1. Область техники
Изобретение относится к электронной техники, а конкретно к электронной денежной системе для выполнения электронных денежных взаиморасчетов как альтернативного средства экономического обмена наличным деньгам, чеками, карточками и электронных систем перемещения денежных средств. В системе используются электронные денежные модули, которые сами по себе являются электронными банкнотами переменной стоимости.
2. Уровень техники
Известны патент RU №2103733 «Устройство для безналичных электронных взаиморасчетов между его пользователями», патент RU № 2187150 «Контролируемая электронная денежная система и способ организации, хранения и перевода электронных денежных средств».
В качестве аналога принята «Электронная денежная система (варианты), электронная банкнота, способ предъявления пароля сети электронной денежной системы, способ изъятия денег с банковского счета, способ внесения депозита, способ произведения платежа, способ обмена иностранной валюты» (патент RU №2165101). Электронная денежная система, в которой в качестве электронного взаиморасчетного средства используются электронные денежные модули (операционные модули). Сходна тем, что для совершения взаиморасчетных операций используются микропроцессорные устройства (операционные модули), которые содержат процессоры и могут передавать друг другу электронную денежную наличность (электронные представления денег) автономно. Отличается вышеназванная система тем, что в обращении используются электронные представления денег, имеющие уникальные идентификаторы и ограниченный срок действия, которые генерируются специальными центрами. В пределах срока действия электронной банкноты возможно ее обращение между операционными модулями, но после окончания этого срока данная банкнота должна быть обязательно заменена на новую при соединении со специальным центром (сервером безопасности). Система нуждается в постоянной поддержке специализированными центрами, хотя и не в режиме реального времени, и при выходе из строя или недоступности данных центров становится неустойчивой, а по окончании срока действия запущенных в нее электронных банкнот перестает работать.
Система, описанная в данном изобретении, не использует электронные представления оригинальных банкнот внутри электронных денежных модулей, в то же время сам электронный денежный модуль (ЭДМ) может характеризоваться как банкнота с изменяемой денежной стоимостью и высокой защищенностью. ЭДМ данного изобретения функционирует автономно и, в нормальных условиях, может не требовать связи с центром авторизации до окончания периода своей службы, который характеризуется степенью износа электронных компонент, или до периода, когда центр эмиссии затребует замену (модификацию) электронных денежных модулей системы.
В то же время следует отметить, что данное изобретение не включает многие пункты из патента RU 2165101, такие как, например, способ обмена валюты, способ внесения депозита, а ряд пунктов формулы не подходит к данному изобретению исходя из принципа действия системы.
3. Сущность изобретения
В связи с высокой стоимостью использования бумажной денежной наличности, существует потребность в системе, которая позволяет проводить взаиморасчетные финансовые операции между плательщиком и получателем без посредников банковской системы и которая дает лицу регулирование процессов платежа, при этом значительно уменьшает стоимость работы с денежной наличностью.
Целью настоящего изобретения является обеспечение электронной денежной системы, служащей для электронных взаиморасчетов между ее участниками в режиме реального времени с использованием электронных аналогов денег без привлечения каких-либо центров авторизации, кроме участвующих в расчете индивидуальных электронных денежных модулей, которые подобно бумажной денежной наличности защищаются несколькими степенями защиты и подделка которых возможна только при вскрытии всех этих степеней, количество степеней защиты данным изобретением не ограничивается, но приводится принцип их организации.
Другой целью настоящего изобретения является способ передачи сообщений в электронной денежной системе, который позволяет перемещать сообщения, в том числе денежную стоимость, ЭДМ между друг другом, сохраняя при этом высокую степень защиты от фальсификации обоих взаимодействующих электронных денежных модулей и проводимой операции.
Другой целью настоящего изобретения является обеспечение способа проведения платежа, который уменьшает стоимость системы в целом за счет преимущественного проведения операций между участниками непосредственно на месте, без необходимости в линиях связи с авторизующими центрами.
Другой целью настоящего изобретения является обеспечение способа возврата денежных средств владельцу электронного денежного модуля, в случае его утери или кражи.
Другой целью настоящего изобретения является обеспечение способа защиты от вскрытия электронной денежной системы за счет проведения определенных мероприятий.
Другой целью настоящего изобретения является обеспечение способа возврата средств владельцу в случае выхода из строя электронного денежного модуля. Здесь имеется в виду не полное уничтожение, а техническая неисправность, в результате которой ЭДМ оказался неработоспособным, но в нем осталась работоспособная часть, по которой можно провести анализ и с высокой степенью надежности определить денежную стоимость ЭДМ на момент выхода из строя. Что является основанием для возврата денежных средств с неисправного ЭДМ владельцу.
4. Краткое описание чертежей
Фиг.1 Организация взаимосвязей в ЭДМ с тремя микроконтроллерами.
Фиг.2 Пример организации микроконтроллера ЭДМ.
Фиг.3 Пример организации центра эмиссии.
Фиг.4 Пример проведения платежной операции между ЭДМ.
