Способ осуществления многофакторной строгой аутентификации держателя банковской карты с использованием мобильного телефона в среде мобильной связи при осуществлении межбанковских финансовых транзакций в международной платежной системе по протоколу спецификации 3-d secure (варианты) и реализующая его система

Способ осуществления многофакторной строгой аутентификации держателя банковской карты с использованием мобильного телефона в среде мобильной связи при осуществлении межбанковских финансовых транзакций в международной платежной системе по протоколу спецификации 3-d secure (варианты) и реализующая его система

Иллюстрации

Показать все

Реферат

Область техники, которой относится изобретение.

Изобретение относится к средствам для персональной аутентификации клиентов при проведении транзакций, в том числе платежных, с применением сетей мобильной связи. В частности, изобретение может использоваться для аутентификации при проведении платежа по банковской карте с использованием мобильного телефона.

Уровень техники.

Специально для сети Интернет, международной платежной Системой Visa был предложен протокол безопасности 3-D Secure. Введение данного протокола безопасности для платежей через Интернет по банковским картам Visa позволило существенно снизить риск проведения мошеннических транзакций.

Спецификации протокола Visa 3-D Secure были опубликованы компанией Visa в 2001 году.

3-D в названии протокола означает «3-Domain» (три домена), отражающее разделение процесса аутентификации финансовой транзакции на три домена: Issuer Domain (домен банка-эмитента), Acquirer Domain (домен банка-эквайера) и Interoperability Domain (домен обеспечения).

К Issuer Domain (домену банка-эмитента) относится, в частности, банк-эмитент банковской карты и его Access Control Server (ACS) (сервер контроля доступа). ACS осуществляет проверку возможности произвести аутентификацию держателя карты по протоколу Visa 3-D Secure и собственно аутентификацию клиента (держателя карты).

К Acquirer Domain (домену банка-эквайера), в частности, относятся: сервер магазина и Merchant Plug-In (MPI) - плагин сервера магазина, который создает запрос на аутентификацию и формирует сообщение о результате аутентификации клиента, банк-эквайер - финансовое учреждение, которое взаимодействует с авторизующей системой платежной системы и передает магазину результаты авторизации.

Interoperability Domain (домен обеспечения), в частности, обеспечивает передачу сообщений между Issuer Domain и Acquirer Domain в соответствии с общими протоколами, в частности, пересылки служебных сообщений между банками.

Особенностью протокола 3-D Secure, в частности, является то, что банку-эмитенту предоставлена большая свобода в выборе непосредственных методов и процедур аутентификации. Протокол весьма гибок и подразумевает разработку новых решений.

Возможность для банков-эмитентов аутентифицировать клиентов во время онлайновой покупки повышает надежность и безопасность финансовой транзакции и уменьшает возможность мошеннического использования банковских карт, аутентификация, проводимая банком-эмитентом является дополнительным и важным элементом защиты финансовых транзакций.

Аутентификация по протоколу VISA 3-D Secure происходит следующим образом:

между клиентом (держателем платежной карты) и банком-эмитентом организуется соединение, клиент по защищенному от несанкционированного доступа протоколу сообщает банку-эмитенту данные банковской карты и собственные аутентифицирующие данные, банк-эмитент проверяет указанные данные, после чего сообщает получателю платежа подтверждение возможности и правомочности платежа. Если банк-эмитент подтверждает аутентификацию клиента, инициируется авторизация платежной транзакции.

Более подробно механизм платежа через Интернет по протоколу VISA 3-D Secure проиллюстрирован на фиг.1. Обработка Интернет-платежа по технологии 3D-Secure. происходит следующим образом (см. фиг.1):

1. Пользователь банковской карты формирует корзину заказа на Интернет-сайте магазина, вводит реквизиты карты и инициирует процедуру платежа.

2. Интернет-магазин, используя компонент Merchant Plug-in, установленный на сервере банка-эквайера, пересылает авторизационный запрос на возможность проведения аутентификации специального формата в Visa Directory Server. Visa Directory Server проверяет, зарегистрирован ли данный номер карты на участие в программе Verified by Visa (т.е. прошел ли держатель карты процедуру регистрации). При этом Visa Directory не обладает данными о самом секретном пароле, а может лишь определить, обладает ли им держатель карты, инициировавший транзакцию, отправив запрос на Access Control Server банка-эмитента.

