UA113415C2 - Спосіб, сервер і система аутентифікації особи - Google Patents

Спосіб, сервер і система аутентифікації особи Download PDF

Info

Publication number
UA113415C2
UA113415C2 UAA201402196A UAA201402196A UA113415C2 UA 113415 C2 UA113415 C2 UA 113415C2 UA A201402196 A UAA201402196 A UA A201402196A UA A201402196 A UAA201402196 A UA A201402196A UA 113415 C2 UA113415 C2 UA 113415C2
Authority
UA
Ukraine
Prior art keywords
server
terminal
data transmission
telecommunications equipment
transmission network
Prior art date
Application number
UAA201402196A
Other languages
English (en)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed filed Critical
Publication of UA113415C2 publication Critical patent/UA113415C2/uk

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3215Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a plurality of channels
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/42User authentication using separate channels for security data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2153Using hardware token as a secondary aspect
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/56Financial cryptography, e.g. electronic payment or e-cash
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/067Network architectures or network communication protocols for network security for supporting key management in a packet data network using one-time keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0838Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/77Graphical identity

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Telephonic Communication Services (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)

Abstract

Винахід стосується способу аутентифікації особи, яка попередньо є відомою серверу як особа, яка має телефон, має унікальний ідентифікатор і має код доступу, при цьому спосіб включає в себе: відправку (53) сервером ідентифікаційного коду на термінал за його запитом через першу мережу передачі даних; передачу (57) ідентифікаційного коду на телефон; отримання (59) сервером, від телефону через другу мережу передачі даних, ідентифікаційного коду у поєднанні з унікальним ідентифікатором; генерування (61) сервером разового маркера аутентифікації і його відправку (63) на телефон; повернення (64) маркера на сервер, та паралельно, отримання (67) через термінал коду доступу, введеного особою; та відправку (69) зазначеного коду доступу на сервер; аутентифікацію (71) особи, отриману від сервера, якщо ідентифікаційний код, унікальний ідентифікатор, маркер аутентифікації та код доступу є відповідними.

