроенных часов может производиться с помощью сигналов проверки времени, передаваемых радиовещательными службами.

Особенности использования SIM-карт в мобильных телефонах. В 1990 г. пластиковые карты были впервые использованы в системах сотовой мобильной телефонной связи как "модули идентификации абонента" SIM (Subscriber Identification Module).

Экспертная группа "The Subscriber Identification Module Expert Group" (SIMEG) по стандартизации модулей идентификации абонента SIM начала работать ещё в январе 1988 г.

Модуль SIM хранит все необходимые данные для обеспечения функционирования системы мобильной связи. При этом база данных по оплате услуг связи ведется централизованно, а сам модуль является носителем защищённой крипто информации, позволяющей идентифицировать клиента системы.

Мобильная станция MS системы мобильной связи состоит из двух отдельных функционально разделенных частей: мобильного оборудования МЕ и модуля SIM смарт-карты, предназначенной для использования в системах мобильной телефонной связи. В комплексе мобильное оборудование МЕ и модуль SIM представляют собой мобильный телефон.

На самом высоком иерархическом уровне системы мобильной связи находится центр аутентификации, в котором производится контроль используемых крипто ключей и выполняются процедуры аутентификации мобильных станций, т.е. их модулей SIM. Именно центр аутентификации выполняет идентификационные процедуры при установлении соединения, а также в процессе телефонного разговора. В реальности процедуры аутентификации, производимые оператором системы мобильной связи, более сложны. В системе имеется несколько центров аутентификации и используются дополнительные базы данных, необходимые, в частности, для обеспечения процессов взаиморасчетов за телефонные переговоры.

Требование снижения веса мобильных телефонных терминалов диктует необходимость перехода с аппаратуры, требующей напряжения питания 6 или 4,5 В на аппаратуру с напряжением питания 3 В. В настоящее время промышленность производит все компоненты, необходимые для мобильных телефонов, на базе 3-вольтовой технологии электропитания, а смарт-карты являются единственным элементом, по-прежнему нуждающимся в напряжении питания 5 В.

В связи с этим в низковольтных мобильных телефонах необходимо использовать узел повышения напряжения для электропитания смарт-карт, что нежелательно, так как повышается стоимость терминала.

Появление семейства картс напряжением электропитания 3 В, не совместимых с существующими 5-вольтовыми электронными картами, миллионы которых находятся в обращении приводит к определенным трудностям. Наихудшим результатом ошибочного использования 3-вольтовой карты в 5-вольтовом терминале может быть выход микросхемы из строя. Трудно предположить, что пользователи не будут совершать ошибки при выборе соответствующего типа терминала, и по этой причине будут утрачены простота и надёжность пользования картами с микросхемами.

По этой причине перспективной является разработка смарт-карт с напряжением питания, лежащим в диапазоне от 3 до 5 В, что при точности поддержания напряжения питания +10% от предельных значений приводит к необходимости обеспечения работоспособности карты в диапазоне питающих напряжений от 2,7 до 5,5 В.

Расширение диапазона питающего напряжения не является проблемой при реализации процессора. Однако среди используемых типов памяти только EEPROM входит в состав процессора. И именно EEPROM, и в особенности узел накачки напряжения, является самым большим препятствием на пути реализации 3-вольтовой технологии. Технологическая возможность реализации памяти EEPROM и соответствующих узлов повышенного напряжения питания, необходимых для перезаписи информации, которые функционируют в диапазоне питающего напряжения от 2,7 до 5,5 В, появились сравнительно недавно.

Величина тока, потребляемого микросхемой SIM-карты, в соответствии со стандартом GSM 11.11 не превышает 10 мА. Следует отметить, что хотя по стандарту ISO, действующему в настоящее время, допустимое предельное значение тока, потребляемого интегральной схемой карты, составляет 200 мА, предполагается, что это требование устарело и будет модифицировано с учетом специфики современных тенденций минимизации энергопотребления карт и терминалов.

При номинале используемого питающего напряжения 5 В и токе потребления карты 10 мА рассеиваемая картой мощность составляет 50 мВт. Такая потребляемая энергия столь мала, что в процессе эксплуатации не вызывает перегрева интегральной схемы карты.

Следует учитывать, что величина тока, потребляемого микропроцессором карты, прямо пропорциональна частоте сигнала синхронизации. Величина потребляемого тока также зависит и от температуры окружающей среды, но эта зависимость не столь ярко выражена.

Другой проблемой, связанной с обеспечением электропитания смарт-карт, являются возможные броски тока с фронтами наносекундного диапазона, величина которых может превышать номинальное значение потребляемого тока в несколько раз. Броски тока возникают при включении каскадов накачки напряжения для перепрограммирования памяти EEPROM. Если источник электропитания терминала не обеспечивает формирование необходимых экстра-токов, его выходное напряжение может упасть ниже допустимого предела, что, в свою очередь, может привести к ошибкам при записи информации в память EEPROM или к срабатыванию детектора занижения питающего напряжения микросхемы карты.

Именно по этой причине каждый действующий стандарт содержит комментарий, касающийся возможного возникновения кратковременных бросков потребляемого тока. В соответствии с этими требованиями источник электропитания терминала должен обеспечивать стабильную работу при возникновении бросков тока с максимальной продолжительностью 400 нс и максимальной амплитудой 200 мА.

В перспективных терминалах GSM предполагается снизить потребляемый ток до 1 мА, что позволит существенно увеличить срок эксплуатации аккумуляторов мобильных телефонов. По-прежнему единственной проблемой является обеспечение необходимого тока записи для памяти EEPROM. Однако, учитывая ощутимый прогресс в миниатюризации памяти EEPROM (что приводит к снижению требуемых величин тока заряда каждой из её ячеек), можно ожидать, что упомянутый уровень тока в 1 мА вскоре будет достаточным для электропитания карты.

Во всех микропроцессорах карт предусмотрена возможность перехода в энергосберегающий режим функционирования, при котором все контакты, за исключением информационного входа I/О, дезактивируются. При переходе микросхемы в такой режим, называемый спящим, её энергопотребление резко снижается, так как большинство узлов микросхемы карты отключается от электропитания. В энергосберегающем режиме функционирует только логика входного интерфейса, а также память типа RAM (с произвольной выборкой информации), в которой должны быть сохранены необходимые текущие данные. Как правило, продолжает также поддерживаться электропитание и микропроцессора, но память типов ROM и EEPROM отключается. Возможность реализации такого режима представляет интерес с точки зрения увеличения времени функционирования мобильных телефонных аппаратов без подзарядки аккумуляторов.

 

11.2. Терминалы для приёма магнитных карт

 

Наиболее распространённым типом терминала для приёма магнитных карт является вариант с устройством механического транспортирования карты, имеющим различные уровни сложности. В связи с тем, что магнитные карты достаточно широко используются в банковских системах, и, в частности, в банкоматах, в их состав могут быть включены дополнительные узлы. В них, в частности, может устанавливаться заслон, управляемый блоком сенсора магнитного слоя карты, который защищает терминал от вандалов при попытках введения в щелевое отверстие терминала инородных предметов.

В таких устройствах, как таксофоны, могут использоваться упрощенные транспортирующие механизмы традиционного или нетрадиционного типов. В одном из вариантов таксофонного картоприёмника используется узел транспортирования карты с электродвигателем, на оси которого закреплено резиновое колесо. По функциональным возможностям такое устройство полностью соответствует классическому картоприёмнику, используемому в банковских системах.

