СПОСОБ ОСУЩЕСТВЛЕНИЯ МНОГОФАКТОРНОЙ СТРОГОЙ АУТЕНТИФИКАЦИИ ДЕРЖАТЕЛЯ БАНКОВСКОЙ КАРТЫ С ИСПОЛЬЗОВАНИЕМ МОБИЛЬНОГО ТЕЛЕФОНА В СРЕДЕ МОБИЛЬНОЙ СВЯЗИ ПРИ ОСУЩЕСТВЛЕНИИ МЕЖБАНКОВСКИХ ФИНАНСОВЫХ ТРАНЗАКЦИЙ В МЕЖДУНАРОДНОЙ ПЛАТЕЖНОЙ СИСТЕМЕ ПО ПРОТОКОЛУ СПЕЦИФИКАЦИИ 3-D SECURE (ВАРИАНТЫ) И РЕАЛИЗУЮЩАЯ ЕГО СИСТЕМА Российский патент 2007 года по МПК G06Q20/00 

Описание патента на изобретение RU2301449C2

Область техники, которой относится изобретение.

Изобретение относится к средствам для персональной аутентификации клиентов при проведении транзакций, в том числе платежных, с применением сетей мобильной связи. В частности, изобретение может использоваться для аутентификации при проведении платежа по банковской карте с использованием мобильного телефона.

Уровень техники.

Специально для сети Интернет, международной платежной Системой Visa был предложен протокол безопасности 3-D Secure. Введение данного протокола безопасности для платежей через Интернет по банковским картам Visa позволило существенно снизить риск проведения мошеннических транзакций.

Спецификации протокола Visa 3-D Secure были опубликованы компанией Visa в 2001 году.

3-D в названии протокола означает «3-Domain» (три домена), отражающее разделение процесса аутентификации финансовой транзакции на три домена: Issuer Domain (домен банка-эмитента), Acquirer Domain (домен банка-эквайера) и Interoperability Domain (домен обеспечения).

К Issuer Domain (домену банка-эмитента) относится, в частности, банк-эмитент банковской карты и его Access Control Server (ACS) (сервер контроля доступа). ACS осуществляет проверку возможности произвести аутентификацию держателя карты по протоколу Visa 3-D Secure и собственно аутентификацию клиента (держателя карты).

К Acquirer Domain (домену банка-эквайера), в частности, относятся: сервер магазина и Merchant Plug-In (MPI) - плагин сервера магазина, который создает запрос на аутентификацию и формирует сообщение о результате аутентификации клиента, банк-эквайер - финансовое учреждение, которое взаимодействует с авторизующей системой платежной системы и передает магазину результаты авторизации.

Interoperability Domain (домен обеспечения), в частности, обеспечивает передачу сообщений между Issuer Domain и Acquirer Domain в соответствии с общими протоколами, в частности, пересылки служебных сообщений между банками.

Особенностью протокола 3-D Secure, в частности, является то, что банку-эмитенту предоставлена большая свобода в выборе непосредственных методов и процедур аутентификации. Протокол весьма гибок и подразумевает разработку новых решений.

Возможность для банков-эмитентов аутентифицировать клиентов во время онлайновой покупки повышает надежность и безопасность финансовой транзакции и уменьшает возможность мошеннического использования банковских карт, аутентификация, проводимая банком-эмитентом является дополнительным и важным элементом защиты финансовых транзакций.

Аутентификация по протоколу VISA 3-D Secure происходит следующим образом:

между клиентом (держателем платежной карты) и банком-эмитентом организуется соединение, клиент по защищенному от несанкционированного доступа протоколу сообщает банку-эмитенту данные банковской карты и собственные аутентифицирующие данные, банк-эмитент проверяет указанные данные, после чего сообщает получателю платежа подтверждение возможности и правомочности платежа. Если банк-эмитент подтверждает аутентификацию клиента, инициируется авторизация платежной транзакции.

Более подробно механизм платежа через Интернет по протоколу VISA 3-D Secure проиллюстрирован на фиг.1. Обработка Интернет-платежа по технологии 3D-Secure. происходит следующим образом (см. фиг.1):

1. Пользователь банковской карты формирует корзину заказа на Интернет-сайте магазина, вводит реквизиты карты и инициирует процедуру платежа.

2. Интернет-магазин, используя компонент Merchant Plug-in, установленный на сервере банка-эквайера, пересылает авторизационный запрос на возможность проведения аутентификации специального формата в Visa Directory Server. Visa Directory Server проверяет, зарегистрирован ли данный номер карты на участие в программе Verified by Visa (т.е. прошел ли держатель карты процедуру регистрации). При этом Visa Directory не обладает данными о самом секретном пароле, а может лишь определить, обладает ли им держатель карты, инициировавший транзакцию, отправив запрос на Access Control Server банка-эмитента.

3. После того как Merchant Plug-in получает ответ от Visa Directory о том, что данный владелец карты может совершать платеж по технологии 3D-Secure, Интернет-магазин отправляет запрос на аутентификацию на Access Control Server банка-эмитента через Интернет-браузер пользователя.

4. Владелец карты маршрутизируется на Access Control Server банка-эмитента, где вводит пароль.

5. Access Control Server отправляет утвердительный или отрицательный авторизационный ответ на Merchant Plug-in и одновременно сохраняет данные о результате проведения аутентификации на Authentication History Server - сервер платежной системы, на котором хранятся данные о всех транзакциях, проведенных по технологии 3-D-Secure. Впоследствии эти данные могут использоваться банками-участниками при решении претензий клиентов, а также при проведении арбитража спорных операций.

6. Merchant Plug-in принимает ответ Access Control Server и в случае утвердительного ответа банка-эмитента отправляет авторизационный запрос на хост банка-эквайра.

7. Далее обработка авторизационного запроса происходит по стандартной схеме через сеть платежной системы VisaNet.

Из уровня техники известна система осуществления платежа (см. патент GB 2389693, МПК 7 G07F 19/00, опубликованный 17.12.2003), содержащая:

средство для генерации уникального идентификатора денежной суммы в ответ на платеж клиента;

средство для передачи вышеуказанного сгенерированного идентификатора на мобильный телефон клиента;

средство для хранения вышеуказанного сгенерированного идентификатора в центральном сервере данных;

средство для получения идентификатора, переданного с мобильного телефона клиента, причем упомянутый идентификатор содержит информацию о платеже;

средство для сравнения, по крайней мере, части идентификатора, по крайней мере, с частью сгенерированных идентификаторов; и

средство для указания вышеуказанного идентификатора.

Недостатком данной системы является передача идентификатора по открытому каналу связи без дополнительного кодирования.

Наиболее близким аналогом (прототипом) предлагаемого изобретения является способ транзакции с помощью мобильного телефона (или иного беспроводного устройства, например, КПК), подключенного к услуге WAP или GPRS, (см. заявку W003/047208 А1, МПК 7 Н04L 29/06, опубликованную 05.06.2003). Способ включает в себя следующие этапы:

получение информации о сделке посредством мобильного телефона;

передача информации о сделке серверу процессинга для проверки возможности осуществления сделки;

при получении от сервера процессинга положительного результата проверки возможности осуществления сделки - передача данной информации на мобильный телефон,

при этом передача данных осуществляется через сеть Интернет.

Недостатком ближайшего аналога является низкая конфиденциальность, поскольку вся информация передается в открытом виде через сеть Интернет.

Сущность изобретения.

Задачей настоящего изобретения является создание способа осуществления многофакторной строгой аутентификации держателя банковской карты с использованием мобильного телефона в среде мобильной связи, при осуществлении межбанковских финансовых транзакций в международной платежной системе, на основе существующей технологии 3-D Secure.

Другой задачей настоящего изобретения является создание способа осуществления многофакторной строгой аутентификации держателя банковской карты с использованием мобильного телефона в среде мобильной связи, при осуществлении межбанковских финансовых транзакций в международной платежной системе по протоколу спецификации 3-D Secure, которые возможно внедрить уже в существующие сети мобильной (сотовой) связи.

