Сегодня в компьютерной или банковской сфере трудно встретить человека, который бы ни разу не слышал о смарт-картах. Эта уникальная технология, возможно, в самое ближайшее время прочно войдет в наш быт  –  так же, как уже вошли персональный компьютер и другие средства информационных технологий. Смарт-карты – как компактное, недорогое и интеллектуально мощное средство для решения задач в самых разнообразных сферах человеческой деятельности – ждет широкая область применения.

Внутри

Смарт-карту можно представить как некоторое устройство размером с обыкновенную визитную карточку со встроенной микросхемой, покрытой тонким защитным слоем золота. Изготовленную из пластика, такую карту удобно хранить в кармане или бумажнике. Микросхема или чип содержит в себе энергонезависимую память с полезной емкостью в несколько килобайт, встроенное программное обеспечение и небольшой процессор, позволяющий манипулировать хранящимися в памяти данными согласно заданному алгоритму.

Смарт-карта "приводится в движение" через внешнее считывающее устройство – ридер (reader). От ридера на контакты микросхемы подается питание – процессор начинает работу и в соответствии с записанной в памяти микросхемы инструкцией связывается с внешним миром: карта откликается на внешние сигналы и команды, поступающие с ридера, выдает хранящуюся в памяти информацию, записывает или видоизменяет ее. Во время всего сеанса смарт-карта остается "вещью в себе", поскольку успешный контакт с микросхемой и доступ к тем или иным данным карты возможны лишь при предъявлении считывающим устройством специальных кодов или паролей, хранящихся в памяти микросхемы в зашифрованном виде и недоступных посторонним считывающим устройствам (основные контрольные функции выполняет микропроцессор). При этом может использоваться сложная иерархия служебных кодов. Так, для каждой отдельно взятой операции (например, для чтения или записи данных из той или иной области памяти) предъявляется уникальный пароль. Это позволяет установить для всех считывающих устройств, работающих с конкретной картой, уровни доступа и полномочий.

Благодаря тому, что карты удовлетворяют высоким критериям безопасности и могут надежно защитить хранящуюся на них информацию от несанкционированного доступа, они нашли широкое применение в финансово-банковской сфере в качестве инструмента, приходящего на смену уже ставшим привычными пластиковым карточкам с магнитной полосой. Сейчас за рубежом и у нас в России функционируют разнообразные платежные системы на пластиковых смарт-картах, заменяющих наличные деньги. Так как карточки с микросхемами легко программируются, то это позволяет создавать на их базе самые разнообразные финансовые приложения: например, автоматически начислять деньги на карточку на какую-нибудь конкретную дату в будущем и т.п. Однако было бы не правильно ограничивать область использования смарт-карт только лишь финансово-банковской сферой, где они используются в качестве "электронного кошелька". Хотя, с другой стороны, так уж получилось, что именно эта сфера их применения и вызвала к ним широкий интерес.

Все такие разные

Чтобы правильно разбираться в многообразии смарт-карт, следует дать приблизительную классификацию всех известных типов карт с микросхемами. Это особенно важно потому, что бывает крайне трудно разобраться, с каким типом карт мы имеем дело в настоящий момент, – ведь карточки, снабженные разными по типу микросхемами, мало отличаются друг от друга по внешнему виду.

Самый простой тип карт с микросхемами – это так называемые карты-счетчики (иногда их еще называют карточками с предварительно оплаченной суммой; такое название используется крайне редко, хотя и весьма точно определяет их основное предназначение). Надеемся, что читатель с ними уже сталкивался; самое известное их применение у нас в России – это телефонные карточки Системы телефонных карточек и автоматов в настоящее время уже появились на улицах Москвы, Санкт-Петербурга и других городов, а сами карточки можно приобрести, к примеру, на станциях метрополитена.

Основу памяти таких карточек составляет заданное число битов, соответствующих, положим, одной минуте телефонного разговора. Через считывающее устройство телефонный аппарат погашает эти биты до тех пор, пока их непогашенное число не станет равным нулю. После этого карточка обычно не подлежит восстановлению и заменяется новой. Тем не менее известны карточки такого типа, допускающие перезапись и повторное использование.