Известен также транспортирующий механизм с однонаправленным движением карты, который был использован в таксофоне URMET 1502. Картоприёмное устройство таксофона снабжено рядом оптомеханических сенсоров, обеспечивающих защиту от использования суррогатных карт. Характерной особенностью данного варианта терминала является наличие в нем узла компостирования ресурса карты [41].

Другим типом терминала для приема магнитных карт является терминал с мануальным транспортированием карты. Такие терминалы могут использоваться как для считывания, так и для записи информации. Конструкции мануальных терминалов, предназначенных исключительно для считывания информации, существенно отличаются от терминалов, с помощью которых может также производиться запись информации. В состав терминалов, используемых для записи и считывания информации, входит узел оптической генерации синхроимпульсов, представляющий собой колесо с нанесёнными на него рисками, приводимое в движение картой, на которую записывается информация. Таким образом достигается привязка синхросигналов, поступающих на компьютер, являющийся источником записываемой информации, к геометрии карты и обеспечивается независимость функционирования системы записи от навыков оператора, т.е. от скорости ведения карты в щели записывающего устройства.

Обобщенная структурная схема таксофона с магнитной картой приведена на рис.11 1. Особенностью таксофонов являются картоприемники с мануальным вводом карты, функциональная схема которых показана на рис.11.2.

 

 

Ранее в соответствии с разработанным протоколом стыка мануального картоприемника с процессорной частью таксофона запись информации на магнитные карты для междугородного таксофона производилась по трем дорожкам, а для городского таксофона по двум. При этом на картах для междугородного таксофона записывались тарифные метки, синхросигнал и код узла связи.

Устройство записи тарифных меток и картоприемник должны обеспечивать надежное считывание всей записанной информации, а после окончания разговора осуществлять коррекцию информации. Списывание тарифных меток, число которых зависит от продолжительности

 

 

разговора и зоны расположения вызываемого абонента, происходит при поступлении сигнала, включающего узел стирания тарифных меток. При этом к каждому из узлов устройства записи и картоприемника предъявляются требования, определяемые соотношением условий записи, воспроизведения, формирования и стирания тарифных меток.

В разработанных экспериментальных видах таксофонов запись тарифных меток производилась путем подачи на соответствующий усилитель записи сигнала в виде меандра. При воспроизведении сигналов в картоприемнике из усиленных однополярных откликов пороговым формирователем вырабатывались тарифные метки. На фазе введения карты определялось число тарифных меток, оставшихся на карте, а после окончания разговора (при ее изъятии) стирание использованных. Очевидно, что процедура стирания тарифных меток должна осуществляться таким образом, чтобы после действия на магнитную карту перепада тока стирания при новом вводе карты в картоприемник не возникало дополнительной (ложной) тарифной метки. Это достигается формированием токового перепада, создающего отклик, противоположный по фазе откликам, из которых формируются тарифные метки. Кроме того, формирование тока стирания должно быть произведено с задержкой относительно момента считывания последней из сохраняемых тарифных меток.

При воспроизведении сигналов с карты должны быть также предусмотрены меры по блокировке воздействия на схему обработки дополнительных откликов, возникающих при заходе блока магнитных головок на магнитную полосу. Сигналы блокировки вырабатываются датчиками положения карты. В экспериментальных междугородных таксофонах для этой цели использовались оптопары, а в городских, с электропитанием от телефонной линии механические контакты. Возникновение дополнительных откликов при вводе карты связано с необходимостью реализации высокого коэффициента усиления в тракте мануальных картоприемников, учитывая, что длительность процедуры ввода карты может составлять от 50 мс до 3 с и определяется индивидуальными навыками пользователя.

Оригинальное техническое решение картоприемного устройства для гибкой карты с магнитной полосой реализовано в таксофоне модели URMET-1502 (рис.11.3).

:

1 - входная щель;                                                    

2 - магнитная карта;

3 - блокировочная пластина; 

4 - фотоэлемент;

5 - ремень;   

6 - фотоэлемент;  

7 - считывающая головка;

8 - фотоэлемент;

9 - считывающая/стирающая головка;

10 - фотоэлемент;

11 - приводной вал

В таксофоне применяется однонаправленное движение карты, не требующее использования реверсивного электродвигателя с высоким энергопотреблением в момент переключения направления вращения. Тем самым обеспечивается питание таксофонов от линии. В таксофоне организована визуализация израсходованного ресурса карты путем компостирования соответствующего фрагмента магнитной полосы.

 

11.3. Универсальные терминалы для приёма различных типов карт

 

В ряде случаев абоненты, пользующиеся таксофонами, имеют различные типы карт. Например, банковские, таксофонные карты для междугородной и международной связи, карты для местной связи, работающие на различных принципах, а также сервисные телефонные карты. Для обеспечения доступа к ресурсам телефонной сети по широкому спектру карт созданы специализированные универсальные таксофонные терминалы. В состав их конструкции могут входить функционально разнесённые устройства, каждое из которых предназначено для приёма определённого типа карт, и комбинированные картоприёмные устройства. Как правило, универсальные терминалы обеспечивают абонентам возможность применения двух типов карт: банковских и таксофонных магнитных карт; магнитных и чип-карт; чип-карт и карт с плавкими вставками. Классификация универсальных терминалов представлена на рис. 11.4.

 

 

В таксофонах с функционально разнесёнными картоприёмными устройствами могут использоваться узлы для ручного (мануального) приёма магнитных карт или с транспортирующим механизмом [20]. При этом мануальные картоприёмные устройства могут быть выполнены в виде длинной щели или традиционного щелевого картоприемника для электронных карт, т.е. в виде узкой щели, соответствующей по размерам узкой стороне карты.

Следует особо отметить, что при доступе с помощью банковских карт с магнитной полосой к ресурсам телефонной сети не предусмотрена коррекция информации и обеспечивается только считывание открытых данных без введение в систему PIN-кода. В ряде случаев такие картоприёмные устройства активируются при полном введении в них карты, а считывание информации производится при достаточно быстром изъятии карты из картоприёмника.

Известны комбинированные картоприёмные устройства, позволяющие считывать и корректировать информацию на картах различных типов. Комбинированные картоприёмники могут содержать объединённое считывающее устройство для электронных карт и карт с магнитной полосой. При этом они могут иметь транспортирующий механизм или функционировать в ручном режиме.

В настоящее время всё шире внедряются интеллектуальные платформы с картами СТК, для обслуживания которых кроме устройства перевода работы номеронабирателя из импульсного в тональный режимы в таксофонных терминалах могут устанавливаться автоматизированные считыватели PIN-кодов, выполненных в виде штрих-кода, нанесённого на карту или записанного в микросхему карты.

Созданы также картоприёмники, которые кроме приёма электронных карт для междугородных и международных переговоров могут работать с картами с расплавляемыми перемычками, предназначенными для местной телефонной связи. В таких картоприёмниках дополнительно устанавливаются считывающие трансформаторы с зазорами для считывания тарифной информации. В зависимости от потребностей оператора число таких трансформаторов составляет, как правило, от 2 до 4.

Примером картоприёмного устройства для обслуживания магнитных и чип-карт является узел, установленный в таксофоне модели URMET-1530.

