RU2649295C2 - Способ верификации клиента - Google Patents

Способ верификации клиента Download PDF

Info

Publication number
RU2649295C2
RU2649295C2 RU2015157230A RU2015157230A RU2649295C2 RU 2649295 C2 RU2649295 C2 RU 2649295C2 RU 2015157230 A RU2015157230 A RU 2015157230A RU 2015157230 A RU2015157230 A RU 2015157230A RU 2649295 C2 RU2649295 C2 RU 2649295C2
Authority
RU
Russia
Prior art keywords
payment application
terminal
client device
client
time password
Prior art date
Application number
RU2015157230A
Other languages
English (en)
Other versions
RU2015157230A (ru
Inventor
Игорь Михайлович Голдовский
Андрей Львович Кузнецов
Семен Андреевич Кузнецов
Артем Андреевич Кузнецов
Original Assignee
Акционерное общество "Национальная система платежных карт"
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Акционерное общество "Национальная система платежных карт" filed Critical Акционерное общество "Национальная система платежных карт"
Priority to RU2015157230A priority Critical patent/RU2649295C2/ru
Publication of RU2015157230A publication Critical patent/RU2015157230A/ru
Application granted granted Critical
Publication of RU2649295C2 publication Critical patent/RU2649295C2/ru

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q30/00Commerce

Abstract

Изобретение относится к способу верификации клиента держателя микропроцессорной карты с платежным приложением. Техническим результатом является повышение надежности верификации держателя карты. В способе: заранее снабжают клиентское устройство PC/SC ридером; в процессе транзакции загружают в клиентское устройство посредническую программу для взаимодействия между терминалом и платежным приложением; терминал запрашивает номер телефона клиента; PC/SC ридером считывают из платежного приложения с помощью посреднической программы запрошенный номер телефона и передают его терминалу; терминал генерирует и передает одноразовый пароль на клиентское устройство; вводят принятый одноразовый пароль на экранной форме клиентского устройства; находят с помощью платежного приложения разность между персональным идентификационным номером (ПИН), зафиксированным в отношении платежного приложения, и введенным одноразовым паролем, передают разность на терминал, на котором осуществляют побитовое сложение по модулю два указанной разности с одноразовым паролем и передают полученный результат платежному приложению микропроцессорной карты для проверки. 5 з.п. ф-лы, 1 ил.