Карточки памяти, как правила предельно дешевы, но область их применения ограничена, поскольку подобные устройства не содержат внутри себя развитой структуры памяти и тем более встроенного микропроцессора; их нельзя рассматривать в качестве полноценного платежного средства, однако они вполне подходят для ряда специальных операций.

Следующим типом карточек с микросхемой принято считать так называемые карты памяти (memory-карты). Само название уже говорит, что они, как и карты-счетчики, содержат практически только память. Однако в отличие от последних они обладают развитой структурой собственной памяти, в которую можно записать информацию самого разного характера для большого числа приложений. Этот тип карт иногда можно встретить даже в качестве платежного средства в банковских платежных системах, хотя считается, что для этих целей лучше подходят карты со встроенным микропроцессором, которого карты с памятью лишены. Выпускаемые промышленностью модели таких карт имеют объем памяти, на некоторых образцах достигающий 1-2 килобайт. Сама память таких карточек может быть реализована в виде ППЗУ (EPROM) (программируемое постоянное запоминающееся устройство – позволяет считывать информацию много раз, но в каждый адрес такой памяти информация записывается только один раз) или в виде ЭСППЗУ (EEPROM) (энергонезависимое перепрограммируемое постоянное запоминающее устройство – в нем информация может перезаписываться и считываться многократно).

В ППЗУ, например, могут быть записаны (если речь идет об использовании карточки в виде платежного банковского средства)код банка, выпустившего карту, и идентификационный номер ее постоянного владельца. Эту информацию невозможно будет изменить во время всего срока службы карточки. В ЭСППЗУ записывается, очевидно, сумма денежных средств, которыми располагает владелец карточки. В процессе обращения карты, при приобретении товара, с нее списывается стоимость совершенной покупки, а при необходимости держатель карточки может, обратившись в банк, дополнительно начислить на нее средства.

Разумеется, такие карточки могут содержать в областях своей памяти и машинные коды небольших исполняемых программ. Однако, как и в случае с картами-счетчиками, управление данными, хранящимися на карте, производится внешними устройствами – например, торговым терминалом. Тем не менее карточки с памятью имеют серьезные средства защиты хранимой информации, поэтому несанкционированный доступ к их памяти вряд ли будет результативным.

Наконец, наиболее продвинутым типом карт с микросхемами считаются карточки со встроенным микропроцессором. Строго говоря, только их можно считать смарт-картами, хотя карты-счетчики и карты памяти тоже нередко называют смарт-картами (что не совсем верно). Микросхема карточки со встроенным микропроцессором содержит внутреннюю логику, что и делает ее в прямом смысле "интеллектуальной" (от англ. smart – умный, интеллектуальный).

Микросхема смарт-карты – это, по сути, микро-ЭВМ, которая включает следующие компоненты:

 – CPU (центральный процессор). Устройство для обработки инструкций карты.

 – RAM (ОЗУ). Память для временного хранения данных – например, результатов вычислений процессора.

 – ROM (ПЗУ). Память для постоянного хранения инструкций карты, исполняемых процессором, а также других данных, которые не меняются в процессе работы. Информация записывается в ПЗУ производителем карты.

 – EPROM (ППЗУ). Память, которая может быть прочитана много раз, но записана однократно. Как правило, организация, выпустившая (эмитировавшая) карточку, записывает в ПЗУ данные о ее владельце.

 – EEPROM (ЭСППЗУ). Память, где информация может быть перезаписана и считана многократно; в ней хранятся данные, изменяемые регулярно. (ППЗУ и ЭСППЗУ не теряют информации при отключении питания.)

 – I/O (ввод/вывод). Система, которая служит для обмена данными с внешними устройствами.

 – Операционная система. Инструкции для процессора, хранящиеся на карте.

 – Security Features (система безопасности). Встроенная система безопасности для защиты данных с возможностью их шифрования. В качестве алгоритмов шифрования чаще других используются хорошо известные алгоритмы DES и ГОСТ 28147/89.

Нетрудно видеть, что такой интеллектуальный инструмент, как смарт-карта, обладает большим потенциалом к применению в самых различных областях. К тому же, существующие и выпускаемые серийно образцы имеют неплохие технические характеристики, вполне достаточные для ряда серьезных приложений. Для примера можно рассмотреть технические характеристики смарт-карточки MCOS16K, которая уже работает в нескольких российских платежных системах.

