Автоматизированная система предоставления услуг с использованием идентификационного (ид) приложения универсальной электронной карты

Полезная модель относится к области электронного обмена данными, в частности, полезная модель может использоваться при оказании услуг гражданам на основе идентификационного (ID) приложения универсальной электронной карты (УЭК).

Техническим результатом является расширение функциональных возможностей за счет осуществления оказания услуг гражданам на основе идентификационного (ID) приложения универсальной электронной карты (УЭК).

Система содержит карту УЭК, приспособленную для сопряжения с устройством считывания с карты, в качестве устройства считывания с карты используется терминал, терминал выполнен с возможностью установления канала связи с информационной системой оператора канала обслуживания, которая в одном варианте соединена через каналы связи с информационной системой федеральной уполномоченной организации (ФУО), а в другом варианте соединена через каналы связи с информационной системой ФУО, которая соединена через каналы связи с модулем обслуживания карты УЭК, который соединен через каналы связи с информационной системой оператора канала обслуживания, в третьем варианте модуль обслуживания карты УЭК расположен конструктивно в терминале, причем в терминал устанавливается универсальная электронная карта УЭК, причем федеральная уполномоченная организация (ФУО) содержит удостоверяющий центр (УЦ). 5 илл.

Полезная модель относится к области электронного обмена данными. В частности, полезная модель может использоваться при оказании услуг гражданам на основе идентификационного (ИД) приложения универсальной электронной карты (УЭК).

Известна система для безналичных расчетов по взиманию штрафов на основе пластиковой карточки и карточка для этой системы [RU 10140, U1 B42D 15/10, 1999.06.16] с машиносчитываемым носителем информации, устройство считывания информации с карточки, устройство ввода дополнительных данных в карточку и средство выполнения платежных и/или регистрационных операций, причем устройство считывания информации с выполненной из пластика карточки и ввода в нее дополнительных данных объединено в один терминал, предназначенный для записи сведений о нарушении правил дорожного движения, а средство для выполнения платежных и/или регистрационных операций выполнено в виде другого терминала, предназначенного для регистрации в карточке сведений об оплате штрафа за указанное нарушение.

Недостатком системы является то, что она может использоваться только при выполнении расчетов по взиманию штрафов.

Наиболее близкой является автоматизированная система предоставления услуг с использованием идентификационного (ИД) приложения универсальной электронной карты [http://protivkart.org/o-yek/40-universalnav-elektronnava-karta-uek-podrobnosti.html]. содержащая универсальную электронную карту (УЭК), приспособленную для сопряжения с устройством считывания с карты, в качестве которого используется терминал, и информационную систему федеральной уполномоченной организации (ФУО).

Недостатком системы является то, что она в пилотном варианте не может предоставлять услуги гражданам с использованием идентификационного (ИД) приложения универсальной электронной карты (УЭК) на федеральном уровне.

Техническим результатом является расширение функциональных возможностей за счет оказания услуг гражданам на основе идентификационного (ИД) приложения универсальной электронной карты (УЭК) на федеральном уровне.

Технический результат достигается тем, что в автоматизированную систему предоставления услуг с использованием идентификационного (ИД) приложения универсальной электронной карты (УЭК), содержащая универсальную карту, приспособленную для сопряжения с устройством считывания с карты, дополнительно тем, что в качестве устройства считывания с карты используется терминал, терминал выполнен с возможностью установления канала связи с информационной системой оператора канала обслуживания, которая в одном варианте соединена через каналы связи с информационной системой федеральной уполномоченной организации (ФУО), а в другом варианте соединена через каналы связи с информационной системой ФУО, которая соединена через каналы связи с модулем обслуживания карты УЭК, который соединен через каналы связи с информационной системой оператора канала обслуживания, в третьем варианте модуль обслуживания карты УЭК расположен конструктивно в терминале, причем федеральная уполномоченная организация содержит удостоверяющий центр (УЦ).

Введение указанных дополнительных элементов и последовательности их соединения позволяет обеспечить расширение функциональных возможностей за счет оказания услуг гражданам на основе идентификационного (ИД) приложения универсальной электронной карты (УЭК) на федеральном уровне.

На фиг.1 представлена блок-схема системы оказания услуги через ФУО.

На фиг.2 представлена блок-схема системы оказания услуги через ФУО с возможностью резервирования.

На фиг.3 представлена блок-схема системы оказания услуги через ФУО в режиме offline.

На фиг.4 представлена схема выполнения сценария для оказания услуги. На фиг.5 представлена схема выполнения сценария для оказания услуги с использованием бесконтактного интерфейса информационной системы.

Система содержит (фиг.1, фиг.2, фиг.3) информационную систему 1 ФУО, информационную систему 2 оператора канала обслуживания (ОКО), терминал 3, карту 4 УЭК, и модуль обслуживания 5 карты УЭК.

