Вопросы безопасности применения наличных электронных денег
Появление электронных денег было настоящим прорывом в истории развития электронной коммерции. Но в настоящее время мы становимся свидетелями, как в нашу жизнь проникают так называемые электронные наличные деньги.
Электронные наличные деньги - это новое слово в эволюции электронных платежных систем. Электронные наличные деньги зачастую путают с банковскими картами. На самом деле в основе электронных наличных денег лежат существенно иные принципы и технологии реализации.
По сути электронные наличные деньги должны по замыслу их разработчиков в скором времени заменить так называемые карманные деньги, а также билеты на метро, общественный транспорт и социальные кредитные карты.
Существует несколько принципиальных подходов к реализации электронных наличных денег, представленных на рис. 14.1.
14.1. Привязка локальных платежей к дебетовому счету клиента
Эти системы платежей применяются, как правило, в так называемых замкнутых системах электронной коммерции. Замкнутые системы электронной коммерции - это либо системы, которые функционируют на ограниченной территории, либо системы связанных и взаимодействующих абонентов, которые действуют в соответствии с определенными в рамках замкнутой системы правилами, не распространяющимися на абонентов других систем.
Поясним данное определение на нескольких примерах и обратимся к реализации платежей с использованием электронных наличных денег.
К типичным замкнутым системам, относятся, например, развлекательные комплексы и корпоративные системы автозаправок. Рассмотрим каждую из систем.
Развлекательные комплексы
Для эффективного обслуживания клиентов развлекательных комплексов необходимо, чтобы клиент получил оплаченные услуги с максимальным удобством для себя. К развлекательным комплексам могут относиться парки, казино, аквапарки, бассейны, тиры и т.д. Обычно большая часть работы по обслуживанию клиентов ложится на плечи административного персонала. Уровень дополнительных затрат на обслуживание клиента (входящих, соответственно, в цену самих услуг) определяется в этом случае стоимостью содержания штата таких работников. Однако, когда спектр услуг широк, а поток посетителей велик, такая модель управления приведет к чрезмерной нагрузке на работников и к раздуванию штата администраторов, снижению эффективности обслуживания, всевозможной путанице, что непременно вызовет недовольство клиентов. Помимо этого подобное положение вещей ведет к увеличению стоимости самих услуг.
Как правило, в клубах вводят системы автоматического обслуживания клиентов. На входе в заведение в самом общем случае персональные данные клиента вносятся в электронную анкету при первом посещении и могут использоваться при последующих посещениях. Конечно, наличие электронной анкеты может быть необязательным или сводиться к выдаче электронного идентификатора клиента в зависимости от порядкового номера посетителя в этот день. Также важным компонентом такой системы является система автоматической RFID-идентификации клиента (c помощью карт, брелоков и других персональных меток), которая позволила бы быстро получить данные клиента при посещении спортивно-развлекательного комплекса, действующие для него привилегии, скидки, а также автоматически управлять доступом посетителя к тем или иным видам услуг.
Именно в таких системах получили распространение так называемые наличные электронные деньги. Они вводятся в оборот с целью увеличения степени автоматизации, а также для того, чтобы клиент мог получить больше услуг. Электронные наличные деньги в подобной системе имеют следующий механизм: номер радио-метки привязывается к личному предоплаченному счету клиента. Клиент может использовать свою RFID-метку для оплаты, например, завтрака на территории развлекательного комплекса. Потраченные таким образом деньги будут занесены в его счет. Также подобные расчеты могут использоваться и для оплаты доступа на определенную территорию. Так, если клиент намерен пройти процедуры, и он оплатил эту услугу, то ему будет достаточно поднести свою радиометку к считывателю RFID на стене около двери процедурной. Оплата подобного рода проходит через базу данных, после чего система автоматического управления деактивирует замок двери. При внедрении подобных решений персонал администраторов освобождается для других задач, которые на него возложены, а клиент получает возможность не иметь при себе наличных денег и расплачиваться до или после получения соответствующих услуг.
Подобная система может быть реализована на различных RFID-метках: бесконтактных картах, брелоках и браслетах.
