ПРИЛОЖЕНИЯ

Приложение 4.1. Оценка эффективности распределенного и централизованного способов биллинга

Распределенными способами биллинга (РСБ) назовем такие способы, когда бил- линг предоставления услуг распределен по каждому терминалу абонента, независи- мо от того, является ли он индивидуальным или многопользовательским, а также от того, используется ли он в данный момент времени или нет.

Централизованным способом биллинга (ССБ) назовем такой способ, при кото- ром биллинг производится для любого терминала абонента, который обращается к системе предоставления услуг, и одновременно для многих терминалов в режиме массового обслуживания.

При распределенном и централизованном способах биллинга используется практически одинаковая технология аутентификации, авторизации и тарификации карт, имея в виду, что данной карте соответствуют ее номер, пароль и номинал и/или остаток.

Враспределенных системах биллинга пароль аутентификации или номер карты считывается с карты и проверяется на актуальность, т.е. на наличие его в системе биллинга.

Для многих распределенных систем биллинга предполагается наличие некото- рого единого центра авторизации, в который обращается этот терминал с помощью специального модуля аутентификации. Данный модуль при приеме пароля (пин-ко- да) шифрует его и передает в центр его зашифрованное значение. После обработки

этих данных в центре из него приходит ответ о положительной или отрицательной аутентификации. Таким образом, терминал абонента имеет данные о результате ав- торизации. Поскольку обмен с центром осуществляется по специальному протоко- лу, а значения пин-кода зашифрованы, такая система имеет высокую степень защи- ты. В результате терминал абонента имеет информацию о результате авторизации.

Вболее простых системах распределенного биллинга пароль проверяется на

возможность существования непосредственно самим терминалом с использованием специальных модулей и алгоритмов.

Еще более простые терминалы реализованы так, что в них заносятся списки так называемых «серых» или «черных» карт, с которыми и сравниваются номера предъ- явленных карт. В случае наличия номера карты в этих списках карта не допускается

киспользованию. При отсутствии номера карты в данных списках реализуется про- цесс авторизации, т.е. определения прав данной карты на получение услуги. Для это- го с карты считывается «виртуальный» остаток средств. Если этот остаток больше единицы стоимости услуги, то такая карта допускается к использованию.

Впроцессе предоставления услуги на карту поступают специальные тарифика- ционные сигналы, которых в заданную единицу времени тем больше, чем дороже услуга. Поскольку номинал карты эквивалентен определенному количеству тари-

фикационных единиц, во время оказания услуги первоначальное количество тари- фикационных единиц уменьшается на величину поступивших сигналов.

При централизованном биллинге технология авторизации, аутентификации и та- рификации принципиально такая же. Отличие заключается в том, что между терми- налом абонента и системой биллинга образуется канал связи, по которому передается информация по аутентификации и авторизации платежного инструмента. При этом система биллинга функционирует в режиме системы массового обслуживания..

Таким образом, системы распределенного и централизованного биллинга функ- ционируют на практически одинаковых технологических принципах, но с исполь- зованием разных технических средств.

С экономической точки зрения и с учетом использования одинаковых типов карт, когда в централизованной системе биллинга терминалы будут содержать мо- дуль считывания, стоимость систем биллинга будет одинакова, если суммарная стоимость дополнительного оборудования терминалов будет равна стоимости обо- рудования централизованной системы.

Необходимо отметить, что для обслуживания N терминалов в централизованной системе, с учетом ее свойств как системы массового обслуживания, необходимо P портов. При постоянном использовании системы во время часа наибольшей нагруз- ки (ЧНН) всех терминалов P = N, во всех других случаях P < N. Поэтому даже в тех случаях, когда стоимость биллинговой системы одного терминала при распреде- ленной системе равна затратам на биллинг одного абонента, стоимость централизо- ванной системы будет меньше стоимости распределенной.

Поскольку реально N= (5–6) P, стоимость централизованной системы биллинга в 5–6 раз меньше распределенной.

При сопоставлении стоимости распределенной и централизованной биллинго- вых систем необходимо учитывать нагрузку на каналы связи в процессе авториза- ции. Поскольку процесс авторизации в распределенной биллинговой системе про- исходит без занятия каналов, при определении затрат на реализацию централизо- ванной биллинговой системы необходимо учитывать затраты на использование ка- налов связи в процессе авторизации. Обычно время авторизации составляет 10– 20% времени предоставления услуги. Следовательно, для того чтобы пропустить максимальный трафик, количество портов централизованной биллинговой системы необходимо увеличить на 10–20%.

