Способ обнаружения несанкционированного доступа к программному обеспечению и оповещения о нем

ПЕРЕКРЕСТНАЯ ССЫЛКА НА РОДСТВЕННУЮ ЗАЯВКУ

[0001] Эта заявка притязает на приоритет предварительной заявки на патент США № 62/095310, поданной 22 декабря 2014 года, которая включена в данный документ с помощью ссылки во всей своей полноте.

ПРЕДПОСЫЛКИ ИЗОБРЕТЕНИЯ

[0002] Поставщики мобильных приложений сталкиваются с угрозой, с которой не сталкиваются традиционные веб-приложения. Взломщик может декомпилировать мобильное приложение, чтобы раскрыть весь исходный код.

[0003] В некоторых случаях для затруднения понимания исходного кода могут быть применены методы двоичной защиты, и элементы могут быть использованы для идентификации атак по раскрытию исходного кода. Такие элементы предоставляет компания Arxan Technologies, Inc. Когда элемент определяет атаку по раскрытию исходного кода, элемент может уведомлять удаленный сервер по беспроводной связи (например, по сотовой сети), что произошла атака. Хотя эта технология и является полезной, взломщики могут закрыть информационное соединение по сотовой сети к телефону, тем самым предотвращая оповещение об атаках.

[0004] Варианты осуществления настоящего изобретения устраняют эти и другие недостатки по отдельности и вместе.

СУЩНОСТЬ ИЗОБРЕТЕНИЯ

[0005] Варианты осуществления настоящего изобретения относятся к способам и системам обнаружения несанкционированного доступа к программному обеспечению.

[0006] Один вариант осуществления настоящего изобретения относится к способу, включающему (a) определение программным приложением безопасности на устройстве связи осуществления доступа к устройству связи неуполномоченным пользователем, при этом устройство связи выполнено с возможностью осуществления связи с телекоммуникационной сетью беспроводным способом по первому каналу связи; (b) генерирование устройством связи данных уведомления о безопасности в ответ на этап (a); и (c) предоставление устройством связи данных уведомления о безопасности или производных данных из данных уведомления о безопасности на главный компьютер по второму каналу связи.

[0007] Другой вариант осуществления настоящего изобретения относится к устройству связи, содержащему процессор и машиночитаемый носитель, соединенный с процессором, при этом машиночитаемый носитель содержит код, исполняемый процессором для осуществления способа, включающего: (a) определение осуществления доступа к устройству связи неуполномоченным пользователем, при этом устройство связи выполнено с возможностью осуществления связи с телекоммуникационной сетью беспроводным способом по первому каналу связи; (b) генерирование данных уведомления о безопасности в ответ на этап (a); и (c) предоставление данных уведомления о безопасности или производных данных из данных уведомления о безопасности на главный компьютер по второму каналу связи.

[0008] Эти и другие варианты осуществления настоящего изобретения более подробно описаны ниже.

КРАТКОЕ ОПИСАНИЕ ГРАФИЧЕСКИХ МАТЕРИАЛОВ

[0009] Фиг. 1 представляет собой структурную схему системы согласно одному варианту осуществления настоящего изобретения.

[0010] Фиг. 2 представляет собой структурную схему, иллюстрирующую некоторые компоненты удаленного серверного компьютера безопасности согласно одному варианту осуществления настоящего изобретения.

[0011] Фиг. 3A представляет собой структурную схему, иллюстрирующую некоторые компоненты портативного устройства связи согласно одному варианту осуществления настоящего изобретения.

[0012] Фиг. 3B представляет собой структурную схему, иллюстрирующую некоторые компоненты модулей элемента безопасности согласно одному варианту осуществления настоящего изобретения.

[0013] Фиг. 4 представляет собой структурную схему, иллюстрирующую некоторые компоненты сети обработки платежей согласно одному варианту осуществления настоящего изобретения.

[0014] Фиг. 5A представляет собой функциональную схему, иллюстрирующую способ согласно одному варианту осуществления настоящего изобретения.

[0015] Фиг. 5B представляет собой функциональную схему, иллюстрирующую способ согласно другому варианту осуществления настоящего изобретения.

[0016] Фиг. 6 представляет собой блок-схему, иллюстрирующую систему и способ для осуществления связи между портативным устройством связи и устройством доступа согласно одному варианту осуществления настоящего изобретения.

[0017] Фиг. 7 представляет собой структурную схему системы доступа к зданию согласно одному варианту осуществления настоящего изобретения.

[0018] Фиг. 8 представляет собой структурную схему вычислительного устройства согласно одному варианту осуществления настоящего изобретения.

ПОДРОБНОЕ ОПИСАНИЕ ИЗОБРЕТЕНИЯ

[0019] Перед обсуждением деталей некоторых вариантов осуществления настоящего изобретения для понимания различных вариантов осуществления может быть полезным описание некоторых терминов.

[0020] «Устройство связи» может представлять собой устройство, которое выполнено с возможностью осуществления связи и являющееся стационарным или портативным.

[0021] «Портативное устройство связи» может представлять собой портативное устройство, которое может переносить и эксплуатировать пользователь и которое может содержать один или более электронных компонентов (например, интегральную микросхему). Портативное устройство связи может обеспечивать возможности удаленной связи c сетью. Портативное устройство связи может быть выполнено с возможностью передачи и приема данных или сообщений на другие устройства и от них. Портативное устройство связи может иметь вид мобильного устройства, такого как мобильный телефон (например, смартфон, сотовый телефон и т. д.), планшетных устройств, портативного медиа-проигрывателя, устройств персональных цифровых помощников (PDA), носимых вычислительных устройств (например, часов), электронного устройства считывания и т. д., или вид карты (например, смарт-карты) или брелока, транспортных средств, таких как автомобили, и т. д. Примеры портативных устройств связи могут также включать портативные вычислительные устройства (например, портативные компьютеры, нетбуки, ультрабуки и т. д.).

[0022] «Серверный компьютер» может включать мощный компьютер или кластер компьютеров. Например, серверный компьютер может представлять собой крупный универсальный компьютер, кластер мини-компьютеров или группу серверов, функционирующих как один элемент. В одном примере серверный компьютер может представлять собой сервер баз данных, подключенный к веб-серверу. Серверный компьютер может быть подключен к базе данных и может содержать любое аппаратное обеспечение, программное обеспечение, другую логическую часть или сочетание предыдущего для обслуживания запросов от одного или более клиентских компьютеров. Серверный компьютер может содержать одно или более вычислительных устройств и может использовать любую из множества вычислительных структур, компоновок и компиляций для обслуживания запросов от одного или более клиентских компьютеров.

[0023] «Эмитент» может, как правило, относиться к субъекту предпринимательства (например, банку), который поддерживает счет для пользователя. Например, эмитент может представлять собой банк, который выдает кредитную карту держателю карты. Эмитент может также выдавать параметры счета, связанные со счетом, на портативное устройство связи. Эмитент может быть связан с главной системой, которая выполняет некоторые или все функции эмитента от имени эмитента.

[0024] «Продавец» может, как правило, представлять собой субъект, который вовлечен в транзакции и может продавать товары или услуги или предоставлять доступ к товарам или услугам.

[0025] «Эквайер» может, как правило, представлять собой субъект предпринимательства (например, коммерческий банк), который имеет коммерческую связь с конкретным продавцом или другим субъектом. Некоторые субъекты могут выполнять функции как эмитента, так и эквайера. Некоторые варианты осуществления могут охватывать такие единые субъекты эмитентов-эквайеров.

[0026] «Устройство доступа» может представлять собой любое подходящее устройство для осуществления связи с компьютером продавца или сетью обработки платежей и для взаимодействия с платежным устройством, вычислительным устройством пользователя и/или мобильным устройством пользователя. Устройство доступа может в целом быть расположено в любом подходящем месте, таком как местоположение продавца. Устройство доступа может иметь любую подходящую форму. Некоторые примеры устройств доступа включают POS-устройства, сотовые телефоны, устройства PDA, персональные компьютеры (PC), планшетные компьютеры, специализированные ручные устройства считывания, приставки, электронные кассовые аппараты (ECR), автоматические кассовые машины (ATM), виртуальные кассовые аппараты (VCR), киоски, системы безопасности, системы доступа, веб-сайты и т. п. Устройство доступа может использовать любой подходящий контактный или бесконтактный режим работы для отправки или приема данных от портативного устройства связи, или связанных с ним данных. В некоторых вариантах осуществления, в которых устройство доступа может содержать POS-терминал, может быть использован любой подходящий POS-терминал, и он может содержать устройство считывания, процессор и машиночитаемый носитель. Устройство считывания может иметь любой подходящий контактный или бесконтактный режим работы. Например, для взаимодействия с портативным устройством связи иллюстративные устройства считывания карт могут содержать радиочастотные (RF) антенны, оптические сканеры, устройства считывания штрих-кодов или устройства считывания магнитных полос.