5. Сведения, подтверждающие возможность осуществления изобретения
Электронная денежная система
Предлагается электронная денежная система, функционально схожая с системой бумажной денежной наличности, но использующая в виде носителей наличных денег электронные устройства. Система включает следующие части: центр эмиссии (ЦЭ), в функции которого входит эмиссия электронной наличности, электронных денежных модулей и поддержание системы в работоспособном состоянии, выпускаемые ЦЭ электронные денежные модули, в функции которых входит хранение электронной денежной наличности и передача ее от ЭДМ к ЭДМ.
Электронные денежные модули
Так как речь идет об аналогах бумажных денежных знаков, то ЭДМ системы не должны постоянно, при проведении взаиморасчетов, обращаться к каким-либо авторизующим внешним центрам. Сумма между ними должна передаваться однозначно и без внешних по отношению к двум взаимодействующим ЭДМ воздействий. Предполагается, что система должна работать и в местах, не имеющих телекоммуникаций для связи с авторизующим центром, полностью автономно и в то же время гарантированно безопасно.
Электронные денежные модули - это электронные устройства хранящие денежную стоимость и передающие ее друг другу, работающие от источников электроэнергии, имеющие устройства ввода информации, например клавиатуру, устройство вывода информации, например жидкокристаллический дисплей, интерфейс для связи с другими устройствами, например инфракрасный порт. Более того, предложены принципы организации защиты электронного денежного модуля, которые существенно повышают защищенность ЭДМ как от взлома, так и от уничтожения денежной стоимости в результате поломки.
Согласно принципам работы денежной системы ЭДМ должен базироваться на основе микроконтроллеров с защитой памяти программ и данных от чтения и записи из вне. Память защищенного микроконтроллера ЭДМ должна быть гарантированно защищена от считывания из вне любыми доступными способами. Он представляет из себя для внешних устройств черный ящик. Какую информацию передавать, принимать и обрабатывать, решает только внутренняя программа микроконтроллера. Все взаимодействие между защищенным микроконтроллером и иными устройствами (владельцем, другим микроконтроллером) проходит под контролем управляющей программы защищенного микроконтроллера.
Для того чтобы подобная система работала и была гарантированно безопасна, требуются особые методы построения электронных денежных модулей. Автор исходил из того, что ни один защищенный от несанкционированного доступа электронный микроконтроллер не может быть применен как автономное платежное средство в большой промежуток времени по следующим причинам:
а) применяемые технологии защиты микроконтроллеров могут через определенный промежуток времени более перестать обеспечивать высокий уровень защиты, что потребует в срочном порядке заменить все микроконтроллеры, применяемые в электронных денежных модулях, что приведет к серьезному сбою в работе системы; б) микроконтроллер может выйти из строя, в результате чего вся находящаяся на нем информация, в частности наличные деньги, будет утеряна, и если учесть тот факт, что не существует реального способа получить достоверную информацию о содержимом памяти микроконтроллера после поломки, а сумма, записанная на нем, может быть значительной, то подобный факт будет являться большим минусом организуемой системе.
В электронной денежной системе по патенту RU 2165101 для этой цели применяются электронные денежные сертификаты с ограниченным сроком действия. Если операционный модуль будет испорчен, то через время, равное сроку действия электронного денежного сертификата, если его никто не предъявил к оплате, денежная ценность может быть возвращена владельцу. Что обязывает обязательно предъявлять вышедшие по времени действия сертификаты, в противном случае они могут быть возвращены первоначальному владельцу, если он объявил их утраченными.
Для устранения указанных выше причин предложено организовать (опять же по принципу бумажной денежной наличности) электронное устройство с несколькими степенями защиты как от вскрытия, так и от уничтожения. Удобно использовать для этой цели несколько внутренних блоков, дублирующих хранимую денежную ценность ЭДМ. Но для того чтобы гарантированно иметь одинаковое содержимое всех внутренних блоков ЭДМ, требуется обязательное согласование проведения любой операции между ними. В противном случае будет получен ЭДМ с несколькими автономными внутренними блоками, в которых возможно получить рассогласованные (различные) внутренние состояния. При использовании согласования состояния внутренние блоки ЭДМ перестают быть автономными, но становятся одним цельным устройством. Если бы потребовался ЭДМ, гарантирующий только сохранность информации в случае сбоя, возможно было ограничиться одним микроконтроллером, дублирующим запись информации в разные физически разделенные участки памяти. Но, согласно требованиям, этого не достаточно, при таком подходе может выйти из строя не только участок памяти, но и микроконтроллер, который произведет неверную запись во все устройства памяти, и денежная стоимость ЭДМ будет утеряна, что недопустимо.
Если использовать внутри ЭДМ несколько микроконтроллеров, работающих параллельно, хранящих одну и ту же информацию по стоимости ЭДМ, выполняющих функционально схожие операции и согласовывающих проведение этих операций между собой путем обмена сообщениями (причем операция проводится лишь в том случае, если информация о ней идентична во всех микроконтроллерах данного ЭДМ). То при выходе из строя одного или части из микроконтроллеров работа ЭДМ будет парализована, но достоверная информация о его состоянии может быть извлечена из оставшихся микроконтроллеров ЭДМ, так как они не смогут согласовать между собой проведение операции из-за отсутствием верной информации от неисправного микроконтроллера, а следовательно, информация о денежной стоимости в них меняться не будет.
