SlideShare a Scribd company logo

28407p

I
ivanov156w2w221q
1 of 8
Download to read offline
РЕСПУБЛИКА КАЗАХСТАН (19) KZ (13) B (11) 28407 (51) G06Q 20/00 (2012.01) G06Q 20/40 (2012.01) КОМИТЕТ ПО ПРАВАМ ИНТЕЛЛЕКТУАЛЬНОЙ СОБСТВЕННОСТИ МИНИСТЕРСТВА ЮСТИЦИИ РЕСПУБЛИКИ КАЗАХСТАН ОПИСАНИЕ ИЗОБРЕТЕНИЯ К ПАТЕНТУ (21) 2011/1646.1 (22) 28.12.2011 (45) 15.04.2014, бюл. №4 (31) а2010/11107 (32) 29.12.2010 (33) TR (72) СЕНЕР Танер (TR) (73) ТУРКСЕЛЛ ТЕКНОЛОЖИ АРАШТИРМА энд ГЕЛИСТИРМЕ АНОНИМ ШИРКЕТИ (TR) (74) Русакова Нина Васильевна; Жукова Галина Алексеевна; Ляджин Владимир Алексеевич (56) US 2009157549 A1, 18.06.2009 WO 2006099294 A1, 21.09.2006 RU 2394275 C2, 10.07.2010 (54) СИСТЕМА И СПОСОБ АВТОРИЗАЦИИ ДЕРЖАТЕЛЯ ЧИП-КАРТЫ (57) Изобретение имеет отношение к системе (1) и способу (100), обеспечивающим возможность использования мобильной подписи для авторизации держателя карты при использовании чип-карт в POS-терминалах. Система (1) по изобретению содержит по меньшей мере одну карту (2); по меньшей мере один блок управления (3), в котором хранится информация держателя (U) карты и который расположен на карте (2); по меньшей мере одно устройство (4) считывания чипов, которое вступает во взаимодействие с банком (В) для выполнения "процесса авторизации держателя карты" с использованием мобильной подписи после того, как карта (2) установлена; и по меньшей мере один канал (5) авторизации, который принимает запрос на авторизацию от устройства (4) считывания чипов с использованием мобильной подписи для авторизации держателя (U) карты, и сообщает об аутентичности держателя (U) карты. (19)KZ(13)B(11)28407
28407 2 Изобретение имеет отношение к системе и способу, обеспечивающим возможность использования мобильной подписи для авторизации держателя карты при использовании чип-карт (известных также как карты, снабженные микросхемой) в терминалах, используемых в точках продаж (известных специалистам как POS- терминалы). Предпосылки создания изобретения В настоящее время используют различные способы авторизации держателя карты при использовании чип-карт (дебетовых и кредитных карт) в POS- терминалах при осуществлении покупок. Наиболее распространенным из этих способов является предусмотренный правилами и протоколами, совместно установленными системами Europay, MasterCard и VISA в рамках объединения, называемого EMV. Эти протоколы, установленные EMV, основаны на стандартах, касающихся интеллектуальных карт (известных специалистам как "смарт-карты"), определенных ISO/IEC 7816, и работающих с такими картами устройств. EMV публикует установленные ими протоколы в четырех различных книгах, которые названы книгами EMV, причем изменения и дополнения к протоколам, вносимые со временем, входят в их новые редакции. Способы авторизации держателя карты в чип-карте приведены в Книге 4 (Раздел 6.3.4) и Книге 3 (Раздел 10.5). Каждый чип хранит способ авторизации, поддерживаемый им, в своей микросхеме в виде последовательного "перечня способов авторизации держателя карты" (известный специалистам как "перечень CVM"). После установки чип-карты в POS-терминал она выполняет процесс согласования, определяемый протоколами ЕМV. В зависимости от вида трансакции (покупка, банковские операции), выполняемой в данном процессе, в перечня способов авторизации держателя карты определяются способы, поддерживаемые считывателем чип-карт, и затем они последовательно реализуются считывателем чип-карт. Держатель карты может использовать свою карту в случае, если процесс авторизации, проведенный одним из этих способов, выполнен успешно. Если же он не был завершен успешно, то используется следующий способ из перечня способов авторизации держателя карты. В случае, если авторизация не может быть произведена ни одним из способов из данного перечня, карта не может быть использована. Онлайновый пароль является первым из способов, предусмотренных в перечне способов авторизации держателя карты. В данном способе, который преимущественно используют в банкоматах, лицо, желающее использовать чип- карту, получает приглашение ввести пароль карты (известный специалистам как "PIN" или "PIN-код") с использованием клавиш банкомата или устройства ввода PIN-кода. После ввода PIN-кода он отсылается в банк, которым выдана карта, по защищенному каналу в зашифрованном виде. Банк передает в банкомат информацию о том, что PIN- код верен, через тот же канал, и авторизирует держателя карты в случае, если введенный PIN-код идентичен PIN-коду, зарегистрированному в его системах. Другим способом, предусмотренным в перечне способов авторизации держателя карты, является оффлайновый пароль. В данном способе, используемом в POS-терминалах, запрашивается ввод пароля карты (PIN-кода) через клавиатуру данного терминала или специального устройства для ввода PIN-кода, подключенного к POS- терминалу. После ввода PIN-кода его зашифровывают и отсылают в чип карты с помощью соответствующей команды стандартов EMV (VERIFY). Чип расшифровывает присланный PIN- код, сравнивает его с PIN-кодом, хранимым в нем, и отсылает результат в POS-терминал в соответствии со стандартами EMV. POS-терминал подтверждает аутентичность держателя карты в случае, если посланный PIN-код верный. Держателю карты предлагается ввести PIN-код повторно, и этот процесс повторяется, если введенный PIN-код неправильный и не превышено предельное количество попыток ввода PIN-код, записанное в чипе. Если после неверного ввода PIN-кода предельное количество попыток ввода PIN-код превышается, то POS-терминал больше не запрашивает ввод PIN-кода и применяет следующий способ из перечня способов авторизации держателя карты. Еще одним способом, предусмотренным в перечне способов авторизации держателя карты, является использование подписи держателя карты. В данном способе, применяемом при использовании POS-терминалов, POS-терминал печатает квитанцию с информацией о совершенной трансакции, где номер карты скрыт и имеется пустая строка для подписи в конце. Держатель карты ставит подпись в данном поле квитанции и авторизация проводится путем сравнения этой подписи с образцом на обратной стороне карты. Еще одним способом, предусмотренным в перечне способов авторизации держателя карты, является режим, при котором авторизация не требуется. В данном способе делается уведомление, что для использования карты не требуется никакой авторизации. В этом случае считыватель обеспечивает возможность использования карты без выполнения дополнительных процессов. Способ, при котором авторизация не требуется, который является одним из способов авторизации держателя карты при использовании чип-карт, не предполагает никаких мер безопасности, а способ, в котором используется подпись, не обеспечивает достаточной безопасности ввиду возможности подлога. Хотя другие способы - онлайновый и оффлайновый, предусматривающие использование пароля, являются защищенными, они не являются простыми в использовании с точки зрения пользователей. PIN-код карты должен быть известен при каждом ее использовании держателем карты. Сохранение PIN-кода для этой цели в письменном виде приводит к другим проблемам обеспечения
28407 3 безопасности, так что наилучшим способом оказывается запоминание пароля. И даже если запоминание само по себе не выглядит слишком большой проблемой, оно может оказаться проблематичным для лиц, которые имеют более чем одну чип-карту и различные пароли, для лиц, испытывающих трудности с запоминанием, и для пожилых людей. Таким образом, применение онлайнового и оффлайнового способов авторизации, предусматривающих использование пароля, сопряжено с известными трудностями. В патентном документе Соединенных Штатов Америки № US2009157549 описан способ обработки данных и повышения безопасности, разработанный для использования во время выполнения трансакций с кредитными картами. В международной заявке № WO2006099294 описан способ, обеспечивающий возможность предоставления держателю карты информации о трансакции и платеже, выполненных с использованием кредитной карты любого вида, и получения от него подтверждения. В международной заявке № WO0211088 описан способ, в котором для защиты пользователей кредитной карты от мошенничества использовано SMS-сообщение. Сущность изобретения Целью изобретения является создание системы и способа, использующих мобильную подпись, которые бы обеспечивали очень безопасный и простой процесс аутентификации при авторизации держателя чип-карты. Подробное описание изобретения Система и способ, обеспечивающие достижение цели изобретения, показаны на прилагаемых графических фигурах, где: Фиг.1 представляет собой схематическое изображение системы по настоящему изобретению. Фиг.2 представляет собой блок-схему способа функционирование системы по настоящему изобретению. Элементы, показанные на графических фигурах, обозначены следующими позициями: 1. Система 2. Карта 3. Блок управления (чип) 4. Устройство считывания чипов 5. Канал авторизации 100. Способ U. Держатель карты В. Банк Система (1), используемая для авторизации держателя (U) чип-карты с использованием мобильной подписи, включает в себя: - по меньшей мере одну карту (2); - по меньшей мере один блок управления (3), в котором хранится информация держателя (U) карты и который находится на карте (2); - по меньшей мере одно