3. После того как Merchant Plug-in получает ответ от Visa Directory о том, что данный владелец карты может совершать платеж по технологии 3D-Secure, Интернет-магазин отправляет запрос на аутентификацию на Access Control Server банка-эмитента через Интернет-браузер пользователя.

4. Владелец карты маршрутизируется на Access Control Server банка-эмитента, где вводит пароль.

5. Access Control Server отправляет утвердительный или отрицательный авторизационный ответ на Merchant Plug-in и одновременно сохраняет данные о результате проведения аутентификации на Authentication History Server - сервер платежной системы, на котором хранятся данные о всех транзакциях, проведенных по технологии 3-D-Secure. Впоследствии эти данные могут использоваться банками-участниками при решении претензий клиентов, а также при проведении арбитража спорных операций.

6. Merchant Plug-in принимает ответ Access Control Server и в случае утвердительного ответа банка-эмитента отправляет авторизационный запрос на хост банка-эквайра.

7. Далее обработка авторизационного запроса происходит по стандартной схеме через сеть платежной системы VisaNet.

Из уровня техники известна система осуществления платежа (см. патент GB 2389693, МПК 7 G07F 19/00, опубликованный 17.12.2003), содержащая:

средство для генерации уникального идентификатора денежной суммы в ответ на платеж клиента;

средство для передачи вышеуказанного сгенерированного идентификатора на мобильный телефон клиента;

средство для хранения вышеуказанного сгенерированного идентификатора в центральном сервере данных;

средство для получения идентификатора, переданного с мобильного телефона клиента, причем упомянутый идентификатор содержит информацию о платеже;

средство для сравнения, по крайней мере, части идентификатора, по крайней мере, с частью сгенерированных идентификаторов; и

средство для указания вышеуказанного идентификатора.

Недостатком данной системы является передача идентификатора по открытому каналу связи без дополнительного кодирования.

Наиболее близким аналогом (прототипом) предлагаемого изобретения является способ транзакции с помощью мобильного телефона (или иного беспроводного устройства, например, КПК), подключенного к услуге WAP или GPRS, (см. заявку W003/047208 А1, МПК 7 Н04L 29/06, опубликованную 05.06.2003). Способ включает в себя следующие этапы:

получение информации о сделке посредством мобильного телефона;

передача информации о сделке серверу процессинга для проверки возможности осуществления сделки;

при получении от сервера процессинга положительного результата проверки возможности осуществления сделки - передача данной информации на мобильный телефон,

при этом передача данных осуществляется через сеть Интернет.

Недостатком ближайшего аналога является низкая конфиденциальность, поскольку вся информация передается в открытом виде через сеть Интернет.

Сущность изобретения.

Задачей настоящего изобретения является создание способа осуществления многофакторной строгой аутентификации держателя банковской карты с использованием мобильного телефона в среде мобильной связи, при осуществлении межбанковских финансовых транзакций в международной платежной системе, на основе существующей технологии 3-D Secure.

Другой задачей настоящего изобретения является создание способа осуществления многофакторной строгой аутентификации держателя банковской карты с использованием мобильного телефона в среде мобильной связи, при осуществлении межбанковских финансовых транзакций в международной платежной системе по протоколу спецификации 3-D Secure, которые возможно внедрить уже в существующие сети мобильной (сотовой) связи.

Другой задачей настоящего изобретения является создание способа осуществления многофакторной строгой аутентификации держателя банковской карты с использованием мобильного телефона в среде мобильной связи, при осуществлении межбанковских финансовых транзакций в международной платежной системе, по протоколу спецификации 3-D Secure, соответствующих требованиям строгой конфиденциальности, при котором секретные сведения, например о кредитной карте (код PAN, срок действия (Expiry Date), не передаются по открытому каналу связи.

Дополнительной задачей настоящего изобретения является создание удобного и простого в использовании для клиентов мобильных (сотовых) сетей связи способа использования банковских карт как платежного средства.