Наличные деньги в системах АЗС
Современные АЗС могут оснащаться системами, которые также имеют возможность работать с наличными электронными деньгами[3GPP TR 21.905: Vocabulary for 3GPP Specifications.]. Устройство подобных систем несколько отличается от того, что было описано выше.
В системах автоматических расчетов используются возможности бортовых компьютеров современных автомобилей. Подобные бортовые системы имеют специальные интерфейсы, через которые внешнее устройство может получать диагностическую информацию. Тахографы в бортовых компьютерах позволяют отследить маршрут следования автомобиля с привязкой ко времени прибытия в контрольные точки. Более того, информация может поступать в офис компании-перевозчика и тогда, когда машина находится на маршруте. Однако подобные решения беспроводной передачи данных прямо в пути достаточно дорогостоящи. Для передачи данных чаще используют пересылку с использованием дополнительного оборудования АЗС, которое позволяет в момент заправки передать все данные о маршруте, а также диагностическую информацию об автомобиле с бортового компьютера. Подобная схема представлена на рис. 14.2[EMV ICC Specification for Payment Systems.]
Решения такого рода уже предлагают несколько крупных компаний - поставщиков оборудования для АЗС. Такие системы обслуживания обычно строятся следующим образом[ISO/IEC 4909. "Идентификационные карты. Содержание данных 3-й дорожки магнитной полосы".]:
- на топливораздаточный пистолет шланга (1) устанавливается радиометка, а в верхнюю часть бака автомобиля ставится приемная антенна RFID-считывателя (2);
- считыватель (2) регистрирует данные метки, что является сигналом к началу транзакции на получение топлива;
- получив данные от считывателя, бортовой контролер (3) собирает требуемые диагностические данные о техническом состоянии машины, проделанном маршруте с тахографа и передает их после авторизации на контролере АЗС (4) по беспроводному интерфейсу в зашифрованном виде;
- контролер связывается с сервером АЗС и (если в этом есть необходимость) с офисом топливной компании, проверяет право данной машины на заправку, определяет отведенный лимит топлива и сохраняет данные от контролера автомобиля (3). А затем происходит заправка по установленным параметрам, при этом контролер отслеживает количество топлива в танке (5).
Таким образом, технология RFID позволяет не только автоматизировать отгрузку топлива и ужесточить контроль за этим процессом (чтобы избежать хищений и пролива топлива), но и отследить состояние машины и проделанный маршрут вдали от автопарка и офиса транспортной компании, при этом, что важно - в подобных системах фактически циркулируют электронные наличные денежные средства.
Описанные ранее механизмы с дебетовым счетом и специальными RFID-картами с идентификаторами счетов в рассматриваемых случаях не подходят[ISO/IEC 7810. "Идентификационные карты. Физические характеристики".].
Дело в том, что в случаях с АЗС подобные системы имеют ряд уязвимостей с точки зрения возможных случаев воровства. Иначе говоря, даже если введен суточный лимитированный литраж на заправку топливом, никто не мешает водителю не полностью залить бак, а потом передать брелок своим знакомым, и за счет своей фирмы заправить фактически краденым топливом автомобиль посторонних лиц. Расходы на топливо у транспортников - это только одна статья издержек, при этом важно быть уверенным, что топливо расходуется именно на основную задачу - доставку груза от отправителя товара к получателю. Кроме того, автопарк тратит средства на техническое обслуживание транспорта, а здесь важными параметрами для оценки являются пробег и техническое состояние машины.[ISO/IEC 7811. "Идентификационные карты. Способ записи".]
14.2. Привязка электронных платежей к банковскому счету клиента
Если в предыдущей системе рассматривался случай, когда пользователь предварительно открывал счет, не связанный с банковским, то в данном параграфе рассматриваются платежи, которые жестко связаны с банковским счетом клиента.
Бесконтактный платеж был впервые применен на кредитных картах в рамках программы PayPass, которую поддержали такие ведущие производители банковских карт, как VISA и MasterCard. Ограничение подобных карт с внедренным чипом для бесконтактного взаимодействия с терминалом заключается в отсутствии встроенного источника питания в картах.
