Interoperabilidade de cartões inteligentes
Upcoming SlideShare
Loading in...5
×

Like this? Share it with your network

Share

Interoperabilidade de cartões inteligentes

  • 442 views
Uploaded on

 

More in: Technology
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
442
On Slideshare
442
From Embeds
0
Number of Embeds
0

Actions

Shares
Downloads
3
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide
  • A interoperabilidade é um dos desafios para a prestação de serviços baseados em cartões inteligentes (smart cards), com valor associado e numa escala alargada. O objectivo deste trabalho foi pesquisar e analisar as normas de indústria existentes para este tipo de dispositivos e produzir um estudo comparativo para evidenciar quais os aspectos técnicos e organizacionais de implementação de serviços que são abrangidos por elas e quais não são.
  • Alta resistência física para ser usado em condições ambientais exigentes Baixo custo de produção para utilização em volume
  • Têm âmbitos complementares entre si - OSCIE contextual e conceptual - NICSS também, mas maior ênfase técnica - GSC-IS apenas técnica Vêem o cartão como autenticador para comércio electrónico - Na OSCIE e NICSS - GSC-IS não define aplicações específicas A interoperabilidade não é só técnica - OSCIE e NICSS definem modelos de dados e processos de negócio A OSCIE é não prescritiva, o que cria riscos na concretização de sistemas Algumas interfaces de interoperabilidade podem ser muito difíceis e caras de implementar Mapeamento incompleto de políticas de segurança pode impor limitações nos serviços (ex. montantes)
  • As PKI são usadas sobretudo devido à escalabilidade necessária na gestão de chaves. No entanto, esta opção limita a aplicabilidade a muitos cartões actuais, cujas capacidades e protecções estão abaixo do necessário.