устройство (4) считывания чипов, которое вступает во взаимодействие с банком (В) для выполнения "процесса авторизации держателя карты" с использованием мобильной подписи после установки карты (2); и - по меньшей мере один канал (5) авторизации, который принимает запрос на авторизацию от устройства (4) считывания чипов с использованием мобильной подписи для авторизации держателя (U) карты и сообщает об аутентичности держателя (U) карты. В предпочтительном варианте осуществления изобретения в "перечне способов авторизации держателя карты" (известный специалистам как "list of cardholder verification methods", или CVM list) определяют новое "правило авторизации держателя карты" (известное специалистам как "cardholder verification rule", CVR), указывающее, что авторизация выполняется с использованием мобильной подписи. Это "правило авторизации держателя карты" определяют в соответствии с протоколами EMV, и оно может быть использовано устройствами, поддерживающими протоколы EMV. Определение правила на карте состоит из двух байтов. Байт, который находится слева и называется кодом “правила авторизации держателя карты" (CVR-кодом), содержит уникальное значение, указывающее на то, что авторизация будет выполняться при помощи мобильной подписи, тогда как байт, находящийся справа, содержит код состояния, указывающий, в каком случае данное правило должно быть использовано в зависимости от требуемого уровня безопасности. В предпочтительном варианте осуществления изобретения правило авторизации с использованием мобильной подписи, определенное на чип-карте (2), имеет более высокий приоритет, чем все приведенные в перечне правила авторизации держателя карты. В случае, если правило определено, правило авторизации с использованием мобильной подписи всегда находится на первом месте в "перечне способов авторизации держателя карты" (перечень CVM). В предпочтительном варианте осуществления изобретения блок (3) управления представляет собой чип (микросхему). В предпочтительном варианте осуществления изобретения устройство (4) считывания чипов представляет собой POS-терминал. Способ (100) авторизации держателя карты (U) с использованием мобильной подписи при использовании чип-карт в POS-терминалах включает следующие операции: - установка (101) чип-карты (2) в устройство (4) считывания чипов; - выполнение устройством (4) считывания чипов проверки (102) того, действительна ли карта (2) в отношении авторизации с использованием мобильной подписи; - прекращение (103) устройством (4) считывания чипов процесса авторизации в случае, если карта (2) не действительна; - продолжение (104) процесса авторизации в случае, если карта (2) действительна;
28407 4 - запуск (105) отработки правила с первым приоритетом, путем считывания "перечня способов авторизации держателя карты" с карты (2); - принятие (106) решения о том, что правилом с первым приоритетом является процесс авторизации с использованием мобильной подписи в случае, если код "правила авторизации держателя карты" (CVR- код) равен коду авторизации с использованием мобильной подписи; - проверка (107) того, поддерживает ли устройство (4) считывания чипов авторизацию с использованием мобильной подписи; - переход (108) к следующему решению относительно авторизации в случае, если устройство (4) считывания чипов не поддерживает авторизацию с использованием мобильной подписи, и прекращение процесса авторизации в случай, если правил больше не осталось; - передача касающейся карты (2) информации в банк (В) для выполнения авторизации в случае, если устройство (4) считывания чипов поддерживает авторизацию с использованием мобильной подписи (операция 109); - выполнение (110) процесса авторизации по каналу (5) авторизации; - передача (111) информации о том, что процесс авторизации не был успешным, в устройство (4) считывания чипов в том случае, если процесс авторизации дал негативный результат или ответ не получен в течение некоторого заранее заданного времени; - передача (112) информации о том, что держатель карты авторизирован, в устройство (4) считывания чипов в случае, если процесс авторизации дал положительный результат. В системе (1) по настоящему изобретению устройство (4) считывания чипов выполнено с возможностью выполнения следующих операций: - после установки чип-карты (2) в устройство (4) - проверка того, действительна ли карта (2) в отношении авторизации с использованием мобильной подписи; - контроль правильности определения касающейся карты (2) информации, такой как держатель карты, номер карты, срок действия, код CVC2, хранящейся в блоке (3) управления, и принятие решения о действительности карты (2) в отношении авторизации с использованием мобильной подписи; - продолжение "процесса авторизации держателя карты" в случае, если карта (2) действительна в отношении авторизации с использованием мобильной подписи, и прекращение процесса авторизации в случае, если карта (2) не действительна; - считывание "перечня способов авторизации держателя карты" (перечня CVM) из блока (3) управления при продолжении процесса авторизации и запуск отработки приведенных в перечне правил, начиная с правила с наивысшим приоритетом; - продолжение процесса выполнения авторизации с использованием мобильной подписи в случае, если код "правила авторизации держателя карты" (CVR-код) равен коду авторизации с использованием мобильной подписи; - переход к следующему "правилу авторизации держателя карты" в случае, если авторизация с использованием мобильной подписи не поддерживается, или завершение авторизации выдачей ошибки если правил в перечне больше нет; - установление связи с выдавшим карту (2) банком (В) с использованием касающейся карты информации, по каналу, специально выделенному для требующих подтверждения с использованием мобильной подписи запросов, в случаях, когда требуется выполнение авторизации с использованием мобильной подписи; и - направление запроса на авторизацию с использованием мобильной подписи держателя (U) карты с касающейся карты (2) информацией. В системе (1) по настоящему изобретению канал (5) авторизации выполнен с возможностью выполнения следующих операций: - выполнение запроса на авторизацию с использованием мобильной подписи и уведомление устройства (4) считывания чипов о результате авторизации; - уведомление устройства (4) считывания чипов о том, что "процесс авторизации держателя карты" подтвержден с использованием мобильной подписи; - уведомление о том, что авторизация с использованием мобильной подписи не было успешным, в том случае, если ответ от банка (В) не получен в течение некоторого заранее заданного времени; и - уведомление о том, что процесс авторизации завершен с ошибкой в случае, если процесс авторизации не может быть совершен по причине недостаточности касающейся карты информации, или если возникла другая ошибка. В процессе авторизации держателя (U) карты с использованием мобильной подписи сначала чип- карту (2) устанавливают (101) в устройство (4) считывания чипов, и оно выполняет проверку (102) того, действительна ли карта (2) в отношении авторизации с использованием мобильной подписи. В процессе этой проверки выполняется контроль правильности определения касающейся карты (2) информации, такой как держатель карты, номер карты, срок действия, код CVC2, хранящейся в блоке (3) управления, и принятие решения о действительности карты (2). Устройство (4) считывания чипов прекращает (103) процесс авторизации в случае, если карта (2) не действительна (операция 103); Если карта (2) действительна, это считается подтвержденным и процесс авторизации держателя карты продолжается (104). В процессе авторизации устройство (4) считывания чипов сначала осуществляет считывание "перечня способов авторизации держателя карты" (перечня CVM) из блока (3) управления и начинает отработку правил в перечне, начиная с правила, имеющего наивысший приоритет (операция 105). Принятие решения о том, что правилом является "процесс авторизации с использованием мобильной