[0027] «Сообщение с запросом авторизации» может представлять собой электронное сообщение, отправляемое для запроса авторизации для транзакции. Сообщение с запросом авторизации может быть отправлено в сеть обработки платежей и/или эмитенту платежной карты. Сообщение с запросом авторизации согласно некоторым вариантам осуществления может соответствовать ISO 8583, который является стандартом для систем, которые обмениваются информацией электронных транзакций, связанной с платежом, сделанным пользователем с помощью платежного устройства или расчетного счета. Сообщение с запросом авторизации может содержать информацию, которая может быть использована для идентификации счета. Сообщение с запросом авторизации может также содержать дополнительные элементы данных, такие как одно или более из кода услуги, даты завершения срока действия и т. д. Сообщение с запросом авторизации также может содержать информацию транзакции, такую как любая информация, связанная с текущей транзакцией, такую как сумма транзакции, идентификатор продавца, местоположение продавца, и т. д., а также любую другую информацию, которая может быть использована при определении, следует ли идентифицировать и/или авторизовать транзакцию. Сообщение с запросом авторизации также может содержать другую информацию, такую как информация, которая идентифицирует устройство доступа, которое сгенерировало сообщение с запросом авторизации, информация о местоположении устройства доступа и т. д.

[0028] «Сообщение с ответом авторизации» может представлять собой ответ электронным сообщением на сообщение с запросом авторизации. Сообщение с ответом авторизации может быть сгенерировано финансовой организацией-эмитентом или сетью обработки платежей. Сообщение с ответом авторизации может содержать, только в качестве примера, один или более из следующих индикаторов состояния: «одобрение» -транзакция была одобрена; «отклонение» -транзакция не была одобрена; или «вызов центра» -ответ, требующий больше информации, при этом продавец должен позвонить по бесплатному телефонному номеру для авторизации. Сообщение с ответом авторизации также может содержать код авторизации, который может представлять собой код, который выдавший кредитную карту банк возвращает в ответ на сообщение с запросом авторизации в электронном сообщении (или прямо, или через сеть обработки платежей) на компьютер продавца, который обозначает одобрение транзакции. Код может служить подтверждением авторизации. Как указано выше, в некоторых вариантах осуществления сеть обработки платежей может генерировать или направлять сообщение с ответом авторизации продавцу.

[0029] Термин «аутентификация» и его производные могут относиться к процессу, посредством которого удостоверяющие данные конечного участника (включая, но без ограничения, приложения, людей, устройства, процессы и системы) могут быть проверены на подлинность, чтобы гарантировать, что конечный участник является тем, кем представляется.

[0030] Термин «проверка подлинности» и его производные могут относиться к процессу, в котором используется информация для определения того, является ли основной объект действительным при заданном наборе условий. Проверка подлинности может включать любое сравнение информации для подтверждения того, что некоторые данные или информация являются верными, действительными, точными, правомерными и/или отвечающими требованиям.

[0031] «Маркер» может включать заменяющий идентификатор для некоторой информации. Например, платежный маркер может включать идентификатор для расчетного счета, который является заменой идентификатора счета, такого как номер основного счета (PAN). Например, маркер может включать ряд цифробуквенных символов, который может быть использован в качестве замены оригинального идентификатора счета. Например, маркер «4900 0000 0000 0001» может быть использован вместо PAN «4147 0900 0000 1234». В некоторых вариантах осуществления маркер может быть «сохраняющим формат» и может иметь численный формат, который соответствует идентификаторам счетов, используемым в существующих сетях обработки платежей (например, формат сообщения финансовой транзакции ISO 8583). В некоторых вариантах осуществления маркер может быть использован вместо PAN для инициирования, авторизации, проведения или принятия платежной транзакции. Маркер также может быть использован для представления оригинальных удостоверяющих данных в других системах, где обычно предоставлены оригинальные удостоверяющие данные. В некоторых вариантах осуществления значение маркера может быть сгенерировано так, что восстановление оригинального PAN или другого идентификатора счета по значению маркера не может быть произведено вычислительным путем. Кроме того, в некоторых вариантах осуществления формат маркера может иметь такую конфигурацию, чтобы позволять субъекту, принимающему маркер, идентифицировать его как маркер и распознавать субъект, который выдал маркер.

[0032] «Реальный идентификатор счета» может включать оригинальный идентификатор счета, связанный с расчетным счетом. Например, реальный идентификатор счета может представлять собой номер основного счета (PAN), выданный эмитентом для карточного счета (например, кредитной карты, дебетовой карты и т. д.). К примеру, в некоторых вариантах осуществления реальный идентификатор счета может содержать численное значение из шестнадцати знаков, такое как «4147 0900 0000 1234». Первые шесть знаков реального идентификатора счета (например, «414709») могут представлять реальный идентификатор эмитента (BIN), который может идентифицировать эмитента, связанного с реальным идентификатором счета.

[0033] «Параметры счета» могут относиться к информации, связанной со счетом, которая может быть использована для проведения транзакции со счетом. Примеры параметров счета могут включать информацию, которая может быть использована для идентификации счета пользователя (например, реальный идентификатор счета, альтернативный идентификатор счета, маркер и т. д.), данные или информацию, относящуюся к состоянию счета, один или более ключей, которые применяются для генерирования криптографической информации, данные или информацию, относящиеся к одному или более ключам, и т. д. Параметр счета может быть полустатическим или динамическим. Динамический параметр счета может представлять собой параметр счета, который имеет ограниченный срок существования и который после завершения срока действия больше не может быть использован для проведения транзакции, пока параметр счета не будет продлен, обновлен или восстановлен. Динамический параметр счета может быть продлен неоднократно во время срока существования счета. Полустатический параметр счета может представлять собой параметр счета, который имеет удлиненный срок существования, который дольше, чем у динамического параметра счета, и может быть продлен не так часто, как динамический параметр счета, или вовсе не продлен во время срока существования счета.

[0034] «Ключ» может относиться к элементу информации, применяемому в криптографическом алгоритме для преобразования входных данных в другое представление. Криптографический алгоритм может представлять собой алгоритм шифрования, который преобразовывает оригинальные данные в альтернативное представление, или алгоритм дешифрования, который преобразовывает зашифрованную информацию обратно в оригинальные данные. Примеры криптографических алгоритмов могут включать тройной стандарт шифрования данных (TDES), стандарт шифрования данных (DES), улучшенный стандарт шифрования (AES) и т. д.

[0035] «Криптограмма» может относиться к зашифрованному представлению некоторой информации. Криптограмма может быть использована получателем для определения, обладает ли генератор криптограммы правильным ключом, например, путем шифрования основной информации действительным ключом, и сравнения результата с принятой криптограммой. Криптограмму также используют для проверки того, что принятые данные не были взломаны или модифицированы. Если хотя бы один бит данных изменен, то проверка подлинности криптограммы потерпит неудачу.

[0036] «Порог ограниченного использования» может относиться к условию, которое ограничивает использование элемента данных. Порог ограниченного использования может быть превышен или исчерпан при удовлетворении основного условия. Например, порог ограниченного использования может включать время продолжительности существования, которое указывает отрезок времени, в течение которого элемент информации является действительным, и когда этот отрезок времени истекает, порог ограниченного использования превышается или исчерпывается, и элемент информации может становиться недействительным и больше не может быть использован. В качестве другого примера, порог ограниченного использования может включать количество раз, сколько может быть использован элемент информации, и когда элемент информации был использован это количество раз, порог ограниченного использования превышается или исчерпывается, и элемент информации может становиться недействительным и больше не может быть использован.

[0037] «Сеть обработки платежей» может включать сеть, которая может обрабатывать и направлять сообщения с запросом платежа. Иллюстративная сеть обработки платежей может содержать подсистемы, сети и операции обработки данных, применяемые для поддержки и доставки услуг авторизации, услуг стоп-листов, услуг оценки транзакций и услуг клиринга и расчетов. Примером сети обработки платежей может служить VisaNet™. Сети обработки платежей, такие как VisaNet™, могут обрабатывать транзакции кредитных карт, транзакции дебетовых карт и другие типы коммерческих транзакций. VisaNet™, в частности, может относиться к системе VIP (систему комплексных платежей Visa), которая обрабатывает запросы авторизации, и системе Base II, которая выполняет услуги клиринга и расчетов.

[0038] «Модуль элемента безопасности» может быть запрограммирован выполнять определенные задачи (например, вычислять контрольную сумму программного кода) и может работать вместе с приложением или программой безопасности. Примеры модулей элемента безопасности представлены на фиг. 3B и описаны в данном документе. В одном варианте осуществления модуль элемента безопасности представляет собой средство безопасности.

[0039] «Данные уведомления о безопасности» могут включать любую подходящую информацию, которая может уведомлять некоторую сторону о потенциальном или фактическом нарушении безопасности на устройстве связи. Данные уведомления о безопасности могут иметь любую подходящую форму и могут иметь любую подходящую длину. Например, данные уведомления о безопасности могут содержать один или более флагов, указывающих на потенциальное или фактическое нарушение безопасности и на то, какой тип нарушения безопасности произошел или ожидается. Такие флаги могут представлять собой, например, бит, установленный в определенное значение (например, бит, установленный в «1» вместо «0», может указывать на нарушение безопасности, а положение(-ия) «1» в пределах байта может указывать на тип нарушения безопасности). В одном варианте осуществления формат данных уведомления о безопасности может быть закрытым разработчиком программного приложения безопасности, так что данные уведомления о безопасности могут быть интерпретированы только уполномоченными сторонами, а не неуполномоченными пользователями.

[0040] «Производные данные» из данных уведомления о безопасности могут включать любые данные, полученные из данных уведомления о безопасности. В некоторых вариантах осуществления производные данные из данных уведомления о безопасности могут быть в виде данных, которые служат иной цели, например, аутентификации человека или устройства. В некоторых вариантах осуществления производные данные из данных уведомления о безопасности могут представлять собой криптограмму.

