在用于银行业务交易的电子系统中用于用户身份的安全认证的系统技术方案

在用于银行业务交易的电子系统中用于对用户身份进行安全认证的系统，所述系统包括至少一个经受所述安全认证的第一用户装置，以及与彼此和与所述第一装置双向通信的一个或多个其他装置，特征在于：所述第一装置(α)和属于所述一个或多个其他装置的第二装置(β)包括生成由任何数量的数位组成的随机数(M1)的平等系统，所述随机数(M1)分别被划分为第一部分和第二部分(SGN，CSGN)，第一部分和第二部分(SGN，CSGN)是互补的并且是所述随机数(M1)的子集；所述第一装置(α)包括用于通过所述生成系统生成所述第一部分(SGN)并将其发送到所述第二装置(β)的单元；所述第二装置(β)包括用于通过所述生成系统经由所述随机数(M1)中的一个或多个的生成来生成所述第二部分(CSGN)的单元，每个随机数的特征在于对应的第一部分(SGN')，以及用于比较由此生成的所述对应的第一部分(SGN')与从所述第一装置(α)接收的所述第一部分(SGN)、确定与对应的第一部分(SGN')相关联的所述第二部分(CSGN)等于接收到的第一部分(SGN)的单元，以及用于将所述第二部分(CSGN)发送到所述第一装置(α)从而获得与所述第一装置相关联的用户身份的所述安全认证的单元。

