Способ и система для аутентификации пользователя системы обработки данных

Способ и система для аутентификации пользователя системы обработки данных

Иллюстрации

Показать все

Реферат

Область техники, к которой относится изобретение

Настоящее изобретение, в общем, относится к области систем обработки данных и более конкретно к способам аутентификации пользователей систем обработки данных.

Предшествующий уровень техники

В настоящее время аутентификация (то есть удостоверение в подлинности) пользователей систем обработки данных в целях предоставления им права осуществлять доступ к заранее определенным услугам представляет собой ощутимую проблему.

В целях настоящего описания термин “услуга” следует понимать в широком смысле, так чтобы он охватывал любую возможную услугу, которую система обработки данных может предложить пользователю, включая простое осуществление логического входа в компьютер и/или в компьютерную сеть, соединение с внутренней сетью компании, общественной администрации, правительственного агентства и/или с Интернет, доступ к услуге обмена электронными сообщениями, доступ к Web-сайту, предлагающему, например, удаленные банковские услуги (инспектирование счетов и/или размещение депозитов), доступ к базам данных и т.п. (вышеперечисленное просто представляет собой не вполне исчерпывающий список того, что понимается под услугой в контексте настоящего описания).

В частности, защищенная аутентификация пользователей, которые запрашивают доступ к конкретным услугам, предлагаемым системой обработки данных, является важной всякий раз, когда эти услуги делают пользователям доступной конфиденциальную информацию, такую как, например, содержимое почтовых ящиков системы обмена электронными сообщениями или личная информация, относящаяся, например, к состоянию здоровья индивидуумов, или исследовательские проекты компании, при этом выше было перечислено лишь несколько примеров.

С проблемой аутентификации пользователей сталкиваются не только в таких крупномасштабных системах обработки данных, как Интернет (который, несмотря на его впечатляющий успех, является весьма незащищенным), но также и при более малом масштабе, например, в инфраструктурах обработки данных компаний среднего или малого размера, где доступ к конкретным услугам, таким как базы данных платежных ведомостей сотрудников, бухгалтерские реестры и т.п., должен предоставляться пользователям на выборочной основе.

Было предложено несколько способов аутентификации. Вероятно, наиболее широко распространенное решение в плане аутентификации основывается на обуславливании доступа к заранее определенным услугам предоставлением пользователем персональной информации идентификации, в типичном случае пары из имени пользователя и пароля.

Эта технология, также известная как статическая основывающаяся на пароле аутентификация, является чрезвычайно незащищенной, например, потому что пользователи, опасаясь забыть назначенные им имя пользователя и пароль, могут записать их, например, на бумаге, делая эти персональные идентификационные коды, которые вместо этого должны держаться в строгом секрете, потенциально доступными другим людям; помимо этого имя пользователя и пароль обычно перемещаются по системе обработки данных без всякого шифрования и таким образом могут быть в большей или меньшей степени жульническим путем перехвачены другими людьми, прослушивающими трафик данных.

В патенте США 6230002 В1 описан усовершенствованный способ, относящийся к аутентификации беспроводных хостов, ассоциированных с мобильными терминалами стандарта GSM (Глобальной Системы Мобильной Связи). Согласно данному способу пароль генерируется модулем идентификации абонента (SIM) мобильного терминала GSM, подключенного к беспроводному хосту, и сгенерированный пароль сообщается (через сеть GSM) аутентификационному серверу частной сети для получения доступа к ее защищенному сайту.

Некоторые из способов аутентификации, предложенных более недавно, происходят из сферы систем мобильной телефонной связи, в особенности GSM.

Во всех способах, относящихся к этому классу, используется аутентификация SIM, который включен в состав каждого мобильного телефона и который хранит информацию об абоненте услуги мобильной телефонной связи, в частности данные, используемые для разрешения мобильному телефону получать доступ к сети GSM.

