Способ аутентификации абонентов сотовой сети оператора

Способ аутентификации абонентов сотовой сети оператора

Иллюстрации

Показать все

Реферат

ОБЛАСТЬ ТЕХНИКИ

Данное изобретение относится к системам и способам аутентификации абонентов сотовых сетей операторов, для получения доступа к внешним ресурсам.

УРОВЕНЬ ТЕХНИКИ

Вопросы, связанные с аутентификацией абонентов мобильной связи, являются актуальными на сегодняшний день. При аутентификации абоненту необходимо предоставить не только высокую безопасность, но и удобство пользования данными средствами.

В уровне техники известно решение «Transparent access authentication in GPRS core networks», патент США US7770216, опубликован 03.08.2010, заявитель T-Mobile Deutschland Gmbh. В данном техническом решении описывается способ и система для «прозрачной» аутентификации в мобильных сетях 2G и 2.5G. Недостатком данного технического решения является отсутствие возможности дополнительной аутентификации, отсутствие гибкой настройки под требования оператора сотовой связи, а также под требования оператора внешнего ресурса.

СУЩНОСТЬ ИЗОБРЕТЕНИЯ

Данное изобретение направлено на устранение недостатков, присущих существующим техническим решениям. Техническим результатом данного изобретения является повышение уровня безопасности и удобства при аутентификации пользователя в мобильных сетях.

Способ аутентификации абонентов операторов сотовой связи для внешних приложений включает следующие шаги: внешнее приложение получает запрос от неавторизованного пользователя на доступ к ресурсам, требующим аутентификации пользователя, далее внешнее приложение производит перенаправление запроса на систему аутентификации через браузер пользователя, при перенаправлении в запросе передается ключ вышеуказанного внешнего приложения и при прохождении запроса через модули оператора добавляется идентификатор абонента, для которого производится авторизация, потом система аутентификации получает перенаправленный запрос и производит проверку прав внешнего приложения на доступ к ресурсам, затем производит проверку возможности аутентификации при помощи идентификатора абонента, и если она запрещена, то производит дополнительную аутентификацию, иначе аутентифицирует абонента, далее система аутентификации формирует и передает внешнему приложению временный ключ перенаправлением ответа через браузер пользователя, затем внешнее приложение по временному ключу получает уникальный идентификатор пользователя (MobileID) от системы аутентификации.

КРАТКОЕ ОПИСАНИЕ ЧЕРТЕЖЕЙ

Рисунок 1 - компонентная схема.

Рисунок 2 - диаграмма последовательности аутентификации пользователя.

ПОДРОБНОЕ ОПИСАНИЕ ЧЕРТЕЖЕЙ

Рисунок 1 - компонентная схема.

На схеме графически отображен пример состава компонентов и протоколов их взаимодействия:

1. Абонент (с помощью электронного приложения или браузера) взаимодействует с Системой аутентификации и с Внешним приложением по протоколу HTTP(s), при этом при взаимодействии с Системой аутентификации сообщения проходят через шлюз GGSN или P-GW.

2. Внешнее приложение взаимодействует с API Системы аутентификации по протоколу HTTP(s).

Рисунок 2. Диаграмма последовательности аутентификации пользователя.

На данной диаграмме графически отображен пример работы данного способа.

1. Пользователь заходит на страницу входа внешнего приложения с помощью абонентского браузера;

2. Внешнее приложение отправляет пользователю ответ, содержащий страницу входа;

3. Пользователь нажимает на кнопку «Войти с текущего номера», при этом происходит запрос внешней аутентификации/авторизации;

4. Внешнее приложение осуществляет перенаправление (редирект) запроса пользователя, при этом браузер пользователя осуществляет переход на адрес страницы аутентификации (система аутентификации), указанный в редиректе, при этом при прохождении запроса через модуль оператора добавляется идентификатор абонента, например MSISDN;

5. Система аутентификации производит проверку прав внешнего приложения, проверку настроек безопасности абонента, генерацию временного кода (ключа), затем формирует ответное сообщение, содержащее редирект браузера пользователя на адрес внешнего приложения и временный код;

6. Абонентский браузер при получении ответного сообщения с редиректом осуществляет запрос внешнего приложения (запрос содержит вышеуказанный временный код (ключ));

7. Внешнее приложение для получения мобильного идентификатора абонента осуществляет запрос к системе аутентификации, при этом запрос содержит вышеуказанный временный код (ключ) и секретный ключ внешнего приложения;

8. Система аутентификации формирует уникальный идентификатор пользователя (MobileID), действительный только для данного приложения (в случае, если мобильный идентификатор не был сформирован ранее).

ПОДРОБНОЕ ОПИСАНИЕ ИЗОБРЕТЕНИЯ

Здесь и далее будут описаны термины, используемые в заявке.

Абонент - потребитель услуг мобильного оператора, использующий SIM карту

Идентификатор абонента - уникальный идентификатор абонента, позволяющий однозначно идентифицировать его в сети мобильного оператора (например, MSISDN или IMSI).