Поставленные задачи для системы осуществления многофакторной строгой аутентификации клиента с использованием мобильного телефона в среде мобильной связи, при осуществлении финансовой транзакции в международной платежной системе по протоколу спецификации 3-D Secure решаются за счет того, что система содержит:

домен обеспечения функциональной совместимости международной платежной системы, предоставляющей физическим лицам услуги при использовании банковских карт как платежного средства, далее по тексту - домен обеспечения и - платежная система;

домен банков-эмитентов платежной системы;

домен банков-эквайеров платежной системы;

причем домены банков-эквайеров и банков-эмитентов соединены с доменом обеспечения посредством компьютерных сетей связи;

по меньшей мере, один компонент ACS спецификации 3-D Secure платежной системы в домене банков-эмитентов;

по меньшей мере, один компонент MPI спецификации 3-D Secure платежной системы в домене банков-эквайеров,

при этом система дополнительно содержит:

по меньшей мере, одну сеть сотовой мобильной связи стандарта GSM, обеспечиваемую GSM-оператором;

по меньшей мере, один мобильный телефон стандарта GSM, подключенный к сети GSM-оператора, с SIM-картой, на которой записана стандартная информация GSM-оператора, а также, по меньшей мере, одна компьютерная программа - апплет, реализующая функциональность компонента банка-эмитента;

блок обеспечения межбанковского и мобильного обмена данными - блок MID, подключенный посредством компьютерной сети связи, по меньшей мере, к одной сети GSM-оператора;

по меньшей мере, один блок банка-эмитента - блок i-MAP, подключенный посредством компьютерных сетей связи к блоку MID и, по меньшей мере, к одному компоненту ACS;

по меньшей мере, один блок банка-эквайера - блок а-МАР, подключенный посредством компьютерных сетей связи к блоку MID и, по меньшей мере, к одному компоненту MPI;

по меньшей мере, один сервер получателя платежа, подключенный посредством компьютерной сети связи к компоненту MPI,

причем каждый компонент MPI подключен посредством компьютерной сети связи, по меньшей мере, к одному серверу получателя платежа.

Поставленные задачи для первого варианта способа осуществления многофакторной строгой аутентификации клиента с использованием мобильного телефона в среде мобильной связи при осуществлении финансовой транзакции в международной платежной системе по протоколу спецификации 3-D Secure, решаются за счет того, что:

активируют записанную на SIM-карте мобильного телефона клиента компьютерную программу - апплет, затем инициируют финансовую транзакцию, определяя параметры платежа с помощью соответствующих пунктов меню апплета и в ответ на запросы апплета;

средствами мобильного телефона, SIM-карты и апплета формируют и отправляют GSM-оператору неголосовое сообщение, адресованное блоку межбанковского и мобильного обмена данными - блоку MID, содержащее параметры платежа, к которым относятся, в частности, условный идентификатор клиента в банке-эмитенте клиента, условный идентификатор банковской платежной карты клиента в банке-эмитенте клиента, а также содержащее параметры запрашиваемой оферты, к которым относятся, в частности, идентификатор получателя платежа, идентификатор оплачиваемого товара или услуги, количество предполагаемых к оплате товаров или услуг, сумма платежа;

от GSM-оператора передают полученное неголосовое сообщение и номер телефона отправителя сообщения блоку MID;

в блоке MID по упомянутому условному идентификатору клиента определяют соответствующий этому идентификатору компонент банка-эмитента - блок i-MAP, который, в частности, реализует функциональность интерфейса с компонентами ACS спецификации 3-D Secure, формируют и передают упомянутому блоку i-MAP запрос на получение актуальных атрибутов банковской карты клиента, необходимых для проведения финансовой транзакции в соответствии со спецификаций платежной системы;

по содержащимся в полученном от MID запросе упомянутому условному идентификатору клиента и условному идентификатору банковской карты клиента в упомянутом блоке i-MAP определяют актуальные атрибуты банковской карты клиента, формируют и передают блоку MID ответ, содержащий запрошенные данные;

по упомянутому идентификатору получателя платежа в блоке MID определяют соответствующий этому идентификатору компонент банка-эквайера получателя платежа - блок а-МАР, который, в частности, реализует функциональность интерфейса с компонентами MPI спецификации 3-D Secure, формируют и передают этому блоку а-МАР сообщение, содержащее актуальные атрибуты банковской карты клиента, идентификатор получателя платежа и параметры запрашиваемой оферты;

