RU2263348C2

RU2263348C2 - Система идентификации для удостоверения подлинности электронных сделок и электронных передач без использования идентификационных карточек

Info

Publication number: RU2263348C2
Application number: RU97120714/09A
Authority: RU
Inventors: Нед ХОФФМАН (US); Нед ХОФФМАН; Дэвид Ф. ПЭА (US); Дэвид Ф. ПЭА; Джонатан А. ЛИ (US); Джонатан А. ЛИ
Original assignee: Индивос Корпорэйшн
Priority date: 1995-05-17
Filing date: 1996-05-17
Publication date: 2005-10-27
Also published as: JPH11511882A; EP0912959A4; CN1542680A; CN1191027A; JP2007293878A; AU5922696A; EP0912959A1; MX9708871A; JP4097040B2; WO1996036934A1; HK1069655A1; CN1320491C; US5838812A; CA2221321A1; JP2010097620A; PT912959E; DK0912959T3; EP0912959B1; JP2006146945A; DE69630713D1

Abstract

Изобретение относится к системе добровольной идентификации для установления подлинности личности пользователя и способу быстрого поиска по меньшей мере одной первой ранее запомненной выборки биометрических данных от пользователя. Техническим результатом является повышение защиты информации от несанкционированного доступа путем идентификации пользователя без применения идентификационных карточек. Система содержит по меньшей мере один компьютер, средства сбора данных для добровольного ввода пользователем по меньшей мере одной зарегистрированной выборки биометрических данных и зарегистрированного персонального идентификационного кода, средства межсоединений для взаимных соединений указанных средств сбора с компьютером, средство для хранения множества зарегистрированных выборок биометрических данных, средство для связывания поднабора сохраненных выборок биометрических данных с зарегистрированным персональным идентификационным кодом. 2 н. и 17 з.п. ф-лы, 22 ил.

Description

Предпосылки изобретения

Идентификационные карточки и кредитные карточки широко распространены в современном финансовом мире. Идентификационной карточкой может быть любой неодушевленный объект, который идентифицирует индивидуальное лице, представляющее этот объект. С использованием идентификационных (пластиковых) карточек обеспечивается дистанционный доступ к любым финансовым счетам. Независимо от того, осуществляется ли покупка бакалейных товаров с предъявлением платежных (дебетовых) карточек, или потребительских товаров посредством кредитных карточек, основным звеном такой сделки является перенос денежных средств, обеспечиваемый такой идентификационной карточкой, которая предназначена для идентификации индивидуального лица и финансового счета, к которому он стремится получить доступ.

Причина перехода от металлических монет к пластиковым карточкам проста и очевидна: доступ к денежным средствам в данной системе перевода денежных средств становится более надежным и более удобным как для продавцов, так и для потребителей, по сравнению с манипулированием большим количеством монет и банкнот.

К сожалению, современная технология, связанная с такой удобной системой перевода денег, основанной на использовании идентификационных карточек, приводит к получению в результате системы, которая уязвима для краж и мошенничества.

Так как проверка подлинности пользователя основывается только на данных, нанесенных на идентификационную карточку, которые могут легко воспроизводиться и передаваться между индивидуальными лицами, то защита этих данных должна основываться только на внимательном отношении и везении правомочного пользователя и продавца, в целях сохранения этой информации в качестве личной собственности. Однако по своей природе такие идентификационные карточки не имеют надежной связи с соответствующим индивидуальным владельцем. Идентификация правомочного владельца посредством идентификационной карточки в лучшем случае весьма слаба. Это легко демонстрируется тем фактом, что индивидуальные лица, иные, чем правомочные владельцы идентификационных карточек, используют такие карточки, обманывая продавцов и других поставщиков потребительских товаров.

Гигантское развитие индустрии кредитования потребителей в течение 1980-х годов принесло огромные прибыли для эмитентов и новообретенные удобства для потребителей. Однако по мере того, как потребительский кредит становится все более доступным для получения потребителями, в то же время он становится целью для криминальных элементов. Во многом подобно тому как в конце 1920-х, начале 1930-х годов мобильность автомобиля привела к серии грабежей банков, так и повсеместное распространение потребительского кредита привело к громадному росту возможностей для криминальных элементов.

Первоначально банковская индустрия предполагала допускать определенный объем потерь, обусловленных мошенничеством, перенося соответствующие расходы на потребителя. Однако по мере того, как криминальные элементы стали все более организованными, более технически оснащенными, и в условиях, когда пункты кредитования стали обслуживаться лицами, слабо обученными в области защиты кредитных карточек, скорость увеличения потерь из-за мошенничества стала стремительно возрастать. Ошеломляющая статистика мошенничеств и затрат на превентивные мероприятия вынудила компании, выпускающие кредитные карточки, к поиску других решений данной проблемы.

Потери вследствие мошенничества в индустрии кредитных карточек обусловлены различными причинами, ввиду весьма высокой уязвимости системы, но главными из них являются потери, кражи и подделка карточек. Кредитные карточки работают без использования персонального идентификационного кода (ПИК), поэтому потерянная кредитная карточка может возвратиться в денежный оборот при ее попадании в нечестные руки. Хотя кражи идентификационных карточек составляют основную долю мошенничеств в системе, однако использование поддельных кредитных карточек принимает все большие масштабы. Фальшивые кредитные карточки изготавливаются технически оснащенными криминальными структурами путем добывания истинного номера счета действительного держателя карточки и затем изготовления фальшивых карточек, использующих этот действительный номер. Изготовитель фальшивых карточек кодирует магнитную полоску и формует фальшивую пластиковую карточку с указанным номером счета. Такая карточка предоставляется продавцам и оплачивается со счета правомочного владельца карточки. Другой вариант потерь обусловлен действиями криминальных торговцев, которые тайным образом достают номер счета владельца карточки. Еще один вид мошенничества связан с поведением правомочного владельца карточки, когда идентификационная карточка используется для осуществления покупок и после этого делается заявление о потере или краже идентификационной карточки. По оценкам, потери от всех видов мошенничества превысили 950 долларов США ежегодно.

В общем случае дебетовые (платежные) карточки используются во взаимосвязи с персональным идентификационным кодом (ПИК). Подделка платежных карточек более затруднительна, поскольку криминальные элементы должны узнать не только номер счета, но и ПИК, и затем изготовить карточку, как в случае с кредитными карточками. Однако используются различные стратегии получения ПИК от неосмотрительных владельцев карточек, в том числе с использованием регистрации ПИК в автоматических кассовых машинах в торговых центрах, которые выдают наличные и регистрируют ПИК, в торговых точках, а также путем скрытного наблюдения за владельцами карточек при вводе ими ПИК в автоматические кассовые машины. Изготовленные фальшивые платежные карточки затем используются в различных автоматических кассовых машинах до тех пор, пока соответствующий счет не будет полностью опустошен.

Финансовая индустрия, ввиду известных тенденций роста мошенничества и связанных с этим потерь, постоянно предпринимает шаги по улучшению защиты карточек. Но в связи с этим кражи и мошенничества с идентификационными карточками имеют косвенное влияние на стоимость системы.

Формы карточек изготавливаются в условиях строгой секретности. Затем они индивидуализируются с применением номера счета, даты истечения срока действия, затем пересылаются к владельцу карточки. Изготовление и распределение карточек стоит примерно один миллиард долларов ежегодно. Стоимость стандартной карточки для финансовой промышленности составляет 2 доллара, однако только 0,30 доллара из этой стоимости связано с действительными затратами на изготовление.

В течение последних десяти лет промышленность изменила идентификационные карточки ввиду мошенничества, связанного с подделками, однако без внесения фундаментальных изменений в использование системы кредитных сделок. Принятая мера в значительной степени связана с административными изменениями, состоящими в том, что потребители должны обращаться к эмитенту для активизации их карточки. Другие изменения включали дополнительное введение голограммы, идентификационного изображения или собственноручной подписи. Эти типы изменений, в частности, являются показателем того, что уязвимость систем по отношению к мошенничеству обусловлена недостаточностью истинной идентификации индивидуального лица.

По оценкам, это привело бы к удвоению стоимости изготовления до двух миллиардов долларов ежегодно.

В ближайшем будущем банковская индустрия ожидает перехода к еще более дорогостоящим карточкам, называемым «интеллектуальными карточками». Интеллектуальные карточки включают в себя такое количество вычислительных ресурсов, которое сравнимо с первыми домашними компьютерами. Современные оценки стоимости интеллектуальных карточек первого поколения составляют примерно 3,5 доллара, не включая затраты на распространение, что существенно выше, чем вышеуказанная стоимость 0,3 доллара для формы пластиковой карточки.

Этот значительный рост стоимости вынудил промышленность искать новые пути использования ресурса интеллектуальной карточки в дополнение к простому подтверждению подлинности. Предполагается, что в дополнение к запоминанию номеров кредита и дебиторского счета, интеллектуальные карточки могут также хранить номера телефонов, купоны, полученные от магазинов, архивные данные сделок, электронные деньги, которые могут быть использованы в городских тюрьмах и в системах общественного транспорта, а также имя потребителя, его основные статистические данные и, возможно, медицинские записи. Ясно, что тенденцией для финансовой промышленности является дальнейшее использование идентификационных карточек.

Побочным эффектом увеличения возможностей интеллектуальной карточки является централизация функций. Оборотной стороной такой увеличенной функциональности является увеличение уязвимости. При условии, что определенное число функций должно выполняться интеллектуальной карточкой, потеря или повреждение такой интеллектуальной карточки вызовут крайние неудобства для владельца карточки. Лишенный такой карточки, ее владелец будет несостоятельным в финансовом отношении до замены карточки. Кроме того, потеря карточки, полной электронных денег, также будет означать существенную финансовую потерю. И наконец, способности мошенников по копированию интеллектуальной карточки также не стоит сбрасывать со счета.

К сожалению, ввиду предполагаемой концентрации функций на интеллектуальной карточке, владелец карточки становится более уязвимым в случае потери и повреждения такой карточки. Таким образом, после вложения огромных сумм денег, полученная в результате система будет более защищенной, но вместе с тем будет угрожать все более тяжелыми последствиями из-за потери или повреждения такой карточки для потребителя.

Финансовая промышленность признает вопросы надежности и защищенности, связанные с интеллектуальными карточками, и в настоящее время усилия направляются на создание пластиковых карточек, которые все более трудно подделать. Миллиарды долларов будут затрачены в следующие пять лет на попытки сделать пластиковые карточки более защищенными. До настоящего времени финансовая индустрия должна сбалансировать решение следующей проблемы: для снижения возможностей мошенничества стоимость карточек должна быть увеличена.

Помимо широкого распространения электронных финансовых сделок, в настоящее время широко используются электронная факсимильная почта, электронная почта и другие виды электронных коммуникаций. Аналогично проблеме недостаточности надежной идентификации индивидуальных лиц при совершении финансовых сделок, существует проблема недостаточности надежной идентификации индивидуальных лиц при осуществлении электронной передачи данных. Простота и скорость электронных коммуникаций, их низкая стоимость по сравнению с обычной почтой, привели к тому, что электронные коммуникации выбраны в качестве средства связи как между индивидуальными лицами, так и в коммерческой деятельности. Данный тип коммуникаций получил широкое распространение и будет продолжать расширяться. Однако миллионы электронных сообщений, таких как сообщения факсимильной связи и электронной почты передаются без предоставления сведений о том, прибыли ли они в место назначения, или о том, действительно ли определенное лицо передало или приняло сообщение. Кроме того, не известен способ проверки идентичности лица, передавшего или принявшего электронное сообщение.

В последнее время делались многочисленные попытки преодолеть проблемы, присущие идентификационным карточкам и системам, использующим секретные коды. Главное внимание уделялось шифрованию, диверсификации или иному модифицированию ПИК для того, чтобы снизить возможность несанкционированному пользователю выполнить более одной сделки, в основном за счет манипулирования с ПИК для повышения устойчивости кода к возможным злоупотреблениям. Было предложено множество подходов, например введение алгоритма, который изменяет ПИК прогнозируемым образом, известным только пользователю, тем самым требуя различающегося ПИК-кода для каждого последовательного доступа к счету. Например, ПИК-код может изменяться в соответствии с календарным днем или датой попытки доступа. В еще одном подходе изменяющийся во времени элемент вводился для того, чтобы обеспечить генерирование непредсказуемого ПИК, который известен только санкционированному пользователю в момент доступа. Хотя и более устойчивые к злоупотреблениям по сравнению с системами, использующими неизменные коды, такие системы не являются полностью защищенными от злоупотреблений, поскольку по-прежнему основываются на данных, которые не являются уникальными и не воспроизводятся персонально санкционированным пользователем. Кроме того, такие системы имеют определенные неудобства для пользователя, который и так имел затруднения, связанные с необходимостью запоминания постоянных кодов, не говоря уже о переменных. Примеры таких методов раскрыты в патентах США №4837422, 4998279, 5168520, 5251259, 5239538, 5276314, 5343529.

В последнее время внимание было перенесено с использования персональных идентификационных кодов на использование уникальных биометрических данных как основы для проверки подлинности идентификации, а также обеспечения доступа к компьютерам. При таком подходе биометрические данные, удостоверяющие подлинность, регистрируются для конкретного пользователя и запоминаются для будущего обращения на идентификационной карточке. При каждой последующей попытке доступа от пользователя требуется физически ввести требуемые биометрические данные, которые сравниваются с биометрическими данными, удостоверяющими подлинность, на идентификационной карточке, для определения из совпадения для подтверждения идентичности пользователя. Поскольку биометрические данные являются уникальными для пользователя и поскольку действие физического ввода биометрических данных очевидным образом невоспроизводимо, это снижает риск мошенничества. Предлагалось использовать различные биометрические данные, в том числе, отпечатки пальцев, отпечатки руки, запись голоса, изображения сетчатки, образцы почерка и т.п. Однако, поскольку биометрические данные принципиально запоминаются в электронной, а следовательно, воспроизводимой форме на идентификационной карточке, и поскольку процедуры сравнения и идентификации не изолированы от аппаратных средств и программного обеспечения, непосредственно используемых при индивидуальных попытках доступа, то по-прежнему существует значительный риск неправомочного доступа. Примеры таких систем описаны в патентах США №4821118, 4993068, 4995086, 5054089, 5095194. 5109427, 5109428, 5144680, 5146102, 5180901, 5210588, 5210797, 5222152, 5230025, 5241606, 5265162, 5321242, 5325442, 5351303.

Как следует из вышеописанного, существует динамическая, но неизбежная тенденция к созданию системы защиты, которая будет в значительной степени устойчива по отношению к возможным злоупотреблениям, и тем не менее будет простой и удобной для пользования потребителем. К сожалению, ни одно из вышеупомянутых усовершенствований идентификационных карточек и кодовых систем не решает адекватным образом эту проблему. Такие системы в общем случае хранят биометрические данные в электронной форме непосредственно на идентификационной карточке, которую можно скопировать. Кроме того, такие системы не изолируют в должной мере процедуру подтверждения идентичности личности от подделки лицами, стремящимися получить несанкционированный доступ.

Пример системы защиты с идентификационными карточками, основанной на биометрических данных пользователя, раскрыт в патенте США №5280527. В этой системе пользователь должен иметь и предоставлять идентификационную карточку, выполненную по форме кредитной карточки (так называемое биометрическое устройство защиты), содержащей микросхему, в которой записаны характеристики голоса санкционированного пользователя. Для инициирования процедуры доступа пользователь должен ввести идентификационную карточку в терминал, например, автоматическую кассовую машину, и затем произносить слова в терминал для обеспечения сравнения введенных биометрических данных с данными, подтверждающими подлинность, запомненными на микросхеме в представленной идентификационной карточке. Процедура проверки идентичности в общем случае не изолирована от возможных подделок со стороны лиц, стремящихся получить несанкционированный доступ. При совпадении сравниваемых данных удаленный терминал может затем сигнализировать главному компьютеру о разрешении доступа или может выдать приглашение пользователю ввести дополнительный код, например ПИК, также запомненный на идентификационной карточке, прежде чем посылать необходимый сигнал подтверждения подлинности главному компьютеру.

Хотя в системе по патенту США №4280527 использование сравнения запомненных и введенных биометрических данных потенциально сокращает риск несанкционированного доступа, по сравнению с использованием числовых кодов, предусмотренное в данном патенте использование идентификационной карточки в качестве места для хранения данных удостоверения подлинности, а также указанное отсутствие изолированности процедуры проверки подлинности от возможности подделок, существенно снижает любые улучшения в защищенности от мошенничества, достигнутые за счет замены числового кода биометрическими данными. Кроме того, система по-прежнему остается сложной и неудобной для пользователя, поскольку требует представления идентификационной карточки для инициирования запроса доступа.

Практически во всех патентах, раскрывающих системы, основанные на использовании идентификационных карточек, не предусматривается распознавание на основе биометрических данных без использования идентификационных карточек. В качестве причин такого подхода указываются различные факторы, начиная от требований к памяти для системы с распознаванием на основе биометрических данных и до существенных затрат времени на идентификацию большого числа индивидуальных персон, даже при использовании высокопроизводительных компьютеров.

Ввиду вышеизложенного, уже давно существует потребность в системе компьютерного доступа, которая отличалась бы высокой устойчивостью по отношению к различного рода злоупотреблениям, была практичной и эффективной для пользователя в обращении и обеспечивала быстрое выполнение электронных сделок и передач данных.

Также существует потребность в компьютерной системе, которая не использует идентификационных карточек и которая способна осуществлять подтверждение идентификации личности пользователя, основываясь только на персональном идентификационном коде и биометрических данных, являющихся уникальными и физически персонализирующими правомочного пользователя, в противоположность подтверждению обладания конкретным лицом каким-либо физическим объектом, который может свободно передаваться от одного лица к другому. Для таких биометрических данных характерным должна быть простота и отсутствие вмешательства в их получение, они должны быть экономичными и эффективными с точки зрения их хранения и анализа и не должны незаконно нарушать права пользователя на конфиденциальность.

Еще одной потребностью при создании системы компьютерного доступа является удобство для пользователя. Для потребителя в высшей степени желательным является обеспечение доступа в любое время, при возникновении неожиданных потребностей, при минимуме усилий. В частности, желательна была бы система, которая в значительной степени сокращает или исключает потребность в запоминании номеров или сложных кодов и которая исключает необходимость наличия, ношения при себе и представления собственного объекта для инициирования запроса доступа.

Такая система должна быть простой в эксплуатации, точной и надежной. Также существует потребность в системе компьютерного доступа, которая может позволить пользователю получить доступ к множеству счетов и обеспечить все услуги, которые должны предоставляться пользователю, а также выполнять транзакции для конкретных финансовых счетов и между счетами, обеспечивая оплату покупок, получение различного рода услуг и т.п.

Кроме того, существует потребность в системе компьютерного доступа, которая предоставляет правомочному пользователю возможность сигнализировать соответствующим службам, что третья сторона принуждает его осуществлять запрос доступа, чтобы при этом третья сторона не подозревала о такой сигнализации. А также имеется необходимость в системе, которая обеспечивала бы, не информируя об этом третью сторону, временное ограничение типов и объемов сделок, которые могут осуществляться при предоставлении доступа.

Кроме того, компьютерная система должна быть приспосабливаемой и достаточно гибкой, чтобы быть совместимой с существующими сетями, использующими самые разнообразные устройства электронных сделок и электронных передач и имеющими разнообразные системные конфигурации.

И наконец, существует потребность в обеспечении защищенной передаче и приеме сообщений электронной почты и электронной факсимильной связи, причем содержимое электронного сообщения должно быть защищено от раскрытия неправомочными лицами, при обеспечении идентификации отправителя и получателя с высокой степенью определенности.

Сущность изобретения

Настоящее изобретение удовлетворяет все эти потребности путем создания усовершенствованной системы идентификации для определения идентичности индивидуального лица из сравнения выборок биометрических данных этого лица и персонального идентификационного кода, собираемых на этапе запроса данных, с выборкой биометрических данных и персональным идентификационным кодом для данного лица, собранными на этапе регистрации данных и хранящимися в удаленном месте, имеющем центр обработки данных. Изобретение включает главную компьютерную систему компьютерной сети со средствами для сравнения введенной выборки биометрических данных и персонального идентификационного кода, оснащенную различными базами данных и модулями памяти. Кроме того, изобретение включает устройство ввода персонального идентификационного кода и терминалы для ввода данных для обеспечения информации, необходимой для выполнения запрошенных сделок и передач главной компьютерной системой, как только идентичность пользователя определена. Изобретение также предусматривает средства для соединения главной компьютерной системы с терминалом и с устройством ввода биометрических данных.

Компьютер также имеет средства для выполнения различных сделок и передач в дополнение к традиционным функциям хранения и модифицирования данных. Кроме того, компьютер может выдавать оценку сравнения биометрических данных и ПИК и определение идентификационной оценки или статус выполнения осуществляемых сделок или передач. Кроме того, компьютерная система уведомляет и подтверждает подлинность идентифицируемого лица, сообщая, что доступ к компьютерной системе имеет место, путем возврата данному лицу личного кода, который был ранее выбран данным лицом на этапе регистрации данных.

Предпочтительно, компьютерная система защищена от перехвата, электронного вмешательства и вирусов. Кроме того, устройства, используемые компьютером для сбора выборок биометрических данных и персональных идентификационных кодов должны содержать: а) по меньшей мере, одно устройство ввода для сбора выборок биометрических данных, которое должно содержать аппаратные средства и программное обеспечение; b) по меньшей мере, одно терминальное устройство, которое функционально частично или полностью интегрировано со средством ввода биометрических данных, для ввода дополнительной информации; с) по меньшей мере, одно устройство ввода данных для ввода персонального идентификационного кода, причем это устройство ввода данных встроено либо в устройство ввода биометрических данных, либо в терминальное устройство: и d) средство для соединения устройства ввода биометрических данных, устройства ввода дополнительных данных и терминала. Терминальное устройство имеет, по меньшей мере, одно устройство отображения для отображения данных и информации. Для дополнительной защиты компьютерная система уникальным образом идентифицирует устройство ввода биометрических данных и другую сторону или продавца с помощью соответствующего идентификационного кода другой стороны или продавца, относительно терминала, который соединен с устройством ввода биометрических данных. Также предпочтительно, что устройство ввода биометрических данных защищено от физического или электронного вмешательства, и что в случае физического взлома устройства используются средства, предназначенные для физического и/или электронного разрушения компонентов в устройстве и/или стирания критически важных данных из модулей памяти устройства.

Кроме того, устройство ввода биометрических данных должно содержать компонент аппаратных средств, включающий в себя: а) по меньшей мере, один вычислительный модуль для обработки данных; b) модули стираемой и нестираемой памяти для хранения данных и программ; с) устройство сканирования биометрических данных для ввода биометрических данных; d) устройство ввода данных для ввода данных; е) цифровой коммуникационный порт; f) устройство для предотвращения электронного перехвата.

Для того чтобы защитить целостность и сохранить конфиденциальность электронных данных, пересылаемых между устройством ввода биометрических данных, предпочтительно, чтобы данные были зашифрованы и упакованы.

Сеть главного компьютера подсоединена и обеспечивает коммуникации с другими независимыми компьютерными системами, базами данных, факсимильными аппаратами и другими компьютерными сетями с помощью обычных средств.

Способ, соответствующий настоящему изобретению, включает добровольную идентификацию индивидуального лица без использования каких-либо идентификационных карточек, посредством анализа, по меньшей мере, одной выборки биометрических данных, предоставляемой данным лицом, и персонального идентификационного кода, также предоставляемого этим лицом. На этапе регистрации данных данное лицо регистрирует в системе выборку биометрических данных для подтверждения его подлинности, персональный идентификационный код и личный код. Затем на этапе запроса данных выборка биометрических данных и персональный идентификационный код индивидуального лица принимаются и сравниваются с зарегистрированными на этапе регистрации данных. Совпадение персональных идентификационных кодов и выборки биометрических данных приведет к положительной идентификации данного лица. Для того чтобы подтвердить идентифицированному лицу, что к реальной компьютерной системе получен доступ, личный код этого лица, который был зарегистрирован на этапе регистрации данных, возвращается к нему.

Предпочтительно, что способ, соответствующий изобретению, включает процедуру анализа выборок биометрических данных на этапе регистрации данных и сравнение таких биометрических данных с набором выборок биометрических данных от индивидуальных лиц, которые были указаны как осуществившие ранее попытку совершения преступления или реально совершившие мошеннические действия в отношении системы.

В предпочтительном варианте изобретение включает способ уведомления уполномоченных служб о наличии обстоятельств, не терпящих отлагательства, или о том, что правомочный пользователь находится под угрозой насилия.

Также предпочтительно, что используется способ шифрования и упаковки данных для обеспечения защиты данных, включая цифровые выборки биометрических данных, от случайного или непреднамеренного обнаружения их криминальными элементами при передаче.

Также предпочтительно, что способ включает этапы выбора индивидуальным лицом различных финансовых счетов и выбора различных режимов электронных передач.

Кроме того, предпочтительно, что способ включает в себя способ архивирования данных и электронных передач и вызова архивированных данных с использованием кода отслеживания.

Также предпочтительно, что для любого документа, например факсимильного сообщения или сообщения электронной почты, вычисляется контрольная сумма с использованием алгоритма для последующей идентификации данного документа.

И еще один способ, соответствующий изобретению, обеспечивает быструю идентификацию индивидуального лица на основе анализа его биометрических данных и персонального идентификационного кода путем хранения различных отличающихся выборок биометрических данных от различных индивидуальных лиц в одном электронном контейнере, который идентифицирован одним персональным идентификационным кодом.

В одном из вариантов изобретения компьютерная система может обеспечить индивидуальным лицам возможность выбирать их собственный персональный идентификационный код (ПИК) из группы ПИК, выбранной дистанционным центром обработки данных. Это выполняется способом, при котором после того как биометрические данные индивидуальных лиц собраны, центр обработки данных выбирает различные ПИК случайным образом для направления на запоминание. Затем центр обработки данных осуществляет сравнение собранных биометрических данных с теми, которые уже находятся в упомянутых контейнерах или группах. В случае, если биометрические данные вновь регистрируемого лица сходны с ранее зарегистрированными биометрическими данными, которые были отнесены к одной из этих случайным образом выбранных групп ПИК, то данный ПИК режектируется базой данных для использования новым индивидуальным лицом, и альтернативный ПИК выбирается для другого такого сравнения биометрических данных. Поскольку центр обработки данных генерирует различные варианты ПИК без ошибочного смешивания со сходными биометрическими данными, то эти ПИК предоставляются вновь регистрирующемуся лицу, из которых оно может выбрать конкретный ПИК.

В одном из вариантов изобретения заявлен способ быстрого поиска, по меньшей мере, одного ранее запомненной выборки биометрических данных от первого лица, с использованием контейнера персонального идентификационного кода (ПИК), который может содержать, по меньшей мере, одну алгоритмически уникальную вторую выборку биометрических данных от, по меньшей мере, одного второго лица, и который идентифицируется указанным ПИК, причем способ включает, во-первых, этап запоминания данных и дополнительно включает:

а)выбор личного кода первым лицом; b) выбор ПИК первым лицом; с) ввод выборки биометрических данных от первого лица; d) определение местоположения контейнера ПИК, идентифицированной посредством ПИК, выбранного первым лицом;

е) сравнение выборки биометрических данных, принятой от первого лица, с ранее запомненными выборками биометрических данных в контейнере выбранного ПИК для того, чтобы удостовериться, что выборка биометрических данных, введенная упомянутым первым лицом, алгоритмически уникальна относительно ранее запомненной, по меньшей мере, одной выборки биометрических данных, предоставленной, по меньшей мере, одним вторым лицом; и f) запоминание введенной выборки биометрических данных от первого лица в контейнере выбранного ПИК, если упомянутая выборка алгоритмически уникальна относительно ранее запомненной, по меньшей мере, одной выборки биометрических данных, предоставленной, по меньшей мере, одним вторым лицом. Также имеется этап запроса данных, дополнительно содержащий: а) ввод выбранного ПИК первым лицом; и b) ввод выборки биометрических данных первым лицом. При этом этап сравнения данных включает: а) нахождение контейнера ПИК, который идентифицирована посредством упомянутого ПИК, введенного первым лицом; и b) сравнение введенной выборки биометрических данных от первого лица, с упомянутой, по меньшей мере, одной запомненной выборкой биометрических данных от упомянутого, по меньшей мере, одного второго лица в контейнере выбранного ПИК для формирования результата успешной или безуспешной идентификации. Также имеется а) этап выполнения, на котором команда обрабатывается и выполняется для формирования определения; b) этап вывода, на котором результат идентификации или упомянутого определения воплощается в конкретную форму и отображается; и с) этап представления, на котором при успешной идентификации первого лица упомянутый личный код представляется этому первому лицу.

В соответствии с одним из вариантов изобретения главная компьютерная система помещается последовательно между идентифицируемыми индивидуальными лицами и другими компьютерными сетями, к которым должен быть обеспечен доступ, и действует в качестве интерфейса. Следует иметь в виду, что в этом варианте пользователь делает запрос о доступе непосредственно в главную компьютерную систему, соответствующую изобретению, которая взаимодействует в интерактивном режиме с другими независимыми защищенными компьютерными системами, такими как VISANET. Компьютерная система должна поэтому поддерживать подтвержденные как подлинные выборки биометрических данных для все правомочных пользователей каждой защищенной компьютерной системы, которую она обслуживает. Эти данные используются как перекрестные ссылки каждым правомочным пользователем. Таким образом, после того как проверка идентичности завершена, система защиты предоставляет пользователю перечень систем, в которые он правомочен получать доступ, и приглашает пользователя выбрать желательную сеть. После этого запрашиваемый этап выполнения и информация, относящаяся к сделке, направляется в выбранную независимую компьютерную сеть, аналогично тому типу коммуникаций, которые в настоящее время осуществляются между продавцами и компаниями, выпускающими кредитные карточки.

Во втором варианте главная компьютерная система может также выполнять функции других независимых компьютерных систем, такие как дебитование или кредитование финансового счета. В этой системе компьютерная система, соответствующая изобретению, выполняет функции, запрашиваемые индивидуальным лицом, без использования внешних независимых компьютерных сетей.

Согласно еще одному варианту изобретения, предусмотрено средство для сигнализации предварительно назначенным полномочным органам о том, что в процессе попытки доступа пользователь принуждается третьей стороной осуществить запрос доступа к главной компьютерной системе. В данном варианте правомочный пользователь будет иметь ряд кодов, большинство из которых должны распознаваться компьютерной системой как стандартные коды доступа, и другие коды, которые должны распознаваться как коды аварийной ситуации. Средство сравнения компьютерной системы, соответствующей изобретению, должно быть выполнено с возможностью приема и распознавания, по меньшей мере, одного кода на правомочного пользователя и приведения в действие средств сигнализации об аварийной ситуации всякий раз, когда код, введенный пользователем совпадает с кодом аварийной ситуации. В то же время определение санкционированной идентичности для пользователя должно приводить к тому, что пользователю предоставляется доступ к запрошенной защищенной компьютерной системе, возможно, на уровне доступа, который был предварительно определен с ограничениями, или приводить в результате к отображению отсутствующих данных («ложный экран»), тем самым препятствуя принуждающей пользователя третьей стороне обнаружить, что пользователем было введено уведомление об аварийной ситуации. Код аварийной ситуации должен вводиться как часть ПИК или одновременно с ним, или путем выбора индекса аварийного счета при попытке доступа к компьютерной системе. В любом случае состояние пользователя, запрашивающего доступ, может оказаться под угрозой, если принуждающая третья сторона обнаружит, что пользователь пытался уведомить полномочные органы. Таим образом, принципиально важным является, чтобы процедура доступа продолжалась непрерывно и доступ гарантировался для правомочного пользователя так, чтобы принуждающая сторона считала, что все происходит в обычном режиме. Хотя данные признаки могут быть введены в компьютерную сеть главного компьютера, соответственно изобретению, однако также возможно, что независимая компьютерная сеть может выполнять те же или модифицированные варианты вышеописанных признаков.

Настоящее изобретение имеет ряд преимуществ по сравнению с предшествующим уровнем техники. Во-первых, оно чрезвычайно просто и эффективно для пользователя, особенно что касается доступа пользователя к финансовым счетам, так как пользователю не требуется носить при себе и представлять идентификационные карточки для получения доступа к счетам. Настоящее изобретение исключает все неудобства, связанные с необходимостью ношения, сохранения и отыскания требуемых идентификационных карточек. Кроме того, поскольку идентификационные карточки обычно являются специфическими для конкретной компьютерной системы и дополнительно требуют запоминания секретного кода, связанного с конкретной идентификационной карточкой, изобретение исключает все такие идентификационные карточки и существенно сокращает объем запоминаемой потребителями информации, требуемой для получения доступа ко всем активам, при использовании только одного персонального идентификационного кода. Таким образом, в единственной, не требующей использования идентификационной карточки, транзакции потребитель может эффективно и надежно осуществлять любые коммерческие сделки или направлять электронные сообщения, от снятия наличных с банковского счета до подтверждения своего согласия на сроки по контракту, осуществления покупок непосредственно по телевизору или уплаты местных налогов на имущество. Потребителю, посредством настоящего изобретения, дается уникальная возможность удобным образом осуществлять свои персональные и/или профессиональные электронные сделки и направлять электронные сообщения в любое время, независимо от идентификационных карточек, которые могли бы быть украдены, потеряны или повреждены.

Изобретение имеет существенные преимущества в аспекте удобства для розничных торговцев и финансовых компаний, обеспечивая возможность осуществления покупок и других финансовых сделок с меньшей сложностью и по мере необходимости. Существенно сокращается канцелярская работа с оформлением финансовых сделок по сравнению с нынешними системами, как, например, при покупках по кредитной карточке, при которых отдельные квитанции генерируются для использования компанией, выпускающей кредитные карточки, продавцом и покупателем. Такие электронные сделки также экономят время и денежные средства, затрачиваемые продавцом и банками, за счет сокращения операционных расходов. Поскольку система, соответствующая изобретению, спроектирована для обеспечения пользователю прямого доступа ко всем его финансовым счетам, то потребность в сделках, связанных с деньгами, чеками, коммерческими документами и т.п., существенно сокращается, тем самым сокращая расходы на оборудование и персонал, требуемые для сбора данных и расчетов по таким сделкам. Кроме того, исключаются расходы на изготовление и распространение, связанные с эмиссией и реэмиссией кредитных карточек, карточек автоматических кассовых машин (АКМ), карточек вызова и т.п., что обеспечивает дополнительную экономию для продавцов, банков и, в конечном счете, для покупателей. Действительно, система, соответствующая изобретению, будет способствовать экономическому росту, поскольку все электронные финансовые ресурсы потребителя будут предоставляться для использования простым вводом, например, отпечатка его пальца или иных биометрических данных.

Изобретение имеет существенные преимущества по сравнению с существующими системами и в аспекте защиты от мошенничества. Как указывалось выше, современные компьютерные системы ненадежны ввиду того, что они основывают определение идентичности пользователя на физическом представлении уникально изготовленного объекта, в некоторых случаях вместе с информацией, которой располагает пользователь. К сожалению, как идентификационная карточка, так и упомянутая информация, могут быть переданы другому лицу вследствие потери, кражи или добровольного действия правомочного пользователя. Таким образом, если только о факте потери или непреднамеренной передачи указанных объектов не будет сообщено правомочным пользователем, то любое лицо, обладающее указанным объектом, будет распознаваться существующими системами защиты как правомочный пользователь, которому принадлежит данная идентификационная карточка и соответствующая информация.

В противоположность известным системам, настоящее изобретение исключает риск доступа неправомочным пользователям путем установления идентичности пользователя из анализа одной или более уникальных для пользователя биометрических характеристик. Даже при очень редких обстоятельствах принуждения, когда правомочный пользователь принуждается третьей стороной осуществить доступ к его счету, система воспринимает аварийный индекс счета, благодаря чему правомочный пользователь может сигнализировать полномочные органы о нарушении, причем принуждающая сторона не будет подозревать о такой сигнализации.

Изобретение, кроме того, повышает устойчивость по отношению к злоупотреблениям путем поддержания данных подтверждения подлинности и выполнения операций подтверждения идентичности в таком месте системы, которое изолировано от пользователя, запрашивающего доступ, что препятствует пользователю в получении копий данных проверки подлинности или от вмешательства в процедуру верификации. Такая система очевидным образом превосходит существующие системы, основанные на использовании идентификационных карточек, в которых информация проверки подлинности, такая как персональные коды, запомнена на идентификационных карточках и восстанавливается с этих карточек, т.е. реальное установление идентичности находится в функциональном контакте с пользователем в процессе процедуры доступа.

Задачей изобретения является создание идентификационной системы доступа к компьютеру, которая исключает необходимость того, чтобы пользователь имел при себе и представлял физический объект, такой как идентификационная карточка, для того чтобы инициировать запрос доступа к системе.

Еще одной задачей изобретения является создание идентификационной системы доступа к компьютеру, которая способна устанавливать идентичность пользователя, в противоположность проверке факта владения объектами личной собственности и персональной информацией.

Еще одной задачей изобретения является обеспечение установления идентичности пользователя на основании одной или более уникальных характеристик, физически персонализованных для пользователя.

Также задачей изобретения является создание системы защищенного доступа, которая практична, удобна и проста в использовании.

Кроме того, задачей изобретения является создание системы защищенного доступа к компьютерной системе, которая характеризуется высокой степенью устойчивости к мошенническим попыткам доступа со стороны несанкционированных пользователей.

Также задачей изобретения является создание идентификационной системы доступа к компьютеру, которая обеспечивает возможность для пользователя системы уведомлять полномочные органы о том, что конкретный запрос доступа связан с принуждением со стороны третьей стороны, причем третья сторона не будет получать никакого уведомления о такой сигнализации.

Кроме того, существует потребность в идентификационной системе доступа к компьютеру, которая автоматически ограничивает возможности пользователя по совершению сделок на компьютерной системе в соответствии с требуемой конфигурацией, обеспечиваемой пользователем.

Эти и другие преимущества изобретения поясняются в последующем детальном описании, иллюстрируемом чертежами.

Краткое описание чертежей

Фиг.1 - диаграмма системы, соответствующей изобретению.

Фиг.2 - диаграмма центра обработки данных вместе с его внутренними базами данных и исполнительными модулями.

Фиг.3 - диаграмма пункта розничной торговли терминала по продажам, устройства ввода биометрических данных и его компонентов, а также соединений между ними.

