Область техники, к которой относится изобретение
Данное изобретение относится в общем к методам осуществления транзакций, а в частности - к способу верификации клиента, являющегося держателем микропроцессорной карты с платежным приложением, при Интернет-транзакции.
Уровень техники
Осуществление верификации клиента (держателя карты) при осуществлении Интернет-транзакций может выполняться разными способами.
В патенте РФ №2530323 (опубл. 10.10.2014) описан способ безопасного использования банковских карт, в котором данные с карты вводятся на веб-странице поставщика товаров (услуг), инициирующего сеанс связи с телефоном пользователя, номер которого привязан к номеру карты.
В патенте США №7690027 (опубл. 30.03.2010) описан способ, в котором в SIM-картах заранее отпечатаны скрытые оболочки с кодами активации и ссылочные видимые коды. Все эти коды хранятся в сервере безопасности. Пользователю сообщают один ссылочный код в обмен на заполнение формы с персональными данными. При активации этот код вместе со своим кодом активации сохраняются вместе с идентификатором карты.
В патенте США №7693797 (опубл. 06.04.2010) описан способ, в котором провайдер использует общие секреты и начальные числа в коде хешированных машинных адресов с секретными ключами для генерирования списка маркеров аутентификации, содержащих имя пользователя и пароль, для продаж. Общие секреты и начальные числа распределяются также в местных устройствах для генерирования такого же списка. Пользователь получает от местного устройства маркер аутентификации и предъявляет его удаленному провайдеру.
Недостатком всех этих и иных аналогов является использование статического пароля (кода), что снижает надежность верификации клиента, поскольку статические пароли нужно хранить достаточно продолжительное время, в течение которого они могут стать доступны злоумышленнику.
Раскрытие изобретения
Задачей, на решение которой направлено настоящее изобретение, является повышение надежности верификации держателя микропроцессорной карты с платежным приложением (клиента).
Для решения этой задачи и достижения указанного технического результата в настоящем изобретении предложен способ верификации клиента, являющегося держателем микропроцессорной карты с платежным приложением при совершении Интернет-транзакции, проводимой через терминал с использованием клиентского устройства, которое может осуществлять обмен данными с терминалом через телефонные сети, заключающийся в том, что: заранее снабжают клиентское устройство PC/SC ридером; в процессе осуществления транзакции загружают в браузер клиентского устройства посредническую программу для взаимодействия между терминалом и платежным приложением; запрашивают терминалом номер телефона клиента; считывают PC/SC ридером из платежного приложения с помощью посреднической программы номер телефона и передают его терминалу; генерируют терминалом одноразовый пароль и передают его в виде электронного сообщения на номер телефона клиента; вводят вручную принятый одноразовый пароль на соответствующей экранной форме клиентского устройства; находят с помощью платежного приложения разность между персональным идентификационным номером (ПИН), зафиксированным в отношении платежного приложения, и введенным вручную одноразовым паролем, сгенерированным терминалом; передают вычисленную платежным приложением разность на упомянутый терминал; осуществляют на терминале побитовое сложение по модулю два переданной на него разности с одноразовым паролем и передают полученный результат платежному приложению для проверки.
Особенность способа по настоящему изобретению состоит в том, что при верификации могут считывать заранее занесенный в платежное приложение ПИН либо ПИН могут вводить вручную на соответствующей экранной форме клиентского устройства.
Другая особенность способа по настоящему изобретению состоит в том, что клиентское устройство может представлять собой мобильный телефон или планшетный компьютер, имеющие возможность обмена (приема и передачи) данными через телефонные сети, либо иной компьютер, используемый совместно с таким мобильным телефоном или планшетным компьютером.
Краткое описание чертежей
Настоящее изобретение иллюстрируется чертежом.