 

 

 

Глава 12. СИСТЕМЫ С ПРИМЕНЕНИЕМ ЭЛЕКТРОННЫХ КАРТ

 

12.1. Таксофонные системы с электронными картами

 

12.1.1. Сравнение различных типов систем взаиморасчетов таксофонных операторов

 

Известны три основных типа систем взаиморасчетов таксофонных операторов, называемых также системами кросс-биллинга: традиционная, частично защищенная и полностью защищенная.

При построении традиционных систем предполагается, что операторы полностью доверяют друг другу и поэтому могут работать, используя незащищенный взаимный обмен данными счетчиков трафика.

Системы защищенных взаиморасчетов между операторами выполняют идентификацию и авторизацию карт; загрузку счетчиков трафика на уровне таксофонов; загрузку счетчиков трафика в систему управления (PMS); обмен данными счетчиков трафика между операторами. Завершающим этапом является взаимное перечисление денежных средств.

Первая частично защищенная система взаиморасчетов операторов была организована в Германии и Нидерландах. В этой системе пользователь, купивший карту в Германии, мог использовать её в Нидерландах, но доплачивал при этом за переговоры определённую сумму, которая затем перечислялась немецкому оператору (и наоборот). Защиту интересов операторов обеспечивали: активная авторизация карты, безопасное хранение данных счетчиков и частично безопасная загрузка и обмен данными счетчиков.

Представление об особенностях функционирования различных типов систем операторских взаиморасчетов дают табл. 12.1...123.

Наиболее распространенным типом системы кросс-биллинга в ХХ веке являлась традиционная незащищенная система, опиравшаяся на взаимное доверие между операторами (табл. 12.1).

Однако постепенно они стали вытесняться частично защищенными системами (табл.12.2).

 

 

Частично защищенные системы в перспективе будут заменены полностью защищенными системами (табл.12.3).

Необходимость модернизации систем взаиморасчетов вызвана такими объективными причинами, как нарастание угроз несанкционированных воздействий на системы, а также увеличением числа операторов.

Как отмечалось ранее, перспективным является внедрение полностью защищенных систем. Переход на систему такого типа связан с необходимостью унификации систем взаиморасчетов в масштабах всей страны и созданием высокозащищенных межрегиональных центров биллинга, передача данных между которыми осуществляется по транспортным системам также с высоким уровнем защиты. Создание полностью защищенной системы предполагает

 

использование во всех ее элементах модулей SAM, выпускаемых и распределяемых гарантом защиты системы, которому доверяют все ее участники. При этом операторам становится доступна вся необходимая для обеспечения функционирования системы информация, но они не владеют полной структурой модуля SAM.

 

12.1.2. Развитие отечественных защищенных таксофонных систем с электронными картами

 

В настоящее время существуют и применяются на практике несколько технических решений создания защищенных таксофонных систем связи, ориентированных на различные комплекты оборудования, находящегося в эксплуатации у операторов связи. Из трёх наиболее распространённых два решения основаны на применении зарубежных продуктов, а именно SAM-модулей фирм Siemens и Ascom (ProSam-320).

В отечественной карте используется микрочип 5004PP1, содержащий счётчик до 29160 единиц, с ключом шифрования данных длинной 256 разрядов, недоступный для чтения и модификации на всех этапах производства и эксплуатации; две зоны персонализации; блок активной аутентификации и область данных пользователя, доступную для однократной записи данных после завершения персонализации. Для персонализации карт используется специально разработанный комплекс. В процедуре персонализации участвуют персонализируемая карта с занесенным при изготовлении микрочипа транспортным кодом, модуль безопасности с транспортным ключом для аутентификации транспортной карты, модуль безопасности с рабочим ключом и транспортная карта. Обязательным условием выполнения процедуры персонализации и занесения рабочего ключа является аутентификация транспортной карты и совпадение транспортных кодов в транспортной карте и микрочипе. Модуль безопасности транспортной карты защищает от попыток выяснить транспортный код.

Учитывая, что отечественный модуль безопасности может хранить одновременно до 16 ключей, допускается хранение транспортного и рабочего ключей в одном модуле безопасности, но в разных файлах.

Аутентификация таксофонных карт модулем безопасности осуществляется по криптографическому алгоритму по ГОСТ 28147-89. При этом различают аутентификацию карт при персонализации и обслуживании в таксофоне.

В общем случае аутентификация осуществляется в следующей последовательности:

• данные из определенной области памяти карты считываются и заносятся в модуль безопасности;

• модуль безопасности с использованием рабочего ключа и полученных данных вычисляет индивидуальный код карты, формирует запрос, состоящий из случайного числа и содержимого определенной области памяти карты, отображённой в полученных данных; шифрует запрос с использованием рабочего ключа и передает в карту для формирования ответа;

• при персонализации микрочип карты расшифровывает полученный запрос, сравнивает расшифрованное значение памяти с фактическим и при их совпадении разрешает работу с зонами персонализации и технологической областью памяти;

• при обслуживании в таксофоне микрочип карты, используя расшифрованное значение случайного числа и реальное значение определённой области памяти, формирует зашифрованный с использованием рабочего ключа карты ответ и передает его в модуль безопасности;

• модуль безопасности, расшифровав ответ карты, сравнивает значения случайного числа и определённой области памяти в запросе и ответе и принимает решение о подлинности карты.

В качестве микрочипа модуля безопасности используется специальный отечественный 8-разрядный микроконтроллер с RISK архитектурой. Его особенностью является отсутствие внутренних микрокоманд, что обеспечивает большие возможности для реализации функций обработки данных, а также использование в основном трёхадресных команд, ориентированных на интенсивное использование большого набора внутренних регистров. Это ограничивает применение основной памяти для хранения команд, сокращает время машинного цикла и позволяет ограничить время аутентификации в реальных условиях эксплуатации несколькими миллисекундами.

В настоящее время ОАО "Пермский телефонный завод ТЕЛТА" освоил серийное производство таксофонного аппарата ТМГС-15280, обеспечивающего активную аутентификацию отечественных и зарубежных таксофонных карт с использованием отечественных и зарубежных SAM-модулей.

В России установлено 10500 таксофонных аппаратов с модулем SAM отечественного производства, рассчитанных на годовой оборот карт примерно в 4,5 млн.шт.

Опираясь на имеющиеся проверенные решения и положительный опыт в производстве и эксплуатации отечественных таксофонных карт, SAM-модулей и таксофонного оборудования, группа компаний, в том числе ОАО "Российская электроника", холдинг "ТЕРНА", ОАО "Национальная таксофонная сеть", ОАО "Ангстрем", ОАО "Пермский телефонный завод ТЕЛТА", дизайн-центр "ИДИС" и другие, приняли решение о разработке спецификаций на кристаллы для таксофонной карты и SAM-модуля и комплект таксофонного оборудования, удовлетворяющих требованиям "Концепции единой таксофонной карты России . В настоящее время спецификации в основном разработаны и в ближайшее время будут представлены на рассмотрение и утверждение. Необходимо отметить, что еще недавно не было научно-технической основы для разработки сертифицированных отечественных SAM-модулей. Однако в сентябре 2002 г. был получен сертификат на отечественное решение по созданию средств защиты информации на основе смарт-карт [76].