К этому случаю относятся способ и система аутентификации, описанные в международной публикации WO 00/02406, в которых пользователь основывающейся на межсетевом протоколе (IP) сети (такой как Интернет), намеревающийся подсоединиться к этой IP-сети через его/ее терминал IP-сети (например, персональное цифровое информационное устройство - PDA), использует SIM, идентичный (или в высокой степени аналогичный) тому, что используется в его/ее мобильном телефоне GSM, для аутентификации в IP-сети, тем самым способ аутентификации существующей сети GSM используется для аутентификации в IP-сети.

Другие известные способы аутентификации используют защищенный аутентифицированный на основе SIM коммуникационный канал, формируемый сетью телефонной связи GSM, для распространения паролей пользователям, которые затем используют эти пароли, принимаемые на, например, их персональных мобильных телефонах, для доступа к услугам, предоставляемым по незащищенному каналу, такому как Интернет.

Пример данного типа способов известен из публикации патентной заявки США 2003/0061503 А1, описывающей способ аутентификации, согласно которому, когда неаутентифицируемое устройство, соответствующее пользователю, запрашивает услугу через незащищенную линию связи, такую как Интернет, либо локальную сеть (LAN) или беспроводную LAN (WLAN), во время регистрации на услугу пользователь идентифицирует защищенную линию связи, ассоциированную с ней, давая номер персонального мобильного телефона. Затем осуществляется обращение к мобильному телефону этого пользователя и ему/ей сообщается пароль (предпочтительно используемый лишь однократно); путем ввода этого пароля посредством неаутентифицируемого устройства пользователь уполномочивается на доступ к услуге.

По мнению заявителя, известные из уровня техники способы аутентификации, хотя и являются удовлетворительными во многих отношениях, тем не менее не гарантируют достаточный уровень защищенности аутентификации.

В частности, в системах, таких как соответствующие двум вышеописанным примерам, SIM, который используется для аутентификации намеченного пользователя услуг системы обработки данных, может быть утерян или жульническим образом отнят у законного владельца, и неуполномоченные индивидуумы могут таким образом получить доступ к услугам ограниченной эксплуатации.

Нечто подобное может иметь место в системах, основывающихся на распространении паролей через сеть GSM: также в этом случае терминал GSM, или даже только SIM, используемый для аутентификации пользовательского терминала GSM в сети GSM, может быть утерян или жульническим образом отнят у законного владельца, и неуполномоченные индивидуумы могут таким образом получить доступ к услугам ограниченного использования.

Сущность изобретения

По мнению заявителя, желателен более высокий уровень защищенности по сравнению с тем, что достигается при эксплуатации известных методик аутентификации. Таким образом, задачей настоящего изобретения является повышение защищенности по сравнению с известными способами аутентификации.

Заявителем обнаружено, что способ аутентификации, задействующий использование двух модулей идентификации абонента, позволяет достигать очень высокого уровня защищенности.

В частности, заявителем обнаружено, что уровень защищенности значительно повышается, если обеспечивается способ аутентификации, который содержит две фазы аутентификации, а именно основывающуюся на SIM аутентификацию терминала обработки данных пользователя, который запрашивает доступ к услугам ограниченного использования, и вторую фазу, соответствующую верификации идентификационных данных пользователя, выполняемой с использованием защищенной сети связи, такой как сеть мобильной связи.

В целях настоящего изобретения под основывающейся на SIM аутентификацией подразумевается любая аутентификация, задействующая обмен идентификационными данными, хранящимися в модуле идентификации абонента.

Согласно первому аспекту настоящего изобретения предлагается способ, характеризуемый в пункте 1 прилагаемой формулы изобретения и предназначенный для аутентификации терминала обработки данных пользователя для предоставления этому терминалу обработки данных доступа к выбранным услугам, предоставляемым системой обработки данных, причем пользователю обеспечен аутентифицируемый мобильный коммуникационный терминал, выполненный с возможностью использования в сети мобильной связи.

Резюмируя, способ включает в себя выполнение первой, основывающейся на SIM аутентификации терминала обработки данных пользователя в системе обработки данных на аутентификационном сервере обработки данных; этот этап содержит функциональное ассоциирование первого модуля идентификации абонента, выданного пользователю терминала обработки данных, с терминалом обработки данных этого пользователя.