Фиг.4 - блок-схема последовательности операций в процедуре работы устройства ввода биометрических данных и терминала для генерирования пакета запроса.

Фиг.5 - диаграмма пакета запроса, иллюстрирующая обязательные и дополнительные данные, которые он содержит.

Фиг.6 - диаграмма пакета ответа, иллюстрирующая обязательные и дополнительные данные, которые он содержит.

Фиг.7 - блок-схема последовательности операций шифрования данных и компоновки пакета в устройстве ввода биометрических данных.

Фиг.8 - блок-схема последовательности операций дешифрирования данных идентификации противоположной стороны в центре обработки данных.

Фиг.9 - блок-схема последовательности операций шифрования данных и компоновки пакета в центре обработки данных.

Фиг.10 - блок-схема последовательности операций регистрации индивидуального лица в процедуре регистрации.

Фиг.11 - блок-схема последовательности операций идентификации индивидуального лица и возврата личного кода индивидуальному лицу.

Фиг.12 - блок схема последовательности схемы процедур, происходящих в центре обработки данных и на этапе выполнения.

Фиг.13 - блок-схема последовательности операций аварийного запроса и ответа в центре обработки данных.

Фиг.14 - блок-схема общей последовательности операций выполнения разрешения сделки по розничной продаже в центре обработки данных.

Фиг.15 - блок-схема общей последовательности операций на этапе дистанционного выполнения разрешения сделки в центре обработки данных.

Фиг.16 - блок-схема общей последовательности операций на этапе выполнения доступа к счету АКМ в центре обработки данных.

Фиг.17 - блок-схема общей последовательности операций на этапе выполнения модификации пакета эмитента в центре обработки данных.

Фиг.18 - блок-схема общей последовательности операций на этапе выполнения защищенной передачи факсимильного сообщения и передачи электронного документа в центре обработки данных.

Фиг.19 - блок-схема общей последовательности операций на этапе выполнения защищенной передачи факсимильного сообщения и передачи электронного документа в центре обработки данных.

Фиг.20 А - диаграмма пакета запроса электронной личной подписи.

Фиг.20 В - диаграмма пакета ответа электронной личной подписи.

Фиг.20 С - диаграмма пакета запроса подтверждения электронной личной подписи.

Фиг.20D - диаграмма пакета запроса подтверждения электронной личной подписи.

Фиг.21 - блок-схема общей последовательности операций выполнения запроса электронной личной подписи в центре обработки данных.

Фиг.22 - блок-схема общей последовательности операций выполнения подтверждения электронной личной подписи в центре обработки данных.

Детальное описание чертежей

Как указано, основной задачей настоящего изобретения является создание устройства и способа, не использующих идентификационных карточек, защищенных, надежных и последовательных, обеспечивающих идентификацию индивидуальных лиц в целях выполнения финансовых сделок и передач нефинансового характера, которые могут обслуживать большое число пользователей. Сущность настоящего изобретения состоит в том, что пользователи имеют возможность проводить эти сделки без использования идентификационных карточек, кредитных карточек, личных жетонов, карточек, включающих водительские права. Для того, чтобы обеспечить функциональность, важно, чтобы система работала со скоростями, требуемыми для совершения финансовых сделок, таких как покупки с использованием кредитных карточек и АКМ, с множества банковских и кредитных счетов. Система должна быть защищенной, чтобы регистрационные данные пользователей, биометрическая информация сохраняла конфиденциальность и надежность, как в компьютерной системе, которая идентифицирует индивидуальных лиц и дает разрешение на совершение сделок, так и при переносе данных между компьютерной системой и удаленными позициями, с которыми компьютерная система осуществляет обмен данными. Кроме того, система должна быть надежной в том смысле, что ошибки в идентификации и выдаче разрешений не должны мешать использованию системы или приводить к затруднениям в использовании системы. Поскольку только использование биометрических данных связано с идентификацией индивидуальных лиц, то система должна также иметь меры защиты, чтобы либо сокращать доступ, даже для санкционированных пользователей, либо уведомлять полномочные органы о возникновении аварийных ситуаций. Очевидно, что система должна обеспечивать возможность обрабатывать большое число пользователей и обеспечивать хранение и пересылку больших объемов данных, таких как информация о биометрических характеристиках, соразмерно скоростям, с которыми в настоящее время выполняются финансовые сделки.

На фиг.1 представлена общая конфигурация изобретения и его компонентов. Центр обработки данных 1 соединен с различными терминалами 2 посредством коммуникационных средств 3 различного типа. Центр обработки данных также соединен и осуществляет обмен данными с независимыми компьютерными сетями 4. Центр обработки данных содержит различные базы данных и модули программного обеспечения, как показано на фиг.2. В предпочтительном варианте осуществления изобретения базы данных в целях надежности продублированы. Компьютер защиты 5 защищает от электронного проникновения в систему, в то время как межсетевой компьютер 6 обеспечивает выполнение всех запросов от пользователя, включая добавление, стирание и иное модифицирование в базах данных. Межсетевой компьютер также обеспечивает дешифрирование и распаковку данных, поступающих с терминалов, использующих модуль МАСМ (кода аутентификации сообщений) 7, модуль MDM 8 и модуль SNM 9. Модуль PGL 10 и модуль IML 11 используются для определения местоположения надлежащего персонального идентификационного кода и контейнера выборок биометрических данных. На фиг.3 показан пример терминала и устройства ввода биометрических образцов 12, содержащих сканер 13 биометрических данных, средство ввода данных, например вспомогательная клавиатура 14 и панель отображения 15. Сканер биометрических данных может представлять собой любое из устройств типа сканера отпечатков пальцев, распознавания голоса, сканера отпечатка ладони, сканера сетчатки и т.п. В качестве примера может быть использован сканер отпечатков пальцев. Устройство ввода биометрических данных также оснащено вычислительными модулями 16, драйверами, модулями стираемой и нестираемой памяти. Устройство ввода биометрических данных осуществляет обмен данными с терминалом предпочтительно через последовательный порт 17. Терминал 2 осуществляет обмен данными через обычный модем 18 с центром обработки данных 1 посредством пакетов запроса 19 и пакетов ответа 20 с использованием одного из показанных на фиг.1 средств межсоединений, например кабельной сети, сотовых телефонных сетей, телефонных сетей, сети Internet, сети с асинхронным режимом передачи (сети АТМ) или сети протокола Х.25. На фиг.4 представлена диаграмма пакета запроса 19 и иллюстрация способа его генерирования с использованием программного обеспечения устройства ввода биометрических данных. На фиг.5 и 6 показаны диаграммы пакета запроса и пакета ответа, содержащие обязательные и дополнительные данные. Кроме того, показано, какие части пакета зашифрованы и какие упакованы (уплотнены). На фиг.7 показана блок-схема общего процесса шифрования и упаковки данных с использованием данных ключа DUKPT 20 для шифрования данных перед дополнением их дополнительными данными перед упаковкой пакета запроса с помощью ключа кода аутентификации сообщений (MAC) 21. На фиг.8 и 9 иллюстрируются процедуры дешифрирования и шифрования в центре обработки данных. На фиг.12-19 и 21-22 представлены блок-схемы для выбранных примеров этапов обработки, осуществляемых в центре обработки данных. Ниже представлено детальное описание чертежей, диаграмм, блок-схем последовательностей операций и описание изобретения, включая компоненты аппаратных средств, компоненты программного обеспечения, исполнительные модули, базы данных, средства соединения, передаваемые между ними данные, а также описание способа, соответствующего изобретению.

1.1. Устройство ввода биометрических данных (УВБД)

1.1.1. Введение

УВБД представляет собой комбинацию аппаратных средств и программного обеспечения, задачами которых является сбор, кодирование и шифрование введенных биометрических данных, предназначенных для использования в целях персональной идентификации. Все действия УВБД управляются внешним управляющим устройством, называемым терминалом, который выдает команды и принимает результаты по последовательной линии УВБД.

Аппаратные средства УВБД имеют четыре основных варианта:

стандартный, беспроводный, интегрированный телефонный/кабельного телевидения/факсовый и АТМ. Каждый вариант аппаратных средств УВБД направлен на удовлетворение конкретных потребностей на рыночном пространстве и, ввиду различий в конструктивном выполнении, каждый вариант имеет различный уровень защищенности.

Программное обеспечение УВБД имеет семь основных вариантов:

персонального компьютера, розничной торговли, регистрации, внутренний, эмитента и интегрированный дистанционный. Каждая нагрузка программного обеспечения обеспечивает различный, специфический для использования набор команд. Например, нагрузка программных средств регистрации не обеспечивает прием запросов на формирование сообщений для сделок розничной торговли. Аналогичным образом, набор команд для реализации сделок розничной торговли не обеспечивает передачу сообщений индивидуальной регистрации. Для обеспечения другого уровня защищенности в центре обработки данных известно, какое программное обеспечение загружено в каждое УВБД. Поэтому любые попытки передать с помощью УВБД сообщение, которое не предназначается для передачи с данного УВБД, будут отклоняться и будут трактоваться как нарушение установленной защиты.

Возможности изобретения обнаруживать и противодействовать злоупотребления со стороны продавцов основываются на том факте, что внешний интерфейс УВБД жестко ограничен, что конструкция УВБД делает чрезвычайно затруднительным вмешательство в его содержимое, каждое УВБД имеет свои уникальные коды шифрования, которые известны только в центре обработки данных, и каждое УВБД ограничено в выполнении операций конкретными назначенными ему функциями. Каждое средство ввода биометрических данных имеет код идентификации аппаратных средств, предварительно регистрируемый в центре обработки данных, что позволяет однозначно определенным образом идентифицировать каждое средство ввода биометрических данных в центре обработки данных в каждой последующей передаче с данного УВБД.

При проектировании УВБД исходили из того, что управляющий терминал может быть источником для злоупотреблений и обмана. Терминалы включают средства от прикладных программ, реализуемых на персональных компьютерах, до специализированных систем аппаратных средств и программного обеспечения, разрабатываемых для конкретного использования, например, для пункта розничных продаж. Независимо от конкретной модели, ни один УВБД не использует незашифрованную биометрическую информацию. Модели УВБД без устройств отображения (на светодиодах, на жидких кристаллах или с кварцевыми экранами) должны выдавать для индикации выбранную информацию (например, индивидуальные личные коды) на терминал для отображения, и такие комбинации терминала с УВБД рассматриваются как менее защищенные.

В зависимости от конкретной решаемой задачи, модели УВБД либо частично, либо полностью интегрированы в терминал. Частично интегрированные устройства физически отделены от терминала и включают беспроводные стандартные УВБД для пунктов розничных продаж. Полностью интегрированные устройства располагаются в самом физическом корпусе терминала, например, АКМ или телефона.

Полностью исключается раскрытие со стороны УВБД секретных кодов шифрования каким-либо внешним источникам.

1.1.2. Модели УВБД

Конкретные модели аппаратных средств УВБД имеют различные конфигурации. Они кратко представлены ниже.

УВБД

Стандартная модель имеет вычислительный модуль (например, многокристальные модули), сканер биометрических данных (например, сканер отпечатка пальца), средство отображения (например, экран жидкокристаллического дисплея), коммуникационный порт (например, последовательный порт), средство ввода данных (например, клавиатура для ручного ввода данных или клавишная панель для ввода ПИК), размещенные в защищенном от взлома корпусе, а также средство электронного обнаружения (например, радиочастотное экранирование).

УВБД/средство беспроводной коммуникации

Стандартная модель, но последовательная шина заменена модулем беспроводной коммуникации с расширенным спектром, использующим внешнюю антенну. Используется в ресторанных пунктах продаж.

УВБД/АКМ

Имеет сканер для усложненного режима работы и последовательный порт вместе с многокристальным модулем. Тот факт, что жидкокристаллический дисплей является частью терминала, а не средства ввода биометрических данных, снижает защищенность, поскольку личный код должен выдаваться на терминал. Используется в системах АКМ.

УВБД/средство кабельного телевидения (КТВ)

Использует сканер облегченного режима работы, в остальном аналогично варианту АКМ. Используется в телефонах, дистанционных пунктах кабельного ТВ, факсовых аппаратах. Защищенность наиболее слабая, поскольку жидкокристаллический дисплей и клавишная панель для ввода ПИК являются частями терминала, а не УВБД, и вследствие самой низкой стоимости на рынке.

1.1.3. Сообщения набора команд УВБД

Каждый набор команд программного обеспечения УВБД обеспечивает различающийся набор операций. Они кратко описаны ниже.

УВБД/АКМ

Доступ к счету

УВБД/КТВ

Санкционирование дистанционно совершаемой сделки

УВБД/Факс

Представить защищенный факс

Данные защищенного факса

Отслеживание защищенного факса

Отыскать защищенный факс

Отклонить защищенный факс

Архив защищенного факса

Прием контракта защищенного факса

Отклонение контракта защищенного факса

УВБД/Внутренние средства

Индивидуальная идентификация

УВБД/Эмитент

Пакет эмитента

УВБД/Персональный компьютер (ПК)

Представить электронный документ

Данные электронного документа

Отслеживание электронного документа

Отыскать электронный документ

Отклонить электронный документ

Архив электронного документа

Поиск в архиве электронного документа

Представление электронной личной подписи (сигнатуры)

Проверка электронной сигнатуры

Санкционирование дистанционной транзакции

Сетевые вверительные данные (для установления подлинности)

Защищенное соединение

УВБД/Регистрация

Индивидуальная регистрация

Регистрация биометрических данных

УВБД/Розничная продажа

Санкционирование сделки

1.1.4. Аппаратные средства УВБД: стандартная модель

Стандартные аппаратные средства УВБД представляют собой многокристальный модуль, связанный со сканером отпечатка, экраном жидкокристаллического дисплея (ЖКД), последовательным портом и клавишной панелью ПИК, заключенные в защищенный от внедрения корпус, исключающий возможность незаметного проникновения, а также обеспечивающий радиочастотное экранирование содержимого.

Следующие компоненты объединены в многокристальном модуле УВБД (процедура объединения различных процессоров в одной физической «оболочке» хорошо известна в промышленности), спроектированном с учетом обеспечения защиты коммуникационных каналов между устройствами от радиоперехвата.

Последовательный процессор

Процессор клавишной панели ПИК

Процессор экрана ЖКД

Аналого-цифровой (АЦ) процессор сканера на ПЗС

Высокоскоростной цифровой процессор обработки сигналов, содержащий как постоянную «флэш» (сверхбыстродействующую)-память, так и программируемую шаблонами постоянную память

Универсальный микропроцессор

Стандартное ЗУПВ

Электрически стираемая программируемая постоянная память

Ниже указаны пакеты программных средств и данных, хранящиеся в программируемой шаблонами постоянной памяти. Такая постоянная память дешевле по сравнению с другими видами постоянной памяти, она легко поддается обратному проектированию и не стираема электрически. (Данный вид постоянной памяти широко известен в промышленности).

Библиотека вычисления ключа кода аутентификации сообщения

Библиотека распределения ключей DUKPT

Библиотека DES шифрования (с СВС)

Библиотека преобразования Base-64 (8 бит в распечатываемый код ASCII)

Библиотека шифрования ключей общего доступа

Встроенная операционная система

Драйвер устройства последовательной шины

Драйвер устройства на ЖКД

Драйвер устройства клавишной панели ПИК

Драйвер устройства сканера

Уникальный код идентификации аппаратных средств

Многоязычные профили

Ниже представлены стандартные данные и пакеты программного обеспечения, хранящиеся в постоянной «флэш»-памяти. Постоянная «флэш»-память является более дорогостоящим устройством, но более трудно поддается обратному проектированию, и, что наиболее важно, является электрически стираемой. Вся наиболее критичная информация хранится в этой памяти. Постоянная «флэш» - память используется для того, чтобы затруднить возможность дублирования УВБД (данный вид памяти хорошо известен в промышленности).

Таблица уникальных будущих ключей DUKPT

Уникальный 112-битовый ключ кода аутентификации сообщения

Алгоритм определения качества биометрических данных для цифрового процессора сигналов

Алгоритм кодирования биометрических данных для цифрового процессора

Алгоритм кодирования биометрических данных

Таблица функций команд

Номер последовательности сообщений, получающий приращение всякий раз, когда сообщение передается от УВБД, запоминается в электрически стираемой программируемой постоянной памяти (ЭСППЗУ). ЭСППЗУ может стираться многократно, но является энергонезависимой, его содержимое сохраняется и при перерывах в питании. (ЭСППЗУ хорошо известны в промышленности).

Ниже представлены данные, запоминаемые в ЗУПВ. ЗУПВ является памятью для временного хранения, и ее данные теряются при отключении мощности.

Регистр кодированных биометрических данных

Регистр ПИК

Регистр кода индекса счета

Регистр суммы

Регистр наименования документа

Ключ блока ПИК

Ключ сообщения

Ключ ответа

Ключ совместно используемого сеанса работы

Ключ персонального сеанса работы

8 главных регистров

Пространство стека и динамически распределяемой области памяти

Каждый многокристальный модуль содержит ячейку памяти с однократной записью, которая неизменяемым образом устанавливается вслед за инициализацией постоянной «флэш»-памяти. Всякий раз, когда делается попытка загрузить программное обеспечение в постоянную «флэш»-память, проверяется эта ячейка памяти. Если она уже установлена, то УВБД отклоняет загрузку. Таким образом, принципиально важные программные средства и ключи данных могут быть загружены только однократно в устройство, в момент изготовления.

Все регистры и ключи явным образом обнуляются, когда транзакция отклоняется. Как только транзакция завершена, регистры также очищаются. Как только команда «сформировать сообщение» выполнена, регистры биометрических данных, ПИК, кода индекса счета также очищаются, вместе с любыми ключами шифрования, которые не требуются для последующего использования.

Важно, что программное обеспечение не сохраняет копий регистров или ключей в переменных стеков (известно в промышленности).

Ниже представлены компоненты аппаратных средств, содержащиеся в стандартном модуле аппаратных средств УВБД.

Многокристальный модуль УВБД

Сканер отпечатка на ПЗС

Плата обнаружителя емкости (известна в промышленности)

Освещенная клавишная панель ПИК

Экран ЖКД на 2 строки и 40 столбцов

Радиочастотный экран

Корпус, защищенный от вскрытия

Последовательное соединение (до 57,6 кб)

Аппаратное средство обнаружения запирания (известное в промышленности) Дополнительный термитный заряд, прикрепленный к многокристальному модулю (известен в промышленности)

Все данные, хранящиеся во временной памяти, в также внутренние аппаратные средства и программное обеспечение, используемое для вычисления этих значений, защищены, что означает, что они устойчивы против всех попыток определения их текущих значений или их средств функционирования. Это свойство является существенным с точки зрения защиты, обеспечиваемой изобретением. Кроме того, также важно, что возможность радиоперехвата для УВБД и особенно сбора биометрических данных и блока ПИК затруднена в максимально возможной степени.

Многокристальный модуль и его компоненты, в той мере, насколько это практически возможно, физически соединены друг с другом без показа используемого монтажа.

Корпус, защищающий электронные компоненты УВБД запаян при изготовлении, его нельзя открыть ни при каких обстоятельствах без нанесения существенных повреждений корпусу. После обнаружения открытия (или повреждения) корпуса УВБД выполняет аварийное обнуление электронных компонентов и всех ключей, содержащихся в постоянной «флэш»-памяти, а также всех библиотек программного обеспечения. Конкретные используемые методы обнаружения целостности запирания сохраняются как конфиденциальные и являющиеся собственностью.

Помимо защиты содержимого, корпус также экранирует внутренние операции от детекторов радиочастотного сигнала.

Имеется сверхзащищенный вариант УВБД, в котором средства обнаружения целостности запирания соединены с механизмом, который физически разрушает многокристальный модуль вместе со средствами обнаружения.

1.1.5. Аппаратные средства УВБД: беспроводная модель

Беспроводный вариант аппаратных средств УВБД идентичен стандартной модели по своей конструкции, за исключением того, что он использует модуль беспроводной связи с расширенным спектром с внешней антенной вместо внешнего последовательного порта.

Этот вариант предназначен для использования в ресторанах, где выполнение транзакций санкционируется с удобством для пользователя.

В изложенном ниже описании элементы, добавленные к стандартному комплекту, обозначены знаком "+", а элементы, исключенные из стандартного комплекта, обозначены знаком "-".

Многокристальный модуль:

- Регистр наименования документа

- Ключ совместно используемого сеанса работы

- Ключ личного сеанса работы

- Ключ сообщения

Компоненты:

- Последовательный порт

+ Внешняя антенна

+ Последовательный модуль беспроводной связи с расширенным спектром (известен в промышленности).

1.1.6. Аппаратные средства УВБД: модель АКМ

Вариант АКМ аппаратных средств УВБД представляет собой многокристальный модуль, объединенный со сканером отпечатка высокой нагрузки и последовательным портом. Компоненты размещены в устойчивом к взлому корпусе, что исключает возможность скрытного проникновения внутрь корпуса, а также обеспечивает радиочастотное экранирование содержимого.

Данный вариант разработан для встраивания на месте расположения АКМ. Клавишная панель сканера соответствует режиму высокой нагрузки, причем вся конструкция обеспечивает использование существующих в АКМ экранов и клавишных панелей.

Многокристальный модуль:

- Регистр суммы

- Регистр наименования документа

- Ключ личного сеанса работы

- Ключ сообщения

Компоненты:

Освещенная клавишная панель ПИК

Экран ЖКД на 2 строки и 40 столбцов

Заметим, что поскольку АКМ не имеет экрана ЖКД или клавишной панели ПИК, она не нуждается в драйверах этих устройств в постоянной памяти, программируемой шаблонами.

1.1.7. Аппаратные средства УВБД: модель с использованием телефона/КТВ

Вариант с использованием телефона/КТВ аппаратных средств УВБД представляет собой многокристальный модуль, объединенный со сканером отпечатка и последовательным портом. Модуль физически соединен со сканером и все это вместе размещено в корпусе из пластика для защиты от взлома. Радиочастотное экранирование для компонентов предусмотрено в некоторой степени.

Данный вариант спроектирован как интегрированный с телефонами, дистанционным управлением телевизорами и факсовыми аппаратами. В результате он использует существующие клавишные панели и ЖКД или телевизионные экраны для ввода или отображения определенных значений. Он также использует коммуникационное оборудование, имеющееся в терминале главной машины. Например, факсовый аппарат использует встроенный факс-модем, а дистанционное управления телевизора использует кабельную сеть КТВ.

Эта модель аппаратных средств (по сравнению с другими моделями) относительно слабо защищена, поскольку предполагается, что она будет самой дешевой, малогабаритной и легко интегрироваться с существующими дешевыми устройствами.

Разумеется, возможно использование более высокозащищенных вариантов с более совершенными корпусами.

Многокристальный модуль:

- Регистр наименования документа

- Ключ личного сеанса работы

- Ключ сообщения

Компоненты:

Освещенная клавишная панель ПИК Экран ЖКД на 2 строки и 40 столбцов

1.2. Программное обеспечение УВБД

1.2.1. Интерфейс команд программного обеспечения УВБД

Внешний интерфейс для УВБД во многом подобен стандартному модему. Команды передаются к нему от управляющего терминала с использованием внешней последовательной шины. Когда команда завершена, то код ответа пересылается от УВБД к терминалу.

Каждая нагрузка программного обеспечения УВБД поддерживает различный набор операций. Например, нагрузка, соответствующая операциям розничной торговли, поддерживает только санкционирование сделок, в то время как нагрузка, соответствующая операциям регистрации, поддерживает индивидуальную идентификацию и регистрацию биометрических данных.

Все поля данных УВБД могут быть распечатаны в коде ASCII, причем поля отделены управляющим символом разделителя полей (или "fs"), а записи отделены новыми линиями. Зашифрованные поля двоично преобразованы в 64-битовый код ASCII с использованием библиотеки преобразования base-64 (известна в промышленности).

Некоторых команд не имеется в некоторых конфигурациях. Например, УВБД АКМ не может выдать команду «Получить ПИК», поскольку в данном варианте отсутствует клавишная панель ПИК. Вместо этого УВБД АКМ поддерживает команду «Установить ПИК».

Коды ответа

Out of time (Таймаут) - время, отведенное для завершения команды. Сообщение будет отображаться на экране ЖКД, если он имеется. После того как время, отведенное на эту команду истекло, УВБД действует, как если оно отменяло нажатие клавиши.

Cancel (Отмена) - при нажатии кнопки «отмена» отменяется вся операция. Следствием этого является очистка всей информации, которая была собрана. Сообщение для осуществления этого будет отображаться на экране ЖКД, если он имеется.

Ok (успешное завершение) - команда завершена успешно.

Other (иное) - каждая команда имеет специфические другие коды отклика, которые справедливы только для нее. Эти другие коды отклика в общем случае будут иметь текст, сопровождающий код, который будет отображаться на экране ЖКД, если он имеется.

Message (сообщение) - указывает, что команда осуществляется, но УВБД хочет направить на терминал сообщение с промежуточным результатом. Результат также индицируется на ЖКД, если он имеется. Данная функция используется для подсказок, а также для сообщений о статусе.

Команды

В перечне команд, приведенном ниже символы

обозначают индивидуальные аргументы, символы [] обозначают дополнительные аргументы и символ | обозначает, что указанный аргумент может содержать один из представленных вариантов выбора.

Set Language <language-name> (установить язык <имя-языка>)

Эта команда выбирает один из ряда языков, закодированных в УВБД для приглашения к вводу пользователем.

Get Biometrics <time> [primary|secondary] (получить биометрические данные <время>[основные|дополнительные]

Эта команда запрашивает УВБД об активизации его сканера для получения ввода биометрических данных от индивидуального лица и запоминании их в регистре кодированных биометрических данных.

Сначала на панели ЖКД отображается сообщение «Поместить палец на световую панель», возвращаемое затем в терминал. Освещается клавишная панель сканера, приглашая пользователя к вводу его биометрических данных.

Если значение <время> установлено на нуль, то это означает, что ограничения по времени на ввод сканирования биометрических данных нет.

В режиме сканирования снимается сканирование отпечатка пальца и делается предварительный анализ согласно алгоритму качества отпечатка. Если результат сканирования недостаточно хорош, то УВБД будет продолжать формировать новые циклы сканирования до истечения установленного времени. После того как время истекло, снимок отпечатка сделан и проанализирован, на экран ЖКД направляются сообщения, передаваемые затем на терминал, касающиеся проблем, обнаруженных программой анализа качества отпечатка. Если для обработки не поступает отпечаток соответствующего качества, то УВБД возвращает код ошибки при истечении времени, отображая соответствующее сообщение на ЖКД.

Как только алгоритм анализа качества отпечатка даст положительное подтверждение качества сканирования отпечатка, детальные особенности отпечатка затем выделяются посредством алгоритма кодирования отпечатка. Случайным образом выбирается только подмножество таких деталей, с учетом того, чтобы таких детальных особенностей было достаточно для идентификации. Эти детали затем упорядочиваются случайным образом и помещаются в регистр кодированных биометрических данных. Затем УВБД реагирует кодом успешного результата.

Если определен аргумент [основные|дополнительные] (имеется только в наборе команд регистрации биометрических данных), то выбирается весь набор детальных особенностей, а не его подмножество. Аналогичным образом, выбор биометрических данных согласно установленному аргументу (основные/дополнительные) заканчивается размещением кодированных введенных биометрических данных в соответствующем регистре.

Независимо от того, успешна ли произведенная операция, как только сканирование завершается, световая индикация продолжения сканирования выключается.

Важным является то, что один и тот же ввод биометрических данных дает в результате различные кодирования, чтобы усложнить задачу посторонних лиц, пытающихся раскрыть коды шифрования захваченного УВБД. Это обеспечивается выбором случайного подмножества и случайного упорядочивания кодируемых биометрических данных.

Get PIC <time> (получить ПИК<время>)

Эта команда запрашивает УВБД о заполнении регистра ПИК считыванием с клавишной панели.

Сначала на ЖКД отображается сообщение «введите Ваш ПИК, затем нажмите <ввод>», посылаемое затем на терминал. Соответствующая световая сигнализация включается на клавишной панели и начинается ее сканирование.

Сканирование завершается, когда либо истекло установленное время, либо лицо, осуществляющее ввод данных, нажало клавишу <ввод>.

Заметим, что отдельные цифры ПИК не отображаются на ЖКД, но для каждой отдельной цифры появляется индикация «*», дающая индивидуальную обратную связь. Если нажимается клавиша «коррекция», то последняя введенная цифра стирается, позволяя исправить сделанную ошибку ввода.

Когда ввод ПИК завершен, световая сигнализация на клавишной панели выключается.

При успешном завершении операции выдается команда «ОК».

Get Account Index Code <time> (Получить код индекса счета <время>)

Сначала на ЖКД отображается сообщение «введите код индекса Вашего счета и нажмите <ввод>», пересылаемое в терминал. Оно приглашает пользователя ввести код индекса его счета. При нажатии каждой клавиши соответствующее значение появляется на панели ЖКД. Для стирания какого-либо из значений предусмотрена кнопка коррекции. При нажатии кнопки «ввод» происходит установка регистра кода индекса счета.

При вводе соответствующие клавиши панели светятся, а когда ввод завершен, световая сигнализация на клавишной панели выключается.

Get Title Index Code <time> (Получить код индекса заголовка <время>)

Сначала на ЖКД отображается сообщение «введите код индекса Вашего заголовка и нажмите <ввод>», пересылаемое в терминал. Оно приглашает пользователя ввести код индекса его заголовка. При нажатии каждой клавиши соответствующее значение появляется на панели ЖКД. Для стирания какого-либо из значений предусмотрена кнопка коррекции. При нажатии кнопки «ввод» происходит установка регистра кода индекса заголовка.

Validate Amount <amount><time> (подтвердить сумму <суммах><время>)

Команда «подтвердить сумму» посылает сообщение «сумма ОК ?» на терминал и отображает его на экране ЖКД. Если пользователь подтверждает сумму нажатием кнопки «да» (или «вводом»), то происходит установка регистра суммы соответственно «сумме». Значение «суммы» должно быть истинным числом, без контрольных символов или пробелов и т.п. При представлении приглашения, светятся кнопки, соответствующие «да», «нет» и «отменить». После завершения операции световая сигнализация на клавишной панели выключается.

Если пользователь ввел «нет», то вся транзакция отменяется.

Enter Amount <time>(Ввести сумму<время>)

Команда «ввести сумму» посылает сообщение «ввести сумму» в терминал и отображает его на экране ЖКД. Затем пользователь должен ввести собственно сумму в долларах. Каждый вводимый символ отображается на экране ЖКД. Все соответствующие кнопки светятся. После нажатия кнопки ввода происходит установка регистра суммы на значение, введенное с клавиатуры. После завершения ввода вся световая сигнализация выключается.

Validate Document <name><time> (подтвердить документ <имя><время>)

Команда «подтвердить документ» посылает сообщение «имя документа ОК?» на терминал и отображает его на экране ЖКД. Если пользователь подтверждает документ нажатием кнопки «да» (или «вводом»), то происходит установка регистра имени документа соответственно «имени». «Имя» должно быть печатаемым в коде ASCII, без контрольных символов или пробелов и т.п. При представлении приглашения, светятся кнопки, соответствующие «да», «нет» и «отменить». После завершения операции световая сигнализация на клавишной панели выключается.

Assign Register <register> <text> (назначить регистр<регистр><текст>)

Команда «назначить регистр» устанавливает указанный «регистр» в соответствии со значением «текст». Это используется для установки информации, такой как код продавца, информация об изделии и т.п.

Get Message Key (получить ключ сообщения)

Команда «получить ключ сообщения» обуславливает в УВБД генерацию 56-битового случайного ключа путем управления аппаратными средствами для шифрования тела какого-либо сообщения, которое устройство управления желает добавить к сообщению. Этот генерируемый ключ возвращается УВБД в шестнадцатеричном формате (известно в промышленности). Ключ сообщения затем добавляется к блоку биометрических данных и ПИК.

Form Message <type=identification|transaction|account access...> (Сформировать сообщение <тип=идентификация/транзакция/ доступ к счету...>

Команда "сформировать сообщение" инструктирует УВБД выдать на выход сообщение, содержащее всю собранную информацию. Она также осуществляет проверку, все ли регистры соответствуют данному конкретному <типу> сообщения.

Если не все регистры установлены, то УВБД выдает сообщение об ошибке. Программа конкретного множества команд будет определять, какие сообщения могут быть сформированы данной моделью УВБД; все остальные будут режектироваться.

Каждое сообщение включает код передачи, состоящий из уникального кода идентификации аппаратных средств УВБД и числа возрастающей последовательности. Код передачи позволяет в центре обработки данных идентифицировать передающее УВБД и обнаружить попытки повторных передач.

УВБД использует систему распределения ключей DUKPT для выбора 56-битового ключа DES шифрования блока биометрических данных и ПИК из таблицы будущих ключей. Этот ключ затем используется для шифрования блока биометрических данных и ПИК с использованием метода связывания блоков шифрования (СВС). Кроме того, ответный ключ DES также генерируется случайным образом и используется центром обработки данных для шифрования частей ответа, которые должны быть зашифрованы.

Отделение ответного ключа от ключа блока биометрических данных и ПИК является очень важным, поскольку каждый ключ шифрования должен использоваться только в пределах его собственной ответственности. Благодаря этому, если кто-либо сможет «взломать» ключ шифрования, используемый для шифрования личного кода, то это не приведет к раскрытию биометрических данных и ПИК.

Блок биометрических данных и ПИК состоит из следующих полей:

300 байт биометрических данных подтверждения подлинности

4-12-разрядный ПИК

56 битовый ключ ответа

56-битовый ключ сообщения

Заметим, что ключ сообщения присутствует только, если управляющий терминал запросил ключ сообщения для данного сообщения. Он используется до управляющего терминала для шифрования тел любых сообщений, присоединяемых к запросу санкционирования транзакции, с использованием ключа сообщения.

После того как все шифрование завершено, УВБД выдает тело соответствующего сообщения запроса (например, сообщение подтверждения подлинности транзакции, завершаемого и защищаемого кодом аутентификации сообщения (MAC).

Поле MAC вычисляется с использованием секретного 112-битового ключа DES MAC и преобразует все поля сообщения от первого до последнего. MAC гарантирует для центра обработки данных, что ничто в сообщении не будет изменено, обеспечивая эффективную упаковку сообщения, но при этом позволяя управляющему терминалу проверять поля незашифрованного текста.

После того как команда «сформировать сообщение» выполнена, УВБД направляет сообщение «я обращаюсь к центру обработки данных» и отображает его на экране ЖКД, указывая, что работа по запросу производится.

Команда возвращает сообщение ОК, в дополнение к возврату полного сформированного сообщения, после завершения команды.

Show Response <encripted response> <time> (показать ответ <зашифрованный ответ><время>)

Эта команда инструктирует УВБД использовать свой ключ ответа для дешифрирования личного кода от системы.

После дешифрирования звучит звуковая сигнализация и личный код отображается на экране ЖКД в течение установленного времени. При отсутствии указания времени эта команда пересылает дешифрированный личный код в управляющий терминал.

Validate Private <encripted validation> <time> (подтвердить личный код<зашифрованное подтверждение><время>

Эта команда используется в терминале в течение защищенного сеанса связи с сетью для запроса подтверждения сообщения от внешнего источника. Сообщение поступает зашифрованным и состоящим из двух частей: запрос и ответ.

После приема команды подтверждения личного кода УВБД отображает текст запросного сообщения в виде «ОК<запрос>?» на экране ЖКД, но не направляет его в терминал. Если пользователь подтверждает запрос, то ответ зашифровывается в УВБД с использованием ключа личного сеанса работы пользователя и затем возвращается в терминал вместе с кодом ответа ОК. Если пользователь не подтверждает запрос, то УВБД отвечает кодом ответа «ошибка» вместе с текстом «транзакция отменена по вашему запросу», что также отображается на экране ЖКД. Заметим, что терминал не имеет ни при каких обстоятельствах просматривать незашифрованный текст ни запроса, ни ответа.

Reset (сброс)

Команда сброса инструктирует УВБД очистить все регистры временного хранения, экран ЖКД, все регистры временного хранения ключей и выключить световую сигнализацию на клавишной панели.

Set PIC<value> (Установить ПИК<значение>)

Данная команда назначает регистру ПИК УВБД «значение». Заметим, что разрешение незащищенному устройству выдавать ПИК представляет собой проблему потенциальной защищенности, поскольку незащищенные устройства в значительно большей степени подвержены радиоперехвату или подмене.

Set Account index code<value> (Установить код индекса счета<значение>)

Эта команда назначает регистру кода индекса счета УВД «значение». Заметим, что разрешение незащищенному устройству выдавать код индекса счета представляет собой проблему потенциальной защищенности, поскольку незащищенные устройства в значительно большей степени подвержены радиоперехвату или подмене.

Set Title index code<value> (Установить код индекса заголовка<значение>)

Эта команда назначает регистру кода индекса заголовка УБД «значение». Заметим, что разрешение незащищенному устройству выдавать код индекса заголовка представляет собой проблему потенциальной защищенности, поскольку незащищенные устройства в значительно большей степени подвержены радиоперехвату или подмене.

Set Account<value> (Установить сумму <значение>)

Эта команда назначает регистру суммы УБД «значение».

Decrypt Response <encrypted response message> (Дешифрировать ответ<зашифрованное ответное сообщение>)

Эта команда инструктирует УВБД использовать свой текущий ключ ответа для дешифрирования зашифрованной части ответного сообщения. После дешифрирования ответ подается на управляющее устройство, например для отображения на терминале АКМ или на экране ЖКД.

Заметим, что обеспечение возможности такого дешифрирования представляет проблему обеспечения защищенности, так как когда незашифрованный текст покидает УВБД, терминал имеет возможность обращаться с ним по своему усмотрению.

1.1.2. Программное обеспечение УВБД: библиотеки поддержки

Программное обеспечение УВБД поддерживается различными библиотеками программ. Некоторые из них являются стандартными, общедоступными библиотеками, а некоторые имеют специальные требования в контексте УВБД.

1.2.2.1. Генератор случайных чисел

Поскольку УВБД постоянно выбирает случайные ключи ВУЫ для использования в теле сообщения и шифрования ответных сообщений, то важно, чтобы выбираемые ключи были непредсказуемыми ключами. Если генератор случайных чисел основывается на времени суток или на некотором другом внешне предсказуемом механизме, то ключи шифрования будет намного более легко вывести, зная алгоритм. Для того чтобы гарантировать защищенность способа шифрования, используемого в УВБД, предполагается, что как алгоритм генератора случайных чисел, так и алгоритмы шифрования не известны.

