СПОСОБ, СЕРВЕР И СИСТЕМА ДЛЯ ИДЕНТИФИКАЦИИ ЧЕЛОВЕКА

Настоящее изобретение относится к способу, серверу и системе для идентификации человека, владельца телекоммуникационного оборудования, имеющего уникальный идентификатор.

При проведении многочисленных электронных транзакций, например, платежных, важно гарантировать подлинность участников и безопасность передачи конфиденциальной информации между ними.

Первое решение, которое предложено и широко применяется до сих пор, заключается в кодировании канала передачи с помощью особого протокола, как правило, протокола SSL - «Протокола Защищенных Сокетов» ("Secure Socket Layer").

Это обеспечивает возможность защититься от перехвата сообщений посредством подключения к каналу передачи, однако это не защищает от атак настольного компьютера, таких как установка шпионского программного обеспечения, или программного обеспечения для атаки типа «Человек в Браузере», то есть встраивания вредоносного шпионского программного обеспечения в браузер сети интернет, а также от программного обеспечения для атаки типа «Человек Посередине», когда третья сторона представляется одним из участников и получает несанкционированный доступ к каналу связи путем имитации ожидаемого поведения точки контакта.

Для защиты пользователей от данных типов атак было предложено множество решений. В частности, было предложено использовать два различных канала связи, подразумевая, что для третьей стороны очень сложно перехватить и синхронизировать связь, используя два или более каналов, и тем самым атаки «Человека Посередине» станут едва ли возможными.

Основываясь на данном принципе, решением с использованием двух каналов связи является обеспечение безопасности электронных платежей с помощью банковской карты, предложенное компаниями VISA и Mastercard соответственно под торговой маркой "3D secure" или "Securecode". Эта услуга заключается в том, что после ввода идентификаторов собственной банковской карты на собственный, предварительно зарегистрированный номер мобильного телефона приходит одноразовый секретный код, который затем должен быть скопирован на экран ввода платежа.

Недостатком данного решения является факт передачи набора секретной информации, к которой относится одноразовый секретный код, через терминал, на котором осуществляется платежная транзакция. Следовательно, третья сторона, которая перехватывает связь посредством сети интернет, может использовать для своих целей и изменить определенные параметры транзакции так, чтобы пользователь не заметил этого.

Например, в документе WO 2007072001 описывается другой бесконтактный способ осуществления платежей с использованием мобильного телефона в качестве безопасного средства осуществления платежей. В нем описана двухфакторная динамическая идентификация с использованием 3-х устройств: терминала доступа, мобильного телефона покупателя и сервера идентификации. Способ, главным образом, заключается в следующем:

- Пользователь вводит свои личные идентификационные данные на терминале доступа, который отправляет их серверу вместе с информацией, относящейся к платежной транзакции («контекст»);

- Сервер осуществляет проверку его/ее идентификационных данных и, если они являются достоверными, генерирует сообщение с идентификатором транзакции, которое он посылает терминалу;

- Терминал представляет идентификатор транзакции таким образом, чтобы он «захватывался» с помощью мобильного телефона;

- На основе данного идентификатора, который содержит скрытую информацию, мобильный телефон расшифровывает его и выводит контекст транзакции и идентификационную информацию с целью представления их пользователю для подтверждения правильности;

- Если пользователь подтверждает ее правильность, он/она вводит свой идентификационный код в терминал, который отправляет его серверу для подтверждения правильности;

- После проверки данного кода сервер подтверждает правильность транзакции и разрешает осуществление платежа.

Недостатком данного решения является то, что оно основано на криптографических способах, в частности на стеганографии, которые, как предполагается, препятствуют третьей стороне «тайно изменять» идентификатор транзакции. Однако если данные криптографические способы «взломаны», третья сторона может получить несанкционированный доступ к каналу связи между терминалом и сервером и заново создать идентификаторы согласно требованиям. В частности, данное решение основывается на программном обеспечении для расшифровки, установленном на мобильном телефоне. Однако защищенность информации на данных устройствах далеко не гарантируется.

Следовательно, было бы более полезным получить способ идентификации, который был бы устойчивым по отношению к данным атакам и не требовал бы применения криптографических способов, которые являются сложными для воплощения, или не требовал бы усиления защищенности мобильных телефонов.