Description

Область техники, к которой относится изобретение
Данное изобретение относится в общем к методам осуществления транзакций, а в частности - к способу верификации клиента, являющегося держателем микропроцессорной карты с платежным приложением, при Интернет-транзакции.
Уровень техники
Осуществление верификации клиента (держателя карты) при осуществлении Интернет-транзакций может выполняться разными способами.
В патенте РФ №2530323 (опубл. 10.10.2014) описан способ безопасного использования банковских карт, в котором данные с карты вводятся на веб-странице поставщика товаров (услуг), инициирующего сеанс связи с телефоном пользователя, номер которого привязан к номеру карты.
В патенте США №7690027 (опубл. 30.03.2010) описан способ, в котором в SIM-картах заранее отпечатаны скрытые оболочки с кодами активации и ссылочные видимые коды. Все эти коды хранятся в сервере безопасности. Пользователю сообщают один ссылочный код в обмен на заполнение формы с персональными данными. При активации этот код вместе со своим кодом активации сохраняются вместе с идентификатором карты.
В патенте США №7693797 (опубл. 06.04.2010) описан способ, в котором провайдер использует общие секреты и начальные числа в коде хешированных машинных адресов с секретными ключами для генерирования списка маркеров аутентификации, содержащих имя пользователя и пароль, для продаж. Общие секреты и начальные числа распределяются также в местных устройствах для генерирования такого же списка. Пользователь получает от местного устройства маркер аутентификации и предъявляет его удаленному провайдеру.
Недостатком всех этих и иных аналогов является использование статического пароля (кода), что снижает надежность верификации клиента, поскольку статические пароли нужно хранить достаточно продолжительное время, в течение которого они могут стать доступны злоумышленнику.
Раскрытие изобретения
Задачей, на решение которой направлено настоящее изобретение, является повышение надежности верификации держателя микропроцессорной карты с платежным приложением (клиента).
Для решения этой задачи и достижения указанного технического результата в настоящем изобретении предложен способ верификации клиента, являющегося держателем микропроцессорной карты с платежным приложением при совершении Интернет-транзакции, проводимой через терминал с использованием клиентского устройства, которое может осуществлять обмен данными с терминалом через телефонные сети, заключающийся в том, что: заранее снабжают клиентское устройство PC/SC ридером; в процессе осуществления транзакции загружают в браузер клиентского устройства посредническую программу для взаимодействия между терминалом и платежным приложением; запрашивают терминалом номер телефона клиента; считывают PC/SC ридером из платежного приложения с помощью посреднической программы номер телефона и передают его терминалу; генерируют терминалом одноразовый пароль и передают его в виде электронного сообщения на номер телефона клиента; вводят вручную принятый одноразовый пароль на соответствующей экранной форме клиентского устройства; находят с помощью платежного приложения разность между персональным идентификационным номером (ПИН), зафиксированным в отношении платежного приложения, и введенным вручную одноразовым паролем, сгенерированным терминалом; передают вычисленную платежным приложением разность на упомянутый терминал; осуществляют на терминале побитовое сложение по модулю два переданной на него разности с одноразовым паролем и передают полученный результат платежному приложению для проверки.
Особенность способа по настоящему изобретению состоит в том, что при верификации могут считывать заранее занесенный в платежное приложение ПИН либо ПИН могут вводить вручную на соответствующей экранной форме клиентского устройства.
Другая особенность способа по настоящему изобретению состоит в том, что клиентское устройство может представлять собой мобильный телефон или планшетный компьютер, имеющие возможность обмена (приема и передачи) данными через телефонные сети, либо иной компьютер, используемый совместно с таким мобильным телефоном или планшетным компьютером.
Краткое описание чертежей
Настоящее изобретение иллюстрируется чертежом.
Подробное описание вариантов осуществления
Настоящее изобретение относится к методам выполнения безналичных транзакций с помощью платежных карт. Это могут быть как карты Национальной системы платежных карт (НСПК), так и любые иные карты, содержащие микросхему («чип»), имеющую в своем составе соединенные между собой процессор (микропроцессор), память и средства ввода-вывода (контактные или бесконтактные), как это известно специалистам. Транзакции осуществляются с использованием таких платежных карт, вводимых в так называемый PC/SC ридер (примеры таких устройств приведены на сайте http://www.smartcard-magic.net/en/pc-sc-reader/), соединенный с клиентским устройством, которое может осуществлять обмен данными с терминалом через телефонные сети - сети подвижной радиотелефонной связи (мобильная связь) или сети фиксированной телефонной связи (проводная связь). Таким клиентским устройством может быть как непосредственно мобильный телефон или планшетный компьютер, имеющий возможность передачи и приема данных через телефонные сети, так и соединенный с таким мобильным телефоном или планшетным компьютером иной компьютер или планшет, не имеющий самостоятельной возможности обмена данными через телефонные сети. Все эти устройства могут быть как уже существующими и известными специалистам, так и разрабатываемыми в будущем. Связь такого клиентского устройства осуществляется с терминалом, под которым в данном описании понимается внешний Интернет-шлюз, например, сервер поставщика товаров (услуг), сервер эмитента платежных карт, виртуальный POS-терминал и т.п. Подробности Интернет-транзакций с помощью платежных карт см., к примеру, на сайте http://www.gsconto.com/ru/wiki/show/payment-cards.
Способ верификации клиента при совершении Интернет-транзакции по настоящему изобретению включает в себя следующие этапы (чертеж).
Клиентское устройство заранее снабжают PC/SC ридером любого известного специалистам типа, позволяющим осуществлять Интернет-транзакции, к примеру Интернет-покупки (этап 101).
В процессе осуществления Интернет-транзакции (при ее инициализации или в ходе ее выполнения) в браузер клиентского устройства из терминала загружают посредническую программу для обеспечения взаимодействия между терминалом и платежным приложением микропроцессорной карты (этап 103).
Для верификации клиента из терминала направляют в клиентское устройство запрос (этап 105) на считывание номера телефона клиента.
По этому запросу PC/SC ридер считывает из платежного приложения микропроцессорной карты с помощью посреднической программы номер телефона и передает его на терминал (этап 107).
Чтобы не использовать статический Интернет-пароль платежного приложения микропроцессорной карты, терминал генерирует одноразовый пароль и передает его на номер телефона в виде электронного сообщения, например SMS-сообщения, push-уведомления, изображения или другого вида сообщения, разработанного в будущем (этап 109).
Клиент считывает одноразовый пароль с экрана клиентского устройства, например мобильного телефона, и вводит вручную принятый одноразовый пароль на соответствующей экранной форме клиентского устройства (этап 111).
Платежное приложение микропроцессорной карты находит разность между персональным идентификационным номером (ПИН), зафиксированным в отношении платежного приложения микропроцессорной карты (так называемым Интернет-ПИН), и введенным вручную одноразовым паролем (этап 113).
Следует отметить, что указанный Интернет-ПИН может быть заранее занесен в платежное приложение, и для нахождения разности его могут считывать из платежного приложения либо Интернет-ПИН может быть заранее занесен в платежное приложение, и для нахождения разности он должен быть введен вручную на соответствующей экранной форме упомянутого клиентского устройства. Конкретный метод введения Интернет-ПИН может определяться как выполнением клиентского устройства, так и иными соображениями (например, удобством эксплуатации или использованием новой версии протокола обмена данными, требованиями относительно уровня безопасности, и т.п.).
Полученную разность передают на терминал (этап 115).
В терминале осуществляют операцию «Исключающее ИЛИ» над полученной от клиентского устройства разностью и одноразовым паролем, т.е. выполняют побитовое сложение по модулю два этой разности и одноразового пароля, а полученный результат передают платежному приложению микропроцессорной карты для проверки (этап 117).
Таким образом, в настоящем изобретении каждый раз при осуществлении Интернет-транзакции даже для одной и той же микропроцессорной карты с платежным приложением используются одноразовые динамические пароли, что существенно повышает надежность верификации держателя такой микропроцессорной карты и снижает возможность мошенничества.