Платежная система на пластиковых картах

Чтобы представить себе, как смарт-карта может работать в электронных платежных системах, давайте вкратце рассмотрим, как вообще функционирует подобная электронная система, реализованная в данном случае на известных и привычных карточках с магнитной полосой. Подобные системы в настоящее время доминируют как во всем мире, так и в России.

Основное назначение такой системы – исключение из оборота наличных денег, так как все расчеты по пластиковым карточкам производятся в безналичной форме переводом денег с одного счета на другой. Платежная система на пластиковых картах может объединять сотни банков-эмитентов, миллионы клиентов-держателей карт и десятки тысяч торговых точек или предприятий сферы услуг, где карточки данной системы принимаются в качестве средства платежа за товары или услуги наряду с наличными деньгами. Информационными потоками в подобной системе руководит единый процессинговый центр, обеспечивающий контроль как за самими карточками и банковскими счетами, так и за правильностью перечисления денег с одного счета на другой. Поскольку платежная система может иметь обширную географию (пластиковые карточки известных платежных систем принимаются во всех частях земного шара), процессинговый центр часто имеет весьма сложную организационную структуру, состоящую из целой сети региональных узлов и их придатков, связанных между собою надежными средствами телекоммуникаций. Такая система позволяет точно и в сжатые сроки проводить транзакции (транзакции – инициируемые держателем карточки последовательности операций, проводимые участниками платежной системы).

Как осуществляется и поддерживается работа платежной системы на магнитных картах? Рассмотрим упрощенную технологическую цепочку операций между участниками платежной системы, по возможности, не углубляясь в подробности.

Клиент, желающий приобрести банковскую пластиковую карточку, обращается в свой банк, выпускающий (эмитирующий) такие карточки. Банк открывает клиенту индивидуальный расчетный карточный счет, с которого клиент будет оплачивать все свои расходы. Только после этого наш клиент получит в свое распоряжение выпущенную на его имя пластиковую карточку. Предполагается, что на расчетном счету клиента к тому времени будут необходимые средства, которыми он сможет распоряжаться.

Совершая, скажем, очередную покупку в магазине, клиент вместо наличных денег передает продавцу или оператору электронного POS-терминала (Point Of Sale) свою карточку. Она помещается в считывающее устройство терминала, и оператор набирает на клавиатуре итоговую сумму покупки. Последующие действия POS-терминал совершает автоматически. Он считывает через ридер информацию с магнитной полосы пластиковой карты и по телекоммуникационным линиям связывается с ближайшим процессинговым узлом. Дальнейшая процедура называется авторизацией. Она включает в себя три важных операции. Процессинговый узел проверяет данную карточку на предмет принадлежности к данной платежной системе, используя считанную POS-терминалом идентификационную информацию с магнитной полосы карточки. Следующая операция – проверка: не внесена ли карточка в так называемый "стоп-лист" ("стоп-лист" или "черный список" – это периодически обновляемая база данных, хранящаяся на каждом процессинговом узле, куда заносятся номера карточек по каким-либо причинам запрещенные к обслуживанию в системе: украденные, утерянные, просроченные и т.п.). Если и здесь все в порядке, то процессинговый узел должен сравнить величину предложенной к оплате стоимости покупки клиента с размерами средств, имеющихся на его личном расчетном счете. Если этих средств достаточно, чтобы оплатить покупку, то процессинговый узел посылает обратно все это время ждущему на линии терминалу сигнал, разрешающий проведение торговой сделки. Клиент получает свой товар, и на этом для него процесс покупки по пластиковой карточке заканчивается. В дальнейшем процессинговый узел должен позаботиться о том, чтобы деньги с расчетного счета клиента были бы перечислены на расчетный счет магазина, отпустившего товар, причем в минимальные сроки.

Очевидно, что описанная процедура авторизации должна проходить как можно быстрее Ведь дело происходит в обычном магазине в присутствии обычного клиента, а это значит, что процесс оплаты за покупку вместе с авторизацией не должен сильно растягиваться во времени. Кроме того, с целью предотвращения различного рода злоупотреблений весь описанный процесс должен происходить в реальном времени (режим ON-LINE).