С целью устранения одного или нескольких из вышеупомянутых недостатков способ для идентификации человека, при котором серверу идентификации заранее известно, что данный человек владеет телекоммуникационным оборудованием, имеющим уникальный идентификатор, и обладает кодом доступа, включает:

- получение сервером запроса на идентификацию от терминала посредством первой сети передачи данных;

- отправку сервером идентификационного кода терминалу посредством первой сети передачи данных;

- передачу идентификационного кода от терминала телекоммуникационному оборудованию;

- получение сервером от телекоммуникационного оборудования посредством второй сети передачи данных идентификационного кода вместе с уникальным идентификатором;

- генерацию сервером одноразового идентификационного маркера и отправку его телекоммуникационному оборудованию посредством второй сети передачи данных; и возврат одноразового идентификационного маркера серверу телекоммуникационным оборудованием посредством второй сети передачи данных; и одновременно,

- принятие терминалом посредством запроса на принятие личного кода доступа, вводимого человеком; и получение сервером личного кода доступа, поступающего от терминала, посредством первой сети передачи данных;

- идентификацию человека сервером, если идентификационный код, уникальный идентификатор, идентификационный маркер и личный код доступа соответствуют элементам, содержащимся на сервере.

Следовательно, предпочтительно каждый канал связи передает секретные данные сам по себе, и перехват в одном из каналов не дает возможности узнать секретные данные, передаваемые в другом канале. Это также защищает от атак, связанных с наличием шпионского программного обеспечения, установленного в одном из терминалов, поскольку для этой цели имеется перераспределение секретных данных между терминалами.

Характеристики конкретных вариантов воплощений, которые будут использоваться сами по себе или в сочетании, представляют собой:

- он дополнительно содержит вспомогательный способ регистрации человека, включающий:

- получение сервером уникального идентификатора телекоммуникационного оборудования и по меньшей мере биографических данных человека от телекоммуникационного оборудования посредством второй сети связи;

- отправку сервером одноразового пароля телекоммуникационному оборудованию посредством второй сети связи и вывод одноразового пароля на экран телекоммуникационным оборудованием;

- принятие одноразового пароля на втором терминале путем его ввода человеком;

- получение сервером одноразового пароля от второго терминала посредством третьей телекоммуникационной сети; и

- создание и разделение использования личного кода доступа между человеком и сервером посредством второго терминала и третьей телекоммуникационной сети;

- конфиденциальные биографические данные передаются серверу от второго терминала посредством третьей телекоммуникационной сети после получения одноразового пароля сервером и перед созданием личного кода доступа;

- конфиденциальные биографические данные содержат данные банковской карты;

- вспомогательный способ регистрации дополнительно содержит, после создания и разделения использования личного кода доступа:

- отправку сервером идентификационного кода, связанного с регистрацией, второму терминалу посредством третьей сети передачи данных;

- передачу идентификационного кода от терминала телекоммуникационному оборудованию;

- получение сервером идентификационного кода вместе с уникальным идентификатором оборудования, поступающим от телекоммуникационного оборудования, посредством второй сети передачи данных;

- передача идентификационного кода от терминала телекоммуникационному оборудованию достигается путем вывода на экран терминала пиктограммы и принятия выведенного на экран изображения с помощью фотографического аппарата телекоммуникационного оборудования; и/или

- телекоммуникационное оборудование перехватывает отправку сообщения одноразового идентификационного маркера и автоматически возвращает его без вмешательства человека путем использования двух различных каналов связи.

Во втором аспекте изобретения сервер для идентификации человека содержит:

- элемент памяти, предназначенный для хранения биографической информации человека, причем биографическая информация содержит по меньшей мере уникальный идентификатор телекоммуникационного оборудования, которым владеет человек, и личный код доступа;

- первый интерфейс, предназначенный для связи с терминалом посредством первой сети передачи данных;

- второй интерфейс, предназначенный для связи с телекоммуникационным оборудованием посредством второй сети передачи данных;

- генератор идентификационного кода, способный генерировать идентификационный код по запросу от терминала и отправлять сгенерированный идентификационный код терминалу и способный получать идентификационный код вместе с уникальным идентификатором, поступающим от телекоммуникационного оборудования;

- генератор одноразовых идентификационных маркеров, способный генерировать одноразовый идентификационный маркер и отправлять его телекоммуникационному оборудованию и затем получать его от телекоммуникационного оборудования;

- генератор приложения ввода, способный отправлять терминалу экран ввода личного кода доступа и получать введенный личный код доступа от терминала;

- компаратор идентификационного кода, уникального идентификатора, идентификационного маркера и личного кода доступа, поступающих от терминала или телекоммуникационного оборудования, с эквивалентными элементами, содержащимися на сервере, причем идентификация человека достигается, если результат ряда сравнений является положительным.