Система содержит карту 4 УЭК, приспособленную для сопряжения с устройством считывания с карты 4, в качестве устройства считывания с карты 4 используется терминал 3, терминал выполнен с возможностью установления канала связи с информационной системой оператора канала обслуживания 2, которая в одном варианте соединена через каналы связи с информационной системой федеральной уполномоченной организации (ФУО) 1, а в другом варианте соединена через каналы связи с информационной системой ФУО 1, которая соединена через каналы связи с модулем 5 обслуживания карты УЭК, который соединен через каналы связи с информационной системой 2 оператора канала обслуживания, в третьем варианте модуль 5 обслуживания карты 4 УЭК расположен конструктивно в терминале 3, причем федеральная уполномоченная организация (ФУО) 1 содержит удостоверяющий центр (УЦ).

Данная система является техническим средством предоставления услуг гражданам на основе приложений универсальной электронной карты (УЭК).

Удостоверяющий центр (УЦ) - программно-аппаратный комплекс в составе информационной системы ФУО, который предназначен для технологической поддержки инфраструктуры открытых ключей ЕПСС УЭК. Инфраструктура открытых ключей ЕПСС УЭК, в процессе функционирования ЕПСС УЭК, обеспечивает выполнение задач, по контролю достоверности следующих устройств и документов:

- универсальной электронной карты (ИД-приложения);

- терминала;

- сведений об услуге;

- запросов на оказание услуги;

- ответов на запрос оказания услуги.

Для выполнения вышеуказанных задач в УЦ изготавливаются следующие Сертификаты Отрытого Ключа Электронной Подписи:

Сертификат УЦ ЕПСС УЭК;

- Сертификат Эмитента ИД-приложения;

- Сертификат ИД-приложения;

- Сертификат Модуля Обслуживания УЭК;

- Сертификат Оператора канала обслуживания;

- Сертификат терминала;

- Сертификат Поставщика услуг.

Сертификаты Отрытого Ключа - это цифровой документ, подтверждающий соответствие между открытым ключом и информацией, идентифицирующей владельца ключа, который содержит информацию о владельце ключа, сведения об открытом ключе, его назначении и области применения.

Принцип работы системы. Система предоставляет доступ.к ИД приложению на:

- чтение данных ИД приложения;

- изменение данных ИД приложения;

- выполнение прикладных функций;

- обеспечение безопасности ИД приложения, а именно:

предотвращение несанкционированного доступа;

конфиденциальность и целостность информации.

Взаимодействие осуществляется через терминал 3 соответствующего канала через контактный или бесконтактный интерфейс.При этом можно использовать следующие типы терминалов 3:

- терминалы 3, защищенность которых обеспечивается специальными аппаратными средствами;

- терминалы 3, защищенность которых обеспечивается организационно-техническими средствами;

- компьютеры граждан, оборудованные персональными карт-ридерами. Кроме того, терминалы могут быть обслуживающие или неуполномоченные.

Обслуживающие (аутентифицированные) терминалы 3 - это терминалы 3, которым для обслуживания граждан явно передана карта 4 УЭК и которые аутентифицированы ИД приложением карты 4 на доступ к данным или прикладным функциям ИД приложения.

Неуполномоченные терминалы 3 - это терминалы 3, для обслуживания в которых карта 4 УЭК явно не передавалась, но которые пытаются получить доступ к данным или прикладным функциям ИД приложения.

Использование ИД приложения в обслуживающих терминалах 3 может осуществляться с неявного разрешения гражданина, выраженного им в предъявлении карты 4 УЭК или с разрешения гражданина, подтвержденного им явным образом посредством ввода корректного ПИН-кода.

Без ввода ПИН-кода ИД приложение разрешается применять в строго определенных случаях, например, для чтения витальных данных или для быстрого обслуживания.

ИД приложение содержит данные следующих участников Единой платежной сервисной системы (ЕПСС) УЭК:

- эмитент ИД приложения федеральной уполномоченной организации (ФУО) 1;

- поставщики услуг, для оказания которых необходимо считывание данных ИД приложения (операторы данных).

Для хранения данных за ФУО 1 и каждым оператором закреплен свой сектор данных ИД приложения, в котором хранящиеся данные разделены по блокам данных (файлам ИД приложения).

ИД приложение в обслуживающем терминале 3 обеспечивает выполнение следующих функций:

- формирование свидетельства применения карты 4 для идентификации гражданина и оказания ему услуги;

- формирование электронной подписи (ЭЦП) гражданина. Для обеспечения безопасности хранящихся данных необходимо обеспечить контроль доступа к ИД приложениям. Контроль доступа осуществляется путем настройки правил доступа, которые связывают режим доступа к соответствующему объекту (чтение, изменений или выполнение) с условиями безопасности, которые должны удовлетворят следующим положениям:

- при определении правил доступа условия безопасности настраиваются отдельно для каждого режима доступа;

- для критических данных (ключ или пароль) правила настраиваются на использование данных и/или изменения данных;

- для системных и прикладных данных - на чтение и/или изменения

данных.

При этом используются следующие механизмы обеспечения безопасности:

- аутентификация терминала 3;

- защищенный объем сообщений;

- верификация гражданина;

- аутентификация ИД приложения;

- аутентификация эмитента ИД приложения;

- обеспечение защищенного канала с поставщиком услуг;

- аутентификация поставщика услуг.