В настоящее время освоено производство двух кристаллов со встроенными крипто средствами и ведётся разработка соответствующих программных продуктов. Первый кристалл предназначен для производства ЕТК и обеспечения функциональной и параметрической совместимости с отечественным и зарубежным оборудованием, обслуживающим карты на основе кристалла SLE4436 по электрическому и логическому протоколам обмена данными и работы с ресурсом карты. Модуль безопасности SAM обеспечивает аутентификацию таксофонной карты по криптографическому алгоритму по

ГОСТ28147-89.

Для повышения стойкости к атакам ПАП, ДАП и ДАПВП в конструкции кристалла модуля безопасности предусмотрен специальный датчик этих видов атак, обеспечивающий блокировку работы модуля безопасности.

Предусмотрена дистанционная смена ключей, а также одновременное использование в системе нескольких ключей (до 15 основных). Диверсификация ключа в модуле безопасности реализована на основе алгоритмов ГОСТ 28147-89. В модуле безопасности и таксофонной карте реализована система разграничения доступа к данным.

Защита транспортного пути кристалла должна производиться на ключах, не используемых в платежной системе. Таким образом, у изготовителя кристаллов не будет доступа к информации о рабочих или диверсифицированных ключах. Смена транспортных ключей предусмотрена для каждой партии.

Для защиты от имитации электронных пластиковых карт осуществляется модификация индивидуального кода карты после каждого сеанса связи.

Необходимость в системах взаиморасчетов возникает при использовании несколькими операторами в качестве средства оплаты единой таксофонной карты. При работе нескольких операторов на одном территориальном пространстве (например, в одном городе) единая карта является обязательным условием, поддерживающим права клиента-потребителя услуги связи. Потребитель услуги связи не должен ощущать присутствия в процессе его обслуживания большого числа операторов, он должен лишь получать услугу по своей таксофонной карте с любого таксофона независимо от того, какому оператору принадлежит таксофон.

Например, причиной создания системы взаимных меж операторских расчетов в г.Москве послужило наличие кроме АО МГТС еще пяти операторов, работающих с картами. Каждый из операторов эксплуатирует таксофонное оборудование своего производителя и индивидуальную, не совместимую с другими операторами таксофонную карту, что, естественно, доставляет много неудобств пользователям [8]. В настоящее время имеются технические средства, позволяющие реализовать строгую систему взаиморасчетов между операторами как на внутри региональном, так и на межрегиональном уровнях. Аппаратура, приобретаемая операторами, должна соответствовать современным требованиям и иметь центр управления таксофонами. Таксофоны должны быть оснащены модулем SAM и работать с картами на базе кристаллов типа "Евро-чип" в режиме активной идентификации. При этом различные таксофонные системы адаптируются в системе взаиморасчетов на уровне модуля SAM.

Региональная система взаиморасчетов между операторами строится на базе доминирующего оператора данного региона, который является эмитентом карт для всего региона, что позволяет существенно снизить затраты на производство карт (особенно для малых операторов), учитывая, что большинство операторов не закладывают стоимость изготовления карт в продажную цену.

АО МГТС, как самый крупный оператор в городе, взяло на себя организаторские функции:

• приобрело и запустило в эксплуатацию систему Pass Cross Billing фирмы Siemens;

• заключило соглашение с филиалом ОАО "Ростелеком" и ЗAO Comstar по совместной работе на карте АО МГТС;

• провело работу с фирмами поставщиками оборудования операторов (Siemens-Elasa, Urmet, GPT) по организации их взаимодействия.

Функциональная схема построения системы взаиморасчетов приведена на рис 12.1.

Доминирующий оператор в таких условиях передает для установки в таксофоны остальных операторов свои модули SAM. При этом не накладываются ограничения на типы используемых другими операторами таксофонных систем. Процедура "вживления" SAM предусматривается при разработке таксофонов. Современные таксофоны имеют от 4 до 5 посадочных мест под модули SAM. Естественно, что при использовании однотипных систем (одного производителя) эта процедура более проста. При разнотипных системах операторы совместно решают этот вопрос с производителем системы.

В дальнейшем доминирующий оператор эмитирует и реализует таксофонные карты для себя и всех операторов. Расчет осуществляется по данным центров управления каждого из операторов. Модуль SAM определяет подлинность карты, фиксирует все транзакции, осуществляемые таксофоном, и формирует биллинговый файл, в котором содержатся идентификационные данные модуля SAM, счетчик числа тарифных единиц (ТЕ), списанных с карт, и подпись (сертификат). В результате за оговоренный период времени в центрах управления операторов формируется файл, упрощенный формат которого можно представить в виде:

Модуль SAM № 1. 1-й Счетчик ТЕ. Сертификат 1

Модуль SAM № 2. 2-й Счетчик ТЕ. Сертификат 2

. . . . . . . . . . . .   . . . . . . . . . . . . . . . . . . . .   . . . . . . . . . .

. . . . . . . . . . . .   . . . . . . . . . . . . . . . . . . . .   . . . . . . . . . .

 

Модуль SAM № N. N-й Счетчик ТЕ. Сертификат N.

Сертификат образуется с помощью ключа, известного только основному оператору, который, используя биллинговый центр, проверяет полученные данные, анализируя сертификат. Эти данные являются основанием для расчетов между операторами. Система взаимных меж операторских расчетов ориентирована на обслуживание не только операторов одного города, но практически любого оператора в любом регионе.

 

 

В июле 1999 г. АО МГТС заключило соглашение с ЗAO "Тверской таксофон" по совместной работе на карте МГТС, а с августа  1999 г. началась совместная эксплуатация системы Раss Cross Billing. В июне 2000 г. АО МГГС заключило соглашение с компанией “BCL” из Санкт-Петербурга, работающей на таксофонной технике фирмы Schlumberger, по совместной работе на карте МГТС.

В дальнейшем при организации сети таксофонов с пластиковыми картами у региональных операторов появится возможность использовать единую карту в нескольких регионах, особенно соседних, где имеет место значительная миграция жителей (например, Москва, Московская область, Тверь, Санкт-Петербург и др.).

Использование единой карты обеспечивает операторам:

• рост числа пользователей таксофонной картой;

• увеличение объёма трафика, а следовательно, доходов всех операторов;

• экономию затрат на карты, т.к. оператор с малыми объемами потребления карт получает их по оптовым ценам.

 

 

Процедура активной идентификации карты представлена на: рис.12.2. При персонализации в защищенную зону карты записывается уникальный диверсифицированный ключ, во время диалога с модулем безопасности" карта генерирует "электронную подпись", которая сравнивается в терминале (таксофоне) с ожидаемым результатом [39]. 

 

 

 

12.2. Системы мобильной связи GSM, использующие SIM-карты

 

12.2.1. Обеспечение защиты от несанкционированного доступа пользователей к ресурсам системы мобильной связи GSM

 

В стандарте GSM.11.11 термин "безопасность" понимается как исключение несанкционированного использования системы и обеспечение секретности переговоров подвижных абонентов. В стандарте определены следующие механизмы безопасности:

• аутентификация;

• секретность передачи данных;

• секретность абонента;

• секретность направлений соединения абонентов.

Защита сигналов управления и данных пользователя осуществляется только по радиоканалу.

Режимы секретности в стандарте GSM.11.11 определяются Рекомендациями, приведёнными в табл. 12.4 [25].

Рассмотрим механизм безопасности в стандарте GSM.11.11, общий состав секретной информации, а также ее распределение в аппаратных средствах GSM систем.