[0041] В вариантах осуществления настоящего изобретения информация (сигнал) об изменении программного обеспечения на портативном устройстве связи (например, на телефоне, который был взломан) может образовывать данные уведомления о безопасности. Данные уведомления о безопасности могут присутствовать в стандартных данных платежной транзакции или быть использованы для их получения (например, в данных, используемых в стандартных транзакциях бесконтактных платежей). Например, данные уведомления о безопасности могут быть использованы для получения криптограммы (такой как значение CVV), которую обычно передают в обычных транзакциях кредитных и дебетовых карт. Таким образом, платежный оператор или эмитент, который принимает криптограмму, может определить, что безопасность портативного устройства связи была нарушена (например, оно было взломано). Кроме того, поскольку данные уведомления о безопасности встроены в стандартные данные платежной транзакции, субъект, взломавший портативное устройство связи, не узнает, что какие-либо свидетельства нарушения безопасности были переданы внешнему субъекту, такому как платежный оператор или эмитент.

[0042] В вариантах осуществления настоящего изобретения серверный компьютер безопасности и сеть обработки платежей могут использовать данные уведомления о безопасности для принятия решений по транзакциям; предоставлять оповещения о том, что модуль элемента безопасности на портативном устройстве связи был активирован, и о том, что взломщик или клиент пытался выполнить бесконтактный платеж; оповещения о типе запущенного модуля элемента безопасности; записи этих типов информации независимо от того, имел ли взломщик/клиент защиту данных; и вносить в черный список определенные устройства, регулировать транзакции и т. д. с использованием данных уведомления о безопасности.

[0043] На фиг. 1 представлена система согласно одному варианту осуществления настоящего изобретения. Система содержит удаленный серверный компьютер 20 безопасности и портативное устройство 10 связи (например, мобильный телефон), имеющие связь друг с другом. Портативное устройство 10 связи может быть выполнено с возможностью осуществления связи с телекоммуникационной сетью беспроводным способом по первому каналу связи. Первый канал связи может содержать, например, сотовую телефонную сеть или WiFi. Портативное устройство 10 связи может взаимодействовать с устройством 30 доступа, которым может управлять продавец, по второму каналу связи. Устройство 30 доступа может иметь связь с компьютером 40 эквайера, сетью 50 обработки платежей и компьютером 60 эмитента. Серверный компьютер 20 безопасности может иметь связь с сетью 50 обработки платежей.

[0044] Следует отметить, что блоки, представленные на фиг. 1, представлены с иллюстративными целями, и что в других вариантах осуществления настоящего изобретения определенные блоки могут быть объединены, или функции могут быть выделены в другие вычислительные компоненты. Например, в некоторых вариантах осуществления серверный компьютер 20 безопасности может быть частью сети 50 обработки платежей, и им не нужно существовать в виде отдельных субъектов. Этот вариант осуществления более подробно описан в данном документе в отношении фиг. 5B.

[0045] Между мобильным телефоном 10 и серверным компьютером 20 безопасности, а также между любыми другими подходящими сочетаниями субъектов, представленных на фиг. 1, могут присутствовать сети связи в любом подходящем количестве или любых подходящих типов. Сеть связи может представлять собой любую из и/или сочетание следующего: прямое соединение; Интернет; локальная вычислительная сеть (LAN); городская вычислительная сеть (MAN); рабочие миссии и узлы в Интернет (OMNI); безопасное обычное соединение; региональная вычислительная сеть (WAN); беспроводная сеть (например, применяющая, но без ограничения, такие протоколы, как протокол для беспроводной передачи данных (WAP), I-mode и/или т. п.); и/или т. п.

[0046] На фиг. 1 первый канал 16 связи представлен между серверным компьютером 20 безопасности и портативным устройством 10 связи. Первый канал 16 связи может содержать беспроводную сеть 14.

[0047] Также на фиг. 1 показан второй канал 18 связи, отдельный от первого канала 16 связи. Второй канал 18 связи может быть образован маршрутом связи, включающим по меньшей мере одно или более из портативного устройства 10 связи, устройства 20 доступа, компьютера 40 эквайера, сети 50 обработки платежей и серверного компьютера 20 безопасности. Следует отметить, что всем этим субъектам не обязательно быть включенными во второй маршрут 18 связи. Например, в некоторых вариантах осуществления настоящего изобретения компьютер 40 эквайера может быть исключен из второго маршрута 18 связи. Для выполнения платежной транзакции второй маршрут 18 связи должен быть доступен. Однако первому каналу 16 связи во время платежа не обязательно быть доступным.

[0048] Фиг. 2 представляет собой структурную схему некоторых компонентов в серверном компьютере 20 безопасности согласно одному варианту осуществления настоящего изобретения. Серверный компьютер 20 безопасности может содержать процессор 20A, функционально связанный с памятью 20B, и интерфейс 2°C ввода/вывода беспроводной связи. Память 20B может содержать машиночитаемый носитель и может иметь модуль 20B-1 анализа данных уведомления о безопасности и модуль 20B-2 оповещения.

[0049] Процессор 20A может содержать одноядерный процессор, несколько одноядерных процессоров, многоядерный процессор, несколько многоядерных процессоров или любое другое подходящее сочетание аппаратного обеспечения, выполненного с возможностью осуществления арифметических, логических операций и/или операций ввода/вывода вычислительного устройства.

[0050] Память 20B может содержать любое подходящее сочетание устройств памяти (например, схем памяти), которые могут применять любой подходящий механизм (например, электрический, оптический, электромагнитный и т. д.) для хранения данных.

[0051] Модуль 20B-1 анализа данных уведомления о безопасности может быть сохранен в виде компьютерного кода в памяти 20B. Модуль 20B-1 анализа данных уведомления о безопасности может вместе с процессором 20A приводить к выполнению удаленным серверным компьютером 20 безопасности любого подходящего типа анализа данных о безопасности. Примеры подходящего анализа данных о безопасности могут включать определение того, что приложения или логический код приложений были скопированы, определение того, было ли изменено приложение, определение того, был ли вставлен в устройство вредоносный код, и определение того, что были обойдены системы управления лицензиями и элементы управления средой цифровых авторских прав.

[0052] Модуль 20B-2 оповещения может вместе с процессором 20A приводить к выполнению удаленным серверным компьютером 20 безопасности любых подходящих функций по оповещению. Например, оповещения о любых устройствах связи отсылаются любым подходящим людям. Такие оповещения могут быть переданы по интерфейсу 2°C ввода/вывода сети беспроводной связи. Такие оповещения могут содержать любое подходящее содержимое и могут принимать форму электронных писем, голосовых сообщений, ссылок на веб-страницы, сообщений SMS и т. д.

[0053] Интерфейс 2°C ввода/вывода сети беспроводной связи может быть выполнен с возможностью осуществления связи с устройством связи беспроводным способом посредством сети связи, которая может использовать любую подходящую технологию, включая CDMA (Множественный доступ с кодовым разделением каналов), GSM (Глобальная система для мобильной связи), 4G LTE (Долговременное развитие) и т. д. Интерфейс 2°C ввода/вывода сети беспроводной связи может предоставлять возможность удаленному серверному компьютеру 20 безопасности осуществлять связь с устройством 10 связи по первому каналу 16 связи (см. фиг. 1), который в некоторых вариантах осуществления может включать сотовую сеть.

[0054] Фиг. 3A представляет собой структурную схему, иллюстрирующую некоторые компоненты, которые могут присутствовать в портативном устройстве 10 связи. Компоненты включают процессор 10A, который может быть соединен с памятью 10B, бесконтактный элемент 10C, антенну 10D и элемент 10E безопасности. Память 10B может содержать один или более модулей 10B-1 элемента безопасности (описанных далее в данном документе в отношении фиг. 3B), модуль 10B-2 генерирования криптограмм и платежный модуль 10B-3. Процессор 10A и память 10B могут обладать теми же или другими характеристиками, что и процессор 20A и память 20B, описанные выше со ссылкой на фиг. 1.

[0055] Бесконтактный элемент 1°C может представлять собой устройство, которое предоставляет возможность мобильному телефону 10 передавать платежную информацию на устройство доступа (например, POS-терминал) в местоположении продавца. Бесконтактный элемент 1°C может работать с применением любого подходящего режима связи, включая RF, BLE (Bluetooth классический и с низким энергопотреблением), NFC (ближнюю бесконтактную связь), ИК-лучи и т. д. В некоторых вариантах осуществления бесконтактный элемент 1°C может содержать антенну (например, антенну малой дальности) и устройство памяти.

[0056] Антенна 10D может предоставлять возможность мобильному телефону 10 осуществлять связь по каналу связи большой дальности и с оператором мобильной сети. Обращаясь к фиг. 1, в некоторых вариантах осуществления антенна 10D может предоставлять возможность портативному устройству 10 связи осуществлять связь с серверным компьютером 20 безопасности, тогда как бесконтактный элемент 1°C может предоставлять возможность портативному устройству 10 связи осуществлять связь с устройством 30 доступа.