Стандартный алгоритм случайных чисел для генерирования ключей DES определен в ANSY X9.17, приложение С (известно в промышленности).

1.2.2.2. Алгоритмы шифрования биометрических данных

Алгоритм кодирования биометрических данных представляет собой алгоритм, находящийся в чьей-либо собственности, для определения местоположения детальных особенностей, образованных концами кромок и разветвлениями отпечатка пальца человека. Полный перечень таких деталей хранится в центре обработки данных в качестве эталона, причем лишь частичный такой перечень требуется в определенном алгоритме, когда осуществляется сравнение между кандидатом на идентификацию и зарегистрированным лицом.

При регистрации биометрических данных и при идентификации алгоритм кодирования обеспечивает, что будет найдено достаточное количество деталей, прежде чем ввод биометрических данных будет закончен.

1.2.2.3. Операционная система и драйверы устройств

УВБД представляет собой вычислительную среду, действующую в реальном времени, и как таковая требует погружения в операционную систему, организующую такую работу. Операционная система обеспечивает необходимые прерывания от устройств и планирование решаемых задач.

Каждый драйвер устройства обеспечивает сопряжение между операционной системой и специализированным аппаратным средством, например драйвер клавишной панели для ввода ПИК или драйвер сканера на ПЗС.

Аппаратные средства являются источниками событий типа «нажата клавиша клавишной панели для ввода ПИК» или «сканирование сканером на ПЗС завершено». Драйвер устройства обрабатывает такие прерывания, интерпретирует эти события и затем предпринимает соответствующие действия согласно событиям.

1.2.2.4. Библиотека шифрования DES

Имеется ряд реализации DES, предоставленных для использования группам пользователей. Реализации DES обеспечивают кодирование, основанное на секретном ключе, незашифрованного (открытого) текста в зашифрованный текст, а также дешифрирование зашифрованного текста для получения открытого текста, использующего 56-битовые секретные ключи.

1.2.2.5. Библиотека шифрования с использованием общедоступных ключей

Библиотеки, поддерживающие шифрование с использованием общедоступных ключей предоставляются компанией Public Key Partners, держателем патента на шифрование с использованием общедоступного ключа RSA (известно в промышленности). Системы шифрования с использованием доступных ключей представляют собой системы асимметричного шифрования, обеспечивающие возможность обмена данными, не требуя дорогостоящего обмена секретными ключами. Для использования системы шифрования с использованием доступных ключей доступный ключ используется для шифрования DES-ключа, а затем DES-ключ используется для шифрования сообщения. УВБД использует криптосистемы с общедоступными ключами, предоставляя их для секретного обмена секретными ключами.

К сожалению, системы доступных ключей в существенно меньшей степени испытаны, по сравнению с системами с секретными ключами, вследствие чего таким алгоритмам свойственен в целом более низкий уровень полноты тестирования. В результате в изобретении криптография с использованием доступных ключей применяется только для защиты обмена данными и краткосрочных доверительных обменов данными, но не для долгосрочного хранения секретных данных. Как конечный пользователь, так и банк идентифицированы центром обработки данных для создания сетевых доверительных данных, включающих в себя идентификацию конечного пользователя, так и контекст соединения (например порты TCP/IP источника и места назначения).

1.2.2.6. Библиотека распределения ключей DUKPT

Библиотека распределения ключей DUPKT (т.е. ключей, являющихся производными уникальными ключами на транзакцию) используется для создания будущих DES ключей при условии задания исходного ключа и номера последовательности сообщения. Будущие ключи хранятся в таблице будущих ключей. После однократного использования данный ключ удаляется из таблицы. Исходные ключи используются только для генерирования начальной таблицы будущих ключей. Поэтому начальный ключ не хранится в УВБД.

Использование DUKPT предназначено для создания механизма распределения ключей, который предоставляет различные ключи стандарта DES (стандарта шифрования данных) для каждой транзакции, не оставляя следа исходного ключа. Смысл этого состоит в том, что даже успешный захват и расчленение данной таблицы будущих ключей не выявит сообщений, которые были переданы ранее, это весьма важное свойство, когда эффективное время жизни переданной информации составляет декады. DUKPT полностью определено в документе ANSI X9.24 Американского национального института стандартов (известно в промышленности).

Ключи DUPKT были первоначально разработаны для поддержки механизмов шифрования ПИК для транзакций с дебетовыми карточками. В этих условиях принципиально важно было защитить все транзакции. Было сделано допущение, что злоумышленник регистрирует зашифрованные транзакции в течение 6 месяцев и затем получает и успешно выделяет код шифрования с клавишной панели ПИК. После этого злоумышленники имеют возможность изготовить поддельную карточку для каждого сообщения, которое было передано в течение 6-месячного периода. При использовании DUKPT, однако, захват и расчленение полученных таблиц не позволит дешифрировать ранее переданные сообщения (хотя новые сообщения будут расшифровываемыми, если они вслед за этим заменят клавишную панель ПИК).

В ситуации использования биометрических данных и ПИК для злоумышленника все будет более сложно, и если он даже дешифрирует сообщения, то преобразование цифровые биометрические данные и ПИК в физический отпечаток будет намного более проблематичным, что преобразование номера счета - ПИК в пластиковую карточку, что и характеризует собой существенное преимущество системы, не использующей идентификационных карточек.

Вместе с тем, если злоумышленник может дешифрировать, то он может и шифровать, что может позволить ему электронным путем передать биометрические данные - ПИК для подтверждения ложной транзакции. Хотя это и весьма затруднительно, однако все же лучше ограничить возможности, доступные для криминальных элементов по возможности в большей степени, и в связи с этим использовать коды DUKPT.

1.3. Наборы команд программного обеспечения УВБД

1.3.1. Программное обеспечение УВБД: Набор команд для розничной торговли

Интерфейс УВБД/программное обеспечение розничной торговли представляет собой интерфейс, обеспечивающий возможность специфическим терминалам пунктов розничной продажи взаимодействовать с системой. Интерфейс УВБД/программное обеспечение розничной торговли спроектирован для обеспечения возможности терминалу выполнять следующие операции:

Подтверждение подлинности транзакции

Для реализации этих операций Интерфейс УВБД/программное обеспечение розничной торговли обеспечивает выполнение следующего набора операций:

Установить язык <имя_языка>

Получить биометрические данные<время>

Получить ПИК<время>

Назначить регистр<регистр><значение>

Получить код индекса счета<время>

Подтвердить сумму <сумма><время>

Ввести сумму <время>

Сформировать сообщение<тип>

Показать ответ <зашифрованный ответ ><время>

Сброс

1.3.2. Программное обеспечение УВБД: набор команд для КТВ (интегрированное дистанционное)

Интерфейс УВБД/программное обеспечение КТВ предусматривает набор команд, который позволяет терминалам, интегрированным с телефонными/кабельными УВБД, взаимодействовать с системой. Поддерживаются следующие операции:

Санкционирование дистанционно осуществляемой транзакции

Для реализации этой операции интерфейс УВБД/КТВ обеспечивает следующий набор команд:

Получить биометрические данные<время>

Установить ПИК<текст>

Назначить регистр<регистр><текст>

Установить код индекса счета<текст>

Сформировать сообщение<тип>

Дешифрировать ответ <зашифрованное ответное сообщение >

Сброс

1.3.3. Программное обеспечение УВБД: набор команд для интегрированного факса

Интерфейс УВБД/программное обеспечение факса содержит набор команд, который обеспечивает возможность терминалам, интегрированным с факсовым УВБД, взаимодействовать с системой. Поддерживаются следующие операции:

Защищенная передача факса

Защищенные данные факса

Защищенное отслеживание факса

Защищенный поиск факса

Защищенное отклонение факса

Защищенный архив факса

Защищенный прием контракта по факсу

Защищенное отклонение контракта по факсу

Поиск в архиве электронных документов

Для реализации этих операций интерфейс УВБД/факс обеспечивает следующий набор команд:

Получить биометрические данные<время>

Установить ПИК<текст>

Назначить регистр<регистр><значение>

Установить код индекса заголовка<текст>

Получить ключ сообщения

Сформировать сообщение<тип>

Сброс

1.3.4. Программное обеспечение УВБД: набор команд регистрации

Интерфейс УВБД/программных средств регистрации представляет собой интерфейс, который обеспечивает возможность универсальным компьютерам взаимодействовать с системой для идентификации и регистрации индивидуальных пользователей. Поддерживаются следующие операции:

Идентификация индивидуальных пользователей Регистрация биометрических данных

Для реализации этих операций интерфейс УВБД/регистрация обеспечивает следующий набор команд:

Установить язык <язык_имя>

Получить биометрические данные<время>[основные\дополнительные]

Установить ПИК<время>

Назначить регистр<регистр><текст>

Получить ключ сообщения

Сформировать сообщение<тип>

Показать ответ <зашифрованное ответное сообщение ><время>

Сброс

1.3.5.Программное обеспечение УВБД: набор команд ПК

Интерфейс УВБД/ПК предусматривает набор команд, которые обеспечивают возможность универсальным компьютерам передавать, принимать, подписывать электронные документы, проводить транзакции через сеть и выдавать полученные с помощью биометрических данных «вверительные данные» в узлы сети. Поддерживаются следующие операции:

Передача электронного документа

Данные электронного документа

Отслеживание электронного документа

Поиск электронного документа

Отклонение электронного документа

Архив электронного документа

Поиск в архиве электронных документов

Передача электронной подписи (сигнатуры)

Проверка электронной сигнатуры

Подтверждение подлинности дистанционно осуществляемой транзакции

Вверительные данные сети

Защищенное соединение

Для поддержки этих операций интерфейс УВБД/ПК обеспечивает следующий набор команд:

Установить язык <язык_имя>

Получить биометрические данные<время>

Получить ПИК <время>

Получить код индекса счета <время>

Подтвердить счет <счет><время>

Ввести сумму<время>

Подтвердить документ <имя><время>

Назначить регистр<регистр><текст>

Получить ключ сообщения

Сформировать сообщение<тип>

Подтвердить личный код <зашифрованное подтверждение><время>

Сброс

1.3.6. Программное обеспечение УВБД: набор команд эмитента

Интерфейс УВБД/программное обеспечение эмитента представляет собой интерфейс, обеспечивающий возможность универсальному компьютеру взаимодействовать с системой для аутентификации и передачи запросов изменения пакета. Поддерживаются следующие операции:

Пакет эмитента

Для реализации этих операций интерфейс УВБД/программное обеспечение эмитента обеспечивает следующий набор команд:

Установить язык <язык_имя>

Получить биометрические данные<время>[основные/вспомогательные]

Получить ПИК <время>

Назначить регистр<регистр><значение>

Получить ключ сообщения

Сформировать сообщение<тип>

Сброс

1.3.7. Программное обеспечение УВБД: набор внутренних команд

Интерфейс УВБД/внутренние команды обеспечивает набор команд, который позволяет универсальному компьютеру взаимодействовать с системой для идентификации пользователей. Поддерживаются следующие операции:

Идентификация индивидуального пользователя

Для реализации этих операций интерфейс УВБД/внутренние команды обеспечивает следующий набор команд:

Установить язык <язык_имя>

Получить биометрические данные<время>

Получить ПИК <время>

Назначить регистр<регистр><значение>

Получить ключ сообщения

Сформировать сообщение<тип>

Сброс

1.3.8. Программное обеспечение УВБД: набор команд АКМ

Интерфейс УВБД/программное обеспечение АКМ обеспечивает набор команд, который позволяет АКМ идентифицировать индивидуальных пользователей. Поддерживаются следующие операции:

Доступ к счету

Для реализации этой операции интерфейс УВБД/АКМ обеспечивает следующий набор команд:

Получить биометрические данные<время>

Установить ПИК<текст>

Установить код индекса счета<текст>

Назначить регистр<регистр><текст>

Сформировать сообщение<тип>

Сброс

1.4. Терминалы

1.4.1. Введение

Терминал представляет собой устройство, которое контролирует УВБД и соединяет с центром обработки данных посредством модема, соединения стандарта Х.25 или соединения Internet, что хорошо известно в промышленности. Терминалы выпускаются в различных формах и с различными габаритами и требуют различных версий УВБД для выполнения своих задач. Любое электронное устройство, которое выдает команды и принимает результаты от УВБД, может представлять собой терминал.

Некоторые терминалы представляют собой прикладные программы, выполняемые на универсальном микрокомпьютере, в то время как другие представляют собой комбинацию специализированных аппаратных средств и программного обеспечения.

В то время как терминал критичен для функционирования системы в целом, сама система не создает никаких проблем для терминала. Всякий раз, когда терминал предоставляет информацию системе, система всегда подтверждает ее некоторым способом, либо путем представления индивидуальному пользователю для подтверждения, либо путем перекрестных проверок с другой ранее зарегистрированной информацией.

В то время как терминалы могут считывать некоторые части сообщений УВБД для подтверждения того, что данные были правильно обработаны УВБД, вместе с тем, терминалы не могут считывать информацию идентификации биометрических данных, включая биометрические данные, ПИК, ключи шифрования, коды индексов счетов.

Некоторые УВБД переносят некоторые функциональные возможности обеспечения защищенности на терминал, например, ввод ПИК, отображение личного кода. В результате такие устройства рассматриваются как менее защищенные, чем полностью автономные варианты, и поэтому имеют более низкий рейтинг защищенности.

Имеются различные типы терминалов, каждый из которых соединяется с конкретной моделью УВБД. Каждый терминал кратко описан ниже

АТМ (Автоматическая кассовая машина - АКМ)

Интегрированная модель УВБД/АТМ с программным обеспечением АТМ обеспечивает доступ с использованием биометрических данных и ПИК к автоматам для выдачи наличных денег.

BRT (Терминал регистрации биометрических данных)

Стандартное УВБД с программным обеспечением регистрации, связанное с микрокомпьютером, обеспечивает банкам возможность регистрировать новых индивидуальных пользователей системы вместе с их счетами финансовых активов и другой персональной информацией.

СЕТ (Сертифицированный терминал электронной почты)

Стандартное УВБД с программным обеспечением ПК, связанное с микрокомпьютером, обеспечивает индивидуальным пользователям возможность передавать, принимать, архивировать, отклонять, отслеживать сообщения электронной почты с подтвержденным правом доступа.

СРТ (Терминал КТВ системы терминалов для производства платежей в местах совершения покупок)

УВБД/КТВ с программным обеспечением КТВ, связанный с широкополосной системой КТВ, обеспечивает индивидуальным пользователям, оснащенньм дистанционным УВБД/ТВ, возможность санкционировать покупки, производимые с использованием ТВ.

CST (Терминал обслуживания потребителей)

Стандартное УВБД с программным обеспечением набора внутренних команд, связанный с микрокомпьютерной системой санкционирует служащим создание запросов в базе данных в целях обслуживания потребителей.

EST (Терминал электронной подписи)

Стандартное УВБД с программным обеспечением персонального компьютера, связанный с микрокомпьютером, обеспечивает индивидуальных пользователей возможностью создания и подтверждения подлинности электронных подписей на документах.

IPT (Интернетовский терминал системы терминалов для производства платежей в месте совершения покупок)

Стандартное УВБД с программным обеспечением персонального компьютера, связанный с микрокомпьютером, обеспечивает индивидуальных пользователей возможностью соединения с сетью Internet для осуществления покупок товаров у продавцов, подсоединенных к сети Internet.

IT (Терминал эмитента)

Стандартное УВБД с программным обеспечением эмитента, связанное с микрокомпьютером, предоставляет банкам возможность пересылать пакетированные изменения в счетах активов в центр обработки данных.

ITT (Терминал кассира сети Internet)

Стандартное УВБД с программным обеспечением персонального компьютера, связанный с микрокомпьютером, подсоединенным к сети Internet, обеспечивает индивидуальных пользователей возможностью осуществления транзакций со своим банком, подсоединенным к сети Internet.

РРТ (Телефонный терминал сети терминалов для производства платежей в месте совершения покупок)

УВБД/КТВ с программным обеспечением КТВ, интегрированное с телефонной сетью, обеспечивает индивидуальным пользователям возможность санкционировать выполнение транзакций по телефону.

RPT (Терминал сети терминалов для производства платежей в месте розничной торговли)

Стандартное УВБД с программным обеспечением розничной торговли, подсоединенное к сети Х.25 или использующее модем, обеспечивает индивидуальному пользователю возможность покупать товары с использованием санкционирования транзакций в магазине.

SFT (Терминал защищенного факса)

УВБД/КТВ с программным обеспечением факсимильной связи, интегрированное с факсимильным аппаратом, обеспечивает индивидуальному пользователю возможностей передачи, приема, отклонения, архивирования и отслеживания защищенных факсовых сообщений.

1.4.2. Терминал сети терминалов для производства платежей в месте розничной торговли

1.4.2.1. Назначение

Назначением терминала для производства платежей в месте розничной торговли является обеспечение возможности индивидуальным пользователям покупать товары в магазине, без использования наличных денег, чеков, дебиторской или кредитной карточек.

Терминал для производства платежей в месте розничной торговли использует интерфейс УВБД/программное обеспечение розничной торговли для санкционирования финансовых транзакций от индивидуального лица к продавцу. Помимо использования для приема права пользования на основе биометрических данных и ПИК, этот терминал обеспечивает также функции сканирования стандартных дебиторских и кредитных карточек.

Заметим, что здесь детально описываются только транзакции, основанные на использовании биометрических данных. Предполагается, что данный терминал также содержит стандартные устройства считывания с кредитных и с платежных карточек с магнитной полосой, а также дополнительные устройства считывания с интеллектуальных карточек.

1.4.2.2. Конструкция

Каждый терминал для производства платежей в месте розничной торговли соединен с центром обработки данных через модем, сетевое соединение Х.25, соединение цифровой сети ISDN или т.п.Терминал для производства платежей в месте розничной торговли также может быть соединен с другими устройствами, такими как регистр электронных денег, из которого он получает сумму транзакции и код продавца.

Терминал для производства платежей в месте розничной торговли содержит:

Интерфейс УВБД/программное обеспечение розничной торговли

Недорогой микропроцессор

Аппаратные средства интерфейса модем 9,6 кб/сеть Х.25

Номер идентификационного кода продавца в энергонезависимой памяти со случайным доступом

Последовательный порт центра обработки данных для соединения с УВБД

Устройство считывания с карточки с магнитной полосой (известно в промышленности)

Порт соединения регистра электронных денег

Дополнительное устройство считывания с интеллектуальной карточки (известно в промышленности)

1.4.2.3. Идентификация

Две стороны должны быть идентифицированы для центра обработки данных, чтобы получить положительный ответ на запрос санкционирования транзакции с использованием УВБД: индивидуальный пользователь и продавец.

Индивидуальный пользователь идентифицируется с помощью биометрических данных и ПИК, а продавец идентифицируется центром обработки данных, который осуществляет перекрестную проверку кода продавца, содержащегося в записи VAD устройства ввода биометрических данных, с кодом продавца, добавленным к запросу транзакции терминалом RPT.

1.4.2.4. Работа

Сначала продавец вводит значение транзакции в свой регистр электронных денег. Затем индивидуальный пользователь вводит свои биометрические данные и ПИК, свой код индекса счета и затем подтверждает сумму. Терминал RPT затем добавляет информацию о товаре и код продавца в УВБД и выдает команду УВБД сформировать транзакцию и переслать ее а центр обработки данных посредством сетевого соединения (модем, Х.25 и т.п.).

После того как центр обработки получит это сообщение, он подтверждает биометрические данные и ПИК, получает номер счета с использованием кода индекса счета и осуществляет перекрестную проверку кода продавца в сообщении с зарегистрированными данными владельца УВБД. При положительном результате проверки центр обработки данных формирует и пересылает кредитно/дебетовую транзакцию для выполнения. Ответ из сети, осуществляющей кредитно/дебетовую операции, добавляется к персональному коду для формирования ответного сообщения транзакции, которое центр обработки данных пересылает назад к терминалу RPT. Терминал RPT проверяет ответ на предмет определения, получено ли санкционирование, и затем пересылает ответ в УВБД, которое затем отображает персональный код индивидуального пользователя, завершая транзакцию.

1.4.2.5. Меры защиты

Сообщения, передаваемые между терминалом RPT и центром обработки данных защищаются посредством шифрования и вычисления кода аутентификации сообщений (MAC) с УВБД. Код MAC позволяет терминалу RPT просмотреть незашифрованные части сообщения, но терминал RPT не может их изменить. Шифрование препятствует раскрытию зашифрованной части сообщения для терминала RPT.

Каждое УВБД для розничной торговли должно быть зарегистрировано на продавца. Это помогает воспрепятствовать кражам УВБД. Кроме того, так как терминал RPT добавляет код продавца в каждое сообщение, замена УВБД, принадлежащего продавцу, на другое УВБД будет обнаружено центром обработки данных при осуществлении им перекрестных проверок.

1.4.3. Интернетовский терминал системы терминалов для производства платежей в месте совершения покупок (IPT)

1.4.3.1. Назначение

Целью терминала IPT является санкционирование кредитных и дебетовых финансовых транзакций между индивидуальным пользователем, имеющим компьютер, и продавцом, причем оба они подсоединены к сети Internet.

Заметим, что сеть Internet представляет собой просто универсальную сеть, посредством которой продавец, центр обработки данных и терминал IPT могут соединяться между собой в режиме реального времени. В результате данный механизм обслуживания реализуется точно так же, как при использовании любой другой универсальной сети.

1.4.3.2. Конструкция

Терминал IPT содержит

Интерфейс УВБД/ПК

Микрокомпьютер

Прикладную программу Internet Shopper

Соединение с Internet (или иной сетью)

1.4.3.3. Идентификация

Помимо идентификации индивидуального пользователя, терминал IPT должен также идентифицировать удаленного продавца, который является второй стороной осуществляемой транзакции. Продавец должен также идентифицировать как центр обработки данных, так и терминал IPT.

Программа Internet Shopper хранит имя главной машины (или иную форму сетевого имени) продавца, у которого производится покупка, для проверки идентификации продавца. Поскольку продавец регистрирует все свои интернетовские главные машины в центре обработки данных, это позволяет центру обработки данных осуществлять перекрестную проверку кода продавца с кодом продавца, запомненным под упомянутым именем главной машины, для проверки идентичности продавца.

1.4.3.4. Работа

Сначала терминал IPT соединяется с продавцом с использованием сети Internet. После установления соединения терминал IPT предпринимает меры защиты путем генерирования и затем передачи ключа сеанса (сетевого соединения) к продавцу. Для того чтобы гарантировать скрытность ключа сеанса, он шифруется доступным ключом продавца с использованием шифрования доступным ключом. После получения продавцом этого зашифрованного ключа сеанса, он дешифрирует его с использованием своего персонального ключа. Эта процедура определяется как защита сетевого соединения посредством обмена секретным ключом, зашифрованным с использованием доступного ключа.

После установления соединения терминал IPT загружает код продавца, а также цену и информацию о товаре от продавца. Если покупатель готов сделать покупку, он выбирает конкретный товар. Затем он вводит биометрические данные и ПИК с использованием УВБД/ПК, терминал ГРТ пересылает код продавца, информацию идентификации продукта и сумму на УВБД и выдает ему команду сформировать запрос санкционирования дистанционно осуществляемой транзакции. Затем терминал IPT пересылает запрос продавцу по защищенному каналу.

Продавец соединяется с центром обработки данных с использованием подобно же защищенного соединения, что и с продавцом, а именно, с использованием шифрования доступным ключом, чтобы передать ключ защищенного сетевого соединения. В отличие от соединения между терминалом IPT и продавцом, ключи сетевого соединения между продавцом и центром обработки данных действуют в течение целых суток, а не только для одного соединения.

Продавец соединяется с центром обработки данных, обеспечивая защищенность соединения с использованием ключа сеанса, и направляет транзакцию для подтверждения в центр обработки данных. Центр обработки данных подтверждает биометрические данные и ПИК, осуществляет перекрестную проверку кода продавца, содержащегося в запросе, с кодом продавца, запомненным под именем главной машины (сетевого узла), которое было передано в запросе, и затем передает транзакцию в кредитно/дебетовую сеть. После получения ответа из этой сети центр обработки данных формирует ответное сообщение, включающее санкционирование кредитно/дебетовой операции, зашифрованный персональный код и адрес индивидуального пользователя, и пересылает это сообщение назад к продавцу.

Как только продавец получит этот отклик, он копирует почтовый адрес индивидуального пользователя из ответа, отмечает код санкционирования и направляет ответное сообщение в терминал IPT.

Терминал IPT направляет полученный отклик в УВБД, которое дешифрирует персональный код и отображает его на экране ЖКД, указывая, что центр обработки данных распознал индивидуального пользователя. Терминал IPT также показывает результат транзакции как успешный или безуспешный.

1.4.3.5. Меры защиты

Поскольку система исходит из предположения, что противник, находящийся в сети, может в любой момент нарушить сетевые соединения, все стороны должны обеспечивать защищенную связь в процессе осуществляемых в реальном времени транзакций. Основное внимание должно уделяться не раскрытию информации, а вводу и пересылке сообщений.

Вся система шифрования доступным ключом основывается на трастовых источниках для доступных ключей. Эти трастовые источники определяются как органы, подтверждающие право доступа, и можно предполагать, что такой источник в ближайшем будущем появится и для сети Internet.

1.4.4.1. Терминал кассира сети Internet (ITT)

Терминал ITT используется для идентификации индивидуального пользователя в связи с осуществлением сеансов для банковских операций в сети Internet.

Имеются две главные задачи. Первая состоит в обеспечении защищенного канала связи от терминала ITT до банка сети Internet. Вторая состоит в обеспечении безотзывных вверительных данных идентичности для банка сети Internet. Как только обе задачи выполнены, терминал ITT может обеспечивать защищенное сетевое соединение для осуществления банковских операций. Кроме того, для обеспечения дополнительной защищенности для всех высокоценных и/или нерегулярных транзакций используется функция проверки подлинности запроса УВБД и ответа.

1.4.4.2. Конструкция

Терминал ITT содержит:

УВБД (стандартная модель на основе ПК)

Микрокомпьютер

Прикладную программу Internet Teller

Соединение с Internet

Терминал ITT принимает биометрические идентификационные данные с использованием УВБД/ПК, соединенного с микрокомпьютером, служащим в качестве терминала сети Internet индивидуального пользователя.

1.4.4.3. Идентификация

Как индивидуальный пользователь, так и банк идентифицируются центром обработки данных для создания сетевых вверительных данных. Сетевые вверительные данные включают идентификацию индивидуального пользователя, а также контекст соединения (т.е. порты TCP/IP источника и адресата).

Центр обработки данных идентифицирует банк посредством перекрестной проверки кода, который банк посылает в терминал ITT с именем банковского сетевого узла, которое терминал ITT посылает в центр обработки данных.

1.4.4.4. Работа

Сначала терминал ITT соединяется с банком сети Internet, удостоверяется, что банк имеет вычислительные ресурсы, необходимые для обработки нового сеанса работы для индивидуального пользователя. Если банк имеет достаточно ресурсов, то он направляет терминалу ITT банковский идентификационный код.

После осуществления соединения терминал ITT выдает команду УВБД о получении от пользователя биометрических данных и ПИК и кода индекса счета. Затем терминал ITT добавляет имя банковского сетевого узла и код банка. С использованием всей этой информацией УВБД запрашивается сформировать сообщение запроса о сетевых вверительных данных, которое терминал ITT посылает в центр обработки данных через сеть Internet.

После приема центром обработки данных этого сообщения он подтверждает подлинности биометрических данных и ПИК, получает номер счета с использованием кода индекса и удостоверяется в том, что код банка, содержащийся в сообщении, совпадает с кодом банка, запомненным под именем банковского сетевого узла в базе данных удаленных продавцов. Центр обработки данных также проверяет, принадлежит ли банку номер счета, полученный с использованием кода индекса. Если все проверки дают положительный результат, то центр обработки данных создает сетевые вверительные данные с использованием идентификации счета индивидуального пользователя, времени суток и кода банка. Центр обработки данных отмечает эти вверительные данные с использованием шифрования открытым ключом и индивидуальным ключом центра обработки данных. Центр обработки данных вызывает доступный ключ банка и личный код индивидуального пользователя и с вверительными данными формирует ответное сообщение сетевых вверительных данных. Это ответное сообщение шифруется с использованием ключа ответа УВБД и затем пересылается в терминал ITT.

Когда терминал ITT принимает ответ, он направляет его в УВБД. УВБД дешифрирует и затем отображает личный код индивидуального пользователя на экране ЖКД. Открытый ключ банка запоминается в регистре доступных ключей. Два случайных ключа сеанса генерируются в УВБД. Первый ключ, называемый совместно используемым ключом сеанса, выдается терминалу ITT в открытом тексте. Терминал ITT использует этот совместно используемый ключ сеанса для обеспечения защиты соединения с банком.

Другой ключ сеанса, называемый индивидуальным ключом сеанса, не используется совместно с терминалом ITT. Он используется для реализации механизма запроса-ответа УВБД, позволяющего банку получать конкретные подтверждения подлинности для нестандартных транзакций, непосредственно от индивидуального пользователя, минуя терминал ITT.

После приема совместно используемого ключа сеанса терминал ITT запрашивает УВБД о формировании сообщения запроса защищенного соединения, что включает как ключи сеанса, так и сетевые вверительные данные, и все шифруется открыть™ ключом банка. Затем терминал ITT посылает сообщение запроса защищенного соединения в банк.

Когда банк получает сообщение запроса, он дешифрирует сообщение с использованием своего индивидуального ключа. Затем от дешифрирует текущие сетевые вверительные данные с использованием открытого ключа центра обработки данных. Если сетевые вверительные данные истинны и срок их использования не истек (вверительные данные прекращают действовать спустя несколько минут), то индивидуальный пользователь получает санкцию, и диалог продолжается с использованием ключа сеанса для обеспечения защищенности.

Если индивидуальный пользователь выполняет нестандартную или высокоценную транзакцию, банк может попросить пользователя подтвердить подлинность таких транзакций для дополнительной защищенности. Для этого банк посылает сообщение запроса-ответа, зашифрованное индивидуальным ключом сеанса, в терминал ITT, который направляет это сообщение запроса-ответа в УВБД. УВБД дешифрирует это сообщение, отображает запрос (обычно в форме вопроса типа: «Перевод 2031,23 $ для Рика Адамса ОК ?», и если пользователь подтверждает этот вопрос нажатием кнопки ОК, то УВБД повторно шифрует ответ индивидуальным ключом сеанса и пересылает сообщение терминалу ITT, который направляет его в банк, подтверждая транзакцию.

1.4.4.5. Меры защиты

Система использует шифрование открытым ключом как для обеспечения вверительных данных, так и для защиты коммуникаций между терминалом ITT и банком.

Чтобы этот механизм работал надлежащим образом, банк должен знать открытый ключ центра обработки данных, а также центр обработки данных должен знать открытый ключ банка. Принципиально важно для обеспечения защищенности системы, чтобы обе стороны хранили соответствующие открытые ключи защищенными от несанкционированного изменения. Заметим, что открытые ключи могут считываться кем угодно, однако они не могут быть изменены любым лицом. Разумеется, любые ключи сеанса или секретные ключи должны храниться защищенными от наблюдения, и секретные ключи должны уничтожаться после завершения сеанса.

Дополнительный этап подтверждения для нестандартных транзакций необходим, ввиду относительных сложностей, связанных с обеспечением защищенности компьютерных прикладных программ в сети Internet, ввиду вирусов, взломщиков компьютерных программ и индивидуальной неосторожности. Банки, вероятно, будут ограничивать стандартные переводы денежных средств на терминалы ITT, включая в их число только переводы денежных средств в хорошо известные организации, такие как коммунальные компании, основные продавцы по кредитным карточкам и т.п.

1.4.5. Терминал электронной подписи (EST)

1.4.5.1. Назначение

Терминал EST используется индивидуальными пользователями для генерирования электронных подписей, которые невозможно подделать, на электронных документах. Терминал EST позволяет индивидуальным пользователям подписывать электронные документы, а также подтверждать подлинность электронных подписей, уже имеющихся на таких документах.

1.4.5.2. Конструкция

Терминал EST содержит:

УВБД/ПК

Микрокомпьютер

Алгоритм кодирования сборника сообщений

Модем, соединение Х.25 или соединение Internet

Прикладная программа электронной подписи

Терминал EST использует интерфейс УВБД/ПК, связанный с микрокомпьютером, при управлении событиями с помощью прикладной программы электронной подписи.

1.4.5.3. Идентификация

Для создания цифровой подписи без использования некоторого типа идентификационных карточек, закодированных с использованием открытых или индивидуальных ключей, необходимо выполнить три момента. Прежде всего, документ, который должен подписываться, должен быть однозначно идентифицируемым, должно быть зафиксировано время суток и индивидуальное лицо, выполняющее подпись, должно быть идентифицировано. Это позволяет увязать документ, индивидуальное лицо и время, создавая тем самым уникальную электронную подпись, маркированную временем.

14.5.4. Работа

Сначала документ, подлежащий подписыванию, обрабатывается с помощью алгоритма кодирования сборников сообщений, который генерирует код сборника сообщений. Одним из таких алгоритмов является алгоритм MD5, разработанный RSA, который хорошо известен в промышленности. По своим особенностям, алгоритмы кодирования сборников сообщений специальным образом проектируются так, чтобы практически невозможно было бы получить другой документ, который генерирует тот же самый код сборника сообщений.

Затем индивидуальный пользователь вводит свои биометрические данные - ПИК с использованием УВБД, код сборника сообщений вводится в УВБД, добавляется имя документа и полученное сообщение запроса цифровой подписи передается в центр обработки для санкционирования и хранения.

Когда центр обработки данных принимает запрос, он выполняет проверку идентичности с использованием биометрических данных, и если подлинность индивидуального пользователя подтверждена, то от собирает кодирование сборника сообщений, номер счета биометрических данных индивидуального пользователя, текущее время суток, имя документа и идентификацию УВБД, которым была получена подпись, и хранит все собранные данные в базе данных электронной подписи. Центр обработки данных затем формирует строку текста кода подписи, которая состоит из номера записи в базе данных электронной подписи, дату, время, имя подписавшего лица, и передает этот код подписи вместе с индивидуальным кодом пользователя назад в терминал EST.

Для проверки электронной подписи документ пропускается через алгоритм MD5 и полученное в результате значение, вместе с кодами электронной подписи, выдается в УВБД, вместе с запросом биометрических данных и ПИК пользователя, и сообщение передается в центр обработки данных. Центр обработки данных проверяет каждую подпись на ее подлинность и выдает соответствующий ответ.

1.4.5.5. Меры безопасности

УВБД не шифрует данные, относящиеся к электронным подписям, так что заголовки документов вместе с конкретными значениями, полученными с использованием алгоритма MD5, пересылаются как открытый текст. Та же ситуация имеет место для подтверждений подлинности подписей.

Поэтому хотя подписи невозможно подделать, однако некоторые детали (включая имя документа) уязвимы с точки зрения возможности их перехвата.

1.4.6. Сертифицированный терминал электронной почты (СЕТ)

1.4.6.1 Назначение

Назначением терминала СЕТ является обеспечение возможности индивидуальным пользователям доставлять электронные сообщения другим индивидуальным пользователям в системе, причем обеспечивая идентификацию отправителя, подтверждение как приема, так и принимающего корреспондента, а также гарантируя конфиденциальность доставки сообщений.

Терминал СЕТ использует УВБД/ПК для идентификации как отправителя, так и получателя. Защищенность обеспечивается шифрование сообщения, а затем шифрованием ключа сообщения с использованием УВБД отправителя при загрузке и затем дешифрирования ключа сообщения с использованием УВБД получателя при выгрузке сообщения.

1.4.6.2. Конструкция

Терминал СЕТ как отправителя, так и получателя содержит:

УВБД

Микрокомпьютер

Модем, соединение Х.25 или соединение Internet

Средства приема электронной почты

Сертифицированную прикладную программу электронной почты

Терминал СЕТ в действительности представляет собой микрокомпьютер с прикладной программой электронной почты и сетевым соединением, который обращается к УВБД для генерирования разрешения на основе биометрических данных и ПИК пользователя передавать и принимать электронную почту с подтвержденным правом доступа.

1.4.6.3. Идентификация

Для того чтобы гарантировать доставку сообщения, как отправитель, так и получатель должны быть идентифицированы.

Отправитель идентифицирует себя с использованием его биометрических данных и ПИК, когда он загружает сообщение в центр обработки данных. Каждый получатель, которому отправитель желает направить документ, идентифицируется либо идентификационным номером счета биометрических данных, либо номером факса и расширением. Для того чтобы получатель мог выгрузить сообщение, он идентифицирует себя с использованием своих биометрических данных и ПИК. Эта процедура напоминает персональный телефонный вызов от одного абонента к другому.

1.4.6.4. Работа

Доставка сообщений начинается с загрузки индивидуальным пользователем документа или сообщения и идентификации самого себя с использованием биометрических данных и ПИК. Затем пользователь проверяет наименование документа и сообщение электронной почты шифруется и загружается.

После того как сообщение загружено, отправитель получает код идентификации сообщения, который может быть использован для запроса текущего статуса доставки документа каждому из получателей.

Центр обработки данных передает сообщение электронной почты каждому получателю, уведомляя его о том, когда приходит сообщение с подтвержденным правом доступа.

Как только получатель получит уведомление, он может, по своему выбору, принять или отказаться принимать сообщение или группу сообщений путем передачи своих биометрических данных и ПИК и получив подтверждение их от центра обработки данных.

После успешной доставки всем получателям документ удаляется спустя предварительно определенный период, в общем случае через 24 часа. Если пользователь желает архивировать документ, вместе с индикацией всех пользователей, которым сообщение было направлено, он должен передать запрос архивирования сообщения перед его исключением.

1.4.6.5. Меры защиты

Для обеспечения защищенности передачи документ защищен от раскрытия на маршруте. Терминал осуществляет это с использованием 56-битового кода сообщений, генерируемого УВБД. Поскольку УВБД несет ответственность за шифрование ключа сообщения как части биометрических данных и ПИК, ключ шифрования пересылается, с обеспечением защищенности передачи, в центр обработки данных.

Когда пользователь выгружает сообщение, ключ сообщения пересылается в зашифрованном виде вместе с индивидуальным кодом, чтобы позволить получателю расшифровать сообщение. Заметим, что выгодно, чтобы все получатели имели данный ключ сообщения, если они все получают то же самое сообщение.