MobileID - идентификатор пользователя, являющегося абонентом сети мобильного оператора, действительный только для данного внешнего приложения, не являющийся абонентским номером MSISDN, номером SIM-карты абонента IMSI или любым другим открытым идентификатором абонента.

Система аутентификации - аппаратно-программный комплекс, осуществляющий аутентификацию пользователей внешнего приложения, являющихся абонентами сотовых сетей операторов, для получения доступа к ресурсам внешнего приложения.

Профиль внешнего приложения - набор данных, содержащий информацию о внешнем приложении, включающую в себя: идентификатор приложения, сведения о ресурсах приложения, сведения о ролях и правах приложения, сетевой адрес приложения и другую информацию технического характера.

Профиль пользователя - набор данных, содержащий информацию о пользователе конкретного внешнего ресурса, включающую в себя: идентификатор пользователя и ресурса, сведения о ролях и правах пользователя, разрешенных методах аутентификации и другую информацию технического характера.

Пользователь - потребитель ресурсов внешнего приложения, использующий для этого электронное приложение или браузер. Пользователь может являться абонентом сети мобильного оператора.

GGSN - Gateway GPRS Support Node (шлюзовой узел GPRS или узел маршрутизации).

GGSN представляет собой шлюз (обычный маршрутизатор) между сотовой сетью (ее частью для передачи данных GPRS) и внешними информационными магистралями пакетной передачи данных PDNs (Packet Data Networks): Internet, корпоративными сетями Intranet, другими GPRS-системами. GGSN содержит всю необходимую информацию о сетях, куда абоненты GPRS могут получать доступ, а также параметры соединения.

MSISDN (Mobile Subscriber Integrated Services Digital Number) - номер мобильного абонента цифровой сети с интеграцией служб для связи в стандартах GSM, UMTS и пр. Данный номер абонента не содержится на SIM-карте, а сопоставлен с IMSI SIM-карты в HLR, и предназначается для передачи номера телефона назначенному абоненту и для получения звонков на телефон.

Данное изобретение в различных своих вариантах осуществления может быть выполнено в виде способа, в т.ч. реализуемого на компьютере, в виде системы или машиночитаемого носителя, содержащего инструкции для выполнения вышеупомянутого способа.

В данном изобретении под системой подразумевается компьютерная система, ЭВМ (электронно-вычислительная машина), ЧПУ (числовое программное управление), ПЛК (программируемый логический контроллер), компьютеризированные системы управления и любые другие устройства, способные выполнять заданную, четко определенную последовательность операций (действий, инструкций).

Под устройством обработки команд подразумевается электронный блок либо интегральная схема (микропроцессор), исполняющая машинные инструкции (программы).

Устройство обработки команд считывает и выполняет машинные инструкции (программы) с одного или более устройства хранения данных. В роли устройства хранения данных могут выступать, но не ограничиваясь, жесткие диски (HDD), флеш-память, ПЗУ (постоянное запоминающее устройство), твердотельные накопители (SSD), оптические приводы.

Программа - последовательность инструкций, предназначенных для исполнения устройством управления вычислительной машины или устройством обработки команд.

Способ аутентификации абонентов операторов сотовой связи для внешних приложений включает следующие шаги:

Предварительно внешнее приложение проходит регистрацию и получает ключ (секретный код), используемый в дальнейшем в процессе аутентификации

Внешнее приложение получает запрос от неавторизованного пользователя, на доступ к ресурсам, требующим аутентификации пользователя.

В некоторых вариантах реализации запрос на доступ к ресурсам может осуществляться при помощи браузера или мобильного приложения.

В качестве ресурса внешнего приложения может быть удаленная информационная система, осуществляющая взаимодействие с электронным приложением или браузером пользователя. В некоторых вариантах реализации информационная система осуществляет взаимодействие с использованием протокола http или https, но не ограничиваясь только ими.

Внешнее приложение получает запрос, сформированный пользователем. Далее происходит обработка запроса, проверяется наличие аутентификационных данных и прав данного пользователя на предоставление необходимых ресурсов или выполнение операций.

Внешнее приложение производит перенаправление запроса, при этом в запрос добавляют идентификатор абонента, полученный от модуля оператора, и ключ вышеуказанного внешнего приложения

Перенаправление (редирект) запроса состоит из нескольких действий. Первоначально внешнее приложение формирует ответное сообщение пользователю, содержащее первоначальный запрос пользователя (данные), адрес редиректа на систему аутентификации и идентификационный ключ данного внешнего приложения. Далее пользователь (браузер или мобильное приложение пользователя) получает сформированное сообщение и производит перенаправление его на адрес системы аутентификации, при этом запрос проходит через модуль оператора (шлюз) и в него добавляется идентификатор абонента.

В некоторых вариантах реализации в качестве идентификатора абонента может быть MSISDN.