Вообще бесконтактные платежи можно разделить на четыре категории. Только две первые можно использовать без батарей.
Перечислим данные категории.
- Touch and Go — в данной категории платежи производятся покупателем, если последний просто проносит устройство над точкой продажи, не подтверждая при этом транзакцию;
- Touch and Confirm - к этой категории относятся платежи, при которых необходимо вводить пароль, либо просто подтверждать транзакцию;
- Touch and Connect - в этой категории необходима установка связи между самостоятельными узлами для перевода данных или денег;
- Touch and Explore - в данной категории платежи происходят при участии мультисервисных устройств, которые позволяют сделать выбор из меню услуг типа операции. Так как у бесконтактной карты нет ни дисплея, ни клавиатуры, то идентификация карты проходит просто со стороны точки продажи, а активация PIN-кода владельцем карты возможна только при наличии клавиатуры на точке продажи. В случае же с мобильным телефоном вводить код и осуществлять работу с меню можно непосредственно с мобильного телефона.
Бесконтактные платежи можно также классифицировать еще по одному параметру - размеру суммы платежа. Существуют так называемые макро- и микроплатежи.
Микроплатежи. Микроплатежи обычно не требуют какого-либо подтверждения (подписи или ввода PIN-кода) и осуществляются проведением устройством платежа рядом с точкой продажи. Верхний порог микроплатежа составляет 25 дол. США.
Макроплатежи. Если же сумма платежа выходит за пределы 25 дол., то платеж считается макроплатежом. Это означает, что от покупателя потребуют ввести PIN-код или подпись для подтверждения: покупатель должен провести устройством платежа над точкой продажи, ввести код или подпись на клавиатуре, а затем снова отметиться устройством. Это процесс сводит на нет все удобства бесконтактных платежей - они становятся сложными и долгими.
Таким образом, к платежам электронными наличными деньгами относятся только микроплатежи категории Touch and Go. В некоторых системах классификации можно встретить мнение о том, что микроплатежи категории Touch and Connect также относятся к платежам электронными наличными деньгами.
Микроплатежи категорий Touch and Go и Touch and Connect с технической точки зрения могут быть реализованы двумя различными способами.
14.2.1. Бесконтактные карты
Бесконтактные карты, популярность которых растет в США и Европе, в настоящее время являются самым популярным инструментом электронных наличных денег. Все ведущие поставщики платежных решений представили свои разработки в этой сфере: карты OneSmart PayPass от MasterCard, Visa Contactless от Visa International, ExpressPay от American Express[3GPP TR 21.905: Vocabulary for 3GPP Specifications.].
В случае использования подобных карт не нужно беспокоиться о том, куда и как вставлять карту, как быстро проводить карту через считывающее устройство POS-терминала (Point Of Sale). Их можно использовать там, где транзакции должны происходить максимально быстро. Бесконтактные смарт-карты могут содержать в несколько раз больше информации, чем традиционные карты с магнитной полосой.
Такие карты пригодны для оплаты небольших покупок в супермаркетах, ресторанах и в других случаях, когда оплата должна производиться быстро. Все три разновидности бесконтактных карт соответствуют стандарту радио-интерфейса ISO 14443A/B (proximity RFID с рабочей частотой 13.56 МГц) и спецификациям EMV. Это сочетание - стандарт современных, безопасных карт для бесконтактных платежей.[EMV ICC Specification for Payment Systems.]
Подобные карты были созданы с целью постепенного их внедрения в существующую систему платежей. Например, несмотря на то что магнитные полоски карт никак не задействованы в ходе передачи радиосигнала, используемые в настоящее время считывающие устройства сначала переводят полученную информацию в формат, аналогичный формату данных на магнитной ленте, и только после этого передают эту информацию торговым терминалам. Иными словами, в обрабатывающую сеть информация попадает в одинаковом формате, независимо от того, была ли она получена через радиосигнал или через считывание с магнитной полосы. Иногда, чтобы защититься от утечки данных, клиент вводит дополнительную информацию, например дату срока действия карты (CVC-код), напечатанную на самой карте. Через считывание с магнитной полосы эту дату узнать нельзя. Потом эта информация отправляется в контрольный центр, где решается, разрешить ли доступ к данным карты или же отказать.
