Способ обеспечения проведения безопасных мобильных финансовых транзакций в сетях подвижной связи (варианты) и архитектура для его осуществления

Способ обеспечения проведения безопасных мобильных финансовых транзакций в сетях подвижной связи (варианты) и архитектура для его осуществления

Иллюстрации

Показать все

Реферат

Изобретение относится к безналичным транзакциям, в частности к способам обеспечения безопасности проведения удаленных финансовых транзакций с использованием сетей мобильной связи.

Известен способ проведения безналичных транзакций, который включает в себя определение первой идентификационной информации из первого устройства идентификации; предварительную авторизацию безналичной транзакции на основе первой идентификационной информации; определение второй идентификационной информации из второго устройства идентификации; и в случае когда первая идентификационная информация и вторая идентификационная информация ассоциативно связаны, авторизацию безналичной транзакции (Патент РФ №2394275, МПК G06Q 20/00, опубл. 10.07.2010).

Известен способ осуществления многофакторной строгой аутентификации клиента с использованием мобильного телефона в среде мобильной связи при осуществлении финансовой транзакции в международной платежной системе по протоколу спецификации 3-D Secure. При осуществлении межбанковской финансовой транзакции в международной платежной системе по протоколу спецификации 3-D Secure последовательно выполняются четыре фазы транзакции: инициация операции; генерация и доставка аутентификационного запроса; генерация и доставка ответа на аутентификационный запрос; выполнение операции, генерация и доставка извещения о результатах операции. При выполнении каждой фазы осуществляют передачу сообщений-сигналов между участниками системы с использованием компонентов спецификации 3-D Secure. (Патент РФ №2301449, МПК G06Q 20/00, опубл. 20.06.2007)

Недостатками известных способов являет то, что в них рассматриваются только вопросы идентификации и аутентификации пользователя, при отсутствии комплексного подхода к обеспечению безопасности проведения удаленных финансовых транзакций с использованием сетей мобильной связи и учета возникновения рисков проведения удаленных мобильных платежей, а именно:

- риск потери конфиденциальности - доступ к конфиденциальной информации посторонних лиц;

- риск нарушения целостности - искажение информации в процессе передачи или обработки;

- риск подделки электронных документов (риск аутентичности) - формирование электронного документа участником взаимоотношений, не имеющим на это право;

- риск отказа от авторства - отказ от авторства электронного документа;

- риск уничтожения информации (умышленно или по халатности);

- транзакционный риск - невозможность завершения транзакции по причине плохого качества передачи данных.

Технической задачей, на решение которой направлено заявляемое изобретение, состоит в создании нового способа, обеспечивающего информационную безопасность при передаче, обработке и хранении платежной информации в ходе проведения финансовых транзакций с применением сетей мобильной связи и комплексно решающего вышеперечисленные недостатки.