Функции безопасности. Использование пароля (или PIN-кода персонального идентификационного цифрового кода) один из простых методов аутентификации. Он даёт очень низкий уровень защиты в условиях использования радиосвязи. Достаточно услышать этот персональный код всего лишь один раз, чтобы обойти средства защиты. В системе GSM PIN-код используется в сочетании с SIM (Subscriber Identity Module - модуль идентификации абонентов) [78]. Данный PIN-код проверяется без выхода в эфир мобильным оборудованием с использованием SIM-карты. Помимо него в GSM применяется более сложный метод, состоящий в использовании случайного числа, на которое может ответить только соответствующее абонентское оборудование (в данном случае SIM-карта).

Ответ, который называется SRES (Signed RESult - подписанный результат), получают в форме итога вычисления, включающего секретный параметр, принадлежащий данному пользователю, который называется Ki. Секретность Ki положена в основу всех механизмов безопасности системы свой собственный Ki не может знать даже абонент. Алгоритм, описывающий порядок вычисления ключа, называется алгоритмом A3 и, как правило, хранится в секрете.

Для достижения требуемого уровня безопасности алгоритм A3 должен быть однонаправленной функцией. Это означает, что вычисление SRES при известных Ki и RAND (случайное число для алгоритма A3) должно быть простым, а обратное действие (вычисление Ki при известных RAND и SRES) должно быть максимально затруднено. Без условно, это и определяет в конечном итоге уровень безопасности. Значение, вычисляемое по алгоритму A3, должно иметь длину 32 бита, Ki может иметь любой формат и длину.

Шифрование. Криптографические методы дают возможность с помощью относительно простых средств добиться высокого уровня безопасности. В системах GSM используются единые методы для защиты всех данных, будь то пользовательская информация, передача сигналов, связанных с пользователем (например, сообщения, в которых содержатся номера вызываемых телефонов), или даже передача системных сигналов (например, сообщений, содержащих результаты радиоизмерений для подготовки к передаче).

Как шифрование, так и расшифровка данных производятся с применением операции "исключающее или" к 114 "кодированным" битам радио пакета и 114-битовой последовательности шифрования, генерируемой специальным алгоритмом A5. Для того, чтобы получить последовательность шифрования для каждого пакета, алгоритм A5 производит вычисление, используя два ввода: один из них является номером кадра (22 бита), а другой является секретным ключом (он называется Кс и содержит 64 бита), известным только мобильной станции и сети. В обоих направлениях соединения используются две разные последовательности: одна последовательность, содержащаяся в каждом пакете, используется для шифрования в мобильной станции и для расшифровки на BTS, другая используется для шифрования в BTS и расшифровки в мобильной станции.

Номер кадра меняется от пакета к пакету для всех типов радиоканалов. Секретный ключ Кс контролируется средствами передачи сигналов и меняется при каждом сообщении. Этот ключ не предается гласности и, поскольку он часто меняется, не нуждается в столь сильных средствах защиты, как ключ Ki (например, Кс можно прочитать в S1M-карте).

Алгоритм A5 необходимо устанавливать на международном уровне, поскольку для обеспечения MS-роуминга он должен быть реализован в рамках каждой базовой станции (равно как и в мобильном оборудовании). На данный момент единственный алгоритм A5 принят для использования во всех странах. В настоящее время базовые станции могут поддерживать три основных варианта алгоритма A5: A5/1 наиболее стойкий алгоритм, применяемый в большинстве стран; A5/2 менее стойкий алгоритм, внедряемый в странах, в которых использование сильной криптографии нежелательно; A5/3 отсутствие шифрования. В России применяется алгоритм A5/1. По соображениям безопасности его описание является конфиденциальным.

Этот алгоритм является собственностью организации GSM MoU. Тем не менее, спецификации интерфейсов известны и блок, формирующий алгоритм, можно представить как черный ящик, принимающий параметры длиной 22 и 64 бита для того, чтобы создавать последовательности длиной 114 битов. Как и в случае с алгоритмом аутентификации АЗ, уровень защиты, предлагаемый алгоритмом A5, определяется сложностью обратного вычисления, т.е. вычисления Кс при известных двух 114-битовых последовательностях шифрования и номере кадра.

Управление ключами. Ключ Кс до начала шифрования должен быть согласован мобильной станцией и сетью. Особенность стандарта GSM заключается в том, что ключ Кс вычисляется до начала шифрования во время процесса аутентификации. Затем он вводится в энергонезависимую память внутри SIM и хранится там даже после окончания сеанса связи. Этот ключ хранится также и в сети и используется для шифрования.

Алгоритм А8 используется для вычисления ключа Кс из RAND и ключа Ki. Фактически, алгоритмы АЗ и А8 можно реализовать в виде единого алгоритма, выходные данные которого состоят из 96 бит: 32 бита для образования SRES и 64 бита для образования Кс

Следует также отметить, что длина значимой части ключа Кс, полученная с помощью алгоритма А8, устанавливается группой подписей GSM MoU и может быть меньше 64 битов. В этом случае значимые биты дополняются нулями для того, чтобы в этом формате всегда были использованы все 64 бита.

Средства защиты идентичности пользователя. Шифрование оказывается весьма эффективным для защиты конфиденциальности, но для защиты каждой сессии обмена информацией по радиоканалу использоваться не может. Шифрование с помощью Кс применяется только в тех случаях, когда сети известна личность абонента, с которой идет разговор. Понятно, что шифрование не может применяться для общих каналов, таких как ВССН, который принимается одновременно всеми мобильными станциями в данной и соседних сотовых ячейках (иначе говоря, оно может применяться с использованием ключа, известного всем мобильным станциям, что абсолютно лишает его функции механизма безопасности). При перемещении мобильной станции на какой-либо специальный канал некоторое время происходит начальная загрузка, в течение которой сеть еще не знает данных конкретного абонента и, следовательно, шифрование его сообщения невозможно.

Поэтому весь обмен сигнальными сообщениями, несущими сведения о личности неопределенного абонента, должен происходить в незашифрованном виде. Какая-либо третья сторона на данной стадии может подслушать конфиденциальную информацию. Считается, что это ущемляет право абонента на секретность, поэтому в системах GSM введена специальная функция, позволяющая обеспечить такого рода конфиденциальность [6].

Защита также обеспечивается путем использования идентификационного псевдонима, или TMSI (временный идентификатор мобильного абонента), который используется вместо идентификатора IMSI (международный идентификатор мобильного абонента) в тех случаях, когда это возможно. Этот псевдоним должен быть согласован заранее между мобильной станцией и сетью.

Архитектура и протоколы. Процедуры, используемые для обеспечения безопасности, являются практически теми же, что и в случае определения места нахождения абонента, что обосновывает их включения в аналогичную функциональную область. При этом Центр аутентификации (AUC) можно рассматривать как часть HLR со стороны сети.

SIM и АUC являются хранилищами ключа Ki абонента. Они не передают эти ключи, но выполняют вычисления A3 и А8. Если говорить об аутентификации и установке ключа Кс, то все остальные виды оборудования выполняют промежуточную роль.

Центр AUC не участвует в других функциях и может быть реализован в виде отдельного устройства или модулей HLR. Основной причиной разграничения между AUC и HLR в "Технических условиях" является необходимость привлечения внимания операторов и производителей к проблеме безопасности. Центр АиС является средством для создания дополнительного слоя защиты ключей Ki.