О технических деталях реализации подобных карт уже было рассказано ранее.
Отметим, что в настоящее время применяются 20 млн кредитных карт с поддержкой бесконтактных платежей. Стандартных же карт используется 398 млн Помимо простого осуществления платежей карты на бесконтактных технологиях также применяются и в других областях, например в общественном транспорте. Не так давно на 30 станциях метрополитена Нью-Йорк Сити начали принимать около 100 000 карт с бесконтактным считыванием в качестве эксперимента.
14.2.2. Наличные платежи с использованием мобильного телефона
У платежей с помощью бесконтактных карт есть ряд недостатков: у карт нет встроенных элементов питания (что ограничивает функциональные возможности), на карте нельзя вводить код подтверждения, поэтому его приходится вводить в терминал (что небезопасно). Чтобы избежать этих ограничений, логичным решением оказалось использование устройства, которое имеется у подавляющего большинства населения, у которого есть дисплей, клавиатура и батарейки, т.е. мобильного телефона.
Но для того чтобы производить электронные микроплатежи (т.е. использовать мобильный телефон в качестве электронных наличных денег), необходимо было несколько расширить функциональные возможности устройства. Именно для этих целей совместно компаниями Philips, Sony и Nokia была разработана технология NFC. NFC (Near Field Communication) - это технология беспроводной связи малого радиуса действия, позволяющая производить обмен данными между устройствами, находящимися на расстоянии около 10 см.
Встроенный в телефон передатчик NFC позволяет бесконтактно передавать информацию на небольшие расстояния.
Практически NFC позволяет использовать любое мобильное устройство, оснащенное аппаратной поддержкой этой технологии, как своего рода смарт-карту со считывающим устройством и беспроводным интерфейсом передачи данных, работающим на короткие расстояния. Это значит, что в памяти, скажем, сотового телефона, отведенной под данные NFC, можно разместить платежное приложение, аналогичное программному обеспечению распространенных кредитных карт, и владелец сможет расплатиться в кафе или в магазине, буквально поводив своим телефоном перед считывающим устройством на кассе.
NFC-мобильный телефон совместим со всеми четырьмя категориями платежей (Touch and Go, Touch and Connect, Touch and Confirm, Touch and Eplore), а дисплей и клавиатура позволяют подтверждать транзакцию без участия точки продажи.
Существует два подхода к реализации платежей. Рассмотрим каждый из них.
Платежи на основе транзакций
Данный вид платежей основан на применении специальных платежных приложений, устанавливаемых на телефон.
Технологически мобильные платежи основаны на передаче данных по GPRS-каналу или через SMS-сообщения или USSD-сообщения.
Инициатором отправки сообщения является платежное приложение, функционирующее на мобильном устройстве, имеющее связь с NFC-модулем мобильного телефона и SIM-картой. Связь с NFC-модулем необходима для получения запроса на платеж или передачи информации стационарному терминалу о произведенном платеже. Связь с SIM-картой необходима для передачи данных по беспроводным каналам сервисной службе поставщика услуг. Фактически именно обмен данных между SIM-картой и сервисной службой приводит к списанию денег со счета абонента.
Использование криптографических механизмов шифрования гарантирует при передаче сообщений сокрытие содержимого пакетов от неавторизированного пользователя. Эти механизмы могут применяться как на уровне приложения, в качестве прикладных криптофункций, так и на уровне протокола защищенного обмена данными между SIM-картой и телефоном на основе стандарта 3GPP TS 23 048. Ресурсы SIM-карты позволяют реализовать на ней все необходимые методы защиты передаваемых данных.[3GPP TR 21.905: Vocabulary for 3GPP Specifications.]