28407 5 подписи", осуществляется в случае, если код "правила авторизации держателя карты" (CVR-код) равен коду авторизации с использованием мобильной подписи (операция 106). Для продолжения процесса авторизации сначала проверяют, поддерживает ли устройство (4) считывания чипов авторизацию с использованием мобильной подписи (операция 107). В случае, если устройство (4) считывания чипов не поддерживает авторизацию с использованием мобильной подписи, осуществляется переход к следующему правилу из перечня правил; процесс авторизации прекращается, если правил в перечне не осталось (операция 108). В случае, если устройство (4) считывания чипов поддерживает авторизацию с использованием мобильной подписи, оно связывается с выдавшим карту (2) банком (В) по каналу, специально выделенному для требующих подтверждения с использованием мобильной подписи запросов, с использованием касающейся карты информации, такой как номер карты, держатель карты, срок действия карты, принятой им при выполнении операции подтверждения карты; и передает запрос на авторизацию с использованием мобильной подписи держателя карты, обладающего касающейся данной карты информацией (операция 109). Поскольку запрос на авторизацию получен по каналу (5), специально предназначенному для работы с мобильной подписью, банк (В) знает, что данный запрос подлежит авторизации с использованием мобильной подписи, и выполняет процесс авторизации с использованием своей соответствующей инфраструктуры (операция 110). В случае, если ответ от банка (В) не получен в течение некоторого заранее заданного времени, переданная касающаяся карты информации не получена или в инфраструктуре банка (В) в процессе авторизации случилась ошибка, направляется уведомление о том, что процесс авторизации закончился ошибкой и процесс авторизации не был успешным (операция 111). В случае, если процесс авторизации дал положительный результат, осуществляется передача этой информации в устройство (4) и держатель карты (U) авторизируется с использованием мобильной подписи (операция 112). Описанными согласно настоящему изобретению системой (1) и способом (100) авторизации держателя чип-карты (2) предлагается использование мобильной подписи в качестве нового "способа авторизации держателя карты" для чип-карт (2). Таким образом, авторизация держателя (U) карты осуществляется с использованием чип- карты (2) и устройства (4) считывания чипов, которые поддерживают соответствующий способ (100). Возможна реализация различных вариантов осуществления "системы (1) и способа (100) для авторизации держателя чип-карты (2)", и изобретение не может быть ограничено примерами, описанными выше, - объем изобретения определяется формулой изобретения. ФОРМУЛА ИЗОБРЕТЕНИЯ 1. Способ (100) авторизации держателя карты (U) с использованием мобильной подписи при использовании чип-карт в POS-терминалах, отличающийся тем, что включает следующие операции: - установка (101) чип-карты (2) в устройство (4) считывания чипов; - выполнение устройством (4) считывания чипов проверки (102) того, действительна ли карта (2) в отношении авторизации с использованием мобильной подписи; - прекращение (103) устройством (4) считывания чипов процесса авторизации в случае, если карта (2) не действительна; - продолжение (104) процесса авторизации в случае, если карта (2) действительна; - запуск (105) отработки правила с первым приоритетом, путем считывания "перечня способов авторизации держателя карты"; - принятие (106) решения о том, что правилом с первым приоритетом является процесс авторизации с использованием мобильной подписи в случае, если код "правила авторизации держателя карты" ( CVR - код) равен коду авторизации с использованием мобильной подписи; - проверка (107) того, поддерживает ли устройство (4) считывания чипов авторизацию с использованием мобильной подписи; - переход (108) к следующему решению относительно авторизации в случае, если устройство (4) считывания чипов не поддерживает авторизацию с использованием мобильной подписи, и прекращение процесса авторизации в случае, если правил больше не осталось; - передача (109) касающейся карты (2) информации в банк (В) для выполнения авторизации в случае, если устройство (4) считывания чинов поддерживает авторизацию с использованием мобильной подписи; - выполнение (110) процесса авторизации по каналу (5) авторизации; - передача (111) информации о том, что процесс авторизации не был успешным, в устройство (4) считывания чипов в том случае, если процесс авторизации дал негативный результат или ответ не получен в течение некоторого заранее заданного времени; - передача (112) информации о том, что держатель карты авторизирован, в устройство (4) считывания чипов в случае, если процесс авторизации дал положительный результат. 2. Способ (1) по п.1, отличающийся тем, что при выполнении устройством (4) считывания чипов операции проверки (102) того, действительна ли карта (2) в отношении авторизации с использованием мобильной подписи, контролируют правильность определения касающейся карты (2) информации, такой как держатель карты, номер карты, срок действия, код CVC2, хранящейся в блоке (3) управления, и принимают решение о
28407 6 действительности карты (2) в отношении авторизации с использованием мобильной подписи. 3. Способ (1) по п.1 или п. 2, отличающийся тем, что при выполнении операции передачи (109) касающейся карты (2) информации в банк (В) для выполнения авторизации в случае, если устройство (4) считывания чипов поддерживает авторизацию с использованием мобильной подписи, устройство (4) считывания чипов связывается с выдавшим карту (2) банком (В) по каналу, специально выделенному для требующих подтверждения с использованием мобильной подписи запросов, с использованием касающейся карты информации, такой как номер карты, держатель карты, срок действия карты, принятой им при выполнении операции подтверждения карты; и передает запрос на авторизацию с использованием мобильной подписи держателя карты, обладающего касающейся данной карты информацией. 4. Способ (1) по любому из предшествующих пунктов, отличающийся тем, что при выполнении (110) процесса авторизации по каналу (5) авторизации, поскольку запрос на авторизацию получен по каналу (5), специально предназначенному для работы с мобильной подписью, банк (В) знает, что данный запрос подлежит авторизации с использованием мобильной подписи, и выполняет процесс авторизации с использованием своей соответствующей инфраструктуры. 5. Система (1), которая используется для авторизации держателя (U) чип-карты с использованием мобильной подписи, отличающаяся тем, что включает в себя: - по меньшей мере одну карту (2); - по меньшей мере один блок управления (3). в котором хранится информация держателя ( U ) карты и который находится на карте (2); - по меньшей мере одно устройство (4) считывания чипов, которое вступает во взаимодействие с банком (В) для выполнения "процесса авторизации держателя карты" с использованием мобильной подписи после установки карты (2); и - по меньшей мере один канал (5) авторизации, который принимает запрос на авторизацию от устройства (4) считывания чипов с использованием мобильной подписи для авторизации держателя ( U ) карты и сообщает об аутентичности держателя ( U ) карты. 6. Система (1) по п.5, отличающаяся тем, что устройство (4) считывания чипов выполнено с возможностью выполнения следующих процессов: - после установки чип-карты (2) в устройство (4) - проверка того, действительна ли карта (2) в отношении авторизации с использованием мобильной подписи; - контроль правильности определения касающейся карты (2) информации, такой как держатель карты, номер карты, срок действия, код CVC2, хранящейся в блоке (3) управления, и принятие решения о действительности карты (2) в отношении авторизации с использованием мобильной подписи; - продолжение "процесса авторизации держателя карты" в случае, если карта (2) действительна в отношении авторизации с использованием мобильной подписи, и прекращение процесса авторизации в случае, если карта (2) не действительна; - считывание "перечня способов авторизации держателя карты" (перечня CVM ) из блока (3) управления при продолжении процесса авторизации и запуск отработки приведенных в перечне правил, начиная с правила с наивысшим приоритетом; - продолжение процесса выполнения авторизации с использованием мобильной подписи в случае, если код "правила авторизации держателя карты" ( CVR -код) равен коду авторизации с использованием мобильной подписи; - переход к следующему "правилу авторизации держателя карты" в случае, если авторизация с использованием мобильной подписи не поддерживается, или завершение авторизации выдачей ошибки, если правил в перечне больше нет; - установление связи с выдавшим карту (2) банком (В) с использованием касающейся карты информации, по каналу, специально выделенному для требующих подтверждения с использованием мобильной подписи запросов, в случаях, когда требуется выполнение авторизации с использованием мобильной подписи; и - направление запроса на авторизацию с использованием мобильной подписи держателя ( U ) карты с касающейся карты (2) информацией. 7. Система (1) по п.5 или п.6, отличающаяся тем, что канал (5) авторизации чип-карт выполнен с возможностью выполнения следующих операций: - выполнение запроса на авторизацию с использованием мобильной подписи и уведомление устройства (4) считывания чипов о результате авторизации; - уведомление устройства (4) считывания чипов о том, что "процесс авторизации держателя карты" подтвержден с использованием мобильной подписи; - уведомление о том, что авторизация с использованием мобильной подписи не была успешной, в том случае, если ответ от банка (В) не получен в течение некоторого заранее заданного времени; и - уведомление о том, что процесс авторизации завершен с ошибкой в случае, если процесс авторизации не может быть совершен по причине недостаточности касающейся карты информации, или если возникла другая ошибка. 8. Система по любому из п.п.5-7, отличающаяся тем, что чип-карта (2) предусматривает новое определенное в "перечне способов авторизации держателя карты" "правило авторизации держателя карты" (CVR), указывающее, что авторизация выполняется с использованием мобильной подписи. 9. Система по любому из п.п.5-8, отличающаяся тем, что блок (3) управления представляет собой чип или микросхему.
28407 7 10. Система по любому из п.п.5-9, отличающаяся тем, что устройство (4) считывания чипов представляет собой POS -терминал.
28407 8 Верстка А. Сарсекеева Корректор Р. Шалабаев