[0057] Элемент 10E безопасности может представлять собой устойчивую к взлому платформу (как правило, платформу с микроконтроллером с защищенным кристаллом), выполненную с возможностью безопасного размещения приложений и их конфиденциальных и криптографических данных (например, управления ключами) в соответствии с правилами и требованиями безопасности доверенных полномочных органов. Он может содержать доверенную среду выполнения, которая является безопасной и может хранить удостоверяющие данные счета (например, номера расчетных счетов, платежные маркеры, проверочные параметры, такие как CVV, CVV2, dCVV, и значения криптограмм (ARQC) и т. д.) или удостоверяющие данные доступа. Некоторые варианты осуществления настоящего изобретения могут не содержать или не использовать элемент безопасности. Другие варианты осуществления настоящего изобретения могут содержать небезопасный элемент или простой запоминающий элемент, на которых данные защищают криптографией. Варианты осуществления настоящего изобретения могут быть использованы с облачными платежными платформами, включая описанные в заявке на патент США № 14/577837 под названием «Способы и системы облачных транзакций», поданной 19 декабря 2014 года и приписанной на имя того же патентовладельца, что и настоящая заявка. Эта заявка включена в данный документ посредством ссылки во всей своей полноте для всех целей.

[0058] Модуль 10B-2 генерирования криптограмм может содержать код, который при исполнении процессором 10A может генерировать криптограмму. Криптограмма может содержать различные данные и может быть или может не быть выработана из данных уведомления о безопасности, сгенерированных с помощью модулей 10B-1 элемента безопасности. В некоторых вариантах осуществления модули элемента безопасности могут быть названы «модулями средств безопасности». Модуль 10B-2 генерирования криптограмм также может быть использован для хранения ключа, применяемого для генерирования криптограммы.

[0059] Платежный модуль 10B-3 может содержать код, который при исполнении процессором 10A может получать, форматировать и передавать платежные данные для транзакции. В некоторых вариантах осуществления платежный модуль 10B-3 может извлекать платежные данные, такие как номера счетов или платежные маркеры, даты завершения сроков действия, служебные коды и другие данные, хранящиеся на портативном устройстве 10 связи или удаленно, с портативного устройства 10 связи и может форматировать их так, что они могут быть переданы на устройство доступа и обработаны им.

[0060] Фиг. 3B представляет собой структурную схему, иллюстрирующую некоторые компоненты, которые могут присутствовать в модулях 10B-1 элемента безопасности памяти 10B портативного устройства 10 связи для обнаружения доступа со стороны неуполномоченного пользователя. Компоненты включают противоотладочный модуль 11A, модуль 11B обнаружения администратора, модуль 11C контрольной суммы, модуль 11D подложки, модуль 11E возможности передачи данных и модуль 11F эмулятора. Это не ограничивающий перечень модулей элемента безопасности, которые могут быть использованы в вариантах осуществления настоящего изобретения, и понятно, что альтернативно или дополнительно могут быть реализованы другие модули элемента безопасности. Понятно, что реализация этих модулей элемента безопасности является лишь одним способом среди большого числа способов, которые могут быть использованы для обнаружения нарушений безопасности портативного устройства 10 связи.

[0061] Противоотладочный модуль 11A вместе с процессором 10A производит обнаружение, не подключен ли отладчик, когда в использовании находится собственный код комплекта разработки программного обеспечения (SDK).

[0062] Модуль 11B обнаружения администратора вместе с процессором 10A производит обнаружение, не пытается ли устройство использовать SDK после того, как устройство было переведено в режим администратора. Иными словами, модуль 11B обнаружения администратора производит обнаружение, не было ли изменено портативное устройство 10 связи, на котором работает приложение, с возможностью предоставления пользователям или приложениям привилегированного доступа к операционной системе.

[0063] Модуль 11C контрольной суммы вместе с процессором 10A производит обнаружение, не изменил ли взломщик код SDK или не добавил ли к коду точку останова, путем сравнения контрольной суммы защищенного диапазона, вычисленной во время защиты, с контрольной суммой диапазона, вычисленной во время выполнения. Если значения двух контрольных сумм не совпадают, то неуполномоченный пользователь попытался взломать код.

[0064] Модуль 11D подложки (подцепки) вместе с процессором 10A производит обнаружение, не произвел ли взломщик переопределение вызываемой функции, которая находится в системной библиотеке или в приложении.

[0065] Модуль 11E возможности передачи данных вместе с процессором 10A производит обнаружение, имеет ли портативное устройство связи возможность передачи данных или же возможность передачи данных была преднамеренно отключена (например, переведена в режим нахождения в самолете).

[0066] Модуль 11F эмулятора вместе с процессором 10A производит обнаружение, является ли портативное устройство связи подлинным или же эмуляцией.

[0067] Модули 10B-1 элемента безопасности могут быть реализованы таким образом, что они являются тонкими и незаметными для обычного пользователя и не должны быть явным образом активированы или вызваны пользователем. Кроме того, модули 10B-1 элемента безопасности могут быть выполнены так, как описано в данном документе, так чтобы не полагаться на запросы «звонков домой» (т. е. на сообщения уведомлений о безопасности, передаваемые на серверное приложение и от него по Интернет-соединению), поскольку взломщик может остановить запросы «звонков домой», подделать ответы, извлечь значения из запросов «звонков домой» или отключить доступ к Интернет.

[0068] Двоичная защита, обеспечиваемая модулями 10B-1 элемента безопасности, может быть доступной для различных устройств, включая, но без ограничения, устройства Android на основе архитектуры ARM, Intel и MIPs. В одном варианте осуществления двоичная защита может быть применена к собственному коду SDK сети обработки платежей, в противоположность коду SDK Java, так что эмитенты могут производить отладку своих собственных приложений, но не могут производить отладку собственного кода SDK сети обработки платежей.

[0069] Другие модули, реализующие меры безопасности для защиты или предотвращения нарушения безопасности портативного устройства 10 связи со стороны неуполномоченного пользователя, могут быть использованы в дополнение к модулям 10B-1 элемента безопасности. Например, модуль запутывания вместе с процессором 10A может преобразовывать собственный код SDK (например, C или C++) в команды битового кода виртуальной машины низкого уровня (LLVM). Это обеспечивает трудность понимания кода. Несмотря на запутывание битовый код сохраняет те же функциональные возможности, что и оригинальный исходный код SDK.

[0070] В качестве другого примера, модуль восстановления/повреждения вместе с процессором 10A может повреждать и/или восстанавливать код в SDK во время выполнения. Например, модуль восстановления/повреждения может восстанавливать часть поврежденного кода в его изначальную форму, чтобы предоставлять возможность его выполнения, когда это необходимо, а затем снова его повреждать. В другом примере модуль восстановления/повреждения может обнаруживать, что неуполномоченный пользователь повредил или взломал часть кода, и может переписывать его верной копией кода, хранящегося в другом месте. Это предотвращает изменение основного кода SDK взломщиком и используется для сокрытия чувствительных ключей. В дополнение, модуль строковых буквенных констант вместе с процессором 10A может шифровать и дешифровать строковые буквенные константы SDK во время выполнения.

[0071] Фиг. 4 представляет собой структурную схему, иллюстрирующую некоторые компоненты сети 150 обработки платежей согласно одному варианту осуществления настоящего изобретения. Сеть 150 обработки платежей может быть реализована одним или более вычислительными компьютерами, каждый из которых может содержать процессор 150A, сетевой интерфейс 150B, базу 15°C данных транзакций и машиночитаемый носитель 150D. Процессор 150A и машиночитаемый носитель 150D могут обладать теми же или другими характеристиками, что и процессор 20A и память 20B, соответственно, описанные выше со ссылкой на фиг. 1.

[0072] Машиночитаемый носитель 150D может содержать модуль 150E обработки транзакций, модуль 150F уведомления о безопасности и любой другой подходящий программный модуль. Машиночитаемый носитель 150D может также содержать код, исполняемый процессором 150A, для выполнения функций сети обработки платежей, описанной в данном документе в отношении фиг. 5A и 5B.

[0073] Модуль 150E обработки транзакций может содержать код, приводящий к выполнению процессором 150A обработки транзакций. Например, модуль 150E обработки транзакций может содержать логические операции, приводящие к выполнению процессором 150A анализа риска транзакции; направлению, авторизации или отклонению сообщений с запросом авторизации для платежных транзакций; и созданию рекомендаций относительно решений авторизации/отклонения. Он также может содержать логические операции, приводящие к выполнению процессором 150A направления сообщений с запросом авторизации эмитентам, приему сообщений с ответом авторизации от эмитентов и направлению сообщений с ответом авторизации поставщикам ресурсов, например, продавцам. Модуль 150E обработки транзакций может дополнительно содержать код, приводящий к выполнению процессором 150A генерирования ожидаемых авторизационных данных (например, криптограммы) для сравнения принятых авторизационных данных с определением того, являются ли принятые авторизационные данные верными.

[0074] Модуль 150E обработки транзакций вместе с процессором 150A может также иметь возможность сохранять записи транзакций в базе 15°C данных транзакций. Например, база 15°C данных транзакций может содержать запись о каждой завершенной транзакции, содержащую детали транзакции (например, приобретенные товарные позиции, сумму, метку времени), информацию о поставщике ресурсов, информацию о пользователе (например, имя, телефонный номер и/или другую контактную информацию, номер основного счета, платежный маркер, соответствующий номеру основного счета, дату завершения срока действия и т. д.) и/или любую другую подходящую информацию.

[0075] Хотя на фиг. 1 представлена сеть 50 обработки платежей, являющаяся отдельной от серверного компьютера 20 безопасности и имеющая связь с ним, в других вариантах осуществления серверный компьютер 20 безопасности может быть включен в состав сети 50 обработки платежей и может быть ее частью.