Поставленная техническая задача решается тем, что способ обеспечения проведения безопасных мобильных финансовых транзакций в сетях подвижной связи по первому варианту осуществления заключается в том, что инициируют подключение клиента к упомянутой услуге в мобильной платежной системе, для чего авторизуют и идентифицируют в мобильной платежной системе с использованием публичного идентификатора в сети, регистрируют реквизиты клиента в базе данных информационной системы провайдера услуг мобильной платежной системы и по каналам связи передают клиенту код активации, регистрируют платежный инструмент клиента, к которому относят, в частности, банковский счет, или карточный счет, или счет в небанковском учреждении, путем передачи в базу данных оператора мобильной платежной системы минимально необходимого числа параметров для совершения удаленной платежной операции с участием клиента, которые безопасным образом сохраняются оператором мобильной платежной системы, инициируют проведение мобильной финансовой транзакции, в случае если проведение мобильной финансовой транзакции инициируется клиентом, средствами клиентского мобильного устройства формируют запрос, содержащий параметры финансовой транзакции и платежного инструмента, который по каналам связи оператора связи передают оператору мобильной платежной системы, в которой осуществляют аутентификацию клиента с использованием одного фактора аутентификации, проводят финансовую транзакцию с применением реквизитов платежного инструмента клиента и по каналам связи оператора связи передают клиенту информацию о результатах выполнения финансовой транзакции, в случае если проведение мобильной финансовой транзакции инициируется торгово-сервисным предприятием, посредством информационно-технических средств формируют платежную оферту и направляют ее по каналам связи оператора связи оператору мобильной платежной системы, который идентифицирует клиента и передает сообщение-запрос, содержащее аутентификационный запрос и платежную оферту, средствами клиентского мобильного устройства формируют сигнал с информацией, содержащей параметры финансовой операции и платежного инструмента и по каналам связи передают оператору мобильной платежной системы, в которой осуществляют аутентификацию клиента с использованием одного фактора аутентификации, проводят финансовую транзакцию с применением реквизитов платежного инструмента клиента и по каналам связи оператора связи передают клиенту информацию о результатах выполнения финансовой транзакции, далее средствами клиентского мобильного устройства формируют запрос на отключение платежного инструмента и передают по каналам связи оператора связи провайдеру услуг мобильной платежной системы, который осуществляет аутентификацию клиента с использованием одного фактора аутентификации, на основании запроса в базе данных информационной системы провайдера услуг мобильной платежной системы отключают платежный инструмент, сигнал с информацией об отключении платежного инструмента передают клиенту по каналам связи оператора связи, средствами клиентского мобильного устройства формируют запрос на отключение услуги мобильной платежной системы, осуществляют авторизацию и идентифицируют в мобильной платежной системе с использованием публичного идентификатора в сети, изменяют статус клиента путем блокировки учетной записи в базе данных информационной системы провайдера и сигнал с информацией об отключении услуг мобильной платежной системы по каналам связи оператора связи передают клиенту.

Поставленная техническая задача решается также тем, что способ обеспечения проведения безопасных мобильных финансовых транзакций в сетях подвижной связи по второму варианту осуществления заключается в том, что инициируют подключение клиента к упомянутой услуге в мобильной платежной системе, для чего авторизуют и идентифицируют в мобильной платежной системе с использованием публичного идентификатора в сети, регистрируют реквизиты клиента в базе данных информационной системы провайдера услуг мобильной платежной системы и по каналам связи передают клиенту код активации, способ осуществляют с использованием клиентского платежного приложения, предназначенного для безопасного совершения мобильных платежных операций, средствами клиентского мобильного устройства инициируют и направляют по каналам связи оператора связи оператору мобильной платежной запрос о предоставлении клиентского платежного приложения, направленное клиенту клиентское платежное приложение размещают на клиентском мобильном устройстве, клиентское платежное приложение активируют, для этого выбирают в меню клиентского платежного приложения пункт «Активация» и вводят в приложение код активации, полученный при регистрации в мобильной платежной системе, посредством клиентского платежного приложения формируют и по каналам связи оператора связи направляют запрос провайдеру услуг мобильной платежной системы для проверки кода активации, при подтверждении кода активации создают ключи клиента, которые сохраняют в базе данных информационной системы провайдера услуг мобильной платежной системы, сигнал с информацией о ключах и результате выполнения активации отправляют Клиенту по каналам связи Оператора связи на клиентское мобильное устройство, в платежном приложении, размещенном в клиентском мобильном устройстве, сохраняют ключи клиента и уведомляют клиента о результате выполнения операции активации, регистрируют платежный инструмент клиента, к которому относят, в частности, банковский счет, или карточный счет, или счет в небанковском учреждении, путем передачи в базу данных оператора мобильной платежной системы минимально необходимого числа параметров для совершения удаленной платежной операции с участием клиента, которые безопасным образом сохраняются оператором мобильной платежной системы, инициируют проведение мобильной финансовой транзакции, формируют запрос, содержащий параметры финансовой транзакции и платежного инструмента, который по каналам связи оператора связи передают оператору мобильной платежной системы, осуществляют многофакторную аутентификацию клиента и шифрование и расшифрование передаваемых данных с использованием клиентского платежного приложения, при каждой аутентификации для активации ключа аутентификации предъявляют пароль либо другие данные, после каждой аутентификации расшифрованный ключ удаляют, при этом для шифрования сообщения применяют симметричные и асимметричные криптографические алгоритмы, далее проводят финансовую транзакцию с применением реквизитов платежного инструмента клиента и по каналам связи оператора связи передают клиенту информацию о результатах выполнения финансовой транзакции.