Другой задачей настоящего изобретения является создание способа осуществления многофакторной строгой аутентификации держателя банковской карты с использованием мобильного телефона в среде мобильной связи, при осуществлении межбанковских финансовых транзакций в международной платежной системе, по протоколу спецификации 3-D Secure, соответствующих требованиям строгой конфиденциальности, при котором секретные сведения, например о кредитной карте (код PAN, срок действия (Expiry Date), не передаются по открытому каналу связи.

Дополнительной задачей настоящего изобретения является создание удобного и простого в использовании для клиентов мобильных (сотовых) сетей связи способа использования банковских карт как платежного средства.

Поставленные задачи для системы осуществления многофакторной строгой аутентификации клиента с использованием мобильного телефона в среде мобильной связи, при осуществлении финансовой транзакции в международной платежной системе по протоколу спецификации 3-D Secure решаются за счет того, что система содержит:

домен обеспечения функциональной совместимости международной платежной системы, предоставляющей физическим лицам услуги при использовании банковских карт как платежного средства, далее по тексту - домен обеспечения и - платежная система;

домен банков-эмитентов платежной системы;

домен банков-эквайеров платежной системы;

причем домены банков-эквайеров и банков-эмитентов соединены с доменом обеспечения посредством компьютерных сетей связи;

по меньшей мере, один компонент ACS спецификации 3-D Secure платежной системы в домене банков-эмитентов;

по меньшей мере, один компонент MPI спецификации 3-D Secure платежной системы в домене банков-эквайеров,

при этом система дополнительно содержит:

по меньшей мере, одну сеть сотовой мобильной связи стандарта GSM, обеспечиваемую GSM-оператором;

по меньшей мере, один мобильный телефон стандарта GSM, подключенный к сети GSM-оператора, с SIM-картой, на которой записана стандартная информация GSM-оператора, а также, по меньшей мере, одна компьютерная программа - апплет, реализующая функциональность компонента банка-эмитента;

блок обеспечения межбанковского и мобильного обмена данными - блок MID, подключенный посредством компьютерной сети связи, по меньшей мере, к одной сети GSM-оператора;

по меньшей мере, один блок банка-эмитента - блок i-MAP, подключенный посредством компьютерных сетей связи к блоку MID и, по меньшей мере, к одному компоненту ACS;

по меньшей мере, один блок банка-эквайера - блок а-МАР, подключенный посредством компьютерных сетей связи к блоку MID и, по меньшей мере, к одному компоненту MPI;

по меньшей мере, один сервер получателя платежа, подключенный посредством компьютерной сети связи к компоненту MPI,

причем каждый компонент MPI подключен посредством компьютерной сети связи, по меньшей мере, к одному серверу получателя платежа.

Поставленные задачи для первого варианта способа осуществления многофакторной строгой аутентификации клиента с использованием мобильного телефона в среде мобильной связи при осуществлении финансовой транзакции в международной платежной системе по протоколу спецификации 3-D Secure, решаются за счет того, что:

активируют записанную на SIM-карте мобильного телефона клиента компьютерную программу - апплет, затем инициируют финансовую транзакцию, определяя параметры платежа с помощью соответствующих пунктов меню апплета и в ответ на запросы апплета;

средствами мобильного телефона, SIM-карты и апплета формируют и отправляют GSM-оператору неголосовое сообщение, адресованное блоку межбанковского и мобильного обмена данными - блоку MID, содержащее параметры платежа, к которым относятся, в частности, условный идентификатор клиента в банке-эмитенте клиента, условный идентификатор банковской платежной карты клиента в банке-эмитенте клиента, а также содержащее параметры запрашиваемой оферты, к которым относятся, в частности, идентификатор получателя платежа, идентификатор оплачиваемого товара или услуги, количество предполагаемых к оплате товаров или услуг, сумма платежа;

от GSM-оператора передают полученное неголосовое сообщение и номер телефона отправителя сообщения блоку MID;

в блоке MID по упомянутому условному идентификатору клиента определяют соответствующий этому идентификатору компонент банка-эмитента - блок i-MAP, который, в частности, реализует функциональность интерфейса с компонентами ACS спецификации 3-D Secure, формируют и передают упомянутому блоку i-MAP запрос на получение актуальных атрибутов банковской карты клиента, необходимых для проведения финансовой транзакции в соответствии со спецификаций платежной системы;

по содержащимся в полученном от MID запросе упомянутому условному идентификатору клиента и условному идентификатору банковской карты клиента в упомянутом блоке i-MAP определяют актуальные атрибуты банковской карты клиента, формируют и передают блоку MID ответ, содержащий запрошенные данные;

по упомянутому идентификатору получателя платежа в блоке MID определяют соответствующий этому идентификатору компонент банка-эквайера получателя платежа - блок а-МАР, который, в частности, реализует функциональность интерфейса с компонентами MPI спецификации 3-D Secure, формируют и передают этому блоку а-МАР сообщение, содержащее актуальные атрибуты банковской карты клиента, идентификатор получателя платежа и параметры запрашиваемой оферты;

по упомянутому идентификатору получателя платежа в блоке а-МАР определяют соответствующий этому идентификатору компонент MPI и инициируют аутентификационную транзакцию по спецификации 3-D Secure, обращаясь к этому MPI;

сформированный упомянутым компонентом MPI по спецификации 3-D Secure запрос на аутентификацию клиента получают в упомянутом блоке а-МАР, передают блоку MID и далее от блока MID передают упомянутому блоку i-MAP;

в упомянутом блоке i-MAP по содержащимся в полученном запросе на аутентификацию клиента данным определяют соответствующий этим данным компонент ACS и, обращаясь к этому ACS, формируют, зашифровывают с использованием персональных банковских секретных ключей клиента, подписывают и передают блоку MID сообщение-запрос, содержащее аутентификационный запрос и оферту;

в блоке MID формируют и передают GSM-оператору неголосовое сообщение, адресованное на мобильный телефон клиента, содержащее полученное сообщение-запрос;

после получения неголосового сообщения клиентом от GSM-оператора средствами мобильного телефона, SIM-карты и апплета проверяют подлинность полученного сообщения и, в случае аутентичности сообщения, на дисплее мобильного телефона отображают аутентификационный запрос;

в случае предъявления клиентом персонального пароля в ответ на аутентификационный запрос и последующего принятия клиентом оферты, подтверждаемого повторным предъявлением персонального пароля, инициируют защищенную функцию апплета;

средствами мобильного телефона, SIM-карты и защищенной функции апплета формируют и отправляют GSM-оператору зашифрованное и подписанное с использованием персональных банковских секретных ключей клиента неголосовое сообщение, адресованное блоку MID;

от GSM-оператора передают полученное неголосовое сообщение и номер телефона отправителя сообщения блоку MID;

в блоке MID формируют и передают упомянутому блоку i-MAP сообщение, содержащее ответ на аутентификационный запрос;

в упомянутом блоке i-MAP, обращаясь к упомянутому компоненту ACS, проверяют результат аутентификации, а именно, является или нет ответ на аутентификационный запрос доказательством аутентичности решения клиента о принятии оферты, при этом для аутентификации клиента в блоке i-MAP используют совокупность следующего ряда факторов: установление факта владения клиентом мобильным телефоном с SIM-картой, имеющей аутентичные идентификационные и телефонный номера, установление факта наличия, аутентичности и функционально-корректной целостности, записанных на упомянутой SIM-карте апплета банка-эмитента и персональных секретных банковских ключей клиента и установление факта знания клиентом персонального пароля, выполняющего функцию кода доступа к защищенным от неавторизованного использования функциям упомянутого апплета, а в качестве доказательства подлинности клиента и принятия клиентом оферты используют позитивный результат, основанный на совокупности подтверждений установления упомянутых фактов;

в упомянутом блоке i-MAP формируют сообщение, адресованное упомянутому блоку а-МАР, содержащее результат проверки аутентификации;