Способ дополнительно содержит после выполнения аутентификации мобильного коммуникационного терминала пользователя в сети мобильной связи обуславливание результата аутентификации терминала обработки данных пользователя в системе обработки данных второй аутентификацией на основе информации идентификации, предоставляемой пользователю на мобильном коммуникационном терминале через сеть мобильной связи.

Согласно варианту осуществления настоящего изобретения упомянутая вторая аутентификация содержит:

генерацию первого пароля на аутентификационном сервере обработки данных;

отправку первого пароля на мобильный коммуникационный терминал по сети мобильной связи;

проверку соответствия между первым паролем и зависящим от первого пароля вторым паролем, введенным на терминале обработки данных и предоставленным аутентификационному серверу обработки данных через систему обработки данных. Второй пароль может быть введен через терминал обработки данных пользователем или автоматически по приему первого пароля на мобильном коммуникационном терминале.

Предпочтительно первый пароль можно использовать ограниченное количество раз, в частности лишь один раз.

Согласно варианту осуществления настоящего изобретения пользователю выдается второй модуль идентификации абонента, приспособленный для использования в мобильном коммуникационном терминале пользователя для его аутентификации в сети мобильной связи. Второй модуль идентификации абонента может иметь фиксированное однозначное соответствие с первым модулем идентификации абонента, или первый модуль идентификации абонента может быть ассоциирован с идентификатором второго модуля идентификации абонента, в частности номером мобильного коммуникационного терминала.

Согласно варианту осуществления настоящего изобретения упомянутая информация идентификации посылается на мобильный коммуникационный терминал пользователя посредством сообщения службы коротких сообщений (SMS).

В частности, первый модуль идентификации абонента относится к типу, принятому в сети мобильной связи для аутентификации мобильных коммуникационных терминалов. Первая, основывающаяся на SIM аутентификация терминала обработки данных может таким образом содержать аутентификацию терминала обработки данных аутентификационным сервером системы обработки данных, причем аутентификационный сервер выступает в роли центра аутентификации оператора сети мобильной связи.

Согласно еще одному аспекту настоящего изобретения предоставляется способ, охарактеризованный в пункте 12 формулы изобретения, посредством которого выполняется аутентификация терминала обработки данных в системе обработки данных для получения доступа к выбранным услугам, предоставляемым системой обработки данных.

В частности, способ содержит:

взаимодействие с первым модулем идентификации абонента пользователя, функционально ассоциированным с терминалом обработки данных, и с аутентификационным сервером обработки данных в системе обработки данных для выполнения основывающейся на SIM аутентификации терминала обработки данных пользователя;

получение персональной информации идентификации, предоставляемой пользователю на мобильном коммуникационном терминале пользователя, аутентифицированном через сеть мобильной связи,

отправку упомянутой персональной информации аутентификации на аутентификационный сервер обработки данных для завершения аутентификации терминала обработки данных.

Первый модуль идентификации абонента может относиться к типу, принятому в сетях мобильной связи для аутентификации мобильных коммуникационных терминалов.

Способ может дополнительно содержать:

извлечение идентификационных данных SIM из первого модуля идентификации абонента;

передачу извлеченных идентификационных данных SIM аутентификационному серверу, причем аутентификационный сервер, по существу, выступает в роли центра аутентификации оператора сети мобильной связи;

прием от аутентификационного сервера SIM аутентификационных данных, соответствующих идентификационным данным SIM, и подачу идентификационных данных SIM на первый модуль идентификации абонента;

передачу аутентификационному серверу ответа, сформированного модулем идентификации абонента.

Также предложен способ, охарактеризованный в пункте 16 формулы изобретения, посредством которого аутентификационный сервер обработки данных аутентифицирует терминал обработки данных пользователя для предоставления этому терминалу обработки данных пользователя доступа к выбранным услугам, предоставляемым системой обработки данных.