Поставленная техническая задача решается также тем, что система для обеспечения проведения безопасных мобильных финансовых транзакций в сетях подвижной связи содержит клиентское мобильное устройство, используемое для осуществления мобильных финансовых транзакций в среде мобильной связи, блок оператора сети мобильной связи, обеспечивающий цифровую связь в системе, маршрутизацию и передачу данных, блок оператора мобильной платежной системы, осуществляющий безопасное удаленное взаимодействие по каналам связи финансовых структур, клиентского мобильного устройства и оператора связи в рамках системы мобильных платежей и выполняющий функции провайдера безопасности сервиса, обеспечивающего безопасность передачи данных по каналам связи, провайдера услуг мобильного банкинга и мобильной коммерции, провайдера аутентификации Клиента, блок эмитента платежных инструментов, обеспечивающий эмиссию и обслуживание платежных инструментов Клиента, упомянутый блок связан каналами связи с клиентским мобильным устройством и блоком оператора мобильной платежной системы, блок эквайера поставщика услуг, осуществляющий обслуживание финансовых транзакций торгово-сервисных предприятий и связанный каналами связи с блоком оператора мобильной платежной системы, блок поставщика услуг, осуществляющий поставку товаров и сервисных услуг клиенту и связанный каналами связи с блоком оператора мобильной платежной системы и блоком эквайера поставщика услуг.

Кроме того, клиентское мобильное устройство снабжено программно-аппаратным модулем, который реализует, по меньшей мере, двухфакторную аутентификацию и обеспечивает шифрование и расшифрование передаваемых данных с применением симметричных и асимметричных криптографических алгоритмов.

Техническим результатом, достижение которого обеспечивается реализацией заявляемой совокупности признаков, является:

- уменьшение возможности перехвата персональной или финансовой информации во время операции;

- уменьшение возможности извлечения персональной или финансовой информации из баз данных;

- уменьшение возможности подмены (искажения) персональной или финансовой информации во время операции;

- уменьшение возможности пользования решением субъектами, не авторизованными для этого, и субъектами, не являющимися теми, за кого себя выдают, путем реализации однозначной аутентификации;

- уменьшение возможности использовать «украденную» информацию;

- обеспечение оснований для невозможности инициатору или участнику транзакции отказаться от своих действий после их совершения;

- обеспечение соблюдения участниками взаимодействия всех своих законных прав и обязанностей;

- обеспечение успешного завершения транзакции при передаче сообщений в сетях мобильной связи.

Сущность заявляемого способа поясняется рисунком, где

на фиг.1 представлена общая архитектура безопасной системы мобильных платежей, реализующей предложенный способ;

на фиг.2 представлена схема подключения клиента к услугам мобильной платежной системы (МобПС): а) в офисе оператора МобПС, б) посредством веб-интерфейса;

на фиг.3 представлена схема совершения финансовой операции, инициированной клиентом;

на фиг.4 представлена схема совершения платежа, инициированного торгово-сервисным предприятием (ТСП);

на фиг.5 представлена схема отключения платежного инструмента от МобПС;

на фиг.6 представлена схема отключения клиента от системы МобПС:

а) в офисе оператора МобПС, б) посредством веб-интерфейса;

на фиг.7 представлена схема получения платежного приложения: а) в офисе оператора МобПС, б) посредством веб-интерфейса;

на фиг.8 представлена схема активации платежного приложения;

на фиг.9 представлена схема совершения финансовой операции клиентом в другой системе МобПС.

