Способ подтверждения полномочий пользователя на обслуживание

 

Изобретение относится к области идентификации пользователей в различных системах обслуживания и выдачи им соответствующих полномочий, включая подтверждение платежеспособности или стойкой репутации. Суть изобретения - отказ от применения пользователем дополнительного аппаратного и программного обеспечения с помощью упрощения обмена информацией пользователя с обслуживающим и доверительным органами и повышение защищенности доверительного органа и процесса в целом. Для обмена информацией пользователя с доверительным органом используется лишь персональное устройство связи, например мобильный телефон. Защищенность доверительного органа возрастает за счет того, что сформированный одноразовый динамический идентификатор пользователя первоначально направляют пользователю, а также введением динамической длины одноразовых идентификаторов. Техническим результатом изобретения является возможность расширения области применения способа в разных сферах обслуживания. 3 з.п.ф-лы, 1 ил.

Изобретение относится к области идентификации пользователей в различных сферах обслуживания и выдаче им соответствующих полномочий, включая подтверждение платежеспособности или устойчивой репутации.

В настоящее время проблема идентификации становится весьма актуальной ввиду появления большого количества мобильных пользователей и значительным расширением коммуникационных сетей, например Интернет.

Известен способ подтверждения полномочий пользователя на обслуживание, основанный на использовании одноразовых идентификаторов с помощью персональных устройств доступа, опубликованный на сайте http://www.rsasecurity. com. Указанный способ включает присвоение пользователю одноразового идентификатора, который он передает доверительному органу через обслуживающий орган для подтверждения ему полномочий пользователя. В известном способе дополнительно применяют персональное устройство доступа, имеющее набор одноразовых идентификаторов, каждый из которых используется для подтверждения полномочий пользователя. Недостатком известного способа является необходимость иметь пользователю дополнительное аппаратное обеспечение в виде персонального устройства доступа. Другим недостатком является отсутствие обратной связи между устройством доступа и доверительным органом для обновления его таблиц, содержащих одноразовые идентификаторы.

Известен способ подтверждения полномочий пользователя на обслуживание, описанный в изобретении "Использование персональных коммуникационных устройств для аутентификации пользователя" (международная заявка WO 01/67219 А1, МПК7 G 06 F 1/26, публ. 13.09.2001, заявитель - компания April System Design Inc. ). Известный способ включает получение пользователем своего логина и пароля при обращении в доверительный орган, формирование на их основе одноразового идентификатора пользователя, направление его через обслуживающий орган в доверительный орган для подтверждения обслуживающему органу полномочий пользователя. В известном способе часть функций доверительного органа вынесена в зону расположения как пользователя, так и обслуживающего органа. Пользователь, зная свой пароль и не зная свой логин, вначале обращается в стационарную часть доверительного органа с запросом и получает в ответ свой логин. С помощью вынесенной в зону расположения пользователя частью доверительного органа на основе уже известного пользователю как своего логина, так и пароля формируется одноразовый идентификатор пользователя, который этой частью доверительного органа уже без вмешательства пользователя передается обслуживающему органу, а им вместе с паролем и логином пользователя передается далее в стационарную часть доверительного органа для сравнения с внесенными в базу данных и принятия решения о подтверждении полномочий пользователя.

Недостатком известного способа являются трудности привлечения массового потребителя из-за необходимости дополнительного оснащения аппаратным и программным продуктами как пользователя, так и обслуживающего органа. Другим недостатком является уменьшение защищенности информации о пользователе, т.к. формирование одноразового идентификатора пользователя осуществляется при совместном действии его персонального устройства связи и приданного ему аппаратного продукта, размещенного в зоне расположения пользователя.