Recommended

28976p
28976p28976p
28976pivanov1edw2
 
29213p
29213p29213p
29213pivanov156635995534
 
6914
69146914
6914ivanov1566334322
 
6656
66566656
6656ivanov156w2w221q
 
Создание национальной системы платежных карт с использованием отечественных HSM
Создание национальной системы платежных карт с использованием отечественных HSMСоздание национальной системы платежных карт с использованием отечественных HSM
Создание национальной системы платежных карт с использованием отечественных HSMSelectedPresentations
 
дбо для розницы есть ли будущее закон о национальной платежной системе и новы...
дбо для розницы есть ли будущее закон о национальной платежной системе и новы...дбо для розницы есть ли будущее закон о национальной платежной системе и новы...
дбо для розницы есть ли будущее закон о национальной платежной системе и новы...Expolink
 
Вячеслав Семенихин | 2Can & iBox
Вячеслав Семенихин | 2Can & iBoxВячеслав Семенихин | 2Can & iBox
Вячеслав Семенихин | 2Can & iBoxrusbase
 
10649
1064910649
10649ivanov156635995534
 

Recommended

28976p
28976p28976p
28976pivanov1edw2
 
29213p
29213p29213p
29213pivanov156635995534
 
6914
69146914
6914ivanov1566334322
 
6656
66566656
6656ivanov156w2w221q
 
Создание национальной системы платежных карт с использованием отечественных HSM
Создание национальной системы платежных карт с использованием отечественных HSMСоздание национальной системы платежных карт с использованием отечественных HSM
Создание национальной системы платежных карт с использованием отечественных HSMSelectedPresentations
 
дбо для розницы есть ли будущее закон о национальной платежной системе и новы...
дбо для розницы есть ли будущее закон о национальной платежной системе и новы...дбо для розницы есть ли будущее закон о национальной платежной системе и новы...
дбо для розницы есть ли будущее закон о национальной платежной системе и новы...Expolink
 
Вячеслав Семенихин | 2Can & iBox
Вячеслав Семенихин | 2Can & iBoxВячеслав Семенихин | 2Can & iBox
Вячеслав Семенихин | 2Can & iBoxrusbase
 
10649
1064910649
10649ivanov156635995534
 
постановление карточки
постановление карточкипостановление карточки
постановление карточкиИнфобанк бай
 
0
00
0Sergekh
 
как вести таможенное декларирование через интернет
как вести таможенное декларирование через интернеткак вести таможенное декларирование через интернет
как вести таможенное декларирование через интернетSt. Petersburg Foundation for SME Development
 
7163
71637163
7163ivanov156633595
 
Управление соответствием PCI DSS - Секция 3 - Область применимости PCI DSS
Управление соответствием PCI DSS - Секция 3 - Область применимости PCI DSSУправление соответствием PCI DSS - Секция 3 - Область применимости PCI DSS
Управление соответствием PCI DSS - Секция 3 - Область применимости PCI DSSDeiteriy Co. Ltd.
 
федоровская ема
федоровская емафедоровская ема
федоровская емаFinancialStudio
 
24 parking.od.ua—a3 v3
24 parking.od.ua—a3 v324 parking.od.ua—a3 v3
24 parking.od.ua—a3 v3Анатолий Мироненко
 
Игорь Ивченко "Деньги Онлайн"
Игорь Ивченко "Деньги Онлайн"Игорь Ивченко "Деньги Онлайн"
Игорь Ивченко "Деньги Онлайн"Artem Polyanskiy
 
Pay-Mobile API: платежи банковскими картами в мобильном
Pay-Mobile API: платежи банковскими картами в мобильномPay-Mobile API: платежи банковскими картами в мобильном
Pay-Mobile API: платежи банковскими картами в мобильномElena Kotina
 
Протокол 3-D Secure
Протокол 3-D SecureПротокол 3-D Secure
Протокол 3-D SecureВиктор Носов
 
Новеллы в законодательстве об электронной подписи и как их применять
Новеллы в законодательстве об электронной подписи и как их применятьНовеллы в законодательстве об электронной подписи и как их применять
Новеллы в законодательстве об электронной подписи и как их применятьЦифровые технологии
 
Презентация Александра Ефремова с конференции «Биометрия в банке: практическо...
Презентация Александра Ефремова с конференции «Биометрия в банке: практическо...Презентация Александра Ефремова с конференции «Биометрия в банке: практическо...
Презентация Александра Ефремова с конференции «Биометрия в банке: практическо...Банковское обозрение
 
Обеспечение информационной безопасности ИС «Независимый Регистратор»
Обеспечение информационной безопасности ИС «Независимый Регистратор»Обеспечение информационной безопасности ИС «Независимый Регистратор»
Обеспечение информационной безопасности ИС «Независимый Регистратор»Цифровые технологии
 
презентация асу ппк (версия ноябрь 2012)
презентация асу ппк (версия ноябрь 2012)презентация асу ппк (версия ноябрь 2012)
презентация асу ппк (версия ноябрь 2012)Vitaliy Steshenko
 
10704
1070410704
10704ivanov156635995534
 
платежная система E card
платежная система E cardплатежная система E card
платежная система E cardVeeRoute
 
Электронное декларирование через Интернет.
Электронное декларирование через Интернет. Электронное декларирование через Интернет.
Электронное декларирование через Интернет. MPersey
 
Программа курса "Защита информации в НПС"
Программа курса "Защита информации в НПС"Программа курса "Защита информации в НПС"
Программа курса "Защита информации в НПС"Aleksey Lukatskiy
 
6756
67566756
6756ivanov156w2w221q
 
29683p
29683p29683p
29683pivanov15666688
 
588
588588
588ivanov156w2w221q
 
596
596596
596ivanov156w2w221q
 

More Related Content

Similar to 28407p

постановление карточки
постановление карточкипостановление карточки
постановление карточкиИнфобанк бай
 
как вести таможенное декларирование через интернет
как вести таможенное декларирование через интернеткак вести таможенное декларирование через интернет
как вести таможенное декларирование через интернетSt. Petersburg Foundation for SME Development
 
Управление соответствием PCI DSS - Секция 3 - Область применимости PCI DSS
Управление соответствием PCI DSS - Секция 3 - Область применимости PCI DSSУправление соответствием PCI DSS - Секция 3 - Область применимости PCI DSS
Управление соответствием PCI DSS - Секция 3 - Область применимости PCI DSSDeiteriy Co. Ltd.
 