В третьем аспекте изобретения система идентификации содержит сервер идентификации, подобный описанному выше, терминал, подключенный к серверу посредством первой сети передачи данных, и телекоммуникационное оборудование, подключенное к серверу посредством второй телекоммуникационной сети, причем терминал дополнительно содержит средства взаимодействия пользователя с компьютером, обеспечивающие возможность вывода информации и ввода личного кода доступа, и телекоммуникационное оборудование дополнительно содержит средства для ввода информации, выведенной на экран терминалом, и уникальный идентификатор.

В четвертом аспекте изобретения программный продукт для компьютера содержит команды программного кода, предназначенные для осуществления шагов вышеописанного способа, когда программа выполняется на сервере идентификации.

Изобретение будет более понятно при прочтении нижеприведенного описания, данного исключительно в качестве примера, и со ссылкой на сопроводительные фигуры, на которых:

- Фигура 1 представляет схематический вид системы идентификации согласно варианту воплощения изобретения;

- Фигура 2 представляет граф потока работы системы, показанной на Фигуре 1, в ее фазе регистрации, при этом каждый элемент системы представлен в виде столбца; и

- Фигура 3 представляет граф потока работы системы, показанной на Фигуре 1, в ее фазе идентификации, при этом каждый элемент системы представлен в виде столбца.

Как видно на Фигуре 1, система идентификации содержит сервер идентификации 1, подключенный к первой сети передачи данных 3 посредством первого интерфейса 5 и подключенный ко второй сети передачи данных 7 посредством второго интерфейса 9.

Сервер также содержит генератор 11 идентификационного кода, приспособленный для генерации идентификационного кода и подключенный к первому интерфейсу 5. Он также содержит генератор 13 одноразового идентификационного маркера, приспособленный для генерации одноразового идентификационного маркера и подключенный ко второму интерфейсу 7.

Сервер 1 дополнительно содержит генератор 15 приложения ввода, который также подключен к первому интерфейсу 5, и компаратор 17, подключенный к каждому из генераторов.

Первая сеть передачи данных 3 обеспечивает возможность создания первого канала связи между сервером 1 и терминалом 21. Этот терминал содержит средства взаимодействия пользователя с компьютером 23, такие как, например, экран и клавиатура. Терминалом является, например, настольный компьютер или терминал электронных платежей.

Вторая сеть передачи данных 7 обеспечивает возможность создания второго канала связи между сервером 1 и телекоммуникационным оборудованием 25. Оборудованием 25 является, например, мобильный телефон. Оно содержит обычные средства взаимодействия пользователя с компьютером 27 типа экран-клавиатура и, в частности, устройство для фотосъемки 29. Мобильный телефон, как правило, также содержит средства произведения вычислений и хранения информации (не представлены), обеспечивая возможность запуска определенных приложений.

Первая сеть передачи данных 3 и вторая сеть передачи данных 7 являются отдельными сетями. Например, первая сеть 3 является кабельной сетью интернет, а вторая сеть 7 является сетью мобильной связи. На сервере 1 его менеджер может, например, использовать двух различных провайдеров доступа с целью минимизировать вероятность того, что данные из одного канала займут часть другого канала.

Использование системы будет теперь описано со ссылкой на Фигуры 2 и 3.

Во вспомогательном способе или фазе перед идентификацией пользователя последний должен пройти регистрацию на сервере идентификации 1.

Эта фаза регистрации будет описана со ссылкой на Фигуру 2.

С целью ясности изложения предполагается, что терминал 21 является так называемым терминалом электронных платежей типа «EPT» и что телекоммуникационным оборудованием 25 является мобильный телефон, без отклонения от общности описанного способа.

Используя свой мобильный телефон 25, пользователь подключается на шаге 31 к серверу 1 посредством второй сети и предоставляет ему на шаге 33 биографические данные, обеспечивая возможность его/ее идентификации, например его/ее фамилию и имя, адрес и т.д.