Способ содержит:

прием запроса аутентификации терминала обработки данных, причем с терминалом обработки данных функционально ассоциирован первый модуль идентификации абонента;

выполнение основывающейся на SIM аутентификации терминала обработки данных на основе данных, ассоциированных с первым модулем идентификации абонента;

предоставление пользователю первой персональной информации идентификации посредством использования аутентифицируемого мобильного коммуникационного терминала пользователя, аутентифицированного в сети мобильной связи;

обуславливание результата аутентификации терминала обработки данных пользователя предписанным соответствием между первой персональной информацией идентификации, предоставленной пользователю, и второй персональной информацией идентификации, принятой от терминала обработки данных пользователя в ответ на предоставление первой персональной информации идентификации.

В частности, первый модуль идентификации абонента относится к типу, принятому в сетях мобильной связи для аутентификации мобильных коммуникационных терминалов, и аутентификационный сервер обработки данных, по существу, выступает в роли центра аутентификации оператора сети мобильной связи.

Способ может дополнительно содержать:

генерацию первого пароля на аутентификационном сервере обработки данных и отправку первого пароля по сети мобильной связи на мобильный коммуникационный терминал пользователя;

обуславливание результата аутентификации терминала обработки данных в системе обработки данных предписанным соответствием между первым паролем и зависящим от первого пароля вторым паролем, введенным на терминале обработки данных и предоставленным аутентификационному серверу обработки данных через систему обработки данных.

Кроме того, изобретение охватывает компьютерные программы, непосредственно загружаемые в рабочую память терминала обработки данных пользователя и аутентификационного сервера обработки данных для выполнения при их исполнении вышеописанных способов, а также компьютерные программные продукты, содержащие машиночитаемые носители данных, хранящие упомянутые компьютерные программы.

Согласно еще одному аспекту настоящего изобретения предоставляется система для аутентификации терминала обработки данных пользователя с целью предоставления этому терминалу обработки данных доступа к выбранным услугам, предоставляемым системой обработки данных. Пользователь имеет мобильный коммуникационный терминал, выполненный с возможностью использования после выполнения аутентификации, в сети мобильной связи (например, одной из сетей GSM, GPRS, UMTS).

Система содержит:

первый модуль идентификации абонента, выполненный с возможностью функционального ассоциирования с терминалом обработки данных;

аутентификационный сервер обработки данных, выполненный с возможностью осуществления первого этапа аутентификации на основе первого модуля идентификации абонента.

Аутентификационный сервер обработки данных дополнительно выполнен с возможностью осуществления второго процесса аутентификации на основе информации идентификации, предоставляемой пользователю на мобильном коммуникационном терминале через сеть мобильной связи.

В частности, первый модуль идентификации абонента относится к типу, принятому в сетях мобильной связи для аутентификации мобильных коммуникационных терминалов.

Согласно варианту осуществления настоящего изобретения пользователю выдается второй модуль идентификации абонента, подлежащий использованию в мобильном коммуникационном терминале для аутентификации мобильного коммуникационного терминала в сети мобильной связи.

Второй модуль идентификации абонента может находиться в фиксированном однозначном соответствии с первым модулем идентификации абонента или он может быть ассоциирован с идентификатором второго модуля идентификации абонента, в частности наборным номером мобильного коммуникационного терминала.

Первый модуль идентификации абонента предпочтительно ассоциирован с периферийным устройством компьютера, выполненным с возможностью подключения к компьютеру через порт подключения периферийных устройств компьютера.

Согласно еще одному аспекту настоящего изобретения предоставляется комплект защищенной аутентификации, охарактеризованный в прилагаемом пункте 23 формулы изобретения, для аутентификации терминала обработки данных пользователя в системе обработки данных с целью предоставления терминалу обработки данных доступа к выбранным услугам, обеспечиваемым системой обработки данных.

Упомянутый комплект содержит первый модуль идентификации абонента, в частности, относящийся к типу, принятому в сетях мобильной связи для аутентификации мобильных коммуникационных терминалов; периферийное устройство компьютера, с которым ассоциирован первый модуль идентификации абонента, являющееся функционально ассоциируемым с терминалом обработки данных пользователя; и второй модуль идентификации абонента, функционально ассоциируемый с мобильным коммуникационным терминалом пользователя для обеспечения возможности его соединения с сетью мобильной связи.

Упомянутый комплект может также включать в себя один из вышеуказанных компьютерных программных продуктов.