Таким образом, реально стоимость централизованной биллинговой системы по сравнению с распределенной может быть в 4–5 раз меньше.

Приложение 4.2. Вопросы безопасности использования телекоммуникационных карт

Безопасность использования телекоммуникационных карт рассматривается нами в контексте борьбы с неправомочным и преднамеренным доступом к телекоммуника- ционной системе с целью получения выгоды от бесплатного получения услуг или получения их за счет другого пользователя.

Говоря о безопасности использования универсальных телекоммуникационных карт (УТК), мы в первую очередь обратим внимание на их реализацию в виде скретч-карт, хотя многие рассматриваемые угрозы, способы и технологии примени- мы и к другим типам телекоммуникационных карт.

Телекоммуникационная карта является одновременно и финансовым докумен- том и информационным средством доступа к системе предоставления услуг, поэто- му вопросы безопасности должны рассматриваться в обоих аспектах.

При использовании любого инструмента оплаты, который является эквивален- том денег, вопросы защиты эмитента и владельца от несанкционированного ис- пользования этого инструмента является одной из важнейших задач. Однако при реализации системы защиты необходимо соизмерять потери эмитента и владельца от несанкционированного использования этого инструмента со стоимостью этой системы. Кроме того, при построении системы защиты необходимо учитывать стоимость ее взлома по сравнению с выгодой, которую получает злоумышленник. Например, если стоимость печати фальшивых денежных купюр выше стоимости их номинала, то никакой фальшивомонетчик не станет их печатать. В этом контексте необходимо отметить, что изготовление и распространение фальшивых телекомму- никационных карт с повторением всех элементов ее защиты, но с заведомо ложны- ми паролями доступа, является малоэффективным, хотя и возможным методом. Из- готовление фальшивых карт с малым тиражом невыгодно, поскольку при распро- странении карт большого тиража время распространения карт значительно превы- шает время обнаружения первой фальшивой карты, так как первый же абонент, по- лучивший отказ в авторизации фальшивой карты, обратится к продавцу или опера- тору с претензией.

Если обратится к примерам системы защиты банковских пластиковых карт, в частности кредитных, то выгода от их несанкционированного использования по- крывает довольно значительные затраты. Затраты на взлом банковских дебетовых карт не всегда могут быть оправданы в связи с их часто значительным, но ограни- ченным номиналом. Телекоммуникационные скретч-карты в большинстве случаев низкономинальные, поэтому затраты на их защиту должны быть такие, чтобы стои- мость взлома превышала выгоду от их несанкционированного использования.

В связи с вышеизложенным, система защиты от несанкционированного исполь- зования, или в дальнейшем — система безопасности применительно к скретч-кар- там должна, по мнению автора, во-первых, рассматриваться как система безопасно-

сти для массива карт как «документа», нежели для каждой карты в отдельности, во- вторых, как защита от «фрода» (fraud), т.е. защита от несанкционированного ис-

пользования авторизационной информации массива телекоммуникационных карт и, в-третьих, как защита от фронда одной карты. В первом и втором случае угрозу безопасности необходимо рассматривать как системную атаку и, следовательно, ис- пользовать системные средства защиты, а в третьем случае угроза может рассмат- риваться как индивидуальная, поэтому пользователю необходимо предлагать соот- ветствующие средства защиты.

Обычно выделяют несколько типов фрода [4.8]: технический, абонентский, prepaid, внутрикорпоративный, дилеров и реселлеров, карточный, двойников и соци-

альный. Применительно к телекоммуникационным картам и в частности к скретч- картам, необходимо выделить технический, абонентский, prepaid, внутри корпора-

тивный и социальный фроды.

Рис. П4.1. Жизненный цикл скретч-карты

Применительно к скретч-карте систему защиты от несанкционированного ис-

пользования необходимо рассматривать на протяжении всего жизненного цикла карты (рис. П4.1).

Для рассматриваемого объекта — скретч-карты — несанкционированное ис- пользование связано с раскрытием ее пин-кода. Поскольку скретч-карта существует как в виде материального носителя, так в виде электронного документа, ее защита от несанкционированного доступа должна производится в этих двух плоскостях.

Кроме того, на всем протяжении жизненного цикла карты с ней производится ряд действий, которые также несут в себе угрозу ее безопасности. Необходимо отме- тить, что в данном контексте мы не будем специально разделять намеренные и не- намеренные нарушения безопасности.