Если при создании электронного денежного модуля использовать в качестве его составляющих микроконтроллеров защищенные от несанкционированного доступа устройства, например DS2252T фирмы Dallas Semiconductor, то будет получен ЭДМ, вскрытие которого возможно только при вскрытии всех составляющих защищенных микроконтроллеров, а потеря хранящейся информации возможна только при уничтожении информации, хранимой на всех микроконтроллерах, вероятность чего намного меньше, чем при использовании в ЭДМ одного микроконтроллера. Это следует и из того, что микроконтроллеры, являясь электронными устройствам, могут выходить из строя даже не в связи с неправильной эксплуатацией.
Принципы объединения микроконтроллеров внутри ЭДМ
С целью предотвращения фальсификации микроконтроллеров ЭДМ при обмене информацией требуется организовать защиту при обмене. Наиболее просто это осуществить с использованием системы электронной цифровой подписи (ЭЦП). При обмене сообщениями перед отправкой каждое сообщение подписывается на закрытом ключе передающего микроконтроллера. В каждом из микроконтроллеров существуют открытые компоненты электронных подписей других микроконтроллеров данного ЭДМ, которые используются для проверки адресата и целостности пришедшего сообщения. При приеме сообщения оно до начала обработки обязательно проверяется на наличие и корректность электронной подписи, и если подпись имеется и не искажена, то сообщение принимается, в противном случае отбрасывается. Возможно также предусмотреть порядок, в результате которого несколько подряд пришедших ложных сообщений блокируют работу ЭДМ.
Таким образом, электронный денежный модуль состоит из двух или более защищенных от несанкционированного доступа к информации микроконтроллеров, в дальнейшем микроконтроллеров, с внутренними номерами от 1 до N, где N - число микроконтроллеров внутри электронного денежного модуля. Для всех электронных денежных модулей, участвующих в прямом взаимодействии, количество внутренних микроконтроллеров совпадает. Каждый из микроконтроллеров ЭДМ хранит величину денежной стоимости электронного денежного модуля, открытые ключи ЭЦП центра эмиссии, открытые ключи ЭЦП иных микроконтроллеров данного ЭДМ, оригинальные закрытые ключи ЭЦП данного микроконтроллера, парные к закрытым ключам ЭЦП данного микроконтроллера открытые компоненты, которые вместе с идентификационной информацией по ЭДМ и микроконтроллеру подписаны на ЭЦП центра эмиссии. Составляющие ЭДМ микроконтроллеры могут устанавливать канал связи и обмениваться информацией по принципу каждый с каждым при обмене сообщениями внутри электронного денежного модуля и каждый с равным по номеру в электронном денежном модуле при обмене сообщениями между электронными денежными модулями. При обмене сообщениями между микроконтроллерами электронного денежного модуля сообщения подписываются на предназначенных для данных операций ЭЦП в передающем микроконтроллере, а при приеме проверяются на парных к используемым при подписании закрытым компонентам открытых компонентах ЭЦП в принявшем микроконтроллере, сообщение считается истинным и обрабатывается, если проверка ЭЦП успешна. Электронный денежный модуль проверяет свою целостность путем сверки значения денежной стоимости между микроконтроллерами, если значения денежной стоимости, занесенные во все микроконтроллеры, входящие в состав данного ЭДМ, совпадают, ЭДМ проходит тест целостности и может проводить дальнейшие операции, в противном случае работа ЭДМ блокируется и требуется передача его в ЦЭ для анализа возникшей ситуации и принятия решения о замене и возможности возврата средств владельцу.
Предлагается при обмене сообщениями между микроконтроллерами ЭДМ в передающем микроконтроллере электронного денежного модуля дополнительно зашифровывать сообщения на открытых компонентах ключей принимающего микроконтроллера, а в принимающем микроконтроллере производить их расшифровку с использованием закрытого ключа ЭЦП данного микроконтроллера. Такой подход позволяет скрыть содержимое передаваемых пакетов информации.
На фиг.1 приведен пример организации ЭДМ с тремя микроконтроллерами, защищенными от НСД, показаны взаимосвязи между устройствами ЭДМ. Номерами 1, 2, 3 обозначены микроконтроллеры ЭДМ, они имеют возможность принимать данные с устройства ввода 5 и передавать данные на устройство вывода 4, кроме того, микроконтроллеры 1, 2 и 3 имеют интерфейсы взаимодействия друг с другом, а также с равными по внутреннему номеру микроконтроллерами взаимодействующего ЭДМ. С устройствами ввода и вывода имеют связь все микроконтроллеры 1, 2 и 3, это обосновано тем, что ответственный за организацию связи микроконтроллер назначается только на сеанс связи и может изменяться, более того, микроконтроллеры ЭДМ имеют интерфейсы с равным по внутреннему номеру микроконтроллером ЭДМ, с которым организует связь данный электронный денежный модуль.