Как и в случае терминала ITT, индивидуальный пользователь должен соблюдать осторожность в вопросе обеспечения защиты своего прикладного программного обеспечения электронной почты с подтверждением права доступа от осуществляемых тайком модификаций, поскольку модифицированная программа электронной почты может передать любой документ, если индивидуальный пользователь подтвердит имя документа.

1.4.7. Терминал защищенного факса (SFT)

1.4.7.1. Назначение

Назначением терминала SFT является обеспечение индивидуальным пользователям возможности доставки факсовых сообщений другим пользователям в системе, при обеспечении идентификации отправителя, подтверждения как получения, так и получателя, а также гарантируя конфиденциальность доставки.

Каждый терминал SFT использует интегрированный интерфейс УВБД/КТВ для идентификации как отправителя, так и получателя. Защищенность связи обеспечивается посредством шифрования.

1.4.7.2. Конструкция

Терминал SFT как отправителя, так и получателя содержит:

УВБД/КТВ

Факсимильный аппарат

Дополнительный модем цифровой сети ISDN

Терминал SFT представляет собой факсимильный аппарат, соединенный с УВБД посредством модема. Система обрабатывает факсы как иной тип электронной почты с подтверждением права доступа.

1.4.7.3 Идентификация

Имеются разные уровни защиты для защищенных факсовых передач, но в наиболее защищенном виде предусматривается подтверждение подлинности как отправителя, так и всех получателей.

Отправитель идентифицирует себя с использованием своих биометрических данных и ПИК и кода индекса заголовка, когда он направляет свое сообщение в центр обработки данных. Для приема факса каждый получатель идентифицирует себя вновь с использованием биометрических данных и ПИК и кода индекса заголовка.

Кроме того, принимающая сторона идентифицируется номером телефона. Этот номер телефона регистрируется в центре обработки данных. Для защищенных конфиденциальных факсов каждый получатель идентифицируется номером телефона и расширением.

1.4.7.4. Работа

Имеются пять основных типов факсов, которые могут передаваться с терминала SFT.

1. Незащищенные факсы

Незащищенные факсы эквивалентны стандартным факсам. Отправитель вводит номер телефона получателя и передает факс. В этом случае отправитель остается неидентифицированным, а факс передается на заданный номер телефона в надежде, что он будет доставлен требуемому получателю. Терминал SFT маркирует верхнюю линию на всех незащищенных факсах как «несекретно». Все факсы, принимаемые от аппаратов факсимильной связи, иных, чем терминал SFT, всегда маркируются как несекретные.

2. Факсы, защищенные со стороны отправителя

В случае факса, защищенного со стороны отправителя, отправитель выбирает режим «защищено со стороны отправителя» на факсимильном аппарате, вводит свои биометрические данные и ПИК и затем код индекса заголовка. Факсимильный аппарат затем соединяется с центром обработки данных и пересылает информацию о биометрических данных и ПИК. Если центр обработки данных подтвердит идентичность отправителя, то отправитель передает факс путем ввода документа в сканер факса. В этом случае факс действительно передается в центр обработки данных, который запоминает факс в цифровом виде. После того как факс поступил в центр обработки данных, последний начинает передачу факса в каждое место назначения, маркируя каждую страницу именем, названием, компанией отправителя, вместе с отметкой «защищено со стороны отправителя» на верху каждой страницы.

3. Защищенный факс

В случае защищенного факса отправитель выбирает «защищенный режим» на факсимильном аппарате, вводит свои биометрические данные и ПИК, а затем код индекса заголовка и вводит номера телефонов получателей. После того как система подтвердит идентичность отправителя и номера телефонов каждого из получателей, отправитель посылает факс путем ввода документа в сканер факса. Затем факс передается в центр обработки данных, где он запоминается в цифровом виде. После того как весь факс поступит в центр обработки данных, последний посылает титульный лист в место назначения, с указанием, что имеется секретный факс, ждущий приема, названия и идентификации отправителя, числа страниц факса, ожидающего приема и кода отслеживания. Этот код отслеживания автоматически вводится в память факсимильного аппарата получателя.

Для вызова факса, служащий компании-получателя может выбрать режим «вызвать факс» на своем факсимильном аппарате, выбрать, какой ожидающий приема факс следует вызвать с использованием кода отслеживания, и затем ввести биометрические данные и ПИК. Если факс отказываются принимать, то получатель может нажать кнопку «отказ», но при этом он должен идентифицировать себя в системе для того, чтобы реализовать этот режим. В случае согласия получения факс выгружается в факсимильный аппарат получателя. Каждая страница имеет отметку «защищенный режим», вместе с идентификацией отправителя и информацией заголовка.

4. Секретный конфиденциальный факс

В случае секретного конфиденциального факса отправитель выбирает режим защиты и конфиденциальности на факсимильном аппарате, вводит свои биометрические данные и ПИК, а затем код индекса заголовка и вводит номер телефона и системное расширение каждого из получателей. После того как центр обработки данных подтвердит идентичность отправителя и номера телефонов с расширением для каждого из получателей, отправитель посылает факс путем ввода документа в сканер факса. Затем факс передается в центр обработки данных, где он запоминается в цифровом виде. После того как весь факс поступит в центр обработки данных, последний посылает титульный лист в место назначения, с указанием, что имеется секретный конфиденциальный факс, ждущий приема, названия и идентификации отправителя, числа страниц факса, ожидающего приема и кода отслеживания. Этот код отслеживания автоматически вводится в память факсимильного аппарата получателя. Однако только тот индивидуальный пользователь может вызвать факс, чей код расширения указан.

Данный индивидуальный пользователь выбирает режим «вызвать факс» и вводит свои биометрические данные и ПИК, После подтверждения его подлинности в качестве получателя, факс выгружается в факсимильный аппарат получателя. Каждая страница имеет отметку «режим защищенности и конфиденциальности), а также название отправителя и информацию идентификации.

5. Секретный конфиденциальный договорный факс

Данный тип факса обрабатывается идентично секретному конфиденциальному факсу, в том что касается доставки факса получателю, за исключением того, что факс маркируется как «договорный» вместо «защищенного и конфиденциального». Кроме того, центр обработки данных автоматически архивирует договорные факсы. Любой получатель может принять или отказаться принимать договорный факс посредством терминала SFT. Таким образом, центр обработки данных выполняет функции электронного нотариуса.

Любой факс, который передан в систему и затем направлен получателю, может быть передан любому числу получателей, без набора передающим факсимильным аппаратом. Кроме того, отслеживаемый номер любого факса вводится в память факсимильного аппарата; сообщение о статусе для любого поступающего факса может генерироваться в передающем факсимильном аппарате путем выбора кнопки «статус» и затем выбора конкретного факса, ожидающего кода отслеживания. Центр обработки данных выдает сообщение, которое немедленно пересылается передающему факсимильному аппарату, детализируя состояние передачи для каждого получателя.

В случае любого секретного или секретно-конфиденциального факса имеется возможность либо для отправителя, либо для одного из получателей архивировать факс (вместе с конкретными данными о том, кто отправитель и кто получатель факса) для будущего обращения. С этой целью любой секретный факс хранится в течение некоторого интервала времени (например, в течение 24 часов) после успешной доставки. Код отслеживания архивирования выдается индивидуальному пользователю, если запрашивается обращение к архиву. Этот код архива используется для поиска факсов и сообщений о статусе факсов, архивированных в системе.

Архивированные факсы помещаются во вспомогательную постоянную память спустя некоторый интервал времени (например, 24 часа). Поиск архивированного факса требует вмешательства оператора и может требовать для выполнения до 24 часов.

1.4.7.5. Меры защиты

Система SFT обеспечивает получателю возможность идентифицировать отправителя, а также может гарантировать отправителю, что получатель будет подтверждать прием документа.

Чтобы обеспечить защиту от перехвата передаваемых сообщений между отправителем и получателем, факсовый терминал шифрует факс с использованием средств ключа сообщений, обеспечиваемого УВБД. Поскольку УВБД несет ответственность за шифрование ключа сообщений в качестве части биометрических данных и ПИК, то ключ шифрования защищенным образом пересылается в центр обработки данных.

Когда индивидуальный пользователь получает защищенный факс любого типа, ключ сообщений пересылается в зашифрованном виде вместе с индивидуальным кодом, чтобы обеспечить возможность получателю дешифрировать сообщение. Заметим, что выгодно, когда все получатели имеют один и тот же ключ сообщений, если они все получают одно и то же сообщение.

1.4.7.6. Примечания

Передача защищенных факсов весьма сходна с передачей электронной почты и использует во многом те же самые аппаратные средства.

Можно сконструировать факсовый терминал так, чтобы он не имел интегрированного интерфейса УВБД с факсимильным аппаратом, а чтобы имел порт, подходящий для связи с внешним УВБД/ПК с программным обеспечением, соответствующим использованию УВБД.

1.4.8. Терминал регистрации биометрических данных (BRT)

1.4.8.1. Назначение

Назначением терминала регистрации биометрических данных является регистрация новых индивидуальных пользователей, включая их биометрические данные и ПИК, почтовый адрес, индивидуальный код, адрес электронной почты, перечень заголовков и кодов индексов заголовков, используемых для передачи и приема электронных сообщений и факсов, и перечень счетов финансовых активов и кодов индексов счетов, к которым они могут иметь доступ, причем все это с использованием биометрических данных.

Целью регистрации является получение персональной информации от пользователя в месте расположения организации, наделенной полномочиями, где эта информация может быть подтверждена. Это включает, без каких-либо ограничений, банковские магазины розничной торговли, корпоративные отделы кадров. Каждая несущая ответственность организация имеет свое УВБД, которое используется группой служащих, которые уполномочены выполнять регистрацию.

Каждый служащий несет ответственность за каждого зарегистрированного индивидуального пользователя.

1.4.8.2. Конструкция

Микрокомпьютер и экран, клавиатура, мышь Интерфейс УВБД/регистрация

Модем 9,6 кб/сетевое соединение Х.25 (известно в промышленности)

Прикладная программа регистрации биометрических данных

Терминал BRT использует интерфейс УВБД/регистрация для ввода биометрических данных и соединен с системой посредством модема 9,6 кб или сетевого соединения Х.25. Терминалы регистрации биометрических данных расположены в местах, которые физически защищены, например, в банковских магазинах розничной торговли.

1.4.8.3. Идентификация

Три элемента должны быть идентифицированы для того, чтобы центр обработки данных ответил положительно на запрос регистрации с терминала УВБД/регистрация: служащий, осуществляющий регистрацию, организация и терминал УВБД/регистрация. Служащий должен быть уполномочен для регистрации индивидуальных пользователей для данной организации.

Организация и УВБД идентифицируются путем перекрестной проверки владельца УВБД с кодом организации, устанавливаемым УВБД. Служащий идентифицирует себя в системе путем ввода своих биометрических данных и ПИК в начале осуществления программы регистрации.

Организация использует свою стандартную процедуру идентификации потребителей (карточки с личными подписями, регистрацию служащих, персональную информацию и т.п.) перед регистрацией индивидуального пользователя в системе. Важно, чтобы организация удостоверила подлинность индивидуального пользователя особенно тщательно, поскольку данный регистрирующий пользователь будет уполномочен переводить деньги со счетов и, или посылать электронные сообщения с использованием наименования компании.

1.4.8.4. Работа

При регистрации индивидуальный пользователь вводит как первичные, так и вторичные биометрические данные. Индивидуальный пользователь должен использовать оба указательных пальца. Если у него отсутствуют указательные пальцы, то может быть использован следующий наиболее удаленный палец. Требование использования конкретных пальцев позволяет осуществлять предварительную проверку по выявлению мошенничества.

Пользователю предлагается выбрать основной и дополнительный палец; основному пальцу отдается предпочтение при проверке идентичности в центре обработки данных, так что пользователь может выбрать в качестве основного наиболее часто используемый палец. Разумеется, центр обработки данных может изменить назначение основных и дополнительных биометрических данных, основываясь на операциях, если будет выявлена важность этой операции.

В качестве части процедуры кодирования биометрических данных, терминал УВБД/регистрация определяет, ввел ли пользователь «хороший отпечаток». Отметим, что имеются некоторые индивидуальные пользователи, профессиональная работа которых приводит к непреднамеренному удалению их отпечатков пальцев, в частности, работающие с абразивами и кислотами. К сожалению, такие лица не могут использовать данную систему. Такое их свойство обнаруживается на данном этапе процедуры, и они информируются, что они не могут принимать участие в процедуре регистрации.

Пользователь выбирает ПИК в пределах от четырех до 12 разрядов из серии опций ПИК, предоставляемых центральной базой данных системы. Однако ПИК должен подтверждаться системой. С этим связаны две проверки: одна состоит в том, что число других индивидуальных пользователей, использующих тот же самый ПИК, не слишком высоко (поскольку ПИК используется для уменьшения числа индивидуальных пользователей, проверяемых посредством алгоритма сравнения биометрических данных), и что индивидуальный пользователь, регистрируемый в данный момент, не слишком близок по своим биометрическим данным к другим индивидуальным пользователям в группе того же ПИК. Если это имеет место, то процедура отклоняется, на УВБД выводится сообщение об ошибке, и пользователю предлагается запросить другой ПИК. Система может также сформировать в ответ условие ошибки «идентичное совпадение», что показывает, что данный пользователь уже регистрировался в системе под данным ПИК.

Значение ПИК, равное 0, позволяет системе присваивать ПИК индивидуальному пользователю.

Пользователь формирует конфиденциальный индивидуальный код, состоящий из слова или фразы. Если пользователь не хочет его составлять, то индивидуальный код будет формироваться случайным образом терминалом.

Пользователь может также создать свой перечень кодов финансовых активов. Этот перечень указывает, какой код индекса счета соответствует какому счету (например, 1 - для дебета, 2 - для кредита, 3 - для особого (чрезвычайного) дебета и т.д.). Заметим, что это может иметь место только в том случае, если регистрирующая организация является банком и только если владельцем счетов является данная конкретная банковская организация.

Даже после регистрации индивидуальный пользователь в действительности не может выполнять операции с использованием системы до тех пор, пока не будет завершена предварительная проверка возможности злоупотребления. Это в общем случае занимает время порядка нескольких минут, однако в случаях очень большой нагрузки эта операция занимает до нескольких часов. Только если система не обнаружит признаков злоупотреблений, счет пользователя активизируется.

1.4.8.5. Меры безопасности

Если обнаружен даже единичный факт обмана системы пользователем, центр обработки данных осуществляет в базе данных, хранящей биометрические данные, поиск на предмет выявления криминальных фактов. Различные такие поиски выполняются в ночное время, и пользователи, разысканные системой, отсеиваются из базы данных с использованием процедуры, требующей длительное время.

Служащие, выполняющие операцию регистрации, идентифицируются сами с использованием биометрических данных/ПИК только в случае, когда они первоначально активизируют систему регистрации. Это удобно для служащего, однако создает проблемы защищенности для системы, так как временно необслуживаемые терминалы BRT могут оказаться источником злоупотреблений. В результате прикладная программа регистрации прекращает действие спустя предварительно определенный период бездеятельности.

1.4.9. Терминал обслуживания потребителей (CST)

1.4.9.1. Назначение

Назначение терминала CST состоит в том, чтобы обеспечить внутренний персонал поддержки центра обработки данных доступом к различным аспектам баз данных системы. Этот обслуживающий персонал должен отвечать на различные запросы пользователей, эмитентов, организаций, продавцов, у которых возникают проблемы при использовании системы.

1.4.9.2. Конструкция

Терминал CST содержит:

Микрокомпьютер

Интерфейс УВБД/внутреннее обслуживание

Сетевой интерфейс Ethernet/кольцевая сеть с эстафетным доступом/FDDI

Прикладная программа анализа и модификации базы данных

Каждый терминал CST соединен с системой посредством высокоскоростного локального сетевого соединения, такого как кольцевая сеть с эстафетным доступом, Ethernet, волоконное (FDDI) и т.п. Каждый терминал CST имеет возможность запросов каждой из баз данных и отображения результатов этих запросов. Однако терминал CST отображает только поля и записи, основываясь на привилегии индивидуального пользователя терминала. Например, служащий стандартного обслуживания потребителей не сможет наблюдать код шифрования для записи VDB конкретного УВБД, хотя они могут наблюдать, какой продавец или индивидуальный пользователь в данный момент использует данный УВБД.

1.4.9.3. Идентификация

Для того чтобы терминал CST имел доступ к базе данных, индивидуальный пользователь и УВБД должны быть идентифицированы в системе. Кроме того, должен также быть определен уровень привилегий в системе, так чтобы база данных могла соответствующим образом ограничить доступ.

1.4.9.4. Работа

Индивидуальный пользователь, использующий терминал CST, начинает сеанс с обеспечения идентификации путем ввода своих биометрических данных /ПИК. УВБД формирует сообщение запроса идентификации и передает его в центр обработки данных для проверки подлинности. Как только система удостоверит подлинность пользователя, прикладная программа CST сможет нормально работать, хотя и при ограничении уровнем привилегий, предварительно установленным для пользователей центром обработки данных.

1.4.9.5. Меры защиты

В целях защищенности, центр обработки данных будет завершать соединение с прикладной программой CST спустя предварительно определенный период ожидания.

Важно, чтобы прикладная программа базы данных не могла быть модифицирована каким-либо способом, либо преднамеренно, либо непреднамеренным вводом вируса. С этой целью индивидуальные терминалы CST не имеют дисководов для гибких дисков или иных схемных носителей информации. Кроме того, доступ к считыванию из базы данных жестко ограничен лицами с известными потребностями. Для того чтобы защитить коммуникации между терминалом CST и базой данных от модифицирования или раскрытия, терминал CST зашифровывает весь трафик между CST и базой данных. Для этой цели терминал CST генерирует ключ сеанса, который пересылается на сервер при установлении соединения с системой. Этот ключ сеанса используется для шифрования и дешифрирования всех коммуникаций с центром обработки данных, который имеют место в течение данного периода.

Даже при условии защищенных коммуникаций и в отсутствие модифицирования прикладных программ базы данных, центр обработки данных обеспечивает, чтобы поля данных центра обработки данных, которые не доступны для пользователей, работающих на терминале CST, не передавались в прикладную программу базы данных терминала CST. Аналогичным образом, ни в какой момент времени персонал CST не имеет доступа или разрешения модифицировать индивидуальную биометрическую информацию.

Центр обработки данных и центр поддержки могут располагаться в непосредственной близости, или, ввиду относительно жестких мер обеспечения защищенности в отношении терминала CST, центр поддержки может быть отделен от него.

1.4.10. Терминал запрашивающей стороны (IT)

1.4.10.1. Назначение

Назначение терминала IT состоит в обеспечении возможностей служащим запрашивающих банков передавать пакетные операции модифицирования счетов активов в центр обработки данных надежным и идентифицируемым способом.

1.4.10.2. Терминал IT содержит:

микрокомпьютер

модем, соединение с Х.25 или соединение с Internet

интерфейс УВБД/эмитент

сетевое соединение с внутренней банковской системой

Терминал IT использует УВБД запрашивающей стороны для санкционирования массовых дополнений или исключений информации о финансовых активах.

1.4.10.3. Идентификация

При выполнении этой операции должен идентифицироваться банк, кроме того, должен идентифицироваться банковский служащий, наделенный соответствующими полномочиями, и все индивидуальные пользователи, счета активов которых должны дополняться или удаляться.

Банк несет ответственность за идентификацию индивидуальных пользователей, которые желают добавить свои счета в данном банке в их перечень счетов активов. Как при регистрации биометрических данных, это осуществляется тем, что банк использует карточки с личными подписями и персональную информацию. Центр обработки данных идентифицирует банк путем перекрестной проверки кода запрашивающей стороны, переданного терминалом IT, с кодом запрашивающей стороны, зарегистрированным в записи VAD интерфейса УВБД/запрашивающая сторона. Биометрические данные/ПИК используются для идентификации служащего банка, реально выполняющего пересылку пакета.

1.4.10.4. Работа

Для того чтобы добавить счет финансового актива, индивидуальный пользователь выдает свой номер идентификации биометрических данных в банк (идентификационный номер выдается индивидуальному пользователю на первоначальном этапе регистрации биометрических данных) вместе со счетами, которые должны быть добавлены. После того как индивидуальный пользователь надлежащим образом идентифицирован, этот идентификационный код и перечень счетов пересылаются в терминал IT для последующей пакетной передачи в систему.

В случае если это приемлемо для банка, уполномоченное лицо в банке выдает команду терминалу IT загрузить пакетированные данные о дополнении/исключении счетов в УВБД. С этой целью уполномоченное лицо вводит свои биометрические данные и ПИК, терминал IT добавляет ключ сеанса, код запрашивающей стороны банка, и из всех этих данных интерфейс УВБД/ запрашивающая сторона формирует сообщение запроса пакета запрашивающей стороны, которое терминал IT направляет в центр обработки данных. Терминал IT шифрует пакет с использованием кода сообщения и затем его также передает.

Когда система принимает запрос пакета запрашивающей стороны, она подтверждает, что УВБД представляет собой интерфейс УВБД/запрашивающая сторона, который зарегистрирован для банка, который указан кодом запрашивающей стороны, и что индивидуальному лицу, идентифицируемому биометрическими данными и ПИК, разрешено пересылать запросы пакетов в центр обработки данных для данного банка. Если это так, то центр обработки данных обрабатывает все запросы, отслеживая ошибки, как это необходимо. После завершения центр обработки данных передает обратно индивидуальный код упомянутого лица, вместе с зашифрованным пакетом, содержащим соответствующие ошибки, которые возникли при обработке.

1.4.10.5. Меры защиты

Защищенность этой транзакции критична для защищенности системы. Преступнику для совершения мошенничества потребовалось бы только найти способ добавления счетов других людей к своему биометрическому идентификационному коду и он смог бы совершать мошенничества по собственной воле. В конечном счете, такое мошенничество было бы обнаружено и соответствующее лицо было бы исключено из базы данных, однако лишь после того, как им были бы опустошены счета других пользователей.

Шифрование гарантирует, что передачи между банком и центром обработки данных невозможно перехватить, и, следовательно, номера счетов защищаются при транзитной пересылке.

Перекрестные проверки банка с интерфейсом УВБД/запрашивающая сторона означают, что как терминал IT, так и УВБД должны нести ответственность за передачу ложных сообщений добавления/удаления счетов в центр обработки данных. Таким образом, банк должен гарантировать, чтобы терминал IT был физически защищен и чтобы только уполномоченные пользователи могли иметь к нему доступ.

Требование к упомянутому индивидуальному лицу о пересылке пакета предусматривает, что данное ответственное лицо включено «в контур», назначением которого является обеспечение того, что надлежащие меры защищенности банка будут соблюдаться при формировании и передаче пакета.

1.4.11. Терминал автоматической кассовой машины (АТМ)

1.4.11.1. Назначение

Назначением биометрического терминала АТМ является обеспечение индивидуальным пользователям доступа к наличным и других функций АТМ, без использования межбанковской карточки. Это осуществляется путем передачи биометрических данных/ПИК и кода индекса счета и получение номера банковского счета. Для пользователей системы это позволяет заменить механизм использования межбанковской карточки (известно в промышленности) + ПИК в качестве метода идентификации счета и выдачи разрешения пользователю. Предполагается, что терминал АТМ продолжает принимать межбанковские карточки.

1.4.11.2. Конструкция

Стандартная автоматическая кассовая машина

Интегрированный интерфейс УВБД/АТМ (только сканер)

Соединение с центром обработки данных

Биометрический терминал АТМ использует интегрированный интерфейс УВБД/АТМ для идентификации индивидуальных пользователей и предоставления им доступа к финансовым активам с использованием биометрических данных/ПИК и индекса счета. Интерфейс УВБД/АТМ устанавливается в терминал АТМ, обеспечивая использование клавишной панели АТМ для ввода ПИК и кода индекса счета. Терминал АТМ соединяется с системой посредством Х.25 или модема.

Интерфейс УВБД,АТМ конфигурирован таким образом, чтобы обеспечить по возможности простую интеграцию с существующей сетью АТМ. Это позволяет достигнуть требуемого компромисса между защищенностью и простотой интегрирования.

1.4.11.3. Идентификация

Необходимо идентифицировать три элемента для того, чтобы центр обработки данных сформировал надлежащий отклик на запрос доступа к счету посредством интерфейса УВБД/АТМ: индивидуальное лицо, банк и интерфейс УВБД/АТМ.

Банк идентифицируется путем перекрестной проверки кода банка, хранящегося в АТМ, с кодом банка в интерфейсе УВБД/АТМ. Интерфейс УВБД/АТМ идентифицируется путем успешного определения УВБД/АТМ в VAD, и индивидуальное лицо идентифицируется путем стандартной процедуры с использованием биометрических данных/ПИК.

1.4.11.4. Работа

Для доступа к АТМ индивидуальное лицо вводит свои биометрические данные /ПИК в УВБД вместе с кодом индекса счета. УВБД формирует сообщение запроса доступа к счету, которое пересылается в центр обработки данных посредством АТМ. Центр обработки данных проверяет биометрические данные и ПИК, а также код индекса «чрезвычайного» счета и затем пересылает полученный номер счета актива вместе с индивидуальным кодом назад в АТМ.

Терминал АТМ запрашивает УВБД о дешифрировании отклика и затем отображает индивидуальный код на экране дисплея АТМ. АТМ также анализирует отклик на предмет того, чтобы определить, выполняет ли индивидуальный пользователь стандартный доступ к счету, или доступ к счету «под принуждением». Если обнаружено, что выполняется доступ к счету под принуждением, то АТМ будет обеспечивать ложную или вводящую в заблуждение информацию относительно счетов, которыми располагает индивидуальный пользователь. Детальные особенности этого режима будут индивидуальными для каждого конкретного типа АТМ. Однако при этом АТМ не будет показывать индивидуальному пользователю, что соответствующая транзакция осуществляется в режиме «под принуждением».

1.4.11.5. Меры защиты

Сообщения, передаваемые между терминалом АТМ и центром обработки данных, защищаются посредством шифрования и вычисления кода аутентификации сообщений (MAC) с УВБД. Код аутентификации сообщений означает, что АТМ не может изменить содержимое сообщения без обнаружения этого факта, а шифрование препятствует раскрытию зашифрованной части сообщения.

Поскольку интерфейс УВБД/АТМ не имеет связанных с ним ЖКД или клавишной панели для ввода ПИК, то требуется от АТМ обеспечивать все текстовые приглашения и собирать все вводимые индивидуальным пользователем данные. Этот вариант менее защищенный, чем если бы операция производилась с помощью УВБД, однако поскольку терминалы АТМ в общем случае физически более надежны, к ним, вероятно, можно обращаться при совершении очень краткосрочных сделок.

1.4.11.6. Примечания

Банк и индивидуальный пользователь должны определить между собой поведение терминала АТМ в случае, когда пользователь показывает, что транзакция выполняется им под принуждением. Конкретный банк может выбрать вариант ограничения доступа, изменения информации о балансе, отображения ложной информации на дисплее. В последнем случае отображаются данные, которые были заранее намеренно предварительно определены как неточные, чтобы принуждающая сторона не могла незаконным образом получить точные данные о финансовых активах пользователя. Конкретное определение детальных особенностей данного режима не входит в объем настоящего изобретения.

1.4.12. Телефонный терминал сети терминалов для производства платежей в месте совершения покупок (РРТ)

1.4.12.1. Назначение

Назначением терминала РРТ является разрешение выполнения кредитных или платежных транзакций индивидуальным пользователем с использованием специально оснащенного телефона для осуществления покупок у продавца.

1.4.12.2 Конструкция

Терминал РРТ содержит:

Интерфейс УВБД/КТВ

Цифровой модем быстрого соединения [см. патент Voice View (известно в промышленности)]

Телефон (клавишная панель, наушники, микрофон)

Микропроцессор

Цифровой процессор сигналов

Стандартный телефонный шлейф

Терминал РРТ принимает биометрические идентификационные данные с использованием интерфейса УВБД/КТВ, соединенного с беспроводным, сотовым или стандартным телефоном или интегрированного с таким телефоном.

1.4.12.3. Идентификация

Для того чтобы центр обработки данных санкционировал транзакцию, должны быть идентифицированы как индивидуальный пользователь, так и продавец.

Для идентификации индивидуального пользователя осуществляется идентификация с использованием биометрических данных и ПИК.

Для идентификации продавца, у которого осуществляются заказы по телефону, продавец и все его телефонные номера, по которым индивидуальный пользователь может обратиться, регистрируются в центре обработки данных. Таким образом, когда индивидуальный пользователь обращается за санкционированием, он также сообщает телефонный номер, по которому он осуществляет вызов, который затем подвергается перекрестной проверке с телефонными номерами данного продавца.

1.4.12.4. Работа

Индивидуальные пользователи обращаются к продавцам, которые продают свои товары с использованием каталогов, газет, журналов и других механизмов печатаемой массовой информации. Терминал РРТ использует специальный модем, который совместно использует телефонную линию речевой связи для обмена цифровой информацией с продавцом.

Всякий раз, когда индивидуальный пользователь осуществляет вызов по телефону продавца, терминал РРТ отслеживает номер телефона, который был набран пользователем, в случае индивидуального решения о совершении покупки. Цифровой процессор сигналов используется для того, чтобы обнаружить тональный сигнал набора номера, звонок, соединение и т.д., чтобы сообщить, какой реально был введен номер телефона, как вытекает из расширения, или определить передвижение систем телефонных сообщений и т.д.

Как только вызов будет доставлен продавцу, лицо, осуществляющее продажу для продавца, в цифровом виде загружает всю необходимую информацию в терминал РРТ, включая данные изделия, цену, код продавца. Заметим, что при осуществлении операции модем отсоединяет громкоговоритель.

Когда информация об изделии загружена, терминал РРТ затем направляет приглашение пользователю ввести биометрические данные / ПИК, код индекса счета и затем просит пользователя подтвердить сумму покупки. Затем добавляются номер телефона и код продавца и сообщение зашифровывается. Модем быстрого соединения вновь вводится в действие для передачи информации подтверждения к продавцу.

Когда продавец получает информацию санкционирования, продавец проверяет, правильно ли указаны цена и информация об изделии, и затем пересылает транзакцию в центр обработки данных с использованием защищенного коммуникационного канала, использующего Internet или какую-либо другую универсальную сеть. Соединение с центром обработки данных защищается с использованием открытого ключа шифрования и обмена секретным ключом.

После приема и дешифрирования телефонного разрешения, центр обработки данных проверяет номер телефона, сопоставляя его с кодом продавца, подтверждает подлинность биометрических данных и ПИК и затем пересылает транзакцию в кредитно/дебетовую сеть для санкционирования. В случае успешного санкционирования центр обработки данных добавляет адрес покупателя к ответному сообщению и посылает ответ продавцу.

Продавец принимает ответ от центра обработки данных, копирует почтовый адрес и пересылает сообщение к индивидуальному пользователю посредством краткого сеанса с использованием модема быстрого соединения. После завершения передачи на терминал РРТ звучит звуковая сигнализация, модем разъединяется и индивидуальный код пользователя (расшифрованный УВБД) отображается на экране ЖКД. Ответственный представитель продавца подтверждает, что почтовый адрес индивидуального пользователя правильный, и в случае положительного результата подтверждения вызов заканчивается и транзакция завершается.

1.4.12.5. Меры защиты

Одним из факторов защиты телефонных транзакций является защищенность самой телефонной системы. Помимо идентификации биометрических данных, центральная проблема состоит в том, чтобы гарантировать, что номер вызываемого индивидуального пользователя действительно достиг соответствующего продавца.

Заметим, что коммуникационный канал между терминалом РРТ и продавцом не защищен, так что информация, передаваемая в операции санкционирования покупки от индивидуального пользователя до продавца, может быть перехвачена. Однако из этого не вытекает никакой финансовой выгоды, так что данное обстоятельство не представляет важности.

Защищенность терминала РРТ относительно низка, ввиду стоимости, веса, и ввиду проблем, объективно связанных с разделением ответственности в операциях ввода ПИК и дешифрирования и представления индивидуального кода.

1.4.13. Терминал КТВ системы терминалов для производства платежей в местах совершения покупок (СРТ)

1.4.13.1. Назначение

Назначением терминала СРТ является санкционирование кредитных или дебетовых финансовых транзакций от индивидуального пользователя, пересылаемых от пользовательского телевизионного аппарата (TV) к продавцу, который представляет товары для продажи по телевидению.

1.4.13.2 Конструкция

Терминал СРТ содержит:

Интерфейс УВБД/КТВ

Пульт телевизионного дистанционного управления с интегрированным УВБД/КТВ

Декодер цифрового сигнала КТВ

Устройство считывания дистанционного управления КТВ

Средство экранного отображения

Доступ к широкополосному двустороннему коммуникационному каналу КТВ

Терминал СРТ осуществляет биометрическую идентификацию с использованием интерфейса УВБД/КТВ, который интегрирован с пультом телевизионного дистанционного управления. Пульт дистанционного управления осуществляет обмен данными с телевизионным аппаратом, который осуществляет обмен данными с широкополосной кабельной ТВ сетью. Терминал содержит логические схемы телевизионного дистанционного управления, которые осуществляют связь с УВБД, а также с телевизионным аппаратом, который осуществляет информационный обмен по широкополосной кабельной сети.

1.4.13.3. Идентификация

При осуществлении этой транзакции, как продавец, так и индивидуальный пользователь, должны быть идентифицированы для выполнения транзакции.

Индивидуальный пользователь идентифицируется посредством биометрических данных и ПИК.

Продавец идентифицируется посредством вверительных данных продавца, созданных вещающей компанией КТВ в момент, когда продукция показывается по телевидению. Каждая вещающая компания, представляющая продукцию, имеет вверительные данные продавца-продукции, состоящие из кода продавца, времени, продолжительности и цены, которые шифруются с использованием открытого ключа шифрования и индивидуального ключа компании, вещающей в сети КТВ. Эти вверительные данные продавца-продукции могут генерироваться только компанией, вещающей в сети.

1.4.13.4. Работа

Когда телевизионная реклама, информационный канал или канал покупок из дома отображает продукцию, сеть КТВ одновременно передает цифровую информацию, которая представляет краткое описание, стоимость, вверительные данные продавец-продукция. Эта цифровая информация обрабатывается и временно запоминается терминалом СРТ, готовая к доступу со стороны индивидуального пользователя, когда будет принято решение о покупке.

Для осуществления покупки товара, который отображается в текущий момент времени, индивидуальный пользователь выбирает функцию экранного отображения на специальном пульте телевизионного дистанционного управления, которая подает команду в терминал СРТ отобразить на экране текстовую информацию, относящуюся к представляемому в данный момент товару.

Пользователю предлагается ряд предметов, которые он хочет купить, с использованием экранного отображения. Затем он приглашается ввести свои биометрические данные и ПИК, а также свой код индекса счета. Как только он подтвердит, что конечная цена покупки принимается, то товар, цена, код продавца, вверительные данные продавец-продукция и номер канала вместе с биометрическими данными и ПИК используются для формирования сообщения запроса о санкционировании дистанционно осуществляемой транзакции. Запрос посылается к продавцу для санкционирования посредством широкополосного двустороннего коммуникационного канала КТВ.

Заметим, что каждый продавец, который желает продать продукцию таким образом, должен иметь возможность принимать информацию о заказах с использованием широкополосной сети КТВ.

После приема запроса на санкционирование транзакции продавец посылает его в центр обработки данных с использованием защищенного соединения сети Internet или соединения сети Х.25.

Если центр обработки данных санкционирует транзакцию, он формирует ответ, который включает текущий почтовый адрес индивидуального пользователя, в дополнение к коду санкционирования, и зашифрованный индивидуальный код.

Как только продавец получит разрешение, он копирует разрешение и почтовый адрес и затем пересылает полученное разрешение назад в терминал СРТ, который отображает индивидуальный код пользователю, завершая транзакцию.

1.4.13.5. Меры защиты

Данная архитектура не позволяет криминальным элементам воспроизводить сообщения, перехватываемые в широкополосном канале КТВ, однако они могут прочитать части этих сообщений. Если это нежелательно, сообщения могут шифроваться с использованием дополнительного открытого ключа центра КТВ или иного шифрования на уровне канала между телевизионным аппаратом системы КТВ и локальной станцией КТВ.

Для защиты соединения между продавцом и центром обработки данных соединение использует ключ сеанса, изменяемый ежедневно, который предварительно передается с использованием системы обмена открытыми ключами шифрования.

1.5. Описание системы: Центр обработки данных

1.5.1. Введение

Центр обработки данных обрабатывает процедуры санкционирования финансовых транзакций, а также осуществляет регистрацию индивидуальных пользователей в качестве своих основных задач. Кроме того, центр обработки данных обеспечивает хранение и поиск и воспроизведение для защищенных факсов, электронных документов и электронных личных подписей.

Каждая станция центра обработки данных содержит ряд компьютеров и баз данных, соединенных вместе посредством локальной сети (известно в промышленности), как показано на чертеже, иллюстрирующем обобщенное представление центра обработки данных. Множество идентичных станций центра обработки данных гарантируют надежное обслуживание с учетом возможных отказов в любой одной станции центра обработки данных. Кроме того, каждая станция центра обработки данных имеет резервное электрическое питание и использует множественное резервирование для всех критически важных элементов аппаратных средств и систем баз данных.

Компоненты центра обработки данных делятся на три категории: аппаратные средства, программное обеспечение и базы данных. Ниже представлено краткое описание каждого из указанных компонентов. Более детальное описание содержится в соответствующих разделах.

1.5.1.1. Аппаратные средства

FW - узел защиты - точка ввода в станцию центра обработки данных.

GM - межсетевой узел (шлюз) - координатор системы и процессор сообщений.

DPCLAN - локальная сеть центра обработки данных - соединяет станции центра обработки данных.

1.5.1.2. Базы данных

IBD - база данных биометрических данных индивидуальных пользователей: идентифицирует индивидуальных пользователей исходя из их биометрических данных и кода ПИК.

PFD - база данных предшествующих случаев злоупотреблений - перечень индивидуальных пользователей, которые совершали противоправные действия в отношении системы, обеспечивает проверку того, совпадают ли биометрические данные с одним из этих индивидуальных пользователей.

VAD - база данных действующих устройств: хранит информацию, требуемую для подтверждения подлинности и дешифрирования сообщений УВБД.

AOD - база данных владельцев устройств: хранит информацию о владельцах УВБД.

ID - база данных запрашивающей стороны: идентифицирует банки-эмитенты, которые принимают участие в системе.