по упомянутому идентификатору получателя платежа в блоке а-МАР определяют соответствующий этому идентификатору компонент MPI и инициируют аутентификационную транзакцию по спецификации 3-D Secure, обращаясь к этому MPI;

сформированный упомянутым компонентом MPI по спецификации 3-D Secure запрос на аутентификацию клиента получают в упомянутом блоке а-МАР, передают блоку MID и далее от блока MID передают упомянутому блоку i-MAP;

в упомянутом блоке i-MAP по содержащимся в полученном запросе на аутентификацию клиента данным определяют соответствующий этим данным компонент ACS и, обращаясь к этому ACS, формируют, зашифровывают с использованием персональных банковских секретных ключей клиента, подписывают и передают блоку MID сообщение-запрос, содержащее аутентификационный запрос и оферту;

в блоке MID формируют и передают GSM-оператору неголосовое сообщение, адресованное на мобильный телефон клиента, содержащее полученное сообщение-запрос;

после получения неголосового сообщения клиентом от GSM-оператора средствами мобильного телефона, SIM-карты и апплета проверяют подлинность полученного сообщения и, в случае аутентичности сообщения, на дисплее мобильного телефона отображают аутентификационный запрос;

в случае предъявления клиентом персонального пароля в ответ на аутентификационный запрос и последующего принятия клиентом оферты, подтверждаемого повторным предъявлением персонального пароля, инициируют защищенную функцию апплета;

средствами мобильного телефона, SIM-карты и защищенной функции апплета формируют и отправляют GSM-оператору зашифрованное и подписанное с использованием персональных банковских секретных ключей клиента неголосовое сообщение, адресованное блоку MID;

от GSM-оператора передают полученное неголосовое сообщение и номер телефона отправителя сообщения блоку MID;

в блоке MID формируют и передают упомянутому блоку i-MAP сообщение, содержащее ответ на аутентификационный запрос;

в упомянутом блоке i-MAP, обращаясь к упомянутому компоненту ACS, проверяют результат аутентификации, а именно, является или нет ответ на аутентификационный запрос доказательством аутентичности решения клиента о принятии оферты, при этом для аутентификации клиента в блоке i-MAP используют совокупность следующего ряда факторов: установление факта владения клиентом мобильным телефоном с SIM-картой, имеющей аутентичные идентификационные и телефонный номера, установление факта наличия, аутентичности и функционально-корректной целостности, записанных на упомянутой SIM-карте апплета банка-эмитента и персональных секретных банковских ключей клиента и установление факта знания клиентом персонального пароля, выполняющего функцию кода доступа к защищенным от неавторизованного использования функциям упомянутого апплета, а в качестве доказательства подлинности клиента и принятия клиентом оферты используют позитивный результат, основанный на совокупности подтверждений установления упомянутых фактов;

в упомянутом блоке i-MAP формируют сообщение, адресованное упомянутому блоку а-МАР, содержащее результат проверки аутентификации;

из блока i-MAP посредством блока MID передают результат аутентификации упомянутому блоку а-МАР;

в блоке а-МАР, используя полученные данные, инициируют авторизационную транзакцию в платежной системе, обращаясь к упомянутому компоненту MPI;

в блоке i-MAP получают от упомянутого компонента ACS спецификации 3-D Secure платежной системы в домене банка-эмитента, взаимодействующего по компьютерной сети связи с упомянутым компонентом MPI спецификации 3-D Secure платежной системы в домене банка-эквайера, необходимое и сформированное по спецификации и компонентами платежной системы сообщение клиенту о результате проведения авторизационной транзакции из банка-эмитента, формируют, зашифровывают с использованием персональных банковских секретных ключей клиента и передают блоку MID сообщение, содержащее результат проведения авторизационной транзакции;

в блоке MID формируют и передают GSM-оператору неголосовое сообщение, адресованное на мобильный телефон клиента, содержащее полученное сообщение;

после получения неголосового сообщения клиентом от GSM-оператора средствами мобильного телефона, SIM-карты и апплета проверяют подлинность сообщения и в случае аутентичности сообщения на дисплее мобильного телефона клиента отображают результат проведения авторизационной транзакции;

при этом всю информацию, касающуюся инициации финансовой транзакции, аутентификации, авторизационной транзакции и извещения о результатах авторизационной транзакции, сохраняют средствами, предусмотренными платежной системой и в соответствии со спецификацией платежной системы.