Перечень чертежей

Признаки и преимущества настоящего изобретения станут более понятны из следующего подробного описания некоторых вариантов его осуществления, представляемых в качестве неограничивающих примеров, при этом описание выполняется со ссылкой на прилагаемые чертежи, на которых:

Фиг.1 - схематичное представление иллюстративной системы обработки данных, в которой способ защищенной аутентификации пользователя, соответствующий варианту осуществления настоящего изобретения, реализуется выгодным образом.

Фиг.2 - схематичное представление посредством функциональных блоков, соответствующих пониманию упомянутого варианта осуществления изобретения, аутентификационного сервера и оператора сети GSM.

Фиг.3 - схематичное представление посредством функциональных блоков, содержимого рабочей памяти компьютера пользователя во время фазы аутентификации, выполняемой посредством реализации способа защищенной аутентификации согласно упомянутому варианту осуществления настоящего изобретения.

Фиг.4 - схематичное представление посредством упрощенных блок-схем последовательностей операций функционирования различных элементов, которые совместно работают для реализации способа защищенной аутентификации согласно упомянутому варианту осуществления настоящего изобретения.

Подробное описание изобретения

Со ссылкой на чертежи, чисто иллюстративный и ни в коей мере не ограничивающий сценарий, согласно которому соответствующий варианту осуществления настоящего изобретения способ защищенной аутентификации пользователя может быть реализован, показан на фиг.1. Распределенная система обработки данных, по всем материалам заявки обозначаемая ссылочным номером 100, содержит частную локальную компьютерную сеть 105, например локальную сеть (LAN), в частности, но не в ограничительном смысле, сеть Ethernet, городскую сеть (MAN) или глобальную сеть (WAN), образующую вычислительную инфраструктуру организации, например предприятия или агентства общественной администрации, при этом конкретный тип локальной компьютерной сети 105 абсолютно не важен для целей настоящего изобретения.

В наиболее общих понятиях, частная локальная компьютерная сеть 105 содержит один или более компьютеров-серверов 110, показанных на чертеже, которые предоставляют конкретные услуги множеству компьютеров-клиентов, таких как компьютеры-клиенты 115a и 115b, показанные на чертеже, причем различные компьютеры подсоединены к инфраструктуре 120 обмена данным, посредством чего эти различные компьютеры могут сообщаться между собой. Возможности по обработке данных различных компьютеров частной локальной сети 105 могут варьироваться в значительной степени: сетевые компьютеры-клиенты 115a, 115b являются, например, персональными компьютерами, в частности переносными компьютерами, такими как ноутбуки, или рабочими станциями, эксплуатируемыми персоналом организации, например, служащими для выполнения соответствующих обязанностей; компьютер-сервер 110 может быть надлежащим образом сконфигурированным персональным компьютером, рабочей станцией или даже большой ЭВМ (мейнфреймом). Услуги, предоставляемые компьютером-сервером 110 компьютерам-клиентам 115a, 115b, могут включать в себя хранение электронных файлов (файловый сервер), услуги прикладного программного обеспечения (сервер приложений), услуги управления базами данных (сервер баз данных), услуги обмена электронными сообщениями (электронная почта) и любые другие возможные услуги; хотя конкретный тип услуги или услуг, предоставляемых компьютером(ами)-сервером(ами) частной локальной сети 105, не является существенным для настоящего изобретения, в дальнейшем, исключительно в качестве примера, будет предполагаться, что компьютер-сервер 110 выступает в роли почтового сервера для частной локальной сети 105.

Частная локальная сеть 105 также содержит шлюз 125, например модем/маршрутизатор ISDN (цифровой сети связи с комплексными услугами) или XDSL (цифровой абонентской линии), сопрягающий частную локальную сеть 105 с точкой доступа 130а к внешней компьютерной сети 135; в дальнейшем будет предполагаться, что внешняя компьютерная сеть 135 является открытой сетью, в частности Интернет (и таким образом, по существу, незащищенной сетью), хотя это не следует трактовать в ограничительном смысле в отношении настоящего изобретения; таким образом, точка доступа 130а является, например, поставщиком услуг соединения с Интернет (ISP).