Легко представить себе, какие технические требования должны предъявляться к подобным системам. Это обеспечение процессинговых узлов самым современным и мощным аппаратным и программным обеспечением, высоконадежными средствами телекоммуникации, банками и магазинами, участвующими в платежной системе, надежными средствами защиты каналов связи и многим другим. Все это особенно злободневно, если речь идет о платежной системе с массовой потребительской пластиковой карточкой, принимаемой к оплате в разных частях света.

Заметим, что в настоящее время как международными, так и отечественными платежными системами на магнитных пластиковых карточках накоплен огромный опыт работы и, разумеется, решения всех этих непростых вопросов. Принимаются различного рода технические и организационные меры, чтобы упростить, не подвергаясь при этом большому финансовому риску, работу платежных систем. Но полного разрешения всех проблем, как известно, не бывает. Например, в том случае, когда организационно устанавливается порог авторизации, то есть дозваниваться до процессингового узла необходимо только лишь в случаях крупных покупок, превышающих по стоимости этот порог авторизации, иногда наблюдается злоупотребление этой вынужденной мерой со стороны недобросовестных клиентов. Добавим также, что, к сожалению, пластиковые карточки с магнитной полосой не обладают достаточной защитой от механического копирования данных. Информация на магнитной полосе карточки может быть легко считана при помощи нехитрого устройства, а затем благополучно перезаписана на чистую карточку. Всевозможного рода мошенничества приносят ежегодно немалый убыток платежным системам и их участникам. Поэтому были предприняты попытки найти альтернативу пластиковым карточкам с магнитной полосой.

Отличие платежных систем на смарт-картах

В качестве альтернативы выступили смарт-карты, лишенные такого недостатка, как беззащитность перед механическим копированием данных. В памяти каждой смарт-карты содержится уникальный заводской номер микросхемы, присваиваемый один раз при выпуске микросхемы и который невозможно изменить в дальнейшем. Все работающие с картой программы в обязательном порядке проверяют этот номер, что делает бессмысленными попытки механического копирования данных с одной карты на другую.

Однако это далеко не единственный аргумент в пользу использования в платежных системах смарт-карт. Описанные выше функциональные особенности и организация памяти смарт-карт позволяют занести в нее ряд полезной информации, например: данные о владельце карты, банке-эмитенте, номере расчетного счета клиента и, наконец, главное – размере денежных средств, находящихся на расчетном счете клиента. Напомним, что эти данные могут вноситься как в ППЗУ, так и в ЭСППЗУ микросхемы.

Для сравнения, магнитная карточка лишена этой возможности. Она является большим секретом тот факт, что на магнитной полосе карточки, как правило, записывается только идентификационная запись, позволяющая системе однозначно опознать карточку. В некоторых случаях на карту с магнитной полосой (естественно, в закодированном виде) для контроля также записывается ПИН (персональный идентификационный номер) клиента, который последний набирает лично, работая, например, с банкоматами. И это практически все, на что способна пластиковая карточка с магнитной полосой.

Возвращаясь к смарт-картам, заметим, что встроенный микропроцессор позволяет не только манипулировать всевозможными данными, но и благодаря надежному модулю безопасности защищать карту от несанкционированного доступа с помощью особой иерархии защитных кодов.

Наконец, смарт-карта позволяет в корне изменить всю процедуру обслуживания по пластиковым картам. Ведь ответственная и утомительная процедура авторизации может быть произведена прямо в торговой точке без участия в реальном времени удаленного процессингового узла в момент сеанса взаимодействия торгового терминала и смарт-карты.

В тот момент, когда карта вставляется в считывающее устройство надлежащим образом запрограммированного торгового терминала, он сам в состоянии проверить карту на предмет принадлежности ее к платежной системе. Кстати, сама карта точно таким же образом в этот момент проверяет и терминал, сверяя опознавательные сигналы, поступающие от терминала, с теми, что хранятся у нее для такого случая в памяти. И наконец, главное: вопрос о наличии у клиента средств для совершения конкретной покупки решается моментально, так как карте известна величина доступных клиенту денежных средств. В момент совершения торговой сделки карта просто списывает итоговую стоимость покупки со своего внутреннего "расчетного счета".