из блока i-MAP посредством блока MID передают результат аутентификации упомянутому блоку а-МАР;

в блоке а-МАР, используя полученные данные, инициируют авторизационную транзакцию в платежной системе, обращаясь к упомянутому компоненту MPI;

в блоке i-MAP получают от упомянутого компонента ACS спецификации 3-D Secure платежной системы в домене банка-эмитента, взаимодействующего по компьютерной сети связи с упомянутым компонентом MPI спецификации 3-D Secure платежной системы в домене банка-эквайера, необходимое и сформированное по спецификации и компонентами платежной системы сообщение клиенту о результате проведения авторизационной транзакции из банка-эмитента, формируют, зашифровывают с использованием персональных банковских секретных ключей клиента и передают блоку MID сообщение, содержащее результат проведения авторизационной транзакции;

в блоке MID формируют и передают GSM-оператору неголосовое сообщение, адресованное на мобильный телефон клиента, содержащее полученное сообщение;

после получения неголосового сообщения клиентом от GSM-оператора средствами мобильного телефона, SIM-карты и апплета проверяют подлинность сообщения и в случае аутентичности сообщения на дисплее мобильного телефона клиента отображают результат проведения авторизационной транзакции;

при этом всю информацию, касающуюся инициации финансовой транзакции, аутентификации, авторизационной транзакции и извещения о результатах авторизационной транзакции, сохраняют средствами, предусмотренными платежной системой и в соответствии со спецификацией платежной системы.

Поставленные задачи для второго варианта способа осуществления многофакторной строгой аутентификации клиента с использованием мобильного телефона в среде мобильной связи при осуществлении финансовой транзакции в международной платежной системе по протоколу спецификации 3-D Secure, решаются за счет того, что:

информационно-техническими средствами получателя платежа инициируют финансовую транзакцию, обращаясь к соответствующему компоненту MPI получателя платежа, формируют запрос на проведение финансовой транзакции с условием аутентификации по спецификации 3-D Secure, причем запрос включает в себя идентификатор получателя платежа, параметры оферты, к которым относятся, в частности, идентификатор оплачиваемого товара или услуги, количество предлагаемых к оплате товаров или услуг, сумма платежа и адрес клиента для доставки оферты клиенту, который включает, в частности, условный идентификатор клиента в банке-эмитенте и/или номер телефона клиента;

запрос отправляют через соответствующий компонент банка-эквайера получателя платежа - блок а-МАР, который, в том числе, реализует функциональность интерфейса с компонентами MPI 3D Secure, в блок обеспечения межбанковского и мобильного обмена данными - блок MID;

в случае неполноты адреса клиента в блоке MID определяют соответствующий номеру телефона клиента условный идентификатор клиента в банке-эмитенте или номер телефона клиента, соответствующий условному идентификатору клиента в банке-эмитенте, по упомянутому идентификатору клиента определяют соответствующий этому идентификатору компонент банка-эмитента - блок i-MAP, в том числе реализующий функциональность интерфейса с компонентами ACS 3-D Secure, формируют и передают упомянутому блоку i-MAP запрос на проведение финансовой транзакции с условием аутентификации по спецификации 3-D Secure;

в упомянутом блоке i-MAP по содержащимся в полученном запросе данным проверяют допустимость финансовой транзакции с использованием мобильного телефона клиента, определяют соответствующий этим данным компонент ACS, обращаясь к этому ACS формируют, зашифровывают с использованием персональных банковских секретных ключей клиента, подписывают и передают блоку MID сообщение-запрос, содержащее аутентификационный запрос и оферту;

в блоке MID формируют и передают GSM-оператору неголосовое сообщение, адресованное на мобильный телефон клиента, содержащее полученное сообщение-запрос;

после получения неголосового сообщения клиентом от GSM-оператора средствами мобильного телефона, SIM-карты и предварительно записанной на SIM-карте клиента компьютерной программы - апплета проверяют подлинность сообщения и в случае аутентичности сообщения на дисплее мобильного телефона отображают аутентификационный запрос;

в случае предъявления клиентом персонального пароля в ответ на аутентификационный запрос, определения клиентом не установленных получателем платежа параметров платежа с помощью соответствующих пунктов меню апплета и в ответ на запросы апплета и последующего принятия клиентом оферты, подтвержденного повторным предъявлением персонального пароля, инициируют защищенную функцию апплета;

средствами мобильного телефона, SIM-карты клиента и защищенной функции апплета формируют и отправляют GSM-оператору зашифрованное и подписанное с использованием персональных банковских секретных ключей клиента неголосовое сообщение, содержащее доказательство аутентичности решения клиента о принятии оферты и параметры платежа, адресованное блоку MID;

от GSM-оператора передают полученное неголосовое сообщение и номер телефона отправителя сообщения блоку MID;

в блоке MID формируют и передают упомянутому блоку i-MAP сообщение, содержащее упомянутые доказательство аутентичности решения клиента о принятии оферты и параметры платежа;

в упомянутом блоке i-MAP, обращаясь к упомянутому компоненту ACS, проверяют результат аутентификации, а именно, проверяют доказательство аутентичности решения клиента о принятии оферты, и формируют сообщение, адресованное упомянутому блоку а-МАР, содержащее результат проверки аутентификации и параметры платежа;

при этом, учитывая что спецификация 3-D Secure не регламентирует способ аутентификации клиента банком-эмитентом, при этом для проверки доказательства аутентичности в блоке i-MAP используют совокупность следующего ряда факторов: установление факта владения клиентом мобильным телефоном с SIM-картой, имеющей аутентичные идентификационные и телефонный номера, установление факта наличия, аутентичности и функционально-корректной целостности, записанных на упомянутой SIM-карте апплета банка-эмитента и персональных секретных банковских ключей клиента, и установление факта знания клиентом персонального пароля, выполняющего функцию кода доступа к защищенным от неавторизованного использования функциям упомянутого апплета, а в качестве доказательства подлинности клиента и принятия клиентом оферты используют позитивный результат, основанный на совокупности подтверждений установления упомянутых фактов;

из упомянутого блока i-MAP посредством блока MID передают результат аутентификации и параметры платежа упомянутому блоку а-МАР;

в блоке а-МАР, используя полученные данные, инициируют авторизационную транзакцию в платежной системе, обращаясь к упомянутому компоненту MPI;

в блоке i-MAP получают от упомянутого компонента ACS, взаимодействующего по компьютерной сети связи с упомянутым компонентом MPI спецификации 3-D Secure платежной системы в домене банка-эквайера, необходимое и сформированное по спецификации и компонентами платежной системы сообщение клиенту о результате проведения авторизационной транзакции из банка-эмитента, формируют, зашифровывают с использованием персональных банковских секретных ключей клиента и передают блоку MID сообщение, содержащее результат проведения авторизационной транзакции;

в блоке MID формируют и передают GSM-оператору неголосовое сообщение, адресованное на мобильный телефон клиента, содержащее полученное сообщение;

после получения неголосового сообщения клиентом от GSM-оператора средствами мобильного телефона, SIM-карты и апплета проверяют подлинность сообщения и в случае аутентичности сообщения на дисплее мобильного телефона клиента отображают результат проведения авторизационной транзакции;

при этом всю информацию, касающуюся инициации финансовой транзакции, аутентификации, авторизационной транзакции и извещения о результатах авторизационной транзакции, сохраняют средствами, предусмотренными платежной системой и в соответствии со спецификацией платежной системы.

Техническим результатом от использования заявленного изобретения является создание удобных и простых в использовании для клиентов мобильных (сотовых) сетей связи способа и системы осуществления транзакций с гарантией конфиденциальности производимых операций. Требуемый уровень конфиденциальности передаваемых данных обеспечивается за счет того, что заявленное изобретение позволяет при осуществлении транзакций не передавать по открытому каналу связи секретные сведения о кредитной карте, а именно код PAN, срок действия (Expiry Date) и др. Осуществление транзакций в соответствии с заявленным изобретением возможно с использованием существующих сетей мобильной (сотовой) связи без применения оператором сотовой связи дополнительного оборудования.