Для получения услуги гражданин (держатель карты 4 УЭК) обращается к терминалу 3 выбранного канала обслуживания. При этом оператор выбранного канала обеспечивает гражданину:

- возможность выбрать интересующую услугу;

- возможность сформировать запрос на оказание услуги;

- передачу сформированного запроса соответствующему поставщику услуг;

- получение от поставщика услуг ответа на запрос и предоставление этого ответа гражданину.

На фиг.4 и фиг.5 представлены схемы сценария для оказания услуг. В этом случае применяются следующие технологические схемы использования ИД приложения:

- терминал 3 (фиг.2) осуществляет взаимодействие с ИД приложением карты 4 УЭК посредством как контактного, так и бесконтактного интерфейса;

- аутентификация ИД приложения осуществляется ФУО 1 явно через информационную систему ФУО 1 или посредством модуля обслуживания 5 карты 4 УЭК по одному из следующих вариантов:

- обращение к информационной системе ФУО в режиме online для каждого случая оказания услуги (фиг.2);

- обращение к модулю обслуживания 5 УЭК у оператора обслуживания в региональном или центральном офисе;

- обращение к модулю обслуживания 5 УЭК в терминале (исполнение в виде карты с интегральной схемой в формате ИД-1 или SAM, возможно оказание услуг в режиме offline (фиг.3).

В таблице 1 представлен список команд ИД приложения, используемых при оказании услуг.

Табл.1

Работа системы по оказанию услуги производится в несколько этапов (фиг.1 и фиг.3).

Этап 1: на этом этапе осуществляется предоставление гражданину возможности просматривать сведения об услугах:

- гражданин обращается к терминалу 3 и в главном экране терминала 3 выбирает сервис «получение услуги»;

- гражданин выбирает категорию, к которой относится интересующая его услуга;

- терминал 3 направляет в информационную систему 2 ОКО запрос о составе услуг, входящих в выбранную категорию;

- информационная система 2 ОКО возвращает терминалу 3 перечень услуг, входящих в выбранную категорию;

- гражданин повторяет действия по поиску услуг, пока не найдет необходимый перечень услуг, в котором будет находиться интересующая его услуга;

- гражданин выбирает на терминале 3 из перечня услуг интересующую его услуг и нажимает кнопку «получить информацию об услуге»;

- терминал 3 направляет в информационную систему ОКО запрос о предмете услуги; выборе услуги и порядке ее оказания;

- информационная система 2 ОКО возвращает терминалу 3 сведения о предмете услуги, выбранной гражданином, и о порядке ее оказания;

- терминал 3 отображает гражданину сведения о предмете услуги, им выбранной, и о порядке ее оказания.

Этап 2: на этом этапе осуществляется предоставление услуги, выбранной гражданином:

- гражданин из перечня услуг выбирает необходимую и нажимает «запросить услугу»;

- если карта 4 УЭК не вставлена в терминал 3, то терминал 3 предлагает вставить карту 4 УЭК;

- гражданин вставляет карту 4 УЭК в терминал;

Этап 3: на этом этапе осуществляется получение формы запроса об оказании услуги:

- гражданин запрашивает информационную систему 2 ОКО предоставить метаинформацию об услуге (данные для подготовки визуальной формы запроса на оказание услуги);

- информационная система 2 ОКО на основе метаинформации об услуге подготавливает визуальную форму запроса на оказание услуги и передает ее в терминал 3.

Этап 4: на этом этапе осуществляются выбор приложения и первоначальные проверки:

- терминал 3 получает информацию о поддержке картой 4 УЭК команд с возможностью передачи более 256 б. данных в команде (далее - «длинные данные»)

- (разбирает сведения о возможностях карты 4 УЭК, проверяет, поддерживает карта 4 УЭК «длинные данные» или нет и запоминает возможности карты 4 УЭК по поддержке «длинных данных» в командах для дальнейшего использования;

- терминал 3 выбирает ИД приложение карты 4 УЭК;

- из данных, возвращенных ИД приложением карты 4 УЭК, терминал 3 выделяет следующие элементы данных:

- каталог секторов данных ИД приложения;

- дату начала срока действия ИД приложения;

- дату окончания срока действия ИД приложения;

- версию ИД приложения;

сведения о применении ИД приложения.

- терминал 3 убеждается, что ИД приложение заданной версии и поддерживается терминалом 3;

- терминал 3, исходя из сведений о применении ИД приложения и собственных возможностей по поддержке российских (РКА) и зарубежных (ЗКА) криптографических алгоритмов, определяет, какие алгоритмы необходимо использовать для аутентификации терминала 3.

