СПОСОБ АУТЕНТИФИКАЦИИ ПОЛЬЗОВАТЕЛЯ ПЛАСТИКОВОЙ КАРТОЧКИ Российский патент 2003 года по МПК G06K9/00 

Изобретение относится к средствам для персональной идентификации, а более конкретно к средствам обслуживания банковские клиентов с помощью пластиковых карточек.

В настоящее время активно внедряется система "электронных кошельков", представляющих собой новые платежные инструменты - пластиковые карточки. Указанные карточки - дебетные и кредитные - широко применяются для получения наличных денег через банкоматы и оплаты покупок через электронные торговые терминалы. И банкоматы и электронные торговые терминалы взаимодействуют с базами данных соответствующих банков через линии связи. Для пользования банкоматом или электронным торговым терминалом на руках у клиента должна находиться его собственная кредитная (дебитная) карточка, несущая определенную информацию. Информация, считываемая с карточки и передаваемая по коммуникационным линиям связи от банкомата к банку, служит для подтверждения банком правомочности клиента снимать деньги со своего счета с помощью его собственной пластиковой карточки. Информация, подтверждающая правомочность клиента, передается из банка к банкомату (электронному терминалу) как сигнал разрешения на выдачу денег (оплату покупки безналичным путем).

При изготовлении пластиковых карточек принимаются специальные меры, затрудняющие их подделку. На сегодняшний день существуют достаточно серьезные средства защиты документов такого рода от подделок. Однако любые из них теряют смысл при попадании пластиковой карточки в руки другого лица.

Другой ступенью защиты персональных счетов клиентов является персональный идентификационный код (PIN-код), известный только обладателю пластиковой карточки и банку. Клиент при пользовании банкоматом (или торговым терминалом) обязан вставить в приемное устройство свою пластиковую карточку для считывания с нее информации, идентифицирующей саму карту, и набрать свой персональный идентификационный код. При поступлении PIN-кода по внешним линиям связи в банк последний подтверждает подлинность владельца карточки.

Однако и такая степень защиты может оказаться уязвимой, если PIN-код становится известным злоумышленнику в результате тех или иных неправомерных действий. Кроме того, не исключено преднамеренное раскрытие PIN-кода при передаче его через коммуникационные линии.

Известен метод для идентификации пользователя, в соответствии с которым пользователь вводит персональный идентификационный номер, используя портативное терминальное устройство, которое зашифровывает номер и генерирует случайный код, имеющий длину, избираемую пользователем для каждой сделки. Идентификационный номер пользователя шифруется путем использования одного из множества доступных кази - случайных алгоритмов. Затем зашифрованный идентификационный номер объединяется с кодом на заранее определенной позиции, прежде чем быть переданным через коммуникационные линии связи. При получении код дешифруется при использовании аналогичной процедуры, чтобы определить правомочность пользователя (европейский патент 0852044, МПК G 07 F 07/10, опубл. 1998).

Такой способ может оказаться неэффективным при утечке информации из банка.

В последнее время широкое распространение при пользовании пластиковыми карточками получило использование биометрической информации обладателя пластиковой карточки.

В частности, известен метод идентификации и аутентификации информации, характеризующей личность, заключающийся в записи на запоминающее устройство карточки биометрической информации, характеризующей держателя карточки, в запросе биометрической информации, характеризующей эту личность, например отпечатка пальца, осуществляемом с помощью устройства для преобразования биометрической информации, в проведении идентичной обработки отпечатков на карте и полученного устройством для преобразования биометрической информации для получения соответствующих кодов, обеспечивающих возможность их сравнения (европейский патент 0493243, МПК G 07 C 09/00, G 07 F 07/10, опубл. 1992).

Такое устройство для преобразования биометрической информации должно являться составной частью банкомата (торгового терминала). При этом требуется доработка пластиковой карточки, чтобы обеспечить в ней хранение биометрической информации пользователя.

Прототипом выбран способ безопасной аутентификации кредитного документа и его владельца, заключающийся в считывании биометрической информации владельца (например, отпечатка пальца), преобразовании его в код и в сопоставлении полученного кода с аналогичным кодом, запомненным предварительно в документе и представляющим собой персональный идентификационный код пользователя карточки. Хранение информации о персональном идентификационном коде пользователя осуществлено в микропроцессоре, встроенном в карту (европейский патент 0855070, МПК G 07 F 07/08, опубл. 1998).

Однако и этот способ теряет эффективность при утере карточки и воспроизводстве (фальсификации) отпечатка пальца (или иной биометрической информации).

Задача, стоящая перед настоящим изобретением, заключается в создании способа, обеспечивающего надежную и дешевую аутентификацию пользователя пластиковой карточки, а также высокую степень защиты счета пользователя от несанкционированных действий, которые могут возникнуть от утери карточки, при утечке информации, передаваемой по линиям связи с банком, при утечке информации из банка, при злонамеренной регистрации всех биометрических параметров клиента.