Техническим результатом от использования изобретения является также то, что финансовые транзакции, можно производить на основе уже существующей и внедренной технологии 3-D Secure. Заявленная система осуществления финансовых транзакций с помощью мобильного телефона разработана как дополнение к системе, работающей по протоколу 3-D Secure (система 3-D Secure), и настоящее изобретение позволяет использовать уже существующие системы, что намного удешевляет ее построение.

При этом заявленное изобретение имеет более широкие функциональные возможности, так как может использоваться не только при проведении платежных транзакций, но в других случаях, когда требуется использовать строгую аутентификацию.

Достижение технического результата для заявленных вариантов способа и заявленной системы обусловлено тем, что для обеспечения легитимности и безопасности при банковских операциях используются надежные средства аутентификации как неотъемлемая часть политики безопасности.

Одной из основных проблем по обеспечению информационной безопасности электронного банкинга является выбор надежной и гибкой системы аутентификации при авторизации доступа к ресурсам и сервисам.

Обычный пароль, наиболее распространенная форма аутентификации, это слабая однофакторная аутентификация, сторона может заявить, что пароль был разгадан и отрицать свое соучастие в мошенничестве, либо отклонить обвинение в халатности. Многофакторная аутентификация представляет из себя идентификацию пользователя на основе того, что он знает, чем он владеет, и того, что он умеет делать или обладает чем-то, характеризующим, кем он является, например, биометрической характеристикой, - такая аутентификация называется многофакторной.

По сравнению с традиционным паролем строгая многофакторная аутентификация в открытой телекоммуникационной сети мобильной сотовой связи стандарта GSM, объединяя то, что пользователь знает секретный пароль, что он владеет персонализированной SIM-картой для мобильного телефона и то, что умеет выполнять специализированный и защищенный от несанкционированного использования апплет в сочетании с персонализированной идентификационной информацией, обеспечивает существенно сильную и надежную защиту в сфере информационной безопасности, является простым в использовании способом защиты, при котором другая сторона может однозначно идентифицировать человека, находящегося на противоположном конце электронной операции в открытой телекоммуникационной сети.

Применение унифицированной многофакторной аутентификации дает возможность, не вступая в противоречия со стандартами, развивать контролируемый режим информационной безопасности и расширять спектр предоставляемых сервисов, а также укреплять доверие к применяющей многофакторную аутентификацию стороне в целом.

Краткое описание чертежей

Изобретение поясняется чертежами.

На фиг.1 изображена схема обработки Интернет-платежа по технологии 3-D-Secure.

На фиг.2 изображена структурная схема заявленной системы.

Осуществление изобретения

Система осуществления многофакторной строгой аутентификации клиента с использованием мобильного телефона в среде мобильной связи, при осуществлении финансовой транзакции в международной платежной системе, по протоколу спецификации 3-D Secure по заявленному способу состоит, в частности, из следующих вновь введенных узлов:

1. Мобильный телефон клиента (абонента сотовой сети мобильной связи) с SIM-картой, на которой записаны:

а) стандартная информация GSM-оператора;

б) компьютерная программа - апплет, реализующая функциональность банковского приложения, являющаяся банковским компонентом. Данная программа зарегистрирована в федеральном органе исполнительной власти по интеллектуальной собственности в соответствии с Законом РФ "О правовой охране программ для электронных вычислительных машин и баз данных", рег. №2005611132 от 16 мая 2005 г. Сведения о программе опубликованы в сети Интернет www.intervale.ru 15 июня 2005 г.

Информационно-технические средства клиента: мобильный телефон, SIM-карта клиента и апплет осуществляют формирование и отправку GSM-оператору неголосовых сообщений, а также обработку полученных от GSM-оператора неголосовых сообщений (протокол сообщения может быть различным, например: SMS, MMS, USSD, WAP).

2. Mobile Interchange Directory, блок обеспечения межбанковского и мобильного обмена данными, подключенный посредством компьютерной сети связи к сети GSM-оператора, далее по тексту - блок MID. В блоке MID содержится база данных, содержащая условные идентификаторы клиентов, зарегистрированных в системе и соответствующие им адреса блоков интерфейса с компонентом спецификации 3-D Secure соответствующего банка-эмитента, а также база данных, содержащая условные идентификаторы получателей платежа и соответствующие им адреса блоков интерфейса с компонентом спецификации 3-D Secure соответствующего банка-эквайера.

3. Issuer Mobile Access Point - компонент банка-эмитента, в том числе реализующий функциональность интерфейса с компонентами 3-D Secure - далее по тексту блок i-MAP. Данный блок обеспечивает обмен сообщениями-сигналами, содержащими необходимую информацию, между компонентом 3-D Secure со стороны банка-эмитента и блоком MID.

4. Acquirer Mobile Access Point - компонент банка-эквайера, в том числе реализующий функциональность интерфейса с компонентами 3D Secure - далее по тексту блок а-МАР. Данный блок обеспечивает обмен сообщениями-сигналами, содержащими необходимую информацию, между компонентом 3-D Secure со стороны банка-эквайера и блоком MID.

Более подробно функции компонентов заявленной системы раскрыты при описании способов осуществления многофакторной строгой аутентификации клиента с использованием мобильного телефона в среде мобильной связи, при осуществлении финансовой транзакции в международной платежной системе, по протоколу спецификации 3-D Secure.

При реализации заявленного способа с использованием описанной выше системы осуществления многофакторной строгой аутентификации клиента с использованием мобильного телефона в среде мобильной связи, при осуществлении межбанковских финансовых транзакций в международной платежной системе, по протоколу спецификации 3-D Secure используется четырехфазный протокол обмена сообщениями при проведении финансовой операции с использованием компонентов спецификации 3-D Secure.

Выполнение финансовой транзакции по заявленному способу, реализованному заявленной системой, состоит из четырех последовательно выполняющихся фаз:

1) инициация операции;

2) генерация и доставка аутентификационного запроса;

3) генерация и доставка ответа на аутентификационный запрос;

4) выполнение операции, генерация и доставка извещения о результатах операции.

При выполнении каждой фазы осуществляется передача сообщений между участниками системы.

Фаза 1.

Инициация операции.

В соответствии с первым вариантом осуществления заявленного способа инициация может осуществляться клиентом, а в соответствии со вторым вариантом - получателем платежа.

В случае инициации финансовой транзакции клиентом, клиент с мобильного телефона, активирует апплет (компьютерную программу, записанную на SIM-карте клиента) и, выбирая соответствующие пункты меню апплета и определяя параметры платежа в ответ на запросы апплета, инициирует финансовую транзакцию. В частности, параметрами платежа могут быть: условный идентификатор клиента в банке-эмитенте клиента, условный идентификатор платежной карты клиента в банке-эмитенте клиента, параметры оферты. В частности, параметрами оферты могут быть: идентификатор получателя платежа (торгового предприятия или предприятия, продающего услуги), в адрес которого клиент предполагает совершить платеж, идентификатор оплачиваемого товара (услуги), количество предполагаемых к оплате товаров (услуг), сумма платежа, дополнительные параметры оферты. Информационно-техническими средствами мобильного телефона, SIM-карты клиента и апплета формируется и отправляется GSM-оператору неголосовое сообщение, содержащее начальные параметры операции.

В случае инициации финансовой транзакции получателем платежа параметры оферты должны быть сформированы для клиента получателем платежа. В качестве адреса для доставки оферты, в частности, может быть указан номер мобильного телефона клиента, упомянутый номер может быть либо известен получателю платежа из договора с клиентом (предописанные платежные операции, например, в случае ежемесячного абонентского платежа), либо сообщен клиентом получателю платежа любым иным способом при формировании оферты получателем платежа.

Результат фазы 1

Не требующие строгой конфиденциальности данные о платежной карте клиента и параметры запрашиваемой оферты информационно-техническими средствами сторон-участников системы сообщаются получателю платежа.