Реализация задачи всестороннего обеспечения информационной безопасности при передаче, обработке и хранении платежной информации должна основываться на измерениях защиты в соответствии с рекомендациями Международного Союза электросвязи МСЭ-Т Х.800 «Архитектура безопасности для Взаимосвязи Открытых Систем для CCITT приложений» и МСЭ-Т Х.805 «Архитектура безопасности для систем обеспечивающих связь «от конца до конца»», в соответствии с которыми архитектура защиты строится исходя из политики защиты системы при помощи соответствующей степени реализации измерений защиты.

Реализация указанных положений может основываться на использовании:

- средств идентификации и аутентификации участников;

- закрытии информации, передаваемой по каналам связи;

- физических и административных средств обеспечения безопасности среды обработки платежной информации.

Уровень безопасности системы определяется по степени реализации измерений защиты, внедренных в системе. В соответствии с NIST SP 800-63-1, система 4-го, наивысшего уровня безопасности, должна иметь реализацию наивысшей степени по всем измерениям защиты. При этом требования к ряду измерений защиты являются унифицированными для всех уровней безопасности.

Очевидно, что чем выше уровень безопасности, тем сложнее становится реализующая его система и тем более неудобным получается пользовательский интерфейс. Поэтому приемлемый уровень безопасности по определенному риску или компоненту в системе определяется участником, несущим данный риск. Участники, использующие систему, должны быть осведомлены об уровне ее безопасности по каждому из рисков.

Обеспечение безопасности системы возлагается на каждого из участников Системы и достигается реализацией физических и административных средств обеспечения безопасности при передаче, обработке и хранении информации. Участники Системы должны обеспечивать реализацию отраслевых (индустриальных) стандартов по обеспечению информационной безопасности (IT Baseline Protection Manual); GOST, ISO, BSI, PCI DSS, PA DSS and other standards).

Ниже приведен перечень измерений защиты (ITU-T X.800 Recommendation), определяющих уровни безопасности Мобильной Платежной Системы. Реализация измерений защиты обязательна для выполнения всеми участниками Системы в отношении информации, участвующей в информационном обмене:

1. Управление доступом: доступ к каждому из компонентов, входящих в инфраструктуру системы, должен быть разрешен только в соответствии с уровнем полномочий персонала или пользователей системы. Требование, общее для всех уровней безопасности.

2. Аутентификация: должна гарантироваться подлинность заявляемой личности объектов, участвующих в системе. Является одним из ключевых факторов снижения риска отказа от авторства. В связи с широкими организационно-техническими возможностями по реализации схем каждый уровень безопасности определяет минимальные требования к механизму аутентификации.

Три фактора аутентификации:

- Клиент использует некоторые сведения, которые не должен знать кто-либо еще (например, пароль доступа,) (Something you know);

- Клиент обладает чем-либо, доступным только ему, и производит некоторое действие уникальным образом (формирует с применением секретных ключей цифровую подпись, имитовставку) (Something you have);

- Клиент использует некоторые свои биометрические данные (Something you are).

3. Неотказуемость (Сохранность информации): обеспечивает невозможность инициатору или участнику транзакции отказаться от своих действий после их совершения (отправка, передача или получение сообщения). С этой целью все действия системы персонала и пользователей системы должна подвергаться обязательной регистрации. Журналы регистрации событий должны быть защищены от изменений и содержать действия всех пользователей. Выполнение требований применением юридически закрепленных либо оговоренных во взаимных контрактах и совместно с принятыми механизмами аутентификации. Требование, общее для всех уровней безопасности.

4. Конфиденциальность данных: обеспечивается защита данных, используемых в системе, от неправомочного просмотра, изменения. Требования к конфиденциальности определяется критичностью данных, фигурирующих в системе. Каждый уровень безопасности определяет те или иные средства обеспечения конфиденциальности и налагает ограничения на уровень критичности данных, используемых в системе.