федоровская ема
федоровская емафедоровская ема
федоровская емаFinancialStudio
 
Игорь Ивченко "Деньги Онлайн"
Игорь Ивченко "Деньги Онлайн"Игорь Ивченко "Деньги Онлайн"
Игорь Ивченко "Деньги Онлайн"Artem Polyanskiy
 
Pay-Mobile API: платежи банковскими картами в мобильном
Pay-Mobile API: платежи банковскими картами в мобильномPay-Mobile API: платежи банковскими картами в мобильном
Pay-Mobile API: платежи банковскими картами в мобильномElena Kotina
 
Новеллы в законодательстве об электронной подписи и как их применять
Новеллы в законодательстве об электронной подписи и как их применятьНовеллы в законодательстве об электронной подписи и как их применять
Новеллы в законодательстве об электронной подписи и как их применятьЦифровые технологии
 
Презентация Александра Ефремова с конференции «Биометрия в банке: практическо...
Презентация Александра Ефремова с конференции «Биометрия в банке: практическо...Презентация Александра Ефремова с конференции «Биометрия в банке: практическо...
Презентация Александра Ефремова с конференции «Биометрия в банке: практическо...Банковское обозрение
 
Обеспечение информационной безопасности ИС «Независимый Регистратор»
Обеспечение информационной безопасности ИС «Независимый Регистратор»Обеспечение информационной безопасности ИС «Независимый Регистратор»
Обеспечение информационной безопасности ИС «Независимый Регистратор»Цифровые технологии
 
презентация асу ппк (версия ноябрь 2012)
презентация асу ппк (версия ноябрь 2012)презентация асу ппк (версия ноябрь 2012)
презентация асу ппк (версия ноябрь 2012)Vitaliy Steshenko
 
платежная система E card
платежная система E cardплатежная система E card
платежная система E cardVeeRoute
 
Электронное декларирование через Интернет.
Электронное декларирование через Интернет. Электронное декларирование через Интернет.
Электронное декларирование через Интернет. MPersey
 
Программа курса "Защита информации в НПС"
Программа курса "Защита информации в НПС"Программа курса "Защита информации в НПС"
Программа курса "Защита информации в НПС"Aleksey Lukatskiy
 

Similar to 28407p (20)

постановление карточки
постановление карточкипостановление карточки
постановление карточки
 
0
00
0
 
как вести таможенное декларирование через интернет
как вести таможенное декларирование через интернеткак вести таможенное декларирование через интернет
как вести таможенное декларирование через интернет
 
7163
71637163
7163
 
Управление соответствием PCI DSS - Секция 3 - Область применимости PCI DSS
Управление соответствием PCI DSS - Секция 3 - Область применимости PCI DSSУправление соответствием PCI DSS - Секция 3 - Область применимости PCI DSS
Управление соответствием PCI DSS - Секция 3 - Область применимости PCI DSS
 
федоровская ема
федоровская емафедоровская ема
федоровская ема
 
24 parking.od.ua—a3 v3
24 parking.od.ua—a3 v324 parking.od.ua—a3 v3
24 parking.od.ua—a3 v3
 
Игорь Ивченко "Деньги Онлайн"
Игорь Ивченко "Деньги Онлайн"Игорь Ивченко "Деньги Онлайн"
Игорь Ивченко "Деньги Онлайн"
 
Pay-Mobile API: платежи банковскими картами в мобильном
Pay-Mobile API: платежи банковскими картами в мобильномPay-Mobile API: платежи банковскими картами в мобильном
Pay-Mobile API: платежи банковскими картами в мобильном
 
Протокол 3-D Secure
Протокол 3-D SecureПротокол 3-D Secure
Протокол 3-D Secure
 
Новеллы в законодательстве об электронной подписи и как их применять
Новеллы в законодательстве об электронной подписи и как их применятьНовеллы в законодательстве об электронной подписи и как их применять
Новеллы в законодательстве об электронной подписи и как их применять
 
Презентация Александра Ефремова с конференции «Биометрия в банке: практическо...
Презентация Александра Ефремова с конференции «Биометрия в банке: практическо...Презентация Александра Ефремова с конференции «Биометрия в банке: практическо...
Презентация Александра Ефремова с конференции «Биометрия в банке: практическо...
 
Обеспечение информационной безопасности ИС «Независимый Регистратор»
Обеспечение информационной безопасности ИС «Независимый Регистратор»Обеспечение информационной безопасности ИС «Независимый Регистратор»
Обеспечение информационной безопасности ИС «Независимый Регистратор»
 
презентация асу ппк (версия ноябрь 2012)
презентация асу ппк (версия ноябрь 2012)презентация асу ппк (версия ноябрь 2012)
презентация асу ппк (версия ноябрь 2012)
 
10704
1070410704
10704
 
платежная система E card
платежная система E cardплатежная система E card
платежная система E card
 
Электронное декларирование через Интернет.
Электронное декларирование через Интернет. Электронное декларирование через Интернет.
Электронное декларирование через Интернет.
 
Программа курса "Защита информации в НПС"
Программа курса "Защита информации в НПС"Программа курса "Защита информации в НПС"
Программа курса "Защита информации в НПС"
 
6756
67566756
6756
 
29683p
29683p29683p
29683p
 

More from ivanov156w2w221q

More from ivanov156w2w221q (20)