Поставленные задачи для второго варианта способа осуществления многофакторной строгой аутентификации клиента с использованием мобильного телефона в среде мобильной связи при осуществлении финансовой транзакции в международной платежной системе по протоколу спецификации 3-D Secure, решаются за счет того, что:

информационно-техническими средствами получателя платежа инициируют финансовую транзакцию, обращаясь к соответствующему компоненту MPI получателя платежа, формируют запрос на проведение финансовой транзакции с условием аутентификации по спецификации 3-D Secure, причем запрос включает в себя идентификатор получателя платежа, параметры оферты, к которым относятся, в частности, идентификатор оплачиваемого товара или услуги, количество предлагаемых к оплате товаров или услуг, сумма платежа и адрес клиента для доставки оферты клиенту, который включает, в частности, условный идентификатор клиента в банке-эмитенте и/или номер телефона клиента;

запрос отправляют через соответствующий компонент банка-эквайера получателя платежа - блок а-МАР, который, в том числе, реализует функциональность интерфейса с компонентами MPI 3D Secure, в блок обеспечения межбанковского и мобильного обмена данными - блок MID;

в случае неполноты адреса клиента в блоке MID определяют соответствующий номеру телефона клиента условный идентификатор клиента в банке-эмитенте или номер телефона клиента, соответствующий условному идентификатору клиента в банке-эмитенте, по упомянутому идентификатору клиента определяют соответствующий этому идентификатору компонент банка-эмитента - блок i-MAP, в том числе реализующий функциональность интерфейса с компонентами ACS 3-D Secure, формируют и передают упомянутому блоку i-MAP запрос на проведение финансовой транзакции с условием аутентификации по спецификации 3-D Secure;

в упомянутом блоке i-MAP по содержащимся в полученном запросе данным проверяют допустимость финансовой транзакции с использованием мобильного телефона клиента, определяют соответствующий этим данным компонент ACS, обращаясь к этому ACS формируют, зашифровывают с использованием персональных банковских секретных ключей клиента, подписывают и передают блоку MID сообщение-запрос, содержащее аутентификационный запрос и оферту;

в блоке MID формируют и передают GSM-оператору неголосовое сообщение, адресованное на мобильный телефон клиента, содержащее полученное сообщение-запрос;

после получения неголосового сообщения клиентом от GSM-оператора средствами мобильного телефона, SIM-карты и предварительно записанной на SIM-карте клиента компьютерной программы - апплета проверяют подлинность сообщения и в случае аутентичности сообщения на дисплее мобильного телефона отображают аутентификационный запрос;

в случае предъявления клиентом персонального пароля в ответ на аутентификационный запрос, определения клиентом не установленных получателем платежа параметров платежа с помощью соответствующих пунктов меню апплета и в ответ на запросы апплета и последующего принятия клиентом оферты, подтвержденного повторным предъявлением персонального пароля, инициируют защищенную функцию апплета;

средствами мобильного телефона, SIM-карты клиента и защищенной функции апплета формируют и отправляют GSM-оператору зашифрованное и подписанное с использованием персональных банковских секретных ключей клиента неголосовое сообщение, содержащее доказательство аутентичности решения клиента о принятии оферты и параметры платежа, адресованное блоку MID;

от GSM-оператора передают полученное неголосовое сообщение и номер телефона отправителя сообщения блоку MID;

в блоке MID формируют и передают упомянутому блоку i-MAP сообщение, содержащее упомянутые доказательство аутентичности решения клиента о принятии оферты и параметры платежа;

в упомянутом блоке i-MAP, обращаясь к упомянутому компоненту ACS, проверяют результат аутентификации, а именно, проверяют доказательство аутентичности решения клиента о принятии оферты, и формируют сообщение, адресованное упомянутому блоку а-МАР, содержащее результат проверки аутентификации и параметры платежа;

