способ активации терминала
Классы МПК: | H04L9/08 с ключевым распределением |
Автор(ы): | КОЛОМ Франсуа (FR), ЛАМБЕР Патрик (FR) |
Патентообладатель(и): | ЭНЖЕНИКО ФРАНС (FR) |
Приоритеты: |
подача заявки:
2007-05-07 публикация патента:
20.01.2012 |
Изобретение относится к защите информации, а именно к способам активации терминала оператором. Техническим результатом является предотвращение несанкционированного доступа к информации. Технический результат достигается тем, что способ содержит: получение первой зашифрованной информации активации от оператора, получение второй зашифрованной информации активации от полномочного сервера, дешифрование первой и второй зашифрованных информаций активации с использованием, по меньшей мере, одного шифровального ключа, присвоенного терминалу и хранящегося в памяти платежного терминала, и использование первой и второй информаций активации для активации платежного терминала. 3 н. и 6 з.п. ф-лы, 2 ил.
Формула изобретения
1. Способ активации платежного терминала оператором, при этом активация платежного терминала позволяет производить защищенный обмен информацией между платежным терминалом и защищенным сервером, отличающийся тем, что содержит следующие этапы для терминала:
получение первой зашифрованной информации активации от оператора,
получение второй зашифрованной информации активации от полномочного сервера,
дешифрование первой и второй зашифрованных информации активации с использованием, по меньшей мере, одного шифровального ключа, присвоенного терминалу и хранящегося в памяти платежного терминала,
использование первой и второй информации активации для активации платежного терминала.
2. Способ по п.1, отличающийся тем, что содержит также следующие этапы для терминала:
на полномочный сервер передают идентификатор оператора, присвоенный оператору, и идентификатор терминала, присвоенный терминалу,
для полномочного сервера:
в зависимости от идентификаторов оператора и терминала, полученных от терминала, проверяют, полномочен ли оператор активировать терминал и разрешена ли активация терминала, при этом на терминал передают вторую информацию активации, если оператор полномочен активировать терминал и если активация терминала разрешена.
3. Способ по п.1, отличающийся тем, что содержит также следующие этапы:
для полномочного сервера:
поиск в базе данных шифровального ключа, присвоенного терминалу,
создание второй информации активации в зависимости от информации активации, содержащихся в базе данных,
шифрование второй информации активации с использованием шифровального ключа, присвоенного терминалу,
передача зашифрованной второй информации активации в терминал для терминала:
дешифрование зашифрованной второй информации активации с использованием шифровального ключа, присвоенного терминалу и хранящегося в памяти терминала.
4. Способ по п.1, отличающийся тем, что содержит также следующий этап для терминала:
передача на полномочный сервер датировки, используемой произвольно во время этапа шифрования второй информации активации.
5. Способ по п.1, отличающийся тем, что содержит также следующий этап для полномочного сервера:
запись в базу данных идентификатора терминала, идентификатора оператора и момента обращения к терминалу.
6. Способ по п.5, отличающийся тем, что идентификатор оператора содержит индивидуальный номер оператора, записанный на средстве активации, содержащем первую информацию активации.
7. Способ по п.6, отличающийся тем, что идентификатор оператора содержит также персональный идентификационный номер, предназначенный для введения в терминал, при этом персональный идентификационный номер связан с номером оператора,
при этом способ содержит этап, на котором проверяют, идентичен ли номер, введенный оператором в терминал, персональному идентификационному номеру, связанному с номером оператора.
8. Терминал, отличающийся тем, что содержит средства для применения способа по одному из пп.1-7.
9. Полномочный сервер, отличающийся тем, что содержит средства для применения способа по одному из пп.1-7.
Описание изобретения к патенту
Область техники, к которой относится изобретение
Настоящее изобретение относится к общей технической области защиты услуг и, в частности, к технической области активации защищенного терминала для введения конфиденциальных данных.
Изобретение предназначено, в частности, для терминалов электронной оплаты и для банкоматов.
Уровень техники
При установке защищенного терминала или после операции обслуживания на защищенном терминале (которая предполагает деактивацию терминала) необходимо проверить целостность терминала перед активацией или реактивацией терминала.
Для обеспечения защиты терминала его активацию должны производить два разных оператора в соответствии с положениями нормы PED PCI. Недостатком этой двойной активации является необходимость присутствия двух операторов в месте, где установлен терминал.
Настоящее изобретение призвано предложить способ и соответствующие средства, обеспечивающие двойную активацию терминала и требующие присутствия только одного оператора в месте нахождения терминала.