【技术实现步骤摘要】
【国外来华专利技术】在用于银行业务交易的电子系统中用于用户身份的安全认证的系统
本专利技术涉及一种实现用户认证方法的系统，该系统可以替代或补充当前正在使用的系统，并且可以由自动取款机和支付系统通过其操作的银行间网络使用，更具体而言，本专利技术涉及一种在用于银行业务交易的电子系统中用于用户身份的安全认证的系统。
技术介绍
就安全性而言，相比于进行支付的人，银行和信用卡电路目前使用的支付系统实际上为接收支付的经济运营商提供了更好的保护。这是由于几种原因，最重要的一个原因与以下事实相关：接收支付的经济运营商是商业公司，为了使用电子支付服务(即，POS)，商业公司向自己的银行支付固定费用和可变费用；因此需要确保服务(因而，实际支付)的最高可能的安全性级别。在大多数情况下，此类运营商受益的支付通过POS系统和服务发生。POS(销售点)既指电子设备，也指相关联的银行业务服务，它允许卖方直接在其银行账户上接受和兑现借助于电子货币(即，信用卡、借记卡和预付卡(下文中将此类信用卡、借记卡和预付卡统称为“支付卡”))从债务人客户进行的电子支付。已知几种情况，其中，由于POS系统或设备非常缺乏安全性，进行支付的用户遭受未经授权从其自己的支付卡提款的情况。同样，支付卡克隆和从ATM虚假现金提取的现象扩大了非法使用支付卡的问题。大多数利用创新过程和技术来确保交易安全性的支付系统都基于POS原理，即，向第三方传送进行支付的用户的卡和PIN(个人标识码，即，为了授权通过销售点处使用的设备的交易以进行支付而使用的秘密数)的数据。例如，在专利US8763142B2(令牌化支付处理方案)中，使用令牌代替正常支付卡号来进行支付。令牌被传送到卖主的计算机化终端并被用作信用卡号的替代品。由于令牌与对应的支付卡号之间缺乏相关性，从而保证了这种系统的安全性。在远程支付的情况下，这种系统遭受来自潜在消息拦截者的答复攻击的典型漏洞：任何拦截具有令牌的消息的人都可以使用令牌以自己的喜好完成交易，而不必更改大多数消息数据；实际上，他将能够生成与服务提供商的独立交易，并且服务提供商将像他是正常卖方一样进行支付。其它系统(诸如例如US2014297537中所述的系统)允许卖方或一般而言，第三方，取得支付方的机密数据的访问。这种访问可能性削弱了对支付方及其数据的安全性的任何保证，这可能成为恶意用户攻击的目标。已经提出了其它系统，其中支付方的数据永远不能被第三方访问，例如在专利US8,720,771B2中描述的那样，其中支付方通过与支付系统的服务器交互来支付，该服务器向支付方返回唯一代码，支付方必须将其展示给卖方/债权人。该系统不能完全保证卖方或一般而言，必须接收支付的人，尤其是在远程销售中，其中唯一代码需要被传输给卖方。专利US8,720,771B2的另一个缺点是卖方必须认证支付系统，以便确保接收到的唯一代码是在实际支付时生成的；与模仿支付服务器的恶意服务器的任何交互都可能导致无法向供应商支付。缺乏实际已经支付的担保是已针对此问题提出的许多专利的限制(例如，参见欧洲专利申请EP2702572-A1)，这些专利没有借助于健壮的系统确保向卖方或债权人证明已实际接收到支付。其它基于移动设备使用的支付系统提出了对终端的一些修改，以使其实际上类似于POS，但是它需要能够以某种方式读取支付卡；需要对用户终端的硬件部分进行的对移动终端的修改阻碍了这种解决方案的普及，就像专利US8,606,711中描述的那样。同样，专利US9092777B1(信用卡令牌化技术)也用卖方用于开始支付交易的令牌替换信用卡号。其它专利，诸如例如专利US2017/0093811，试图将必须保密的部分(例如随机数或，一般而言，“秘密”)细分成N份。因此，专利US2017/0093811遵循阿迪·沙米尔(AdiShamir)的理论，根据该理论，知道一定数量的K份就足以能够重建秘密，其中K小于数字已被细分成的N份。实际上，在专利US2017/0093811中，K份是通过K条不同的路径发送的，这是基于潜在的攻击将无法截获所有K条路径的事实。如果攻击者成功做到这一点，那么他实际上将能够重建“秘密”。如将关于本文给出的本专利技术所解释的那样，攻击者没有理论上已知的手段来仅从他可能已经截获的一部分开始重建整个随机数或“秘密”。无论如何，在本专利技术中将不采用上述阿迪·沙米尔的理论。
技术实现思路
因此，本专利技术的目的是提出一种用于在用于银行业务交易的电子系统中用于用户身份的安全认证的系统，该系统可以克服所有上面提到的缺点。本专利技术涉及一种在用于银行业务交易的电子系统中用于用户身份的安全认证的系统，所述系统包括至少一个经受所述安全认证的第一用户装置，以及与彼此和与所述第一装置进行双向通信的一个或多个其他装置，其特征在于：-所述第一装置和属于所述一个或多个其他装置的第二装置包括生成由任何数量的数位(digit)组成的随机数的平等系统，所述随机数分别被划分为第一部分和第二部分，它们是互补的并且是所述随机数的子集；-所述第一装置包括用于通过所述生成系统生成所述第一部分并将其发送到所述第二装置的单元；-所述第二装置包括用于通过所述生成系统经由所述随机数中的一个或多个的生成来生成所述第二部分的单元，每个所述随机数的特征在于对应的第一部分，以及用于将由此生成的所述对应的第一部分与从所述第一装置接收到的所述第一部分进行比较、确定与对应的第一部分相关联的所述第二部分等于接收到的第一部分的单元，以及用于将所述第二部分发送到所述第一装置从而获得与所述第一装置相关联的用户身份的安全认证的单元。本专利技术的另一个目的是提供一种用于银行业务交易的电子系统，该电子系统包括所述用于用户身份的安全认证的系统。本专利技术的另一个目的是提供一种用于银行业务交易的用户终端，该用户终端包括所述用于用户身份的安全认证的系统。本专利技术的一个特定目的是提供一种如权利要求中阐述的用于在用于银行业务交易的电子系统中的用户身份的安全认证的系统，其中权利要求是本描述的组成部分。附图说明通过参考附图对本专利技术的优选实施例(及其变型)的以下详细描述，本专利技术的另外的目的和优点将变得清楚，所述附图仅以非限制性示例的方式提供，其中：图1至4示出了由根据本专利技术的用于用户身份的安全认证的系统所执行的步骤序列的一些变型；图5至9和17、18示出了在通用终端上应用所述步骤序列的一些变型。图10至13示出了在银行业务终端上应用所述步骤序列的一些变型。图14至16示出了所述步骤序列的一些操作流程图。在附图中，相同的附图标记和字母识别相同的项或部件。具体实施方式本专利技术涉及用于用户身份的安全认证的系统，该系统使用一系列高安全性过程(或算法)来进行可通过便携式或固定设备(诸如智能电话、智能卡、个人计算机等)实现的现金支付或提款。本专利技术提供的优点是，它保证收款人(以下被称为卖方或债权人)的交易，并为支付方提供了更好的安全性。本专利技术将本文档来自技高网...