Компьютер 140 удаленного пользователя, например переносной компьютер, также соединен (выполнен с возможностью соединения) с Интернет 135 через точку доступа 130b, которая может совпадать с точкой доступа (ISP) 130а или, в более общем случае, она может быть другой точкой доступа, расположенной в другой географической области, либо эти две точки доступа 103а и 103b могут быть разными точками присутствия (РОР) одного и того же ISP. С этой целью компьютер использует, например, модем (например, модем ISDN) и коммутируемое соединение, либо модем XDSL и соединение XDSL с точкой доступа 130b, либо соединение беспроводной LAN (WLAN) с точкой доступа 130b (такое как соединение Wi-Fi (верность беспроводной передачи информации), вид доступа к Интернет, который становится все более популярным в таких местах, как гостиницы и аэропорты).

Удаленный пользователь ПОЛЬЗОВАТЕЛЬа компьютера 140 является, например, служащим предприятия-владельца частной локальной сети 105 и желает осуществить доступ к частной локальной сети своего работодателя и использовать услуги, предоставляемые ее компьютером(ами)-сервером(ами) 110, из удаленного местоположения, то есть не будучи непосредственно подсоединенным к локальной сети 105, через внешнюю (открытую) сеть 135; описанная ситуация может иметь место, например, когда находящийся вне офиса служащий, будучи в командировке или даже в отпуске, желает осуществить доступ к почтовому серверу 110 предприятия для проверки персонального почтового ящика электронной почты на предмет, возможно, поступивших новых, важных сообщений.

Предполагается, что для доступа к частной локальной сети 105, в частности к почтовому серверу 110, удаленному пользователю требуется аутентифицировать себя во избежание мошеннического доступа к частным почтовым ящикам электронной почты. Частную локальную сеть 105 таким образом можно рассматривать как сайт с защищенным доступом в пределах Интернет. Следует указать, что это просто является примером и способ аутентификации, который будет описан далее, имеет весьма общую применимость; в этом отношении удаленный пользователь ПОЛЬЗОВАТЕЛЬа может быть любым уполномоченным (авторизованным) пользователем услуг, предоставляемых частной локальной сетью, таким как заказчик владельца частной локальной сети 105, желающий, например, инспектировать состояние размещенных заказов на приобретение.

Согласно варианту осуществления настоящего изобретения в целях аутентификации удаленный пользователь ПОЛЬЗОВАТЕЛЬа оснащен парой идентификационных модулей абонента, в частности, но не в ограничительном смысле, модулями идентификации абонента (SIM) типа, используемого в целях аутентификации в сотовых цифровых телефонных системах (DCS) или общедоступных наземных сетях мобильной связи (PLMN), таких как широко распространенные сотовые сети телефонной связи Глобальной Системы Мобильной Связи (GSM), или их известные расширения, такие как сети с общей службой пакетной радиопередачи (GPRS) (которая фактически является подсетью сети GSM), либо сети Универсальной Системы Мобильных Телекоммуникаций (UMTS) (широкополосной сотовой системы связи третьего поколения) или основывающаяся на спутниковой связи сеть мобильной связи.

Как известно из уровня техники, обычно SIM имеет форму карточки (размера кредитной карточки или меньшего размера, в зависимости от масштаба миниатюризации терминала пользователя) со встроенными компонентами интегральной схемы, в частности, хранящими персональные данные, которые поддерживают аутентификацию SIM, а также шифрование и дешифрование. По меньшей мере, к настоящему моменту использование SIM (и основывающейся на SIM процедуры аутентификации) для идентификации связанного с ним мобильного терминала оказалось надежным путем для недопущения использования данного терминала другими устройствами вместо себя, тем самым обеспечивая защищенный аутентифицированный доступ к, например, счету, соответствующему этому конкретному пользователю.