588
588588
588
 
596
596596
596
 
595
595595
595
 
594
594594
594
 
593
593593
593
 
584
584584
584
 
589
589589
589
 
592
592592
592
 
591
591591
591
 
590
590590
590
 
585
585585
585
 
587
587587
587
 
586
586586
586
 
582
582582
582
 
583
583583
583
 
580
580580
580
 
581
581581
581
 
579
579579
579
 
578
578578
578
 
512
512512
512
 

28407p

  • 1. РЕСПУБЛИКА КАЗАХСТАН (19) KZ (13) B (11) 28407 (51) G06Q 20/00 (2012.01) G06Q 20/40 (2012.01) КОМИТЕТ ПО ПРАВАМ ИНТЕЛЛЕКТУАЛЬНОЙ СОБСТВЕННОСТИ МИНИСТЕРСТВА ЮСТИЦИИ РЕСПУБЛИКИ КАЗАХСТАН ОПИСАНИЕ ИЗОБРЕТЕНИЯ К ПАТЕНТУ (21) 2011/1646.1 (22) 28.12.2011 (45) 15.04.2014, бюл. №4 (31) а2010/11107 (32) 29.12.2010 (33) TR (72) СЕНЕР Танер (TR) (73) ТУРКСЕЛЛ ТЕКНОЛОЖИ АРАШТИРМА энд ГЕЛИСТИРМЕ АНОНИМ ШИРКЕТИ (TR) (74) Русакова Нина Васильевна; Жукова Галина Алексеевна; Ляджин Владимир Алексеевич (56) US 2009157549 A1, 18.06.2009 WO 2006099294 A1, 21.09.2006 RU 2394275 C2, 10.07.2010 (54) СИСТЕМА И СПОСОБ АВТОРИЗАЦИИ ДЕРЖАТЕЛЯ ЧИП-КАРТЫ (57) Изобретение имеет отношение к системе (1) и способу (100), обеспечивающим возможность использования мобильной подписи для авторизации держателя карты при использовании чип-карт в POS-терминалах. Система (1) по изобретению содержит по меньшей мере одну карту (2); по меньшей мере один блок управления (3), в котором хранится информация держателя (U) карты и который расположен на карте (2); по меньшей мере одно устройство (4) считывания чипов, которое вступает во взаимодействие с банком (В) для выполнения "процесса авторизации держателя карты" с использованием мобильной подписи после того, как карта (2) установлена; и по меньшей мере один канал (5) авторизации, который принимает запрос на авторизацию от устройства (4) считывания чипов с использованием мобильной подписи для авторизации держателя (U) карты, и сообщает об аутентичности держателя (U) карты. (19)KZ(13)B(11)28407
  • 2. 28407 2 Изобретение имеет отношение к системе и способу, обеспечивающим возможность использования мобильной подписи для авторизации держателя карты при использовании чип-карт (известных также как карты, снабженные микросхемой) в терминалах, используемых в точках продаж (известных специалистам как POS- терминалы). Предпосылки создания изобретения В настоящее время используют различные способы авторизации держателя карты при использовании чип-карт (дебетовых и кредитных карт) в POS- терминалах при осуществлении покупок. Наиболее распространенным из этих способов является предусмотренный правилами и протоколами, совместно установленными системами Europay, MasterCard и VISA в рамках объединения, называемого EMV. Эти протоколы, установленные EMV, основаны на стандартах, касающихся интеллектуальных карт (известных специалистам как "смарт-карты"), определенных ISO/IEC 7816, и работающих с такими картами устройств. EMV публикует установленные ими протоколы в четырех различных книгах, которые названы книгами EMV, причем изменения и дополнения к протоколам, вносимые со временем, входят в их новые редакции. Способы авторизации держателя карты в чип-карте приведены в Книге 4 (Раздел 6.3.4) и Книге 3 (Раздел 10.5). Каждый чип хранит способ авторизации, поддерживаемый им, в своей микросхеме в виде последовательного "перечня способов авторизации держателя карты" (известный специалистам как "перечень CVM"). После установки чип-карты в POS-терминал она выполняет процесс согласования, определяемый протоколами ЕМV. В зависимости от вида трансакции (покупка, банковские операции), выполняемой в данном процессе, в перечня способов авторизации держателя карты определяются способы, поддерживаемые считывателем чип-карт, и затем они последовательно реализуются считывателем чип-карт. Держатель карты может использовать свою карту в случае, если процесс авторизации, проведенный одним из этих способов, выполнен успешно. Если же он не был завершен успешно, то используется следующий способ из перечня способов авторизации держателя карты. В случае, если авторизация не может быть произведена ни одним из способов из данного перечня, карта не может быть использована. Онлайновый пароль является первым из способов, предусмотренных в перечне способов авторизации держателя карты. В данном способе, который преимущественно используют в банкоматах, лицо, желающее использовать чип- карту, получает приглашение ввести пароль карты (известный специалистам как "PIN" или "PIN-код") с использованием клавиш банкомата или устройства ввода PIN-кода. После ввода PIN-кода он отсылается в банк, которым выдана карта, по защищенному каналу в зашифрованном виде. Банк передает в банкомат информацию о том, что PIN- код верен, через тот же канал, и авторизирует держателя карты в случае, если введенный PIN-код идентичен PIN-коду, зарегистрированному в его системах. Другим способом, предусмотренным в перечне способов авторизации держателя карты, является оффлайновый пароль. В данном способе, используемом в POS-терминалах, запрашивается ввод пароля карты (PIN-кода) через клавиатуру данного терминала или специального устройства для ввода PIN-кода, подключенного к POS- терминалу. После ввода PIN-кода его зашифровывают и отсылают в чип карты с помощью соответствующей команды стандартов EMV (VERIFY). Чип расшифровывает присланный PIN- код, сравнивает его с PIN-кодом, хранимым в нем, и отсылает результат в POS-терминал в соответствии со стандартами EMV. POS-терминал подтверждает аутентичность держателя карты в случае, если посланный PIN-код верный. Держателю карты предлагается ввести PIN-код повторно, и этот процесс повторяется, если введенный PIN-код неправильный и не превышено предельное количество попыток ввода PIN-код, записанное в чипе. Если после неверного ввода PIN-кода предельное количество попыток ввода PIN-код превышается, то POS-терминал больше не запрашивает ввод PIN-кода и применяет следующий способ из перечня способов авторизации держателя карты. Еще одним способом, предусмотренным в перечне способов авторизации держателя карты, является использование подписи держателя карты. В данном способе, применяемом при использовании POS-терминалов, POS-терминал печатает квитанцию с информацией о совершенной трансакции, где номер карты скрыт и имеется пустая строка для подписи в конце. Держатель карты ставит подпись в данном поле квитанции и авторизация проводится путем сравнения этой подписи с образцом на обратной стороне карты. Еще одним способом, предусмотренным в перечне способов авторизации держателя карты, является режим, при котором авторизация не требуется. В данном способе делается уведомление, что для использования карты не требуется никакой авторизации. В этом случае считыватель обеспечивает возможность использования карты без выполнения дополнительных процессов. Способ, при котором авторизация не требуется, который является одним из способов авторизации держателя карты при использовании чип-карт, не предполагает никаких мер безопасности, а способ, в котором используется подпись, не обеспечивает достаточной безопасности ввиду возможности подлога. Хотя другие способы - онлайновый и оффлайновый, предусматривающие использование пароля, являются защищенными, они не являются простыми в использовании с точки зрения пользователей. PIN-код карты должен быть известен при каждом ее использовании держателем карты. Сохранение PIN-кода для этой цели в письменном виде приводит к другим проблемам обеспечения
  • 3. 28407 3 безопасности, так что наилучшим способом оказывается запоминание пароля. И даже если запоминание само по себе не выглядит слишком большой проблемой, оно может оказаться проблематичным для лиц, которые имеют более чем одну чип-карту и различные пароли, для лиц, испытывающих трудности с запоминанием, и для пожилых людей. Таким образом, применение онлайнового и оффлайнового способов авторизации, предусматривающих использование пароля, сопряжено с известными трудностями. В патентном документе Соединенных Штатов Америки № US2009157549 описан способ обработки данных и повышения безопасности, разработанный для использования во время выполнения трансакций с кредитными картами. В международной заявке № WO2006099294 описан способ, обеспечивающий возможность предоставления держателю карты информации о трансакции и платеже, выполненных с использованием кредитной карты любого вида, и получения от него подтверждения. В международной заявке № WO0211088 описан способ, в котором для защиты пользователей кредитной карты от мошенничества использовано SMS-сообщение. Сущность изобретения Целью изобретения является создание системы и способа, использующих мобильную подпись, которые бы обеспечивали очень безопасный и простой процесс аутентификации при авторизации держателя чип-карты. Подробное описание изобретения Система и способ, обеспечивающие достижение цели изобретения, показаны на прилагаемых графических фигурах, где: Фиг.1 представляет собой схематическое изображение системы по настоящему изобретению. Фиг.2 представляет собой блок-схему способа функционирование системы по настоящему изобретению. Элементы, показанные на графических фигурах, обозначены следующими позициями: 1. Система 2. Карта 3. Блок управления (чип) 4. Устройство считывания чипов 5. Канал авторизации 100. Способ U. Держатель карты В. Банк Система (1), используемая для авторизации держателя (U) чип-карты с использованием мобильной подписи, включает в