Фаза 2.

Генерация и доставка аутентификационного запроса и запроса на акцептование (согласия заключить договор на условиях, указанных в оферте получателя платежа) от банка-эмитента к клиенту.

Аутентификационный запрос и запрос на акцептование формируется и доставляется информационно-техническими средствами сторон-участников системы на основании данных банка-эмитента и данных, полученных от получателя платежа.

Результат фазы 2.

Неголосовое сообщение от банка-эмитента с запросом на акцептование с условием аутентификации клиента (идентификации клиента с применением мобильного телефона, SIM-карты и апплета) доставляется информационно-техническими средствами сторон-участников системы на мобильный телефон клиента, клиент получает необходимый и сформированный по спецификации 3-D Secure аутентификационный запрос из банка-эмитента. На дисплей мобильного телефона отображается аутентификационный запрос клиенту, например, требование ввести пароль для проведения проверки знания клиентом некоторого персонального секрета известного только клиенту, при этом секретный пароль выполняет функцию кода доступа к защищенным функциям апплета на SIM-карте клиента.

Фаза 3.

Генерация и доставка ответа на аутентификационный запрос.

В случае принятия оферты (акцептование) клиент с использованием мобильного телефона, предъявляет персональный секрет (например, секретный пароль), далее средствами мобильного телефона, SIM-карты и апплета формируется и посылается неголосовое сообщение - ответ, содержащий результат аутентификации и само решение о принятии оферты. Спецификация VISA 3-D Secure не регламентирует порядок проведения аутентификации клиента банком-эмитентом, протокол аутентификации клиента может быть уникальным для каждого банка-эмитента, аутентификация производится по схеме, принятой в банке-эмитенте. Все сообщение информационно-техническими средствами мобильного телефона, SIM-карты и апплета подписывается электронно-цифровой подписью клиента с использованием персональных банковских секретных ключей, записанных на SIM-карте (SIM-карты обладают встроенными средствами защиты от несанкционированного доступа к критической (ключевой) информации (например, технически защищены от воздействия ультрафиолетовых, инфракрасных лучей, физического проникновения, нагревания, сканирования электронным микроскопом), все сообщение или только результат аутентификации клиента средствами мобильного телефона, SIM-карты и апплета зашифровывается с использованием персональных секретных ключей. Информационно-технические средства банка-эмитента, используемые для проверки целостности и авторства передаваемых клиентом распоряжений, позволяют выявлять искажения в клиентских сообщениях и проводить доказательство авторства клиентских сообщений при условии проведения аутентификации клиента.

Результат фазы 3.

Решение о принятии оферты клиентом, удостоверенное банком-эмитентом клиента, доставляется информационно-техническими средствами сторон-участников системы получателю платежа.

Фаза 4.

Выполнение операции, генерация и доставка извещения о результатах операции.

После выполнения операции, генерация извещения клиента банком-эмитентом о результатах операции осуществляется информационно-техническими средствами сторон-участников системы на основании данных о выполнении операции.

Результат фазы 4.

Извещение о результатах операции доставляется на мобильный телефон клиента информационно-техническими средствами сторон-участников системы. Клиент получает от своего банка-эмитента сообщение о результате проведения финансовой транзакции, подписанное электронно-цифровой подписью банка-эмитента. Информационно-технические средства клиента (апплет на SIM-карте мобильного телефона) осуществляют проверку целостности и авторства сообщения. В случае доказательного подтверждения средствами клиента авторства сообщения и отсутствия искажений в сообщении, полученный в сообщении результат отображается на дисплей телефона.

При этом вся существенная информация, касающаяся упомянутых этапов, сохраняется средствами, предусмотренными платежной системой и в соответствии со спецификацией платежной системы.

Используемая терминология

Авторизационная транзакция (Authorization) - совокупность операций для получения разрешения или отказа, предоставляемого банком-эмитентом для проведения операции на определенную сумму с использованием банковской карты, порождающее обязательство эмитента по исполнению операции на упомянутую сумму, запрашиваемая сумма блокируется на счете клиента.

Апплет (Applet) - компьютерная программа, для которой характерно мультиплатформенное решение минимизирующее затраты на инсталляцию, как правило, использующееся для богатых интерактивными возможностями пользовательских интерфейсов.

Аутентификационная транзакция - совокупность операций для засвидетельствования подлинности данных и субъектов информационного взаимодействия.

Аутентификация (Authentication) - подтверждение подлинности данных и субъектов информационного взаимодействия исключительно на основе самих полученных данных (при информационном взаимодействии данные получены от заявленного отправителя и неискажены).

Аутентичность - характеристика подлинности данных, означающая, что данные были созданы подлинными участниками информационного процесса и не подвергались случайным или преднамеренным искажениям.

Банк-эквайер (Acquirer) - банк-участник Платежной системы, кредитно-финансовое учреждение, которое имеет договорные отношения с предприятием торговли и сервиса (Получателем платежа) на обслуживание с целью принятия данных о транзакциях, совершенных с помощью банковских карт, направляет их в Платежную систему для осуществления расчетов по этим транзакциям.

Банк-эмитент (Issuer) - банк-участник Платежной системы, кредитно-финансовое учреждение, которое осуществляет эмиссию (выпускает) банковских карт, получает данные о транзакциях, произведенных Клиентами, осуществляет аутентификацию Клиента и авторизацию транзакции, гарантирует оплату совершенных Клиентами транзакций и относит суммы транзакций на счета Клиентов.

Держатель банковской карты (Cardholder) - физическое лицо, пользующееся услугами Банком-эмитентом для совершения банковских операций, имеющее счет в банке, являющееся пользователем банковской карты на основании договора с Банком-эмитентом.

Домен (Domain) - группа компьютеров, соединенных посредством компьютерной сети и использующих общую базу данных, образующих область ответственности.

Клиент (Customer) - физическое лицо, держатель банковской карты, имеющее договор с оператором связи об оказании услуг мобильной связи (являющееся абонентом мобильной сети GSM) и владеющее мобильным телефоном с SIM-картой, на которой записана стандартная информация GSM-оператора, а также специальная компьютерная программа (апплет), позволяющая использовать мобильный телефон для осуществления финансовых транзакций и аутентификации клиента в качестве подлинного держателя банковской карты.

Оферта (offer) - сообщение стороны (оферента) другой стороне (акцептанту) о предложении заключить договор, содержащее все существенные условия договора.

Оферта продавца покупателю содержит все основные условия продавца для предлагаемой сделки купли-продажи: наименование товара, количество, цена и др.

Персональный пароль клиента - конфиденциальная аутентификационная информация, реализовывающая функцию кода доступа, предъявляемого для осуществления защищенных паролем операций, состоящая обычно из последовательности символов.

Платежная система (Payment system) - система обмена транзакциями и взаиморасчетов между сторонами-участниками системы с использованием совокупности информационно-технических средств сторон-участников, подчиняющихся общим регламентирующим правилам перевода финансовых средств между банками и другими кредитно-финансовыми учреждениями, для которой характерны наличие договорной и лицензионной баз, торговой марки, финансовых гарантий, внутренних операционных правил и стандартов.

Получатель платежа (Merchant) - юридическое или физическое лицо, пользующееся услугами банка для совершения банковских операций, предприятие торговли (торгово-сервисное предприятие, продавец), осуществляющее продажу товаров и/или услуг, принимающее заказы на покупку, формирующее оферту, использующее MPI спецификации 3-D Secure для обеспечения и защиты своих интересов в среде электронной торговли и коммерции в открытых телекоммуникационных сетях.