На фиг.2. приведен пример организации микроконтроллера. Микроконтроллер содержит данные по стоимости ЭДМ 15, открытые компоненты ЭЦП микроконтроллера вместе с идентификационными данными, подписанные на ЭЦП ЦЭ 6, открытые компоненты ЭЦП ЦЭ 7, закрытые компоненты ЭЦП микроконтроллера 10, открытые компоненты ЭЦП с идентификационными данными, подписанные ЭЦП ЦЭ микроконтроллеров, с которыми осуществляется связь 9. Программные компоненты микроконтроллера: блок проверки ЭЦП 8, блок подписания ЭЦП 11, блок обработки стоимости 14, блок обработки сообщений 12, интерфейсный блок 13. Блок 8 служит для проверки электронной подписи под поступившими сообщениями. Блок 11 служит для подписания сообщений перед отправкой другому микроконтроллеру. Блок 12 анализирует и обрабатывает поступившие сообщения, кроме денежной стоимости, которая обрабатывается в блоке 14. Блок 13 отправляет и принимает сообщения, которые затем попадают в блок 12.
Центр эмиссии
Исходя из функций, которые возлагаются на центр эмиссии, а именно эмиссия электронных денежных модулей и электронной денежной наличности, а также генерация, сопровождение и хранение ключей шифрования и электронной цифровой подписи (ЭЦП) центра эмиссии и электронных денежных модулей, а также поддержка стойкости системы к взлому, а также разбор ситуаций, связанных с выходом из строя электронных денежных модулей и возврата средств их владельцам, а также возврат средств владельцам утерянных или украденных ЭДМ, центр эмиссии представляет из себя некоторый программно-аппаратный комплекс.
На фиг.3 приведен пример организации ЦЭ. Блок генерации ЭЦП микроконтроллеров ЭДМ 16 служит для генерации электронных подписей микроконтроллеров, из которых затем собирается ЭДМ. Блок записи в микроконтроллеры программного кода 17 служит для записи в новые микроконтроллеры программных компонентов, которые руководят его работой в дальнейшем. После генерации в блоке 16 компоненты вновь сгенерированной электронной подписи микроконтроллера помещаются в предназначенный для них микроконтроллер, при этом открытые компоненты ЭЦП вместе с идентификационными данными собираемого ЭДМ и микроконтроллера предварительно подписываются на ЭЦП ЦЭ в блоке генерации, хранения и использования ЭЦП ЦЭ 18. Из блока 18 в микроконтроллер передаются также открытые компоненты ЭЦП ЦЭ. Запись ключевой информации осуществляется в блоке записи в микроконтроллеры ключевой информации 19. Кроме того, открытые компоненты ЭЦП микроконтроллеров остаются в ЦЭ и помещаются в хранилище открытых компонент ключей ЭЦП 21, служащее для разбора ситуаций, связанных с работой ЭДМ, обмена сообщений с ними. После записи в микроконтроллеры ключевой информации из них собирается ЭДМ в блоке сборки ЭДМ 22. Блок организации связи ЦЭ с ЭДМ 23 отвечает за организацию каналов связи ЭДМ и центра эмиссии, могут использоваться любые доступные каналы связи, например связь по глобальной вычислительной сети. Блок денежной эмиссии 24 служит для эмиссии электронной наличности в систему, он функционально схож с ЭДМ, но имеет возможность создавать электронную наличность. Блок анализа ситуаций 20 служит для анализа и принятия решений по работе с ЭДМ, в нем могут генерироваться служебные сообщения, приниматься потерянная денежная наличность, производится анализ неисправных ЭДМ.
Описанные выше ЭДМ и ЦЭ и составляют электронную денежную систему.
Способ передачи сообщений в электронной денежной системе
Для организации обмена сообщениями между электронными денежными модулями предложена схема, согласно которой пара ЭДМ может производить обмен информацией между составляющими их микроконтроллерами, имеющими одинаковые внутренние номера.
Микроконтроллеры с одинаковыми внутренними номерами разных ЭДМ входят в одну группу шифрования-подписания. Они хранят одинаковые открытые компоненты ЭЦП ЦЭ, используемые для проверки получаемых блоков с идентификационными данными и открытыми компонентами ЭЦП микроконтроллера ЭДМ, с которым организуется взаимодействие. Микроконтроллеры также хранят подписанные ЭЦП ЦЭ блоки, содержащие идентификационные данные ЭДМ и микроконтроллера и открытые компоненты ЭЦП микроконтроллера. Микроконтроллеры с другими внутренними номерами содержат другие открытые компоненты ЭЦП центра эмиссии, на которых и подписаны блоки, содержащие открытые компоненты ЭЦП и идентификационные данные микроконтроллера и ЭДМ. То есть микроконтроллеры различных ЭДМ с разными номерами в ЭДМ не могут обмениваться информацией, так как не имеют ЭЦП ЦЭ для проверки принятых блоков, содержащих идентификационные данные и открытые компоненты ЭЦП взаимодействующих микроконтроллеров других ЭДМ. Исходя их того, что открытые компоненты ЭЦП должны быть переданы из микроконтроллера передающего в микроконтроллер принимающий в виде, который гарантирует, что генерация данных ключей ЭЦП была произведена в центре эмиссии, блоки данных, содержащие идентификационные данные ЭДМ и микроконтроллера и открытые компоненты ЭЦП конкретных микроконтроллеров, и подписываются ЭЦП центра эмиссии.