На SIM-карту возлагается большинство функций безопасности со стороны мобильных станций. Он хранит Ki, вычисляет зависимые от оператора алгоритмы A3/А8 и хранит не активированный ключ Кс. Существование SIM-карт как физической единицы отдельно от мобильного оборудования является одним из элементов, допускающих гибкость в выборе A3/AS. Производителям мобильного оборудования нет необходимости знать спецификации этих алгоритмов, предназначенные для операторов. С другой стороны, производители SIM обязаны внедрять принципиально разные алгоритмы для каждого из своих заказчиков-операторов.

SIM-карта полностью защищает ключ Ki от несанкционированного считывания. Доступ к ключу Ki происходит только во время первоначальной фазы персонализации SI M-карты.

 

12.2.2. Процедура аутентификации пользователя системы с помощью SIM-карты

 

Для исключения несанкционированного использования ресурсов системы связи вводятся и определяются механизмы аутентификации подтверждения подлинности абонента.

Каждый мобильный абонент на время пользования системой связи получает стандартный модуль идентификации абонента (SIM-карту), который содержит:

• международный идентификационный номер подвижного абонента (IMSI);

• свой индивидуальный ключ аутентификации (Ki);

• алгоритм аутентификации (АЗ).

С помощью заложенной в SIM-карту информации в результате взаимного обмена данными между подвижной станцией и сетью осуществляется полный цикл аутентификации и дается разрешение на доступ абонента к сети.

Таким образом, SIM-карта абонента содержит полный объём информации о конкретном абоненте и делает мобильную станцию универсальной, так как любой абонент, используя личную SIM-карту, может обеспечить доступ к сети GSM.

Несанкционированное использование SIM-карты исключается введением в нее индивидуального идентификационного номера (PIN), который присваивается пользователю при получении разрешения на работу в системе связи и регистрации абонентского устройства.

Процедура проверки сетью подлинности абонента реализуется следующим образом.

Сеть передаёт случайный номер (RAND) на подвижную станцию. Подвижная станция определяет значение отклика (SRES), используя RAND, Ki и алгоритм АЗ:

 

SRES = Ki [RAND].

 

Подвижная станция посылает вычисленное значение SRES в сеть, которая сверяет значение принятого SRES со значением SRES, вычисленным сетью. Если оба значения совпадают, подвижная станция может осуществлять передачу сообщений. В противном случае связь прерывается и индикатор подвижной станции показывает, что опознавание не состоялось.

По причине секретности вычисление SRES происходит в рамках SIM-карты. Несекретная информация (такая как Ki) не подвергается обработке в SIM-карте (рис.12.3).

 

12.2.3. Процедуры защиты передаваемой информации

 

Для обеспечения секретности передаваемой по радиоканалу информации вводится механизм защиты, в соответствии с которым все конфиденциальные сообщения должны передаваться в режиме защиты информации. Алгоритм формирования ключей шифрования (А8) хранится в модуле SIM. После приёма случайного номера RAND подвижная станция вычисляет кроме отклика SRES также и ключ шифрования (Кс), используя RAND, Ki и алгоритм А8 (рис.12.4).

Ключ шифрования Кс не передаётся по радиоканалу. Как подвижная станция, так и сеть вычисляют ключ шифрования, который используется другими подвижными абонентами. Для обеспечения секретности вычисление Кс происходит в SIM-карте. Кроме случайного числа RAND сеть посылает подвижной станции исходную числовую последовательность ключа шифрования. Это число связано с действительным значением Кс и позволяет избежать формирования неправильного ключа. Число хранится подвижной станцией и содержится в каждом первом сообщении, передаваемом в сеть.

Для установки режима шифрования сеть передаёт подвижной

 

 

 

 

станции команду СМС (Ciphering Mode Command) на переход в режим шифрования. После получения команды СМС подвижная станция, используя имеющийся ключ, приступает к шифрованию и дешифрованию сообщений. Поток передаваемых данных шифруется поэлементно или цепным способом с использованием алгоритма шифрования A5 и ключа шифрования Кс (рис.12.4).

 

12.2.4. Состав секретной информации и её распределение в аппаратных средствах систем ASM

 

В соответствии с рассмотренными механизмами безопасности, действующими в стандарте GSM, секретной считается следующая информация:

• RAND случайное число, используемое для аутентификации подвижного абонента;

• SRES значение "отклик-ответ" подвижной станции на полученное случайное число;

• Ki индивидуальный ключ аутентификации пользователя, используемый для вычисления значения отклика и ключа шифрования;

• Кс ключ шифрования, используемый для шифрования/дешифрирования сообщений, сигналов управления и данных пользователя в радиоканале;

• АЗ  алгоритм аутентификации, используемый для вычисления значения отклика из случайного числа с использованием ключа Ki;

• A5  алгоритм шифрования/дешифрования сообщений, сигналов управления и данных пользователя с использованием ключа Кс;

• AS  алгоритм формирования ключа шифрования, используемый для вычисления ключа Кс из случайного числа с использованием ключа Ki;

• CKSN номер ключевой последовательности шифрования, указывающий действительное число Кс (чтобы избежать использования разных ключей на передающей и приёмной сторонах);

• TMSI временный международный идентификационный номер пользователя.

В табл. 12.5 показано распределение секретной информации в аппаратных средствах системы связи GSM.

 

 

12.2.5. Процедуры обеспечения секретности при обмене сообщениями между HLR, VLR и MSC

 

Основным объектом, отвечающим за все аспекты безопасности, является центр аутентификации (AUC). Этот центр может быть отдельным объектом или входить в состав какого-либо оборудования, например, в регистр местоположения (HLR). Система управления AUC определяет, кому будет поручена эксплуатация сети.

AUC может решать следующие задачи:

• формирование индивидуальных ключей аутентификации пользователей Ki и соответствующих им международных идентификационных номеров абонентов (I MSI);

• формирование набора RAND/SRES/Кс для каждого IMSI и раскрытие этих групп для HLR при необходимости.

Если подвижная станция переходит в новую зону расположения с новым VLR, новый VLR должен получить секретную информацию об этой подвижной станции. Это может быть обеспечено следующими двумя способами:

• подвижная станция проводит процедуру идентификации по своему международному номеру IMSI. При этом VLR запрашивает у регистра местоположение HLR группы данных RAND/SRES/Кс, принадлежащих данному IMSI;

• подвижная станция проводит процедуру аутентификации, используя прежний временный номер TMSI с наименованием зоны расположения LAI. Новый VLR запрашивает прежний VLR для посылки международного номера IMSI и оставшихся групп из RAND/SRES/Кс, принадлежащих этим

TMSI/LAI.

Если подвижный абонент остаётся на более длительный период в VLR, то после некоторого числа доступов с аутентификацией VLR, из соображений секретности, запрашивает новые группы RAND/SRES/Кс от HLR.

Все эти процедуры определены в рекомендации GSM 09.02. Проверка аутентификации, описанная выше, выполняется в VLR, который посылает RAND на коммутационный центр (MSC) и принимает соответствующие отклики SRES. После положительной аутентификации TMSI размещается с IMSI. TMSI и используемый ключ шифрования Кс посылается в центр коммутации (MSI).