Claims (15)

1. Способ верификации клиента, являющегося держателем микропроцессорной карты с платежным приложением, при совершении Интернет-транзакции (клиента), проводимой через терминал с использованием клиентского устройства, выполненного с возможностью осуществлять обмен данными по сетям телефонной связи с упомянутым терминалом, заключающийся в том, что:
- заранее снабжают упомянутое клиентское устройство PC/SC ридером;
- в процессе осуществления упомянутой транзакции загружают в браузер упомянутого клиентского устройства посредническую программу для взаимодействия между упомянутыми терминалом и платежным приложением;
- запрашивают упомянутым терминалом номер телефона упомянутого клиента;
- считывают упомянутым PC/SC ридером из упомянутого платежного приложения с помощью упомянутой посреднической программы упомянутый номер телефона и передают его упомянутому терминалу;
- генерируют упомянутым терминалом одноразовый пароль и передают его в виде электронного сообщения на упомянутое клиентское устройство с использованием упомянутого номера телефона;
- вводят вручную принятый одноразовый пароль на соответствующей экранной форме упомянутого клиентского устройства;
- находят с помощью упомянутого платежного приложения разность между персональным идентификационным номером (ПИН), зафиксированным в отношении упомянутого платежного приложения, и введенным вручную упомянутым одноразовым паролем;
- передают упомянутую разность на упомянутый терминал;
- осуществляют на упомянутом терминале побитовое сложение по модулю два упомянутой разности с упомянутым одноразовым паролем и передают полученный результат упомянутому платежному приложению микропроцессорной карты для верификации держателя такой микропроцессорной карты.
2. Способ по п. 1, в котором упомянутый ПИН заранее заносят в упомянутое платежное приложение и для нахождения упомянутой разности ПИН считывают из платежного приложения.
3. Способ по п. 1, в котором упомянутый ПИН заранее заносят в упомянутое платежное приложение и для нахождения упомянутой разности упомянутый ПИН вводят вручную на соответствующей экранной форме упомянутого клиентского устройства.
4. Способ по п. 1, в котором упомянутое клиентское устройство представляет собой мобильный телефон.
5. Способ по п. 1, в котором упомянутое клиентское устройство представляет собой планшетный компьютер, который может осуществлять обмен данными с терминалом через телефонные сети.
6. Способ по п. 1, в котором упомянутое клиентское устройство представляет собой компьютер, используемый совместно с мобильным телефоном.
RU2015157230A 2015-12-31 2015-12-31 Способ верификации клиента RU2649295C2 (ru)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2015157230A RU2649295C2 (ru) 2015-12-31 2015-12-31 Способ верификации клиента

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2015157230A RU2649295C2 (ru) 2015-12-31 2015-12-31 Способ верификации клиента