AID - база данных санкционированных индивидуальных пользователей: хранит перечень индивидуальных пользователей, которым разрешено использовать персональные УВБД или УВБД эмитента.

RMD - база данных удаленных продавцов: хранит информацию, необходимую для обработки транзакций с продавцами, осуществляющими сделки посредством телефонной связи и кабельного телевидения.

EDD - база данных электронных документов: хранит электронные документы, такие как факсы и электронная почта, для вызова санкционированными пользователями.

ESD - база данных электронных подписей: хранит личные подписи электронных документов для верификации третьей стороной.

1.5.1.3. Программное обеспечение

МРМ - модуль обработки сообщений: обеспечивает обработку каждого сообщения путем координирования с другими модулями программного обеспечения и базами данных, требуемыми для выполнения задачи сообщения.

SNM - модуль номера последовательности: обрабатывает номер последовательности DUKPT (ключей, являющихся производными уникальными ключами на транзакцию).

МАСМ - модуль кода аутентификации сообщений: обеспечивает подтверждение подлинности и генерирование MAC.

MDM - модуль дешифрирования сообщений: обеспечивает шифрование и дешифрирование запросов и ответов УВБД.

PGL - перечень групп ПИК (персональных идентификационных кодов): обеспечивает обработку при поиске групп ПИК и конфигурации элементов базы данных, которые зависят от перечня групп ПИК.

IML - перечень машин базы биометрических данных: обеспечивает обработку при поиске посредством главной и резервных машин базы данных, предназначенных для хранения записей базы биометрических данных для данной группы ПИК.

1.5.1.4. Терминология

При определении схемы базы данных для описания типов полей используется следующая терминология:

int<X> - интегральный тип, использующий <Х> битов памяти

char<X> - массив символов из <Х> битов

text - массив символов переменной длины

<type>[X] - массив длиной <Х> определенного типа

time - тип, используемый для хранения времени и даты

biometric - тип двоичных данных для хранения биометрических данных

fax - тип двоичных данных для хранения изображений факсов

При описании требований к хранению в базе данных термин «ожидаемый» относится к ожидаемым условиям полностью загруженной системы.

1.5.2. Описание протокола

Терминалы выполняют свои задачи путем посылки пакетов запросов в станцию центра обработки данных. Станция центра обработки данных пересылает обратно ответный пакет, содержащий статус относительно успеха или неуспеха запроса.

Коммуникация осуществляется посредством логического или физического механизма доставки ориентированных на соединение сообщений, таких как соединений Х.25, соединений ТСР/ТР или посредством телефонного вызова в модем. Каждый сеанс поддерживает соединение с терминалом открытым, пока центр обработки данных не перешлет свой отклик назад к терминалу.

Пакет запроса содержит часть сообщения УВБД и часть сообщения терминала:

Часть сообщения, относящаяся к УВБД Номер версии протокола Тип сообщения

4-битовая идентификация УВБД

4-битовый номер последовательности <специфические для сообщения данные>

код аутентификации сообщения

Часть сообщения, относящаяся к терминалу

<специфические для терминала данные>

Часть сообщения, относящаяся к УВБД, формируется самим УВБД. Она включает одну или две единицы биометрических данных, ПИК, суммы для санкционирования и содержимое общих регистров, которое устанавливается терминалом Примечание: код аутентификации сообщения (MAC) в части сообщения, относящейся к УВБД, прикладывается только к части УВБД, но не к части терминала.

Терминал может внести дополнительные данные в сообщение запроса в части сообщения, относящейся к терминалу. УВБД обеспечивает ключ сообщения для того, чтобы терминал имел возможность засекретить данные, относящиеся к части терминала. УВБД при необходимости автоматически включает ключ сообщения в кодированный блок биометрических данных и ПИК пакета. Однако терминал выполняет шифрование ключом пакета сам.

Ответный пакет содержит стандартный заголовок и две дополнительные части сообщения свободной формы: одна с MAC, а другая без MAC:

Стандартный заголовок

Номер версии протокола

Тип сообщения

Дополнительная часть сообщения свободной формы с MAC

<специфические данные сообщения>

MAC

Дополнительная часть сообщения свободной формы без MAC

<дополнительные специфические данные сообщения>

Часть сообщения с MAC передается в УВБД, чтобы оно могло подтвердить, что эта часть отклика не была искажена (подделана) и отобразить индивидуальный код пользователя. Часть сообщения без MAC используется для передачи больших объемов данных, таких как факсовые изображения, которые не пересылаются в УВБД для подтверждения подлинности с помощью MAC, поскольку соединение от УВБД до терминала может иметь ограниченную ширину полосы.

1.5.3. Пакеты обработки

В одном из вариантов осуществления изобретения при использовании множества станций центра обработки данных терминал должен только посылать свой запрос на одну из станций центра обработки данных, в типовом случае, на ближайшую, поскольку эта станция автоматически обеспечивает обновление других посредством выполнения распределенной транзакции, если это необходимо.

Когда один из узлов защиты (FW) центра обработки данных получает пакет, он направляет его к одному из шлюзов (GM) для осуществления реальной обработки. Каждый из шлюзов содержит модуль обработки сообщений, который обеспечивает координацию между компонентами центра обработки данных, требуемую для обработки запроса, и посылает ответ назад к отправителю.

1.5.4. Подтверждение подлинности и дешифрирование пакетов

Все пакеты, которые получает центр обработки данных, за исключением тех, которые не формируются УВБД, содержат идентификационный код аппаратных средств УВБД (УВБД-идентификацию пакета), номер последовательности, код аутентификации сообщения (MAC). Шлюз запрашивает модуль MAC о подтверждении подлинности MAC пакетов и затем проверяет номер последовательности с помощью модуля номера последовательности. Если обе проверки имеют положительные результаты, то шлюз пропускает пакет в модуль дешифрирования сообщений для осуществления дешифрирования. Если одна из проверок дала отрицательный результат, то шлюз регистрирует предупреждение, завершает обработку пакета и передает сообщение об ошибке назад в УВБД.

В настоящее время единственными типами сообщений, которые не формируются посредством УВБД, являются запрос данных защищенного факса и запрос данных электронного документа.

1.5.5. Пакеты ответов

Каждый пакет, который принимает центр обработки данных, может содержать дополнительный ключ ответа, хранящийся в зашифрованном блоке биометрических данных-ПИК пакета. Прежде чем центр обработки данных ответит на запрос, который включает ключ ответа, он шифрует ответный пакет с помощью ключа ответа. Он также генерирует код аутентификации сообщения и присоединяет его к пакету.

Единственное исключение для шифрования ответных пакетов составляют сообщения ошибки. Ошибки никогда не шифруются и никогда не включают конфиденциальной информации. Однако большинство ответных пакетов включает статус или код ответа, который может указывать, был ли запрос успешным или нет. Например, если центр обработки данных отклоняет санкционирование кредита, он не возвращает пакет ошибки, а возвращает нормальный ответный пакет транзакции с кодом ответа, установленным в состояние «неуспех».

1.5.6. Процедуры центра обработки данных

Центр обработки данных имеет две процедуры, обычно используемые при обработке запросов.

1.5.6.1. Процедура идентификации индивидуальных пользователей

Для запросов, которые требуют, чтобы центр обработки данных идентифицировал индивидуального пользователя, центр обработки данных выполняет следующую процедуру: используя код ПИК, центр обработки данных осуществляет поиск в перечне УВБД для нахождения основного и резервного УВБД, несущих ответственность за обработку идентификации данного ПИК. Затем центр обработки данных посылает запрос идентификации на одно из устройств, основное УВБД или резервное УВБД, в зависимости от того, какое из них меньше загружено. УВБД реагирует своей записью для данного индивидуального пользователя или сообщением об ошибке типа «индивидуальный пользователь не найден».

УВБД извлекает все записи для данного ПИК. С использованием аппаратных средств для биометрических данных УВБД сравнивает биометрические данные записей с биометрическими данными конкретного индивидуального пользователя, получая результаты сравнения, указывающие на сходство двух наборов биометрических данных. Если они не обнаруживают близкого сходства, то сравнения повторяются с использование вторичных биометрических данных. Если и вторичные биометрические данные не дают достаточных результатов сходства при сравнении, то УВБД выдает сообщение об ошибке типа «индивидуальный пользователь не найден». В противном случае выдается полная запись для пользователя из базы данных, содержащей биометрические данные, откуда могут быть получены такие поля, как индивидуальный код, номера счетов, наименования и т.д.

1.5.6.2. Процедура отклика в чрезвычайных обстоятельствах

Для запросов, которые включают индекс счета, центр обработки данных обеспечивает обработку данных для случая, когда индивидуальный пользователь выбирает свой индекс счета в чрезвычайных обстоятельствах. Шлюз, обрабатывающий запрос, немедленно уведомляет подразделение поддержки потребителей, регистрирует предупреждение и, если пакет запроса имеет код ответа, то устанавливает его на «чрезвычайные обстоятельства». В круг обязанностей владельца УВБД входит то, что при передаче запроса необходимо контролировать появление кода ответа «в чрезвычайных обстоятельствах» и обеспечивать дальнейшую поддержку, например с использованием ложного отображения на экране, как описано для терминала АТМ. Центр обработки данных также осуществляет приращение счета использования чрезвычайного режима для записи данного пользователя в базе данных, содержащей биометрические данные, всякий раз, когда дается доступ к индексу счета в чрезвычайных обстоятельствах.

1.5.7. Протокольные запросы

В последующих разделах описаны протокольные запросы/ответы и действия, которые центр обработки данных предпринимает для их выполнения.

Перечень протокольных пакетов включает следующие:

Санкционирование транзакции

Регистрация

Доступ к счету

Пакет эмитента

Защищенная передача факса

Защищенные данные факса

Защищенное отслеживание факса

Защищенный поиск факса

Защищенное отклонение факса

Защищенный архив факса

Защищенный прием контракта по факсу

Защищенное отклонение контракта по факсу

Организационное изменение защищенного факса

Передача электронного документа

Данные электронного документа

Отслеживание электронного документа

Поиск электронного документа

Отклонение электронного документа

Архив электронного документа

Поиск в архиве электронных документов

Электронная подпись

Проверка электронной подписи

Вверительные данные сети

1.5.7.1. Идентификация индивидуального пользователя

Запрос идентификации индивидуального пользователя Часть УВБД:

4-битовая идентификация УВБД

4-битовый номер последовательности

Шифрованный (ключ DUKPT) биометрических данных и ПИК:

300-битовые биометрические данные

4-12-значный ПИК

56-битовый ключ ответа MAC

Часть терминала: (не используется) Ответ идентификации индивидуального пользователя:

Зашифрованные (ключом ответа):

Индивидуальный кодовый текст

Имя индивидуального пользователя

Код идентификации биометрических данных

MAC

Запрос идентификации индивидуального пользователя включает блок биометрических данных и ПИК, который центр обработки данных использует в процедуре идентификации индивидуальных пользователей для идентификации пользователя. Если пользователь идентифицирован, то центр обработки данных отвечает именем индивидуального пользователя, идентификацией биометрических данных и индивидуальным кодом. В противном случае центр обработки данных отвечает сообщением об ошибке типа «неизвестный индивидуальный пользователь»

1.5.7.2. Санкционирование транзакции

Запрос санкционирования транзакции

Часть УВБД:

4-битовая идентификация УВБД

4-битовый номер последовательности

Зашифрованный (ключом DUKPT) блок биометрических данных и ПИК:

300-битовые биометрические данные санкционирования

4-12-значный ПИК

56-битовый ключ ответа

[дополнительно 56-битовый ключ сообщения] индекс счета цена

идентификация продавца

[дополнительная информация о товаре свободного формата] [дополнительный код продавца (№тел., №канала + время, имя главной машины]

[дополнительный запрос адреса отправки] MAC

Часть терминала: (не используется)

Ответ санкционирования транзакции

Зашифрованные (ключом ответа):

Индивидуальный кодовый текст

Ответ получения разрешения

Конкретные данные полученного разрешения (код санкц., идентификация транзакции и т.п.)

[дополнительная информация об адресе индивидуального пользователя]

код ответа (неуспех, ОК, чрезвычайные обстоятельства)

MAC

Имеются два основных подтипа санкционирования транзакции: для розничной торговли и для дистанционного осуществления.

Для санкционирования сделок розничной торговли центр обработки данных идентифицирует покупающее лицо по блоку биометрических данных и ПИК, содержащемуся в запросе. Если оно не может быть идентифицировано, то центр обработки данных выдает сообщение об ошибке типа «незнакомый пользователь».

Затем центр обработки данных передает внешний запрос санкционирования (кредитования счета активов владельца УВБД и дебетования счета активов индивидуального пользователя) в одну из различных имеющихся служб санкционирования финансовых транзакций, в зависимости от типа счетов активов (например, Visa™ или American Express™). Если внешняя служба санкционирования финансовых сделок разрешает транзакцию, то центр обработки направляет назад коды внешнего санкционирования и код ответа ОК в УВБД. В противном случае центр обработки данных указывает, почему в разрешении было отказано и устанавливает код ответа как «неуспех». В любом случае центр обработки данных включает индивидуальный код пользователя в свой ответ.

Когда центр обработки данных осуществляет поиск счета активов пользователя с помощью индекса счета, может оказаться, что выбранный счет является счетом для «чрезвычайных обстоятельств». При этом центр обработки данных переходит к процедуре режима чрезвычайных обстоятельств. Однако внешнее санкционирование все-таки имеет место.

Санкционирование дистанционно осуществляемых сделок осуществляется продавцами, осуществляющими продажи по телефону, почтовому заказу или кабельному телевидению. Центр обработки данных обрабатывает дистанционно осуществляемую сделку тем же путем, что и в случае санкционирования сделок розничных продаж, но со следующими исключениями:

1) Санкционирование дистанционно осуществляемых сделок включает код удаленного продавца, который центр обработки данных сравнивает с базой данных удаленных продавцов для проверки совпадения идентификации продавца в пакете с хранящейся в базе данных. Кроме того, кредитуемым счетом активов является счет удаленного продавца, а не счет владельца УВБД.

2) Дополнительно, УВБД, которое генерирует санкционирования дистанционно осуществляемых сделок, как правило, будет являться персональным устройством. Центр обработки данных проверяет идентификацию биометрических данных идентифицированного пользователя, сопоставляя ее с перечнем базы данных санкционированных пользователей, которым разрешено использовать УВБД. Если пользователю не разрешено использовать УВБД, то центр обработки данных отклоняет запрос на санкционирование.

3) И наконец, пакет санкционирования может включать указатель «адреса отправителя». Этот указатель информирует центр обработки данных о включении адреса индивидуального пользователя в пакет ответа и обычно используется только для покупок, совершаемым по почтовым заказам.

1.5.7.3. Регистрация

Запрос регистрации

Часть УВБД:

4-битовая идентификация УВБД

4-битовый номер последовательности

1000-битовые основные биометрические данные санкционирования

1000-битовые дополнительные биометрические данные санкционирования

4-12-значный ПИК

56-битовый ключ ответа

56-битовый ключ сообщения

MAC

Часть терминала:

Кодированные (ключом сообщения):

Наименование

Адрес

Zip-код

Индивидуальный код

Перечень счетов активов (код индекса счета, №счета)

Счет для чрезвычайных обстоятельств (код индекса счета,

№счета)

Перечень заголовков (код индекса заголовка, имя

заголовка)

Ответ регистрации

Шифрованные (ключом ответа):

Индивидуальный кодовый текст

ПИК

Код идентификации биометрических данных

Перечень ПИК, выбранных центром обработки данных (если исходный выбор ПИК отклонен)

Код статуса (ОК, отклоняется)

MAC

Индивидуальные пользователи регистрируются в центре обработки данных с помощью терминала регистрации биометрических данных (BRT). Терминал BRT посылает в центр обработки данных пакет регистрации, содержащий основные и дополнительные биометрические данные и персональный идентификационный код (ПИК), вместе с дополнительными данными, такими как имя пользователя, адрес, перечень счетов финансовых активов, индивидуальный код, счет для чрезвычайных обстоятельств. Дополнительно пользователь может включать адрес электронной почты, перечень заголовков, включающий заголовки и код индекса заголовков, а также номер социальной защиты (SNN). Индивидуальный пользователь может выбрать свой ПИК или позволить системе выбрать его. На этапе модификации все ранее введенные данные могут быть модифицированы или исключены.

В любой заданный момент только одна станция центра обработки данных действует в качестве регистрационной станции, для обеспечения простоты осуществления. Пакеты запросов на регистрацию, принимаемые станциями центра обработки данных. Которые не производят регистрацию, пересылаются к текущей регистрационной станции. Регистрационная станция центра обработки данных выполняет всю проверку, осуществляемую при регистрации, назначение записей базы биометрических данных для машин этой базы данных и распределенную транзакцию, требуемую для обновления данных во всех станциях обработки данных.

Регистрационная станция центра обработки данных выбирает код ПИК для запросов регистрации из тех, которые не определяют регистрацию, запоминает запись для базы биометрических данных на основной и резервной машинах базы биометрических данных (как определено в перечне групп ПИК) и проверяет пригодность ПИК и биометрических данных пакета регистрации, прежде чем начинать процедуру распределенной транзакции для обновления данных на других станциях центра обработки данных.

Центр обработки данных осуществляет этап проверки ПИК и копии выборки биометрических данных, причем биометрические данные и ПИК, полученные на этапе регистрации, сравниваются с ранее зарегистрированными биометрическими данными, связанными теперь с идентичным персональным идентификационным кодом. Центр обработки данных может отклонить регистрацию по следующим причинам: ПИК слишком распространен, биометрические данные слишком похожи на другие биометрические данные, запомненные под выбранным ПИК. Для оказания помощи пользователю в выборе приемлемого ПИК, центр обработки данных генерирует короткий перечень кодов ПИК, для которых регистрация должна быть гарантирована, и резервирует эти коды в течение определенного интервала времени. Терминал BRT затем приглашает пользователя использовать новый ПИК, который может быть выбран из перечня «хороших» ПИК.

1.5.7.4. Доступ к счету

Запрос доступа к счету

Часть УВБД:

4-битовая идентификация УВБД

4-битовый номер последовательности

4-12-значныйПИК

56-битовый ключ ответа

[дополнительно 56-битовый ключ сообщения]

индекс счета

MAC

Часть терминала: (не используется)

Ответ доступа к счету:

Зашифрованные (ключом ответа):

Индивидуальный кодовый текст

[дополнительный ПИК]

номер счета актива

MAC

Запрос доступа к счету позволяет автоматической кассовой машине (АКМ), оснащенной УВБД, обеспечивать надежный и более удобный способ идентификации пользователей для АКМ.

Шлюз GM идентифицирует пользователя по биометрическим данным и ПИК пакета и использует конкретный индекс счета для выбора того, какой номер счета актива должен быть вызван.

Когда шлюз GM осуществляет поиск счета актива пользователя с использованием индекса счета из запроса, может оказаться, что выбранный счет является счетом для чрезвычайных обстоятельств. Если это имеет место, то шлюз GM функционирует согласно процедуре режима чрезвычайных обстоятельств.

1.5.7.5. Пакет эмитента

Запрос пакета эмитента

Часть УВБД:

4-битовая идентификация УВБД

4-битовый номер последовательности

4-12-значный ПИК

56-битовый ключ ответа

56-битовый ключ сообщения код эмитента

MAC

Часть терминала:

Зашифрованный (ключом сообщения) перечень пакета:

Дополнить <идент.биометр.данных><индекс счета><счет актива> [<флаг чрезвычайных обстоятельств>]

Удалить <идент.биометр.данных><индекс счета><счет актива>

Ответ на пакет эмитента:

Зашифрованные (ключом ответа):

Индивидуальный кодовый текст

код ответа (неуспех, ОК, чрезвычайные обстоятельства) MAC Зашифрованный (ключом ответа) перечень неуспеха выполнения:

Безуспешные <команда><код>

...

Запрос пакета эмитента позволяет банку эмитенту или другой полномочной организации выполнять стандартное обслуживание базы биометрических данных. Центр обработки данных регистрирует предупреждение нарушения защиты, если принимает запросы пакета эмитента от УВБД, не относящихся к эмитенту, и отклоняет обработку пакета.

Центр обработки данных идентифицирует передачу индивидуальным пользователем запроса пакета последующей процедурой идентификации индивидуального пользователя. Центр обработки данных затем удостоверяет, что этот пользователь зарегистрирован в базе данных санкционированных пользователей для использования УВБД, интегрированного в передающем терминале запрашивающей стороны.

Центр обработки данных также использует код запрашивающей стороны в запросе для поиска идентификации владельца устройства в базе данных запрашивающей стороны и сравнивает ее с идентификацией владельца устройства, хранящейся в базе данных действительных устройств для того, чтобы гарантировать, что код запрашивающей стороны фальсифицирован.

Затем центр обработки данных выполняет команды дополнения или удаления в перечне пакета, зашифрованном ключом сообщения. Перечень пакета представляет собой отдельный перечень команд. Действительными командами являются следующие:

Дополнить <идент.биометр.данных><индекс счета><счет актива> [<флаг чрезвычайных обстоятельств>

Команда добавления добавляет счет актива к перечню счетов в определенном индексе счетов. Дополнительный флаг чрезвычайных обстоятельств указывает, обрабатывается ли конкретный индекс счета как счет для чрезвычайных обстоятельств индивидуального пользователя. Если счет актива, запомненный в текущий момент времени в перечне счетов, не принадлежит запрашивающей стороне, то команда отбрасывается. Это свойство предотвращает возможность того, что один банк будет добавлять или удалять счета активов пользователей другого банка, не ставя в известность этих пользователей или получения разрешения.

Команда удаления очищает счет актива пользователя, запомненный для конкретного индекса счета в списке счетов. Если счет актива, запомненный в текущий момент времени в перечне счетов, не совпадает со счетом запрашивающей стороны, для которого делается попытка удаления, то команда отбрасывается.

Для каждой команды в пакете, для которой имело место невыполнение, шлюх GM регистрирует предупреждение о нарушении и добавляет запись в перечень неудачи выполнения ответа. Запись неудачи выполнения включает текст команды и код ошибки.

1.5.7.6. Передача защищенного факса

Запрос передачи защищенного факса

Часть УВБД:

4-битовая идентификация УВБД

4-битовый номер последовательности

4-12-значный ПИК

56-битовый ключ ответа

56-битовый ключ сообщения

Режим защищенности (незащищенный, защищенный для отправителя, защищенный, защищенный-конфиденциальный)

Код индекса заголовка отправителя

Номер факса отправителя

Расширение факса отправителя [дополнительный указатель архивного факса] [дополнительный указатель контракта/соглашения]

Часть терминала: (не используется)

Ответ передачи защищенного факса

Зашифрованные (ключом ответа):

Индивидуальный кодовый текст

Номер отслеживаемого факса

MAC

Когда центр обработки данных принимает запрос передачи защищенного факса, он идентифицирует индивидуального пользователя из биометрических данных и ПИК запроса посредством последующей процедуры идентификации индивидуального пользователя. Эта идентификация, вместе с заголовком пользователя, представляется получателю так, чтобы отправитель факса всегда был надежно идентифицирован.

Центр обработки данных генерирует номер отслеживания для целей отслеживания и запоминает этот номер, идентификацию биометрических данных пользователя, режим защищенности и ключ сообщения во вновь созданной записи документа базы данных электронных документов (EDD). Для каждого получателя в перечне получателей центр обработки данных также создает запись получателя. Центр обработки данных затем ожидает передачи факсимильного аппарата для передачи факсовых данных зашифрованных с использованием ключа сообщения.

Если запрос включает указатель «архивного факса» или «договора/соглашения», то база данных EDD помещает копию записей документа и получателя в архивную базу данных. Любые последующие обновления этих записей также делаются и для архивных записей.

Факсовые данные передаются на отдельном этапе так, что если отправитель допускает ошибку при вводе своих биометрических данных и ПИК, то система уведомляет его, прежде чем он потратит напрасно время на ввод документа в факсимильный аппарат.

1.5.7.7. Данные защищенного факса

Запрос данных защищенного факса

Часть УВБД: (не используется)

Часть терминала:

Отслеживаемый номер факса

Кодированные (ключом сообщения):

Данные факсового изображения

Ответ данных защищенного факса

Статус (неполный, ОК)

Запрос данных защищенного факса позволяет защищенному факсимильному аппарату передавать факсовое изображение в центр обработки данных для доставки к предварительно определенному получателю. Этот запрос не связан с идентификацией на основе биометрических данных, а вместо этого основывается на ключе секретного сообщения для передачи изображения в секретном режиме.

Данные факсовых изображений зашифровываются ключом сообщений, зарегистрированным запросом передачи защищенного факса. Как только центр обработки данных примет весь факс, он передает сообщение уведомления о приходе защищенного факса по каждому из номеров факсов получателей. Центр обработки данных вызывает перечень получателей путем запроса в базу данных электронных документов (EDD) для всех записей получателей, содержащих отслеживаемый номер факса. Запись получателя содержит номер факса адресата и дополнительное расширение. После отправки уведомления о приходе центр обработки данных обновляет поле статуса доставки записей каждого получателя на «уведомлено». Примечание: если номер факса адресата занят, то центр обработки данных маркирует поле статуса доставки как «занято» и делает попытки периодически направлять уведомление (например, каждые 10 минут) до тех пор, пока попытка не окажется успешной, и после этого обновляет поле статуса на состояние «уведомлено».

Уведомление о приходе имеет следующую структуру:

Уведомление о приходе защищенного факса (факсовое сообщение)

Наименование отправителя, компания, заголовок, номер факса

Отслеживаемый номер факса

Инструкции о том, как загрузить факс

Центр обработки данных только посылает отправителю уведомление о статусе посредством факсимильной связи после того, как все получатели примут или отклонят прием факса. Отправитель может послать запрос в центр обработки данных с использованием запроса отслеживания защищенного факса (см. ниже) для получения текущего статуса всех получателей.

Уведомление о статусе имеет следующую структуру:

Уведомление о статусе защищенного факса (факсовое сообщение)

Отслеживаемый номер факса

Перечень получателей, показывающий следующее:

Дата доставки и статус

Статус контракта/соглашения

Центр обработки данных отыскивает информацию о компании каждого индивидуального пользователя и о заголовке в таблице организации базы данных электронных документов.

Для индивидуальных пользователей, которые не зарегистрированы в системе и, следовательно, не могут получать защищенные факсы, или для режимов с отсутствием защиты для получателя центр обработки данных не передает уведомление о приходе защищенного факса. Вместо этого центр обработки данных пересылает им факс непосредственно. Если линия факсимильной связи занята, то центр обработки данных делает попытку пересылки каждые 10 минут до тех пор, пока доставка факса не будет успешно завершена.

1.5.7.8 Отслеживание защищенного факса

Запрос отслеживания защищенного факса

Часть УВБД:

4-битовая идентификация УВБД

4-битовый номер последовательности

4-12-значный ПИК

56-битовый ключ ответа

56-битовый ключ сообщения

отслеживаемый номер факса

MAC

Часть терминала: (не используется)

Ответ отслеживания защищенного факса

Зашифрованные (ключом ответа):

Индивидуальный кодовый текст

Сборник сообщений для отслеживания факсового изображения ответа

Код статуса (ОК, неудача)

MAC

Факсовое изображение для перечня статусов получателей

Центр обработки данных обрабатывает запрос отслеживания защищенного факса путем вызова всех записей получателей базы данных электронных документов для факса и генерирования факсового сообщения для отображения записей. Если индивидуальный пользователь, сделавший запрос отслеживания, не является отправителем факсового документа, то центр обработки данных устанавливает код статуса как «неудачу» и в ответ отправляет пустой факс.

Факс ответа отслеживания содержит информацию, описывающую статус доставки факса к каждому получателю. Этот факс содержит такую статусную информацию, как информация о том, что линия занята, отправлено уведомление о приходе факса, факс передан, факс отклонен, принят контракт и т.д. Уведомление отслеживания имеет следующую структуру:

Уведомление об отслеживании защищенного факса (факсовое сообщение) Наименование отправителя, компания, заголовок, номер факса

Отслеживаемый номер факса

Дата доставки и статус

Статус контракта

1.5.7.9. Поиск защищенного факса

Запрос поиска защищенного факса

Часть УВБД:

4-битовая идентификация УВБД

4-битовый номер последовательности

4-12-значный ПИК

56-битовый ключ ответа

отслеживаемый номер факса

MAC

Часть терминала: (не используется)

Ответ поиска защищенного факса

Зашифрованные (ключом ответа):

Индивидуальный кодовый текст

56-битовый ключ сообщения

статус (неполный, ОК, некорректный получатель)

Сборник сообщений для факсового изображения

MAC

Зашифрованное (ключом сообщения):

Факсовое изображение

Центр обработки данных использует биометрические данные и ПИК для идентификации индивидуального пользователя, делающего запрос поиска, по следующей процедуре идентификации индивидуального пользователя. Если в базе данных электронных документов EDD нет записи получателя для конкретного пользователя и для определенного факса, то центр обработки данных отвечает статусом «некорректный получатель».

Центр обработки данных вызывает зашифрованное факсовое изображение из записи базы данных электронных документов с корректным номером отслеживаемого факса и идентификацией биометрических данных, которые возвращаются запрашивающей стороне.

Факсовое изображение включает в себя титульный лист, который отображается, когда факс относится к контракту/соглашению, а также наименование отправителя, компанию, заголовок, номер факса и расширение.

После того как последний получатель примет или отклонит прием факса, центр обработки данных посылает уведомление о статусе посредством факса (см. раздел «данные защищенного факса») отправителю факса и затем планирует удаление записей документа и получателя из базы данных электронных документов в течение конфигурируемого интервала времени. Временной интервал должен обеспечивать получателям достаточное время для принятия решения о том, следует ли архивировать факс.

1.5.7.10. Отклонение защищенного факса

Запрос отклонения защищенного факса

Часть УВБД:

4-битовая идентификация УВБД

4-битовый номер последовательности

4-12-значный ПИК

56-битовый ключ ответа

отслеживаемый номер факса

MAC

Часть терминала: (не используется)

Ответ отклонения защищенного факса

Зашифрованные (ключом ответа):

Индивидуальный кодовый текст

статус (ОК, некорректный получатель)

MAC

Центр обработки данных использует биометрические данные и ПИК для идентификации индивидуального пользователя, сделавшего запрос отклонения защищенного факса. Центр обработки данных отыскивает зашифрованную запись получателя в базе данных электронных документов EDD по номеру отслеживаемого факса в запросе и идентификации биометрических данных индивидуального пользователя. Если запись не удалось отыскать, то запрос получает статус признается неуспешным и получает статус «некорректный получатель».

После того как последний получатель примет или отклонит прием факса, центр обработки данных посылает уведомление о статусе посредством факса (см. раздел «данные защищенного факса) отправителю факса и затем планирует удаление записей документа и получателя из базы данных электронных документов в течение конфигурируемого интервала времени. Временной интервал должен обеспечивать получателям достаточное время для принятия решения о том, следует ли архивировать факс.

1.5.7.11. Архивирование защищенного факса

Запрос архивирования защищенного факса

Часть УВБД:

4-битовая идентификация УВБД

4-битовый номер последовательности

4-12-значный ПИК

56-битовый ключ ответа

отслеживаемый номер факса

MAC

Часть терминала: (не используется)

Ответ архивирования защищенного факса

Зашифрованные (ключом ответа):

Индивидуальный кодовый текст

статус (ОК, некорректный получатель)

MAC

Центр обработки данных использует биометрические данные и ПИК для идентификации индивидуального пользователя, сделавшего запрос архивирования защищенного факса. Центр обработки данных отыскивает зашифрованную запись получателя в базе данных электронных документов EDD по номеру отслеживаемого факса в запросе и идентификации биометрических данных индивидуального пользователя. Если запись не удалось отыскать и индивидуальный пользователь не является ни отправителем, ни одним из получателей, то запрос признается неуспешным и получает статус «некорректный пользователь». В противном случае центр обработки данных копирует записи документа и получателя в архивной базе данных электронных документов. Любые последующие изменения этих записей также копируются для архивируемых копий.

1.5.7.12. Прием защищенного факсового контракта

Запрос приема защищенного факсового контракта

Часть УВБД:

4-битовая идентификация УВБД

4-битовый номер последовательности

4-12-значный ПИК

56-битовый ключ ответа

отслеживаемый номер факса

MAC

Часть терминала: (не используется) Ответ приема защищенного факсового контракта Зашифрованные (ключом ответа):

Индивидуальный код статус (ОК, некорректный получатель) MAC

Центр обработки данных использует биометрические данные и ПИК для идентификации индивидуального пользователя, сделавшего запрос приема контракта. Центр обработки данных отыскивает зашифрованную запись получателя в базе данных электронных документов EDD по номеру отслеживаемого факса в запросе и идентификации биометрических данных индивидуального пользователя. Если запись не удалось отыскать, то запрос признается неуспешным и получает статус «некорректный пользователь». В противном случае центр обработки данных обновляет поле статуса контракта записи получателя на состояние «принято» и генерирует уведомление о статусе для отправителя факса (см. выше раздел Данные факса).

1.5.7.13. Отклонение защищенного факсового контракта

Запрос отклонения защищенного факсового контракта

Часть УВБД:

4-битовая идентификация УВБД

4-битовый номер последовательности

4-12-значный ПИК

56-битовый ключ ответа

отслеживаемый номер факса

MAC

Часть терминала: (не используется)

Ответ отклонения защищенного факсового контракта

Зашифрованные (ключом ответа):

Индивидуальный код

статус (ОК, некорректный получатель)

MAC

Центр обработки данных использует биометрические данные и ПИК для идентификации индивидуального пользователя, сделавшего запрос отклонения контракта. Центр обработки данных отыскивает зашифрованную запись получателя в базе данных электронных документов EDD по номеру отслеживаемого факса в запросе и идентификации биометрических данных индивидуального пользователя. Если запись не удалось отыскать, то запрос признается неуспешным и получает статус «некорректный пользователь». В противном случае центр обработки данных обновляет поле статуса контракта записи получателя на состояние «отклонено» и генерирует уведомление о статусе для отправителя факса (см. выше раздел Данные факса).

1.5.7.14. Изменение организации защищенного факса

Изменение организации защищенного факса (сообщение защищенного факса)

Перечень организационных изменений

Изменения организации передаются в центр обработки данных посредством сообщения защищенного факса. Инженер службы поддержки пользователей вводит изменения, требуемые в факсовом сообщении, подтверждая, что индивидуальному пользователю, пославшему запрос, разрешено регистрировать индивидуальных пользователей для данной конкретной компании. Поскольку факс является защищенным факсом, идентичность отправителя уже установлена, так как факс имеет заголовок.

1.5.7.15. Передача электронного документа

Запрос передачи электронного документа

Часть УВБД:

4-битовая идентификация УВБД

4-битовый номер последовательности

4-12-значный ПИК

56-битовый ключ ответа

56-битовый ключ сообщения

перечень получателей

MAC

Часть терминала: (не используется)

Ответ передачи электронного документа

Зашифрованный (ключом ответа):

Индивидуальный код

Отслеживаемый номер статус (ОК, некорректный получатель)

MAC

Когда центр обработки данных принимает запрос передачи электронного документа, он идентифицирует индивидуального пользователя путем выполнения процедуры идентификации индивидуального пользователя.

Центр обработки данных создает затем запись документа для базы данных электронных документов и присваивает ей уникальный отслеживаемый номер. Центр обработки данных инициализирует относящийся к записи код идентификации отправителя в качестве кода идентификации биометрических данных идентифицируемого индивидуального пользователя и ключ сообщения в качестве ключа сообщения в запросе.

Затем центр обработки данных осуществляет поиск в базе биометрических данных индивидуальных пользователей для каждого получателя и создает запись получателя базы электронных документов для каждого получателя. Каждая запись инициализируется с номером отслеживания кодом идентификации биометрических данных получателя и статусом доставки «незавершенная». Если какой-либо из получателей не может быть найден, то центр обработки данных отвечает статусом «некорректный получатель».

1.5.7.16. Данные электронного документа

Запрос данных электронного документа

Часть УВБД: (не используется)

Часть терминала:

Отслеживаемый номер

Команда (прерывание или данные)

[дополнительное смещение сообщения]

Указание завершения

Кодированное (ключом сообщения)

Тело сообщения

Ответ данных электронного документа

Статус (неполные, ОК)

Запрос данных электронного документа позволяет индивидуальному пользователю передавать текст документа (в одной или нескольких частях) в базу данных электронных документов EDD для доставки отправителю. Этот запрос не связан с идентификацией биометрических данных, а основывается на секретном ключе сообщения для обеспечения защищенной передачи текста документа.

Запрашиваемый текст предполагается зашифрованным ключом сообщения, запомненном в записи документа в базе данных электронных документов EDD, и присоединяется к тексту документа, уже запомненному в записи.

Когда база данных электронных документов EDD «документ полный», в ней становится известным, что отправитель закончил передачу документа. Затем база данных электронных документов EDD посылает уведомление о приходе ко всем получателям документа посредством электронной почты сети Internet, информируя их, что для них имеется ожидающий приема документ.

Уведомление о приходе электронного документа (сообщение электронной почты сети Internet)

Наименование отправителя, компания, заголовок, адрес электронной почты Отслеживаемый номер

Инструкции о том, как принимать электронный документ База данных электронных документов EDD обновляет статус записей получателей базы данных EDD на «уведомлено». Когда все получатели либо извлекут электронный документ, либо отклонят его, центр обработки данных посылает уведомление о статусе через электронную почту сети Internet к отправителю документа.

Уведомление о статусе электронного документа (сообщение электронной почты сети Internet)

Наименование отправителя, компания, заголовок, адрес электронной почты

Отслеживаемый номер

Наименование, компания, заголовок, адрес электронной почты

Дата доставки и статус

Статус контракта/соглашения

1.5.7.17. Поиск электронного документа Запрос поиска электронного документа

Часть УВБД:

4-битовая идентификация УВБД

4-битовый номер последовательности

4-12-значный ПИК

56-битовый ключ ответа

отслеживаемый номер

MAC

Часть терминала: (не используется)

Ответ поиска электронного документа

Зашифрованные (ключом ответа):

индивидуальный код

56-битовый ключ сообщения

MAC

Зашифрованный (ключом сообщения):

Текст документа

Центр обработки данных использует биометрические данные и ПИК для идентификации индивидуального пользователя, делающего запрос поиска, по следующей процедуре идентификации индивидуального пользователя.

Центр обработки данных затем отыскивает зашифрованную запись получателя базы данных электронных документов EDD по отслеживаемому номеру и идентификации биометрических данных индивидуального пользователя.