[0076] На фиг. 5A представлена функциональная схема, иллюстрирующая способ согласно одному варианту осуществления настоящего изобретения. Способ применяет сеть 50 обработки платежей, которая осуществляет связь с серверным компьютером 20 безопасности. Функциональная схема, представленная на фиг. 5A, может быть описана со ссылкой на фиг. 1.

[0077] На этапе S102 модуль 10B-1 элемента безопасности, связанный с программным приложением безопасности, работая вместе с процессором 10A, может определять, что к портативному устройству 10 связи осуществил доступ неуполномоченный пользователь. Например, программное обеспечение на портативном устройстве 10 связи могло быть изменено ненормальным образом, или портативное устройство 10 связи могло быть взломано ранее. В одном варианте осуществления модуль 10B-1 элемента безопасности может затем перевести взломщика на фиктивную ветку кода, которая предотвращает дальнейшее разглашение информации из защищенной области хранения. Например, модуль 10B-1 элемента безопасности может перевести взломщика на другую, незащищенную ветку кода, выполняющую случайные программные функции и длинные циклы, которые не приводят ни к чему полезному. Модуль элемента безопасности может не сообщать конкретный код ошибки или сообщение об ошибке поставщику программного обеспечения взломанного программного обеспечения, поскольку взломщик может читать любые сообщения.

[0078] На этапе S104, после определения процессором 10A того, что программное обеспечение на портативном устройстве связи было изменено, одно или более программных приложений безопасности, работающих вместе с процессором 10A, могут затем генерировать данные уведомления о безопасности. Данные уведомления о безопасности могут содержать указание на тип программных приложений безопасности или модулей элемента безопасности, которые определили ненормальное изменение. Программные приложения безопасности могут иметь форму модулей элемента безопасности, которые могут обеспечивать двоичную защиту. В одном варианте осуществления могут быть предусмотрены и выполняться множество модулей элемента безопасности. Это гарантирует, что взломщику, прежде чем получить доступ к какой-либо информации, необходимо взломать несколько модулей элемента безопасности.

[0079] Данные уведомления о безопасности могут принимать разные формы. В некоторых вариантах осуществления данные уведомления о безопасности могут просто иметь форму флага данных уведомления о безопасности, который указывает, что безопасность мобильного устройства была нарушена. В других вариантах осуществления данные уведомления о безопасности могут быть включены в транзакцию как часть аутентификационных данных. Аутентификационные данные могут обыкновенным путем быть использованы для аутентификации любого подходящего компонента транзакции, включая потребителя, устройство (например, счет, карту, телефон и т. д.), применяемое для проведения транзакции, или самой транзакции (например, криптограммы, которая указывает, что некоторая сторона, например, эмитент, уже аутентифицировала потребителя). Таким образом, такие аутентификационные данные могут быть извлечены из данных уведомления о безопасности.

[0080] В некоторых вариантах осуществления аутентификационные данные могут иметь форму криптограммы приложения или криптограммы аутентификации, такой как значения CVV (проверочное значение карты), CVV2, dCVV (динамическое проверочное значение карты) или dCVV2, которые могут быть использованы для аутентификации портативного устройства 10 связи (или альтернативного платежного устройства). В еще одних вариантах осуществления криптограмма аутентификации может представлять собой криптограмму ARQC или криптограмму запроса авторизации. Криптограмму ARQC обычно используют для транзакций, требующих авторизации онлайн. Она представляет собой результат шифрования карты, терминала и данных транзакции ключом DES. Эмитент, как правило, проверяет подлинность ARQC, чтобы убедиться, что карта или другое платежное устройство является подлинным.

[0081] К примеру, значение dCVV, связанное с платежной картой в конкретный момент времени, может равняться 889, и это значение dCVV может быть сохранено на портативном устройстве связи, таком как мобильный телефон, наряду с номером счета, датой завершения срока действия и другими данными, связанными с основным счетом. Значение dCVV представляет собой динамическое значение, которое может быть использовано для передачи данных уведомления о безопасности, как описано далее в данном документе. При нормальных условиях в обычной платежной транзакции, когда не происходит несанкционированного доступа к портативному устройству связи, значение dCVV платежной карты было бы передано с портативного устройства связи на устройство доступа (например, POS, или терминал точки обслуживания), которое затем генерирует сообщение с запросом авторизации, которое отправляют эмитенту (или другой стороне, такой как сеть обработки платежей) для одобрения. Эмитент или сеть обработки платежей может затем проверять, что принятое значение dCVV является ожидаемым значением dCVV, и может использовать это для подтверждения того, что портативное устройство связи, которое было использовано для проведения транзакции, на самом деле является подлинным устройством. Более конкретно, эмитент или сеть обработки платежей может независимо генерировать значение dCVV с использованием номера расчетного счета, даты завершения срока действия, 3-значного служебного кода и пары ключей шифрования DES, и может определять, совпадает ли этот вычисленный номер значению dCVV, принятому в сообщении с запросом авторизации. Способы генерирования динамических значений можно найти в патенте США № 7761374, который во всей своей полноте включен в данный документ посредством ссылки.

[0082] Как указано выше, данные уведомления о безопасности могут быть использованы в качестве входных данных для создания криптограммы, и в результате созданная криптограмма не будет представлять собой криптограмму, которую в ином случае ожидал бы удаленный компьютер, проверяющий криптограмму. Например, как объяснено в вышеуказанном патенте США, входные данные для криптограммы могут представлять собой номер основного счета, дату завершения срока действия, служебный код или заполняющие данные, которые изменяют с помощью данных уведомления о безопасности. Например, при генерировании криптограммы такие значения, как номер основного счета, дата завершения срока действия и служебный код могут быть объединены, зашифрованы и иным образом обработаны для создания криптограммы. Заполняющие данные (например, строки нулей) могут иногда быть добавлены к строкам данных во время процесса шифрования. В вариантах осуществления настоящего изобретения данные уведомления о безопасности могут быть использованы для изменения значений заполняющих данных, чтобы придавать криптограмме значение, которое отличается от ожидаемого значения, так что удаленный серверный компьютер может быть уведомлен о том, что на мобильном устройстве произошло нарушение безопасности. В других вариантах осуществления данными уведомления о безопасности также или альтернативно могут быть изменены такие значения как PAN, дата завершения срока действия и служебный код. В этой ситуации PAN, дата завершения срока действия и/или служебный код были бы изменены только с целями генерирования криптограммы и не были бы изменены при передаче этой информации в чистом виде (или по зашифрованному каналу) в любом сообщении с запросом авторизации, которое отправляют платежному оператору или эмитенту.

[0083] В одном примере вариантов осуществления настоящего изобретения, когда один или более модулей элемента безопасности определили, что неуполномоченный пользователь осуществил несанкционированный доступ к портативному устройству связи или программному обеспечению на нем, один или более модулей элемента безопасности могут генерировать новый dCVV, который будет создан с использованием данных уведомления о безопасности. Поскольку этот новый dCVV не будет представлять собой значение, ожидаемое эмитентом, транзакция будет отклонена. В качестве примера, вместо генерирования обычной криптограммы dCVV, после приема указания от модулей 10B-1 элементов безопасности о том, что к портативному устройству связи был осуществлен несанкционированный доступ, модуль 10B-2 генерирования криптограмм на портативном устройстве 10 связи для генерирования dCVV может использовать число, отличающееся от обычной даты завершения срока действия, обычного номера основного счета, обычного служебного кода или обычного символа заполняющих данных. Например, если обычная дата завершения срока действия составляет 08/2018, то дата завершения срока действия может быть изменена на 08/0118, и dCVV может быть вычислен по этому значению. Таким образом, если обычный dCVV был равен 898, а измененный dCVV равен 125, то сеть обработки платежей или эмитент принимает измененный dCVV 125. Эмитент или сеть обработки платежей затем пытается вычислить измененный dCVV и независимо вычисляет обычный dCVV 898, и может отклонить транзакцию, поскольку измененный dCVV не соответствует вычисленному обычному dCVV. В других вариантах осуществления измененный dCVV может указывать тип возникшего нарушения безопасности. Например, модули 10B-1 элемента безопасности могут информировать модуль 10B-2 генерирования криптограмм о том, что в случае включения вредоносного кода в устройство 10 связи дата завершения срока действия должна составлять 08/0118, в случае изменения приложения на мобильном устройстве должна составлять 08/0218 и должна составлять 08/0318 в обоих случаях, если было изменено приложение на мобильном устройстве, и вредоносный код был вставлен в портативное устройство 10 связи. Эта измененная дата завершения срока действия может быть использована для генерирования dCVV; однако верная дата завершения срока действия может быть отправлена эмитенту, например, наряду с измененным dCVV, так что отклонения транзакции происходят из-за уведомления о безопасности, содержащегося в измененном dCVV, а не из-за неверной даты завершения срока действия.

[0084] В вариантах осуществления настоящего изобретения модуль(-и) элемента безопасности могут создавать битовую карту данных приложения эмитента (метка 9F10), в которой для каждого модуля элемента безопасности, о котором считается важным уведомить, поднимают соответствующий бит, указывающий, что был активирован конкретный модуль элемента. Данные приложения эмитента (метка 9F10) представляют собой данные транзакции, отформатированные для передачи с платежного устройства эмитенту, и могут быть переданы в контактной или бесконтактной транзакции между устройством 10 связи и устройством 30 доступа. Данные приложения эмитента (метка 9F10) могут содержать данные уведомления о безопасности, например, соответствующий бит для каждого модуля 10B-1 элемента безопасности.

