[发明专利]在用于银行业务交易的电子系统中用于用户身份的安全认证的系统

说明书

在用于银行业务交易的电子系统中用于对用户身份进行安全认证的系统，所述系统包括至少一个经受所述安全认证的第一用户装置，以及与彼此和与所述第一装置双向通信的一个或多个其他装置，特征在于：所述第一装置(α)和属于所述一个或多个其他装置的第二装置(β)包括生成由任何数量的数位组成的随机数(M1)的平等系统，所述随机数(M1)分别被划分为第一部分和第二部分(SGN，CSGN)，第一部分和第二部分(SGN，CSGN)是互补的并且是所述随机数(M1)的子集；所述第一装置(α)包括用于通过所述生成系统生成所述第一部分(SGN)并将其发送到所述第二装置(β)的单元；所述第二装置(β)包括用于通过所述生成系统经由所述随机数(M1)中的一个或多个的生成来生成所述第二部分(CSGN)的单元，每个随机数的特征在于对应的第一部分(SGN')，以及用于比较由此生成的所述对应的第一部分(SGN')与从所述第一装置(α)接收的所述第一部分(SGN)、确定与对应的第一部分(SGN')相关联的所述第二部分(CSGN)等于接收到的第一部分(SGN)的单元，以及用于将所述第二部分(CSGN)发送到所述第一装置(α)从而获得与所述第一装置相关联的用户身份的所述安全认证的单元。

技术领域

本发明涉及一种实现用户认证方法的系统，该系统可以替代或补充当前正在使用的系统，并且可以由自动取款机和支付系统通过其操作的银行间网络使用，更具体而言，本发明涉及一种在用于银行业务交易的电子系统中用于用户身份的安全认证的系统。

背景技术

就安全性而言，相比于进行支付的人，银行和信用卡电路目前使用的支付系统实际上为接收支付的经济运营商提供了更好的保护。

这是由于几种原因，最重要的一个原因与以下事实相关：接收支付的经济运营商是商业公司，为了使用电子支付服务(即，POS)，商业公司向自己的银行支付固定费用和可变费用；因此需要确保服务(因而，实际支付)的最高可能的安全性级别。

在大多数情况下，此类运营商受益的支付通过POS系统和服务发生。POS(销售点)既指电子设备，也指相关联的银行业务服务，它允许卖方直接在其银行账户上接受和兑现借助于电子货币(即，信用卡、借记卡和预付卡(下文中将此类信用卡、借记卡和预付卡统称为“支付卡”))从债务人客户进行的电子支付。

已知几种情况，其中，由于POS系统或设备非常缺乏安全性，进行支付的用户遭受未经授权从其自己的支付卡提款的情况。同样，支付卡克隆和从ATM虚假现金提取的现象扩大了非法使用支付卡的问题。

大多数利用创新过程和技术来确保交易安全性的支付系统都基于POS原理，即，向第三方传送进行支付的用户的卡和PIN(个人标识码，即，为了授权通过销售点处使用的设备的交易以进行支付而使用的秘密数)的数据。例如，在专利US 8763142 B2(令牌化支付处理方案)中，使用令牌代替正常支付卡号来进行支付。令牌被传送到卖主的计算机化终端并被用作信用卡号的替代品。由于令牌与对应的支付卡号之间缺乏相关性，从而保证了这种系统的安全性。在远程支付的情况下，这种系统遭受来自潜在消息拦截者的答复攻击的典型漏洞：任何拦截具有令牌的消息的人都可以使用令牌以自己的喜好完成交易，而不必更改大多数消息数据；实际上，他将能够生成与服务提供商的独立交易，并且服务提供商将像他是正常卖方一样进行支付。

其它系统(诸如例如US2014297537中所述的系统)允许卖方或一般而言，第三方，取得支付方的机密数据的访问。这种访问可能性削弱了对支付方及其数据的安全性的任何保证，这可能成为恶意用户攻击的目标。

已经提出了其它系统，其中支付方的数据永远不能被第三方访问，例如在专利US8,720,771 B2中描述的那样，其中支付方通过与支付系统的服务器交互来支付，该服务器向支付方返回唯一代码，支付方必须将其展示给卖方/债权人。该系统不能完全保证卖方或一般而言，必须接收支付的人，尤其是在远程销售中，其中唯一代码需要被传输给卖方。专利US 8,720,771 B2的另一个缺点是卖方必须认证支付系统，以便确保接收到的唯一代码是在实际支付时生成的；与模仿支付服务器的恶意服务器的任何交互都可能导致无法向供应商支付。