【技术保护点】
1.一种在用于银行业务交易的电子系统中用于用户身份的安全认证的系统，所述系统包括经受所述安全认证的至少一个第一用户装置以及与彼此和与所述第一装置双向通信的一个或多个其他装置，其特征在于：/n-所述第一装置(α)和属于所述一个或多个其他装置的第二装置(β)包括生成由任何数量的数位组成的随机数(M1)的平等系统，所述随机数(M1)分别被划分为第一部分和第二部分(SGN，CSGN)，所述第一部分和所述第二部分是互补的并且是所述随机数(M1)的子集；/n-所述第一装置(α)包括用于通过所述生成系统生成所述第一部分(SGN)并将其发送到所述第二装置(β)的单元；/n-所述第二装置(β)包括：用于通过所述生成系统经由所述随机数(M1)中的一个或多个的生成来生成所述第二部分(CSGN)的单元；每个随机数的特征在于对应的第一部分(SGN')；用于比较这样生成的所述对应的第一部分(SGN')与从所述第一装置(α)接收的所述第一部分(SGN)、确定与等于接收到的第一部分(SGN)的对应的第一部分(SGN')相关联的所述第二部分(CSGN)的单元；以及用于将所述第二部分(CSGN)发送到所述第一装置(a)从而获得与所述第一装置相关联的用户身份的安全认证的单元。/n...

【技术特征摘要】
【国外来华专利技术】20170728 IT 1020170000872331.一种在用于银行业务交易的电子系统中用于用户身份的安全认证的系统，所述系统包括经受所述安全认证的至少一个第一用户装置以及与彼此和与所述第一装置双向通信的一个或多个其他装置，其特征在于：
-所述第一装置(α)和属于所述一个或多个其他装置的第二装置(β)包括生成由任何数量的数位组成的随机数(M1)的平等系统，所述随机数(M1)分别被划分为第一部分和第二部分(SGN，CSGN)，所述第一部分和所述第二部分是互补的并且是所述随机数(M1)的子集；
-所述第一装置(α)包括用于通过所述生成系统生成所述第一部分(SGN)并将其发送到所述第二装置(β)的单元；
-所述第二装置(β)包括：用于通过所述生成系统经由所述随机数(M1)中的一个或多个的生成来生成所述第二部分(CSGN)的单元；每个随机数的特征在于对应的第一部分(SGN')；用于比较这样生成的所述对应的第一部分(SGN')与从所述第一装置(α)接收的所述第一部分(SGN)、确定与等于接收到的第一部分(SGN)的对应的第一部分(SGN')相关联的所述第二部分(CSGN)的单元；以及用于将所述第二部分(CSGN)发送到所述第一装置(a)从而获得与所述第一装置相关联的用户身份的安全认证的单元。


2.如权利要求1所述的用于安全认证的系统，其中所述生成随机数(M1)的系统还包括用于接收随机代码(PON)并将其发送到所述第二装置(β)的单元，所述随机代码(PON)在每次银行业务交易时是可变的并且适合与所述随机数(M1)组合。


3.如权利要求1所述的用于安全认证的系统，其中所述生成随机数(M1)的系统包括：
-用于生成在0和0.4之间的伪随机数(A)并用于利用所述伪随机数(A)确定在3.6和4之间的数Kn的单元；
-用于迭代地计算表达式Xn+1＝K*Xn*(1-Xn)的单元，其中Xn的初始值在0和1之间；
-用于迭代地计算(Xn+1)的一个或多个密码学不可逆变换函数(Ash)直到确定所述随机数(M1)的单元。


4.如权利要求3所述的用于安全认证的系统，其中所述生成随机数(M1)的系统还包括：
-用于接收随机代码(PON)、将其规范化为0和1之间的值并将其发送到所述第二装置(β)的单元，所述随机代码(PON)在每次银行业务交易时是可变的；
-用于计算所述规范化的随机代码(PON)与所述表达式Xn+1＝K*Xn*(1-Xn)之间的逻辑组合的单元。


5.如权利要求1所述的用于安全认证的系统，其中所述生成随机数(M1)的系统包括：
-用于生成伪随机数(A)并用于获得所述伪随机数(A)与特定于用户的秘密数(U1)之和(N1)的单元；
-用于迭代地计算所述和(N1)的一个或多个密码学不可逆变换函数(Ash)直到确定所述随机数(M1)的单元。


6.如权利要求1所述的用于安全认证的系统，其中所述生成随机数(M1)的系统包括：
-用于接收随机代码(PON)并用于获得所述随机代码(PON)与特定于用户的秘密数(U1)之和(N1)的单元；
-用于生成伪随机数(A)的单元；
-用于计算所述和(N1)与所述伪随机数(A)之间的逻辑组合的单元；
-用于迭代地计算所述逻辑组合的一个或多个密码学不可逆变换函数(Ash)...

【专利技术属性】
技术研发人员：A·卡普泽洛，
申请(专利权)人：克鲁普特亚有限责任公司，
类型：发明
国别省市：意大利;IT