Наиболее близким по технической сущности и достигаемому эффекту является известный способ подтверждения полномочий пользователя на обслуживание, описанный в изобретении "Способ и устройство для защищенной идентификации мобильного пользователя в сети связи" (патент РФ 2150790, МПК7 H 04 L 9/32, публ. 06.10.2000). Известный способ включает получение пользователем своего логина и пароля при обращении в доверительный орган, формирование на их основе одноразового динамического идентификатора пользователя, направление его через обслуживающий орган в доверительный орган для подтверждения обслуживающему органу полномочий пользователя. В указанном способе предварительно выданные доверительным органом пользователю его логин и пароль пользователь передает в выданное ему заранее доверительным органом персональное устройство доступа, формирующее одноразовый идентификатор в зоне расположения пользователя, который затем этим устройством доступа самостоятельно передается в обслуживающий орган. Время действия одноразового идентификатора пользователя ограничено (часы, дни, недели), но может обеспечить несколько его обращений к одному и тому же обслуживающему органу.

Недостатком известного способа является уменьшение защищенности информации о пользователе из-за необходимости формирования одноразового идентификатора пользователя непосредственно в зоне его расположения. Указанный недостаток обусловлен распределением функций доверительного органа в пространстве с переносом части их в зону расположения пользователя и вызван необходимостью снабжения пользователя дополнительным аппаратным и программным обеспечением в виде интеллектуальной карточки к его персональному устройству связи, с помощью которой и формируется одноразовый идентификатор пользователя, сразу направляющийся обслуживающему органу.

В основу изобретения поставлена задача по усовершенствованию способа подтверждения полномочий пользователя на обслуживание посредством оптимизации обмена информацией пользователя с обслуживающим и доверительным органами за счет отказа от применения пользователем вынесенного к нему дополнительного аппаратного и программного обеспечения, а также введением дополнительной связи, обеспечивающей пользователю получение первоначальной информации о сформированном одноразовом его идентификаторе из зоны вне его расположения, что позволяет расширить область применения способа в различных сферах обслуживания и привлечь массового пользователя.

Поставленная задача достигается тем, что в известном способе подтверждения полномочий пользователя на обслуживание, включающем получение и сохранение в памяти доверительного органа логина и пароля пользователя при его регистрации в доверительном органе, передачу пользователем доверительному органу своих логина и пароля в качестве запроса на обслуживание, формирование доверительным органом на основе полученных от пользователя логина и пароля одноразового динамического идентификатора пользователя, передачу его пользователем в обслуживающий орган для получения обслуживания в обслуживающем органе, согласно изобретению обслуживающий орган для подтверждения полномочий пользователя передает в доверительный орган полученный от пользователя одноразовый динамический идентификатор пользователя, при этом осуществляют дополнительный режим поддержания уровня защищенности всего процесса введением в динамическую характеристику одноразового идентификатора пользователя изменение его длины в зависимости от уже действующего их количества. Преимущественным вариантом выполнения является то, что через замкнутый посредством передачи по нему одноразового динамического идентификатора пользователя контур из доверительного органа, пользователя, обслуживающего органа и опять доверительного органа дополнительно осуществляют в обратном направлении также замкнутую связь на основе логина пользователя в виде номера его персонального устройства связи. Другим преимущественным вариантом является то, что при передаче обслуживающим органом одноразового динамического идентификатора для подтверждения полномочий пользователя дополнительно передают идентификатор, выбранного пользователем одного из множеств обслуживающих органов.

Таким образом, передача пользователем через персональное устройство связи доверительному органу, расположенному вне зоны пользователя, двух своих идентификационных параметров - логина и пароля, проведение в доверительном органе авторизации этих параметров и формирование при этом в доверительном органе по запросу пользователя одноразового его идентификатора с первоначальной передачей этого идентификатора пользователю позволяют исключить необходимость использования пользователем дополнительных аппаратных и программных средств для подтверждения своих полномочий. Это позволяет повысить уровень защищенности процесса в целом. Введением динамичности одноразового идентификатора пользователя, формируемого в месте расположения базы данных о всех пользователях, дополнительно поддерживают установленный уровень защищенности доверительного органа и всего процесса в целом. Это упрощает реализацию способа, повышая при этом мобильные возможности пользователей, и позволяет унифицировать способ применительно к связи с множеством обслуживающих органов в различных сферах деятельности пользователей.

Техническая сущность изобретения поясняется графической частью.

На чертеже изображена схема взаимодействия пользователя с доверительным и обслуживающими органами.

Пример конкретного выполнения для одного обслуживающего органа.