Настоящая задача решается тем, что в способе аутентификации пользователя пластиковой карточки, заключающемся в использовании той или иной биометрической информации пользователя карточки, преобразовании ее в код и сопоставлении полученного кода с персональным идентификационным кодом, хранящемся непосредственно в карточке, согласно изобретению, дополнительно в процессе персонализации в ходе регистрации биометрической информации пользователя последний для преобразования биометрической информации в персональный идентификационный код использует цифровой ключ, состоящий из двух частей А и В, известный целиком только ему, при этом только часть А заводят на хранение в базу данных банка, и этот же ключ пользователь набирает при считывании и регистрации его биометрической информации в процессе пользования пластиковой карточкой, при этом часть А цифрового ключа направляют по линиям связи в банк и при наличии сигнала подтверждения правильности указанного цифрового фрагмента, при одновременном совпадении преобразованной с использованием ключа А+В в код биометрической информации пользователя карточки и сохраняемого в карточке его персонального идентификационного кода формируют сигнал подлинности пользователя пластиковой карточки.

Технический результат предлагаемого изобретения заключается в том, что, во-первых, используется сочетание двух степеней охраны, каждая из которых связана с личностью владельца карточки, а во-вторых, применяется отказ от передачи по линиям связи полной информации, утечка которой не исключает вероятности злоумышленных действий.

Способ заключается в следующем.

При персонализации (т.е. оформлении и выдаче пластиковой карточки) помимо всех обязательных действий, связанных с обеспечением идентификации самой карты, осуществляют следующие действия. В процессе считывания одного или нескольких биометрических параметров пользователя, например геометрии пальцев и/или отпечатка пальца, для формирования персонального идентификационного кода пользователь набирает n-разрядное число, например восьмиразрядное, которое служит кодовым ключом при преобразовании биометрической информации в цифровой код. В дальнейшем единообразное кодирование биометрической информации пользователя для целей сравнения с первоначальным может быть осуществлено только при использовании этого же цифрового ключа. Часть А этого ключа, например первые четыре цифры, пользователю предлагает банк, обеспечивая неповторимую комбинацию цифр как признак данного пользователя. Затем пользователь дополняет это число частью В, состоящей также из 4 цифр, известных только ему. В банке знают только часть А, но не знают часть В, которую знает пользователь и без которой невозможно осуществить правильное кодирование биометрической информации.

В процессе снятия денег пользователь вставляет пластиковую карточку в банкомат, набирает известный только ему цифровой ключ А+В, из которого часть А по линиям связи передается в банк для подтверждения правильности набранного цифрового фрагмента, и при поступлении соответствующего сигнала (или сразу же после набора ключа) пользователь вводит необходимую биометрическую информацию (например, предъявляет руку или палец). В банкомате введенная биометрическая информация по факту подтверждения банком правильности фрагмента А кодируется с использованием цифрового ключа А+В, и полученный код сравнивается с персональным идентификационным кодом, занесенным в карточку. При совпадении осуществляется обслуживание пользователя.

Таким образом, предлагаемый способ позволяет застраховаться от самого неблагоприятного стечения обстоятельств, связанных с утратой карточки и возможностью воспроизведения биометрической информации пользователя, например, при снятии его отпечатка пальца или геометрии пальцев. Ко всему прочему необходимо еще знание ключа, без которого та же самая биометрическая информация не сможет быть преобразована в правильный код. Невозможным становится также завладение указанным ключом с помощью недобросовестных сотрудников банка или иной утечки информации, например, путем снятия информации в процессе передачи по линиям связи, поскольку часть ключа никогда не поступает в эти линии связи.

Изобретение относится к средствам персональной идентификации. Его использование позволяет обеспечить технический результат в виде надежной и дешевой аутентификации пользователя пластиковой карточки, а также высокую степень защиты счета пользователя от несанкционированных действий. Способ заключается в использовании той или иной биометрической информации пользователя пластиковой карточки, преобразовании ее в код и сопоставлении полученного кода с персональным идентификационным кодом, хранящимся непосредственно в карточке. Технический результат достигается благодаря тому, что в процессе персонализации при регистрации биометрической информации пользователя последний для преобразования биометрической информации в персональный идентификационный код использует цифровой ключ, известный целиком только ему и состоящий из хранящейся в банке части А и части В, и этот же ключ пользователь набирает при считывании и регистрации его биометрической информации в процессе пользования пластиковой карточкой, при этом часть А цифрового ключа направляют по линиям связи в банк и при наличии сигнала подтверждения правильности указанного цифрового фрагмента, при одновременном совпадении преобразований в код биометрической информации пользователя карточки и сохраняемого в карточке его персонального идентификационного кода формируют сигнал подлинности пользователя пластиковой карточки.

Способ аутентификации пользователя пластиковой карточки, заключающийся в использовании той или иной биометрической информации пользователя пластиковой карточки, преобразовании ее в код и сопоставлении полученного кода с персональным идентификационным кодом, хранящимся непосредственно в карточке, отличающийся тем, что дополнительно в процессе персонализации в ходе регистрации биометрической информации пользователя последний для преобразования биометрической информации в персональный идентификационный код использует цифровой ключ, состоящий из двух частей А и В, известный целиком только ему, при этом только часть А заводится на хранение в базу данных банка и этот же ключ пользователь набирает при считывании и регистрации его биометрической информации в процессе пользования пластиковой карточкой, при этом часть А цифрового ключа направляют по линиям связи в банк и при наличии сигнала подтверждения правильности указанного цифрового фрагмента, при одновременном совпадении преобразований в код биометрической информации пользователя карточки и сохраняемого в карточке его персонального идентификационного кода формируют сигнал подлинности пользователя пластиковой карточки.