5. Безопасность связи: гарантируется доставка сообщения адресату, завершение транзакции (применение протоколов, обеспечивающих завершение транзакции) и защита информации от несанкционированного просмотра при передаче по каналам связи. Требование, общее для всех уровней безопасности. Обеспечивается провайдерами сети мобильной связи.

6. Целостность данных: гарантируется правильность, точность и сохранность данных (защищенность от несанкционированного изменения, удаления, создания и дублирования, а также обеспечивается обнаружение такой несанкционированной деятельности). Гарантируется логическое завершение транзакций при наступлении определенных условий (реализуется на прикладном уровне). Каждый уровень безопасности определяет те или иные механизмы обеспечения целостности. Обеспечение целостности может достигаться средствами конфиденциальности данных и управлением доступа.

7. Доступность: гарантирует отсутствие препятствий для доступа к данным и услугам системы со стороны авторизованных и уполномоченных пользователей системы. Требование, общее для всех уровней безопасности. Обеспечивается провайдерами сети мобильной связи и провайдерами услуги.

8. Секретность: обеспечение защиты информации, участвующей в информационном обмене и хранящейся у участников системы. В решении должно быть задействовано минимально количество данных, необходимых для функционирования системы. Участники системы должны гарантировать отсутствие возможностей по несанкционированному сбору и передаче информации и соответствие отраслевым стандартам информационной безопасности.

В таблице 1 приведена взаимосвязь измерений защиты и вышеописанных рисков.

Таблица 1
Измерения защиты	Риски
потери конфиденциальности	нарушения целостности	подделки электронного документа	отказа от авторства	уничтожение информации	транзакционный
управление доступом	+	+	+	-	+	-
аутентификация	+	+	+	+	-	-
Неотказуемость (сохранность информации)
+	+	+	+	+	-
конфиденциальность данных	+	+	+	-	+	-
безопасность связи	+	+	+	+	+	+
целостность данных	+	+	+	+	+	+
Доступность	-	-	-	-	+	+
Секретность	+	-	-	-	-	+

В заявляемом способе обеспечение необходимых и достаточных требований к проведению безопасных мобильных финансовых транзакций в сетях подвижной связи проводится в зависимости от выбранного уровня безопасности.

При реализации способа для первого уровня безопасности выполняются следующие условия:

Обеспечение аутентификации при использовании услуг системы возлагается на среду передачи данных мобильного оператора.

Конфиденциальность и целостность данных при их передаче обеспечивается средой передачи данных (безопасность связи), а при хранении и обработке данных - механизмом хранения данных и средствами по управлению доступом в Системе.

Секретность (privacy) гарантируется отсутствием в передаваемых сообщениях sensitive data, и реализацией необходимых механизмов хранения данных и средств по управлению доступом в Системе. Компоненты системы не должны иметь скрытых возможностей по несанкционированному сбору и передаче информации.

При реализации способа для второго уровня безопасности выполняются следующие условия:

Аутентификация при использовании услуг Системы может осуществляться с использованием только одного фактора аутентификации и может реализовываться без применения криптографических протоколов.

Для аутентификации используется одноразовый пароль, генерируемый при помощи различных видов токенов (Single Factor One Time Password Device, Single Factor Cryptographic Device и т.д.).

Конфиденциальность, целостность и секретность данных при их передаче обеспечивается средой передачи данных (безопасность связи), а при хранении и обработке данных - механизмом хранения данных и средствами по управлению доступом в Системе.

При реализации способа для третьего уровня безопасности выполняются следующие условия:

Для доступа к услугам Системы данного уровня используется многофакторная аутентификация клиента.

Для аутентификации Клиент должен применить более одного фактора.

Конфиденциальность, целостность и секретность данных при передаче сообщений обеспечивается применением дополнительного шифрования сообщения и применением протоколов передачи данных, обеспечивающих защиту информации, передаваемой участниками взаимоотношений (включая проверку целостности передаваемой информации); при хранении и обработке данных - дополнительными механизмами шифрованием и маскированием данных при их хранении и четким разграничением доступа в соответствии со служебными полномочиями.