Сущность изобретения
В этой связи объектом изобретения является способ активации терминала оператором, при этом активация терминала позволяет производить защищенный обмен информацией между терминалом и защищенным сервером, отличающийся тем, что содержит следующие этапы для терминала:
- получение первой информации активации от оператора,
- получение второй информации активации от полномочного сервера,
- использование первой и второй информаций активации для активации терминала.
Таким образом, активация терминала требует получения двух информаций активации от двух разных объектов: первая и вторая информации дополняют друг друга и вместе обеспечивают активацию терминала. Иначе говоря, получение только одной из двух информаций активации не позволяет активировать терминал: необходимо, чтобы терминал получил также вторую из двух информаций.
В рамках настоящего изобретения термин «активация терминала» обозначает приведение терминала в операционное состояние.
Защищенный сервер является, например, банковским сервером, а терминал является платежным терминалом.
Способ в соответствии с настоящим изобретением позволяет произвести двойную активацию терминала, для чего требуется присутствие только одного физического лица на месте, где находится активируемый терминал, а удаленный полномочный сервер выполняет функцию виртуального оператора.
Способ активации в соответствии с настоящим изобретением характеризуется также следующими предпочтительными, но не ограничительными отличительными признаками:
- первая и вторая информации активации являются зашифрованными, при этом способ содержит следующий этап для терминала:
- дешифрование первой и второй зашифрованных информаций активации с использованием, по меньшей мере, одного шифровального ключа, присвоенного терминалу и хранящегося в памяти терминала.
Это позволяет избежать незаконного использования третьим лицом информаций активации, обмениваемых между терминалом, оператором и полномочным сервером.
Способ содержит также следующие этапы для терминала:
- на полномочный сервер направляют идентификатор оператора, присвоенный оператору, и идентификатор терминала, присвоенный терминалу,
для полномочного сервера:
- в зависимости от идентификаторов оператора и терминала, полученных от терминала, проверяют, полномочен ли оператор активировать терминал и разрешена ли активация терминала, при этом на терминал направляется вторая информация, если оператор полномочен активировать терминал и если активация терминала разрешена,
- способ содержит также следующие этапы:
для полномочного сервера:
- поиск в базе данных нескольких шифровальных ключей, присвоенных терминалу,
- создание второй информации активации в зависимости от информации активации в базе данных,
- шифрование второй информации активации с использованием шифровального ключа, присвоенного терминалу,
- передача зашифрованной второй информации активации в терминал,
для терминала:
- дешифрование зашифрованной второй информации активации с использованием шифровального ключа, присвоенного терминалу и хранящегося в памяти терминала,
- способ содержит также следующий этап для терминала:
- передача на полномочный сервер датировки, используемой произвольно во время этапа шифрования второй информации активации,
- кроме того, способ содержит следующий этап для полномочного сервера:
- запись в базу данных идентификатора терминала, идентификатора оператора и момента обращения к терминалу.
Идентификатор оператора содержит индивидуальный номер оператора, записанный на средстве активации, содержащем первую информацию активации,
- идентификатор оператора содержит также персональный идентификационный номер, предназначенный для введения в терминал, при этом персональный идентификационный номер связан с номером оператора,
- способ содержит этап, на котором проверяют, идентичен ли номер, введенный оператором в терминал, персональному идентификационному номеру, связанному с номером оператора.
Объектом изобретения является также сервер, выполненный с возможностью применения описанного выше способа.
Объектом изобретения является также терминал, выполненный с возможностью применения описанного выше способа.
Краткое описание чертежей
Другие отличительные признаки, цели и преимущества настоящего изобретения будут более очевидны из нижеследующего описания, представленного в качестве неограничительного примера, со ссылками на прилагаемые чертежи, на которых:
Фиг.1 - различные обмены между средствами, обеспечивающими осуществление способа.
Фиг.2 - схема этапов, применяемых в варианте выполнения способа.
Подробное описание изобретения
На фиг.1 и 2 показаны средства для применения варианта выполнения способа в соответствии с настоящим изобретением и этапы варианта выполнения способа в соответствии с настоящим изобретением.
Этими средствами являются производственный центр 1, оператор 2, полномочный центр 3 и, по меньшей мере, один терминал 4.
Производственный центр 1 является местом изготовления терминалов. Производственный центр 1 занимается также поставкой изготовленных терминалов в места, для которых предназначены эти терминалы.