Этап 5: на этом этапе осуществляется процедура проверки сертификатов для того, чтобы ИД приложение проверило цепочку сертификатов терминала 3 и достоверным образом получило открытый ключ терминала 3 Р^о.ид¹

- терминал 3 извлекает сертификат открытого ключа информационной системы ОК02СА.ИД;

- если карта 4 УЭК поддерживает «длинные данные» в командах PEREOFORM SECURITY OPERATION и READ BINARY, то терминал 3 передает сертификат открытого ключа ИД приложению;

- если карта 4 УЭК не поддерживает «длинные данные» в командах PEREOFORM SECURITY OPERATION и READ BINARY, то терминал 3 для передачи сертификата открытого ключа информационной системы ОКО 2 ИД приложению осуществляет связывание команд, для этого сначала передаются сертифицируемые данные, а затем передается цифровая подпись сертификата;

- терминал 3 извлекает сертификат открытого ключа терминала 3 и передает его ИД приложению;

Этап б: на этом этапе осуществляется процедура динамической аутентификации терминала 3 на основе алгоритма ГОСТ 34.10-2001 для того, чтобы ИД приложение убедилось в том, что терминал 3 обладает закрытым ключом S _{IFD.ИД.GOST}, соответствующим открытому ключу Р_{IFD.ИД.GOST} , указанному в сертификате открытого ключа терминала 3:

- на основе параметров схемы цифровой подписи, установленных для ЕПСС, карта 4 УЭК и терминал 3 создают случайным образом временную пару ключей SIFD.ИД.GOST и РIFD.ИД.GOST, используемую для установления защищенного соединения после успешной аутентификации терминала 3;

- терминал 3 считывает с карты 4 УЭК открытый ключ ИД приложения карты 4 УЭК, затем выбирает файл, содержащий открытый ключ ИД приложения и считывает открытый ключ ИД приложения;

- терминал 3 запрашивает случайное число карты 4 УЭК GET CHALLENGE и запоминает его;

- терминал 3 формирует сжатое значение открытого ключа Соmр(Р1FD.ИД.GOST);

- терминал 3 формирует данные MSG для цифровой подписи;

- с использованием своего постоянного закрытого ключа SIFD.Fm.GOST терминал 3 вычисляет цифровую подпись S для сообщения MSG;

- терминал 3 формирует данные аутентификации AuthData=S||P1$;

- терминал 3 запрашивает у ИД приложения динамическую аутентификацию терминала 3 MUTUAL AUTHENTICATE;

- терминал 3 выделяет из полученных в ответе от карты 4 УЭК данных проверочную криптограмму;

- терминал 3, на основе параметров схемы цифровой подписи, заданных в сертификате открытого ключа удостоверяющего центра (УЦ) ЕПСС УЭК, с использованием своего временного закрытого ключа и постоянного открытого ключа карты, выводит общий секрет SK;

- терминал 3, на основе общего секрета SK, выводит сессионные ключи для установления защищенного соединения - сессионный ключ шифрования SKSMC.ИД.GOST и сессионный ключ аутентификации SKSMI.ИД.GOST;

- с использованием выведенного сессионного ключа аутентификации SKSMI.ИД.GOST терминал 3 для своего временного открытого ключа вычисляет проверочную криптограмму;

- затем терминал 3 проверяет совпадение вычисленной проверочной криптограммы с полученной в ответе на команду MUTUAL AUTHENTICATE;

- терминал 3 инициализирует счетчик сообщений защищенного обмена и осуществляет взаимодействие с картой в режиме защищенного канала.

Этап 7: на этом этапе осуществляется процедура динамической аутентификации терминала 3 на основе алгоритма RSA для того, чтобы ИД приложение убедилось в том, что терминал 3 обладает закрытым ключом SIFD.WI.GOST, соответствующим открытому ключу pifd.ha.gost, указанному в сертификате открытого ключа терминала 3:

- терминал 3 считывает с карты 4 УЭК открытый ключ ИД приложения карты 4 УЭК, затем выбирает файл, содержащий открытый ключ ИД приложения, и считывает открытый ключ ИД приложения;

- терминал 3 запрашивает случайное число карты GET CHALLENGE и запоминает его;

- терминал 3 формирует сжатое значение открытого ключа Сотр(РИРО.ИД.005Т);

- с использованием своего постоянного закрытого ключа S1РО.ИД.005Т терминал 3 вычисляет цифровую подпись S случайного числа карты GET CHALLENGE;

- терминал 3 случайным образом создает свою компоненту общего секрета SKIFD;

- терминал 3 с использованием открытого ключа карты преобразует свою компоненту общего секрета SKIFD в зашифрованный блок данных;

- если карта 4 УЭК поддерживает «длинные данные» в командах PEREOFORM SECURITY OPERATION и READ BINARY, то терминал 3 запрашивает у ИД приложения динамическую аутентификацию терминала 3 MUTUAL AUTHENTICATE;

- если карта 4 УЭК не поддерживает «длинные данные» в командах PEREOFORM SECURITY OPERATION и READ BINARY, то терминал запрашивает у ИД приложения динамическую аутентификацию терминала 3 MUTUAL AUTHENTICATE, осуществляя связывание команд для передачи данных для аутентификации из цифровой подписи терминала и зашифрованный блок данных;

- терминал 3 выделяет из полученных от карты 4 УЭК данных зашифрованный блок Y, содержащий созданные терминалом 3 и картой 4 УЭК компоненты KIFD и KIFC общего секрета SK;

- с использованием своего закрытого ключа и из полученных от карты 4 УЭК данных зашифрованный блок Y, терминал 3 восстанавливает исходное сообщение MSG;

- терминал 3 проверяет, что значение KIFD, полученное из сообщения MSG, совпадает со значением, созданным терминалом 3;

- терминал 3 формирует общий секрет SK;

- на основе общего секрета SK терминал 3 выводит сессионные ключи для установления защищенного соединения;

- терминал 3 инициализирует счетчик сообщений защищенного обмена и осуществляет взаимодействие с картой в режиме защищенного канала.