[0085] В одном примере модуль(-и) элемента безопасности могут устанавливать неиспользованный байт в результатах проверки карты (CVR) данных приложения эмитента, который обычно установлен для каждой транзакции. Любая последующая транзакция с теми же кратковременными платежными данными будет сохранять индикатор CVR. Потребителю или взломщику тогда будет необходимо успешно пройти аутентификацию у эмитента и продлить платежные удостоверяющие данные, чтобы снять пометку напротив платежных удостоверяющих данных, хранимых в безопасном хранилище.

[0086] Данные приложения эмитента являются компонентом при создании криптограммы запроса авторизации онлайн (ARQC). По сути, если взломщик обнаруживает, что сеть обработки платежей устанавливает индикатор в CVR, и пытается снять индикатор, любая транзакция будет отклонена в сети обработки платежей. Это происходит по той причине, что сгенерированная устройством ARQC (без индикатора) не будет соответствовать сгенерированной сетью обработки платежей ARQC (с индикатором). Сеть обработки платежей теперь может дополнительно занести счет в экстренный список и/или может оповестить о ситуации эмитента.

[0087] В еще одном примере модуль(-и) элемента безопасности могут определять отдельные «скрытые» значения, которые включают в генерирование криптограммы на телефоне/проверку подлинности криптограммы в сети обработки платежей. Если проверка подлинности криптограммы терпит неудачу, сеть обработки платежей может пробовать другие значения, и для комбинации, где криптограмма успешно проходит проверку, сеть обработки платежей может делать заключение о том, какой из модулей элемента был активирован. Транзакция будет отклонена (по причине несоответствия криптограммы), и сеть обработки платежей тогда может дополнительно занести счет в экстренный список и/или может оповестить о ситуации эмитента. Таким образом, нет необходимости передавать специальные элементы данных в платежной транзакции. Этот способ может быть использован для транзакций с магнитной полосой, которые используют данные магнитной полосы, а также бесконтактных транзакций.

[0088] В одном варианте осуществления данные уведомления о безопасности или любые производные из них данные (например, значение dCVV) могут быть отправлены на удаленный серверный компьютер безопасности в их изначальной или запутанной (например, зашифрованной) форме. В некоторых вариантах осуществления данные уведомления о безопасности могут быть отправлены на серверный компьютер безопасности по меньшей мере по второму каналу 18 связи, но они также могут быть отправлены по первому каналу 16 связи по фиг. 1.

[0089] В других вариантах осуществления, как представлено на этапе S106, после формирования данных уведомления о безопасности платежный модуль 10B-3 может генерировать пакет с данными транзакции, который будет передан на устройство 30 доступа. В некоторых вариантах осуществления пакет с данными транзакции может представлять собой пакет с платежными данными. Пакет с платежными данными может содержать криптограмму, которая подтверждает подлинность портативного устройства связи или находящегося на нем программного обеспечения, удостоверяющие данные счета (например, PAN или платежный маркер и дату завершения срока действия, или любые другие подходящие данные). Как объяснено выше, данные уведомления о безопасности могут быть сгенерированы портативным устройством связи, если к нему был осуществлен несанкционированный доступ, и включены в пакет с данными транзакции.

[0090] На этапе S108 пакет с платежными данными передают с портативного устройства 10 связи на устройство 30 доступа. Это может быть осуществлено с помощью любого подходящего контактного или бесконтактного режима связи.

[0091] На этапе S110 устройство 30 доступа может принимать пакет с данными транзакции, генерировать сообщение с запросом авторизации и передавать его на компьютер 40 эквайера. Сообщение с запросом авторизации может обладать признаками, описанными выше, и также может содержать данные уведомления о безопасности или их производные.

[0092] На этапе S112 компьютер 40 эквайера может передавать сообщение с запросом авторизации в сеть 50 обработки платежей.

[0093] На этапе S114 сеть 50 обработки платежей может принимать сообщение с запросом авторизации и может выполнять его синтаксический анализ (например, извлекать из него данные уведомления о безопасности или их производные). Сеть 50 обработки платежей может затем отправлять данные уведомления о безопасности или их производные на серверный компьютер 20 безопасности. Например, сеть 50 обработки платежей может отправлять принятую криптограмму или изначальные данные уведомления о безопасности на серверный компьютер 20 безопасности.

[0094] На этапе S116 серверный компьютер 20 безопасности может затем принимать эту информацию и может анализировать ее для определения, был ли осуществлен доступ к портативному устройству 10 связи неуполномоченным пользователем или была ли нарушена его безопасность. В некоторых вариантах осуществления серверный компьютер 20 безопасности может сравнивать криптограмму, которая была принята в сообщении с запросом авторизации, с ожидаемой криптограммой, которую он независимо сгенерировал для определения их соответствия или несоответствия. Если они не соответствуют, к портативному устройству 10 связи, вероятно, был осуществлен доступ неуполномоченным пользователем, или была нарушена его безопасность. Серверный компьютер безопасности может также анализировать данные уведомления о безопасности или производные из данных уведомления о безопасности для определения типа доступа со стороны неуполномоченного пользователя, например, типа модуля элемента безопасности, который обнаружил несанкционированный доступ. Серверный компьютер безопасности может заранее знать о том, какая криптограмма будет сгенерирована, если произошли определенные типы нарушения безопасности данных.

[0095] На этапе S120 серверный компьютер 20 безопасности может предоставлять указание в сеть 50 обработки платежей о том, была нарушена безопасность портативного устройства 10 связи или нет. В одном варианте осуществления сеть 50 обработки платежей может оповещать о том, что к портативному устройству 10 связи был произведен доступ неуполномоченным пользователем, и что была произведена попытка платежной транзакции, например, известного авторизованного пользователя портативного устройства 10 связи, платформу облачных платежей или любую другую сторону, например, эмитента 60. В еще одних вариантах осуществления сеть 50 обработки платежей может просто генерировать сообщение с ответом авторизации, отклоняющее транзакцию от имени эмитента, и может передавать сообщение с ответом авторизации назад на устройство 30 доступа посредством компьютера эквайера и сети 50 обработки платежей. Еще в одних вариантах осуществления сеть 50 обработки платежей может использовать указание на нарушение безопасности в качестве входных данных для оценки риска потерь от мошенничества, и эта оценка риска потерь от мошенничества может быть передана на компьютер 50 эмитента в модифицированном сообщении с запросом авторизации. Сеть 50 обработки платежей также может предпринимать дополнительные меры, например, автоматическое отклонение любых последующих транзакций с того же портативного устройства 10 связи.

[0096] На этапе S122 сеть 50 обработки платежей может затем передавать сообщение с запросом авторизации эмитенту 60 на одобрение. В некоторых вариантах осуществления, если безопасность портативного устройства 10 связи была нарушена, указание на нарушение безопасности или данные уведомления о безопасности, или их производные могут быть включены в сообщение с запросом авторизации.

[0097] На этапе S124 после приема сообщения с запросом авторизации компьютер эмитента может анализировать сообщение с запросом авторизации и может определять, следует или нет авторизовать транзакцию, и может затем отправлять сообщение с ответом авторизации обратно в сеть обработки платежей. Если компьютер 60 эмитента определяет, что безопасность портативного устройства 10 связи была нарушена, он может решить отклонить транзакцию, или он может альтернативно или дополнительно уведомить потребителя, управляющего портативным устройством 10 связи, что безопасность последнего была нарушена.

[0098] На этапе S126 сеть обработки платежей может отправлять сообщение с ответом авторизации на компьютер 40 эквайера.

[0099] На этапе S128 компьютер 40 эквайера отправляет сообщение с ответом авторизации на устройство 128 доступа.

[0100] На этапе S130 в некоторых случаях устройство 128 доступа может отправлять какое-либо другое сообщение (например, квитанцию), указывающее на завершение транзакции, на портативное устройство 10 связи.

[0101] В конце дня или в какое-либо иное время, если платежная транзакция на самом деле была действительной, то процесс клиринга и расчетов может происходить между компьютером 40 эквайера, сетью 50 обработки платежей и компьютером 60 эмитента. Если транзакция отклонена, процесс клиринга и расчетов не происходит.

[0102] На фиг. 5B представлена функциональная схема, иллюстрирующая способ согласно одному варианту осуществления настоящего изобретения, в котором функции серверного компьютера безопасности интегрированы в сеть обработки платежей, но в остальном подобному способу, описанному выше в отношении фиг. 5A.

[0103] Со ссылкой на фиг. 5B, после того, как компьютер 40 эквайера передает сообщение с запросом авторизации в сеть 50 обработки платежей на этапе S112, сеть 50 обработки платежей выполняет на этапе S215 ряд функций. А именно, на этапе S215 сеть 50 обработки платежей может извлекать данные уведомления о безопасности из данных пакета платежа, содержащихся в сообщении с запросом авторизации, и определять, была ли нарушена безопасность портативного устройства 10 связи. Она может выполнять функции, описанные выше на этапе S116 со ссылкой на фиг. 5A. На этапе S122 сеть 50 обработки платежей может затем передавать сообщение с запросом авторизации эмитенту 60 на одобрение. Если безопасность портативного устройства 10 связи была нарушена, указание на нарушение безопасности или данные уведомления о безопасности, или их производные могут быть включены в сообщение авторизации. Способ может затем продолжаться как описано со ссылкой на фиг. 5A.