Оператор 2 является физическим лицом, имеющим право доступа к терминалам. Оператор 2 приезжает на места, где установлены терминалы, чтобы проверять целостность этих терминалов. Оператор 2 является одним из двух участников, необходимых для двойной активации терминала 4.
Полномочный сервер 3 является объектом, предоставляющим полномочия операторам 2. Полномочный сервер 3 направляет оператору 2 средства, позволяющие оператору 2 идентифицировать себя, и средства, необходимые для активации терминала 4. Полномочный сервер 3 проверяет также информации, полученные от активируемого терминала 4. Полномочный сервер 3 является вторым из двух участников, необходимых для двойной активации терминала 4.
Терминал 4 является защищенным периферийным устройством, содержащим шифровальный ключ или шифровальные ключи 5, которые хранятся в памяти терминала 4 и которые позволяют производить шифрование передаваемой информации или дешифрование зашифрованной информации, получаемой терминалом. Терминал предназначен для обмена данными с защищенным сервером (не показан) после активации, то есть когда терминал готов принимать конфиденциальные данные от защищенных серверов. Терминал является, например, платежным терминалом, а защищенный сервер является банковским сервером.
Способ активации терминала содержит следующие этапы.
Для активации терминала 4 уполномоченный оператор 2 отправляется на место, где находится терминал 4 (или терминал доставляется на место, где находится оператор 2).
После проверки целостности терминала 4 уполномоченным оператором 2 осуществляют способ активации.
На этапе 10 способа активации терминала 4 оператор 2 производит свою идентификацию для терминала 4. Для этого он вводит в терминал 4 персональный идентификатор оператора, который предварительно был ему присвоен полномочным сервером 3.
Идентификатор оператора является специфическим для каждого оператора 2: иначе говоря, два разных оператора 2 не могут иметь одинаковый идентификатор оператора. Это позволяет отличать уполномоченных операторов 2 друг от друга и идентифицировать оператора 2, производящего работы на терминале 4, среди всех уполномоченных операторов 2.
В варианте выполнения идентификатор оператора содержит индивидуальный персональный номер 11 оператора, хранящийся в средстве активации терминала 4. Средством активации терминала 4 является, например, электронная карточка 13, предназначенная для введения в терминал 4.
Этот номер 11 оператора, записанный на электронной карточке 13, может быть связан с персональным идентификационным номером 12 (PIN-код), который оператор 2 должен набрать на клавиатуре (не показана) терминала 4.
Тот факт, что идентификация оператора 2 требует введения электронной карточки 13 и введения персонального идентификационного номера 12 в терминал 4, снижает риск вмешательства третьего лица, которое могло бы действовать вместо оператора 2 в случае утери или кражи электронной карточки 13. О любой пропаже или краже электронной карточки 13 сообщается в полномочный центр 3 с целью блокировки электронной карточки 13 на полномочном сервере 3.
В случае когда идентификатор оператора содержит номер 11 оператора, записанный в электронной карточке 13, и персональный идентификационный номер 12, вводимый с клавиатуры терминала 4, терминал 4 проверяет, чтобы обе части идентификатора оператора соответствовали друг другу.
В случае когда оператор 2 набирает три раза персональный идентификационный номер ошибочно (то есть если код, введенный с клавиатуры терминала, отличается от PIN-кода, связанного с электронной карточкой), может быть активирована, например, функция блокировки электронной карточки 13 оператора 2.
На другом этапе 10' способа активации оператор 2 вводит в терминал 4 первую информацию 14 активации. Факультативно, первую информацию 14 активации шифруют с использованием присвоенного(ых) шифровального ключа (шифровальных ключей), хранящегося(ихся) в памяти терминала 4. Терминал записывает в память первую информацию активации.
Введение в терминал 4 идентификатора оператора и первой информации 14 активации может быть осуществлено одновременно или последовательно.
В варианте выполнения первая информация 14 активации записана на электронной карточке 13 оператора 2.
На другом этапе 20 способа терминал 4 передает на полномочный сервер 3 идентификатор оператора (и, в частности, номер 11 оператора, записанный на электронной карточке 13).
Терминал 4 передает 20' также на полномочный сервер 3 соответствующий идентификатор 15 терминала, который хранится в памяти терминала 4.
Идентификатор 15 терминала является специфическим для каждого терминала 4: иначе говоря, два разных терминала 4 не могут иметь одинаковый идентификатор терминала. Это позволяет отличать терминалы 4 друг от друга.
В варианте выполнения идентификатор 15 терминала содержит индивидуальный серийный номер.