Исходя из графа жизненного цикла скретч-карты (рис. П4.1), выделим этапы жизненного цикла, в течение которых существует угроза безопасности:

для скретч-карты как электронного документа:

–генерация массива карт;

–перевод массива карт из модуля генерации в биллинговую систему;

–перевод массива карт из модуля генерации в модуль изготовления;

–хранение сгенерированного массива карт в биллинговой системе в блокиро- ванном состоянии;

–активизация карт;

–использование карт;

для скретч-карты как материального носителя:

–изготовление;

–продажа;

–использование владельцем.

При защите карты как электронного документа используются известные средст- ва защиты компьютерных систем. Это, с одной стороны, организационные меро- приятия, такие, как ограниченный доступ сотрудников в помещения, в которых расположено компьютерное оборудование, электронные ключи доступа к оборудо- ванию, а с другой стороны, это многоуровневая аутентификация прав доступа поль- зователей к операционной системе и базам данных.

Однако все приведенные выше меры защиты, которые достаточно эффективны при борьбе с внутрикорпоративным фрондом, могут оказаться недостаточными по отношению к недобросовестным сотрудникам, допущенным к информации по пин- коду карт. Наиболее эффективной мерой безопасности является шифрование пин- кода, в частности на основе асимметричного криптографического алгоритма. Такое шифрование проводится при генерации пин-кодов, что дает возможность на всех последующих этапах жизненного цикла карт в базе данных не хранить соответст- вие между реальным пин-кодом и его зашифрованным образом в системе. При та- ком способе защиты необходимо аналогичное преобразование полученного от або- нента реального пин-кода в его зашифрованный образ. Единственным «тонким» местом в данном способе является угроза сопоставления пин-кода при вводе с его образом в системе. Но такая угроза, во-первых, существует для единичной карты, а во-вторых, для сопоставления необходимо иметь исходные тексты программы об- работки, что маловероятно.

Из сказанного выше следует, что применение шифрования пин-кода на этапе ге- нерации практически решает вопрос защиты информации на всем этапе жизненно- го цикла массива карт в биллинговой системе.

Однако более серьезные угрозы безопасности информации для массива карт присутствуют в технологическом процессе изготовления и продажи карт. Этот тех- нологический процесс состоит из:

1)передачи информации для печати карт от оператора к изготовителю;

2)изготовления карт;

3)передачи изготовленных карт на склад оператора;

4)передачи карт продавцу;

5)продажи карт.

Если на первом этапе речь идет о защите информации электронного документа, то на третьем и последующих этапах должна осуществляться защита визуальной информации, а на втором этапе — совокупная защита.

Защита информации на первом и втором этапе может быть решена также мето- дами шифрования передающихся на изготовление информационных файлов, одна- ко в отличие от шифрования пин-кодов должны использоваться принципы откры- того распределения ключей между парой пользователей.

Защита информации карты как материального носителя на всех этапах должна реализовываться в двух плоскостях. С одной стороны, это защита от повторного из- готовления карт, а с другой — защита от считывания информации с напечатанной карты. В первом случае используются известные средства защиты материальных носителей, такие, как нанесение голограмм, вклеенные магнитные материалы и т.д. Однако наибольшую угрозу представляют нелегальные изготовители и распростра- нители карт, которые имеют возможность повторить наиболее известные защитные элементы. В этом случае в качестве «детектора» карт может выступить сама систе- ма авторизации. Независимо от того, кто является объектом атаки — конечный пользователь или дилер, у него должна существовать возможность предваритель- ной проверки приобретенной карты или группы карт. При этом необходимо иметь в виду, что в случаях, когда карта не проходит проверку по несовпадению некоторых параметров или когда карта ранее была авторизированна, проверка не считается ус- пешной.

Наиболее простым способом проверки при приобретении карты является ввод открытых атрибутов карты, например, ее номера, серии и номинала. Это может быть эффективным в том случае, когда изготовитель подделки не имеет информа- ции о скрытой зависимости между отдельными атрибутами. Для защиты от «ин- формированного» изготовителя поддельных карт должны существовать более сложные способы защиты. Поскольку самой эффективной проверкой в системе ав- торизации является ввод пин-кода, который скрыт скретч-панелью, на карте дол- жен существовать специальный код проверки, также скрытый под другой скретч- панелью. В этом случае приобретатель оценивает целостность скретч-панели не только пин-кода, но кода проверки. Необходимо отметить, что данный способ эф- фективен в совокупности с правильно выбранным алгоритмом проверки.