Подробное описание вариантов осуществления
Настоящее изобретение относится к методам выполнения безналичных транзакций с помощью платежных карт. Это могут быть как карты Национальной системы платежных карт (НСПК), так и любые иные карты, содержащие микросхему («чип»), имеющую в своем составе соединенные между собой процессор (микропроцессор), память и средства ввода-вывода (контактные или бесконтактные), как это известно специалистам. Транзакции осуществляются с использованием таких платежных карт, вводимых в так называемый PC/SC ридер (примеры таких устройств приведены на сайте http://www.smartcard-magic.net/en/pc-sc-reader/), соединенный с клиентским устройством, которое может осуществлять обмен данными с терминалом через телефонные сети - сети подвижной радиотелефонной связи (мобильная связь) или сети фиксированной телефонной связи (проводная связь). Таким клиентским устройством может быть как непосредственно мобильный телефон или планшетный компьютер, имеющий возможность передачи и приема данных через телефонные сети, так и соединенный с таким мобильным телефоном или планшетным компьютером иной компьютер или планшет, не имеющий самостоятельной возможности обмена данными через телефонные сети. Все эти устройства могут быть как уже существующими и известными специалистам, так и разрабатываемыми в будущем. Связь такого клиентского устройства осуществляется с терминалом, под которым в данном описании понимается внешний Интернет-шлюз, например, сервер поставщика товаров (услуг), сервер эмитента платежных карт, виртуальный POS-терминал и т.п. Подробности Интернет-транзакций с помощью платежных карт см., к примеру, на сайте http://www.gsconto.com/ru/wiki/show/payment-cards.
Способ верификации клиента при совершении Интернет-транзакции по настоящему изобретению включает в себя следующие этапы (чертеж).
Клиентское устройство заранее снабжают PC/SC ридером любого известного специалистам типа, позволяющим осуществлять Интернет-транзакции, к примеру Интернет-покупки (этап 101).
В процессе осуществления Интернет-транзакции (при ее инициализации или в ходе ее выполнения) в браузер клиентского устройства из терминала загружают посредническую программу для обеспечения взаимодействия между терминалом и платежным приложением микропроцессорной карты (этап 103).
Для верификации клиента из терминала направляют в клиентское устройство запрос (этап 105) на считывание номера телефона клиента.
По этому запросу PC/SC ридер считывает из платежного приложения микропроцессорной карты с помощью посреднической программы номер телефона и передает его на терминал (этап 107).
Чтобы не использовать статический Интернет-пароль платежного приложения микропроцессорной карты, терминал генерирует одноразовый пароль и передает его на номер телефона в виде электронного сообщения, например SMS-сообщения, push-уведомления, изображения или другого вида сообщения, разработанного в будущем (этап 109).
Клиент считывает одноразовый пароль с экрана клиентского устройства, например мобильного телефона, и вводит вручную принятый одноразовый пароль на соответствующей экранной форме клиентского устройства (этап 111).
Платежное приложение микропроцессорной карты находит разность между персональным идентификационным номером (ПИН), зафиксированным в отношении платежного приложения микропроцессорной карты (так называемым Интернет-ПИН), и введенным вручную одноразовым паролем (этап 113).
Следует отметить, что указанный Интернет-ПИН может быть заранее занесен в платежное приложение, и для нахождения разности его могут считывать из платежного приложения либо Интернет-ПИН может быть заранее занесен в платежное приложение, и для нахождения разности он должен быть введен вручную на соответствующей экранной форме упомянутого клиентского устройства. Конкретный метод введения Интернет-ПИН может определяться как выполнением клиентского устройства, так и иными соображениями (например, удобством эксплуатации или использованием новой версии протокола обмена данными, требованиями относительно уровня безопасности, и т.п.).
Полученную разность передают на терминал (этап 115).
В терминале осуществляют операцию «Исключающее ИЛИ» над полученной от клиентского устройства разностью и одноразовым паролем, т.е. выполняют побитовое сложение по модулю два этой разности и одноразового пароля, а полученный результат передают платежному приложению микропроцессорной карты для проверки (этап 117).