При таком положении дел роль процессингового центра и его узлов сводится к минимуму, поскольку процедура авторизации не требует связи в режиме реального времени. Данные по всем совершенным за день операциям, накапливаемые во внутренней памяти терминала, по окончании рабочей смены будут переданы на ближайший процессинговый узел при помощи самых простых пригодных для этого средств: по модему, по факсу, курьером, на дискете, а в некоторых платежных системах предлагается даже использовать специальные транспортные смарт-карты. Процессинговый узел не спеша обрабатывает все поступившие данные и производит соответствующие расчеты между участниками системы, а также рассылает по торговым точкам (как правило, тоже на смарт-картах) "черные списки". (Теперь функция проверки данной карты на присутствие ее в этом списке передана от центра к термилам.) Подобная технология проведения авторизации в отличие от режима ON-LINE получила название OFF-LINE.

Очевидно, что такая технология может сильно удешевить стоимость всей системы, включая и стоимость ее обслуживания. Конечно, сама смарт-карта дороже аналогичной карточки с магнитной полосой; тем не менее цена на известные и широко используемые в настоящее время модели смарт-карт (предназначенных, в том числе, и для финансовых приложений) редко превышает 15-20 долларов за штуку. Таким образом, относительно невысокая стоимость смарт-карт делает их доступными для среднего потребителя, а также открывает перед ними широкие области для применения.

Завершая тему использования смарт-карт в области банковских платежных систем, следует сказать, что уже известен ряд платежных систем в России и за рубежом, построенных на смарт-картах. Крупнейшие хорошо известные международные платежные системы объявили о программах постепенного перехода на эту технологию. В частности, сейчас ведется разработка универсального технического стандарта EMV (EuroPay, MasterCard, Visa Int.), которому должны удовлетворять будущие смарт-карты этих платежных систем. Однако полный переход в масштабах всего мира на карты с микросхемами состоится, по-видимому, не скоро.

Где еще могут использоваться смарт-карты

Только что был рассмотрен пример, как смарт-карты могут использоваться в финансово-банковской сфере. Однако напомним еще раз, что это далеко не единственная область их применения. Благодаря своей структуре памяти, гибкому и недорогому микропроцессору и возможности быть запрограммированными для самых разнообразных приложений эти карты находят и, безусловно, еще найдут себя в самых разнообразных областях. Например, в сфере медицинского страхования, где они могут использоваться в качестве электронного страхового полиса клиента, храня в себе помимо страховых дел еще и личные медицинские характеристики пациента, являясь как бы миниатюрной "историей болезни". За рубежом уже разрабатываются национальные программы обязательного медицинского страхования, основанные на смарт-картах. Наиболее продвинутыми в этом отношении странами являются Германия и Франция.

Естественно, смарт-карты могут широко применяться во всевозможных системах безопасности. Уже существуют системы ограничения доступа пользователей к сетям и компьютерам на смарт-картах. Каждая персональная станция сети снабжается ридером карточек, и работа на такой станции возможна только при вставленной в разъем ридера смарт-карточке. Для удобства пользования такие карточки изготовляются по особому дизайну, внешне напоминающему обыкновенные дверные ключи. Кстати, аналогия с дверными ключами не случайна, так как в некоторых французских отелях карточки с микросхемами уже используются в качестве обычных дверных ключей.

Вообще, следует отметить удобство смарт-карт в качестве идентификационного элемента, а их потенциальные возможности позволяют совмещать функцию идентификации с другими не менее полезными операциями.

Конечно, новые возможности всегда порождают и новые проблемы. Для смарт-карт, например, остается весьма сложным и проблематичным вопрос о совместимости устройств, выпущенных разными фирмами-производителями. Тем не менее, опыт всей индустрии интеллектуальных технологий красноречиво показывает, что большинство проблем при необходимости и соответствующем грамотном подходе всегда могут быть разрешены.

Заканчивая рассказ о смарт-картах и их функциональных возможностях, хочется выразить надежду, что данная технология может быть полезной для решения самых разнообразных задач. Возможна даже некоторая интеграция смарт-карте персональными компьютерами или другими устройствами, то есть создание гибридных интеллектуальных систем, использующих все доступные резервы как больших и мощных машин, так и компактных интеллектуальных карточек.