Transcript

  • 1. Tópicos Avançados em Sistemas de InformaçãoInteroperabilidade de cartões inteligentes Miguel Filipe Leitão Pardal (mflpar@yahoo.co.uk) 16 de Julho de 2004
  • 2. Sumário • Motivação • Tecnologia • Normas de interoperabilidade • Casos • Avaliação • Conclusões2004-07-16 Interoperabilidade de cartões inteligentes 2
  • 3. Sumário • Motivação • Tecnologia • Normas de interoperabilidade • Casos • Avaliação • Conclusões2004-07-16 Interoperabilidade de cartões inteligentes 3
  • 4. Motivação• Serviços baseados em cartões inteligentes – Com valor associado – Numa escala alargada• O objectivo foi analisar normas de interoperabilidade, comparando aspectos técnicos e organizacionais2004-07-16 Interoperabilidade de cartões inteligentes 4
  • 5. Sumário • Motivação • Tecnologia • Normas de interoperabilidade • Casos • Avaliação • Conclusões2004-07-16 Interoperabilidade de cartões inteligentes 5
  • 6. Cartão inteligenteSmart Card• Computador em forma de cartão – Circuitos electrónicos embebidos no plástico• “Inteligência” – Microprocessador executa programas• Segurança – Controlo acesso à memória – Implementa algoritmos criptográficos • Possibilita validações em off-line – Protecções elevadas, mas cartão não é inviolável!2004-07-16 Interoperabilidade de cartões inteligentes 6
  • 7. Arquitectura de um cartão• Semelhante à de qualquer computador digital, mas com requisitos específicos – Alta resistência física – Baixo custo de produção• Características típicas: – Processador 8 bit – Memória volátil 1K, persistente 16K – Comunicação com / sem contactos• Capacidades actuais comparáveis a PC de 19802004-07-16 Interoperabilidade de cartões inteligentes 7
  • 8. O cartão no acesso a serviços• Representa o utilizador, permitindo – Identificar e autenticar – Autorizar o acesso• Exemplos: banca, transportes2004-07-16 Interoperabilidade de cartões inteligentes 8
  • 9. Interoperabilidade de serviços• Quando os sistemas colaboram nas funcionalidades necessárias à prestação de um serviço, de forma transparente para o utilizador final• Sem interoperabilidade – 1 cartão, 1 serviço – Emissor de cartões, prestador e infra-estrutura dedicada• Com interoperabilidade – 1 cartão, N serviços – Criação de novo valor – São necessárias normas e confiança – Construir “pontes” ao nível técnico e de negócio2004-07-16 Interoperabilidade de cartões inteligentes 9
  • 10. Sumário • Motivação • Tecnologia • Normas de interoperabilidade • Casos • Avaliação • Conclusões2004-07-16 Interoperabilidade de cartões inteligentes 10
  • 11. Normas de interoperabilidade• Iniciativas governamentais e de indústria, com poder de decisão e investimento – Norma Europeia OSCIE – Norma Norte-Americana GSC-IS – Norma Japonesa NICSS• Processo de análise das normas – Documentos oficiais – Pesquisa temática – Enquadramento organizacional – Resumo da abordagem à interoperabilidade2004-07-16 Interoperabilidade de cartões inteligentes 11
  • 12. Norma Europeia OSCIE• ‘Open Smart Card Infrastructure for Europe’ – Patrocinada pela Comissão Europeia e pela Eurosmart• Proposta abrangente – Requisitos sociais e legais – Arquitectura global – Modelo de negócio• e-Government …• Interoperabilidade da segurança … 2004-07-16 Interoperabilidade de cartões inteligentes 12
  • 13. Abordagens à interoperabilidade• Uniformização – Eliminar diferenças técnicas entre componentes• Adaptação – Ajustar interfaces, políticas de utilização e de segurança2004-07-16 Interoperabilidade de cartões inteligentes 15
  • 14. Norma Norte-Americana GSC-IS• ‘Government Smart Card Interoperability Standard’• Portabilidade de aplicações com cartões• Interoperabilidade técnica – Interface de programação – Conjunto de mensagens para o cartão – Contentores genéricos de dados• Requisitos obrigatórios para fornecedores – Interface de extensão deixa margem de diferenciação e competição – Limita o custo de portar aplicações, mas não o elimina totalmente 2004-07-16 Interoperabilidade de cartões inteligentes 16
  • 15. Norma Japonesa NICSS• ‘Next generation Integrated circuit Card System Study’• Proposta de consórcio de indústria, apoiado pelo governo• Apoiar o desenvolvimento de sistemas de cartões com infra-estruturas sociais e de informação• Plataforma comum• Famílias de cartões – Para grandes áreas de negócio – Soluções mais simples – Redução de custos2004-07-16 Interoperabilidade de cartões inteligentes 18
  • 16. Interfaces e aplicações• Interfaces de interoperabilidade – Para cartão e restantes componentes da plataforma – Tornar os cartões compatíveis e os equipamentos mais baratos• Principal aplicação – Cartão de identificação pública – Sistema aberto a novas aplicações, desde que aprovadas pelas autoridades públicas2004-07-16 Interoperabilidade de cartões inteligentes 19
  • 17. Sumário • Motivação • Tecnologia • Normas de interoperabilidade • Casos • Avaliação • Conclusões2004-07-16 Interoperabilidade de cartões inteligentes 21
  • 18. Smart ID Hong Kong• Cartão de identidade pública• Iniciativa governamental – Tornar os cartões o meio de acesso privilegiado aos serviços da administração pública• Plataforma fechada – Apenas aplicações do governo• Certificado digital opcional – Para autenticação e assinatura digital em transacções de comércio electrónico2004-07-16 Interoperabilidade de cartões inteligentes 22
