Вид РИД
Изобретение
Область техники, к которой относится изобретение
Данное изобретение относится в общем к методам осуществления транзакций, а в частности - к способу верификации клиента, являющегося держателем микропроцессорной карты с платежным приложением, при Интернет-транзакции.
Уровень техники
Осуществление верификации клиента (держателя карты) при осуществлении Интернет-транзакций может выполняться разными способами.
В патенте РФ №2530323 (опубл. 10.10.2014) описан способ безопасного использования банковских карт, в котором данные с карты вводятся на веб-странице поставщика товаров (услуг), инициирующего сеанс связи с телефоном пользователя, номер которого привязан к номеру карты.
В патенте США №7690027 (опубл. 30.03.2010) описан способ, в котором в SIM-картах заранее отпечатаны скрытые оболочки с кодами активации и ссылочные видимые коды. Все эти коды хранятся в сервере безопасности. Пользователю сообщают один ссылочный код в обмен на заполнение формы с персональными данными. При активации этот код вместе со своим кодом активации сохраняются вместе с идентификатором карты.
В патенте США №7693797 (опубл. 06.04.2010) описан способ, в котором провайдер использует общие секреты и начальные числа в коде хешированных машинных адресов с секретными ключами для генерирования списка маркеров аутентификации, содержащих имя пользователя и пароль, для продаж. Общие секреты и начальные числа распределяются также в местных устройствах для генерирования такого же списка. Пользователь получает от местного устройства маркер аутентификации и предъявляет его удаленному провайдеру.
Недостатком всех этих и иных аналогов является использование статического пароля (кода), что снижает надежность верификации клиента, поскольку статические пароли нужно хранить достаточно продолжительное время, в течение которого они могут стать доступны злоумышленнику.
Раскрытие изобретения
Задачей, на решение которой направлено настоящее изобретение, является повышение надежности верификации держателя микропроцессорной карты с платежным приложением (клиента).
Для решения этой задачи и достижения указанного технического результата в настоящем изобретении предложен способ верификации клиента, являющегося держателем микропроцессорной карты с платежным приложением при совершении Интернет-транзакции, проводимой через терминал с использованием клиентского устройства, которое может осуществлять обмен данными с терминалом через телефонные сети, заключающийся в том, что: заранее снабжают клиентское устройство PC/SC ридером; в процессе осуществления транзакции загружают в браузер клиентского устройства посредническую программу для взаимодействия между терминалом и платежным приложением; запрашивают терминалом номер телефона клиента; считывают PC/SC ридером из платежного приложения с помощью посреднической программы номер телефона и передают его терминалу; генерируют терминалом одноразовый пароль и передают его в виде электронного сообщения на номер телефона клиента; вводят вручную принятый одноразовый пароль на соответствующей экранной форме клиентского устройства; находят с помощью платежного приложения разность между персональным идентификационным номером (ПИН), зафиксированным в отношении платежного приложения, и введенным вручную одноразовым паролем, сгенерированным терминалом; передают вычисленную платежным приложением разность на упомянутый терминал; осуществляют на терминале побитовое сложение по модулю два переданной на него разности с одноразовым паролем и передают полученный результат платежному приложению для проверки.
Особенность способа по настоящему изобретению состоит в том, что при верификации могут считывать заранее занесенный в платежное приложение ПИН либо ПИН могут вводить вручную на соответствующей экранной форме клиентского устройства.
Другая особенность способа по настоящему изобретению состоит в том, что клиентское устройство может представлять собой мобильный телефон или планшетный компьютер, имеющие возможность обмена (приема и передачи) данными через телефонные сети, либо иной компьютер, используемый совместно с таким мобильным телефоном или планшетным компьютером.
Краткое описание чертежей
Настоящее изобретение иллюстрируется чертежом.