при этом, учитывая что спецификация 3-D Secure не регламентирует способ аутентификации клиента банком-эмитентом, при этом для проверки доказательства аутентичности в блоке i-MAP используют совокупность следующего ряда факторов: установление факта владения клиентом мобильным телефоном с SIM-картой, имеющей аутентичные идентификационные и телефонный номера, установление факта наличия, аутентичности и функционально-корректной целостности, записанных на упомянутой SIM-карте апплета банка-эмитента и персональных секретных банковских ключей клиента, и установление факта знания клиентом персонального пароля, выполняющего функцию кода доступа к защищенным от неавторизованного использования функциям упомянутого апплета, а в качестве доказательства подлинности клиента и принятия клиентом оферты используют позитивный результат, основанный на совокупности подтверждений установления упомянутых фактов;

из упомянутого блока i-MAP посредством блока MID передают результат аутентификации и параметры платежа упомянутому блоку а-МАР;

в блоке а-МАР, используя полученные данные, инициируют авторизационную транзакцию в платежной системе, обращаясь к упомянутому компоненту MPI;

в блоке i-MAP получают от упомянутого компонента ACS, взаимодействующего по компьютерной сети связи с упомянутым компонентом MPI спецификации 3-D Secure платежной системы в домене банка-эквайера, необходимое и сформированное по спецификации и компонентами платежной системы сообщение клиенту о результате проведения авторизационной транзакции из банка-эмитента, формируют, зашифровывают с использованием персональных банковских секретных ключей клиента и передают блоку MID сообщение, содержащее результат проведения авторизационной транзакции;

в блоке MID формируют и передают GSM-оператору неголосовое сообщение, адресованное на мобильный телефон клиента, содержащее полученное сообщение;

после получения неголосового сообщения клиентом от GSM-оператора средствами мобильного телефона, SIM-карты и апплета проверяют подлинность сообщения и в случае аутентичности сообщения на дисплее мобильного телефона клиента отображают результат проведения авторизационной транзакции;

при этом всю информацию, касающуюся инициации финансовой транзакции, аутентификации, авторизационной транзакции и извещения о результатах авторизационной транзакции, сохраняют средствами, предусмотренными платежной системой и в соответствии со спецификацией платежной системы.

Техническим результатом от использования заявленного изобретения является создание удобных и простых в использовании для клиентов мобильных (сотовых) сетей связи способа и системы осуществления транзакций с гарантией конфиденциальности производимых операций. Требуемый уровень конфиденциальности передаваемых данных обеспечивается за счет того, что заявленное изобретение позволяет при осуществлении транзакций не передавать по открытому каналу связи секретные сведения о кредитной карте, а именно код PAN, срок действия (Expiry Date) и др. Осуществление транзакций в соответствии с заявленным изобретением возможно с использованием существующих сетей мобильной (сотовой) связи без применения оператором сотовой связи дополнительного оборудования.

Техническим результатом от использования изобретения является также то, что финансовые транзакции, можно производить на основе уже существующей и внедренной технологии 3-D Secure. Заявленная система осуществления финансовых транзакций с помощью мобильного телефона разработана как дополнение к системе, работающей по протоколу 3-D Secure (система 3-D Secure), и настоящее изобретение позволяет использовать уже существующие системы, что намного удешевляет ее построение.

При этом заявленное изобретение имеет более широкие функциональные возможности, так как может использоваться не только при проведении платежных транзакций, но в других случаях, когда требуется использовать строгую аутентификацию.

Достижение технического результата для заявленных вариантов способа и заявленной системы обусловлено тем, что для обеспечения легитимности и безопасности при банковских операциях используются надежные средства аутентификации как неотъемлемая часть политики безопасности.

Одной из основных проблем по обеспечению информационной безопасности электронного банкинга является выбор надежной и гибкой системы аутентификации при авторизации доступа к ресурсам и сервисам.

Обычный пароль, наиболее распространенная форма аутентификации, это слабая однофакторная аутентификация, сторона может заявить, что пароль был разгадан и отрицать свое соучастие в мошенничестве, либо отклонить обвинение в халатности. Многофакторная аутентификация представляет из себя идентификацию пользователя на основе того, что он знает, чем он владеет, и того, что он умеет делать или обладает чем-то, характеризующим, кем он является, например, биометрической характеристикой, - такая аутентификация называется многофакторной.