В некоторых вариантах реализации в качестве идентификатора абонента может быть IMSI.

В некоторых вариантах реализации идентификатор абонента дополнительно включает IMEI.

В некоторых вариантах реализации в качестве модуля оператора используется GGSN или P-GW.

Система аутентификации получает перенаправленный запрос и производит проверку прав внешнего приложения на доступ к ресурсам, затем производит проверку возможности аутентификации при помощи идентификатора абонента, и если она запрещена, то производит дополнительную аутентификацию, иначе аутентифицирует абонента.

Система аутентификации получает запрос, после чего производит поиск профиля внешнего приложения по идентификационному ключу, содержащемуся в запросе. Далее система аутентификации проверяет в профиле внешней системы наличие необходимых прав для доступа к запрашиваемой операции. Если у данного внешнего приложения отсутствуют права, то система аутентификации формирует ответное сообщение о невозможности проведения аутентификации. Если проверка прошла успешно, то система аутентификации производит поиск профиля пользователя и проверяет возможность аутентификации при помощи идентификатора абонента. Если аутентификация по идентификатору абонента запрещена (указаны дополнительные способы аутентификации), то осуществляется автоматическое определение принадлежности абонентского номера оператору, исполняются дополнительные сценарии аутентификации и политики безопасности, заданные оператором, при этом пользовательский интерфейс формируется в соответствии с корпоративным стилем оператора.

В некоторых вариантах реализации идентификатор абонента получают у оператора по сетевому адресу (IP) данного абонента.

В некоторых вариантах реализации производят дополнительную аутентификацию пользователя с помощью связки логин-пароль.

В некоторых вариантах реализации производят дополнительную аутентификацию пользователя с помощью одноразового пароля, присылаемого на номер абонента.

Система аутентификации формирует и передает внешнему приложению временный ключ.

После успешной аутентификации пользователя в качестве абонента система аутентификации формирует кратковременный авторизационный код для внешнего приложения и передает его в ответном сообщении пользователю. Ответное сообщение содержит переадресацию на исходный адрес внешнего приложения. Таким образом, внешнее приложение получает кратковременный авторизационный код в запросе пользователя. Авторизационный код генерируется случайным образом.

Внешнее приложение получает уникальный идентификатор пользователя (MobileID) от системы аутентификации по временному ключу.

При получении кратковременного авторизационного кода от пользователя внешнее приложение формирует запрос, содержащий кратковременный авторизационный код, а также секретный код, выданный при регистрации внешнего приложения.

При получении запроса системой аутентификации осуществляется проверка кратковременного авторизационного кода и секретного кода. В результате аутентификации в ответном сообщении для внешнего приложения возвращается уникальный идентификатор пользователя (MobileID), действительный только для данного внешнего приложения, не являющийся абонентским номером MSISDN, номером SIM-карты абонента IMSI или любым другим открытым идентификатором абонента, что позволяет аутентифицировать пользователя внешним приложением без получения персональных данных абонента.

1. Способ аутентификации абонентов операторов сотовой связи для внешних приложений, включающий следующие шаги:- Внешнее приложение получает запрос от неавторизованного пользователя на доступ к ресурсам, требующим аутентификации пользователя;- Внешнее приложение производит перенаправление запроса, при этом при перенаправлении в запросе передается ключ вышеуказанного внешнего приложения, для которого производится авторизация, и добавляется при прохождении запроса через модули оператора идентификатор абонента, для которого производится авторизация;- Система аутентификации получает перенаправленный запрос и производит проверку прав внешнего приложения на доступ к ресурсам, затем производит проверку возможности аутентификации при помощи идентификатора абонента, и если она запрещена, то производит дополнительную аутентификацию, иначе аутентифицирует абонента;- Система аутентификации формирует и передает внешнему приложению временный ключ перенаправлением ответа через браузер пользователя;- Внешнее приложение получает уникальный идентификатор пользователя (MobileID) от системы аутентификации по временному ключу.

2. Способ по п. 1, в котором в качестве идентификатора абонента используется MSISDN.

3. Способ по п. 1, в котором в качестве идентификатора абонента используется IMSI.

4. Способ по п. 2 или 3, в котором идентификатор абонента дополнительно включает IMEI.

5. Способ по п. 1, в котором в качестве модуля оператора используется GGSN или Р-GW.

6. Способ по п.1, в котором идентификатор абонента получают у оператора по сетевому адресу пользователя.

7. Способ по п. 1, в котором производят дополнительную аутентификацию пользователя с помощью связки логин-пароль.

8. Способ по п. 1, в котором производят дополнительную аутентификацию пользователя с помощью одноразового пароля, присылаемого на номер абонента.

9. Способ по п. 1, в котором при необходимости дополнительной аутентификации осуществляется автоматическое определение принадлежности абонентского номера оператору, формируется пользовательский интерфейс, соответствующий корпоративному стилю оператора, исполняются дополнительные сценарии аутентификации и политики безопасности, заданные оператором.