Более сложная проблема — защита пин-кода, а с учетом вышеизложенного и кода проверки, нанесенных на карту. Как известно, пин-код наносится на карту и закрывается скретч-панелью. Существующие в настоящее время способы нанесе- ния скретч-панели не гарантируют защиту от просвечивания. Естественно, в карте используются соответствующие подложки, которые снижают вероятность считыва- ния информации. Для еще большего снижения вероятности просвечивания можно предложить изготовление дополнительной панели, которая находится под скретч-

панелью, из материала, чувствительного к просвечиванию. При этом датчик про- свечивания находится на открытой поверхности карты. Этот датчик изменяет свой цвет при просвечивании карты. Таким образом, покупатель карты может до вскры- тия скретч-панели знать, что данная карта просвечивалась.

Изложенные выше методы защиты массива и отдельных карт дают возмож- ность оператору связи значительно повысить безопасность использования УПК в виде скретч-карт.

Однако существуют угрозы безопасности в процессе использования карт. Эти угрозы лежат также в двух плоскостях: подбор пин-кода и его считывание при ис- пользовании карты.

Борьба с подбором пин-кода осуществляться двумя способами. Первый — ис- пользование специальных средств генерации пин-кодов, а второй — реализация ал- горитмов приема цифр пин-кода, исключающий автоматический и часто ручной подбор.

Если вопрос физической генерации пин-кодов реализуется существующими в настоящее время и достаточно надежными генераторами случайных чисел, то во- прос выбора установочных значений для генерации лежит на совести оператора, поскольку, например, выбор количества цифр, достаточного для размещения в нем надлежащего числа пин-кодов, обычно задается при генерации.

При наборе пин-кода абонент может ошибиться, тогда система авторизации обычно просит повторить набор. Трудности распознавания ручного подбора пин- кода от ошибки абонента лежат в области распознавания стационарного процесса на фоне шума.

Для подбора пин-кода методом простого перебора требуется обычно не менее 1000 наборов. Такое количество наборов трудно реализовать ручным способом. При подключении некоторого автоматического устройства, например модема, для перебора значений пин-кода система авторизации должна, даже не распознавая подбор, значительно уменьшить возможность автоматического распознавания пра- вильного набора. Для этих целей служат «скользящие» алгоритмы авторизации, ко- торые не дают возможность без анализа речевого ответа распознать правильно на- бранный пин-код. Если в системе авторизации имеется возможность распознавания телефона звонящего абонента, то такой подбор не только распознается, но и ней- трализуется. Иногда эффективно наличие в системе библиотеки алгоритмов воз- можного подбора.

Анализ существующих угроз безопасности использования скретч-карт показал, что с изложенными выше угрозами можно эффективно бороться, не привлекая к этой борьбе самого абонента. Однако существуют такие угрозы, борьба с которыми без сотрудничества с абонентом практически невозможна.

К таким угрозам относятся индивидуальные угрозы считывания или раскрытия информации со скретч-карты в виде технического, абонентского фродов. Имеется в виду, что злоумышленник узнал пин-код карты при единичном вводе путем считы- вания информации с телефонной линии, увидел при наборе или узнал от другого лица. Необходимо отметить, что в большинстве случаев скретч-карты имеют не- большой номинал, поэтому злоумышленник не будет прилагать дорогостоящих ме-

тодов для раскрытия пин-кода. Для карт с достаточно большим номиналом сущест- вуют организационные методы борьбы, в частности, наличие у абонента высоконо- минальной и редко используемой карты и низконаминальной и часто используемой карты. В этом случае при наличии в биллинговой системе опции телебанкинга або- нент имеет возможность переносить средства с одной карты на другую. Другой воз- можностью является размещение на карте нескольких пин-кодов так, чтобы после каждой авторизации использованный пин-код закрывался и все средства переноси- лись на следующий пин-код.

Внастоящее время средствам борьбы с индивидуальными угрозами уделяется повышенное внимание. Имеющиеся способы лежат в области простейшего шифро- вания при наборе пин-кода как с учетом его значений, так и с учетом дополнитель- ной информации, размещаемой на карте.

Другим направлением в борьбе с индивидуальными угрозами раскрытия пин- кода является создание интеллектуальных бипперов (биппер — устройство посыл- ки в телефонную линию тоновых посылок цифр). Интеллектуальный биппер (ИБ) позволяет абоненту, купившему скретч-карту, занести информацию по пин-коду и другим параметрам в ИБ, а затем при необходимости авторизации пользоваться ИБ. При этом ИБ сам осуществит шифрование пин-кода и передачу его в систему авто- ризации. Кроме повышения безопасности ИБ значительно расширяет номенклатуру используемых телефонов и исключает ошибки в наборе пин-кода.

Взаключение необходимо отметить, что приведенные выше способы борьбы с угрозой безопасности использования скретч-карт в значительной мере опровергают устоявшееся мнения об их низкой защищенности.