Если запись не может быть найдена, то запрос считается безуспешным и ему присваивается статус «некорректный получатель». В противном случае центр обработки данных пересылает ключ сообщения для документа и документ (зашифрованный ключом сообщения) запрашивающей стороне.

Затем база данных электронных документов EDD обновляет статус записи получателей в базе данных EDD на "вызвано". Когда все получатели либо вызвали, либо отклонили документ, центр обработки данных направляет уведомление о статусе посредством электронной почты сети Internet отправителю документа (см. выше раздел Данные электронного документа) и затем планирует удаление записей документа и отправителей из базы данных (см. выше раздел Поиск защищенного факса).

1.5.7.18. Отклонение электронного документа

Запрос отклонения электронного документа

Часть УВБД:

4-битовая идентификация УВБД

4-битовый номер последовательности

4-12-значный ПИК

56-битовый ключ ответа

отслеживаемый номер сообщения

MAC

Часть терминала: (не используется)

Ответ отклонения электронного документа

Зашифрованные (ключом ответа):

Центр обработки данных использует биометрические данные и ПИК для идентификации индивидуального пользователя, сделавшего запрос отклонения электронного документа. Центр обработки данных отыскивает зашифрованную запись получателя в базе данных электронных документов EDD по отслеживаемому номеру и идентификации биометрических данных индивидуального пользователя. Если запись не удалось отыскать, то запрос признается неуспешным и получает статус «некорректный получатель».

1.5.7.19 Архивирование электронного документа

Запрос архивирования электронного документа

Часть УВБД:

4-битовая идентификация УВБД

4-битовый номер последовательности

4-12-значный ПИК

56-битовый ключ ответа

Отслеживаемый номер

MAC

Часть терминала: (не используется)

Ответ архивирования электронного документа

Зашифрованные (ключом ответа):

Индивидуальный код

статус (ОК, некорректный получатель)

MAC

Центр обработки данных использует биометрические данные и ПИК для идентификации индивидуального пользователя, сделавшего запрос архивирования электронного документа. Центр обработки данных отыскивает зашифрованную запись получателя в базе данных электронных документов EDD по номеру отслеживаемого факса в запросе и идентификации биометрических данных индивидуального пользователя. Если запись не удалось отыскать и индивидуальный пользователь не является ни отправителем, ни одним из получателей, то запрос признается неуспешным и получает статус «некорректный пользователь». В противном случае центр обработки данных копирует записи документа и получателя в архиве базы данных электронных документов EDD. Любые последующие изменения этих записей также копируются для архивируемых копий.

1.5.7.20 Поиск в архиве электронных документов

Запрос поиска в архиве электронных документов

Часть УВБД:

4-битовая идентификация УВБД

4-битовый номер последовательности

4-12-значный ПИК

56-битовый ключ ответа

Дополнительный код индекса заголовка, номер факса отправителя и расширение

Отслеживаемый номер MAC

Часть терминала: (не используется) Ответ поиска в архиве электронных документов

Зашифрованный (ключом ответа):

индивидуальный код

56-битовый ключ сообщения

MAC

Центр обработки данных может принять запрос поиска в архиве электронных документов либо от терминала защищенного факса, либо от терминала электронной почты. Центр обработки данных использует процедуру идентификации индивидуального пользователя для определения индивидуального пользователя, направившего запрос поиска в архиве. Индивидуальный пользователь должен быть отправителем или одним из получателей, в противном случае центр обработки данных отклонит запрос путем установки кода статуса как «некорректный пользователь». Однако если архивированный документ был факсом, отправленным с использованием корпоративного заголовка, то центр обработки данных также позволяет пользователям, заголовок которых выше по корпоративной иерархии, осуществлять поиск архивированного документа.

База данных электронных документов EDD поддерживает архивную базу данных, индексируемую исходным отслеживаемым номером документа, хранящуюся на автономных носителях, например, на CD-ROM и на магнитных лентах, что может потребовать значительного времени для осуществления поиска архивированного документа. В результате центр обработки данных не выдает немедленно архивированный документ, а информирует запрашивающего индивидуального пользователя, что центр обработки данных начал поиск. Затем, когда центр обработки закончит поиск, он уведомляет запрашивающего пользователя, что архивированный документ готов к извлечению посредством стандартного механизма уведомления о приходе документа - либо по факсу, либо посредством электронной почты, в зависимости от формата исходного документа.

Центр обработки данных создает запись запроса архивирования в базе данных EDD для хранения информации о запрашивающей стороне, так что когда поиск завершен, центр обработки данных имеет информацию о том, кому послать документ.

1.5.7.21. Электронная подпись

Запрос электронной подписи

Часть УВБД:

4-битовая идентификация УВБД

4-битовый номер последовательности

4-12-значный ПИК

56-битовый ключ ответа

наименование документа

вычисление MD5 документа

MAC

Часть терминала: (не используется)

Ответ электронной подписи

Зашифрованный (ключом ответа):

Индивидуальный кодовый текст

Строка подписи

MAC

Для обработки запроса электронной подписи центр обработки данных выполняет идентификацию с использованием биометрических данных и ПИК. Центр обработки данных затем создает запись в базе данных электронных подписей ESD, присваивает уникальный код идентификации подписи и устанавливает в запросе поле подписи для записи в базе данных на электронную подпись. Затем центр обработки данных возвращает строку подписи, которая может быть передана для последующего подтверждения подлинности:

"<Dr.Bunsen Honeydew><Explosions in the Laboratory>5/17/95 13:00

PST 950517000102

1.5.7.22. Подтверждение электронной подписи

Запрос подтверждения электронной подписи

Часть УВБД:

4-битовая идентификация УВБД

4-битовый номер последовательности

4-12-значный ПИК

56-битовый ключ ответа

Строка подписи

MAC

Часть терминала: (не используется)

Ответ подтверждения электронной подписи

Зашифрованный (ключом ответа):

Индивидуальный кодовый текст

Строка подписи

Статус (подтверждено, неподтверждено)

MAC

Центр обработки данных осуществляет идентификацию биометрических данных, выделяет код отслеживания подписи из строки подписи, извлекает указанную запись из базы данных электронных подписей ESD и подтверждает, что она совпадает со строкой подписи. Затем центр обработки данных возвращает индивидуальный код и результат сравнения подписи.

1.5.7.23. Сетевые вверительные данные

Запрос сетевых вверительных данных

Часть УВБД:

4-битовая идентификация УВБД

4-битовый номер последовательности

4-12-значный ПИК

56-битовый ключ ответа

индекс счета

код банка

имя главной машины банка

порт терминала и порт банка

(адреса TCP/IP)

MAC

Ответ сетевых вверительных данных

Зашифрованный (ключом ответа):

Индивидуальный код

Обозначенные (индивидуальным ключом центра обработки данных):

Вверительные данные (время, счет, порт терминала, порт банка)

Открытый ключ банка

Код статуса (ОК, отказ)

MAC

Центр обработки данных осуществляет идентификацию пользователя с помощью биометрических данных и ПИК и извлекает счет актива пользователя, запомненный в соответствии с конкретным индексом. Если индекс счета соответствует счету для чрезвычайных обстоятельств, то код статуса ответа для сетевых вверительных данных устанавливается на «отказ», и вверительные данные не генерируются.

Центр обработки данных формирует вверительные данные с использованием текущего времени, вызванного счета актива, адресов ТСР/ТР терминала и банка. Центр обработки данных затем использует шифрование открытым кодом для обозначения вверительных данных с использованием своего индивидуального кода.

Ответ также включает открытый код банка, который центр обработки данных извлекает из базы данных удаленных продавцов.

1.5.8. Сообщения службы поддержки потребителей и администратора системы

Центр обработки данных обрабатывает дополнительные типы сообщений, классифицируемые как внутренние сообщения. Центр обработки данных в общем случае не принимает эти сообщения от систем, не относящихся к центру обработки данных. Эти сообщения являются специфическими сообщениями баз данных продавцов. Однако внутренняя сеть использует пакеты, шифрованные с использованием кода DES (стандарта шифрования данных) для обеспечения дополнительной защиты.

Задачи службы поддержки и администратора системы реализуются с использованием языка и прикладных программ запросов продавцов для баз данных.

1.5.8.1. Задачи службы поддержки

IBD: поиск, активизация, деактивизация, удаление, коррекция записей

AID: добавление или удаление санкционированных пользователей

AOD: поиск, добавление, удаление, коррекция записей

VAD:поиск, активизация, деактивизация, удаление, коррекция записей

RMD: поиск, добавление, удаление, коррекция записей

PFD: добавление, удаление, коррекция записей

1.5.8.2. Задачи администратора системы

Осуществление проверки ранее совершенных противоправных действий

Модифицирование перечня действующих станций

Суммирование регистрируемой информации (предупреждения, ошибки и т.п.)

Модифицирование перечня групп ПИК

Контроль характеристик

Изготовление резервных копий

Процедуры восстановления при аварийных ситуациях

Временная синхронизация для станций центра обработки данных

Смена главной станции регистрации

Смена секретного ключа шифрования DES

Очистка устаревших номеров отслеживания документов

Генерирование перечня кодов идентификации аппаратных средств УВБД, кодов шифрования MAC, троек основных ключей DUKPT. Запоминание на зашифрованном гибком диске для устройства загрузки ключа.

1.5.9. Узел защиты (FW)

1.5.9.1. Назначение

Узлы защиты обеспечивают первую линию защиты от атак сетевых вирусов и компьютерных взломщиков. Все коммуникационные каналы, как входящие, так и исходящие для станции центра обработки данных проходят через защищенный узел FW.

1.5.9.2. Использование

Узел защиты FW, маршрутизатор сети Internet-локальной сети, обрабатывает только сообщения, предназначенные для межсетевых узлов (шлюзов) GM.

Терминалы, оснащенные УВБД, передают пакеты к станции центра обработки данных через модем, сеть Х.25 или иную коммуникационную среду. Центр обработки данных основывается на сообщениях третьей стороны, подаваемых в набор модемов, требуемый для обработки всего объема вызовов и ввода данных в магистральную линию связи центра обработки данных. Для связи внутри центра обработки данных, особенно для распределенных транзакций и обновлений номеров последовательностей, узлы защиты FW выдают шифрованные с использованием DES пакеты двойной длины. Компонент локальной сети центра обработки данных выполняет операции шифрования и дешифрирования, поскольку узлы защиты FW не имеют возможностей дешифрирования пакетов.

1.5.9.3. Меры защиты

Надлежащим образом конфигурированный анализатор сети действует в качестве обнаружителя вторжения как резерв для узла защиты FW. Если обнаружено аномальное сообщение, то такие сообщения регистрируются полностью, оператор уведомляется, и узел защиты FW физически отключается с помощью анализатора.

Узел защиты FW не позволяет осуществлять никакие передачи от внутренней сети к остальной части сети Internet.

1.5.9.4. Ширина полосы сообщения

Запрос санкционирования транзакции требует около 400 байтов, а пакеты регистрации требуют около 2 кб. Для обработки 1000 санкционирований транзакций в секунду и 1 пакета регистрации в секунду узлы защиты FW обеспечивают обработку со скоростью до 400 кб/с (как известно в промышленности).

Каждая станция центра обработки данных требует ширины полосы, соответствующей примерно трем соединениям Т1 с набором модемов третьей стороны и с другими станциями центра обработки данных.

1.5.10. Межсетевой узел (шлюз)

1.5.10.1. Назначение

Межсетевой узел (шлюз) GM, посредством узла защиты FM, связывает внешний мир (терминал, оснащенный УВБД, и другие центры обработки данных) с внутренними компонентами данного центра обработки данных. Центр обработки данных имеет множество шлюзов GM, в типовом случае два.

1.5.10.2. Использование

Шлюзы обеспечивают диспетчеризацию обработки по каждому запросу УВБД, осуществляют обмен данными с различными компонентами центра обработки данных, по мере необходимости, и передают зашифрованные результаты запроса назад к отправителю. Программное обеспечение, выполняющее эту задачу, определяется как модуль обработки сообщений.

Шлюз GM регистрирует все запросы, которые он принимает, и любые предупреждения от компонентов, с которыми он осуществляет связь. Например, шлюз регистрирует любые доступы к счетам, осуществляемые в режиме чрезвычайных обстоятельств, пропуски номеров последовательностей и некорректные пакеты.

Обработка запроса может потребовать, чтобы данный шлюз информировал шлюзы в других центрах обработки данных об изменениях в базах данных центра обработки данных. Если это имеет место, то шлюз выполняет распределенную транзакцию для обновления удаленных баз данных.

Распределенные транзакции распадаются на две категории: синхронные и несинхронные. Синхронные распределенные транзакции требуют, чтобы шлюз ожидал совершения распределенной транзакции, прежде чем продолжать обработку пакета. Асинхронные распределенные транзакции не требуют, чтобы шлюз ожидал такого совершения, и позволяют завершать обработку запроса независимо от того, совершена распределенная транзакция или нет. Асинхронные распределенные транзакции используются только для обновления данных, для которых согласованность базы данных не является абсолютным требованием: записи номеров последовательностей и контрольных сумм биометрических данных могут осуществляться асинхронно, в то время как создание записей в базах данных, таких как записи биометрических данных, не может осуществляться асинхронно.

При выполнении синхронной распределенной транзакции запрашивающий шлюз рассматривает всю транзакцию как успешно осуществленную, только если все станции могут успешно совершить транзакцию локально. В противном случае шлюз выдает локальные изменения и отклоняет запрос вследствие ошибки транзакции.

Перечень действующих станций центра обработки данных в обычном случае включает все станции. В случае экстремального отказа станции, однако, администратор системы может вручную удалить данную станцию из перечня действующих станций. Наиболее вероятной причиной отказов распределенных транзакций, однако, являются временные отказы в сети, которые не связаны с каким-либо оборудованием центра обработки данных. Запросы, которые требуют синхронной распределенной транзакции, не могут быть выполнены до тех пор, пока соединения в сети не будут восстановлены или станция не будет удалена из перечня действующих станций. Прежде чем станция будет вновь введена в перечень действующих станций, администратор системы осуществляет обновление баз данных до состояния данных, соответствующего данным текущей действующей станции.

1.5.10.3. Компоненты программного обеспечения

Каждый шлюз использует локально следующие компоненты программного обеспечения, исходя из соображений обеспечения требуемых характеристик:

Модуль обработки сообщений

Модуль кода аутентификации сообщений

Модуль дешифрирования сообщений

Перечень машинных узлов базы биометрических данных индивидуальных пользователей.

1.5.10.4. Ширина полосы сообщения

Ширина полосы сообщения, требуемая шлюзами, подобна полосе, требуемой для узлов защиты FW. Сетевой интерфейс FDDI обеспечивает 100 Мбит/с и без труда удовлетворяет требованиям по ширине полосы.

1.5.11. Локальная сеть центра обработки данных

1.5.11.1. Назначение

Локальная сеть центра обработки данных связывает машинные узлы станций центра обработки данных вместе с использованием кольцевой сети с эстафетным доступом на основе волоконно-оптического канала связи. Такая волоконно-оптическая кольцевая сеть обеспечивает как достаточную ширину полосы, так и хорошую физическую защищенность.

1.5.11.2. Меры защиты

Сетевые интерфейсы, используемые машинными узлами в локальной сети центра обработки данных, включают аппаратные средства шифрования, обеспечивающие то, что перехваченные пакеты будут бесполезны без знания ключа шифрования. Ключ шифрования один и тот же для всех машин в локальной сети, он хранится в аппаратных средствах шифрования.

1.5.12. Модуль обработки сообщений

1.5.12.1. Назначение

Модуль обработки сообщений (МРМ) обрабатывает пакеты запросов. Он осуществляет обмен данными с другими компонентами центра обработки данных, по мере необходимости, при выполнении своих задач. Наличие модуля МРМ в машине обеспечивает ее функционирование в качестве шлюза GM.

1.5.12.2. Использование

Модуль обработки сообщений поддерживает контекст запроса по каждому запросу, который он обрабатывает в текущий момент времени. Контекст запроса включает информацию, необходимую для поддержки сетевого соединения с терминалом, осуществляющим запрос, информацию относительно УВБД, ключ ответа и пакет ответа.

1.5.13. Модуль кода аутентификации сообщений

1.5.13.1. Назначение

К задачам модуля кода аутентификации сообщений (МАСМ) относится подтверждение подлинности кода аутентификации сообщения во входящих пакетах и добавление кода аутентификации сообщений к исходящим пакетам.

1.5.13.2. Использование

Модуль кода аутентификации сообщений (МАСМ) поддерживает таблицу хэширования в памяти, включающую 112-битовые ключи шифрования, зашифрованные кодом идентификации аппаратных средств УВБД.

Когда модуль МАСМ получает запрос от шлюза GM подтвердить код аутентификации сообщений пакета, он сначала осуществляет поиск идентификационного кода аппаратных средств пакета в таблице хэширования. Если такой записи нет, то модуль МАСМ отвечает шлюзу GM сообщением об ошибке вида «некорректный идентификационный код аппаратных средств».

В противном случае модуль МАСМ выполняет проверку кода аутентификации сообщений в части сообщения, относящейся к УВБД с использованием 112-битового ключа шифрования кода аутентификации сообщений. Если эта проверка дает отрицательный результат, то модуль МАСМ посылает шлюзу GM сообщение в виде «некорректный MAC». В противном случае модуль МАСМ отвечает сообщением вида «корректный MAC».

Если пакет содержит код продавца, то модуль МАСМ также проверяет код продавца по сравнению с другими идентификационными кодами в таблице хэширования. Если эти коды не совпадают, то модуль МАСМ отвечает сообщением об ошибке вида «некорректный владелец».

Если модуль МАСМ получает запрос от шлюза GM генерировать код аутентификации сообщений (MAC) для пакета, то он осуществляет поиск ключа шифрования MAC с использованием идентификационного кода аппаратных средств пакета. С использованием ключа шифрования MAC модуль МАСМ генерирует MAC и добавляет его к пакету. Если модуль МАСМ не может отыскать идентификационный код аппаратных средств в своей таблице хэширования, от отвечает сообщением об ошибке типа некорректного идентификационного кода аппаратных средств.

1.5.13.3. Схема базы данных

Элемент таблицы хэширования модуля МАСМ содержит следующее:

Элемент МАСМ:

hardware Id=int4

ownerld=int4

macEncriptionKey=intl6

Таблица хэшируется по идентификационному коду аппаратных средств.

1.5.13.4. Размер базы данных

Если в системе обслуживания используется 5 миллионов устройств, оснащенных УВБД, то таблица хэширования потребует объема памяти 120 Мб. Из соображений эфективности данная таблица хэширования полностью хэшируется в памяти.

1.5.13.5 Зависимости

Модуль МАСМ содержит только записи, указывающие действующие идентификационные коды УВБД и действующих владельцев устройств. Как только устройство или владелец устройства удаляются из системы, модуль МАСМ удаляет все записи, который указывают на этот идентификационный код. Если устройство вновь задействуется, то модуль МАСМ вновь дополняет соответствующую им запись.

Модуль МАСМ также хэширует ключ шифрования MAC из базы данных действующих устройств. Поскольку система не позволяет изменять ключ шифрования какого-либо УВБД, то модуль МАСМ может не заботиться о приеме обновлений данных для ключей шифрования.

1.5.14. Модуль дешифрирования сообщений

1.5.14.1. Задачей модуля дешифрирования сообщений (MDM) является восстановление ключа транзакции DUKPT (произвольного уникального ключа на транзакцию) и с помощью него дешифрирование блока биометрических данных и ПИК пакета. Он поддерживает перечень базовых ключей DUKPT, которые требуются для генерирования ключей транзакций.

1.5.14.2. Использование

Модуль MDM формирует ключ транзакции DUKPT с использованием номера последовательности пакета в качестве счетчика транзакции DUKPT, верхние 22 бита идентификационного кода аппаратных средств УВБД в качестве DUKPT-идентификации модуля, защищенного от фальсификации (TRSM), и нижних 10 бит идентификационного кода аппаратных средств УВБД в качестве DUKPT-идентификации установки ключа.

Стандарт DUKPT определяет, как генерируется ключ транзакции. Идентификация установки ключа используется для поиска базового ключа в перечне базовых ключей. Базовый ключ используется для преобразования идентификации TRSM в исходный ключ посредством цикла шифрования с использованием стандарта шифрования данных (DES)/ дешифрирования/шифрования. Счетчик транзакции затем применяется к исходному ключу в виде последовательности циклов DES-шифрования/ дешифрирования/ шифрования для генерирования ключа транзакции.

Для обеспечения дополнительной защищенности поддерживаются два перечня базовых ключей, один для устройств УВБД с низкой защищенностью, а другой - для устройств с высокой защищенностью. Модуль MDM выбирает, какой перечень базовых ключей использовать, в зависимости от уровня защищенности устройства.

1.5.14.3. Схема базы данных

Элемент перечня базовых ключей модуля MDM содержит:

Элемент MDM:

BaseKey=int16

Перечень базовых ключей индексируется идентификацией установки ключа.

1.5.14.4. Размер базы данных

Модуль MDM поддерживает в памяти перечень базовых ключей DUKPT. Каждый ключ требует 112 битов. Модуль MDM поддерживает два набора из 1024 ключей, что требует объема памяти 32 кБ.

1.5.14.5. Зависимости

Модуль MDM не имеет прямых зависимостей от каких-либо компонентов центра обработки данных.

1.5.15. Перечень групп ПИК

1.5.15.1 Назначение

Перечень групп ПИК (PGL) вместе с перечнем машинных узлов базы биометрических данных индивидуальных пользователей определяет конфигурацию машинных узлов базы данных, предназначенной для хранения биометрических данных (IBD). Перечень групп ПИК хранит перечень групп персональных идентификационных кодов в системе, которая используется для упрощения манипулирования с персональными идентификационными кодами. Группа ПИК представляет собой набор последовательных кодов ПИК. Перечень групп ПИК имеется в каждом шлюзе GM.

1.5.15.2. Использование

Перечень групп ПИК, при заданном коде ПИК, реализует поиск в своем перечне групп ПИК для обнаружения группы, содержащей данный ПИК. Перечень групп ПИК поддерживает перечень групп в порядке и использует двоичный поиск для ускорения нахождения корректной группы.

Первоначальная конфигурация для перечня групп ПИК представляет собой одну огромную группу, содержащую всевозможные ПИК. После того, как будет присвоено пороговое число для ПИК, эта огромная группа ПИК разбивается на две группы. После этого данная процедура применяется ко всем последующим группам ПИК.

При разделении группы ПИК пополам, перечень групп ПИК (PGL) назначает новую основную и резервную машины для базы данных IBD, хранящей биометрические данные, основываясь на располагаемом объеме памяти для хранения по принципу «первым пришел-первым обслужен». База данных PGL обеспечивает координацию для машинных узлов базы данных IBD, хранящей биометрические данные, для копирования соответствующих записей со старых основной и резервной машин на новые, обновления записи IML, удаления старых основной и резервной копий. Разделение группы ПИК является объемной задачей. База данных PGL пакетирует запросы на разделение для выполнения при низкой загрузке центра обработки данных, например, в ночное время.

Администратор системы может также осуществлять смену основной резервной машин базы данных IBD, хранящей биометрические данные, для данной группы ПИК, если свободный объем памяти машины спадает ниже уровня, требуемого для обработки ожидаемого количества новых регистраций.

1.5.15.3. Схема базы данных

Схема записей для группы ПИК содержит следующее:

Группа ПИК:

lowPin=int8

highPin=int8

used=int4

Каждая группа ПИК идентифицируется уникальным идентификатором. Доя удобства идентификационный код группы ПИК представляет собой код lowPin для группы, однако система не может в любом случае полагаться на данное обстоятельство.

Перечень групп ПИК шифруется полем lowPin.

1.5.15.4. Размер базы данных

База данных PGL, как ожидается, будет содержать около 3000 групп (каждая группа ПИК содержит примерно 1000 действующих ПИК, но многие могут охватывать миллионы действующих ПИК). Вся база данных PGL потребует объема памяти около 72 кб и кэшируется полностью в памяти.

1.5.15.5. Зависимости

Когда группы ПИК суммируются, сливаются, расщепляются, база данных PGL несет ответственность за информирование перечня машинных узлов базы данных EBD, хранящей биометрические данные, и за направление изменений записей в базе данных IBD от одного машинного узла базы данных IBD к другому.

1.5.16. Перечень машинных узлов базы данных, хранящей индивидуальные биометрические данные

1.5.16.1. Назначение

Перечень машин базы данных, хранящей биометрические данные (EBD), совместно с перечнем групп ПИК, кодифицирует конфигурацию машин базы данных IBD. Перечень машин базы данных EBD (IML) отображает код ПИК на основную и резервную машины базы данных IML, хранящей записи базы данных IBD для персонального идентификационного кода. База данных IML действительно шифруется группой ПИК (набором последовательных ПИК-кодов), а не индивидуальными ПИК, поскольку это в значительной степени сокращает объем памяти, требуемой для хранения перечня. База данных IML существует на каждом шлюзе GM.

1.5.16.2. Использование

Когда шлюз обрабатывает запрос, который требует идентификации биометрических данных, шлюз GM отыскивает запись в базе данных IML, зашифрованную группой ПИК биометрических данных. После этого шлюзу известны основной и резервный машинные узлы базы данных IBD, которые следует использовать для идентификации с использованием биометрических данных.

1.5.16.3. Схема базы данных

Схема для элемента перечня в базе данных IML содержит следующее:

Пара машин:

pinGroup=int8

main=int2

backup=int2

База данных IML шифруется группой ПИК.

1.5.16.4. Размер базы данных

База данных IML, как ожидается, будет содержать около 3000 элементов (число групп ПИК). Каждая запись для пары машин соответствует 12 байтам, что приводит к объему памяти примерно 36 кб памяти; кэширование осуществляется полностью в памяти.

1.5.16.5. Зависимости

Любые изменения в конфигурации машинных узлов базы данных IBD должны отражаться в базе данных IML. Кроме того, база данных IML использует группы ПИК для своих ключей, так что когда перечень групп ПИК модифицируется, то база данных IML также обновляется.

1.5.17. Модуль номера последовательности

1.5.17.1. Назначение

Главной функцией модуля номера последовательности (SNM) является предотвращение попыток повторного воспроизведения путем подтверждения номеров последовательностей пакетов. Второй функцией является минимизация попыток повторной передачи путем информирования других баз данных SNM в удаленных станциях центра обработки данных об обновлениях номера последовательности и периодическое обновление номеров последовательности в базе данных действующих устройств.

База данных SNM поддерживает в памяти таблицу хэширования номеров последовательности, зашифрованных идентификационными кодами УВБД, и обеспечивает быстрое подтверждение подлинности номеров последовательности пакета.

1.5.17.2. Использование

Когда базой данных SNM получен запрос подтверждения от шлюза GM для конкретного идентификационного кода аппаратных средств и номера последовательности, она осуществляет поиск идентификационного кода аппаратных средств в таблице хэширования. Если такой записи нет, то база данных отвечает шлюзу сообщением об ошибке вида «некорректный идентификационный код аппаратных средств».

В противном случае база данных SNM проверяет заданный номер последовательности по отношению к номерам последовательности, хранящимся в его записи таблицы хэширования. Если номер последовательности меньше или равен запомненному номеру последовательности, то SNM отвечает сообщением об ошибке типа «некорректный номер последовательности». В противном случае база данных SNM устанавливает номер последовательности в записи таблицы хэширования на заданный номер последовательности и отвечает сообщением вида «корректный номер последовательности».

Время от времени база данных SNM может фиксировать пропуск номеров последовательности. Пропуск номеров последовательности возникает, когда SNM принимает номер последовательности, который более чем на единицу превышает номер последовательности, запомненный в записи таблицы хэширования. Иными словами, имеет место пропуск номера последовательности. Когда база данных SNM обнаруживает такой пропуск номера последовательности, она отвечает шлюзу сообщением вида «пропуск номера последовательности» вместо сообщения вида «корректный номер последовательности». Шлюз обрабатывает пакет как корректный, но регистрирует предупреждение «пропуск номера последовательности».

Пропуски номеров последовательности обычно возникают, когда теряется соединение в сети: пакеты пропускаются или не могут быть переданы до тех пор, пока сеть не восстановит свою работоспособность. Однако пропуски номеров последовательности могут возникнуть и в случае попыток мошенничества: злоумышленник может перехватить пакеты, препятствуя их прохождению в центр обработки данных, или даже может сделать попытку фальсифицировать пакеты (с большим номером последовательности, так что они не будут сразу отклонены).

Дополнительной функцией базы данных SNM является информировать центр обработки данных об обновленных номерах последовательности. Быстрое обновление номеров последовательности во все станциях центра обработки данных препятствует попыткам повторной передачи, когда злоумышленник контролирует пакеты, предназначенные для доставки на какую-либо станцию центра обработки данных и затем немедленно посылает копию в другую станцию центра обработки данных в надежде использовать задержки передачи обновления номеров последовательности от одной станции к другой, в результате чего обе станции центра обработки данных могли бы принять пакет как действительный, когда только первая станция должна была ба принять пакет.

Базы данных SNM посылают сообщения об обновлении друг другу всякий раз, когда они принимают действительный номер последовательности. Если база данных SNM принимает сообщение обновления для номера последовательности, который меньше или равен номеру последовательности, запомненному в текущий момент в таблице хэширования, то эта база данных SNM регистрирует предупреждение о повторной передаче номера последовательности.

Простым способом предотвращения полностью возможных попыток повторной передачи является использование только одной базы данных SNM для подтверждения подлинности пакетов. По этой схеме отсутствует окно задержки передачи обновления, которое могло бы быть использовано для попыток повторной передачи. В другом варианте, множество баз данных SNM могут быть задействованы в одно и то же время, при условии, что ни одна из них не обрабатывает подтверждение подлинности номера последовательности для того же самого УВБД.

1.5.17.3. Поддержка номера последовательности

Когда осуществляется загрузка базы данных SNM, то таблица хэширования номеров последовательности загружается из последовательности номеров для действующих УВБД, запомненной в базе данных действующих устройств (VAD).

Один раз в сутки база данных SNM загружает текущие номера последовательности в базу данных действующих устройств VAD/

База данных действующих устройств VAD несет ответственность за передачу сообщений в базы данных SNM об элементах дополнительного ввода и удаления для любых устройств, оборудованных УВБД, которые активизируются и деактивизируются для поддержания обновленного состояния таблицы хэширования базы данных SNM.

1.5.17.4. Схема базы данных

Элемент таблицы хэширования базы данных SNM содержит следующее:

Элемент SNM:

hardwareld=int4

sequenceNumber=int4

Эта таблица хэширования шифруется идентификатором аппаратных средств (hardwareld).

1.5.17.5. Размер базы данных

В предположении, что обслуживаться будут около 5 миллионов устройств, оснащенных УВБД, потребуется таблица хэширования объемом около 40 Мб.

1.5.17.6. Зависимости

База данных SNM зависит от базы данных действующих устройств (VAD). Когда какое-либо устройство удаляется из этой базы данных, то база данных SNM удаляет соответствующую запись. Когда устройство активизируется, то база данных SNM создает для него новую запись.

1.5.17.7. Ширина полосы сообщения

Базы данных SNM требуют ширины полосы передачи около 8 кб/с для обработки 1000 сообщений обновления номера последовательности в секунду. Сообщения обновления номера сообщения буферизуются и выдаются один раз в секунду для минимизации числа действительных передач сообщений.

1.5.18. База данных владельцев устройств

1.5.18.1. Назначение

База данных владельцев устройств (AOD) хранит информацию об индивидуальных лицах или организациях, которые владеют одним или более устройств, оснащенных УВБД. Эта информация используется для дублирования проверки того, что устройства с УВБД используются только их законными владельцами, для обеспечения информации доступа к активам при осуществлении кредитных и дебетовых транзакций, а также для обеспечения идентификации всех УВБД, которые находятся в собственности индивидуальных лиц или организаций.

1.5.18.2. Использование

Каждая запись в базе данных AOD включает счет актива для кредитования или дебетовая владельца, когда центр обработки данных обрабатывает финансовую транзакцию, представляемую одним из устройств владельца, оснащенных УВБД. Например, транзакции, передаваемые с УВБД, связанного с терминалом системы розничных продаж, связаны с кредитами счета актива, а подтвержденные передачи электронной почты приводят к дебетам счета актива.

1.5.18.3. Схема базы данных

Схема для записи владельца устройства имеет следующий вид:

Владелец устройства:

ownerld=int4

name=char50

address=char50

zipCode=char9

assetAccount=char 16

status=int1

Поле статуса имеет вид:

0: приостановлено

1: действующее

База данных владельцев устройств шифруется идентификатором владельца (ownerld).

1.5.18.4. Размер базы данных

По оценкам, база данных AOD должна хранить около 2 миллионов записей владельцев устройств. Каждая запись соответствует 130 байтам, в результате требуется объем памяти около 260 Мб. База данных AOD хранится как хэшированный файл, зашифрованный кодом идентификатора владельца. Копия базы данных AOD хранится в каждом шлюзе GM.

1.5.18.5. Зависимости

Когда записи удаляются из базы данных AOD или их использование приостанавливается, любые записи в базе данных действующих устройств (VAD), которые имеют ссылки на владельцев этих устройств, маркируются как приостановленные. Кроме того, модуль кода аутентификации сообщений MAC и модуль номера последовательности SNM удаляют свои записи для устройств, использование которых приостановлено.

1.5.19. База данных действующих устройств

1.5.19.1. Назначение

База данных действующих устройств (VAD) представляет собой множество записей, представляющих все УВБД, которые выпущены до настоящего времени.

Запись в базе данных VAD содержит код шифрования кода аутентификации сообщений для каждого УВБД, а также указание на то, является ли УВБД функционирующим, ожидающим отгрузки или обозначено как уничтоженное. Для того чтобы сообщение с УВБД имело возможность расшифровки, данное УВБД должно существовать и иметь запись, свидетельствующую о его активном состоянии, в базе данных VAD.

1.5.19.2. Использование

После выпуска каждое УВБД имеет уникальный открытый идентификационный код и уникальный код шифрования MAC, которые вводятся в запись базы данных VAD, прежде чем это УВБД будет установлено.

При создании УВБД ему присваивается уникальный код идентификации аппаратных средств. Когда УВБД вводится в эксплуатацию, его код идентификации аппаратных средств регистрируется в системе. Сначала данные владельца или стороны, несущей ответственность за данное УВБД, вводятся в запись базы данных AOD, и затем УВБД приводится в действующее состояние. Запросы с данного УВБД принимаются центром обработки данных.

Когда УВБД выводится из обслуживания, оно маркируется как недействующее и связь с записью в базе данных AOD разрывается. Никакого обмена данными с этим УВБД не производится.

Каждый тип и модель УВБД имеют присвоенный уровень защищенности, который указывает на соответствующий уровень физической защищенности. Когда центр обработки данных обрабатывает запросы от данного УВБД, он использует уровень защищенности данного УВБД, чтобы оценить, какой тип операций допустим. Центр обработки данных также обеспечивает этот уровень защищенности для внешних служб санкционирования финансовых транзакций.

Например, служба санкционирования финансовых транзакций может принять решение об отказе на запрос свыше 300$ с УВБД с низким уровнем защищенности и потребовать от индивидуального пользователя использовать УВБД с более высоким уровнем защищенности для получения разрешения на транзакцию с такой суммой. Служба санкционирования может также использовать уровень секретности в качестве указания на уровень оплаты для транзакции, основываясь на риске.

Уровни защищенности и операции, которые они обеспечивают, определяются оперативным путем. В принципе, сцена за обман системы должна быть выше, чем потенциальный выигрыш от такого обмана, так что уровень защищенности связывается со стоимостью от подвергания риску системы.

1.5.9.3. Схема базы данных

Схема для записи в базе данных действующих устройств имеет следующий

вид:

Действующее устройство:

hardwareld=int4

macEncryptionKey=int16

ownerld=int8

mfgDate=time

inServiceDate=time

securityLevel=int2

status=int1

type=int1

use=int1

Возможные значения для поля статуса имеют вид:

0: приостановлено

1: действующее

2: уничтожено

Возможные значения для поля типа (для каждого типа терминала) имеют вид:

0:ATM

1:BRT

2:СЕТ

3:СРТ

4:CST

5:EST

6:IPT

7:IT

8:ITT

9:РРТ

10:RPT

11:SFT

Возможные значения для поля использования имеют вид:

0: розничная торговля

1: персональный

2: эмитента

3: дистанционный

База данных действующих устройств шифруется с использованием кода идентификации аппаратных средств.

1.5.19.4. Размер базы данных

База данных VAD обрабатывает примерно 5 миллионов записей для действующих устройств розничной торговли, эмитентов и для дистанционно осуществляемых сделок. Каждая запись требует 51 байт, что в целом составляет около 255 Мб. База данных VAD хранится как хэшированный файл, зашифрованный с использованием кода идентификации аппаратных средств. Копия базы данных VAD хранится в каждом шлюзе GM.

Число записей персональных действующих устройств порядка 30 миллионов требует объема памяти примерно 1,5 Гб.

1.5.19.5. Зависимости

Когда запись в базе данных VAD изменяет статус, модули MAC и SNM информируются об изменении статуса. Например, когда какое-либо устройство становится действующим, модули MAC и SNM добавляют запись для нового действующего устройства. Когда устройство становится недействующим, модули MAC и SNM удаляют соответствующую запись для данного устройства.

1.5.20. База данных для биометрических данных индивидуальных пользователей

1.5.20.1. Назначение

Записи базы данных, для хранения биометрических данных пользователей, хранят информацию об индивидуальных пользователях, включая их основные и дополнительные биометрические данные, персональный идентификационный код (ПИК), перечень счетов финансовых активов, индивидуальный код, счет для режима чрезвычайных обстоятельств, адрес и номер телефона. Индивидуальный пользователь может дополнительно включать свой адрес электронной почты и номер социального обеспечения (SNN). Эта информация необходима для идентификации индивидуального пользователя как по биометрической информации, так и по его персональной информации, для доступа к информации счетов или для обеспечения адреса или номера телефона удаленных продавцов для дополнительной проверки.

1.5.20.2. Использование

Индивидуальные пользователи дополнительно дополняются к системе согласно процедуре регистрации на зарегистрированных терминалах для регистрации биометрических данных, размещенных повсюду на банковских предприятиях для совершения сделок розничных продаж или в локальных офисах системы. При регистрации индивидуальные пользователи выбирают свои персональные идентификационные номера и добавляют счета финансовых активов к комбинации своих биометрических данных и ПИК.