По сравнению с традиционным паролем строгая многофакторная аутентификация в открытой телекоммуникационной сети мобильной сотовой связи стандарта GSM, объединяя то, что пользователь знает секретный пароль, что он владеет персонализированной SIM-картой для мобильного телефона и то, что умеет выполнять специализированный и защищенный от несанкционированного использования апплет в сочетании с персонализированной идентификационной информацией, обеспечивает существенно сильную и надежную защиту в сфере информационной безопасности, является простым в использовании способом защиты, при котором другая сторона может однозначно идентифицировать человека, находящегося на противоположном конце электронной операции в открытой телекоммуникационной сети.

Применение унифицированной многофакторной аутентификации дает возможность, не вступая в противоречия со стандартами, развивать контролируемый режим информационной безопасности и расширять спектр предоставляемых сервисов, а также укреплять доверие к применяющей многофакторную аутентификацию стороне в целом.

Краткое описание чертежей

Изобретение поясняется чертежами.

На фиг.1 изображена схема обработки Интернет-платежа по технологии 3-D-Secure.

На фиг.2 изображена структурная схема заявленной системы.

Осуществление изобретения

Система осуществления многофакторной строгой аутентификации клиента с использованием мобильного телефона в среде мобильной связи, при осуществлении финансовой транзакции в международной платежной системе, по протоколу спецификации 3-D Secure по заявленному способу состоит, в частности, из следующих вновь введенных узлов:

1. Мобильный телефон клиента (абонента сотовой сети мобильной связи) с SIM-картой, на которой записаны:

а) стандартная информация GSM-оператора;

б) компьютерная программа - апплет, реализующая функциональность банковского приложения, являющаяся банковским компонентом. Данная программа зарегистрирована в федеральном органе исполнительной власти по интеллектуальной собственности в соответствии с Законом РФ "О правовой охране программ для электронных вычислительных машин и баз данных", рег. №2005611132 от 16 мая 2005 г. Сведения о программе опубликованы в сети Интернет www.intervale.ru 15 июня 2005 г.

Информационно-технические средства клиента: мобильный телефон, SIM-карта клиента и апплет осуществляют формирование и отправку GSM-оператору неголосовых сообщений, а также обработку полученных от GSM-оператора неголосовых сообщений (протокол сообщения может быть различным, например: SMS, MMS, USSD, WAP).

2. Mobile Interchange Directory, блок обеспечения межбанковского и мобильного обмена данными, подключенный посредством компьютерной сети связи к сети GSM-оператора, далее по тексту - блок MID. В блоке MID содержится база данных, содержащая условные идентификаторы клиентов, зарегистрированных в системе и соответствующие им адреса блоков интерфейса с компонентом спецификации 3-D Secure соответствующего банка-эмитента, а также база данных, содержащая условные идентификаторы получателей платежа и соответствующие им адреса блоков интерфейса с компонентом спецификации 3-D Secure соответствующего банка-эквайера.

3. Issuer Mobile Access Point - компонент банка-эмитента, в том числе реализующий функциональность интерфейса с компонентами 3-D Secure - далее по тексту блок i-MAP. Данный блок обеспечивает обмен сообщениями-сигналами, содержащими необходимую информацию, между компонентом 3-D Secure со стороны банка-эмитента и блоком MID.

4. Acquirer Mobile Access Point - компонент банка-эквайера, в том числе реализующий функциональность интерфейса с компонентами 3D Secure - далее по тексту блок а-МАР. Данный блок обеспечивает обмен сообщениями-сигналами, содержащими необходимую информацию, между компонентом 3-D Secure со стороны банка-эквайера и блоком MID.

Более подробно функции компонентов заявленной системы раскрыты при описании способов осуществления многофакторной строгой аутентификации клиента с использованием мобильного телефона в среде мобильной связи, при осуществлении финансовой транзакции в международной платежной системе, по протоколу спецификации 3-D Secure.

При реализации заявленного способа с использованием описанной выше системы осуществления многофакторной строгой аутентификации клиента с использованием мобильного телефона в среде мобильной связи, при осуществлении межбанковских финансовых транзакций в международной платежной системе, по протоколу спецификации 3-D Secure используется четырехфазный протокол обмена сообщениями при проведении финансовой операции с использованием компонентов спецификации 3-D Secure.