Этап 8: на этом этапе осуществляется процедура верификации гражданина, необходимой для предоставления ИД приложению возможности проверить, что лицо, предъявившее карту 4 УЭК, действительно является гражданином, уполномоченным на использования УЭК:

- терминал 3 запрашивает гражданина вставить карту 4 УЭК и ввести ПИН-код;

- гражданин вводит свой ПИН-код;

- терминал 3 формирует ПИН-блок в соответствии с форматом, указанном в стандарте ISO 9564-3:2002;

- терминал 3 запрашивает ИД приложение выполнить верификацию гражданина по ПИН-коду (VERIFY). Если результат верификации отрицательный, то гражданину возвращается карта 4 УЭК и оказание услуги на этом прекращается.

Этап 9: на этом этапе осуществляется процедура получения внешних данных для заполнения запроса на оказание услуги при положительной верификации гражданина, для того чтобы в ходе заполнения запроса на оказание услуги при необходимости получить от внешних информационных систем данные, которые требуются для внесения запроса:

- терминал 3 запрашивает информационную систему ОКО 2 предоставить дополнительные данные для заполнения визуальной формы запроса на оказание услуги;

- информационная система ОКО 2 подготавливает необходимые данные, обращаясь для их получения к соответствующему поставщику услуг, и возвращает их терминалу 3;

- терминал 3 использует полученные дополнительные данные для предоставления гражданам возможности заполнить визуальную форму запроса на оказание услуги.

Этап 10: на этом этапе осуществляется чтение с карты 4 УЭК данных для заполнения запроса на оказание услуги:

- терминал 3 в каталоге секторов данных, полученных от ИД приложения в ходе выполнения процедуры выбора приложения, ищет запись, для которой идентификатор оператора данных имеет значение ФУО 1;

- из найденной записи терминал 3 выбирает ссылку на файл-каталог, содержащий идентификационный сектор данных;

- терминал 3 выбирает файл-каталог, содержащий соответствующий сектор данных;

- из информации управления файлом, полученной от карты 4 УЭК при выдаче файла-каталога с идентификационного сектора данных, терминал 3 получает каталог блоков данных идентификационного сектора;

- терминал 3 в каталоге блоков данных ищет запись, для которой идентификатор блока данных имеет значение, требуемое терминалу блока данных;

- из найденной записи терминал 3 выбирает ссылку на простой файл, содержащий соответствующий сектор данных;

- терминал 3 выбирает простой файл, содержащий соответствующий блок данных.

Этап 11: на этом этапе осуществляется заполнение запроса на оказание услуги путем заполнения гражданином соответствующих полей в визуальной форме запроса на оказание услуги:

- терминал 3 вносит данные, считанные из ИД приложения, в соответствующие поля в визуальной форме запроса на оказание услуги и отражает визуальную форму запроса на оказание услуги, предлагая гражданину оставшиеся поля и, при необходимости, дает возможность откорректировать свою персональную информацию;

- гражданин вводит данные в оставшиеся незаполненные поля визуальной формы запроса на оказание услуги;

- при необходимости, для предоставления гражданам возможности заполнить визуальную форму запроса на оказание услуги, терминал 3 применяет внешние данные, необходимые для заполнения указанной формы, получаемые от внешних информационных систем;

- гражданин проверяет сведения, отраженные в визуальной форме запроса на оказание услуги и выбирает следующие действия:

- откорректировать сведения, составляющие свою персональную информацию;

- подтвердить готовность получить услугу в соответствии с заполненным запросом;

- отказаться от получения услуги.

- в случае подтверждения гражданином своей готовности получить услугу, терминал 3, в соответствии с использованием заполненного запроса, формирует запрос на оказание услуги;

- терминал 3 для данных запроса на оказание услуги вычисляет ХЭШ-значение.

Этап 12: на этом этапе осуществляется аутентификация ИД приложения (подготовка запроса) для подтверждения факта достоверности карты УЭК:

- формируется запрос аутентификация ИД приложения;

- производится обработка результатов аутентификации ИД приложения, которая может осуществляться в режимах online или offline;

- терминал 3 определяет режим аутентификация ИД приложения;

- терминал 3 создает случайное число Т;

- терминал 3 подготавливает данные, необходимые для аутентификации ИД приложения:

Service ИДentifier - идентификатор типа прикладного сервиса (услуги);

- Terminal Info - сведения о терминале 3;

- Unpredictablec Number - случайное число Т;

- Operation Timestamp - штамп времени выполнения операции;

- Extra Data - дополнительные сведения об операции (сумма операции

- для платной услуги);

Request Hash - ХЭШ-значение запроса на оказание услуги.