Значит, мы имеем электронный денежный модуль, имеющий N-микроконтроллеров, их количество для каждого ЭДМ должно быть одинаковым, в противном случае обмен не состоится. Все микроконтроллеры с одинаковыми номерами внутри ЭДМ используют одинаковые открытые компоненты электронной подписи центра эмиссии, на которых проверяют корректность получаемых в начале сеанса связи с другими ЭДМ блоков, содержащих идентификационные данные взаимодействующего ЭДМ, его микроконтроллеров и открытые ключи ЭЦП данных микроконтроллеров. После того как осуществлен обмен открытыми компонентами ЭЦП микроконтроллеров, вся передача подписывается ЭЦП микроконтроллеров, открытые компоненты которых были переданы в начале сеанса связи между ЭДМ.
Пример организации обмена сообщениями между ЭДМ, содержащими по 3 внутренних микроконтроллера, приведен на фиг.4, цифрами 1, 2, 3 обозначены внутренние микроконтроллеры каждого ЭДМ, сами ЭДМ названы ЭДМ1 и ЭДМ2. На фиг.4 (этап 1 и этап 4) показывают, что по команде владельца в обоих готовящихся к обмену ЭДМ (ЭДМ1 и ЭДМ2) микроконтроллеры (1, 2, 3) генерируют псевдослучайные числовые последовательности и пересылают их друг другу, на основании данных последовательностей в каждом из них рассчитывается номер микроконтроллера, ответственного за интерфейс с владельцем ЭДМ для текущего сеанса работы. На фиг.4 (этап 2 и этап 5) микроконтроллерами 3, ответственными за интерфейс обмена сообщениями с владельцами обоих ЭДМ, организуется интерфейс пользователя с ЭДМ, владельцы ЭДМ передают команды дальнейших действий на ЭДМ. На фиг.4 (этап 2 и этап 5) для обоих ЭДМ (ЭДМ1 и ЭДМ2) ответственный за интерфейс микроконтроллер 3 передает команды, введенные пользователем на 1 и 2 микроконтроллеры электронного денежного модуля. На фиг.4 (этап 3 и этап 6) для обоих ЭДМ производится сверка полученных команд и денежной стоимости ЭДМ между микроконтроллерами 1, 2, 3. В случае положительного результата проверки владельцы ЭДМ организуют интерфейс между своими электронными денежными модулями (ЭДМ1 и ЭДМ2). На фиг.4 (этап 7) микроконтроллеры 1, 2, 3 ЭДМ1 обмениваются своими идентификационными данными и открытыми компонентами ЭЦП, подписанными ЭЦП центра эмиссии с соответствующими по номеру микроконтроллерами ЭДМ2. Микроконтроллеры 1, 2, 3 обоих ЭДМ (ЭДМ1 и ЭДМ2), используя имеющиеся открытые компоненты ЭЦП центра эмиссии, производят проверку ЭЦП ЦЭ под принятыми открытыми компонентами ЭЦП микроконтроллеров, с которыми готовится взаимодействие, и, в случае положительного результата, сверяют идентификатор взаимодействующего ЭДМ друг с другом и, при положительном результате сверки, продолжают обмен. Сообщения в передающих микроконтроллерах 1, 2, 3 перед отправкой подписываются на своих закрытых ключах ЭЦП, после чего пересылаются микроконтроллерам 1, 2, 3 адресатам получающего ЭДМ на фиг.4 (этап 8). В ЭДМ, принимающем сообщения, микроконтроллеры 1, 2 и 3 проверяют ЭЦП под сообщением, используя открытые компоненты ЭЦП передающих микроконтроллеров, и при корректности ЭЦП сверяют содержание полученного сообщения между собой (на фиг.4 этап 9), при положительном результате сверки принимают в обработку.
Дополнительно предлагается способ, в котором в передающем микроконтроллере сообщения дополнительно зашифровываются на открытых компонентах ключей ЭЦП принимающего микроконтроллера, а в принимающем микроконтроллере происходит их расшифровка с использованием закрытого ключа ЭЦП данного микроконтроллера.
Способ проведения платежа
При использовании электронных денежных модулей с несколькими микроконтроллерами, как описано выше. Согласно предлагаемому способу платежа гарантией платежа служит высокая степень защиты электронных денежных модулей. Проплачиваемая сумма переходит с одного ЭДМ на другой без внешней авторизации.
Используя устройство ввода, владелец вводит команду на оплату определенной суммы в ЭДМ. Данная сумма сверяется между микроконтроллерами внутри ЭДМ, что исключает возникновение различного значения стоимости в микроконтроллерах, составляющих ЭДМ. Если сумма, запрошенная к оплате, одинаковая на всех составляющих ЭДМ микроконтроллерах, она отнимается от его денежной стоимости и временно блокируется. Владелец ЭДМ получателя вводит команду на прием платежа, и после того, как два ЭДМ, передающий денежную стоимость и получающий, организуют интерфейс и микроконтроллеры с одинаковыми номерами обоих электронных денежных модулей обменяются идентификационными данными и открытыми компонентами своих ЭЦП, значение заблокированной суммы передается на принимающий ЭДМ. В принимающем ЭДМ данная сумма также сверяется между микроконтроллерами, и при положительном результате сверки, то есть значения суммы одинаковы на всех микроконтроллерах принявшего ЭДМ, сумма принимается и блокируется. Затем на проплачивающий ЭДМ передается сообщение о приеме вышеуказанной суммы. Сообщение проверяется, сумма сверяется с переданной, и, при положительном результате проверки, сумма полностью отнимается от стоимости ЭДМ. Теперь возврат суммы возможен только обратным платежом. На принимающий стоимость ЭДМ отправляется сообщение о полном снятии суммы, сообщение проверяется, сумма сверяется с полученной, и, при положительном результате проверки, сумма полностью прибавляется к стоимости ЭДМ получателя, теперь возврат суммы возможен только обратным платежом.