В варианте выполнения терминал 4 передает 20" также на полномочный сервер 3 датировку 16, которая содержит, например, год, месяц, день и время, соответствующие моменту обращения оператора 2 к терминалу 4.
Передачи 20, 20', 20'' идентификатора оператора, идентификатора терминала и датировки могут осуществляться одновременно или последовательно.
На другом этапе способа полномочный сервер 3 принимает идентификатор оператора, идентификатор терминала и датировку и проверяет эти информации.
Полномочный сервер 3 убеждается 30, что оператор 2 имеет право производить операцию на терминале 4. Для этого полномочный сервер 3 проверяет базу 6 данных, в которой хранятся данные, связанные с полномочиями оператора 2.
В варианте выполнения полномочный сервер 3 записывает 40 в базу данных данные 6 об информации, связанной с текущей операцией. Например, полномочный сервер 3 записывает в базу 6 данных датировку 16, переданную терминалом 4, идентификатор терминала и идентификатор оператора 2. Это позволяет отслеживать операции, производимые на терминале 4.
Полномочный сервер 3 создает также вторую информацию 17 активации, относящуюся к терминалу, в зависимости от данных, хранящихся в базе 6 данных.
Если оператор 2 имеет полномочия на активацию терминала 4 и терминал 4 находится в операционном состоянии, полномочный сервер 3 передает 50 на терминал 4 вторую информацию 17 активации.
Факультативно, полномочный сервер 3 может зашифровать вторую информацию 17 активации, например, используя шифровальный или шифровальные ключи, присвоенные терминалу, которые могут быть предварительно введены в базу 6 данных. Шифрование второй информации 17 активации с использованием шифровального(ых) ключа(ей), присвоенного(ых) терминалу, может зависеть от:
- идентификатора оператора,
- идентификатора терминала,
- датировки.
Во время шифрования датировка используется произвольно.
На другом этапе способа терминал 4 получает вторую информацию активации.
В случае когда первая и вторая информации активации зашифрованы, терминал 4 дешифрует 60 зашифрованные первую и вторую информации активации, используя шифровальный ключ или шифровальные ключи, присвоенный(ые) терминалу.
Для дешифрования второй информации активации терминал использует датировку, идентификаторы оператора и терминала, а также шифровальный ключ или шифровальные ключи, присвоенный(ые) терминалу и хранящийся(еся) в памяти терминала. Действительно, датировка, идентификатор оператора и терминала известны терминалу 4, который передал их на полномочный сервер 3.
После получения второй информации 17 активации (и дешифрования первой и второй информации активации) терминал готов 4 принимать конфиденциальные данные, обмениваемые с защищенными серверами: терминал 4 активирован.
Таким образом, способ в соответствии с настоящим изобретением обеспечивает двойную активацию терминала 4, причем эта двойная активация требует присутствия только одного оператора 2 на месте нахождения терминала 4.
Перед применением способа активации осуществляют два способа:
- способ создания терминала,
- способ наделения оператора полномочиями.
Далее со ссылками на фиг.2 следует описание примеров способов создания терминала и наделения полномочиями оператора.
Способ создания терминала содержит следующие этапы.
На одном этапе способа создания терминалов производственный центр 1 изготавливает терминал 4 и присваивает ему идентификатор 15 терминала. Идентификатор 15 терминала записывается в память терминала 4.
На другом этапе способа создания терминалов производственный центр 1 получает от полномочного сервера 3 набор шифровальных ключей, генерированных полномочным сервером 3.
Шифровальные ключи являются, например, шифровальными ключами 3DES. Разумеется, способ в соответствии с настоящим изобретением не ограничивается этим примером шифровальных ключей 3DES, шифровальные ключи могут быть ключами RSA или ключами любого другого типа, известного специалисту, при этом выбор типа ключей зависит от используемого алгоритма шифрования.
На другом этапе способа создания терминала производственный центр 1 выбирает шифровальный ключ или шифровальные ключи, которые он присваивает созданному терминалу 4 и которые он выбрал из набора шифровальных ключей, полученного от полномочного сервера 3.
На другом этапе способа создания терминала производственный центр 1 записывает в защищенную память терминала 4 шифровальный ключ или шифровальные ключи 5, выбранный(ые) для терминала 4.
На другом этапе 80 способа создания терминала производственный центр 1 передает на полномочный сервер 3 идентификатор 15 терминала. Производственный центр 1 передает также шифровальный ключ или шифровальные ключи 5, присвоенный(ые) терминалу 4.