  • 19. Octopus Hong Kong• Pequenos pagamentos – Inicialmente apenas cartão de transportes• Aplicação de grande volume – Utilização massificada, com milhões de utilizadores• Interoperabilidade pouco interessante – Solução proprietária2004-07-16 Interoperabilidade de cartões inteligentes 23
  • 20. Sistema de transportes de Lisboa• Transportes com vários tipos e operadores – Metropolitano, Autocarro, Comboio, Barco• Norma Calypso – Interacções entre cartões e terminais• Interoperabilidade na ligação dos sistemas embarcados e nos sistemas de back-office – Representação comum dos títulos de transporte – Equipamentos terminais (validadores, pontos de venda) independentes das aplicações e do modelo de dados2004-07-16 Interoperabilidade de cartões inteligentes 24
  • 21. Sumário • Motivação • Tecnologia • Normas de interoperabilidade • Casos • Avaliação • Conclusões2004-07-16 Interoperabilidade de cartões inteligentes 25
  • 22. Avaliação das normas• Âmbitos complementares• Cartão autenticador para comércio electrónico• Criptografia assimétrica e PKI• A interoperabilidade não é só técnica – Dados e processos de negócio• Riscos de normas não prescritivas – Interfaces de interoperabilidade difíceis de implementar – Limitações impostas por mapeamento incompleto de políticas de segurança2004-07-16 Interoperabilidade de cartões inteligentes 26
  • 23. Avaliação da interoperabilidade• Definição – “Quando os sistemas colaboram na prestação do serviço de forma transparente” – ‘Sistema’ e ‘serviço’ com interpretações distintas• Diferentes níveis de interoperabilidade – Aplicacional e negócio • Alinhamento semântico das entidades informacionais • Definição da política comum de segurança – Tecnológico • Modelo de dados comum • Interfaces funcionais normalizadas • Modularização da arquitectura2004-07-16 Interoperabilidade de cartões inteligentes 27
  • 24. Avaliação da utilização de cartões (1)• Cartão e-Government – Serviços genéricos para identificação, autenticação forte e assinatura digital sem repúdio (IAS) – Confiança baseada em infra-estruturas de chaves públicas (PKI) – Exemplo: Smart ID de Hong Kong• Falta garantir qualidade e independência dos serviços IAS para permitir a sua aceitação generalizada2004-07-16 Interoperabilidade de cartões inteligentes 28
  • 25. Avaliação da utilização de cartões (2)• Cartões de utilização rápida e conveniente – Substitutos de dinheiro de bolso – Exemplos: • Octopus de Hong Kong • Sistema de transportes de Lisboa – Maior velocidade de interacção (transacção) – Menores valores envolvidos• Arquitectura distribuída e sem ligação permanente a sistemas centrais• Cartões mais baratos, com protecções inferiores2004-07-16 Interoperabilidade de cartões inteligentes 29
  • 26. Avaliação da utilização de cartões (3)• Será que um cartão único pode satisfazer todas as necessidades? – Dificuldades na protecção de dados pessoais • Legislação – Solução de chaves diferentes para utilizações diferentes • A quem confiar as chaves mestras? – Solução de cartões diferenciados • Cartão principal, quando se pretende mais segurança • Cartão vulgar, quando se pretende mais rapidez e comodidade • Adequar o nível de protecção ao valor associado • Confiança decisiva no cartão principal2004-07-16 Interoperabilidade de cartões inteligentes 30
  • 27. Sumário • Motivação • Tecnologia • Normas de interoperabilidade • Casos • Avaliação • Conclusões2004-07-16 Interoperabilidade de cartões inteligentes 31
  • 28. Conclusões• Cartão inteligente – Ligação utilizador-serviços – Segurança acrescida – Redução da manipulação de “papel” (materiais)• Grande investimento mundial nesta tecnologia – Maturidade nos serviços especializados – Apesar das iniciativas de normalização da interoperabilidade faltam casos da sua aplicação no mundo real2004-07-16 Interoperabilidade de cartões inteligentes 32
  • 29. Tópicos para investigação• Cartões diferenciados – Como compatibilizar segurança forte com utilização expedita?• Protótipo de interoperabilidade de funções IAS de segurança – Que problemas surgem devido aos graus de liberdade nas normas?• Plataformas de múltiplos serviços integrados – Qual a abordagem para a sua implementação generalizada? • Dar mais “inteligência” ao cartão (applets) • Apostar nos terminais e infra-estruturas• Trocas de dados entre organizações sem confiança total – Como garantir confiança necessária e suficiente? • Mecanismos de protecção dos dispositivos e isolamento de dados • Certificação de equipamentos e aplicações • Auditoria 2004-07-16 Interoperabilidade de cartões inteligentes 33
  • 30. Perguntas e respostas “To be really useful all services must be easily accessed by any (…) citizen at any time, and in any place. The personalised tool to enable each (…) citizen to enjoy such access is their electronic Identity, their reliable key to e-services”. Theo van Sprundel in OSCIE volume 3-5 Obrigado pela atenção! mflpar@yahoo.co.uk 2004-07-16 Interoperabilidade de cartões inteligentes 34