Данная технология позволяет избежать ситуации, когда сумма остается на обоих ЭДМ либо потеряна обоими.
Пример организации оплаты между ЭДМ, содержащими по 3 внутренних микроконтроллера, приведен на фиг.4, цифрами 1, 2, 3 обозначены внутренние микроконтроллеры каждого ЭДМ, сами ЭДМ названы ЭДМ 1 - производящий платеж и ЭДМ2 - принимающий платеж. На фиг.4 (этап 1 и этап 4) показывают, что по команде владельца в обоих готовящихся к обмену ЭДМ (ЭДМ1 и ЭДМ2) микроконтроллеры (1, 2, 3) генерируют псевдослучайные числовые последовательности и пересылают их друг другу, на основании данных последовательностей в каждом из них рассчитывается номер микроконтроллера, ответственного за интерфейс с владельцем ЭДМ для текущего сеанса работы. На фиг.4 (этап 2 и этап 5) микроконтроллерами 3, ответственными за интерфейс обмена сообщениями с владельцами обоих ЭДМ (ЭДМ1 и ЭДМ2), организуется интерфейс пользователя с ЭДМ, владельцы ЭДМ передают команды дальнейших действий на ЭДМ, для ЭДМ1 - это команда на передачу некоторой суммы, а для ЭДМ2 - прием платежа. На фиг.4 (этап 2 и этап 5) для обоих ЭДМ (ЭДМ1 и ЭДМ2) ответственный за интерфейс микроконтроллер 3 передает команды, введенные пользователем на 1 и 2 микроконтроллеры соответствующих ЭДМ, передаваемая сумма отнимается от стоимости ЭДМ1 и блокируется в ожидании передачи. На фиг.4 (этап 3 и этап 6) для обоих ЭДМ производится сверка полученных команд и денежной стоимости ЭДМ между микроконтроллерами 1, 2, 3. Владельцы ЭДМ организуют интерфейс между своими электронными денежными модулями (ЭДМ1 и ЭДМ2). На фиг.4 (этап 7) микроконтроллеры 1, 2, 3 ЭДМ1 обмениваются своими идентификационными данными и открытыми компонентами ЭЦП, подписанными ЭЦП центра эмиссии, с соответствующими по номеру микроконтроллерами ЭДМ2. Микроконтроллеры 1, 2, 3 обоих ЭДМ (ЭДМ1 и ЭДМ2), используя имеющиеся открытые компоненты ЭЦП центра эмиссии, производят проверку ЭЦП ЦЭ под принятыми открытыми компонентами ЭЦП микроконтроллеров, с которыми готовится взаимодействие, и, в случае положительного результата, сверяют идентификатор взаимодействующего ЭДМ друг с другом и, при положительном результате проверки, продолжают обмен. На фиг.4 (этап 8) сообщения, содержащие передаваемую сумму в микроконтроллерах 1, 2, 3 передающего стоимость ЭДМ1 перед отправкой, подписываются на ЭЦП, после чего пересылаются микроконтроллерам 1, 2, 3 получающего ЭДМ2. На фиг.4 (этап 9) в ЭДМ2, принимающем сообщения, микроконтроллеры 1, 2, 3 проверяют корректность ЭЦП под сообщениями, содержащими принимаемую сумму, используя открытые компоненты ЭЦП передающих микроконтроллеров, и при корректности ЭЦП сверяют содержание полученной суммы между собой и, при положительном результате проверки, принимают, но не прибавляют к стоимости ЭДМ, а временно блокируют. После чего подтверждение получения суммы передается микроконтроллерами 1, 2, 3 ЭДМ2 на соответствующие по номеру микроконтроллеры ЭДМ1 (этап 10). Полученные микроконтроллерами 1, 2, 3 ЭДМ1 подтверждения сверяются между собой (этап 11), при положительном результате проверки сумма полностью списывается с ЭДМ1, и затем микроконтроллерами 1, 2, 3 ЭДМ1 передается подтверждение полного списания на соответствующие по номеру микроконтроллеры ЭДМ2 (этап 12). На ЭДМ2 производится сверка полученных сообщений между микроконтроллерами 1, 2, 3, и, если они одинаковые, производится прибавление полученной суммы к стоимости ЭДМ2 (этап 13). Владельцы обоих ЭДМ получают подтверждение о совершенной операции от микроконтроллеров 3, ответственных за интерфейс в данном сеансе (этапы 14 и 15).
Способ возврата утерянных денежных средств
Технология работы системы в целом и конкретно электронных денежных модулей не может гарантировать стопроцентную возможность возврата средств ЭДМ в случае утраты его владельцем, но, если данным устройством попытаются воспользоваться, средства все-таки могут быть возвращены владельцу.