Он/она также предоставляет идентификационную информацию, полученную от его/ее мобильного телефона 25. Эта информация включает информацию, относящуюся к терминалу (например, серийный номер устройства, номер абонента и код IMEI - «Международный Идентификатор Мобильного Оборудования» и т.д.).

В ответ сервер отправляет на шаге 35 одноразовый пароль на мобильный телефон 25, который последний выводит на свой экран на шаге 37. Таким образом, пароль предоставляется пользователю в виде алфавитно-цифровой строчки или даже только цифровой.

Пользователь вводит на шаге 39 в терминал электронных платежей 21 одноразовый пароль, выведенный на экран мобильного телефона 25.

Терминал электронных платежей 21 на шаге 41 передает одноразовый пароль серверу 1 посредством первой сети 3. После получения сервер осуществляет на шаге 43 проверку того, что одноразовый пароль является правильным, то есть идентичным тому, который был порожден на мобильном телефоне 25.

Затем на шаге 45 создается личный код доступа. Это создание осуществляется либо сервером, который затем передает код пользователю посредством терминала электронных платежей 21, либо фактом того, что пользователь затем вводит его в терминал электронных платежей для передачи на сервер.

Таким образом, пользователь известен серверу и разделяет использование секретной информации с ним: личный код доступа.

Когда пользователь прошел регистрацию, он/она может затем использовать систему идентификации для его/ее идентификации, Фигура 3.

Для иллюстрации способа идентификации будет описана операция осуществления безопасного электронного платежа.

Пользователь использует его/ее персональный компьютер для осуществления покупки в сети интернет. Для упрощения понимания примем, что персональный компьютер является терминалом 21, подключенным к первой сети 3. Однако понятно, что терминал 21, использующийся в фазе регистрации, может быть и наиболее часто является отличным от терминала 21, использующегося в фазе идентификации. Подобным образом первая сеть 3 может быть одной и той же в обеих фазах или отличаться. Важно подчеркнуть, что в каждой фазе одновременно используются две отдельные сети и два типа терминалов, причем одним из терминалов все еще является мобильный телефон 25 пользователя, который зарегистрирован в процессе регистрации, то есть оборудование, которое находится у пользователя почти всегда с собой.

В конце процесса осуществления покупки пользователь переходит затем на страницу оплаты онлайн-магазина. Пользователь выбирает режим оплаты, используя описанную систему идентификации.

Набор данных, относящихся к транзакции, часто называемый «контекстом», отправляется затем на шаге 51 серверу идентификации вместе с запросом на идентификацию.

Сервер 1 отправляет на шаге 53 идентификационный код транзакции компьютеру 21. Этот код выводится на экран компьютера на шаге 55 в виде пиктограммы. Как правило, код выводится на экран в виде двумерного штрихкода, однако он также может выводиться в виде обычного штрихкода или даже в виде строчки, состоящей из буквенных и цифровых символов.

Выведенный на экран идентификационный код передается на шаге 57 мобильному телефону 25. Когда код представляется в виде штрихкода, эта передача осуществляется путем фотографирования, в противном случае пользователь вводит буквенно-цифровую строчку на клавиатуре его/ее телефона.

Затем идентификационный код отправляется на шаге 59 серверу 1 мобильным телефоном 25. Следует отметить, что данный идентификационный код не включает в себя никакой секретной информации, преобразование штрихкода в буквенно-цифровой идентификатор может быть произведено на мобильном телефоне 25 или перенаправлено серверу, таким образом, передача осуществляется в виде файла, содержащего фотографию. Идентификационный код отправляется на шаге 59 в сопровождении идентификатора мобильного телефона 25. Данный идентификатор должен соответствовать идентификатору, зарегистрированному в процессе регистрации, для того чтобы обеспечить серверу возможность проверки того, что он в порядке и действительно является мобильным телефоном пользователя, который используется.

После получения идентификационного кода сервер генерирует на шаге 61 одноразовый идентификационный маркер и отправляет его на шаге 63 мобильному телефону 25. Последний возвращает на шаге 64 одноразовый идентификационный маркер серверу 1. Предпочтительно, чтобы канал, используемый для одной из передач сообщений, отличался от канала, используемого для другой передачи сообщения. Например, получение маркера осуществляется посредством канала «короткого сообщения», а его возврат - посредством канала данных протокола TCP/IP сети Wifi или 3G. Этот шаг может быть осуществлен без вмешательства пользователя, поскольку можно запрограммировать телефон таким образом, чтобы он перехватывал звонок перед звучанием рингтона и генерировал сообщение в ответ. Эти передачи сигналов могут достигаться, например, путем использования коротких сообщений SMS. Данный шаг обеспечивает возможность подтверждения того, что он в порядке и действительно является мобильным телефоном пользователя, который послал идентификатор, а не третьей стороной, пытающейся представиться пользователем.