Клиент для выполнения требований безопасности на данном уровне использует программный модуль, установленный в его телефоне или SIM-карте. Данный модуль реализует двухфакторную аутентификацию и обеспечивает шифрование и расшифрование передаваемых данных. При каждой аутентификации предъявляется пароль либо другие данные для активации ключа аутентификации. Расшифрованный ключ удаляется после каждой аутентификации. (Multi Factor Software Cryptographic Token). Для шифрования сообщения применяются симметричные и асимметричные криптографические алгоритмы.

Все участники взаимоотношений в рамках мобильной платежной системы используют средства безопасности, обеспечивающие стойкость системы к взлому. Защита передаваемых по каналам связи данных для решений третьего уровня безопасности обеспечивается применением средства стойкого шифрования. Стойкость метода шифрования зависит от используемого криптографического ключа. Эффективный размер ключа должен соответствовать рекомендациям по выбору минимального размера ключа, при котором гарантируется его сравнительная стойкость (например, NIST SP 800-57 и т.д.).

При реализации способа для четвертого уровня безопасности выполняются следующие условия:

Четвертый уровень безопасности - это наивысший уровень обеспечения безопасности в Системе. Здесь реализуется персональное (in-person) подключение к услугам с предоставлением персональных данных, с обязательной идентификацией личности.

Измерения защиты, реализуемые системами в способе для четвертого уровня, выполняются с учетом повышенных требований к аутентификации и защите информации: измерения защиты четвертого уровня реализуются с обязательным применением аппаратных средств шифрования на стороне Клиента (Hardware Cryptographic module).

Клиент для выполнения требований безопасности на данном уровне использует аппаратно-программный модуль, установленный в его телефоне или SIM-карте. Данный модуль реализует двухфакторную аутентификацию и обеспечивает шифрование и расшифрование передаваемых данных. При каждой аутентификации предъявляется пароль либо другие данные для активации ключа аутентификации. Расшифрованный ключ удаляется после каждой аутентификации. (Multi Factor Hardware Cryptographic Token). Для шифрования сообщения применяются симметричные и асимметричные криптографические алгоритмы.

В таблице 2 приведена реализация измерений защиты в соответствии с приведенными выше требованиями уровней безопасности.

Таблица 2
Измерения защиты	Уровень безопасности
1-й уровень	2-й уровень	3-й уровень	4-й уровень
Управление доступом	Доступ к каждому из компонентов, входящих в инфраструктуру системы, должен быть разрешен только в соответствии уровнем полномочий персонала или пользователей системы.
Аутентификация	Аутентификация в Системе обеспечивается средой передачи данных мобильного оператора	Однофакторная аутентификация при использовании услуг Системы	Многофакторная аутентификация при использовании услуг Системы	Персональное подключение к услугам с предоставлением персональных данных, с обязательной аутентификацией личности Многофакторная аутентификация при использовании услуг Системы. Обязательное применение аппаратного криптографического модуля
Неотказуемость (сохранность информации)	Невозможность инициатору или участнику транзакции отказаться от своих действий после их совершения обеспечивает применением юридически закрепленных либо оговоренных во взаимных контрактах способов и совместно с принятыми механизмами аутентификации. Все действия системы персонала и пользователей системы должны подвергать обязательной регистрации. Журналы регистрации событий должны быть защищены от изменений и содержать действия всех пользователей.
Конфиденциальность данных	Их передача обеспечивается средой передачи данных (безопасность связи), а при хранении и обработке данных - механизмом хранения данных и средствами по управлению доступом в Системе	При передаче сообщения должны обеспечиваться применением дополнительного шифрования сообщения, и применение протоколов передачи данных, обеспечивающих защиту информации, передаваемой участниками взаимоотношений (включая проверку целостности передаваемой информации); при хранении и обработке данных - дополнительными механизмами шифрованием и маскированием данных при их хранении и четким разграничением доступа в соответствии со служебными полномочиями	Выполнение требования 3-го уровня с обязательным применением аппаратного средства шифрования защиты информации к стороне Клиента
Целостность данных
Секретность	Гарантируется отсутствием в передаваемых сообщениях sensitive data, и реализацией необходимых механизмов хранения данных и средствами по управлению доступом в Системе. Компоненты системы не должны иметь скрытых возможностей по несанкционированному сбору и передачи информации.
Безопасность связи	Гарантируется доставка сообщения адресату и защита информации от несанкционированного просмотра при передаче к каналам связи. Обеспечивается провайдерами сети мобильного оператора.
Доступность	Гарантирует отсутствие препятствий для доступа к данным и услугам системы со стороны авторизованных уполномоченных пользователей системы. Обеспечивается провайдерами сети мобильной связи и провайдерами услуги.