Существует четыре принципиальных подхода к реализации платежных приложений. Приложения делятся на типы в зависимости от того места, где на телефоне хранится программное обеспечение[EMV ICC Specification for Payment Systems.]:
- приложение может находиться на SIM-карте;
- приложение может иметь распределенную структуру и задействовать как саму SIM-карту, так и процессор телефона (Security and Trust Services API, JSR177);
- приложение может устанавливаться в собственную память телефонного аппарата;
- приложение может быть реализовано на вставляемой в телефон карте памяти (removable SE).
При создании подобных приложений задействуются технологии J2ME для Java-телефонов и Java Card для SIM-карт как платформы для создания "мобильных кошельков".
Технология Touch and Go на основе описываемого подхода реализуется достаточно просто. Клиенту необходимо просто приложить мобильный телефон к терминалу - и оплата будет осуществлена. При этом на экране мобильного телефона появится уведомление о том, что платеж был произведен.
С технологией Touch and Confirm все обстоит несколько сложнее. Эта технология поддерживает два режима: ручной и автоматический.
Автоматический режим, как правило, функционирует по умолчанию. Это предпочтительный режим для проведения платежных операций. Сама операция проходит в два этапа. Пользователь помещает в терминал свой телефон, начинается первичная стадия платежа, приложение выводит на дисплей телефона сообщение:
"Платежная операция: ХХ рублей, пожалуйста, введите ваш код".
Пользователь достает телефон из поля терминала, вводит и подтверждает свой PIN-код, приложение проверяет и выдает сообщение:
"Пожалуйста, положите ваш телефон в платежный терминал".
Пользователь второй раз устанавливает свой телефон в терминале, производится платеж, на дисплей телефона выводится сообщение об успешном завершении операции:
"Транзакция завершена".
В ручной режим обладатель телефона должен перейти самостоятельно при выполнении транзакции посредством терминала, не поддерживающего автоматический режим. Пользователь выбирает приложение в меню, которое выдает список приложений карты. Он выбирает банковское приложение. Когда ручной режим активирован, банковское приложение выводит пользователю следующее сообщение:
"Платежная транзакция, пожалуйста, введите ваш код ХХХХ".
Пользователь вводит и подтверждает код, приложение проверяет его и выдает следующее сообщение:
"Пожалуйста, проведите вашим телефоном рядом с платежным устройством".
Пользователь подносит мобильный телефон к терминалу, производится транзакция, на мобильный телефон выводится сообщение об успешно проведенной операции:
"Транзакция завершена".
Платежи на основе Premium-SMS
Данные платежи основаны на рассмотренной ранее технологии перевода денежных средств со счета мобильного телефона на счет продавца услуги или товара. Перевод может осуществляться с помощью механизма SMS-сообщений. SMS-сообщения на специальные короткие номера имеют название Premium-SMS. За отправку подобных SMS взимаются дополнительные деньги (т.е. деньги сверх обычной суммы, которая переходит оператору в зачет оплаты услуги связи).
Алгоритм подобного типа оплат следующий. Обладатель мобильного телефона с NFC-модулем подходит к точке оплаты, подносит телефон к пассивному тегу и видит на экране сообщение о том, что ему предлагается отправить SMS-сообщение с определенной стоимостью на какой-то номер. Все, что необходимо клиенту, - это подтвердить отправку сообщения. После этого означенная сумма будет списана со счета его телефона, а терминал с тегом получит подтверждение осуществленного платежа. Конечно, подобная транзакция имеет ряд изъянов. Так, терминал не имеет возможности сопоставить перечисленные средства и плательщика, произведшего платеж.
На практике такие системы применяются, например, для оплаты ежедневной прессы в уличных автоматах. Очевидно, что плательщик, отправляющий Premium-SMS, должен находиться в непосредственной близости к лотку, откуда выдается оплаченная продукция. Такой вид платежей недостаточно практичен, так как может привести к конфликту клиентов у лотка из-за проблем с идентификацией плательщика. С другой стороны, данный алгоритм достаточно просто реализуем, так как все, что необходимо проектировщику системы, - это тег с соответствующим содержанием и короткий Premium-номер, на который будет отправляться сообщение.