Первый SIM SIMa из пары модулей SIM пользователя функционально связан (с возможностью отсоединения) с компьютером 140 удаленного пользователя; например, первый SIM SIMa встроен в периферийное устройство компьютера, которое может быть в рабочем состоянии подключено к компьютеру 140, так чтобы быть функционально доступным с его стороны, например аппаратный ключ 145, подключаемый к порту (в явном виде на фиг.1 не показан) компьютера 140, например его порту универсальной последовательной шины (USB) или порту стандарта Международной ассоциации производителей плат памяти для персональных компьютеров (PCMCIA), либо посредством периферийного устройства типа считывателя смарт-карт, которое выполнено с возможностью взаимодействия с SIM, либо первый SIM SIMa может быть встроен в карту памяти, которая затем может быть функционально подключена к компьютеру 140 посредством считывателя карт памяти. Следует отметить, что конкретный путь, которым первый SIM SIMa функционально связывается с компьютером 140, не является ограничением настоящего изобретения, и в общем достаточно того, что первый SIM SIMa функционально связан с компьютером 140 (образом, подходящим для обеспечения возможности обмена данными между компьютером 140 и SIM SIMa) посредством любого типа устройства-адаптера/считывателя, подключенного к компьютеру через любой тип периферийного порта.

Второй SIM SIMb вставлен (с возможностью извлечения) в мобильный телефон/коммуникационный терминал 150 пользователя, такой как мобильный телефон, приспособленный для использования в сети мобильной связи (например, PLMN) 155, такой как сотовая сеть телефонной связи GSM, сеть GPRS или сеть UMTS, эксплуатируемая оператором 160 сети GSM (или GPRS, или UMTS).

Согласно варианту осуществления настоящего изобретения существует однозначное соответствие между первым и вторым модулями SIM SIMa и SIMb, а также между этими двумя модулями SIM и пользователем ПОЛЬЗОВАТЕЛЬа, в том смысле, что орган, выдающий эти два модуля SIM, обычно, но вовсе не обязательно, оператор GSM, не только рассматривает каждый из этих двух модулей SIM как ассоциированный с этим конкретным пользователем-абонентом ПОЛЬЗОВАТЕЛЬа, но дополнительно два модуля SIMa и SIMb рассматриваются как ассоциированные друг с другом. Следует указать, что хотя согласно описываемому здесь варианту осуществления настоящего изобретения рассматривается единственный оператор 160 сети GSM, это не следует считать ограничением настоящего изобретения: различные операторы сети GSM (или GPRS, или UMTS) могут сотрудничать при предоставлении услуги защищенной аутентификации пользователя, при условии, что гарантирована вышеупомянутая ассоциация между двумя модулями SIM и между парой модулей SIM и пользователем.

В более общем случае достаточно, чтобы поддерживалась (в некотором типе базы данных, управляемой, например, оператором сети GSM) взаимосвязь между данными первого SIM SIMa и идентификационными данными (например, телефонным номером), позволяющими достичь мобильного коммуникационного терминала пользователя, который связан со вторым SIM SIMb.

Также на чертеже показан аутентификационный компьютер-сервер 165 (в более общем случае, аутентификационная система обработки данных, содержащая, например, сеть компьютеров), осуществляющий управление (по меньшей мере, частично) двухэтапной процедурой аутентификации пользователя на основе двух модулей SIM SIMa и SIMb, которая подробно описывается в дальнейшем. В наиболее общих понятиях, аутентификационный компьютер-сервер 165 соединен с Интернет 135 и согласно иллюстрируемому примеру является частью оператора 160 сети GSM (в каковом случае услуга аутентификации является одной из услуг, предоставляемых оператором сети GSM), хотя в общем аутентификационный компьютер-сервер 165 не является необходимой частью оператора 160 сети GSM, достаточно того, чтобы он осуществлял с ним связь (по защищенной линии связи, такой как, например, виртуальная частная сеть (VPN)).

Фиг.2 схематически иллюстрирует, в терминах функциональных блоков, для надлежащего понимания процедуры аутентификации согласно описываемой здесь процедуре аутентификации, оператора 160 сети GSM и аутентификационного компьютера-сервера 165.