Измерения, одинаково реализуемые на всех уровнях безопасности:

- Управление доступом;

- Неотказуемость (сохранность информации);

- Доступность;

- Безопасность связи.

Измерения защиты, реализация которых отлична на разных уровнях безопасности:

- Аутентификация;

- Конфиденциальность данных;

- Целостность данных;

- Секретность.

На фиг.1 представлена общая архитектура участников и ролей безопасной системы мобильных платежей.

Решение мобильной коммерции должно интегрироваться в существующую систему взаимоотношений финансово-юридических и торговых организаций и позволять их участникам выполнять платежные транзакции со степенью безопасности, приемлемой относительно возникающих у участников системы рисков. Архитектура решения должна поддерживать основные используемые схемы и спецификации проведения платежных транзакций.

В описании используются следующие термины, отраженные на иллюстрирующем способ рисунке архитектуры участников и ролей безопасной системы мобильных платежей (фиг.1):

Клиент - пользователь мобильной связи, обладающий платежным инструментом для совершения платежных операций.

Клиентское платежное приложение - программный комплекс (SIM/USIM applet, Java/Symbian midlet, WinMobile midlet и т.п.), размещаемый на клиентском мобильном терминале (телефоне, SIM-карте, коммуникаторе и т.п.) и предназначенный для безопасного совершения мобильных платежных операций.

Платежный инструмент - финансовый инструмент для товарно-денежных взаимоотношений, например банковский или карточный счет, счет в небанковском учреждении и т.п.

Банковский счет - средства, владельцем которых является физическое или юридическое лицо, размещенные в банке или другой финансово-юридической организации, действующей по лицензии (разрешению) центральной государственной финансовой организации (например, центральный банк), и которые могут быть использованы для оплаты товаров и услуг

Оператор (NGN Оператор) - оператор (провайдер) сети мобильной связи. Оператор обеспечивает дистанционное взаимодействие клиента с остальной системой, маршрутизацию и передачу данных.

Мобильная Платежная Система (МобПС) - системы мобильного банкинга и мобильной коммерции.

Финансовые транзакции - перечисление средств между банковскими счетами.

Мобильная финансовая транзакция - финансовая транзакция, инициированная и авторизованная посредством мобильного терминала.

Монетарные (денежные) средства - электронное или физическое средство, используемое для платежа, которое представлено и измеряется в национальных денежных единицах.

Примеры электронных монетарных средств - электронные деньги, сохраненные на отдельном электронном носителе, связанном с банковским счетом. Примеры физических монетарных средств - монеты, банкноты, дорожные чеки.

Немонетарные (неденежные) средства - электронное или физическое средство, используемое для платежа, но не выражаемое в национальной валюте.

Примеры немонетарных средств - неиспользованные или премиальные «минуты» или SMS, которыми обладает клиент оператора и которые он может передать другому клиенту.

Распространитель клиентских приложений - участник взаимоотношений, обеспечивающий доступность использования Приложений клиентами.

Провайдер безопасности сервиса (Security Provider) - участник взаимодействия, осуществляющий обеспечение безопасной передачи данных по каналам связи.