Эти процедуры также определены в рекомендации GSM 09.02. В заключение следует отметить, что выбранные в стандарте

GSM механизмы секретности и методы их реализации определили основные элементы передаваемых информационных блоков и направления передачи, на которых должно осуществляться шифрование (RAND/SRES/Кс от HLR к VLR; RAND и SRES в радиоканале). Для обеспечения режима секретности в стандарте GSM решены вопросы минимизации времени соединения абонентов. При организации систем связи по стандарту GSM имеется некоторая свобода в применении аспектов безопасности. В частности, не стандартизованы вопросы использования центра аутентификации AUC (интерфейс с сетью, структурное размещение AUC в аппаратных средствах). Нет строгих рекомендаций на формирование закрытых групп пользователей и системы приоритетов, принятых в GSM. В этой связи в каждой системе связи, использующей стандарт GSM, эти вопросы решаются самостоятельно.

 

Приложение 1. ТРЕБОВАНИЯ МЕЖДУНАРОДНЫХ СТАНДАРТОВ К ИДЕНТИФИКАЦИОННЫМ КАРТАМ С ИНТЕГРАЛЬНЫМИ СХЕМАМИ

 

П.1.1. Физические характеристики карт с интегральными схемами. Размеры и расположение контактов на идентификационных картах с интегральными схемами

 

Физические характеристики, приведенные ниже, описывают карту, полученную в результате установки интегральных схем с контактами в карту типа ID-1 (рис.П1-1) и удовлетворяющую требованиям ранее основных выпущенных стандартов ISO 7810, ISO 7811 части 1...5, ISO 7812, ISO 7813 и ISO 7816 части 1...3.

 

 

В принятых стандартах определены следующие размеры и расположение контактов на идентификационных картах с интегральными микросхемами.

Размеры контактов. Каждый контакт должен иметь минимальные размеры прямоугольного участка поверхности, показанные на рис.П1-2, и должен быть электрически изолирован от других контактов.

Форма и качество поверхности электропроводных участков карт, содержащих каждый из контактов, в стандарте ISO 7816-2 не определены.

Число и расположение контактов. В стандарте ISO 7816-2 определены восемь контактов: С1,...,С8.

 

 

Расположение контактов по стандарту ISO на карте формата ID-1, изображенной на рис.П1-2, с указателем направления ввода, представлено на рис.П1-3. Соответствующие данные сведены в табл. П1-1, где А и С максимальные, а В и D минимальные значения.

Расположение контактов, принятое во Франции по Национальному стандарту AFNOR, представлено на рис.П1-4, а соответствующие данные сведены в табл. П1-2.

 

 

 

 

Контакты могут быть расположены на лицевой или оборотной стороне карты, но в любом случае их расположение определяется относительно левого и верхнего краев соответствующей поверхности карты.

Методы контроля расположения контактов с помощью измерительного прибора, обеспечивающего точность 0,05 мм, указаны в приложении к стандарту ISO 7816-2.

Варианты расположения интегральных схем на поверхности карт представлены на рис. П1-5 и рис. П1-6. На рис. П1-5 изображены варианты выполнения карт при наличии в их составе только интегральных схем и подписных панелей (на лицевой и оборотной сторонах).

На рис.П1-6 изображена карта, имеющая не только интегральную схему, но и магнитную полосу.

Профиль поверхности контактов. Разница между уровнями всех контактов и поверхностью карты должна быть менее 0,1 мм.

Механическая прочность (карт и контактов). Карта должна быть стойкой к повреждениям поверхности и любого из её компонентов, она должна оставаться неповрежденной во время нормальной эксплуатации, хранения и обращения. Требования к механической прочностей каждой контактной поверхности определяются из условия, что они не должны повреждаться рабочим давлением, эквивалентным давлению стального шарика диаметром 1 мм, к которому приложена сила в 1,5 Н.

Методы испытаний карт на механическую прочность также определены в приложении к стандарту ISO 7816-2 и представлены в Приложении 3 (П3.5-П3.7).

Рассеяние тепла. Интегральная схема в карте не должна рассеивать мощность более 2,5 Вт. Какие бы ни были условия окружающей среды, температура на поверхности карты не должна превышать 50 С.

Электрическое сопротивление (контактов). Контактное сопротивление узла соединительного устройства карты может быть определено и измерено при использовании испытательной карты с короткозамкнутой межконтактной цепью.

При пропускании постоянного тока любого значения в пределах от 50 мкА до 300 мА, сопротивление, измеренное между любыми двумя проводами соединительного устройства (сопротивление последовательного соединения двух контактов), должно быть менее 0,5 Ом.

Полное сопротивление должно быть таким, чтобы величина падающего на нём напряжения оставалась меньше 10 мВ при протекании переменного тока амплитудой 10 мА с частотой 4 Мгц. Измерение электрического сопротивления контактов проводят по схеме, представленной в Приложении 3 (П3.9).

Электромагнитные помехи (между магнитной полосой и интегральными схемами). Карта, содержащая магнитную полосу, не должна повреждаться, модифицироваться или неправильно функционировать после считывания, записи или стирания информации на магнитной полосе. И наоборот, запись или считывание информации с интегральных схем не должны вызывать неправильное функционирование магнитной полосы или связанных с ней устройств считывания, записи или стирания информации.

Действие электромагнитных полей. Помещение карт в магнитное поле напряженностью 1000 Эрстед не должно вызывать неправильного функционирования интегральных схем. Испытания осуществляются при воздействии статического магнитного поля указанной величины.

Магнитное поле такой напряженности может стирать информацию, содержащуюся в магнитной полосе (если она используется).

Действие статического электричества. Метод испытания, приведенный в Приложении к стандарту ISO 7816-2, определяет следующий порядок испытаний для определения действия статического электричества на карту. Процедуры испытаний для проверки устойчивости карт к воздействию электростатических разрядов приведены в Приложении 3 (П3.8).

Функционирование интегральной схемы в режиме записи/считывания информации должно быть проверено в начале и при окончании испытания.

Общие требования к пластиковым картам с интегральными схемами. Физические характеристики, приводимые для всех типов идентификационных карт в стандарте ISO 7810 [7], применимы и для карт с интегральными схемами.

Требования к воспламеняемости, принятые для банковских карт в стандарте ISO 7813, также применимы к этим картам [8]. Ответственность за защиту от влияния окружающего ультрафиолетового излучения с уровнем, выше установленного значения, ложится на изготовителя карт. Устойчивость к рентгеновскому излучению определяется, исходя из того, что облучение каждой стороны карты дозой в 0,1 Gy рентгеновскими лучами со средней энергией от 70 до 140 кВ (накопительная доза за год) не должно вызывать неправильного функционирования карт.

 

П.1.2. Электрические сигналы и протоколы передачи

 

П.1.2.1. Электрические функции и характеристики контактов карты

 

Электрические параметры и структура сигналов при обмене информацией между картой с интегральной схемой (схемами) и интерфейсом (например, терминалом), определяются стандартом ISO 7816-3, по которому интерфейс это терминал (устройство связи), к которому подключена карта с интегральной схемой (схемами).

Назначение каждого контакта карты представлено в табл. П1.2-1 в соответствии со стандартом ISO 7816-2.

В стандарте рассматриваются скорости передачи сигналов, уровни напряжений, величины токов, процедуры обмена информацией с карточкой, содержащей интегральную схему. Также рассмотрены процедуры выявления ошибок в информационных блоках при проверке на четность, но не приводится информация, касающаяся идентификации передающей стороны и пользователей предоставляемых услуг и способов засекречивания.