- терминал 3 формирует данные для вычисления криптограммы в TLV-формате;

- терминал 3 запрашивает у ИД приложения вычисление криптограммы аутентификации (INTERNAL AUTHENTICATE);

- терминал 3 получает в ответ от карты 4 У ЭК следующие данные:

- счетчик криптограмм аутентификации (АСС);

- сведения об условиях применения ИД приложения (OPERATION Info);

- криптограмму аутентификации ИД приложения (APPLICATION CRYTOGRAM) Т и S в зависимости от использованного ключа.

- В случае если аутентификация ИД приложения осуществляется в режиме online, терминал 3 подготавливает и, при необходимости, считывает номер карты 4 УЭК (APPLICATION PAN) и СНИЛС гражданина (SOCIAL ACCOUNT NUMBER);

- В случае если аутентификация ИД приложения осуществляется в режиме offline, терминал 3 считывает из ИД приложения его сертификат открытого ключа, выполняя следующие действия: терминал 3 выбирает файл, содержащий сертификат открытого ключа ИД приложения, и считывает его.

- терминал 3 запрашивает случайное число карты 4 УЭК (GET CHALLENGE) и запоминает его;

- терминал 3 формирует и направляет в информационную систему 2 ОКО запрос на аутентификацию ИД приложения, включая следующие данные:

- идентификатор прикладного сервиса (услуги), предоставляемого гражданину в ходе операции (SERVICE ИДЕНТ1Р1ЕР);

- сведения о терминале 3 (TERMINAL INFO);

- случайное число терминал 3 (UNPREDICTABL NUMBER);

- штамп времени выполнения операции (OPERATION TIMES TAMP);

- дополнительные сведения об операции (сумма) (EXTRA DATA);

- ХЭШ - значение запроса на оказание услуги (REGEST HASH);

- счетчик криптограмм аутентификации (АСС);

- сведения об условиях применения ИД приложения (OPERATION Info);

- криптограмму аутентификации ИД приложения Т и S в зависимости от использованного ключа (APPLICATION CRYTOGRAM): для случая аутентификации ИД приложения в режиме online - сведения о гражданине (номер карты 4 УЭК и СНИЛС), а для случая аутентификации ИД приложения в режиме offline - сертификат открытого ключа ИД приложения и сертификат открытого ключа эмитента ИД приложения;

- случайное число карты 4 УЭК для возможной аутентификации эмитента ИД приложения (1C CHLLENGE).

Этап 13: на этом этапе осуществляется обработка результатов ИД приложения. Если по решению оператора информационной системы 2 ОКО проверка результатов аутентификации ИД приложения осуществлялась на уровне терминала 3, то терминал 3 выполняет следующие действия:

- терминал 3 в ответе от информационной системы 2 ОКО получает следующую информацию:

- код аутентификации ИД приложения (APPLICATION AUTHENTICATE CODE);

- уникальный порядковый номер идентификатора (PHIENTIFICATION OPERATION ИД);

- цифровую подпись информационной системы 1 ФУО (DIGITAL SIGNATURE) для получения результатов аутентификации;

- цепочку сертификатов модуля обслуживания карты 4 УЭК проверки цифровой подписи информационной системы 1 ФУО для получения результатов аутентификации.

- Получив результаты аутентификации ИД приложения и карты 4 УЭК, терминал 3 осуществляет их проверку с использованием открытого ключа УЦ ЕПСС карты 4 УЭК (РСА.ИД), проверяет цепочку сертификатов модуля обслуживания карты 4 УЭК и получает открытый ключ информационной системы 1 ФУО (PSU-ИД), затем формирует данные результатов аутентификации (MSG), проверяет цифровую подпись для данных результатов аутентификации (MSG) с использованием открытого ключа информационной системы 1 ФУО (PSU-ИД). Проверка результатов аутентификации ИД приложения может осуществляться информационной системой 2 ОКО. В этом случае должна быть обеспечена доставка на терминал 3 кода аутентификации ИД приложения в достоверном виде.

- Если в ответ на запрос аутентификации ИД приложения карты 4 УЭК терминал 3 получает указание на установление защищенного обмена сообщениями, то аутентификация ИД прекращается.

- Если результат аутентификации ИД приложения оказывается отрицательным (отрицательный результат цифровой подписи информационной системы 1 ФУО), то терминал 3 либо изымает карту 4 УЭК, если в сообщении содержится указание на изъятие, либо возвращает карту 4 УЭК гражданину, если в сообщении отсутствует указание на изъятие и прекращается указание услуги.

- Положительный результат аутентификации ИД приложения гарантирует для терминала 3 достоверность считываемых из ИД приложения данных для дальнейших действий по оказанию услуги.