Для этого предлагается схема, согласно которой программное обеспечение ЭДМ выполняется таким образом, что при неверном вводе пароля доступа к операциям с наличностью определенное количество раз подряд сумма стоимости ЭДМ, за исключением небольшого остатка, блокируется, отнимается от стоимости электронного денежного модуля, формируясь в код инкассации. Код инкассации, кроме суммы, содержит информацию, однозначно идентифицирующую ЭДМ, которому он принадлежит, и в то же время код инкассации может быть зашифрован на предназначенных для этого ключах шифрования ЭДМ и доступен для расшифровки только в центре эмиссии, где находятся ключи дешифровки кода инкассации данного ЭДМ. При такой схеме злоумышленник может воспользоваться только небольшой оставшейся суммой, что требуется с целью передать информацию о реальной стоимости ЭДМ в ЦЭ.
Сформированный код инкассации для возврата средств владельцу должен попасть в ЦЭ. Учитывая то, что сам украденный-потерянный ЭДМ вероятнее всего не будет связываться с ЦЭ, предложено использовать промежуточные носители кода инкассации, а именно те ЭДМ, с которыми попытается осуществить взаимодействие данный (утерянный) ЭДМ.
ЭДМ, принявший код инкассации от другого ЭДМ, не может им никак воспользоваться, кроме как передать, при осуществлении сеанса связи, другому ЭДМ или в центр эмиссии. Если ЭДМ является носителем кода инкассации, то при установлении сеанса связи с центром эмиссии код инкассации принимается в ЦЭ и ЭДМ очищается от кодов инкассации.
Если утерянным-украденным ЭДМ не воспользуются, то вследствие того, что ЭДМ оперируют с наличностью, она будет утеряна для электронной денежной системы и законный владелец не будет иметь возможность доказать, что владел утерянной суммой. Но если дать возможность воспользоваться небольшой суммой, находящейся на ЭДМ, без предъявления правильного пароля доступа к операциям с наличностью, то возможны попытки проведения расчетных операций между ЭДМ с участием данного. Если такая операция требует ввода пароля пользователя, но проводится даже при вводе неправильного пароля, то стоимость электронного денежного модуля за исключением свободной суммы переформируется со стоимости ЭДМ в код инкассации и, при первом контакте с другим ЭДМ, при попытке провести операцию код инкассации будет записан на взаимодействующий ЭДМ. Когда ЭДМ, взаимодействующий с украденным, будет связываться с центром эмиссии, коды инкассации, которые на нем находятся, будут переданы в ЦЭ и соответствующим образом расшифрованы, определен идентификатор ЭДМ, которому принадлежит код инкассации, найден законный владелец (предполагается, что центр эмиссии или другая организация, например банк, обладают данной информацией), сумма возвращается владельцу.
Для блокировки веерного распространения кодов инкассации предлагается ограничить число их передачи от ЭДМ к ЭДМ. Например, код инкассации от потерянного ЭДМ, при попытке организации им сеанса связи с другим ЭДМ, передается 5 раз, от взаимодействующих с ним к другим ЭДМ (третьим) - 3 раза, от взаимодействующих с третьими - 1 раз, далее код инкассации не передается.
Способ защиты от вскрытия электронной денежной системы
Предложенная система имеет повышенную стойкость к взлому ЭДМ за счет того, что возможность вскрытия определенной составной части ЭДМ не приводит к возможности полной его эмуляции. Более того, при наличии информации о возможности вскрытия определенного типа микроконтроллеров ЭДМ или определенного типа электронных подписей ЭДМ или ЦЭ существует возможность произвести замену части микроконтроллеров ЭДМ, которые перестали удовлетворять требованиям безопасности. Например, заменить микроконтроллеры №1 для всех ЭДМ электронной денежной системы. При таком подходе данную операцию можно проводить за некоторое время - последовательно без остановки функционирования электронной денежной системы.
Способ состоит в замене части микроконтроллеров ЭДМ, что возможно без полной замены ЭДМ в системе. Такое возможно вследствие того, что не удовлетворяющие требованиям безопасности микроконтроллеры ЭДМ не содержат информации, которая приводила бы к вскрытию ЭДМ целиком. Для этого программное обеспечение микроконтроллеров ЭДМ выполняется таким образом, чтобы иметь возможность принимать, обрабатывать, хранить и передавать другим ЭДМ при взаимодействии сообщения ЦЭ. Сообщения ЦЭ могут содержать управляющие команды работой электронной денежной системы. В этом случае центром эмиссии в электронную денежную систему запускается управляющее служебное сообщение, подписанное ЭЦП ЦЭ, которое передается в ЭДМ при установке ими сеанса связи с центром эмиссии и передается между ЭДМ при их взаимодействии друг с другом, данное сообщение служит для блокирования работы электронных денежных модулей, в которых еще не произведена смена нестойкого типа микроконтроллеров, через определенный промежуток времени или некоторое количество сеансов связи с другими ЭДМ. Сообщения ЦЭ передаются автоматически без возможности руководить процессом их приемопередачи со стороны владельцев ЭДМ. Взамен изымаемых микроконтроллеров в центре эмиссии подготавливаются новые и на них заносятся открытые ключи ЭЦП центра эмиссии, оригинальные закрытые ключи ЭЦП данного микроконтроллера, а также подписанные ЭЦП ЦЭ блоки, содержащие открытые компоненты ЭЦП микроконтроллера, идентификационными данные по микроконтроллеру и ЭДМ (в который планируется его установка). В процессе замены микроконтроллера ЭДМ денежная стоимость ЭДМ обнуляется путем проплаты ее другому ЭДМ, затем на микроконтроллеры ЭДМ из центра эмиссии передается служебная команда для разрыва связи микроконтроллеров ЭДМ с заменяемым микроконтроллером, затем из ЭДМ изымается заменяемый микроконтроллер и устанавливается новый, затем вновь установленный микроконтроллер обменивается с другими микроконтроллерами ЭДМ блоками данных, содержащими идентификационную информацию и открытые компоненты ЭЦП, подписанные электронными подписями ЦЭ. Микроконтроллеры проверяют ЭЦП ЦЭ под принятыми идентификационными данными и открытыми ключами ЭЦП и, при положительном результате проверки, в дальнейшем используют полученные ЭЦП и идентификационные данные при обмене сообщениями друг другу внутри ЭДМ. Затем ЭДМ проверяет свою целостность и, при положительном результате проверки, путем обратной проплаты получает ранее списанную стоимость с электронного денежного модуля, на котором она временно хранилась.