[0104] Варианты осуществления настоящего изобретения обладают рядом преимуществ. Например, поскольку согласно вариантам осуществления настоящего изобретения можно передавать данные уведомления о безопасности на сервер безопасности или в сеть обработки платежей по каналу передачи данных, который отличается от обычного канала сотовой связи, мошенники и хакеры не могут предотвратить уведомление о нарушении безопасности устройства путем отключения электроники, связанной с передачей таких данных по сотовой сети. В дополнение, поскольку данные уведомления о безопасности могут быть изменены в производные данные, такие как криптограмма, для прохождения указания на нарушение безопасности на удаленный сервер безопасности по второму каналу связи не требуются никакие изменения инфраструктуры.

[0105] Фиг. 6 представляет собой блок-схему, иллюстрирующую систему и способ для осуществления связи между портативным устройством 10 связи и устройством 30 доступа согласно одному варианту осуществления настоящего изобретения. Портативное устройство 10 связи и устройство 30 доступа могут быть такими, как описаны со ссылкой на фиг. 1.

[0106] Для запуска способа пользователь может выбрать для приобретения у продавца один или более товаров и/или услуг и затем инициировать платежную транзакцию. Пользователь может принять решение произвести оплату посредством портативного устройства 10 связи. В некоторых вариантах осуществления пользователь может активировать приложение цифрового кошелька, выбрать расчетный счет и инициировать функциональную возможность выполнения платежей. В других вариантах осуществления функциональная возможность выполнения платежей может быть автоматической. В любом случае пользователь может удерживать портативное устройство 10 связи вблизи от (например, в окрестности связи) устройства 30 доступа.

[0107] В некоторых вариантах осуществления бесконтактная транзакция может затем быть выполнена путем обмена сообщениями (например, сообщениями блока данных прикладного протокола (APDU)) между портативным устройством 10 связи и устройством 30 доступа. Сообщения могут иметь форму команд APDU, отправляемых из устройства 30 доступа в портативное устройство 10 связи, и ответов APDU, отправляемых из портативного устройства 10 связи на устройство 30 доступа. Как описано в этом способе, для осуществления связи будет использован NFC. Однако варианты осуществления позволяют использовать и другие средства связи (например, BLE, RFID).

[0108] На этапе S1, когда устройство 30 доступа обнаруживает наличие портативного устройства 10 связи, устройство 30 доступа может инициировать транзакцию путем отправки запроса доступных приложений на портативное устройство 10 связи, чтобы запросить информацию о том, какие платежные приложения (например, список идентификаторов приложений, или ʺAIDʺ) могут быть доступны на приложении цифрового кошелька портативного устройства 10 связи. В некоторых вариантах осуществления запрос доступных приложений может иметь форму команды выбора PPSE (среды системы платежей на близком расстоянии). Запрос доступных приложений может включать идентификатор среды платежей (например, название PPSE, такое как «2PAY.SYS.DDF01»), чтобы идентифицировать среду платежей, поддерживаемую устройством 30 доступа, и мобильное приложение.

[0109] На этапе S2 портативное устройство 10 связи может отвечать путем отправки ответа о доступных приложениях обратно на устройство 30 доступа. Ответ о доступных приложениях может содержать список доступных AID и может содержать идентификатор среды платежей (например, название PPSE). В некоторых вариантах осуществления ответ о доступных приложениях может иметь форму ответа выбора PPSE.

[0110] На этапе S3 устройство 30 доступа может выбирать подходящее приложение из списка приложений, принятого в ответе о доступных приложениях (например, путем выбора AID из доступных AID). Например, устройство 30 доступа может выбирать приложение платежей на близком расстоянии, поддерживаемое как устройством 30 доступа, так и портативным устройством 10 связи. Устройство 30 доступа может также отправлять сообщение о выборе приложения с выбранным AID на портативное устройство 10 связи. В некоторых вариантах осуществления выбор приложения может иметь форму команды выбора AID (или ADF).

[0111] На этапе S4 портативное устройство 10 связи может отправлять запрос на данные транзакции на устройство 30 доступа, что может быть необходимо для выполнения транзакции с применением выбранного приложения/AID. В некоторых вариантах осуществления запрос может иметь форму ответа на выбор AID (или ADF). Запрос может содержать список идентификаторов данных транзакции, и список может иметь форму списка объектов данных параметров обработки (PDOL). Запрошенные данные транзакции могут содержать определители транзакции на стороне терминала (TTQ), разрешенную сумму, другую сумму, код страны терминала, результаты проверки терминала, код валюты транзакции, данные транзакции, тип транзакции и/или непредсказуемый номер.

[0112] На этапе S5 устройство 30 доступа может отправлять запрошенные данные транзакции со стороны терминала. В некоторых вариантах осуществления данные транзакции со стороны терминала могут быть отправлены в форме команды получения параметров обработки (GPO) и могут содержать запрошенные данные транзакции со стороны терминала в списке объектов данных параметров обработки (PDOL).

[0113] На этапе S6 портативное устройство 10 связи может генерировать динамическую информацию обработки транзакции с использованием по меньшей мере некоторых принятых данных транзакции со стороны терминала и отправлять набор информации обработки транзакции на устройство 30 доступа. В некоторых вариантах осуществления информация обработки транзакции может быть отправлена в форме ответа GPO. В некоторых вариантах осуществления информация обработки транзакции может содержать один или более указателей файла приложения (AFL), которые могут быть использованы в качестве адресов файлов устройством 30 доступа для считывания данных о счете, хранящихся на портативном устройстве 10 связи.

[0114] Дополнительно, портативное устройство 10 связи может определять данные уведомления о безопасности, как описано в данном документе. Портативное устройство 10 связи может затем добавлять данные уведомления о безопасности или производные данные из данных уведомления о безопасности на устройство 30 доступа, так что устройство 30 доступа может извлекать данные уведомления о безопасности или производные данные из данных уведомления о безопасности вместе с информацией обработки транзакции. Хотя в этом примере передача данных уведомления о безопасности или их производных происходит на этапе S6, они могут быть переданы с портативного устройства 10 связи на устройство 30 доступа в любом другом подходящем сообщении.

[0115] На этапе S7 устройство 30 доступа может отправлять запрос данных о счете на портативное устройство 10 связи для считывания данных о счете, хранящихся на портативном устройстве 10 связи. В некоторых вариантах осуществления запрос данных о счете может иметь форму команды считывания записи и может содержать указатель файла приложения (AFL), указывающий местонахождение данных о счете.

[0116] На этапе S8 портативное устройство 10 связи может отправлять данные о счете на устройство 30 доступа. В некоторых вариантах осуществления данные о счете могут быть отправлены в форме ответа считывания записи. Данные о счете могут содержать, например, данные, эквивалентные содержащимся во 2 дорожке, и имя держателя карты и/или другие данные, связанные со счетом, которые доступны в местонахождении согласно AFL.

[0117] Получив необходимые данные, устройство 30 доступа может затем использовать некоторые или все полученные элементы данных (например, из информации обработки транзакции, данных уведомления о безопасности или производных данных из данных уведомления о безопасности, и данных о счете) для генерирования сообщения с запросом авторизации транзакции, как описано далее в данном документе.

[0118] Следует отметить, что хотя вышеописанные варианты осуществления относятся конкретно к платежам, варианты осуществления настоящего изобретения также могут быть применены в других отраслях. Например, портативные устройства связи могут быть использованы для осуществления доступа к зданию, местам проведения мероприятий или конкретным местоположениям. Свидетельство несанкционированного доступа к устройству также может быть передано в криптограмме, которую передают с устройства связи на устройство доступа для получения доступа к конкретному местоположению. Подобным образом, компьютер, связанный с местом проведения мероприятия или местоположением, может определять, была нарушена безопасность устройства связи или нет.

[0119] Например, на фиг. 7 представлена структурная схема системы доступа к зданию согласно одному варианту осуществления настоящего изобретения. На фиг. 7 представлено портативное устройство 210 связи, управляемое пользователем 206. Было определено, что программное обеспечение на портативном устройстве 210 связи было изменено ненормальным путем, как описано выше, и данные уведомления о безопасности были сгенерированы, как описано выше. Портативное устройство 210 связи может взаимодействовать с устройством 220 доступа и передавать данные уведомления о безопасности вместе с данными доступа на устройство 220 доступа. Устройство 220 доступа может локально анализировать данные уведомления о безопасности и данные доступа для определения, следует ли предоставить доступ к зданию 230, или оно может осуществлять связь с удаленно расположенным серверным компьютером (не показан). Удаленно расположенный серверный компьютер может анализировать данные уведомления о безопасности для определения, следует ли предоставить доступ к зданию 230, и может передавать сигнал, указывающий на это, обратно на устройство 220 доступа. Устройство 220 доступа может затем продолжать работу, позволяя или запрещая пользователю 206 доступ к зданию 230.

[0120] Различные участники и элементы, описанные в данном документе со ссылкой на фиг. 1, могут применять одно или более вычислительных устройств, чтобы облегчать выполнение функций, описанных в данном документе. Любой из элементов, представленных на фиг. 1, включая любые серверы или базы данных, может применять любое подходящее количество подсистем для облегчения выполнения функций, описанных в данном документе.