На другом этапе способа создания терминала полномочный сервер 3 получает шифровальный ключ или шифровальные ключи 5, присвоенный(ые) терминалу 4, и идентификатор терминала.
Полномочный сервер 3 записывает в базу 6 данных идентификатор 15 терминала и шифровальный ключ или шифровальные ключи 5, присвоенный(ые) терминалу 4, таким образом, чтобы полномочный сервер 3 мог найти шифровальный ключ или шифровальные ключи 5, присвоенный(ые) терминалу 4, в зависимости от идентификатора 15 терминала.
Кроме того, тот факт, что шифровальный ключ или шифровальные ключи 5 записан(ы) в терминале 4 и в полномочном сервере 3, обеспечивает обмен зашифрованными данными между терминалом 4 и полномочным сервером 3, в частности, во время передачи второй информации 17 активации.
На другом этапе 90 способа создания терминала производственный центр 1 доставляет терминалы в места, для которых эти терминалы предназначены.
После этого терминалы могут быть активированы при помощи описанного выше способа активации.
Способ наделения полномочиями оператора 2 содержит следующие этапы.
На одном этапе способа наделения полномочиями полномочный сервер 3 передает оператору 2 идентификатор оператора, который позволяет ему идентифицировать себя в активируемом терминале 4.
Как было указано выше, этот идентификатор может содержать:
- номер оператора, записанный на электронной карточке, предназначенной для введения в терминал 4 оператором 2 на этапе описанного выше способа активации,
- персональный идентификационный номер, связанный с номером оператора, который оператор 2 должен ввести в терминал 4 с клавиатуры.
Передача электронной карточки, на которой записан номер оператора, и соответствующего персонального идентификационного номера может быть осуществлена в два приема:
- электронная карточка передается оператору 2 при первой поставке 100,
- персональный идентификационный номер передается оператору 2 при второй поставке 110.
Это позволяет ограничить риск перехвата одной из поставок 100, 110 третьим лицом, которое может получить все данные, обеспечивающие идентификацию уполномоченного оператора 2. Таким образом, ограничивается возможность действия третьего лица вместо оператора 2.
Преимуществом изобретения является то, что общий обмен сообщением, позволяющий активировать активацию терминала при помощи:
- первой информации активации, и
- второй информации активации,
может быть осуществлен полномочным сервером, который записывает в базу данных только вторую информацию активации, поскольку первая информация активации записана на электронной карточке оператора (после ее шифрования с использованием шифровального(ых) ключа(ей), присвоенного(ых) терминалу, в вариантах выполнения, в которых осуществляют такое шифрование первой информации активации).
Таким образом, различные варианты выполнения способа в соответствии с настоящим изобретением имеют следующие преимущества:
- операторы 2, осуществляющие операции на терминалах, могут быть идентифицированы благодаря тому, что им присвоен индивидуальный персональный идентификационный номер,
- оператор 2 не может активировать терминал самостоятельно, так как эта активация требует получения терминалом 4 двух информаций активации, а оператор 2 обладает только одной из этих двух информаций,
- потеря средства активации оператором 2 (то есть, например, электронной карточки) не дает возможности третьему лицу действовать вместо уполномоченного оператора 2, поскольку идентификация оператора 2 требует введения в терминал 4 персонального идентификационного номера,
- операции, производимые на терминале 4, можно отслеживать в вариантах выполнения, когда полномочный сервер 3 записывает в базу данных идентификатор оператора, идентификатор терминала и датировку, соответствующую моменту операции,
- запись операций, осуществленных на терминале 4, централизована в базе данных полномочного сервера 3, что облегчает отслеживание операций, осуществляемых на всех терминалах, а также контроль за возможными неправильными действиями оператора 2,
- шифрование первой и второй информаций активации позволяет предупредить перехват этих информаций третьим лицом и их использование для незаконной активации терминала или других терминалов.
Обозначения
10 идентификация оператора в терминале
10' передача оператором первой информации активации на терминал
20 передача терминалом идентификатора оператора на полномочный сервер
20' передача терминалом идентификатора терминала на полномочный сервер
20'' передача терминалом датировки на полномочный сервер
30 проверка полномочным сервером наличия полномочий у оператора
30' проверка полномочным сервером возможности эксплуатации терминала
40 запись полномочным сервером информации, связанной с текущим вмешательством
50 шифрование полномочным сервером второй информации активации
60 передача полномочным сервером второй информации активации
70 дешифрование терминалом зашифрованной второй информации активации
Класс H04L9/08 с ключевым распределением