себя: - по меньшей мере одну карту (2); - по меньшей мере один блок управления (3), в котором хранится информация держателя (U) карты и который находится на карте (2); - по меньшей мере одно устройство (4) считывания чипов, которое вступает во взаимодействие с банком (В) для выполнения "процесса авторизации держателя карты" с использованием мобильной подписи после установки карты (2); и - по меньшей мере один канал (5) авторизации, который принимает запрос на авторизацию от устройства (4) считывания чипов с использованием мобильной подписи для авторизации держателя (U) карты и сообщает об аутентичности держателя (U) карты. В предпочтительном варианте осуществления изобретения в "перечне способов авторизации держателя карты" (известный специалистам как "list of cardholder verification methods", или CVM list) определяют новое "правило авторизации держателя карты" (известное специалистам как "cardholder verification rule", CVR), указывающее, что авторизация выполняется с использованием мобильной подписи. Это "правило авторизации держателя карты" определяют в соответствии с протоколами EMV, и оно может быть использовано устройствами, поддерживающими протоколы EMV. Определение правила на карте состоит из двух байтов. Байт, который находится слева и называется кодом “правила авторизации держателя карты" (CVR-кодом), содержит уникальное значение, указывающее на то, что авторизация будет выполняться при помощи мобильной подписи, тогда как байт, находящийся справа, содержит код состояния, указывающий, в каком случае данное правило должно быть использовано в зависимости от требуемого уровня безопасности. В предпочтительном варианте осуществления изобретения правило авторизации с использованием мобильной подписи, определенное на чип-карте (2), имеет более высокий приоритет, чем все приведенные в перечне правила авторизации держателя карты. В случае, если правило определено, правило авторизации с использованием мобильной подписи всегда находится на первом месте в "перечне способов авторизации держателя карты" (перечень CVM). В предпочтительном варианте осуществления изобретения блок (3) управления представляет собой чип (микросхему). В предпочтительном варианте осуществления изобретения устройство (4) считывания чипов представляет собой POS-терминал. Способ (100) авторизации держателя карты (U) с использованием мобильной подписи при использовании чип-карт в POS-терминалах включает следующие операции: - установка (101) чип-карты (2) в устройство (4) считывания чипов; - выполнение устройством (4) считывания чипов проверки (102) того, действительна ли карта (2) в отношении авторизации с использованием мобильной подписи; - прекращение (103) устройством (4) считывания чипов процесса авторизации в случае, если карта (2) не действительна; - продолжение (104) процесса авторизации в случае, если карта (2) действительна;
  • 4. 28407 4 - запуск (105) отработки правила с первым приоритетом, путем считывания "перечня способов авторизации держателя карты" с карты (2); - принятие (106) решения о том, что правилом с первым приоритетом является процесс авторизации с использованием мобильной подписи в случае, если код "правила авторизации держателя карты" (CVR- код) равен коду авторизации с использованием мобильной подписи; - проверка (107) того, поддерживает ли устройство (4) считывания чипов авторизацию с использованием мобильной подписи; - переход (108) к следующему решению относительно авторизации в случае, если устройство (4) считывания чипов не поддерживает авторизацию с использованием мобильной подписи, и прекращение процесса авторизации в случай, если правил больше не осталось; - передача касающейся карты (2) информации в банк (В) для выполнения авторизации в случае, если устройство (4) считывания чипов поддерживает авторизацию с использованием мобильной подписи (операция 109); - выполнение (110) процесса авторизации по каналу (5) авторизации; - передача (111) информации о том, что процесс авторизации не был успешным, в устройство (4) считывания чипов в том случае, если процесс авторизации дал негативный результат или ответ не получен в течение некоторого заранее заданного времени; - передача (112) информации о том, что держатель карты авторизирован, в устройство (4) считывания чипов в случае, если процесс авторизации дал положительный результат. В системе (1) по настоящему изобретению устройство (4) считывания чипов выполнено с возможностью выполнения следующих операций: - после установки чип-карты (2) в устройство (4) - проверка того, действительна ли карта (2) в отношении авторизации с использованием мобильной подписи; - контроль правильности определения касающейся карты (2) информации, такой как держатель карты, номер карты, срок действия, код CVC2, хранящейся в блоке (3) управления, и принятие решения о действительности карты (2) в отношении авторизации с использованием мобильной подписи; - продолжение "процесса авторизации держателя карты" в случае, если карта (2) действительна в отношении авторизации с использованием мобильной подписи, и прекращение процесса авторизации в случае, если карта (2) не действительна; - считывание "перечня способов авторизации держателя карты" (перечня CVM) из блока (3) управления при продолжении процесса авторизации и запуск отработки приведенных в перечне правил, начиная с правила с наивысшим приоритетом; - продолжение процесса выполнения авторизации с использованием мобильной подписи в случае, если код "правила авторизации держателя карты" (CVR-код) равен коду авторизации с использованием мобильной подписи; - переход к следующему "правилу авторизации держателя карты" в случае, если авторизация с использованием мобильной подписи не поддерживается, или завершение авторизации выдачей ошибки если правил в перечне больше нет; - установление связи с выдавшим карту (2) банком (В) с использованием касающейся карты информации, по каналу, специально выделенному для требующих подтверждения с использованием мобильной подписи запросов, в случаях, когда требуется выполнение авторизации с использованием мобильной подписи; и - направление запроса на авторизацию с использованием мобильной подписи держателя (U) карты с касающейся карты (2) информацией. В системе (1) по настоящему изобретению канал (5) авторизации выполнен с возможностью выполнения следующих операций: - выполнение запроса на авторизацию с использованием мобильной подписи и уведомление устройства (4) считывания чипов о результате авторизации; - уведомление устройства (4) считывания чипов о том, что "процесс авторизации держателя карты" подтвержден с использованием мобильной подписи; - уведомление о том, что авторизация с использованием мобильной подписи не было успешным, в том случае, если ответ от банка (В) не получен в течение некоторого заранее заданного времени; и - уведомление о том, что процесс авторизации завершен с ошибкой в случае, если процесс авторизации не может быть совершен по причине недостаточности касающейся карты информации, или если возникла другая ошибка. В процессе авторизации держателя (U) карты с использованием мобильной подписи сначала чип- карту (2) устанавливают (101) в устройство (4) считывания чипов, и оно выполняет проверку (102) того, действительна ли карта (2) в отношении авторизации с использованием мобильной подписи. В процессе этой проверки выполняется контроль правильности определения касающейся карты (2) информации, такой как держатель карты, номер карты, срок действия, код CVC2, хранящейся в блоке (3) управления, и принятие решения о действительности карты (2). Устройство (4) считывания чипов прекращает (103) процесс авторизации в случае, если карта (2) не действительна (операция 103); Если карта (2) действительна, это считается подтвержденным и процесс авторизации держателя карты продолжается (104). В процессе авторизации устройство (4) считывания чипов сначала осуществляет считывание "перечня способов авторизации держателя карты" (перечня CVM) из блока (3) управления и начинает отработку правил в перечне, начиная с правила, имеющего наивысший приоритет (операция 105). Принятие решения о том, что правилом является "процесс авторизации с использованием мобильной