Вышеописанный способ позволяет поддерживать высокую криптостойкость электронной денежной системы, минимизируя финансовые затраты.
Способ возврата средств с неисправных электронных денежных модулей
В связи с тем, что неисправный ЭДМ включает в себя несколько степеней защиты от повреждения - внутренних микроконтроллеров, имеющих защиту от НСД, то в случае технической неисправности ЭДМ, которая не привела к полному уничтожению ЭДМ, и часть из микроконтроллеров остались неповрежденными, существует возможность произвести анализ ЭДМ и вернуть сумму на нем содержащуюся владельцу.
Данный способ включает следующие стадии: владелец передает неисправный ЭДМ в центр эмиссии; в ЦЭ с каждым технически исправным микроконтроллером неисправного ЭДМ организуется интерфейс и проводится обмен информацией с использованием электронных подписей ЦЭ и микроконтроллеров ЭДМ, в результате которого информация о хранимых в микроконтроллерах данных по стоимости электронного денежного модуля попадает в центр эмиссии. По результатам стоимости ЭДМ, полученным из микроконтроллеров исследуемого ЭДМ в ЦЭ, производится анализ на возможность возврата средств с ЭДМ его владельцу.
Данная операция является возможной, так как в ЦЭ хранятся отрытые компоненты ЭЦП всех микроконтроллеров эмитированных ЭДМ. Следовательно, для проведения ее из электронного хранилища ЭЦП извлекаются соответствующие данному ЭДМ ключи ЭЦП микроконтроллеров с целью определения принадлежности микроконтроллеров к электронной денежной системе, с их использованием и использованием ЭЦП ЦЭ организуется взаимодействие между ЦЭ и микроконтроллерами исследуемого ЭДМ.
Методы реализации получения информации от микроконтроллеров ЭДМ могут быть различными. Например, ЦЭ посылает подписанные своими ЭЦП сообщения-требования на предъявление денежной стоимости ЭДМ и идентификационных данных каждому микроконтроллеру. Микроконтроллеры проверяют ЭЦП ЦЭ под сообщениями и, в случае корректности, интерпретируют их как требования сообщить об имеющейся денежной стоимости и идентификационных данных.
Микроконтроллеры формируют сообщения, включающие идентификационные данные, денежную стоимость ЭДМ, подписывают их ЭЦП и передают в ЦЭ. ЦЭ проверяет ЭЦП микроконтроллеров по имеющимся базам открытых ключей ЭЦП и, в случае корректности, принимает данную информацию. В ЦЭ по полученным идентификационным данным анализируется принадлежность микроконтроллеров к исследуемому ЭДМ, сравнивается хранимая в них денежная стоимость, при положительном результате (микроконтроллеры принадлежат данному ЭДМ и стоимость хранимая ими одинакова) средства с неисправного ЭДМ возвращаются владельцу.
Общее
Как очевидно специалисту в области электронных расчетов, различные варианты воплощения и модификации могут быть выполнены при сохранении духа и объема настоящего изобретения. Соответственно, приведенные выше раскрытие, описание и чертежи представлены только для пояснения, но не для ограничения настоящего изобретения, которое ограничивается только формулой изобретения.
Изобретение относится к электронной технике, в частности к электронной денежной системе для выполнения электронных денежных взаиморасчетов как альтернативного средства экономического обмена наличным деньгам, чеками, карточками и электронных систем перемещения денежных средств, а также к способу передачи сообщений, способу проведения платежа, способу возврата утерянных денежных средств, способу защиты от вскрытия электронной денежной системы в случае, если определенный тип микроконтроллеров ЭДМ, или их программное обеспечение, или тип ЭЦП стали не соответствовать требованиям безопасности, предъявляемым к денежной системе, способу возврата средств с неисправных электронных денежных модулей. Техническим результатом является обеспечение высокой степени защиты от фальсификации взаимодействующих электронных модулей и проводимой операции. Электронная денежная система содержит центр эмиссии (ЦЭ) и электронные денежные модули. Способы описывают работу указанной системы. 6 н. и 3 з.п. ф-лы, 4 ил.