Publications (2)

Publication Number Publication Date
RU2015157230A RU2015157230A (ru) 2017-07-06
RU2649295C2 true RU2649295C2 (ru) 2018-03-30

Family

ID=59309428

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2015157230A RU2649295C2 (ru) 2015-12-31 2015-12-31 Способ верификации клиента

Country Status (1)

Country Link
RU (1) RU2649295C2 (ru)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050086496A1 (en) * 2001-11-28 2005-04-21 Leif Sandberg Method for registering and enabling pki functionalities
US20050283444A1 (en) * 2004-06-21 2005-12-22 Jan-Erik Ekberg Transaction & payment system securing remote authentication/validation of transactions from a transaction provider
RU2467501C2 (ru) * 2006-07-06 2012-11-20 Файрторн Мобайл Инк. Способы и системы для финансовых транзакций в среде мобильной связи
RU2530323C2 (ru) * 2012-11-06 2014-10-10 Пэйче Лтд. Способ безопасного использования банковских карт (варианты)
RU2580086C2 (ru) * 2010-04-09 2016-04-10 Виза Интернэшнл Сервис Ассосиэйшн Система и способ надежной проверки достоверности транзакций

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050086496A1 (en) * 2001-11-28 2005-04-21 Leif Sandberg Method for registering and enabling pki functionalities
US20050283444A1 (en) * 2004-06-21 2005-12-22 Jan-Erik Ekberg Transaction & payment system securing remote authentication/validation of transactions from a transaction provider
RU2467501C2 (ru) * 2006-07-06 2012-11-20 Файрторн Мобайл Инк. Способы и системы для финансовых транзакций в среде мобильной связи
RU2580086C2 (ru) * 2010-04-09 2016-04-10 Виза Интернэшнл Сервис Ассосиэйшн Система и способ надежной проверки достоверности транзакций
RU2530323C2 (ru) * 2012-11-06 2014-10-10 Пэйче Лтд. Способ безопасного использования банковских карт (варианты)

Also Published As

Publication number Publication date
RU2015157230A (ru) 2017-07-06

Similar Documents

Publication Publication Date Title
AU2017204649B2 (en) Systems and methods for authorizing a transaction with an unexpected cryptogram
CN107251595B (zh) 用户和移动装置的安全认证
JP6704919B2 (ja) 支払いトークンのセキュリティを確保する方法
TWI587225B (zh) 安全支付方法、行動裝置及安全支付系統
AU2019236733A1 (en) Transaction Processing System and Method
KR101236957B1 (ko) 모바일 otp 보안을 이용한 휴대단말기의 신용카드 결제 시스템 및 그 방법
US20140310182A1 (en) Systems and methods for outputting information on a display of a mobile device
US20150242844A1 (en) System and method for secure remote access and remote payment using a mobile device and a powered display card
US20170024742A1 (en) Methods and systems for using a consumer identity to perform electronic transactions
RU2724351C2 (ru) Универсальный доступ к электронному бумажнику
JP2021528746A (ja) 安全な読み取り専用の認証のためのシステム及び方法
KR102574524B1 (ko) 원격 거래 시스템, 방법 및 포스단말기
JP2016076262A (ja) インターネット接続及び対応の端末を介した商業サイトにおける製品又はサービスの決済方法
US11880840B2 (en) Method for carrying out a transaction, corresponding terminal, server and computer program
CN114207578A (zh) 移动应用程序集成
WO2017118923A1 (en) Methods and devices for authentication of an electronic payment card using electronic tokens
RU2649295C2 (ru) Способ верификации клиента
US11593805B2 (en) System for authenticating an electronic device by means of an authentication server
RU2736507C1 (ru) Способ и система создания и использования доверенного цифрового образа документа и цифровой образ документа, созданный данным способом
WO2015022712A1 (en) Method and computer system for performing electronic transactions by means of a user device provided with a short range wireless communication interface
Saha et al. Analysis of Applicability of ISO 9564 PIN based Authentication to Closed-Loop Mobile Payment Systems
JP2023533268A (ja) セキュアエレメントとモバイルデバイスとのセキュアなエンドツーエンドペアリング
KR101793081B1 (ko) 대표카드를 이용한 금융결제 시스템 및 그 방법
TWM508713U (zh) 身份辨識系統

Legal Events

Date Code Title Description
TC4A Altering the group of invention authors

Effective date: 20181123