Одновременно сервер программирует компьютер 21 таким образом, что он выводит на экран на шаге 65 запрос на принятие личного кода доступа.

Пользователь затем вводит на шаге 67 личный код доступа, который передается на шаге 69 серверу 1.

Сервер 1 на шаге 71 подтверждает подлинность пользователя, если идентификационный код, уникальный идентификатор, идентификационный маркер и личный код доступа соответствуют элементам, содержащимся на сервере.

В объеме представленной платежной транзакции сервер идентификации запускает таким образом осуществление платежной транзакции.

В первой альтернативе регистрации, когда сервер 1 должен служить для проверки подлинности операций электронных платежей, особенно полезным является то, что пользователь также предоставляет серверу 1 данные относительно его/ее средств осуществления платежа и, в частности, данные банковской карты. Этот шаг достигается с помощью терминала электронных платежей 21 после шага 43 проверки подлинности одноразового пароля и предпочтительно перед шагом 45 создания личного кода доступа. Сервер идентификации может, следовательно, в процессе осуществления платежной транзакции использовать данные банковской карты для осуществления платежа.

Во второй альтернативе регистрации, когда сервер 1 должен проводить идентификацию биографических данных вместе с третьей стороной, последняя может быть проверена с использованием разнообразных средств, известных как таковые. Например, проверка подлинности личности может быть осуществлена путем предоставления идентификационного документа, такого как идентификационная карта, паспорт или водительские права. Эти проверенные данные могут, таким образом, служить, например, для проверки подлинности информации о покупателе относительно продавца. Эти проверки подлинности могут служить в качестве идентификации для покупателя без ввода личного кода доступа для материальных товаров, пока они гарантируют то, что доставка купленных товаров будет осуществляться по «проверенному» адресу покупателя.

В третьей альтернативе регистрации эта фаза следует через те же самые шаги, что и фаза идентификации, в частности, с использованием одноразового идентификационного маркера, который переходит от сервера к телефону и обратно.

Следует понимать, что способ в комплекте может быть воплощен в виде выполняемого программного обеспечения, в частности, сервером 1. Это программное обеспечение, которое является набором команд для управления компьютером, может храниться на носителе, обеспечивающем возможность его выполнения, таком как жесткий диск или оптический диск. Оно также может быть передано в виде загружаемого файла.

Однако способ целиком или его часть может реализовываться в виде проводных электронных схем с целью достижения конкретных операций, например, в виде FPGA (Field Programmable Gate Arrays - Программируемых Пользователем Вентильных Матриц). Это может быть необходимо с точки зрения быстродействия или для обеспечения дополнительной безопасности.

Изобретение было проиллюстрировано и описано подробно на чертежах и в предыдущем описании. Последнее следует рассматривать как иллюстративное и данное в качестве примера, и не ограничивающее изобретение данным единственным описанием. Возможно множество альтернатив данному варианту воплощения.

Таким образом, понятно, что операции, осуществляемые телекоммуникационным оборудованием, являются относительно простыми, вывод на экран кода, фотографирование и т.д., и могут, следовательно, выполняться с помощью стандартного мобильного телефона. Однако использование программируемого телефона обеспечивает возможность, используя специально приспособленную программу, упростить набор операций для пользователя.

Описанная фаза регистрации предпочтительно обеспечивает возможность улучшения безопасности данных, предоставляемых на сервер. Однако она не зависит от фазы идентификации. Следовательно, регистрация может быть осуществлена с просьбой к пользователю прийти с его/ее мобильным телефоном в безопасное место, например в отделение банка, с целью предоставления всех необходимых документов: информация затем вводится сотрудником в безопасный терминал без выполнения фазы регистрации, как описано выше.

Подобным образом способ и система были описаны без использования способов криптографии. Они не являются обязательными, но могут быть с пользой применены для усиления безопасности набора.

В формуле изобретения слово «содержащий» не исключает другие варианты, а единственное число не исключает множественности.