Выполнение финансовой транзакции по заявленному способу, реализованному заявленной системой, состоит из четырех последовательно выполняющихся фаз:

1) инициация операции;

2) генерация и доставка аутентификационного запроса;

3) генерация и доставка ответа на аутентификационный запрос;

4) выполнение операции, генерация и доставка извещения о результатах операции.

При выполнении каждой фазы осуществляется передача сообщений между участниками системы.

Фаза 1.

Инициация операции.

В соответствии с первым вариантом осуществления заявленного способа инициация может осуществляться клиентом, а в соответствии со вторым вариантом - получателем платежа.

В случае инициации финансовой транзакции клиентом, клиент с мобильного телефона, активирует апплет (компьютерную программу, записанную на SIM-карте клиента) и, выбирая соответствующие пункты меню апплета и определяя параметры платежа в ответ на запросы апплета, инициирует финансовую транзакцию. В частности, параметрами платежа могут быть: условный идентификатор клиента в банке-эмитенте клиента, условный идентификатор платежной карты клиента в банке-эмитенте клиента, параметры оферты. В частности, параметрами оферты могут быть: идентификатор получателя платежа (торгового предприятия или предприятия, продающего услуги), в адрес которого клиент предполагает совершить платеж, идентификатор оплачиваемого товара (услуги), количество предполагаемых к оплате товаров (услуг), сумма платежа, дополнительные параметры оферты. Информационно-техническими средствами мобильного телефона, SIM-карты клиента и апплета формируется и отправляется GSM-оператору неголосовое сообщение, содержащее начальные параметры операции.

В случае инициации финансовой транзакции получателем платежа параметры оферты должны быть сформированы для клиента получателем платежа. В качестве адреса для доставки оферты, в частности, может быть указан номер мобильного телефона клиента, упомянутый номер может быть либо известен получателю платежа из договора с клиентом (предописанные платежные операции, например, в случае ежемесячного абонентского платежа), либо сообщен клиентом получателю платежа любым иным способом при формировании оферты получателем платежа.

Результат фазы 1

Не требующие строгой конфиденциальности данные о платежной карте клиента и параметры запрашиваемой оферты информационно-техническими средствами сторон-участников системы сообщаются получателю платежа.

Фаза 2.

Генерация и доставка аутентификационного запроса и запроса на акцептование (согласия заключить договор на условиях, указанных в оферте получателя платежа) от банка-эмитента к клиенту.

Аутентификационный запрос и запрос на акцептование формируется и доставляется информационно-техническими средствами сторон-участников системы на основании данных банка-эмитента и данных, полученных от получателя платежа.

Результат фазы 2.

Неголосовое сообщение от банка-эмитента с запросом на акцептование с условием аутентификации клиента (идентификации клиента с применением мобильного телефона, SIM-карты и апплета) доставляется информационно-техническими средствами сторон-участников системы на мобильный телефон клиента, клиент получает необходимый и сформированный по спецификации 3-D Secure аутентификационный запрос из банка-эмитента. На дисплей мобильного телефона отображается аутентификационный запрос клиенту, например, требование ввести пароль для проведения проверки знания клиентом некоторого персонального секрета известного только клиенту, при этом секретный пароль выполняет функцию кода доступа к защищенным функциям апплета на SIM-карте клиента.

Фаза 3.

Генерация и доставка ответа на аутентификационный запрос.

В случае принятия оферты (акцептование) клиент с использованием мобильного телефона, предъявляет персональный секрет (например, секретный пароль), далее средствами мобильного телефона, SIM-карты и апплета формируется и посылается неголосовое сообщение - ответ, содержащий результат аутентификации и само решение о принятии оферты. Спецификация VISA 3-D Secure не регламентирует порядок проведения аутентификации клиента банком-эмитентом, протокол аутентификации клиента может быть уникальным для каждого банка-эмитента, аутентификация производится по схеме, принятой в банке-эмитенте. Все сообщение информационно-техническими средствами мобильного телефона, SIM-карты и апплета подписывается электронно-цифровой подписью клиента с использованием персональных банковских секретных ключей, записанных на SIM-карте (SIM-карты обладают встроенными средствами защиты от несанкционированного доступа к критической (ключевой) информации (например, технически защищены от воз