(Финансовая) Транзакция (Transaction) - инициируемая Клиентом или Получателем платежа совокупность последовательных операций осуществляемых участниками Платежной системы для обслуживания Клиентов - держателей банковских карт (в частности, для осуществления доступа к счету с целью получения информации о состоянии счета, дебетования, кредитования счета, осуществления финансовых расчетов с использованием банковской карты). Основные свойства транзакции: неделимость (либо должна быть выполнена вся совокупность составляющих транзакцию операций, либо система должна быть возвращена в исходное состояние), согласованность (отмененная транзакция не нарушает целостность информации в системе, например, в базах данных банковских карт, счетов, остатков и т.п.), изолированность (отдельно взятая транзакция не зависит от других), надежность (незавершенная из-за сбоя транзакция восстанавливается).

3-D Secure (Three-Domain Secure protocol) - протокол, принятый международными платежными системами, например, VISA International и MasterCard International, для совершения защищенных финансовых транзакций в открытых телекоммуникационных сетях держателями традиционных банковских карт, который не регламентирует способ аутентификации держателя банковской карты банком-эмитентом.

ACS (Access Control Server) - доверенная сторона клиента, компонент спецификации 3-D Secure, сервер управления доступом банка-эмитента, в частности, обеспечивающий аутентификацию Клиента при проведении транзакции по карте банка-эмитента.

MPI (Merchant Server Plug-in) - доверенная сторона получателя платежа, компонент спецификации 3-D Secure, обеспечивающий интересы Получателя платежа, в частности, осуществляющий проверку и подтверждение подлинности полученной Получателем платежа информации, может быть как интегрирован в сервер Получателя платежа, так и представлен Получателю платежа в виде сервисной услуги, например, сервером банка-эквайера.

Похожие патенты RU2301449C2

название год авторы номер документа
СПОСОБ ОБЕСПЕЧЕНИЯ ПРОВЕДЕНИЯ БЕЗОПАСНЫХ МОБИЛЬНЫХ ФИНАНСОВЫХ ТРАНЗАКЦИЙ В СЕТЯХ ПОДВИЖНОЙ СВЯЗИ (ВАРИАНТЫ) И АРХИТЕКТУРА ДЛЯ ЕГО ОСУЩЕСТВЛЕНИЯ 2010
  • Лабыч Андрей Николаевич
  • Милашевский Игорь Анатольевич
RU2446467C1
СПОСОБ КОНТРОЛЯ ДЕРЖАТЕЛЕМ БАНКОВСКОЙ КАРТЫ ВОЗМОЖНОСТИ ОСУЩЕСТВЛЕНИЯ АВТОРИЗАЦИОННЫХ ТРАНЗАКЦИЙ В ПЛАТЕЖНОЙ СИСТЕМЕ С ИСПОЛЬЗОВАНИЕМ БАНКОВСКОЙ КАРТЫ, ОГРАНИЧИВАЮЩИЙ ВОЗМОЖНОСТЬ ПРОВЕДЕНИЯ МОШЕННИЧЕСКИХ ОПЕРАЦИЙ В СЛУЧАЕ КОМПРОМЕТАЦИИ КАРТЫ 2013
  • Кравченко Дмитрий Анатольевич
RU2555233C2
СИСТЕМА И СПОСОБ ЗАЩИТЫ ДЕРЖАТЕЛЯ БАНКОВСКОЙ КАРТЫ ОТ ПЕРЕРАСХОДА И КРАЖИ ФИНАНСОВЫХ СРЕДСТВ С ЕГО БАНКОВСКОЙ КАРТЫ В ЛЮБЫХ СРЕДАХ ИСПОЛЬЗОВАНИЯ БАНКОВСКИХ КАРТ 2018
  • Корчагин Павел Владимирович
RU2695984C1
СИСТЕМА И СПОСОБ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ПРОВЕДЕНИЯ ТРАНЗАКЦИЙ С ДЕНЕЖНЫМИ СРЕДСТВАМИ ПО БАНКОВСКИМ КАРТАМ 2021
  • Корчагин Павел Владимирович
RU2772239C1
СПОСОБЫ И СИСТЕМЫ ДЛЯ ОБРАБОТКИ ЭЛЕКТРОННЫХ ВЫПЛАТ 2013
  • Кимберг Дебора
  • Хагмайер Шон
  • Дюшарм Брайан
RU2647663C2
СИСТЕМА И СПОСОБ ЗАЩИТЫ ОТ ХИЩЕНИЙ ДЕНЕЖНЫХ СРЕДСТВ ПРИ КОНТАКТНОЙ И БЕСКОНТАКТНОЙ ОПЛАТЕ С БАНКОВСКОЙ КАРТЫ 2022
  • Корчагин Павел Владимирович
RU2816675C2
ЗАЩИЩЕННЫЙ ЭЛЕКТРОННЫЙ БЛОК ДЛЯ САНКЦИОНИРОВАНИЯ ТРАНЗАКЦИИ 2013
  • Обэн Ян-Лоик
  • Дюкрос Кристоф
  • Депьер Тьерри
  • Говэн Давид
  • Рико Рубен
RU2651245C2
СПОСОБ И СИСТЕМА ЗАЩИТЫ ИНФОРМАЦИИ ОТ НЕСАНКЦИОНИРОВАННОГО ИСПОЛЬЗОВАНИЯ (ЕЕ ВАРИАНТЫ) 2013
  • Рабинович Илья Самуилович
RU2560810C2
СПОСОБЫ И СИСТЕМЫ ДЛЯ ФИНАНСОВЫХ ТРАНЗАКЦИЙ В СРЕДЕ МОБИЛЬНОЙ СВЯЗИ 2006
  • Ракли Брэди Ли
  • Портер Уоррен Дерек
  • Рикман Грегори Майкл
  • Кохран Кайл Лейтон
RU2467501C2
СИСТЕМА И СПОСОБ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ БАНКОВСКОЙ КАРТЫ, ВКЛАДА ИЛИ СЧЕТА ДЕРЖАТЕЛЯ 2022
  • Корчагин Павел Владимирович
RU2820158C2

Иллюстрации к изобретению RU 2 301 449 C2

Реферат патента 2007 года СПОСОБ ОСУЩЕСТВЛЕНИЯ МНОГОФАКТОРНОЙ СТРОГОЙ АУТЕНТИФИКАЦИИ ДЕРЖАТЕЛЯ БАНКОВСКОЙ КАРТЫ С ИСПОЛЬЗОВАНИЕМ МОБИЛЬНОГО ТЕЛЕФОНА В СРЕДЕ МОБИЛЬНОЙ СВЯЗИ ПРИ ОСУЩЕСТВЛЕНИИ МЕЖБАНКОВСКИХ ФИНАНСОВЫХ ТРАНЗАКЦИЙ В МЕЖДУНАРОДНОЙ ПЛАТЕЖНОЙ СИСТЕМЕ ПО ПРОТОКОЛУ СПЕЦИФИКАЦИИ 3-D SECURE (ВАРИАНТЫ) И РЕАЛИЗУЮЩАЯ ЕГО СИСТЕМА

Изобретение относится к средствам для персональной идентификации клиентов при проведении транзакций с применением сетей мобильной связи. В частности, изобретение может использоваться для аутентификации при проведении платежа по банковской карте с использованием мобильного телефона. Техническим результатом от использования заявленных способа и сетей связи финансовых транзакций с гарантией конфиденциальности производимых операций. При осуществлении межбанковской финансовой транзакции в международной платежной системе по протоколу спецификации 3-D Secure последовательно выполняются четыре фазы транзакции с условием многофакторной строгой аутентификации клиента с использованием мобильного телефона в среде мобильной связи: инициация операции; генерация и доставка аутентификационного запроса; генерация и доставка ответа на аутентификационный запрос; выполнение операции, генерация и доставка извещения о результатах операции. При выполнении каждой фазы осуществляют передачу сообщений-сигналов между участниками системы с использованием компонентов спецификации 3-D Secure. 3 н.п. ф-лы, 2 ил.