Таким образом, в настоящем изобретении каждый раз при осуществлении Интернет-транзакции даже для одной и той же микропроцессорной карты с платежным приложением используются одноразовые динамические пароли, что существенно повышает надежность верификации держателя такой микропроцессорной карты и снижает возможность мошенничества.
| название | год | авторы | номер документа |
|---|---|---|---|
| СПОСОБ ПЕРЕДАЧИ РАСШИРЕННОГО НАБОРА ДАННЫХ ОТ БЕСКОНТАКТНОГО ПЛАТЕЖНОГО УСТРОЙСТВА К ТЕРМИНАЛУ | 2017 |
|
RU2696885C2 |
| СПОСОБ ОРГАНИЗАЦИИ ЗАЩИЩЁННОГО ОБМЕНА СООБЩЕНИЯМИ | 2016 |
|
RU2636694C2 |
| СПОСОБЫ И СИСТЕМЫ ДЛЯ ОБРАБОТКИ ЭЛЕКТРОННЫХ ВЫПЛАТ | 2013 |
|
RU2647663C2 |
| СИСТЕМА ЭЛЕКТРОННЫХ ПЛАТЕЖЕЙ И СПОСОБ АВТОРИЗАЦИИ ПЛАТЕЖА | 2009 |
|
RU2520392C2 |
| СИСТЕМА УПРАВЛЕНИЯ POS-ТЕРМИНАЛЬНОЙ СЕТИ | 2017 |
|
RU2681372C1 |
| СПОСОБ И СИСТЕМА ЗАЩИТЫ ИНФОРМАЦИИ ОТ НЕСАНКЦИОНИРОВАННОГО ИСПОЛЬЗОВАНИЯ (ЕЕ ВАРИАНТЫ) | 2013 |
|
RU2560810C2 |
| ПЛАТЕЖНЫЙ ТЕРМИНАЛ С ИСПОЛЬЗОВАНИЕМ МОБИЛЬНОГО КОММУНИКАЦИОННОГО УСТРОЙСТВА, ТАКОГО КАК МОБИЛЬНЫЙ ТЕЛЕФОН, И СПОСОБ БЕЗНАЛИЧНЫХ ПЛАТЕЖЕЙ | 2010 |
|
RU2543935C2 |
| СПОСОБ И СИСТЕМА ОБЕСПЕЧЕНИЯ МОБИЛЬНОЙ БЕСКОНТАКТНОЙ ПОКУПКИ БИЛЕТОВ/ОБРАБОТКИ ПЛАТЕЖЕЙ ЧЕРЕЗ ПРИЛОЖЕНИЕ МОБИЛЬНОГО ТЕЛЕФОНА | 2013 |
|
RU2651179C2 |
| СИСТЕМА И СПОСОБ ОБЕСПЕЧЕНИЯ АУТЕНТИФИКАЦИИ ДЛЯ ТРАНЗАКЦИЙ БЕЗ НАЛИЧИЯ КАРТЫ С ИСПОЛЬЗОВАНИЕМ МОБИЛЬНОГО УСТРОЙСТВА | 2010 |
|
RU2556453C2 |
| СИСТЕМЫ И СПОСОБЫ ПРИВЯЗКИ УСТРОЙСТВ К СЧЕТАМ ПОЛЬЗОВАТЕЛЯ | 2015 |
|
RU2665869C2 |
Изобретение относится к способу верификации клиента держателя микропроцессорной карты с платежным приложением. Техническим результатом является повышение надежности верификации держателя карты. В способе: заранее снабжают клиентское устройство PC/SC ридером; в процессе транзакции загружают в клиентское устройство посредническую программу для взаимодействия между терминалом и платежным приложением; терминал запрашивает номер телефона клиента; PC/SC ридером считывают из платежного приложения с помощью посреднической программы запрошенный номер телефона и передают его терминалу; терминал генерирует и передает одноразовый пароль на клиентское устройство; вводят принятый одноразовый пароль на экранной форме клиентского устройства; находят с помощью платежного приложения разность между персональным идентификационным номером (ПИН), зафиксированным в отношении платежного приложения, и введенным одноразовым паролем, передают разность на терминал, на котором осуществляют побитовое сложение по модулю два указанной разности с одноразовым паролем и передают полученный результат платежному приложению микропроцессорной карты для проверки. 5 з.п. ф-лы, 1 ил.