Этап 14: на этом этапе осуществляется настройка защищенного канала с поставщиком услуг для обеспечения конфиденциальности обмена данными. Настройка защищенного канала в зависимости от выбора поставщика услуг, указанного в метаинформации по услуге, может осуществляться на основе российских (РКА) и зарубежных (ЗКА) криптографических алгоритмов.

Настройка защищенного канала на основе ГОСТ 34.10-2001. В этом случае:

- терминал 3 из сведений метаинформации получает сертификат открытого ключа поставщика услуг (CSP.HH.GOST);

- с использованием открытого ключа УЦ ЕПСС карты 4 УЭК терминал 3 проверяет сертификат открытого ключа поставщика услуг (PSP.HH.GOST);

- на основе параметров схемы цифровой подписи, установленных для ЕПСС карты 4 УЭК (DCA), терминал 3 создает случайным образом временную пару ключей (PIIFD.HH.GOST и SIIFD.HH.GOST), если это не было сделано в ходе аутентификации терминала 3;

- терминал 3, на основе параметров схемы цифровой подписи (DCA), заданных для ЕПСС карты 4 УЭК и с использованием своего временного закрытого ключа (S1IFD.Fm.GOST) и постоянного открытого ключа поставщика услуг (РЗР.ИД.ООЗТ), выводит общий секрет (SK);

- терминал 3, на основе общего секрета (SK), выводит сессионный ключ шифрования (SKCMS.HH.GOST);

- терминал 3 включает в сообщение запрос, направленный поставщику услуг, свой временный открытый ключ (PIIFD.HH.GOST);

- терминал 3 из метаинформации об услуге получает перечень конфиденциальных данных запроса на оказание услуги, которые должны быть зашифрованы;

используя сессионный ключ (SКСМS.ИД.GOST) терминал 3 осуществляет шифрование каждого элемента конфиденциальных данных (MSG) запроса на оказание услуг.

Настройка защищенного канала на основе RSA. В этом случае:

- терминал 3 из сведений об оказываемой услуге получает сертификат открытого ключа поставщика услуг (СSР.ИД.RSA);

- с использованием открытого ключа УЦ ЕПСС карты 4 УЭК терминал 3 проверяет сертификат открытого ключа поставщика услуг и получает из него открытый ключ поставщика услуг (Р5Р.ИД.К8А);

- терминал 3 создает случайным образом общий секрет (SK);

- терминал 3 с использованием открытого ключа карты 4 УЭК (PSP.HH.RSA) преобразует общий секрет (SK) в зашифрованный блок данных (Y);

- на основе общего секрета (SK) терминал 3 выводит сессионный ключ шифрования (SKCMS.ИД.DES);

- терминал 3 включает в сообщение запрос, направляемый поставщику услуг, блок данных (Y), содержащий общий секрет (SK);

- терминал 3 из метаинформации об услуге получает перечень конфиденциальных данных запроса на оказание услуги, которые должны быть зашифрованы;

- используя (SK_CMS.ИД.DES) терминал 3 осуществляет шифрование каждого элемента конфиденциальных данных (MSG) запроса на оказание услуг.

Этап 15: на этом этапе осуществляется передача запроса на оказание услуги и получение ответа. Кроме того, если с поставщиком услуг настроен защищенный канал, то осуществляется расшифрование данных ответа на услуги. С этой целью:

- терминал 3 направляет сформированный запрос в информационную систему 2 ОКО и ожидает ответа;

- если в течение установленного времени ответ не получен, то терминал 3 отображает на экране сообщение о невозможности оказания услуги по причине отсутствия связи и возвращает гражданину его карту 4 УЭК;

- если с поставщиком услуг настроено защищенное соединение, то терминал 3 на основе метаинформации об услуге определяет перечень конфиденциальных элементов данных ответа на запрос оказания услуги, которые передаются в зашифрованном виде, и расшифровывает каждый элемент конфиденциальных данных (MSG) ответа на запрос об оказании услуги, получаемый от поставщика услуг.

Этап 16: на этом этапе осуществляется аутентификация поставщика услуг, которая необходима для обеспечения контроля достоверности данных, полученных в ответе на запрос. При этом осуществляется формирование и проверка поставщиком услуг цифровой подписи для ответа на запрос. Положительный результат проверки цифровой подписи поставщиком услуг свидетельствует о неизменности данных ответа на запрос на оказание услуги, удостоверяет, что ответ отправлен именно поставщиком услуг и обеспечивает юридическую значимость ответа на запрос на оказание услуги. Для этого:

- терминал 3 из полученного от информационной системы 2 ОКО ответа выделяет данные ответа на запрос (MSG) и цифровую подпись (S), сформированные поставщиком услуг;

- терминал 3 получает из метаинформации об оказании услуги цепочку сертификатов поставщика услуг и, в результате их проверки, выделяет открытый ключ поставщика услуг (РЗР.ИД);

- проверку цифровой подписи поставщик услуг терминал 3 выполняет с применением российских или зарубежных алгоритмов;

- если результат проверки цифровой подписи поставщика услуг оказывается отрицательным, то терминал 3 отображает на экране сообщение о невозможности оказания услуги и возвращает гражданину его карту 4 УЭК;

- если результат проверки цифровой подписи поставщика услуг оказывается положительным, то терминал 3 сохраняет ХЭШ-значение ответа.