Провайдер Услуг Мобильного Банкинга и Мобильной Коммерции (Service Provider, Payment Gateway) - участник, обеспечивающий взаимоотношения в рамках МобПС.

Эмитент платежных инструментов (Issuer) - финансовая организация, обеспечивающая эмиссию платежных инструментов.

Провайдер аутентификации клиента - разрешение совершения операции для данного клиента с применением данного платежного инструмента.

Поставщик услуг (Merchant) - предприятие торговли и сервиса, реализующее товары и услуги.

Эквайер поставщика услуг (Acquirer) - финансовая организация, обслуживающая предприятия торговли и сервиса.

Платежная система - организация, обеспечивающая проведение межбанковских платежных транзакций.

Торгово-сервисное предприятие (ТСП) - юридическое лицо, предоставляющее товары (услуги) и получающее оплату от Клиента за оказанные услуги. Основные интересы: популяризация предлагаемых товаров и услуг, увеличение числа клиентов, увеличения возможных способов оплаты товаров и услуг

Способ осуществляется следующим образом.

На фиг.1 представлена общая архитектура безопасной системы мобильных платежей.

Система для обеспечения проведения безопасных мобильных финансовых транзакций в сетях подвижной связи содержит:

1. Клиентское мобильное устройство (мобильный телефон), используемое для осуществления мобильных финансовых транзакций в среде мобильной связи.

2. Блок оператора сети мобильной связи (NGN оператор), обеспечивающий цифровую связь в системе, маршрутизацию и передачу данных.

3. Блок оператора мобильной платежной системы (МобПС), осуществляющий безопасное удаленное взаимодействие по каналам связи финансовых структур, Клиента и оператора связи в рамках системы мобильных платежей. Блок выполняет функции провайдера безопасности сервиса, обеспечивающего безопасность передачи данных по каналам связи, провайдера услуг мобильного банкинга и мобильной коммерции, провайдера аутентификации Клиента.

4. Блок эмитента платежных инструментов, обеспечивающий эмиссию и обслуживание платежных инструментов, в качестве которых используется банковский счет, или карточный счет, или счет в небанковском учреждении и т.п. Блок связан каналами связи с клиентским мобильным устройством и блоком оператора мобильной платежной системы.

5. Блок эквайера поставщика услуг, осуществляющий обслуживание финансовых транзакций торгово-сервисных предприятий (ТСП). Блок связан каналами связи с блоком оператора мобильной платежной системы

6. Блок поставщика услуг, осуществляющий поставку товаров и сервисных услуг клиенту. Блок связан каналами связи с блоком оператора мобильной платежной системы и блоком эквайера поставщика услуг.

Предложенный способ по первому варианту обеспечивает проведение безопасных мобильных финансовых транзакций в сетях подвижной связи первого и второго уровня безопасности и осуществляется следующим образом:

Этап 1. Клиент подключается к услуге в МобПС с помощью Провайдера услуг.

На фиг.2 представлена схема подключения клиента к услугам мобильной платежной системы (МобПС): а) в офисе оператора МобПС, б) посредством веб-интерфейса.

В случае если в мобильной платежной системе (МобПС) отсутствует активная учетная запись Клиента, например Клиент ранее не регистрировался в МобПС или она была удалена, регистрация осуществляется следующим образом:

Клиент инициирует по каналам связи 1 подключение услуги в офисе оператора МобПС или с использованием Web-интерфейса через оператора (провайдера) сети мобильной связи (на фиг.2 - NGN Оператор). NGN оператор обеспечивает дистанционное взаимодействие клиента с остальной системой, маршрутизацию и передачу данных. Клиент авторизуется на сайте оператора МобПС, заказывает подключение услуги и идентифицируется в МобПС. Клиент идентифицирует себя в Системе с использованием публичного идентификатора в сети (в сети GSM - телефонного номера MSISDN).

При этом информационная система (ИС) Провайдера Услуг регистрирует реквизиты клиента в базе данных (БД).