Подробное описание вариантов осуществления
Настоящее изобретение относится к методам выполнения безналичных транзакций с помощью платежных карт. Это могут быть как карты Национальной системы платежных карт (НСПК), так и любые иные карты, содержащие микросхему («чип»), имеющую в своем составе соединенные между собой процессор (микропроцессор), память и средства ввода-вывода (контактные или бесконтактные), как это известно специалистам. Транзакции осуществляются с использованием таких платежных карт, вводимых в так называемый PC/SC ридер (примеры таких устройств приведены на сайте http://www.smartcard-magic.net/en/pc-sc-reader/), соединенный с клиентским устройством, которое может осуществлять обмен данными с терминалом через телефонные сети - сети подвижной радиотелефонной связи (мобильная связь) или сети фиксированной телефонной связи (проводная связь). Таким клиентским устройством может быть как непосредственно мобильный телефон или планшетный компьютер, имеющий возможность передачи и приема данных через телефонные сети, так и соединенный с таким мобильным телефоном или планшетным компьютером иной компьютер или планшет, не имеющий самостоятельной возможности обмена данными через телефонные сети. Все эти устройства могут быть как уже существующими и известными специалистам, так и разрабатываемыми в будущем. Связь такого клиентского устройства осуществляется с терминалом, под которым в данном описании понимается внешний Интернет-шлюз, например, сервер поставщика товаров (услуг), сервер эмитента платежных карт, виртуальный POS-терминал и т.п. Подробности Интернет-транзакций с помощью платежных карт см., к примеру, на сайте http://www.gsconto.com/ru/wiki/show/payment-cards.
Способ верификации клиента при совершении Интернет-транзакции по настоящему изобретению включает в себя следующие этапы (чертеж).
Клиентское устройство заранее снабжают PC/SC ридером любого известного специалистам типа, позволяющим осуществлять Интернет-транзакции, к примеру Интернет-покупки (этап 101).
В процессе осуществления Интернет-транзакции (при ее инициализации или в ходе ее выполнения) в браузер клиентского устройства из терминала загружают посредническую программу для обеспечения взаимодействия между терминалом и платежным приложением микропроцессорной карты (этап 103).
Для верификации клиента из терминала направляют в клиентское устройство запрос (этап 105) на считывание номера телефона клиента.
По этому запросу PC/SC ридер считывает из платежного приложения микропроцессорной карты с помощью посреднической программы номер телефона и передает его на терминал (этап 107).
Чтобы не использовать статический Интернет-пароль платежного приложения микропроцессорной карты, терминал генерирует одноразовый пароль и передает его на номер телефона в виде электронного сообщения, например SMS-сообщения, push-уведомления, изображения или другого вида сообщения, разработанного в будущем (этап 109).
Клиент считывает одноразовый пароль с экрана клиентского устройства, например мобильного телефона, и вводит вручную принятый одноразовый пароль на соответствующей экранной форме клиентского устройства (этап 111).
Платежное приложение микропроцессорной карты находит разность между персональным идентификационным номером (ПИН), зафиксированным в отношении платежного приложения микропроцессорной карты (так называемым Интернет-ПИН), и введенным вручную одноразовым паролем (этап 113).
Следует отметить, что указанный Интернет-ПИН может быть заранее занесен в платежное приложение, и для нахождения разности его могут считывать из платежного приложения либо Интернет-ПИН может быть заранее занесен в платежное приложение, и для нахождения разности он должен быть введен вручную на соответствующей экранной форме упомянутого клиентского устройства. Конкретный метод введения Интернет-ПИН может определяться как выполнением клиентского устройства, так и иными соображениями (например, удобством эксплуатации или использованием новой версии протокола обмена данными, требованиями относительно уровня безопасности, и т.п.).
Полученную разность передают на терминал (этап 115).
В терминале осуществляют операцию «Исключающее ИЛИ» над полученной от клиентского устройства разностью и одноразовым паролем, т.е. выполняют побитовое сложение по модулю два этой разности и одноразового пароля, а полученный результат передают платежному приложению микропроцессорной карты для проверки (этап 117).
Таким образом, в настоящем изобретении каждый раз при осуществлении Интернет-транзакции даже для одной и той же микропроцессорной карты с платежным приложением используются одноразовые динамические пароли, что существенно повышает надежность верификации держателя такой микропроцессорной карты и снижает возможность мошенничества.