 

П.1.2.2. Назначение и основные функции контактов

 

Контакт ввода-вывода (1/0). Данный контакт используется в качестве входного (в режиме приёма) или выходного (в режиме передачи) для обмена данными. Возможны два состояния на контакте 1/0:

• метка или высокий уровень (состояние Z), если карта и интерфейс работают в режиме приёма или если это состояние задаётся передатчиком;

• пробел или низкий уровень (состояние А), если это состояние задаётся передатчиком.

Если устройства на двух концах линии находятся в состоянии приёма, то линия должна находиться в состоянии Z. Если устройства на двух концах линии находятся в несогласованном режиме передачи, то это логическое состояние линии может быть промежуточным. При работе интерфейс и карточка не могут одновременно находиться в режиме передачи.

Контакт программирующего напряжения (VPP). Этот контакт может быть использован для подачи напряжения, требуемого для программирования или стирания информации во внутренней энергозависимой памяти. Возможны два состояния на контакте VPP: холостой ход и активное. Состояние холостого хода устанавливается на интерфейсе, если не требуется включения активного состояния.

Контакт синхроимпульса (СLК). Значения частот синхросигналов, поступающих с интерфейса на контакт СLК, обозначаются fi (исходная частота в течение ответа после установки в исходное состояние) или f_s (частота во время последующего сеанса передачи). Значения частот приведены в п.6.1.4.4 стандарта ISO 7816-3.

Коэффициент заполнения тактового интервала для асинхронного режима должен составлять от 45 до 55% во время стабильной работы. При переключении частот (с f_i на f_s) не должно возникнуть ни одного импульса с длительностью короче 45% от тактового интервала.

Установка в исходное состояние (RST). Сигнал установки в исходное состояние на контакт RST подается в соответствии с требованиями стандарта ISO 7816-3 (п.5.2.) [6].

Контакт для подачи напряжения питания (VCC). Этот контакт используется для подачи напряжения питания.

 

П.1.2.3. Параметры напряжений и токов для каждого контакта

 

В стандарте 7816-3 определены значения напряжения и токов для каждого из контактов. Данные, приведенные в таблицах стандарта для каждого из контактов, получены путем измерений относительно земляного контакта GND при температуре окружающей среды от 0 до 50°С. Все токи в направлении карты считаются положительными. Если контакт не активирован, то напряжение на нем составляет от 0 до 0,4 В по отношению к контакту GND при токе менее 1 мА.

В стандарте приводятся следующие параметры сигналов на контактах карты:

V_IH высокий уровень входного напряжения;

V_IL низкий уровень входного напряжения;

V_CC напряжение источника питания на контакте VCC;

V_PP  программирующее напряжение на контакте VPP;

V_OH высокий уровень выходного напряжения;

V_OL низкий уровень выходного напряжения;

t_R время нарастания, измеряемое в пределах от 10 до 90% от амплитуды сигнала;

t_P  время спада, соответствующее изменению уровня сигнала в пределах от 90 до 10% от максимального уровня сигнала;

I_IH высокий уровень входного тока;

I_IL низкий уровень входного тока;

I_CC ток, потребляемый по цепи питания (контакт VCC);

I_PP ток, потребляемый по цепи программирования (контакт VPP);

I_OH высокий уровень выходного тока;

I_OL низкий уровень выходного тока;

С_IN входная емкость;

С_OUT выходная емкость.

 

П.1.2.4. Процедура работы с картами, содержащими интегральную схему (схемы)

 

Процедура, описанная в стандарте ISO 7816-3, применима к любой карте с интегральной схемой (схемами), содержащей контакты.

Диалог между интерфейсом и картой должен быть проведен в виде следующих последовательных операций, которые подробно определяются в стандарте ISO 7816-3:

- соединение и активация контактов со стороны интерфейса;

- установка карты в исходное состояние;

- ответ на установку в исходное состояние со стороны карты;

- последующий обмен информацией между картой и интерфейсом;

- деактивация контактов со стороны интерфейса.

Примечание. Активация контакта программирующего напряжения VPP должно устанавливаться и поддерживаться при поступлении запроса от карты.

Основные протоколы информационного обмена между картой и терминалом, определенные ISO, описаны в гл. 6.

 

Приложение 2. ТРЕБОВАНИЯ МЕЖДУНАРОДНЫХ СТАНДАРТОВ

К ИДЕНТИФИКАЦИОННЫМ КАРТАМ С МАГНИТНОЙ ПОЛОСОЙ

 

П.2.1. Особые свойства идентификационных карт с магнитной полосой

 

Материал идентификационных карт с магнитной полосой. Материал идентификационных карт не должен содержать элементы, которые могут проникать в магнитную полосу и изменять свойства магнитного материала до такой степени, что при обычном применении карт он не будет иметь свойства, установленные в серии международных стандартов для идентификационных карт.

Деформация идентификационной карты. Для идентификационной карты типа ID-1 определены следующие требования. При расположении карты лицевой стороной вверх максимальное расстояние от плоской поверхности до любой нетисненой воны лицевой стороны идентификационной карты с тисненой надписью непосредственно перед выдачей пользователю не должно быть более 2 мм. При приложении нагрузки 2,2 Н, равномерно распределенной на лицевой стороне (в зоне магнитной полосы), вся полоса может быть деформирована на величину, лежащую в пределах 0,08 мм относительно плоской поверхности.

Деформации поверхности. На части поверхности, представляющей собой разность между зонами В и А (рис. П2-1), должны отсутствовать деформации поверхности, неровности или выпуклые зоны, которые могут размеры зон А и В приведены в табл. П2-1.

Однако, если выпуклая зона является зоной сигнатуры (тисненой надписи),

 

 

расположенной на лицевой или оборотной стороне идентификационной карты, то, вне зависимости от ширины магнитной полосы, должны выполняться следующие условия:

а) если плоскость сигнатуры имеет длину как минимум 79,88 мм и сдвинута от правого края не более, чем на 2,92 мм, то выпуклая зона не должна быть ближе к верхнему краю карты более, чем на 16,76 мм;

б) при любых условиях выпуклая зона не должна быть ближе к верхнему краю идентификационной карты более, чем на 19,05 мм.

Высота выпуклой зоны не должна превышать 0,51 мм в зоне тиснения (зона С минус зона 0). Размеры зон С и D указаны в табл. П2-1.

Заусеницы на краях карты по высоте не должны превышать 0,08 мм. Выпуклая зона может возвышаться над всей остальной лицевой

или оборотной сторонами идентификационной карты не более, чем на величину 0,25 мм.

Загрязнение. Материал идентификационной карты и любой материал, входящий в ее состав, не должны загрязнять устройства, которые наносят магнитные полосы, записывают или считывают информацию с карты.

 

П.2.2. Физические характеристики магнитной полосы карт

 

П.2.2.1. Основные положения

 

Идентификационная карта должна обладать общими характеристиками, установленными международным стандартом ISO 7810.

 

 

Фирмы-изготовители карт должны уделять внимание тому факту, что информация на магнитной полосе может оказаться недоступной вследствие ее загрязнения в результате контакта с загрязняющим веществом, а также с некоторыми распространенными химическими веществами, включая пластификаторы. Кроме того, воздействие на карту сильного магнитного поля может привести к разрушению данных, записанных на ее магнитной полосе.