Аутентификационный компьютер-сервер 165 выполнен с возможностью осуществления основывающейся на SIM аутентификации удаленного компьютера 140. Как описано во вводной части настоящего описания, основывающийся на SIM механизм аутентификации терминала обработки данных пользователя, такого как удаленный компьютер 140, как таковой известен, и пример структуры, позволяющей реализовать такой механизм, приведен в ранее цитированной международной публикации WO 00/02406. Не вдаваясь в специфические подробности, аутентификационный компьютер-сервер 165 содержит аутентификационный сервер 200, который соединен как с Интернет, так и (через защищенное соединение 205) с сервером-посредником (прокси-сервером) 210, имеющим доступ к центру 215 аутентификации оператора 160 сети GSM, причем центр 215 аутентификации, в свою очередь, соединен с реестром местоположения собственных абонентов (HLR) оператора 160 сети GSM. Защищенное соединение 205 гарантируется, например, тем фактом, что аутентификационный сервер 200 размещается вблизи прокси-сервера 210. Центр 215 аутентификации представляет собой центр аутентификации сети GSM, который обычно отвечает за выполнение стандартных процедур аутентификации мобильных коммуникационных терминалов (мобильных телефонов), оснащенных SIM, таких как мобильный телефон 150, который желает соединиться с сетью 155 GSM. Прокси-сервер 210 обеспечивает возможность соединения между аутентификационным сервером 200 и сетью GSM, и, в частности, он маршрутизирует трафик между аутентификационным сервером 200 и центром 215 аутентификации GSM; прокси-сервер 210 выступает в роли виртуального реестра местоположения посещающих абонентов (VLR), не отличающийся для HLR оператора сети GSM от любого другого VLR сети GSM. Обмен 220 данными между прокси-сервером 210 и центром 215 аутентификации GSM может осуществляться по сети согласно сигнализации стандарта SS7, используемой оператором сети GSM. С аутентификационным сервером 200 ассоциирована база 225 данных, используемая для хранения аутентификационных данных пользователя во время процедуры аутентификации.

Аутентификационный компьютер-сервер 165 также включает в себя сервер 230 ассоциирования SIM, который в соединении с базой 235 данных пар SIM, в которой хранится информация о парах модулей SIM, таких как пара модулей SIM SIMa и SIMb (или, проще говоря, идентификационные данные, например, номер мобильного телефона, соответствующий второму SIM SIMb, который ассоциирован с первым SIM SIMa), выполнен с возможностью идентификации одного SIM из заданной пары SIM, например второго SIM SIMb (или соответствующего ему номера мобильного телефона) на основе предоставляемой аутентификационным сервером 200 информации, идентифицирующей другой SIM из пары, первый SIM SIMa согласно рассматриваемому примеру. Сервер 230 ассоциирования SIMa осуществляет связь с агентом 235 генерации паролей, генерирующим пароли (предпочтительно однократно используемые), подлежащие отправке по сети 155 GSM на мобильный телефон 150 пользователя, например, в форме сообщения службы коротких сообщений (SMS), подготавливаемого агентом-компоновщиком 245 SMS. Сообщение доставляется намеченному получателю центром 250 услуги обмена сообщениями оператора 160 сети GSM, например SMS-центром или центром услуги обмена мультимедийными сообщениями (MMS), для распространения текстовых или мультимедийных сообщений на терминалы абонентов сети 155 GSM. Альтернативно, пароли могут посылаться в форме MMS, либо они могут сообщаться пользователю посредством телефонных вызовов, например, с использованием голосового синтезатора. Агент 255 сравнения паролей предусмотрен для сравнения паролей, сгенерированных агентом 240 генерации паролей, с соответствующими ответными паролями, введенными пользователями и принятыми через Интернет 135, например, посредством аутентификационного сервера 200.

Следует отметить, что, по меньшей мере, некоторые из описанных выше функциональных блоков аутентификационного компьютера-сервера 165 могут быть реализованы и обычно реализуются в качестве комбинации аппаратного и программного обеспечения или даже полностью в качестве программного обеспечения.

Фиг.3 - упрощенное представление содержимого рабочей памяти 300 (например, ОЗУ) удаленного компьютера 140 во время процесса аутентификации. Программный модуль 305 графического интерфейса пользователя (GUI) обеспечивает возможность простого взаимодействия пользователя ПОЛЬЗОВАТЕЛЬа с компьютером 140 через обычные периферийные устро