  • 5. 28407 5 подписи", осуществляется в случае, если код "правила авторизации держателя карты" (CVR-код) равен коду авторизации с использованием мобильной подписи (операция 106). Для продолжения процесса авторизации сначала проверяют, поддерживает ли устройство (4) считывания чипов авторизацию с использованием мобильной подписи (операция 107). В случае, если устройство (4) считывания чипов не поддерживает авторизацию с использованием мобильной подписи, осуществляется переход к следующему правилу из перечня правил; процесс авторизации прекращается, если правил в перечне не осталось (операция 108). В случае, если устройство (4) считывания чипов поддерживает авторизацию с использованием мобильной подписи, оно связывается с выдавшим карту (2) банком (В) по каналу, специально выделенному для требующих подтверждения с использованием мобильной подписи запросов, с использованием касающейся карты информации, такой как номер карты, держатель карты, срок действия карты, принятой им при выполнении операции подтверждения карты; и передает запрос на авторизацию с использованием мобильной подписи держателя карты, обладающего касающейся данной карты информацией (операция 109). Поскольку запрос на авторизацию получен по каналу (5), специально предназначенному для работы с мобильной подписью, банк (В) знает, что данный запрос подлежит авторизации с использованием мобильной подписи, и выполняет процесс авторизации с использованием своей соответствующей инфраструктуры (операция 110). В случае, если ответ от банка (В) не получен в течение некоторого заранее заданного времени, переданная касающаяся карты информации не получена или в инфраструктуре банка (В) в процессе авторизации случилась ошибка, направляется уведомление о том, что процесс авторизации закончился ошибкой и процесс авторизации не был успешным (операция 111). В случае, если процесс авторизации дал положительный результат, осуществляется передача этой информации в устройство (4) и держатель карты (U) авторизируется с использованием мобильной подписи (операция 112). Описанными согласно настоящему изобретению системой (1) и способом (100) авторизации держателя чип-карты (2) предлагается использование мобильной подписи в качестве нового "способа авторизации держателя карты" для чип-карт (2). Таким образом, авторизация держателя (U) карты осуществляется с использованием чип- карты (2) и устройства (4) считывания чипов, которые поддерживают соответствующий способ (100). Возможна реализация различных вариантов осуществления "системы (1) и способа (100) для авторизации держателя чип-карты (2)", и изобретение не может быть ограничено примерами, описанными выше, - объем изобретения определяется формулой изобретения. ФОРМУЛА ИЗОБРЕТЕНИЯ 1. Способ (100) авторизации держателя карты (U) с использованием мобильной подписи при использовании чип-карт в POS-терминалах, отличающийся тем, что включает следующие операции: - установка (101) чип-карты (2) в устройство (4) считывания чипов; - выполнение устройством (4) считывания чипов проверки (102) того, действительна ли карта (2) в отношении авторизации с использованием мобильной подписи; - прекращение (103) устройством (4) считывания чипов процесса авторизации в случае, если карта (2) не действительна; - продолжение (104) процесса авторизации в случае, если карта (2) действительна; - запуск (105) отработки правила с первым приоритетом, путем считывания "перечня способов авторизации держателя карты"; - принятие (106) решения о том, что правилом с первым приоритетом является процесс авторизации с использованием мобильной подписи в случае, если код "правила авторизации держателя карты" ( CVR - код) равен коду авторизации с использованием мобильной подписи; - проверка (107) того, поддерживает ли устройство (4) считывания чипов авторизацию с использованием мобильной подписи; - переход (108) к следующему решению относительно авторизации в случае, если устройство (4) считывания чипов не поддерживает авторизацию с использованием мобильной подписи, и прекращение процесса авторизации в случае, если правил больше не осталось; - передача (109) касающейся карты (2) информации в банк (В) для выполнения авторизации в случае, если устройство (4) считывания чинов поддерживает авторизацию с использованием мобильной подписи; - выполнение (110) процесса авторизации по каналу (5) авторизации; - передача (111) информации о том, что процесс авторизации не был успешным, в устройство (4) считывания чипов в том случае, если процесс авторизации дал негативный результат или ответ не получен в течение некоторого заранее заданного времени; - передача (112) информации о том, что держатель карты авторизирован, в устройство (4) считывания чипов в случае, если процесс авторизации дал положительный результат. 2. Способ (1) по п.1, отличающийся тем, что при выполнении устройством (4) считывания чипов операции проверки (102) того, действительна ли карта (2) в отношении авторизации с использованием мобильной подписи, контролируют правильность определения касающейся карты (2) информации, такой как держатель карты, номер карты, срок действия, код CVC2, хранящейся в блоке (3) управления, и принимают решение о
  • 6. 28407 6 действительности карты (2) в отношении авторизации с использованием мобильной подписи. 3. Способ (1) по п.1 или п. 2, отличающийся тем, что при выполнении операции передачи (109) касающейся карты (2) информации в банк (В) для выполнения авторизации в случае, если устройство (4) считывания чипов поддерживает авторизацию с использованием мобильной подписи, устройство (4) считывания чипов связывается с выдавшим карту (2) банком (В) по каналу, специально выделенному для требующих подтверждения с использованием мобильной подписи запросов, с использованием касающейся карты информации, такой как номер карты, держатель карты, срок действия карты, принятой им при выполнении операции подтверждения карты; и передает запрос на авторизацию с использованием мобильной подписи держателя карты, обладающего касающейся данной карты информацией. 4. Способ (1) по любому из предшествующих пунктов, отличающийся тем, что при выполнении (110) процесса авторизации по каналу (5) авторизации, поскольку запрос на авторизацию получен по каналу (5), специально предназначенному для работы с мобильной подписью, банк (В) знает, что данный запрос подлежит авторизации с использованием мобильной подписи, и выполняет процесс авторизации с использованием своей соответствующей инфраструктуры. 5. Система (1), которая используется для авторизации держателя (U) чип-карты с использованием мобильной подписи, отличающаяся тем, что включает в себя: - по меньшей мере одну карту (2); - по меньшей мере один блок управления (3). в котором хранится информация держателя ( U ) карты и который находится на карте (2); - по меньшей мере одно устройство (4) считывания чипов, которое вступает во взаимодействие с банком (В) для выполнения "процесса авторизации держателя карты" с использованием мобильной подписи после установки карты (2); и - по меньшей мере один канал (5) авторизации, который принимает запрос на авторизацию от устройства (4) считывания чипов с использованием мобильной подписи для авторизации держателя ( U ) карты и сообщает об аутентичности держателя ( U ) карты. 6. Система (1) по п.5, отличающаяся тем, что устройство (4) считывания чипов выполнено с возможностью выполнения следующих процессов: - после установки чип-карты (2) в устройство (4) - проверка того, действительна ли карта (2) в отношении авторизации с использованием мобильной подписи; - контроль правильности определения касающейся карты (2) информации, такой как держатель карты, номер карты, срок действия, код CVC2, хранящейся в блоке (3) управления, и принятие решения о действительности карты (2) в отношении авторизации с использованием мобильной подписи; - продолжение "процесса авторизации держателя карты" в случае, если карта (2) действительна в отношении авторизации с использованием мобильной подписи, и прекращение процесса авторизации в случае, если карта (2) не действительна; - считывание "перечня способов авторизации держателя карты" (перечня CVM ) из блока (3) управления при продолжении процесса авторизации и запуск отработки приведенных в перечне правил, начиная с правила с наивысшим приоритетом; - продолжение процесса выполнения авторизации с использованием мобильной подписи в случае, если код "правила авторизации держателя карты" ( CVR -код) равен коду авторизации с использованием мобильной подписи; - переход к следующему "правилу авторизации держателя карты" в случае, если авторизация с использованием мобильной подписи не поддерживается, или завершение авторизации выдачей ошибки, если правил в перечне больше нет; - установление связи с выдавшим карту (2) банком (В) с использованием касающейся карты информации, по каналу, специально выделенному для требующих подтверждения с использованием мобильной подписи запросов, в случаях, когда требуется выполнение авторизации с использованием мобильной подписи; и - направление запроса на авторизацию с использованием мобильной подписи держателя ( U ) карты с касающейся карты (2) информацией. 7. Система (1) по п.5 или п.6, отличающаяся тем, что канал (5) авторизации чип-карт выполнен с возможностью выполнения следующих операций: - выполнение запроса на авторизацию с использованием мобильной подписи и уведомление устройства (4) считывания чипов о результате авторизации; - уведомление устройства (4) считывания чипов о том, что "процесс авторизации держателя карты" подтвержден с использованием мобильной подписи; - уведомление о том, что авторизация с использованием мобильной подписи не была успешной, в том случае, если ответ от банка (В) не получен в течение некоторого заранее заданного времени; и - уведомление о том, что процесс авторизации завершен с ошибкой в случае, если процесс авторизации не может быть совершен по причине недостаточности касающейся карты информации, или если возникла другая ошибка. 8. Система по любому из п.п.5-7, отличающаяся тем, что чип-карта (2) предусматривает новое определенное в "перечне способов авторизации держателя карты" "правило авторизации держателя карты" (CVR), указывающее, что авторизация выполняется с использованием мобильной подписи. 9. Система по любому из п.п.5-8, отличающаяся тем, что блок (3) управления представляет собой чип или микросхему.
  • 7. 28407 7 10. Система по любому из п.п.5-9, отличающаяся тем, что устройство (4) считывания чипов представляет собой POS -терминал.