Формула изобретения RU 2 301 449 C2

1. Система осуществления многофакторной строгой аутентификации клиента с использованием мобильного телефона в среде мобильной связи при осуществлении финансовой транзакции в международной платежной системе по протоколу спецификации 3-D Secure, содержащая домен обеспечения функциональной совместимости международной платежной системы, предоставляющей физическим лицам услуги при использовании банковских карт как платежного средства, далее по тексту - домен обеспечения и платежная система, домен банков-эмитентов платежной системы, домен банков-эквайеров платежной системы, причем домены банков-эквайеров и банков-эмитентов соединены с доменом обеспечения посредством компьютерных сетей связи, по меньшей мере, один компонент ACS - сервер контроля доступа - спецификации 3-D Secure платежной системы в домене банков-эмитентов, по меньшей мере, один компонент MPI - плагин сервера магазина - спецификации 3-D Secure платежной системы в домене банков-эквайеров, отличающаяся тем, что система дополнительно содержит по меньшей мере, одну сеть сотовой мобильной связи стандарта GSM, обеспечиваемую GSM-оператором, по меньшей мере, один мобильный телефон стандарта GSM, подключенный к сети GSM-оператора, с SIM-картой, на которой записана стандартная информация GSM-оператора, а также, по меньшей мере, одна компьютерная программа-апплет, реализующая функциональность банковского приложения и являющаяся компонентом банка-эмитента, блок обеспечения межбанковского и мобильного обмена данными - блок MID, подключенный посредством компьютерной сети связи, по меньшей мере, к одной сети GSM-оператора, по меньшей мере, один блок банка-эмитента - блок i-MAP, обеспечивающий обмен сообщениями-сигналами между сервером ACS и блоком MID, подключенный посредством компьютерных сетей связи к блоку MID и, по меньшей мере, к одному серверу ACS, по меньшей мере, один блок банка-эквайера - блок а-МАР, обеспечивающий обмен сообщениями-сигналами между сервером MPI и блоком MID, подключенный посредством компьютерных сетей связи к блоку MID и, по меньшей мере, к одному серверу MPI, по меньшей мере, один сервер получателя платежа, подключенный посредством компьютерной сети связи к серверу MPI, причем каждый сервер MPI подключен посредством компьютерной сети связи, по меньшей мере, к одному серверу получателя платежа.2. Способ осуществления многофакторной строгой аутентификации клиента с использованием мобильного телефона в среде мобильной связи при осуществлении финансовой транзакции в международной платежной системе по протоколу спецификации 3-D Secure, заключающийся в том, что активируют записанную на SIM-карте мобильного телефона клиента компьютерную программу-апплет, затем инициируют финансовую транзакцию, определяя параметры платежа с помощью соответствующих пунктов меню апплета и в ответ на запросы апплета, средствами мобильного телефона, SIM-карты и апплета формируют и отправляют GSM-оператору неголосовое сообщение, адресованное блоку межбанковского и мобильного обмена данными - блоку MID, содержащее параметры платежа, к которым относятся, в частности, условный идентификатор клиента в банке-эмитенте клиента, условный идентификатор банковской платежной карты клиента в банке-эмитенте клиента, а также содержащее параметры запрашиваемой оферты, к которым относятся, в частности, идентификатор получателя платежа, идентификатор оплачиваемого товара или услуги, количество предполагаемых к оплате товаров или услуг, сумма платежа, от GSM-оператора передают полученное неголосовое сообщение и номер телефона отправителя сообщения блоку MID, в блоке MID по упомянутому условному идентификатору клиента определяют соответствующий этому идентификатору компонент банка-эмитента - блок i-MAP, который, в частности, реализует функциональность интерфейса с серверами ACS спецификации 3-D Secure, формируют и передают упомянутому блоку i-MAP запрос на получение актуальных атрибутов банковской карты клиента, необходимых для проведения финансовой транзакции в соответствии со спецификаций платежной системы, по содержащимся в полученном от MID запросе упомянутым условному идентификатору клиента и условному идентификатору банковской карты клиента в упомянутом блоке i-MAP определяют актуальные атрибуты банковской карты клиента, формируют и передают блоку MID ответ, содержащий запрошенные данные, по упомянутому идентификатору получателя платежа в блоке MID определяют соответствующий этому идентификатору компонент банка-эквайера получателя платежа - блок а-МАР, который, в частности, реализует функциональность интерфейса с серверами MPI спецификации 3-D Secure, формируют и передают этому блоку а-МАР сообщение, содержащее актуальные атрибуты банковской карты клиента, идентификатор получателя платежа и параметры запрашиваемой оферты, по упомянутому идентификатору получателя платежа в блоке а-МАР определяют соответствующий этому идентификатору сервер MPI и инициируют аутентификационную транзакцию по спецификации 3-D Secure, обращаясь к этому MPI, сформированный упомянутым сервером MPI по спецификации 3-D Secure запрос на аутентификацию клиента получают в упомянутом блоке а-МАР, передают блоку MID и далее от блока MID передают упомянутому блоку i-МАР, в упомянутом блоке i-МАР по содержащимся в полученном запросе на аутентификацию клиента данным определяют соответствующий этим данным сервер ACS и, обращаясь к этому ACS, формируют, зашифровывают с использованием персональных банковских секретных ключей клиента, подписывают и передают блоку MID сообщение-запрос, содержащее аутентификационный запрос и оферту, в блоке MID формируют и передают GSM-оператору неголосовое сообщение, адресованное на мобильный телефон клиента, содержащее полученное сообщение-запрос, после получения неголосового сообщения клиентом от GSM-оператора средствами мобильного телефона, SIM-карты и апплета проверяют подлинность полученного сообщения и, в случае аутентичности сообщения, на дисплее мобильного телефона отображают аутентификационный запрос, в случае предъявления клиентом персонального пароля в ответ на аутентификационный запрос и последующего принятия клиентом оферты, подтверждаемого повторным предъявлением персонального пароля, инициируют защищенную функцию апплета, средствами мобильного телефона, SIM-карты и защищенной функции апплета формируют и отправляют GSM-оператору зашифрованное и подписанное с использованием персональных банковских секретных ключей клиента неголосовое сообщение, адресованное блоку MID, от GSM-оператора передают полученное неголосовое сообщение и номер телефона отправителя сообщения блоку MID, в блоке MID формируют и передают упомянутому блоку i-MAP сообщение, содержащее ответ на аутентификационный запрос, в упомянутом блоке i-MAP, обращаясь к упомянутому серверу ACS, проверяют результат аутентификации, а именно, является или нет ответ на аутентификационный запрос доказательством аутентичности решения клиента о принятии оферты, при этом для аутентификации клиента в блоке i-МАР используют совокупность следующего ряда факторов: установление факта владения клиентом мобильным телефоном с SIM-картой, имеющей аутентичные идентификационные и телефонный номера, установление факта наличия, аутентичности и функционально-корректной целостности, записанных на упомянутой SIM-карте апплета банка-эмитента и персональных секретных банковских ключей клиента, и установление факта знания клиентом персонального пароля, выполняющего функцию кода доступа к защищенным от неавторизованного использования функциям упомянутого апплета, а в качестве доказательства подлинности клиента и принятия клиентом оферты используют позитивный результат, основанный на совокупности подтверждений установления упомянутых фактов, в упомянутом блоке i-MAP формируют сообщение, адресованное упомянутому блоку а-МАР, содержащее результат проверки аутентификации, из блока i-MAP посредством блока MID передают результат аутентификации упомянутому блоку а-МАР, в блоке а-МАР, используя полученные данные, инициируют авторизационную транзакцию в платежной системе, обращаясь к упомянутому серверу MPI, в блоке i-MAP получают от упомянутого сервера ACS спецификации 3-D Secure платежной системы в домене банка-эмитента, взаимодействующего по компьютерной сети связи с упомянутым сервером MPI спецификации 3-D Secure платежной системы в домене банка-эквайера, необходимое и сформированное по спецификации и компонентами платежной системы сообщение клиенту о результате проведения авторизационной транзакции из банка-эмитента, формируют, зашифровывают с использованием персональных банковских секретных ключей клиента и передают блоку MID сообщение, содержащее результат проведения авторизационной транзакции, в блоке MID формируют и передают GSM-оператору неголосовое сообщение, адресованное на мобильный телефон клиента, содержащее полученное сообщение, после получения неголосового сообщения клиентом от GSM-оператора средствами мобильного телефона, SIM-карты и апплета проверяют подлинность сообщения и в случае аутентичности сообщения на дисплее мобильного телефона клиента отображают результат проведения авторизационной транзакции, при этом всю информацию, касающуюся инициации финансовой транзакции, аутентификации, авторизационной транзакции и извещения о результатах авторизационной транзакции, сохраняют средствами, предусмотренными платежной системой и в соответствии со спецификацией платежной системы.3. Способ осуществления многофакторной строгой аутентификации клиента с использованием мобильного телефона в среде мобильной связи, при осуществлении финансовой транзакции в международной платежной системе, по протоколу спецификации 3-D Secure, заключающийся в том, что информационно-техническими средствами получателя платежа инициируют финансовую транзакцию, обращаясь к соответствующему серверу MPI получателя платежа, формируют запрос на проведение финансовой транзакции с условием аутентификации по спецификации 3-D Secure, причем запрос включает в себя идентификатор получателя платежа, параметры оферты, к которым относятся, в частности, идентификатор оплачиваемого товара или услуги, количество предлагаемых к оплате товаров или услуг, сумма платежа, и адрес клиента для доставки оферты клиенту, который включает, в частности, условный идентификатор клиента в банке-эмитенте и/или номер телефона клиента, запрос отправляют через соответствующий компонент банка-эквайера получателя платежа - блок а-МАР, который, в том числе, реализует функциональность интерфейса с серверами MPI 3D Secure, в блок обеспечения межбанковского и мобильного обмена данными - блок MID, в случае неполноты адреса клиента в блоке MID определяют соответствующий номеру телефона клиента условный идентификатор клиента в банке-эмитенте или номер телефона клиента, соответствующий условному идентификатору клиента в банке-эмитенте, по упомянутому идентификатору клиента определяют соответствующий этому идентификатору компонент банка-эмитента - блок i-MAP, в том числе реализующий функциональность интерфейса с серверами ACS 3-D Secure, формируют и передают упомянутому блоку i-MAP запрос на проведение финансовой транзакции с условием аутентификации по спецификации 3-D Secure, в упомянутом блоке i-MAP по содержащимся в полученном запросе данным проверяют допустимость финансовой транзакции с использованием мобильного телефона клиента, определяют соответствующий этим данным сервер ACS, обращаясь к этому ACS формируют, зашифровывают с использованием персональных банковских секретных ключей клиента, подписывают и передают блоку MID сообщение-запрос, содержащее аутентификационный запрос и оферту, в блоке MID формируют и передают GSM-оператору неголосовое сообщение, адресованное на мобильный телефон клиента, содержащее полученное сообщение-запрос, после получения неголосового сообщения клиентом от GSM-оператора средствами мобильного телефона, SIM-карты и предварительно записанной на SIM-карте клиента компьютерной программы-апплета проверяют подлинность сообщения и в случае аутентичности сообщения на дисплее мобильного телефона отображают аутентификационный запрос, в случае предъявления клиентом персонального пароля в ответ на аутентификационный запрос, определения клиентом не установленных получателем платежа параметров платежа с помощью соответствующих пунктов меню апплета и в ответ на запросы апплета и последующего принятия клиентом оферты, подтвержденного повторным предъявлением персонального пароля, инициируют защищенную функцию апплета, средствами мобильного телефона, SIM-карты клиента и защищенной функции апплета формируют и отправляют GSM-оператору зашифрованное и подписанное с использованием персональных банковских секретных ключей клиента неголосовое сообщение, содержащее доказательство аутентичности решения клиента о принятии оферты и параметры платежа, адресованное блоку MID, от GSM-оператора передают полученное неголосовое сообщение и номер телефона отправителя сообщения блоку MID, в блоке MID формируют и передают упомянутому блоку i-MAP сообщение, содержащее упомянутые доказательство аутентичности решения клиента о принятии оферты и параметры платежа, в упомянутом блоке i-MAP, обращаясь к упомянутому серверу ACS, проверяют результат аутентификации, а именно, проверяют доказательство аутентичности решения клиента о принятии оферты, и формируют сообщение, адресованное упомянутому блоку а-МАР, содержащее результат проверки аутентификации и параметры платежа, при этом, учитывая, что спецификация 3-D Secure не регламентирует способ аутентификации клиента банком-эмитентом, для проверки доказательства аутентичности в блоке i-MAP используют совокупность следующего ряда факторов: установление факта владения клиентом мобильным телефоном с SIM-картой, имеющей аутентичные идентификационные и телефонный номера, установление факта наличия, аутентичности и функционально-корректной целостности записанных на упомянутой SIM-карте апплета банка-эмитента и персональных секретных банковских ключей клиента и установление факта знания клиентом персонального пароля, выполняющего функцию кода доступа к защищенным от неавторизованного использования функциям упомянутого апплета, а в качестве доказательства подлинности клиента и принятия клиентом оферты используют позитивный результат, основанный на совокупности подтверждений установления упомянутых фактов, из упомянутого блока i-MAP посредством блока MID передают результат аутентификации и параметры платежа упомянутому блоку а-МАР, в блоке а-МАР, используя полученные данные, инициируют авторизационную транзакцию в платежной системе, обращаясь к упомянутому серверу MPI, в блоке i-MAP получают от упомянутого сервера ACS, взаимодействующего по компьютерной сети связи с упомянутым сервером MPI спецификации 3-D Secure платежной системы в домене банка-эквайера, необходимое и сформированное по спецификации и компонентами платежной системы сообщение клиенту о результате проведения авторизационной транзакции из банка-эмитента, формируют, зашифровывают с использованием персональных банковских секретных ключей клиента и передают блоку MID сообщение, содержащее результат проведения авторизационной транзакции, в блоке MID формируют и передают GSM-оператору неголосовое сообщение, адресованное на мобильный телефон клиента, содержащее полученное сообщение, после получения неголосового сообщения клиентом от GSM-оператора средствами мобильного телефона, SIM-карты и апплета проверяют подлинность сообщения и в случае аутентичности сообщения на дисплее мобильного телефона клиента отображают результат проведения авторизационной транзакции, при этом всю информацию, касающуюся инициации финансовой транзакции, аутентификации, авторизационной транзакции и извещения о результатах авторизационной транзакции, сохраняют средствами, предусмотренными платежной системой и в соответствии со спецификацией платежной системы.