Индивидуальные пользователи могут быть исключены из базы данных вследствие противоправных действий, о которых уведомлено любым запрашивающим участником. Если это происходит, то информация о счета индивидуального пользователя переносится из базы данных, хранящей биометрические данные, в базу данных предшествующих случаев злоупотреблений (PFD) соответствующим уполномоченным представителем внутренних систем. Идентификаторы биометрических данных для записей в базе данных PFD не могут быть использованы для записей в базу данных, хранящую биометрические данные (IBD).

База данных IBD существует на множестве машин, каждая из которых несет ответственность за подмножество записей базы данных IBD, причем копия каждой записи хранится в двух других машинах, как для резервирования, так и для распределения нагрузки. Перечень машин базы данных IBD, хранящийся в шлюзе GM, поддерживает информацию о том, какие машины содержат какие из ПИК.

1.5.20.3. Схема базы данных

Схема для записи индивидуальных биометрических данных в базе данных IBD имеет следующий вид:

Индивидуальные биометрические данные:

primaryBiometric=biometric

secondaryBiometric=biometric

biometricId=int4

PIC=char10

phoneNumber=char12

lastName=char24

firstName=char24

middlelnitial=char2

SSN=char9

privateCode=char40

address=char50

zipCode=char9

publicKey=char64

checksums=int4[10]

accountLinks=char30[10]

emergencylndex=char1

emergencyLink=char1

privs=char10

enroller=int8

emergencyUseCount=int4

status=int1

Поле статуса имеет один из следующих видов:

0: приостановлено

1: действующее

2: предшествующее злоупотребление

База данных IBD шифруется посредством ПИК.

1.5.20.4. Индексы базы данных

Каждая машина базы данных IBD имеет дополнительные индексы по номеру социального обеспечения (SSN), коду идентификации на основе биометрических данных, по последнему имени, по первому имени, по номеру телефона для облегчения доступа к базе данных, хранящей биометрические данные.

1.5.20.5. Размер базы данных

Каждая машина базы данных IBD имеет объем вторичной памяти 40 Гб, обеспечиваемый одним или более устройствами RAID. Каждая запись базы данных IBD соответствует 2658 байт (в предположении, что биометрические данные занимают 1 кб на единицу), что обеспечивает до 15 миллионов записей на машину. Записи в базе данных IBD хранятся с использованием (возможно, в сгруппированном виде) дополнительного индекса по ПИК. Индекс хранится в памяти и требует не более 64 Мб (индекс в 64 Мб обрабатывает примерно 16 миллионов записей). Для хранения записей для 300 миллионов индивидуальных пользователей центр обработки данных требует по меньшей мере 40 машин базы данных IBD: 20 машин IBD для главной памяти и другие 20 машин в качестве резервной памяти. Число машин базы данных IBD легко масштабировать в сторону увеличения или уменьшения в зависимости от числа зарегистрированных индивидуальных пользователей.

1.5.20.6. Зависимости

Машины базы данных IBD, перечень групп ПИК и перечень машин базы данных IBD поддерживаются обновленными в соответствии с тем, какие из ПИК относятся к какой из машин. Если группы ПИК переконфигурируются, или происходит смена главных и резервных машин для групп ПИК, то машины базы данных IBD соответствующим образом обновляют свои базы данных и индексы.

1.5.21. База данных санкционированных пользователей

1.5.21.1. Назначение

Для каждого устройства, оснащенного персональным или предназначенным для запрашивающей стороны УВБД, база данных санкционированных пользователей (AID) поддерживает перечень индивидуальных пользователем, которым дано право использования устройства его владельцем.

База данных IAD имеет два назначения. Первое состоит в том, что она обеспечивает ограниченный доступ к терминалу. Например, терминал запрашивающей стороны может быть использован только санкционированным представителем соответствующего банка. Второе назначение базы данных AID состоит в том, чтобы препятствовать криминальным элементам скрытным образом подменять УВБД в терминале системы розничной продажи на персональное УВБД с телефонного терминала и тем самым направлять все сделки покупок на счет удаленного продавца, установленный криминальными элементами.

1.5.21.2. Схема базы данных

Схема записи для санкционированного пользователя в базе данных AID имеет вид:

Санкционированный пользователь:

hardwareld=int4

biometricId=int4

Идентификатор аппаратных средств (hardwareld) ссылается на запись в базе данных действующих устройств (VAD), а идентификатор биометрических данных (biometricId) ссылается на запись в базе данных, хранящей биометрические данные пользователей (IBD). Всякий раз, когда центру обработки данных необходимо проверить, уполномочен ли индивидуальный пользователь использовать персональное УВБД или УВБД запрашивающей стороны, центр обработки данных проверяет наличие записи санкционированного пользователя с корректной идентификацией аппаратных средств и биометрических данных.

Персональные УВБД идентифицируются с использованием поля использования, установленного в состояние 1 (персональное) в базе данных действующих устройств (VAD). УВБД запрашивающей стороны идентифицируются с использованием поля использования, установленного в состояние 2 (запрашивающая сторона) в базе данных VAD.

1.5.21.3. Размер базы данных

В предположении, что каждый терминал запрашивающей стороны имеет 10 пользователей, которым предоставлено право использовать его, в каждому персональному устройству соответствуют два дополнительных индивидуальных пользователя, причем на сервер приходится 1000000 персональных устройств, база

данных AID будет содержать

10·100000+2·1000000=3000000 записей

Полная база данных требует объема памяти примерно 24 Мб.

1.5.21.4. Зависимости

Когда записи базы данных санкционированных владельцев (AOD) или базы данных действующих устройств (VAD) удаляются, то удаляются и записи санкционированных пользователей, имеющие ссылки на них.

1.5.22. База данных предшествующих случаев злоупотреблебний

1.5.22.1. Назначение

База данных предшествующих случае злоупотреблений (PFD) представляет собой совокупность записей, представляющих индивидуальных пользователей, которые допустили противоправные действия в некоторый момент времени в прошлом. База данных PFD также выполняет низкоприоритетные транзакции в периоды низкой активности системы для выявления индивидуальных пользователей в базе данных IBD, которые имеют совпадающие записи в базе данных PFD.

Система не переводит автоматически пользователей в базу данных PFD, если только она не обнаружит, что они пытались зарегистрироваться вновь. Помещение пользователя в базу данных PFD представляет собой отдельную процедуру, которая не входит в объем настоящего изобретения.

1.5.22.2. Использование

Прежде чем новая запись в базе данных IBD будет отмечена как действующая, основные и дополнительные биометрические данные пользователя проверяются со всеми записями в базе данных PFD с использованием тех же самых методов сравнения биометрических данных, что и используемые при процедуре идентификации индивидуального пользователя. Если обнаруживается совпадение для новой записи в базе данных IBD, то запись в базе данных IBD получает статус «предшествующее злоупотребление». Если проверка на наличие предшествующих злоупотреблений была выполнена как часть запроса на регистрацию, то шлюз регистрирует предупреждение «регистрация индивидуального пользователя с предшествующим случаем злоупотребления».

Предполагается, что база данных PFD будет поддерживаться относительно малого объема. Прогон программы базы данных PFD является дорогостоящим, поскольку это представляет собой недобровольный поиск биометрических данных, поэтому важно дополнительно вносить в базу данных PFD только тех индивидуальных пользователей, которые обусловливают существенные затраты для системы.

1.5.22.3. Схема базы данных

Схема для записи в базу данных предшествующих случаев злоупотреблений PFD имеет следующий вид:

primaryBiometric=biometric

secondaryBiometric=biometric

biometricId=int4

PIC=char10

phoneNumber=char12

lastName=char24

firstName=char24

middlelnitial=char2

SSN=char9

privateSignal=char40

address=char50

zipCode=char9

publicKey=char64

checksums=int4[10]

accountLinks=char30[10]

emergencylndex=char1

emergencyLink=char1

privs=char10

enroller=int8

emergencyUseCount=int4

status=int1

Поле статуса имеет вид:

0: приостановлено

1: действующее

2: предшествующее злоупотребление

База данных PFD шифруется посредством кода идентификации биометрических данных.

1.5.22.4. Размер базы данных

Запись в базе данных PFD та же самая, что и запись в базе данных IBD. К счастью, центр обработки данных должен хранить намного меньше таких записей, поэтому для хранения базы данных PFD требуются только две машины, одна из которых резервная.

1.5.22.5 Зависимости

База данных PFD не имеет прямых зависимостей ни от каких других компонентов центра обработки данных.

1.5.23. База данных эмитентов

1.5.23.1. Назначение

База данных эмитентов (ID) хранит информацию о банках и других финансовых организациях, которые позволяют обеспечивать доступ к своим счетам активов посредством рассматриваемой системы. Эти организации-эмитенты представляют собой единственные структуры, которые могут добавлять или удалять свои номера счетов активов к данной записи в базе данных, хранящей биометрические данные пользователей (IBD).

1.5.23.2. Использование

Центр обработки данных использует базу данных IB для подтверждения подлинности запросов с терминалов эмитентов путем осуществления поиска в базе данных IB для обнаружения записи, содержащей код эмитента такого терминала. Идентификация владельца, хранящаяся в записи, должна совпадать с владельцем, запомненным в базе данных действующих устройств (VAD) для УВБД, запомненного в терминале эмитента.

Схема для записи в базе данных IB имеет следующий вид:

Запись эмитента:

issuerCode=int6

ownerld=int4

name=char50

phoneNumber=char12

address=char50

zipCode=char9

База данных ID шифруется кодом эмитента (issuerCode).

1.5.23.3. Размер базы данных

База данных эмитента обрабатывает примерно 100000 записей. Каждая запись соответствует 127 байтам, в результате требуется объем памяти менее 2 Мб. Копия базы данных ID хранится в каждом шлюзе GM.

1.5.23.4. Зависимости

База данных ID не имеет прямых зависимостей ни от каких других компонентов центра обработки данных.

1.5.24. База данных электронных документов

1.5.24.1. Назначение

База данных электронных документов (EDD) хранит и отслеживает электронные документы, такие как факсовые изображения, сообщения электронной почты, которые должны быть доставлены конкретным индивидуальным пользователям. Она также может содержать корпоративные организационные карты для обеспечения официальных заголовков как для отправителей, так и для получателей. База данных электронных документов EDD также архивирует документы по запросам как отправителей, так и получателей, и обеспечивает нейтральную верификацию третьей стороны соглашений по контрактам, передаваемых через систему.

1.5.24.2. Использование

Когда центр обработки данных получает факс или иной электронный документ от индивидуального пользователя, он создает запись электронного документа в базе данных EDD для хранения документа до тех пор, пока он не будет принят санкционированным получателем.

Для факсовых документов получатели определяются номером факса и расширением. Для других электронных документов получатели определяются адресом электронной почты. Центр обработки данных осуществляет поиск записи данных организации для каждого получателя по номеру факса и расширению или по адресу электронной почты. Если запись не может быть найдена, то центр обработки данных осуществляет поиск в базе данных, хранящей биометрические данные индивидуальных пользователей, но только если получатель определен адресом электронной почты. Для каждого получателя центр обработки данных создает запись получателя, которая имеет ссылки как на документ, так и на идентификацию с помощью биометрических данных получателя, определяемые записью данных об организации или записью в базе данных IBD, если они найдены. Центр обработки данных допускает участие в системе получателей, которые не зарегистрированы в системе, но не может гарантировать им надежную доставку или конфиденциальность.

База данных электронных документов EDD обладает достаточной гибкостью для обеспечения передачи факсовых документов по адресу электронной почты и сообщений электронной почты на факсимильный аппарат.

Хотя электронная подпись не помещается на документ в системе, однако система гарантирует с помощью шифрования, что сообщение в том виде, как принято (и дешифрировано) подтвержденном терминалом электронной почты или терминалом защищенной факсимильной связи, было передано конкретным пользователем.

Надлежащим образом уполномоченные представители организаций могут передавать секретные факсы или электронные сообщения в центр обработки данных для назначения заголовков или расширений факсов для новых участников системы, чтобы обновлять или удалять данные заголовков или расширений факсов для участников системы.

Если индивидуальный пользователь удаляется из организационной структуры, центр обработки данных изымает из обращения номер расширения на период в один год. Этот период изъятия из обращения обеспечивает индивидуальным пользователям достаточно времени, чтобы информировать, что они не могут больше принимать факсы конфиденциального характера с таким расширением, так чтобы структура системы не смогла ошибочным образом активизировать какого-либо из пользователей с указанным расширением, который мог бы ошибочным образом принять факсы, не предназначенные для них.

База данных электронных документов EDD поддерживает архивную базу данных, которая содержит копии записей документов и получателей, архивируемые по запросу отправителя или одного из получателей документа. Архивная база данных периодически смещается на CD-ROM.

1.5.24.3. Схема базы данных

База данных электронных документов имеет три типа записей:

Запись документа:

documentNumber=int8

senderld=int4

documentFax=fax

documentText=text

messageKey=int8

status=int1

Запись получателя:

documentNumber=int8

redpientId=int4

reripientFaxNumber=char12

recipientFaxExtension=char8

recipientEmailAddr=text

rcceivedBy=int4

lastModified=time

deliveryStatus=int1

contractStatus=int1

Запись запроса архивирования:

biometricId=int4

documentNumber=int8

requestorFaxNumber=char12

requestorFaxExtension=char8

requestorEmailAddr=text

Запись организационных данных:

biometricId=int4

registeredBy=int4

company=text

title=text

faxNumber=char12

faxExtension=char8

emailAddr=text

activeDate=time

privs=int2

status=int1

Поле статуса записи документа имеет один из следующих видов:

0: неполная

1: ОК

Поле статуса доставки записи получателя имеет один из следующих видов:

0: неполная

1: уведомлено

2: отклонено

3: вызвано

4: вызвано в незащищенном режиме

5: занято

Поле статуса контракта записи получателя имеет один из следующих видов:

0: нет

1: принято

2: отклонено

Поле статуса записи данных организации имеет один из следующих видов:

0: действует

1: приостановлено

Поле privs* записи данных организации используется для указания, какие привилегии обеспечиваются центром обработки данных данному индивидуальному пользователю:

0: регистрация

Записи поиска в архиве, получателя и документа шифруются номером документа. Записи данных организации шифруются идентификатором биометрических данных. База данных электронных документов EDD поддерживает дополнительные индексы по полю идентификатора отправителя документа, по полю идентификатора получателя документа и по полям наименования компании и заголовку данных организации.

1.5.24.4. Размер базы данных

Требования к объему памяти базы данных EDD зависят главным образом от числа страниц факсимильного сообщения, которые будут запоминаться, поскольку сообщения электронной почты относительно малы по сравнению со страницами факсимильного сообщения. Каждая страница факсимильного сообщения требует объема памяти около 110 кб. В предположении, что на факс приходятся 4 страницы, в сутки приходит 2 факса на пользователя, и имеется 30 миллионов факсимильных аппаратов, объем памяти базы данных EDD составит 24 Гб для подкачки данных факсимильных сообщений, приходящихся на одни сутки.

1.5.24.5. Меры защиты

Документы передаются в систему и из системы в зашифрованном виде с использованием механизма шифрования с использованием УВБД. Однако ключ шифрования хранится в той же базе данных, что и документ. Документ сохраняется в зашифрованном виде для предотвращения случайного раскрытия, но индивидуальные пользователи, заинтересованные в защищенности документа, хранящегося в системе, сами должны принимать определенные меры для дополнительного шифрования.

1.5.24.6. Ширина полосы сообщения

Каждая страница факсимильного сообщения требует около 110 кб, что означает, что соединение типа Т1 с пропускной способностью 1,54 Мбит/с может обрабатывать около 1,75 страниц факсимильного сообщения в секунду.

1.5.25. База данных электронных подписей

1.5.25.1. Назначение

База данных электронных подписей (ESD) обеспечивает подтверждение подлинности и отслеживание всех электронных подписей, создаваемых системой.

1.5.25.2. Использование

Индивидуальные пользователи, которые являются членами системы, передают 16-байтовый «сборник сообщений» для документа вместе с биометрическими данными и ПИК и получают «цифровую подпись», которая сохраняется в файле в системе бессрочно. Эта цифровая подпись кодирует имя пользователя, код идентификации с использованием биометрических данных, номер записи утвержденной подписи, заголовок документа вместе с отметкой времени, когда документ был подписан.

Для подтверждения подлинности подписи сборник сообщений для документа сначала вычисляется (с использованием, например, MD5 шифра РША) и передается вместе с признаками подписи документа. База данных электронных подписей ESD осуществляет поиск признаков подписи и проверяет совпадение вычисленного сборника сообщений документа со сборником сообщений, хранящимся в базе данных.

1.5.25.3. Схема базы данных

Схема записи электронной подписи имеет следующий вид:

Электронная подпись:

signatureNumber=int8

signer=int4

documentName=text

checksum=int16

date=time

Для индивидуальной подписи документа используется код идентификации с использованием биометрических данных. Запись электронной подписи хэшируется номером подписи.

1.5.25.4. Размер базы данных

На каждый 1 Гб дополнительной памяти база данных электронных подписей обеспечивает хранение 27 миллионов записей (каждая запись требует около 32 байтов).

1.5.25.5. Зависимости

База данных электронных подписей имеет зависимости от идентификации с использованием биометрических данных, используемой для подписи. Поскольку эти подписи сохраняют свою действительность и впредь, записи базы данных ESD не удаляются, когда система исключает запись из базы данных для хранения биометрических данных индивидуальных пользователей (IBD). Отметим, что это требует, чтобы база данных IBD никогда не использовала соответствующую идентификацию с использованием биометрических данных.

1.5.26. База данных удаленных продавцов

1.5.26.1. Назначение

База данных удаленных продавцов (RMD) хранит информацию о продавцах, которые обеспечивают товары или услуги по телефону, сетям кабельного телевидения или Internet. Каждый заказ, переданный индивидуальным пользователем с использованием надлежащим образом оснащенного терминала, машрутизируется через терминал заказов продавца в систему.

1.5.26.2. Использование

Как только санкционирование дистанционно осуществляемой транзакции индивидуального пользователя принято и код аутентификации сообщений MAC подтвержден центром обработки данных, код продавца сравнивается с кодом продавца в базе данных удаленных продавцов (RMD). Код продавца, либо телефонный номер, либо вверительные данные товара продавца, либо «интернетовский» адрес, должен существовать в записи базы данных RMD под корректным идентификационным кодом продавца, в противном случае центр обработки данных завершает обработку запроса и возвращает сообщение об ошибке, содержащее указание на некорректный код продавца, пересылаемое на передающий терминал УВБД.

1.5.26.3. Схема базы данных

Схема для записи базы данных удаленных продавцов имеет следующий вид:

Удаленный продавец:

merchantId=int4

merchantCode=char16

merchantType=int1

publicKey=int16

Тип продавца, указываемый в записи базы данных RMD, соответствует одному из следующих:

0: телефон

1: КТВ

2: Internet

Идентификатор продавца и код продавца представляют два основных ключа. Не существует двух записей в базе данных RMD с одинаковыми комбинациями идентификатора и кода продавца.

1.5.26.4. Размер базы данных

В предположении наличия примерно 100000 удаленных продавцов, база данных RMD требует примерно 24 байта на запись, что приводит к необходимости использования объема памяти около 2,4 Мб.

1.5.26.5. Зависимости

База данных удаленных продавцов RMD не имеет каких-либо непосредственных зависимостей от любых других компонентов центра обработки данных.

1.5.27. Эффективность системы

Ключевым показателем эффективности системы является количество санкционирований финансовых транзакций, осуществляемых центром обработки данных в секунду.

В межсетевом узле (шлюзе):

1. Модуль МАСМ осуществляет проверку кода аутентификации сообщений (MAC) (локальную).

2. Модуль SNM осуществляет проверку номера последовательности (сетевое сообщение).

3. Модуль MDM дешифрирует блок биометрических данных и ПИК (локально).

4. Отыскивается машина базы данных, хранящей биометрические данные индивидуальных пользователей (IBD) (локально).

5. Пересылается запрос идентификации в машину базы данных IBD (сетевое сообщение).

В машине базы данных IBD:

6. Отыскиваются все записи IBD для ПИК (х поисков и х считываний, где х - число страниц, требуемых для запоминания записей биометрических данных).

7. Для каждой записи IBD осуществляется сравнение для основных биометрических данных (у/2 мс, где у - число вызванных записей).

8. Если не обнаружено разумного совпадения, повторяется этап 9, но сравнение осуществляется для дополнительных биометрических данных (z·y/2 мс, где у - число вызванных записей, z - вероятность отсутствия совпадения).

9. Обновляется контрольная сумма записей IBD для наилучшего совпадения и проверяется возможность попыток повторного осуществления (1 поиск, 1 считывание и 1 запись).

10. Выдается запись IBD с наилучшим совпадением или ошибка, если совпадение не достаточно точное (сетевое сообщение). В шлюзе:

11. Запрос получает санкционирование от внешнего процессора (сетевое сообщение).

12. Шлюз шифрует и использует код аутентификации сообщений (MAC) в ответе (локально).

13. Ответный пакет направляется обратно (сетевое сообщение).

Полные затраты дискового пространства:

x·(s+r)+y/2·(1+z)+z+r+w+5·n

=(х+1)·(s+r)+у/2·(1+z)+w+5·n

[пусть х=20, у=30, z=5%, s=10 мс, r=0 мс, w=0 мс, n=0 мс]

=21·10 мс+15·1,05мс

=226 мс=4,4 TPS

[пусть х=10, у=15, z=5%, s=10 мс, r=0 мс, w=0 мс, n=0 мс]

=11·10 мс+7,5·1,05 мс

=118 мс=8,4ТРS

[пусть х=1, у=1, z=5%, s=10 мс, r=0 мс, w=0 мс, n=0 мс]=2·10 мс+1/2·1,05 мс=21 мс=47 TPS

Резервная машина базы данных IBD обрабатывает также запросы, удваивая эффективное значение TPS.

Наихудший случай (с использованием 2 машин):

Число пользователей на ПИК	TPS
30	8
15	16
1	94

Средний случай (с использованием 20 машин):

Число пользователей на ПИК	TPS
30	88
15	168
1	940

Наилучший случай (с использованием 40 машин):

Число пользователей на ПИК	TPS
30	176
15	336
1	1880

Выше представлен пример конфигурации системы, как она могла бы быть реализована коммерчески приемлемым способом. Однако ожидается, что изобретение может быть реализовано многими иными путями, с использованием более быстродействующих компьютеров и других подобных изменений.

1.6. Блок-схема протокола терминала

Ниже представлены последовательности протоколов, описывающие взаимодействие между конкретными терминалами, центром обработки данных и подсоединенными УВБД, а также с иными компонентами, такими как процессор кредитно/дебетовых операций и т.п.

1.6.1. Терминал розничной торговли (RPT)

В данном случае терминал RPT обменивается данными с УВБД и центром обработки данных для санкционирования сделки. Сумма сделки 452,33, счет индивидуального пользователя 4024-2256-5521-1212, код продавца 123456 и индивидуальный код пользователя есть: «Я полностью в этом убежден».

RPT→BIA Установить язык<английский>

BIA→RPT ОК

RPT→BIA Получить биометрические данные <20>

BIA/LCD<Поместить палец на освещенную панель>

Пользователь устанавливает палец на сканер

BIA→RPT ОК

RPT→BIA Получить ПИН<40>

BIA/LCD<Введите Ваш ПИК, затем нажмите <enter≫

Пользователь вводит ПИК, затем <enter>

BIA→RPT OK

RPT→BIA Получить номер счета <40>

BIA/LCD<теперь введите Ваш код индекса счета, затем нажмите <enter≫

Пользователь вводит код, затем <enter>

BIA→RPT OK

RPT→BIA

Подтверждение суммы <452,33><40>

BIA/LCD<Сумма <452,33> OK?>

Пользователь вводит OK

BIA→RPT OK

RPT→BIA Назначить регистр<1><123456>

BIA→RPT OK

RPT→Сформировать Сообщение <транзакция>

BIA→RPT <Сообщение Запроса Транзакции>

BIA→RPT OK

BIA/LCD<Я обращаюсь к Центру Обработки Данных (ЦОД)>

RPT→DPC <Сообщение Запроса Транзакции>

DPC: подтвердить биометр., вызвать номер счета 4024-2256-5521-1212

DPC→VISA<санкционировать 4024-2256-5521-1212452,33 123456>

VISA→DPC<OK 4024-2256-5521-1212 452,33 123456 код санкц.>

DPC: получить индивидуальный код

DPC→RPT <Сообщение Ответа Транзакции>

RPT→BIA Показать Ответ <Сообщение Ответа Транзакции><8>

BIA/LCD< Транзакция OK: Я полностью в этом убежден>

BIA→RPT <ОК <код санкц.≫

RPT: распечатка квитанции с кодом санкционирования на ней

1.6.2. Терминал продаж сети Internet

В этом случае терминал IPT обменивается данными со стандартным УВБД (BIA) и с центром обработки данных (DPC) для санкционирования сделки. Сумма сделки 452,33, счет пользователя 4024-2256-5521-1212, продавец в сети Internet расположен в узле merchant.com, его код продавца 123456, и индивидуальный код пользователя есть: «Я полностью убежден в этом».

IPT→merchant.com<передайте мне код продавца, если ресурсы доступны>

merchant.com→IPT <ОК 123456 merchant.com-открытый ключ>

IPT генерирует ключ сеанса, зашифрованный открытым ключом merchant.com

IPT→merchant.com <ключ сеанса>

Все последующие коммуникации с продавцом зашифрованы ключом сеанса

merchant.com→IPT <цена и информация о товаре>

IPT/экран: отображается цена и информация о товаре

Пользователь: выбирает объект "кекс с цукатами и орехами, цена 45,33"

IPT→BIA Установить язык <английский>

BIA→IPT ОК

IPT→BIA Получить биометрические данные<20>

BIA→LCD <Установить палец на освещенную панель>

Пользователь помещает палец на сканер

BIA→IPT ОК

IPT→BIA Получить ПИН<40>

BIA→LCD<Введите Ваш ПИК, затем нажмите <enter≫

Пользователь вводит ПИК, затем нажимает <enter>

BIA→IPT OK

EPT→BIA Получить номер счета<40>

BIA→LCD<Теперь введите Ваш код индекса счета, затем нажмите <enter≫

Пользователь вводит код, затем нажимает <enter>

BIA→IPT OK

EPT→BIA Подтвердить сумму<45,33><40>

BIA→LCD:<Сумма 45,33 OK?>

Пользователь вводит OK

BIA→IPT OK

IPT→BIA Присвоить регистр<1><123456>

BIA→IPT OK

IPT→BIA<Присвоить регистр<2><merchant.com>

BIA→IPT OK

IPT→BIA<Присвоить регистр<3><кекс с цукатами и орехами>

BIA→IPT ОК

IPT→BIA Сформировать сообщение <дистанционно совершаемая сделка>

BIA→IPT <Сообщение запроса дистанционно совершаемой сделки>

BIA→IPT ОК

BIA→LCD:<Я обращаюсь к центру обработки данных DPC>

IPT→merchant.com <Сообщение запроса дистанционно совершаемой сделки> merchant.com→защищенное соединение с DPC с использованием открытого ключа DPC merchantcom→DPC<Сообщение запроса дистанционно совершаемой сделки>

DPC: подтвердить биометр, данные, вызвать номер счета→4024-2256-5521-1212

DPC: подтвердить Интернет, узел cmerchant.com с кодом 123456

DPC→VISA Санкционировать 4024-2256-5521-1212 45,33 123456>

VISA→DPC<OK 4024-2256-5521-121245,33 123456 код-санкц.>

DPC: получить индивидуальный код

DPC→merchant.com<Сообщение ответа дистанционно совершаемой сделки>

merchant.com запоминает код санкц.

merchant.com→IPT<Сообщение ответа дистанционно совершаемой сделки>

IPT->BIA показать ответ<Сообщение ответа дистанционно совершаемой сделки><8>

BIA/LCD→<Транзакция OK: Я полностью в этом убежден>

BIA→IPT <Транзакция ОК>

1.6.3. Терминал кассира сети Internet (ITT)

В данном случае терминал ITT осуществляет обмен данными со стандартным УВБД (BIA), с центром обработки данных (DPC) и с банковским сервером сети Internet для выполнения стандартных и нестандартных банковских операций. Заметим, что центр обработки данных не участвует в действительном подтверждении подлинности каких-либо транзакций, а только несет ответственность за создание истинного набора сетевых вверительных данных и защиту каналов связи с банком.

ITT→bank.com<передайте мне код банка, если ресурсы доступны>

bank.com→ITT <OK 1200>

ITT→BIA Установить язык <английский>

BIA→ITT ОК

ITT→BIA Получить биометрические данные<20>

BIA→LCD <Установить палец на освещенную панель> Пользователь помещает палец на сканер

BIA→ITT ОК

ITT→BIA Получить ПИН<40>

BIA→LCD<Введите Ваш ПИК, затем нажмите <enter»

BIA→ITT ОК

ITT→BIA Получить номер счета<40>

BIA→ITT OK

ITT→BIA Присвоить регистр<1><1200>(код банка)

BIA→IET ОК

IET→BIA<Присвоить регистр<2><bank.com>

BIA→ITT ОК

ITT→BIA<Присвоить регистр<3><ITT.порт, bank.com. порт >(ТСР/IP адрес)

BIA→ITT ОК

ITT→Сформировать сообщение <сетевые вверительные данные>

BIA→ITT <3апрос сетевых вверительных данных>

BIA→ITT OK

BIA→LCD:<Я обращаюсь к центру обработки данных DPC

ITT→DPC <Запрос сетевых вверительных данных>

DPC: подтвердить биометр, данные, создать вверительные данные (время, счет, банк)

DPC: получить индивидуальный код

DPC→ITT <Ответ сетевых вверительных данных>

ITT→BIA<Показать Ответ сетевых вверительных данных>

BIA дешифрирует ответ, проверяет ответ

BIA/LCD<Вверительные данные ОК: Я полностью в этом убежден>

BIA шифрует вверительные данные, ключ сеанса, сравнивает ключ с банковским открытым ключом

BIA→ITT<Сообщение Запроса защищенного соединения>

BIA→ITT<Ключ сеанса>

BIA→ITT ОК

BIA/LCD<защищенное соединение с узлом bank.com устанавливается>

ITT→bank.com<Сообщение Запроса защищенного соединения>

bank.com дешифрирует индивидуальным ключом, подтверждает вверительные данные, применяет совместно используемый ключ

bank.com→ITT <ОК>

Последующие транзакции посредством соединения ITT→bank.com шифруются терминалом ITT с использованием ключа сеанса соединения ITT/bank.

Любые транзакции, которые банк определяет как нестандартные, должны подтверждаться индивидуальным пользователем с использованием механизма запроса/ответа УВБД.

Механизм запроса/ответа УВБД действует, только если УВБД остается в состоянии «защищенного соединения».

bank. com→ITT<подтвердить <запрос подтверждения»

ITT->BIA Подтвердить индивидуальный <запрос зашифрованного подтверждения>

BIA/LCD<OK: перевести 12420,00 на 1023-3302-2101-1100>

Пользователь вводит ОК

BIA повторно шифрует ответ с использованием ключа запроса

BIA/LCD:<защищенное соединение с узлом bank.com устанавливается>

BIA→ITT <ОК<зашифрованный ответ подтверждения>

ITT→bank.com<зашифрованный ответ подтверждения>

1.6.4.Терминал электронной подписи (EST)

В данном случае терминал EST осуществляет обмен данными со стандартным УВБД (BIA) и с центром обработки данных (DPC) для формирования цифровых подписей. Индивидуальный код пользователя есть: «Я полностью убежден в этом», а документ, который должен быть подписан, называется: «The Letter of Marque».

EST→BIA Установить язык <английский>

BIA→EST OK

EST→BIA Получить биометрические данные<20>

Пользователь помещает палец на сканер

BIA→EST ОК

EST→BIA Получить ПИН<40>

BIA→LCD<Введите Ваш ПИК, затем нажмите <enter≫

BIA→EST ОК

EST→BIA Подтвердить документ <The Letter of Marque><40>

BIA→LCD<Документ "The Letter of Marque" OK?>

Пользователь вводит ОК

BIA→EST OK

EST→BIA Присвоить регистр<1><значение МD5документа>

BIA→EST OK

EST→сформировать сообщение <передать подпись>

BIA→EST<Запрос Электронной подписи>

BIA→EST OK

EST→DPC <3апрос Электронной подписи>

DPC: подтвердить биометр. данные, создать подпись, возврат. код текста подписи

DPC: получить индивидуальный код

DPC→EST <Ответ электронной подписи>

EST→BIA<Показать Ответ <Ответ электронной подписи><8>

BIA/LCD<Документ ОК: Я полностью в этом убежден>

BIA→EST ОК<код текста подписи>

1.6.5. Сертифицированный терминал электронной почты (СЕТ)

В данном случае терминал СЕТ осуществляет обмен данными со стандартным УВБД (BIA) и с центром обработки данных (DPC) для формирования электронной почты. Индивидуальный код пользователя есть: «Я полностью убежден в этом», а наименование документа: «Post Captain».

СЕТ→BIA Установить язык <английский>

BIA→СЕТ ОК

СЕТ→BIA Получить биометрические данные<20>

Пользователь помещает палец на сканер

BIA→СЕТ ОК

СЕТ→BIA Получить ПИН<40>

BIA→LCD<Введите Ваш ПИК, затем нажмите <enter»

BIA→СЕТ ОК

СЕТ→BIA Подтвердить документ <Post Captain ><40>

BIA→LCD<Документ "Post Captain" ОК?>

Пользователь вводит ОК

СЕТ/экран <Перечень получателей?>

Пользователь вводит <fred@,telerate.com joe@reuters.com>

BIA→СЕТ ОК

СЕТ→сформировать сообщение <передать документ>

BIA→СЕТ<Запрос Передачи Электронного документа>

BIA→CET OK

CET→DPC <3апрос Передачи Электронного документа>

DPC: подтвердить биометр. данные, создать сообщение, возврат. Сообщения

№001234

DPC: получить индивидуальный код

DPC→CET <Ответ Передачи Электронного документа>

СЕТ→BIA<Показать Ответ <Ответ Передачи Электронного документа><8>

BIA→СЕТ<Документ ОК<1234»

CET→DPC <3апрос Данных Электронного документа, 1234, раздел 1, неполный>

DPC→CET <Ответ Данных Электронного документа, неполный>

CET→DPC <3апрос Данных Электронного документа, 1234, раздел 2, неполный>

CET→DPC <3апрос Данных Электронного документа, 1234, раздел 3, неполный>

CET→DPC <3апрос Данных Электронного документа, 1234, раздел 4, готов>

DPC→CET <Ответ Данных Электронного документа, слеж. 1234.1 1234.2>

DPC→fred@telerate.com<электронная почта 1234.1 сообщение пришло>

DPC→joe@reuters.com<электронная почта 1234.2 сообщение пришло>

Адресат@ telerate.com→DPC<принято уведомление электр.почты для 1234.1>

DPC→отправитель@cjmpany.com<получатель электр. почты 1234.1 уведомлен>

Адресат® telerate.com→DPC<принято уведомление электр.почты для 1234.2>

DPC→отправитель@cjmpany.com<получатель электр.почты 1234.2 уведомлен>

[На терминале СЕТ Фреда: Фред видит сообщение электронной почты «сообщение пришло» и принимает решение принять сообщение]

СЕТ→BIA Установить язык <английский>

BIA→СЕТ ОК

СЕТ→BIA Получить биометрические данные<20>

Пользователь помещает палец на сканер

BIA→СЕТ ОК

СЕТ→BIA Получить ПИН<40>

BIA->LCD<Введите Ваш ПИК, затем нажмите <enter≫

BIA→СЕТ ОК

СЕТ→BIA Присвоить регистр<1><1234.1>

BIA→СЕТ ОК

СЕТ→сформировать сообщение <вызвать документ>

BIA→СЕТ<Запрос Вызова Электронного документа>

BIA→СЕТ ОК

CET→DPC <3апрос Вызова Электронного документа>

DPC: подтвердить биометр. данные, поиск 1234.1

DPC: получить индивидуальный код

DPC→CET <Ответ Вызова Электронного документа>

СЕТ→BIA<Показать Ответ <Ответ Вызова Электронного документа><8>

BIA→СЕТ <Документ ОК<ключ сообщения» СЕТ/экран: дешифрировать, затем показать документ

1.6.6. Терминал защищенного факса (SFT)

В данном случае терминал SFT с кабельным УВБД (BIA) и с центром обработки данных (DPC) для обеспечения передачи защищенного факса.

SFT→BIA Получить биометрические данные<20>

Пользователь помещает палец на сканер

BIA→SFT ОК

BIA→LCD<Введите Ваш ПИК, затем нажмите <enter≫

SFT→BIA Установить ПИН <40>

BIA→LCD<Введите Ваш индекс заголовка, затем нажмите <enter≫

Пользователь вводит индекс заголовка, затем нажимает <enter>

BIA→SFT ОК

SFT→BIA Установить код индекса заголовка<40>

SFT /Экран: <Получатель? (ввести * для расширения, # на конце)>

Пользователь вводит <1 510 944-6300*525#>

Пользователь вводит <1 415 -877-7770#>

SFT /Экран: <Получатель? (ввести * для расширения, # на конце)> Пользователь вводит <#>

SFT→BIA Присвоить регистр<1?<15109446300*525 14158777770>

BIA→SFT ОК

SFT→сформировать сообщение <передать документ>

BIA→SFT<3anpoc Передачи Защищенного факса>

BIA→SFT ОК

SFT→DPC Запрос Передачи Защищенного факса>

DPC: подтвердить биометр, данные, создать сообщение, возврат. сообщения #001234

DPC: получить индивидуальный код

DPC→SFT <Ответ Передачи Защищенного факса>

SFT→BIA<Показать Ответ <Ответ Передачи Защищенного факса><10>

BIA→SFT<Документ ОК<001234≫

SFT→DPC <3апрос Данных Защищенного факса, 1234, раздел 1, неполный>

DPC→SFT <Ответ Данных Защищенного факса, неполный>

SFT→DPC <3апрос Данных Защищенного факса, 1234, раздел 2, неполный>

SFT→DPC <Запрос Данных Защищенного факса, 1234, раздел 3, неполный>

DPC→SFT <Ответ Данных Защищенного факса, неполный?>

SFT→DPC <Запрос Данных Защищенного факса, 1234, раздел 4, готов>

DPC→SFT <Ответ Данных Защищенного факса

DPC→соединить факс 15109446300

DPC→SFT 6300<титульный лист факса «Сэму Спейду» от «Фрэда Джоунса»

1234.1 ожидают 4 страницы>

DPC→разъединить

DPC→соединить факс 14158777770

DPC→SFT 7770<титульный лист факса «Сэму Спейду» от «Фрэда Джоунса»

1234.2 ожидают 4 страницы>

DPC→разъединить

[На терминале SFT Сэма: Сэм видит титульный лист документа, прибывшего по факсу от Фрэда, и инициирует вызов документа из центра обработки данных с использованием кода отслеживания 1234.1.]