Пользователь 1 предварительно зарегистрирован в доверительном органе 2, имеющем установленный уровень защищенности 99%, для последующего обслуживания одним из органов 3, например в органе 3с. При этом в доверительном органе 2 пользователю 1 присвоены логин и пароль, которые введены в базу данных доверительного органа 2 и сообщены пользователю 1.

При возникновении у пользователя 1 необходимости обращения в орган обслуживания 3с он обращается в доверительный орган 2 с запросом, в котором указывается сообщение 4, соответствующее его зарегистрированному логину, и сообщение 5, соответствующее присвоенному ему паролю. Сообщения 4 и 5 в своей совокупности являются частями цифрового SMS-сообщения, которые пользователь 1 направляет к доверительному органу 2 через персональное устройство связи 6. Доверительный орган 2 выполняет авторизацию сообщений 4 и 5, проводя их сравнение с имеющимися в базе данных при регистрации, после чего вырабатывает динамический идентификатор 7, являющийся одноразовым, и передает его на персональное устройство связи 6 пользователя 1 в виде SMS-сообщения. После этого пользователь 1 через свое персональное устройство связи 6 передает обслуживающему органу 3с сообщение 7а в виде одноразового динамического идентификатора пользователя. Пользователю 1 доверительным органом 2 присваивается логин в виде номера его персонального устройства связи 6 и при каждом обращении выдается новый одноразовый идентификатор 7.

Обслуживающий орган 3с передает полученный одноразовый динамический идентификатор а в виде сообщения 7б доверительному органу 2, который сравнивает его с имеющимися в его памяти. При положительном результате сравнения обслуживающему органу 3с передается сообщение 8 о подтверждении полномочий пользователя в виде его логина, соответствующего номеру его персонального устройства связи 6 или отказ в полномочиях. После этого обслуживающий орган 3с сообщением 9 уведомляет пользователя 1 о его полномочиях.

Пример конкретного выполнения для множества обслуживающих органов. Данный пример отличается от предыдущего тем, что передача одноразового идентификатора 7б, идущего от обслуживающего органа 3 к доверительному органу 2 осуществляется совместно с идентификатором 10, выбранного пользователем обслуживающего органа из серии 3 этих органов.

Например, используя данное изобретение в системе E-mail (система обмена электронной почтой), пользователь получает возможность использовать одноразовый идентификатор для подтверждения своих прав на доступ к личному почтовому ящику. В коммерческих целях одноразовые идентификаторы могут использоваться для подписи электронных платежей и выполнения предоплаченных услуг.

Таким образом, имея только персональное устройство связи - мобильный телефон, пользователь получает возможность использовать предлагаемый способ как один ключ к множеству дверей.

Формула изобретения

1. Способ подтверждения полномочий пользователя на обслуживание, включающий получение и сохранение в памяти доверительного органа логина и пароля пользователя при его регистрации в доверительном органе, передачу пользователем доверительному органу своих логина и пароля в качестве запроса на обслуживание, формирование доверительным органом на основе полученных от пользователя логина и пароля одноразового динамического идентификатора пользователя, направление пользователю одноразового динамического идентификатора пользователя, передачу его пользователем в обслуживающий орган для получения обслуживания в обслуживающем органе, отличающийся тем, что обслуживающий орган для подтверждения полномочий пользователя передает в доверительный орган полученный от пользователя одноразовый динамический идентификатор пользователя, при этом осуществляют дополнительный режим поддержания уровня защищенности всего процесса введением в динамическую характеристику одноразового динамического идентификатора пользователя изменение его длины в зависимости от уже действующего их количества.

2. Способ по п.1, отличающийся тем, что подтверждение полномочий пользователя получают в виде его логина, передаваемого доверительным органом обслуживающему органу.

3. Способ по любому из пп.1 и 2, отличающийся тем, что в качестве логина пользователя используют номер его персонального устройства связи.

4. Способ по любому из пп.1-3, отличающийся тем, что при передаче обслуживающим органом одноразового идентификатора для подтверждения полномочий пользователя дополнительно передают идентификатор выбранного пользователем одного из множества обслуживающих органов.

РИСУНКИ

Рисунок 1