Этап 17: на этом этапе осуществляется уведомление гражданина о результатах запроса на оказание услуги при успешной аутентификации ответа поставщика услуг. При этом:

- терминал 3 вычисляет для ответа на запрос на оказание услуги ХЭШ-значение и сравнивает его со значением (RESPONSE HASH), полученным в ходе аутентификации ответа на запрос (они должны совпадать);

- если они не совпадают, то терминал 3 отображает на экране сообщение о невозможности оказания услуги и возвращает гражданину его карту 4 УЭК;

- если они совпадают, то терминал 3 подготавливает визуальную форму запроса на оказание услуги, заполняя ее данными, полученными в ответе на запрос, отображают ее гражданину и предлагают ему возможность распечатать ответ;

- если гражданин выбрал получение ответа в бумажной форме, то терминал 3 распечатывает ответ.

Этап 18: на этом этапе осуществляется возврат карты 4 У ЭК гражданину. Для этого:

- терминал 3 предлагает гражданину получить его карту 4 УЭК назад или запросить еще услугу;

- при любом выборе гражданина терминал 3 для оказанной гражданину услуги сохраняет для передачи в информационную систему 2 ОКО информацию о том, что результаты услуги успешно переданы гражданину;

- если гражданин выбрал получение его карты 4 УЭК, то терминал 3 возвращает ее и переходит в начальное состояние готовности обслуживания;

- если гражданин выбрал получение еще одной услуги, то терминал 3 переходит к выбору гражданином услуги.

Кроме этого система обеспечивает: возможность смены ПИН-кода, возможность смены КРП, разблокировку ПИН-кода с установлением его нового значения, разблокировку КРП с установлением его нового значения и изменение частных данных гражданина.

Кроме того, система может оказывать услуги, когда модуль обслуживания карты УЭК расположен конструктивно в терминале. В этом случае, при отсутствии связи между терминалом и ФУО, обеспечение услуги достигается тем, что в модуле обслуживания карты УЭК терминала, размещаются все необходимые данные и предусмотрены необходимые процедуры для того, чтобы обеспечить обработку запросов в автономном режиме (без связи с ИС ОКО) в течение определенного времени, накапливать данные запросов, а также производить взаимодействие между терминалом и ИС ОКО в пакетном режиме, в тот момент, когда между ИС ОКО и терминалом устанавливается связь, в соответствии с внутренними технологическими документами ОКО.

В известных технических решениях обычно карта имеет ограниченную память. При размещении нескольких приложений ресурс памяти карты быстро кончается. Кроме того, для работы с каждым из приложений нужно модифицировать терминальные устройства. За счет заявляемого ИД приложения можно им одним заменить несколько самостоятельных приложений. Это достигается за счет того, что внутри ИД приложения (программная логика) размещаются отдельные области данных (данные), закрепленных за разными владельцами. Доступ между владельцами надежно разделен, как будто это разные приложения. За счет этого достигается экономия памяти карты УЭК и можно разместить больше данных на том же ресурсе и оказать больше услуг. Кроме того, так как используется реально одно приложение, то модернизировать терминал достаточно только один раз для приема ИД приложения и все новые области данных («виртуальные приложения») можно добавлять, не модифицируя терминал, а ИД приложения не нужно часто менять и дозаписывать. Его код можно «прошить» в «маску» ПЗУ на заводе, что не позволит хакерам его сломать. При этом, если приложения надо сертифицировать и проверять, то в случае заявляемого ИД приложения это можно сделать один раз, т.к. добавление областей данных не модифицирует логику и не требует сертификации.

ИД приложение надежно аутентифицирует пользователя и терминал, который читают карту. Настолько, что в процессе оказания услуги на основе авторизации по идентификационному приложению можно безопасно инициировать платежные транзакции без использования банковского приложения.

Таким образом, система позволяет осуществить оказание услуг гражданам на основе идентификационного (ИД) приложения УЭК.

Автоматизированная система предоставления услуг с использованием идентификационного (ИД) приложения универсальной электронной карты (УЭК), содержащая универсальную карту, приспособленную для сопряжения с устройством считывания с карты, отличающаяся тем, что в качестве устройства считывания - с карты используется терминал, терминал выполнен с возможностью установления канала связи с информационной системой оператора канала обслуживания, которая в одном варианте соединена через каналы связи с информационной системой федеральной уполномоченной организации (ФУО), а в другом варианте соединена через каналы связи с информационной системой ФУО, которая соединена через каналы связи с модулем обслуживания карты УЭК, который соединен через каналы связи с информационной системой оператора канала обслуживания, в третьем варианте модуль обслуживания карты УЭК расположен конструктивно в терминале, причем федеральная уполномоченная организация содержит удостоверяющий центр (УЦ).