SFT→BIA Получить биометрические данные<20>

Пользователь (Сэм) помещает палец на сканер

BIA→SFT ОК

SFT→BIA Получить ПИН<40>

BIA→LCD<Введитее Ваш ПИК, затем нажмите <enter≫

Пользователь (Сэм) вводит ПИК, затем нажимает <enter>

BIA→SFT OK

SFT→BIA Присвоить регистр<1><1234.1>

BIA→SFT OK

SFT→сформировать сообщение <вызвать документ>

BIA→SFT<3anpoc Вызова Защищенного факса>

BIA→SFT OK

SFT→DPC <3апрос Вызова Защищенного факса>

DPC: подтвердить биометр. данные, поиск 1234.1, проверка биометрич.данных-ПИК=Сэм Спейд

DPC: поиск индивидуального кода в базе данных

DPC→SFT <Ответ Вызова Защищенного факса>

SFT→BIA<Показать Ответ <Ответ Вызова Защищенного факса><8>

BIA→SFT <Документ ОК: Я полностью в этом убежден<ключ сообщения≫

SFT/Экран: <Документ ОК: Я полностью в этом убежден>

SFT/экран: распечатать факс

1.6.7. Терминал регистрации биометрических данных

В данном случае терминал регистрации биометрических данных (BRT) осуществляет обмен данными с УВБД регистрации (BIA) и с центром обработки данных (DPC) для осуществления регистрации индивидуального пользователя в системе.

BRT→BIA Установить язык<английский>

BIA→BRT ОК

BRT→BIA Получить биометрические данные <20><основные>

BIA/LCD<Поместить основной палец на освещенную панель> Пользователь устанавливает основной палец на сканер

BIA→BRT ОК

BRT→BIA Получить биометрические данные <20><1дополнительные>

BIA/LCD<Поместить дополнительный палец на освещенную панель>

Пользователь устанавливает дополнительный палец на сканер

BIA→BRT ОК

BRT→BIA Получить ПИН<40>

BIA/LCD<Введите Ваш ПИК, затем нажмите <enter≫

Пользователь вводит 123456, затем <enter>

BIA→BRT OK

BRT→BIA Получить Ключ Сообщения

BIA→BRT <OK<ключ сообщения≫

BIA→<Сообщение Запроса Регистрации>

BRT/Экран:<Имя>

Представитель вводит<Фред Г.Шульц>

BRT/Экран:<Адрес>

Представитель вводит<1234 Норт Мэйн>

BRT/Экран:<Zip-код>

Представитель вводит<94042>

BRT/Экран:<индивидуальный код>

Представитель запрашивает индивидуального пользователя, затем вводит <Я полностью уверен в этом>

BRT/Экран:<перечень счетов активов:>

Представитель вводит<2,1001-2001-1020-2011>(кредитная карточка)

Представитель вводит<3,1001-1002-0039-2212>(чековый счет)

BRT/Экран:<счет для чрезвычайных обстоятельств:>

Представитель вводит<1,1001-1002-0039-2212>(чрезвычайный чековый счет)

BRT→Сформировать Сообщение<регистрация>

BIA→ВКТ<Сообщение Запроса Регистрации>

BIA→BRT ОК

BIA→LCD:<Я обращаюсь к центру обработки данных DPO BRT добавляет к запросу ключ сообщения и зашифрованную персональную информацию

ВКТ→ВРС<Сообщение Запроса Регистрации><зашифрованная персональная информация>

DPC: проверить ПИК 123456

DPC→BRT <Сообщение Ответа Регистрации>

BRT→BIA Показать Ответ<Сообщение Ответа Регистрации><8>

BIA→LCD:<Регистрация ОК: Я полностью убежден в этом,123456>

BIA→BRT ОК

1.6.8. Терминал обслуживания потребителей

В данном случае терминал обслуживания потребителей (CST) со стандартным УВБД (BIA) и с центром обработки данных (DPC) для проверки и идентификации вверительных данных индивидуального пользователя.

CST→BIA Установить язык<английский>

BIA→CST ОК

CST→BIA Получить биометрические данные <20>

BIA/LCD<Поместить палец на освещенную панель> Пользователь устанавливает палец на сканер

BIA→CST ОК

CST→BIA Получить ПИН<40>

BIA/LCD<Введите Ваш ПИК, затем нажмите <enter≫

Пользователь вводит ПИК, затем <enter>

BIA→CST ОК

CST→BIA Получить Ключ Сообщения

BIA→CST <ОК<ключ сообщения≫

CST→Сформировать Сообщение<3апрос Идентификации Индивидуального Пользователя>

BIA→<Запрос Идентификации Индивидуального Пользователя>

BIA→CST ОК

CST→<3anpoc Идентификации Индивидуального Пользователя>

DPC: получить индивид. код, прив. индивид, пользователя

DPC→CST<Ответ Идентификации Индивидуального Пользователя>

CST→BIA Показать ответ <Ответ Идентификации Индивидуального Пользователя>

BIA→LCD:<Идентификация ОК: Я полностью убежден в этом>

BIA→CST<OK<прив. имя пользователя≫

CST: проверка прив. чтобы убедиться в достаточности для использ. CST

1.6.9. Терминал запрашивающей стороны

В данном случае терминал запрашивающей стороны (IT) обменивается данными со стандартным УВБД (BIA) и с центром обработки данных (DPC) для санкционирования и передачи пакета запросов на дополнение или удаление счетов в центр обработки данных DPC. Индивидуальный код индивидуального пользователя есть «Я полностью в этом убежден», и код банка есть 1200.

IT→BIA Установить язык<английский>

BIA→IT OK

IT→BIA Получить биометрические данные <20>

BIA→IT OK

IT→BIA Получить ПИН<40>

BIA/LCD<Введите Ваш ПИК, затем нажмите <enter≫

Пользователь вводит ПИК, затем <enter>

BIA→IT OK

IT→BIA Присвоить регистр<1><1200>

BIA→IT OK

IT→BIA Получить Ключ Сообщения

BIA→IT <ключ сообщения >

BIA→IT OK

IT→Сформировать Сообщение<запрос запрашивающей стороны>

BIA→IT<Запрос Пакета Запрашивающей стороны>

BIA→IT OK

IT→DPC<3anpoc Пакета Запрашивающей стороны><ключ польз., зашифрованный пакет запрашивающей стороны>

DPC: подтверждение биом. данных, подтверждение кода банка 1200 по отношению к идентификации биом. данных

DPC: получение индивид. кода

DPC: дешифрирование сообщ. с использованием ключа сообщения, выполнение пакета запрашивающей стороны

DPC→IT<Ответ на Пакет Запрашивающей стороны>

IT→BIA Показать ответ<Ответ на Пакет Запрашивающей стороны><8>

BIA→LCD:<Пакет ОК: Я полностью убежден в этом>

BIA→IT<ОК>

1.6.10. Автоматическая кассовая машина

В данном случае терминал автоматической кассовой машины (АТМ) обменивается данными с интегрированным BIA АТМ и с центром обработки данных (DPC) для идентификации индивидуального пользователя иполучения его номера банковского счета. Счет индивидуального пользователя 2100-0245-3778-1201, код банка 2100 и индивидуальный код индивидуального пользователя есть «Я полностью в этом убежден».

АТМ→BIA Получить биометрические данные <20>

АТМ/LCD<Поместить палец на освещенную панель>

BIA→АТМ ОК

АТМ/LCD<Введите Ваш ПИК, затем нажмите <enter≫

Пользователь вводит ПИК на панели АТМ, затем <enter>

ATM→BIA Установить ПИК <123456>

BIA→АТМ ОК

АТМ/LCD<Введите Ваш код индекса счета затем нажмите <enter≫

Пользователь вводит 2, затем <enter>

АТМ→BIA Установить код индекса счета <2>

BIA→ATM OK

ATM→BIA Присвоить регистр<1><2100>

BIA→ATM OK

АТМ→Сформировать сообщение <доступ к счету>

BIA→АТМ<Сообщение Запроса Доступа к Счету >

BIA→ATM ОК

ATM→LCD:<Я обращаюсь к центру обработки данных DPC

АТМ→DPC<Сообщение Запроса Доступа к Счету>

DPC: подтверждение биом. данных, поиск номера счета 2100-0245-3778-1201

DPC: получение индивид. кода

DPC→АТМ<Сообщение Ответа на Доступ к Счету >

ATM→BIA Дешифрировать ответ<Сообщение Ответа на Доступ к Счету>

BIA→ATM <2100-0245-3778-1201><не чрезвычайный счет><Я полностью в этом убежден>

ATM→LCD: <Я полностью в этом убежден>

В этот момент в ATM имеется номер счета, который необходим для продолжения операций, затем ATM извлекает информацию, связанную со счетом и начинает взаимодействие с индивидуальным пользователем.

1.6.11. Телефонный терминал розничной продажи

В данном случае телефонный терминал розничной продажи (РРТ) обменивается данными с УВБД (BIA) и с продавцом, осуществляющим продажи по телефону, для загрузки информации и покупок товаров в защищенном режиме по телефону. ПИК индивидуального пользователя соответствует 1234, код индекса счета - 1, номер телефона продавца 1 800 542-2231, код продавца 123456 и действительный номер счета 4024-2256-5521-1212.

Заметим, что телефонная служба сначала отделяет код региона (1-800) от номера телефона, прежде чем передавать его в систему.

Индивидуальный пользователь набирает номер 1 800 542-2231

РРТ→подсоединяет продавца 1 800 542-2231

РРТ→BIA Присвоить Регистр1 <5422231>

Предст. отвечает. Пользователь выбирает товар «кекс с цукатами и орехами». Представитель продавца загружает информацию.

Продавец→РРТ <123456 кекс с цукатами и орехами 43,54>

РРТ→BIA Получить биометрические данные<20>

Телефон→LCD <Установить палец на освещенную панель>

Пользователь помещает палец на сканер

BIA→PPT ОК

Телефон→LCD<Введите Ваш ПИК, затем нажмите #>

Пользователь вводит 1234 на клавишной панели, затем нажимает # или * (enter)

РРТ→BIA Установить ПИК <1234>

BIA→РРТ ОК

Телефон→LCD<Теперь введите Ваш код индекса счета>

Пользователь вводит 1, затем нажимает <enter>

РРТ→BIA Установить код индекса счета <1>

BIA→РРТ ОК

РРТ→BIA Присвоить регистр<2><123456>

BIA→PPT OK

Телефон/LCD:<Нажмите #, если сумма 43,54 OK>

Пользователь нажимает # (да)

PPT→BIA Установить сумму <43,54>

BIA→PPT ОК

PPT→BIA Сформировать сообщение <дистанционно совершаемая сделка>

BIA→PPT <3апрос дистанционно совершаемой сделки>

BIA→PPT ОК

Телефон/LCD:<Я обращаюсь к центру обработки данных DPC>

РРТ→продавец <3апрос сделки, совершаемой по телефону>

продавец→защищенное соединение с DPC с использованием открытого ключа DPC

продавец→DPC<3anpoc сделки, совершаемой по телефону>

DPC: подтвердить биометр. данные, вызвать номер счета→4024-2256-5521-1212

DPC: подтвердить, что продавец с номером 5422231 имеет код 123456

DPC→VISA Санкционировать 4024-2256-5521-1212 43,54 123456>

VISA→DPC<OK 4024-2256-5521-121243,54 123456 код-санкц.>

DPC: получить индивидуальный код

DPC→продавец<Сообщение ответа сделки>

Продавец анализирует код ответа

продавец→РРТ<Сообщение ответа сделки>

РРТ→BIA дешифрировать ответ<Сообщение ответа сделки>

BIA→РРТ <ОК<Я полностью в этом убежден><код санкц.≫

Телефон/LCD<звук.сигнализ.>Транзакция ОК: Я полностью в этом убежден

1.6.12. Кабельный терминал для розничной продажи

В данном случае кабельный терминал для розничной продажи (СРТ) обменивается данными с продавцом, осуществляющим продажи с использованием интегрированного УВБД и кабельного телевидения для загрузки информации и осуществления покупок товаров в защищенном режиме с использованием широкополосной сети кабельного телевидения. ПИК индивидуального пользователя 1234, код индекса счета -1, канал -5, код продавца - 123456, действительный номер счета 4024-2256-5521-1212.

Пользователь включает 5 канал телевидения.

Продавец→РТ <кекс с цукатами и орехами 43,54 123456> (вещание)

Пользователь нажимает "купить" на дистанционном пульте ТВ

СРТ/ТУ<покупка кекса с цукатами и орехами 43,54 $>

СРТ→BIA Получить биометрические данные<20>

CPT/TV <Установить палец на освещенную панель>

Пользователь помещает палец на сканер

BIA→СРТ ОК

СРТ/Т/:<Введите Ваш ПИК, затем нажмите <enter≫

Пользователь вводит 1234 на клавишной панели, затем нажимает «купить»

СРТ→BIA Установить ПИК <1234>

BIA→СРТ ОК

CPT/TV:<Теперь введите Ваш код индекса счета>

Пользователь вводит 1, затем нажимает <enter>

CPT→BIA Установить код индекса счета <1>

BIA→CPT ОК

CPT→BIA Присвоить регистр<1><канал 5, 15:30:20 PST>

BIA→CPT OK

CPT→BIA Присвоить регистр<2><123456>

BIA→CPT OK

CPT/TV:<Нажмите «купить» если сумма 43,54 OK >

Пользователь нажимает "купить"

CPT→BIA Установить сумму <43,54>

BIA→CPT OKC

РРТ→BIA Сформировать сообщение <сделка, совершаемая по КТВ>

BIA→CPT <3апрос сделки, совершаемой по КТВ>

BIA→CPT ОК

CPT/TV:<Я обращаюсь к центру обработки данных DPC>

СРТ→Центр КТВ <3апрос сделки, совершаемой по КТВ>

Центр КТВ→продавец <3апрос сделки, совершаемой по КТВ>

продавец→DPC<Запрос сделки, совершаемой по КТВ>

DPC: подтвердить, что продавец, вещающий в настоящее время на 5 канале, имеет код 123456

DPC→VISA Санкционировать 4024-2256-5521-1212 43,54 123456>

VISA→DPC <OK 4024-2256-5521-121243,54 123456 код-санкц.>

DPC: получить индивидуальный код, почтовый адрес

DPC→продавец<Сообщение ответа сделки>

Продавец анализирует код ответа, регистрирует почтовый адрес

продавец→Центр КТВ<Сообщение ответа сделки>

Центр КТВ→СРТ <Сообщение ответа сделки>

СРТ→BIA Дешифрировать Сообщение<Сообщение ответа сделки>

BIA→СРТ <ОК<Я полностью в этом убежден><код санкц.≫

СРТ/ТУ<звук.сигнализ.>Транзакция ОК: Я полностью в этом убежден

Из описанного выше следует, что поставленные задачи и цели изобретения достигнуты.

Во-первых, изобретение обеспечивает компьютерную систему идентификации, которая исключает необходимость того, чтобы пользователь имел при себе и представлял в необходимых случаях материальный объект, такой как идентификационная карточка, для того, чтобы инициировать запрос доступа к системе.

Во-вторых, изобретение обеспечивает компьютерную систему идентификации, которая обеспечивает проверку идентичности пользователя, в противоположность проверке обладания пользователем его персональными объектами или информацией.

В-третьих, изобретение обеспечивает проверку идентичности пользователя на основе одной или более уникальных характеристик, персонально присущих пользователю.

В-четвертых, изобретение обеспечивает систему идентификации, которая практична, удобна и проста в использовании.

В-пятых, изобретение обеспечивает систему защищенного доступа к компьютерной системе, которая весьма устойчива ко всякого рода попыткам противоправного доступа несанкционированными пользователями.

В-шестых, изобретение обеспечивает компьютерную систему идентификации, которая обеспечивает возможность пользователю уведомлять полномочные органы о том, что конкретный запрос доступа осуществляется по принуждению, причем это уведомление делается скрытно от третьей стороны.

В-седьмых, изобретение обеспечивает систему идентификации, которая позволяет идентифицировать отправителя и получателя электронных сообщений и факсимильной почты.

Хотя изобретение было описано в отношении конкретной системы идентификации, не использующей идентификационных карточек, и способа ее использования, следует иметь в виду, что возможны различные модификации и видоизменения заявленного способа и устройства без изменения сущности изобретения, определенного формулой изобретения.

5. Использованные термины

Код индекса счета - цифровая или буквенно-цифровая последовательность, которая соответствует конкретному счету финансового актива

AID-база данных санкционированных индивидуальных пользователей содержит перечень индивидуальных пользователей, которым разрешено использовать персональные устройства ввода биометрических данных (УВБД) или УВБД эмитента.

AOD-база данных владельцев устройств; центральное хранилище, содержащее информацию о географическом местонахождении и контактную информацию по каждому владельцу УВБД.

ASCII-Американский стандартный код для взаимного информационного обмена.

АТМ-автоматическая кассовая машина; использует кодированную информацию идентификации на основе биометрических данных для получения доступа к системе управления финансовыми активами, включая выдачу наличных средств и распоряжение счетами.

BIA-устройство ввода биометрических данных; обеспечивает сбор информации для идентификации с помощью биометрических данных, кодирование и шифрование и предоставление для целей санкционирования. Выпускается в различных моделях аппаратных средств и версиях программного обеспечения.

Биометрические данные - измерения, осуществляемые системой в отношении некоторого аспекта физической личности индивидуального пользователя.

Биометрический идентификатор - идентификатор, используемый системой для уникальной идентификации записи биометрических данных пользователя.

Группа биометрических данных и персонального идентификационного кода - совокупность алгоритмически нетождественных выборок биометрических данных, связанная одним и тем же персональным идентификационным кодом.

BRT - терминал регистрации биометрических данных; устанавливается в банковских магазинах розничной торговли; объединяет информацию регистрации биометрических данных с индивидуально выбранным ПИК и с выбранной персональной информацией для регистрации индивидуальных пользователей в системе.

СВС - последовательность блоков шифрования, режим шифрования, соответствующий стандарту DES.

CCD - прибор с зарядовой связью.

СЕТ - терминал электронной почты; использует УВБД для идентификации отправителя, зашифровывает документ и пересылает его в систему. Система обеспечивает хранение и уведомляет получателя о прибытии сообщения. Получатель идентифицируется и затем документ пересылается к получателю. После передачи отправителю направляется уведомление. Документ передается в защищенном режиме, с использованием шифрования посредством УВБД. Передатчик может запросить о статусе доставки. Оба участника пересылки документа должны быть участниками системы.

Команды - программа или подпрограмма, хранимая в центре обработки данных, которая выполняет конкретную задачу, активизируется сообщением запроса, посылаемым с терминала, оснащенного УВБД.

Принятие/отклонение контракта - процедура, посредством которой пользователь вводит свои биометрические данные и ПИК и инструктирует центр обработки данных зарегистрировать прием или отклонение данным пользователем понятий, содержащихся в документе, который был послан посредством факсимильной связи.

СРТ - терминал КТВ системы терминалов для розничных продаж; объединяет цифровой вещательный сигнал экранного отображения, содержащий информацию о товаре, и видеосигнал изображения товара и пульт дистанционного управления УВБД для выполнения проверки подлинности с использованием биометрических данных и ПИК с использованием сети КТВ. Заказ/санкционирование/почтовый адрес/ идентификатор товара направляются продавцу. Результаты санкционирования отображаются на ТВ экране.

CST - терминал обслуживания потребителей; обеспечивает персонал обслуживания пользователей системы различной степенью доступа (основываясь на привилегиях доступа), возможностью поиска и модифицирования информации относительно пользователей для оказания им помощи в связи с возможными проблемами со счетами.

Этап упаковки данных - преобразование открытого текста в зашифрованный текст в комбинации с зашифрованным суммированием для получения контрольной суммы сообщения, что позволяет сохранять информацию в открытом тексте и в то же время обеспечивая средство для обнаружения и последующего модифицирования сообщения.

DES - цифровой стандарт шифрования, предназначен для криптографической защиты цифровых данных, (см стандарт ANSI X3.92-1981).

Определение - статус команды, обрабатываемой на этапе выполнения.

DPC - центр обработки данных, где расположены аппаратные средства, программное обеспечение, персонал, обеспечивающие поддержку мультигигабайтной базы данных. Центр обработки данных обрабатывает электронные сообщения, большинство из которых связаны с выполнением проверок биометрических данных перед выполнением определенных действий, таких как перемещение финансовых активов, передача факсимильных сообщений, передача электронной почты и т.п.

DSP - цифровой процессор сигналов; класс интегральных схем, которые специализированы на выполнении математических операций, требуемых в прикладных программах обработки сигналов.

DUKPT - производный уникальный ключ на транзакцию (см. стандарт ANSI/ABA X9.24-1992).

EDD - база данных электронных документов: центральное хранилище, содержащее все факсы и электронные сообщения, ожидающие приема индивидуальными пользователями.

Индекс счета на случай чрезвычайных обстоятельств - буквенно-числовой символ или последовательность, выбранная пользователем, которая при получении доступа, будет приводить к транзакции, обозначаемой в системе как транзакция для чрезвычайных обстоятельств, и обеспечивающей отображение на экране ложной информации и/или уведомление полномочных организаций о том, что пользователь выполняет передачу транзакции под принуждением.

ESD - база данных электронных подписей: центральное хранилище, содержащее все значения MD5 и электронные подписи всех документов, подписанных кем-либо, ссылки на которые даются по номеру санкционирования.

EST - терминал электронной подписи; использует УВБД для идентификации индивидуального пользователя; компьютер вычисляет контрольную сумму, пересылает эту контрольную сумму в систему, система осуществляет подтверждение, ставит временную метку, проверяет контрольную сумму и возвращает с кодом подписи. В качестве средства транспортировки использует сеть Internet.Терминал EST также проверяет подлинность подписей с использованием кода подписи и вычисления MD5.

FAR (частота ложного доступа) - статистическая вероятность того, что биометрические данные индивидуального пользователя будут идентифицированы некорректньм образом как биометрические данные другого индивидуального пользователя.

Ложное отображение на экране - отображение информации, которая преднамеренно была определена как неточная, чтобы третья сторона, обусловившая принудительный доступ, не могла получить точных данных о финансовых активах пользователя и при этом не подозревала об изменении информации.

FDDI - волоконно-цифровой интерфейс - сетевое устройство, использующее кольцевую оптико-волоконную сеть с эстафетной передачей маркера.

FS - разделитель полей

FW - узел (машина) защиты - маршрутизатор между Internet и локальной сетью, который регулирует входящий и выходящий график центра обработки данных.

GM - межсетевой узел (шлюз) - компьютеры основной обработки в центре обработки данных, обеспечивает выполнение большей части программ.

IBD - база данных для хранения биометрических данных индивидуальных пользователей; центральное хранилище биометрических данных, информации о финансовых активах и другой персональной информации. Запросы в базу биометрических данных используются для проверки идентичности в целях санкционирования транзакции и передач.

ID - база данных эмитента; центральное хранилище данных организаций, которым разрешено добавлять и исключать номера счетов финансовых активов в системе.

IML - перечень машин базы данных для хранения биометрических данных; модуль программного обеспечения в центре обработки данных, который определяет, какие из машин базы биометрических данных несут ответственность за определенные ПИК.

Продавец сети Internet - счет розничных продаж, обеспечивающий продажу товаров или услуг потребителям посредством электронной сети Internet.

IPT - интернетовский терминал для розничных продаж; элементы данных и код продавца из сети Internet, для подтверждения подлинности используются биометрические данные и ПИК, пересылаемые в систему через Internet;

санкционирование и номер заказа пересылаются к продавцу. Система направляет ответ также с использованием Internet. Результаты отображаются на экране.

Эмитент: эмитент финансового счета для финансовых активов, который должен регистрироваться в центре обработки данных.

Пакет эмитента: - набор команд «добавить» и «исключить», дополненный биометрическими данными, счетами финансовых активов, кодами индексов счетов, подтвержденный и переданный эмитентом в центр обработки данных.

IT - терминал эмитента; обеспечивает пакетное соединение с системой для эмитента в целях добавления и удаления (своих собственных) номеров счетов финансовых активов для записей индивидуальных пользователей в базе данных, хранящей биометрические данные.

ITT - терминал интернетовского продавца; санкционирует сетевой сеанс с использованием зашифрованных вверительных данных, получаемых из центра обработки данных с использованием биометрической идентификации.

LCD - жидкокристаллический дисплей; технология, используемая для отображения текста.

MAC - код аутентификации сообщений; алгоритм с использованием зашифрованной контрольной суммы; MAC обеспечивает гарантию, что содержимое сообщения не будет изменено после вычисления MAC (см. стандарт ANSI X9.9-1986).

МАСМ - модуль кода аутентификации сообщений; модуль программных средств в центре обработки данных, который осуществляет проверку подлинности MAC и генерацию входящих и исходящих пакетов.

MDM - модуль дешифрирования сообщений; модуль программных средств в центре обработки данных, который осуществляет шифрование и дешифрирование пакетов, получаемых от УВБД или передаваемых к УВБД.

МРМ - модуль обработки сообщений; модуль программных средств в центре обработки данных, который осуществляет обработку пакетов запросов.

Сетевые вверительные данные - как индивидуальный пользователь, так и банк идентифицируются центром обработки данных для создания сетевых вверительных данных. Вверительные данные включают как идентификацию индивидуального пользователя и контекст соединения (т.е. порты источника и адресата TCP/IP). Центр обработки данных создает сетевые вверительные данные с использованием идентификатора счета пользователя, времени суток и банковского кода. Центр обработки данных обозначает эти вверительные данные с использованием шифрования открытым ключом и индивидуальным кодом центра обработки данных.

PFD - база данных предшествующих случаев злоупотреблений; центральное хранилище для записей из базы биометрических данных, для которых ранее были обнаружены связанные с ними злоупотребления. Биометрические данные каждого нового пользователя проверяются по отношению к записям в базе данных PFD в целях снижения случаев повторения правонарушений.

PGL - перечень групп ПИК; модуль программных средств в центре обработки данных, который несет ответственности за поддержку конфигураций машин базы данных, хранящей биометрические данные.

PIN - персональный идентификационный номер; метод обеспечения защиты доступа к счету индивидуального пользователя; основан на применении секретного номера, состоящего, по меньшей мере, из одного числа.

PIC (ПИК) - персональный идентификационный код, образован числами, символами или буквенными знаками.

POS - терминал системы для производства платежей в месте совершения покупок.

РРТ - телефонный терминал для совершения покупок; комбинирует номер телефона с информацией о цене и о товаре для санкционирования транзакции по телефону, снабженному УВБД. Заказ, разрешение, почтовый адрес направляются к продавцу. Полученное разрешение отображается на ЖКД телефона или формируется в виде звукового сигнала вместе с индивидуальным кодом пользователя.

RAM - память с произвольной выборкой.

RF - радиочастота; обычно относится к радиочастотной энергии, излучаемой при нормальном режиме работы электронных устройств.

Регистры - память, зарезервированная для специальных целей, выделения данных из микросхемы, операндов команд.

Запросы - электронные команды от УВБД к центру обработки данных, инструктирующие центр обработки данных идентифицировать индивидуального пользователя и при этом обработать команду пользователя при успешной идентификации.

RMD - база данных удаленных продавцов; содержит все коды идентификации продавцов для продаж по телефону и посредством КТВ; индексируется идентификатором продавца. Также содержит системные коды шифрования для каждого продавца.

RPT - терминал розничной продажи; объединяет кодированную информацию идентификации биометрических данных с информацией о сделках розничной торговли (возможно, с электронного регистра наличных) и формулирует запрос на санкционирование запросов системы с использованием сетей Х.25, модемов и т.п.

Защищенная передача - электронное сообщение или факсимильная почта, в котором, по меньшей мере, одна часть идентифицируется центром обработки данных.

SFT - терминал защищенных факсимильных передач; использует УВБД для идентификации отправителя, посылает факс либо в открытом режиме, либо в защищенном со стороны отправителя, защищенном или конфиденциальном режиме. Последние два режима требуют идентификации получателей с использованием их биометрических данных и ПИН. Использует «заголовки» (определяемые с использованием цифры индексации заголовка) для маркировки исходящих факсов. Отправитель может запросить о статусе доставки. Оба участника должны быть членами системы. Как отправитель, так и получатель могут запросить архивирования факса.

SNM - модуль номера последовательности; модуль программных средств в центре обработки данных, который обеспечивает обработку номера последовательности производного уникального ключа на транзакцию для исходящих пакетов запросов. Обработка номера последовательности обеспечивает защиту от попыток повторного воспроизведения.

Терминал - устройство, которое использует УВБД для получения выборки биометрических данных и формирования сообщения запроса, которое затем передается в центр обработки данных для санкционирования и выполнения. Терминалы почти всегда дополнительно вводят вспомогательную информацию к сообщениям запроса, идентифицирующую противоположные стороны и т.п.

Код индекса заголовка - буквенно-числовая последовательность, уникальным образом идентифицирующая роль или возможности санкционированного индивидуального пользователя в контексте его занятий.

Идентификационная карточка - неодушевленный объект, который подтверждает возможности пользователя.

Код отслеживания - буквенно-числовая последовательность, присваиваемая данным, хранимым или передаваемым центром обработки данных, так чтобы эта последовательность могла использоваться для вызова данных или получения сообщения о статусе передачи данных.

Транзакция - электронная операция по обмену финансовых средств.

Передача - электронное сообщение, иное, чем электронная операция по обмену финансовых средств.

VAD - база данных действующих устройств; центральное хранилище, в котором идентифицируется каждое УВБД (вместе со связанными уникальными кодами шифрования), а также владелец УВБД.

Claims

1. Компьютерная система добровольной идентификации для установления подлинности личности пользователя на основе анализа по меньшей мере одной выборки биометрических данных и персонального идентификационного кода, полученных на этапе запроса данных, и сравнения с ранее сохраненными зарегистрированными выборками биометрических данных и персональным идентификационным кодом, полученными на этапе регистрации данных, отличающаяся тем, что содержит по меньшей мере один компьютер, первое средство сбора данных для добровольного ввода пользователем по меньшей мере одной зарегистрированной выборки биометрических данных и зарегистрированного персонального идентификационного кода на этапе регистрации данных, второе средство сбора данных для добровольного ввода пользователем на этапе запроса данных по меньшей мере одной выборки биометрических данных и персонального идентификационного кода, первое средство межсоединений для взаимных соединений первого и второго средств сбора данных с компьютером для передачи полученных выборок биометрических данных и персональных идентификационных кодов от первого и второго средств сбора данных к компьютеру, средство для хранения множества зарегистрированных выборок биометрических данных, средство для связывания поднабора сохраненных зарегистрированных выборок биометрических данных с зарегистрированным персональным идентификационным кодом, средство для сравнения выборки биометрических данных, полученной на этапе запроса данных, с зарегистрированными выборками биометрических данных, связанными с зарегистрированным персональным идентификационным кодом, соответствующим персональному идентификационному коду, полученному на этапе запроса данных, для формирования оценки, исполнительное средство в компьютере, предназначенное для хранения данных и обработки и выполнения команд для формирования статуса обработанных команд, и средство для выдачи упомянутой оценки или упомянутого статуса с компьютера.

2. Компьютерная система по п.1, отличающаяся тем, что первое и второе средства сбора данных содержат по меньшей мере одно средство ввода биометрических данных для получения выборок биометрических данных, содержащее также аппаратные средства и компонент программного обеспечения, по меньшей мере один терминал, который функционально частично или полностью интегрирован со средством ввода биометрических данных, для ввода и добавления дополнительных данных, по меньшей мере одно средство ввода данных для ввода персонального идентификационного кода, причем упомянутое средство интегрировано либо со средством ввода биометрических данных, либо с терминалом, и второе средство межсоединений для взаимного соединения средства ввода биометрических данных, средства ввода данных и терминала.

3. Компьютерная система по п.2, отличающаяся тем, что средство ввода биометрических данных имеет код идентификации аппаратных средств, предварительно зарегистрированный в компьютере, что обеспечивает однозначную идентификацию средства ввода биометрических данных в компьютере.

4. Компьютерная система по п.2, отличающаяся тем, что аппаратные средства включают по меньшей мере один вычислительный модуль для обработки данных, модули стираемой и нестираемой памяти для хранения данных и программного обеспечения, устройство сканирования биометрических данных для ввода биометрических данных, средство ввода данных для ввода данных, цифровой коммуникационный порт и средство для предотвращения электронного перехвата сообщений.

5. Компьютерная система по п.2, отличающаяся тем, что аппаратные средства также содержат средство беспроводной связи.

6. Компьютерная система по п.2, отличающаяся тем, что компонент программного обеспечения размещен в вычислительном модуле и устройство дополнительно содержит модуль электронно-стираемой памяти, в котором хранятся по меньшей мере один модуль интерфейса команд, первый набор программ и связанных с ними данных, особым образом конфигурированных для предусматриваемого использования устройства ввода биометрических данных, и данные, и модуль нестираемой памяти, в котором хранятся второй набор программ и связанных с ними данных.

7. Компьютерная система по любому из пп.2-6, отличающаяся тем, что компонент программного обеспечения содержит средство для шифрования данных для преобразования открытого текста в зашифрованный текст.

8. Компьютерная система по п.2, отличающаяся тем, что терминал выбран из группы, включающей в себя факсимильные аппараты, телефоны, телевизионный пульт дистанционного управления, персональные компьютеры, процессоры кредитно-дебетовых операций, счетчики наличных, автоматические кассовые машины, беспроводные персональные компьютеры.

9. Компьютерная система по п.1, отличающаяся тем, что средство сравнения дополнительно содержит средство для идентификации устройства ввода биометрических данных.

10. Компьютерная система по п.1, отличающаяся тем, что компьютерная система дополнительно содержит по меньшей мере одну компьютерную систему противоположной стороны и третье средство межсоединений для взаимного соединения упомянутых компьютерных систем с компьютерной системой противоположной стороны.

11. Компьютерная система по п.1, отличающаяся тем, что база данных дополнительно содержит базу биометрических данных пользователей.

12. Компьютерная система по п.1, отличающаяся тем, что она включает в себя средство для сравнения выборки биометрических данных, взятой у первого пользователя, с ранее запомненными выборками биометрических данных в поднаборе, связанном с одним персональным идентификационным кодом, для того чтобы удостовериться в том, что выборка биометрических данных, введенная первым пользователем, алгоритмически уникальна по отношению к любой из ранее запомненных выборок биометрических данных в том же самом поднаборе, обеспеченном по меньшей мере одним вторым пользователем; средство для хранения введенной выборки биометрических данных первого пользователя в контейнере выбранного персонального идентификационного кода, если упомянутая выборка алгоритмически уникальна по отношению к любой из ранее запомненных выборок биометрических данных от по меньшей мере одного второго пользователя.

13. Способ быстрого поиска по меньшей мере одной первой ранее запомненной выборки биометрических данных от первого пользователя с использованием контейнера персонального идентификационного кода, который имеет возможность хранения по меньшей мере одной алгоритмически уникальной второй выборки биометрических данных от по меньшей мере одного второго пользователя и который идентифицируется упомянутым персональным идентификационным кодом, отличающийся тем, что включает этап сохранения данных, включающий выбор персонального идентификационного кода первым пользователем, ввод выборки биометрических данных от первого пользователя, установление местонахождения контейнера персонального идентификационного кода, идентифицированного персональным идентификационным кодом, выбранным первым пользователем, сравнение выборки биометрических данных, взятой у первого пользователя, с ранее запомненными выборками биометрических данных в контейнере выбранного персонального идентификационного кода, для того, чтобы убедиться, что выборка биометрических данных, введенная первым пользователем, алгоритмически уникальна по отношению к ранее запомненной по меньшей мере одной выборке биометрических данных, обеспеченной по меньшей мере одним вторым пользователем, что подразумевает, что каждая из упомянутой выборки биометрических данных, введенной первым пользователем, и упомянутой ранее запомненной по меньшей мере одной выборки биометрических данных не идентифицирует одновременно и первого пользователя, и по меньшей мере одного второго пользователя, и запоминание введенной выборки биометрических данных от первого пользователя в контейнере выбранного персонального идентификационного кода, если упомянутая выборка алгоритмически уникальна по отношению к по меньшей мере одной ранее запомненной выборке биометрических данных от по меньшей мере одного второго пользователя, и этап запроса данных, дополнительно включающий введение упомянутого выбранного персонального идентификационного кода первым пользователем и введение выборки биометрических данных первым пользователем, и этап сравнения данных, дополнительно включающий отыскание контейнера персонального идентификационного кода, который идентифицирован персональным идентификационным кодом, введенным первым пользователем, и сравнение введенной выборки биометрических данных от первого пользователя с по меньшей мере одной запомненной выборкой биометрических данных от по меньшей мере одного второго пользователя в контейнере упомянутого введенного персонального идентификационного кода, для получения результата либо успешной, либо неуспешной идентификации.

14. Способ по п.13, отличающийся тем, что упомянутый этап хранения данных дополнительно содержит выбор личного кода первым пользователем.

15. Способ по п.14, отличающийся тем, что способ дополнительно содержит этап выполнения, на котором команду обрабатывают и выполняют для формирования статуса обработанной команды.

16. Способ по п.14 или 15, отличающийся тем, что способ дополнительно содержит этап выдачи, на котором результат идентификации или упомянутый статус обработанной команды отображают.

17. Способ по любому из пп.14-16, отличающийся тем, что способ дополнительно содержит этап представления, на котором в случае успешной идентификации первого пользователя первому пользователю представляется упомянутый личный код.

18. Способ по п.13, отличающийся тем, что как этап регистрации данных, так и этап запроса данных дополнительно содержат этап упаковки данных для обеспечения возможности обнаружить изменение данных, который включает секретный ключ, необратимое однонаправленное преобразование данных, которое не может быть воспроизведено без секретного ключа.

19. Способ по п.15, отличающийся тем, что этап выполнения, относящийся к упомянутому способу, содержит выполнение электронной финансовой транзакции.