Документы, цитированные в отчете о поиске Патент 2007 года RU2301449C2

Переносная печь для варки пищи и отопления в окопах, походных помещениях и т.п. 1921
  • Богач Б.И.
SU3A1
СИСТЕМА ОПЛАТЫ УСЛУГ В ТЕЛЕКОММУНИКАЦИОННОЙ СЕТИ 2003
  • Горелик С.Л.
RU2256216C2
Способ обработки целлюлозных материалов, с целью тонкого измельчения или переведения в коллоидальный раствор 1923
  • Петров Г.С.
SU2005A1
FR 2829647 A1, 14.03.2003
СПОСОБ ОЧИСТКИ ВЫСОКОМИНЕРАЛИЗОВАННОЙ ВОДЫ 2007
  • Лукерченко Вадим Николаевич
  • Маслов Дмитрий Николаевич
  • Шабалина Татьяна Михайловна
  • Молчанов Владимир Александрович
RU2389693C2
Способ обработки целлюлозных материалов, с целью тонкого измельчения или переведения в коллоидальный раствор 1923
  • Петров Г.С.
SU2005A1
Аппарат для очищения воды при помощи химических реактивов 1917
  • Гордон И.Д.
SU2A1

RU 2 301 449 C2

Авторы

Лабыч Андрей Николаевич

Милашевский Игорь Анатольевич

Даты

2007-06-20Публикация

2005-06-17Подача