1. Способ верификации клиента, являющегося держателем микропроцессорной карты с платежным приложением, при совершении Интернет-транзакции (клиента), проводимой через терминал с использованием клиентского устройства, выполненного с возможностью осуществлять обмен данными по сетям телефонной связи с упомянутым терминалом, заключающийся в том, что:
- заранее снабжают упомянутое клиентское устройство PC/SC ридером;
- в процессе осуществления упомянутой транзакции загружают в браузер упомянутого клиентского устройства посредническую программу для взаимодействия между упомянутыми терминалом и платежным приложением;
- запрашивают упомянутым терминалом номер телефона упомянутого клиента;
- считывают упомянутым PC/SC ридером из упомянутого платежного приложения с помощью упомянутой посреднической программы упомянутый номер телефона и передают его упомянутому терминалу;
- генерируют упомянутым терминалом одноразовый пароль и передают его в виде электронного сообщения на упомянутое клиентское устройство с использованием упомянутого номера телефона;
- вводят вручную принятый одноразовый пароль на соответствующей экранной форме упомянутого клиентского устройства;
- находят с помощью упомянутого платежного приложения разность между персональным идентификационным номером (ПИН), зафиксированным в отношении упомянутого платежного приложения, и введенным вручную упомянутым одноразовым паролем;
- передают упомянутую разность на упомянутый терминал;
- осуществляют на упомянутом терминале побитовое сложение по модулю два упомянутой разности с упомянутым одноразовым паролем и передают полученный результат упомянутому платежному приложению микропроцессорной карты для верификации держателя такой микропроцессорной карты.
2. Способ по п. 1, в котором упомянутый ПИН заранее заносят в упомянутое платежное приложение и для нахождения упомянутой разности ПИН считывают из платежного приложения.
3. Способ по п. 1, в котором упомянутый ПИН заранее заносят в упомянутое платежное приложение и для нахождения упомянутой разности упомянутый ПИН вводят вручную на соответствующей экранной форме упомянутого клиентского устройства.
4. Способ по п. 1, в котором упомянутое клиентское устройство представляет собой мобильный телефон.
5. Способ по п. 1, в котором упомянутое клиентское устройство представляет собой планшетный компьютер, который может осуществлять обмен данными с терминалом через телефонные сети.
6. Способ по п. 1, в котором упомянутое клиентское устройство представляет собой компьютер, используемый совместно с мобильным телефоном.
| СПОСОБ БЕЗОПАСНОГО ИСПОЛЬЗОВАНИЯ БАНКОВСКИХ КАРТ (ВАРИАНТЫ) | 2012 |
|
RU2530323C2 |
| Способ обработки целлюлозных материалов, с целью тонкого измельчения или переведения в коллоидальный раствор | 1923 |
|
SU2005A1 |
| СИСТЕМА И СПОСОБ НАДЕЖНОЙ ПРОВЕРКИ ДОСТОВЕРНОСТИ ТРАНЗАКЦИЙ | 2011 |
|
RU2580086C2 |
| Способ обработки целлюлозных материалов, с целью тонкого измельчения или переведения в коллоидальный раствор | 1923 |
|
SU2005A1 |
| СПОСОБЫ И СИСТЕМЫ ДЛЯ ФИНАНСОВЫХ ТРАНЗАКЦИЙ В СРЕДЕ МОБИЛЬНОЙ СВЯЗИ | 2006 |
|
RU2467501C2 |