[0121] Примеры таких подсистем или компонентов представлены на фиг. 8. Подсистемы, представленные на фиг. 8, соединены посредством системной шины 445. Показаны дополнительные подсистемы, такие как принтер 444, клавиатура 448, несъемный диск 449 (или другое запоминающее устройство, содержащее машиночитаемый носитель), монитор 446, который соединен с адаптером 482 дисплея, и другие. Периферийные устройства и устройства ввода/вывода (I/O), которые соединяются с контроллером 441 ввода/вывода (который может быть процессором или другим подходящим контроллером), могут быть соединены с компьютерной системой любым количеством средств, известных в данной области техники, таких как последовательный порт 484. Например, последовательный порт 484 или внешний интерфейс 481 могут быть использованы для соединения вычислительного устройства с глобальной сетью, такой как Интернет, устройством ввода типа мышь или сканером. Соединение по системной шине позволяет центральному процессору 443 осуществлять связь с каждой подсистемой и управлять выполнением команд из системной памяти 442 или несъемного диска 449, а также обмен информацией между подсистемами. Системная память 442 и/или несъемный диск 449 могут представлять собой машиночитаемый носитель.

[0122] Варианты осуществления согласно настоящему изобретению могут быть реализованы вместе с платформой облачных платежей, которая отслеживает основных пользователей по величине трат и объему транзакций, так что известны любые потенциально более рисковые устройства связи. Эта информация может быть предоставлена поставщикам программного обеспечения, таким как поставщики мобильных приложений, для принятия решений о рисках отсутствия платежа.

[0123] Любые из программных компонентов или функций, описанных в данной заявке, могут быть реализованы в виде программного кода, который должен быть исполнен процессором, с использованием любого подходящего компьютерного языка, такого как, например, Java, C++ или Perl, с использованием, например, традиционных или объектно-ориентированных подходов. Программный код может быть сохранен в виде последовательности инструкций или команд на машиночитаемом носителе, таком как оперативное запоминающее устройство (ОЗУ), постоянное запоминающее устройство (ПЗУ), магнитный носитель, например, жесткий диск или гибкий диск, или оптический носитель, например, CD-ROM. Любой такой машиночитаемый носитель может находиться на или в одном вычислительном устройстве и может присутствовать на или в разных вычислительных устройствах в пределах системы или сети.

[0124] Описание выше является иллюстративным и не является ограничительным. Многие варианты настоящего изобретения будут очевидными специалистам в данной области техники по прочтении данного описания. Следовательно, объем настоящего изобретения следует определять не со ссылкой на вышеприведенное описание, а вместо этого следует определять со ссылкой на рассматриваемые пункты формулы изобретения, наряду с их полным объемом или эквивалентами.

[0125] Один или более признаков из любого варианта осуществления можно сочетать с одним или более признаками любого другого варианта осуществления без отхода от объема настоящего изобретения.

[0126] Формы единственного числа обозначают «один или более», если иное не указано отдельно.

[0127] Все патенты, патентные заявки, публикации и описания, упомянутые выше, включены в данный документ с помощью ссылки во всей своей полноте для всех целей. Ни один из указанных документов не принимается в качестве прототипа.

1. Способ реагирования на несанкционированный доступ к устройству связи, содержащий:

определение программным приложением безопасности на устройстве связи осуществления доступа к устройству связи неуполномоченным пользователем, при этом устройство связи выполнено с возможностью осуществления связи с телекоммуникационной сетью беспроводным способом по первому каналу связи, причем первый канал связи представляет собой сотовую телефонную сеть;

генерирование устройством связи данных уведомления о безопасности в ответ на определение того, что к устройству связи осуществлен доступ неуполномоченным пользователем; и

предоставление устройством связи данных уведомления о безопасности или производных данных из данных уведомления о безопасности на устройство доступа по второму каналу связи.

2. Способ по п. 1, в котором производные данные из данных уведомления о безопасности имеют форму криптограммы.

3. Способ по п. 1, в котором устройство связи представляет собой мобильный телефон.

4. Способ по п. 1, в котором устройство связи содержит удостоверяющие данные доступа.

5. Способ по п. 1, в котором программное приложение безопасности содержит модуль элемента безопасности.

6. Способ по п. 5, в котором модуль элемента безопасности содержит по меньшей мере один из противоотладочного модуля, модуля обнаружения администратора, модуля контрольной суммы и модуля подложки.

7. Устройство связи, выполненное с возможностью реагирования на несанкционированный доступ к нему, при этом устройство связи содержит:

процессор; и

машиночитаемый носитель, соединенный с процессором, при этом машиночитаемый носитель содержит код, исполняемый процессором, чтобы:

определять посредством программного приложения безопасности осуществление доступа к устройству связи неуполномоченным пользователем, при этом устройство связи выполнено с возможностью осуществления связи с телекоммуникационной сетью беспроводным способом по первому каналу связи, причем первый канал связи представляет собой сотовую телефонную сеть;

генерировать данные уведомления о безопасности в ответ на определение того, что к устройству связи осуществлен доступ неуполномоченным пользователем; и

предоставлять данные уведомления о безопасности или производные данные из данных уведомления о безопасности на главный компьютер по второму каналу связи.

8. Устройство связи по п. 7, при этом производные данные из данных уведомления о безопасности имеют форму криптограммы.

9. Устройство связи по п. 8, в котором память дополнительно содержит модуль генерирования криптограмм, выполненный с возможностью создания криптограммы с использованием данных уведомления о безопасности.

10. Устройство связи по п. 7, дополнительно содержащее антенну, соединенную с процессором и выполненную с возможностью осуществления связи по первому каналу связи.

11. Устройство связи по п. 7, дополнительно содержащее бесконтактный элемент, соединенный с процессором и выполненный с возможностью осуществления связи по второму каналу связи.

12. Устройство связи по п. 7, в котором программное приложение безопасности содержит модуль элемента безопасности.

13. Устройство связи по п. 12, в котором модуль элемента безопасности содержит по меньшей мере один из противоотладочного модуля, модуля обнаружения администратора, модуля контрольной суммы и модуля подложки.

14. Сервер, выполненный с возможностью реагирования на несанкционированный доступ к устройству связи, при этом сервер расположен удаленно от устройства связи, причем на устройстве связи работает программное приложение безопасности, при этом сервер содержит:

процессор; и

память, соединенную с процессором, при этом память хранит команды, которые при их исполнении процессором приводят к выполнению сервером операций, включающих в себя:

прием сообщения с запросом авторизации, включающего в себя данные для транзакции и данные уведомления о безопасности или производные данные из данных уведомления о безопасности,

извлечение данных уведомления о безопасности или производных данных из данных уведомления о безопасности из сообщения с запросом авторизации,

анализ данных уведомления о безопасности или производных данных из данных уведомления о безопасности для определения осуществления доступа к устройству связи неуполномоченным пользователем, и

генерирование сообщения с ответом авторизации, отклоняющего транзакцию, чтобы предотвратить несанкционированный доступ к данным на устройстве связи в сотовой телефонной сети.

15. Сервер по п. 14, в котором операции дополнительно включают в себя оповещение об осуществлении доступа неуполномоченным пользователем к устройству связи.

16. Сервер по п. 14, при этом производные данные из данных уведомления о безопасности имеют форму криптограммы.

17. Сервер по п. 16, в котором операция анализа производных данных из данных уведомления о безопасности включает в себя:

генерирование ожидаемой криптограммы с использованием данных для транзакции и

сравнение упомянутой криптограммы с ожидаемой криптограммой.

18. Сервер по п. 14, в котором операция анализа данных уведомления о безопасности или производных данных из данных уведомления о безопасности дополнительно включает в себя определение типа доступа со стороны неуполномоченного пользователя из данных уведомления о безопасности или производных данных из данных уведомления о безопасности.

19. Способ реагирования на несанкционированный доступ к устройству связи, содержащий:

прием сервером, расположенным удаленно от устройства связи, на котором работает программное приложение безопасности, сообщения с запросом авторизации, содержащего данные для транзакции и данные уведомления о безопасности или производные данные из данных уведомления о безопасности;

извлечение сервером данных уведомления о безопасности или производных данных из данных уведомления о безопасности из сообщения с запросом авторизации;

анализ сервером данных уведомления о безопасности или производных данных из данных уведомления о безопасности для определения осуществления доступа к устройству связи неуполномоченным пользователем; и

генерирование сервером сообщения с ответом авторизации, отклоняющего транзакцию, чтобы предотвратить несанкционированный доступ к данным на устройстве связи в сотовой телефонной сети.

20. Способ по п. 19, дополнительно содержащий оповещение сервером об осуществлении доступа неуполномоченным пользователем к устройству связи.

21. Способ по п. 19, в котором производные данные из данных уведомления о безопасности имеют форму криптограммы.

22. Способ по п. 21, в котором анализ производных данных из данных уведомления о безопасности содержит:

генерирование ожидаемой криптограммы с использованием данных для транзакции; и

сравнение упомянутой криптограммы с ожидаемой криптограммой.

23. Способ по п. 19, в котором анализ данных уведомления о безопасности или производных данных из данных уведомления о безопасности дополнительно содержит определение типа доступа со стороны неуполномоченного пользователя из данных уведомления о безопасности или производных данных из данных уведомления о безопасности.