Description

Даний винахід стосується способу, серверу і системи аутентифікації особи власника телекомунікаційного обладнання, що має унікальний ідентифікатор.
Під час здійснення численних електронних транзакцій, наприклад платіжних операцій, важливо гарантувати ідентичність тих осіб, які беруть участь у таких транзакціях, і забезпечити передачу конфіденційної інформації між ними.
Перше рішення, яке було запропоноване, і донині широко використовується, полягає в шифруванні каналу передачі даних за допомогою певного протоколу, зазвичай 551 "Бесиге
ЗосКеї І ауег" ("протокол захищених з'єднань").
Це дає можливість захистити себе від перехоплення каналу передачі даних, але це не захищає ні від атак на персональний комп'ютер, таких як встановлення шпигунського програмного забезпечення або програмного забезпечення для здійснення атак типу "Людина-в- браузері", тобто, інтеграції шкідливого шпигунського програмного забезпечення в інтернет- браузер, ані від програмного забезпечення для здійснення атак типу "Людина посередині", в якому третя особа позиціонує себе як одного з учасників і зламує канал зв'язку, імітуючи очікувану поведінку точки контакту.
Численні рішення були запропоновані для захисту користувачів від таких видів атак.
Зокрема, було запропоновано використовувати два різних канали зв'язку, вважаючи, що для третьої особи буде дуже складно перехопити і синхронізувати передачу даних з використанням двох або більше каналів, і тим самим, атаки типу "Людина в середині" навряд чи будуть можливими надалі.
Грунтуючись на цьому принципі, рішення з використанням двох каналів зв'язку являє собою забезпечення захисту електронних платежів банківською картою, запропоноване компаніями "МІБА" і "Мазівгсага" під товарними знаками "ЗО бесиге" або "ЗесигеСоде" відповідно. Ця послуга полягає в отриманні, після введення персональних ідентифікаторів банківської карти, на свій мобільний телефон, зареєстрований заздалегідь, разового секретного коду, який потім повинен бути скопійований на екрані введення платежу.
Недоліком цього рішення є факт передачі блоку секретної інформації, до якої належить разовий секретний код, за допомогою терміналу, на якому здійснюється платіжна операція.
Таким чином, третя сторона, яка перехоплює обмін даними через Інтернет має змогу
Зо відтворювати і змінювати певні параметри транзакції без відома користувача.
Документ УМ/02007072001 описує, наприклад, інший безконтактний спосіб оплати за допомогою мобільного телефону як захищений платіжний засіб. Він описує двофакторну динамічну аутентифікацію за допомогою З пристроїв: терміналу доступу, мобільного телефону покупця і серверу аутентифікації. Спосіб, в основному, полягає в тому, що: " Користувач вводить його/її особисті дані для аутентифікації у термінал доступу, який надсилає їх на сервер з інформацією, що стосується платіжної операції ("контексту"); " Сервер перевіряє його/її дані для аутентифікації і, якщо вони достовірні, генерує повідомлення з ідентифікатором транзакції, яке він надсилає до терміналу; " Термінал відображає ідентифікатор транзакції таким чином, щоб він був "захоплений" на мобільному телефоні; " На основі цього ідентифікатора, який містить приховану інформацію, мобільний телефон декодує його і виводить контекст транзакції і ідентифікаційну інформацію, щоб представити їх користувачеві для підтвердження достовірності (валідації); " Якщо користувач підтверджує їх, він/вона вводить його/її код аутентифікації в термінал, який надсилає його на сервер для підтвердження достовірності; " Після перевірки цього коду, сервер підтверджує достовірність транзакції і дозволяє здійснити платіж.
Недоліком цього рішення є те, що воно грунтується на криптографічних методах, зокрема, стеганографії, які, як передбачається, перешкоджають третій особі "підробити" ідентифікатор транзакції. Проте, якщо ці криптографічні методи буде "зламано", третя особа може зламати зв'язок між терміналом і сервером і відтворити ідентифікатори відповідно до потреб. Зокрема, це рішення грунтується на програмному забезпеченні для дешифрування, встановленому у мобільному телефоні. Проте, захист інформації на таких пристроях є далеко негарантованим.
Отже, було б більш корисно отримати спосіб аутентифікації, який був би надійним щодо таких атак, і не потребував би криптографічних методів, які складно реалізувати, або не потребував би посилення захисту мобільних телефонів.
Щоб вирішити один або кілька із зазначених вище недоліків, спосіб аутентифікації особи, яка попередньо є відомою серверу аутентифікації як особа, яка володіє телекомунікаційним обладнанням, має унікальний ідентифікатор і володіє кодом доступу, включає в себе:
" отримання сервером запиту аутентифікації від терміналу через першу мережу передачі даних; " відправку сервером ідентифікаційного коду на термінал через першу мережу передачі даних; "- передачу ідентифікаційного коду від терміналу на телекомунікаційне обладнання; " отримання сервером, від телекомунікаційного обладнання через другу мережу передачі даних, ідентифікаційного коду у поєднанні з унікальним ідентифікатором; " генерування сервером разового маркеру аутентифікації і його відправку на телекомунікаційне обладнання через другу мережу передачі даних; та повернення разового маркеру аутентифікації на сервер телекомунікаційним обладнанням через другу мережу передачі даних, та паралельно, " отримання терміналом, шляхом запиту на отримання, персонального коду доступу, введеного особою; та отримання сервером персонального коду доступу, який надходить від терміналу через першу мережу передачі даних; "- аутентифікацію особи сервером, якщо ідентифікаційний код, унікальний ідентифікатор, маркер аутентифікації та персональний код доступу відповідають елементам, що зберігаються сервером.
Таким чином, переважно, кожен канал зв'язку передає власні секретні дані і перехоплення на одному з каналів не дозволяють дізнатися про секретні дані, що передаються на іншому каналі. Це також захищає від атак, пов'язаних із шпигунським програмним забезпеченням, встановленим на одному з терміналів, оскільки до того ж відбувається перерозподіл секретних даних між терміналами.
Характеристики або конкретні варіанти, які можуть використовуватися окремо або в комбінації, є наступними: " спосіб додатково містить допоміжний спосіб реєстрації особи, який включає в себе: " отримання сервером унікального ідентифікатору телекомунікаційного обладнання і принаймні біографічних даних особи від телекомунікаційного обладнання через другу мережу передачі даних; " відправку сервером разового паролю на телекомунікаційне обладнання через другу
Зо мережу передачі даних і відображення разового паролю телекомунікаційним обладнанням; " отримання разового паролю на другому терміналі шляхом його введення особою; "- отримання сервером разового паролю від другого терміналу через третю мережу передачі даних, та " створення і обмін персональним кодом доступу між особою і сервером через другий термінал та третю мережу передачі даних; " при цьому конфіденційні біографічні дані передаються на сервер від другого терміналу через третю мережу передачі даних після прийому разового паролю сервером і до створення персонального коду доступу; "- при цьому конфіденційні біографічні дані містять дані банківської картки; "- допоміжний спосіб реєстрації додатково включає в себе, після створення і обміну персональним кодом доступу: "- відправку сервером ідентифікаційного коду, пов'язаного з реєстрацією, на другий термінал через третю мережу передачі даних; "- передачу ідентифікаційного коду від терміналу до телекомунікаційного обладнання; " прийом сервером ідентифікаційного коду у поєднанні з унікальним ідентифікатором обладнання, що надходить від телекомунікаційного обладнання через другу мережу передачі даних; " при цьому передача ідентифікаційного коду від терміналу до телекомунікаційного обладнання досягається шляхом відображення піктограми на терміналі та отримання відображуваного зображення за допомогою фотографічного апарату телекомунікаційного обладнання; та/або " телекомунікаційне обладнання перехоплює відправку даних разового маркера аутентифікації і автоматично повертає їх без втручання особи шляхом використання двох різних каналів передачі даних.
Згідно з другим аспектом даного винаходу, сервер аутентифікації особи включає в себе: " пам'ять для зберігання біографічної інформації про особу, при цьому біографічна інформація містить принаймні унікальний ідентифікатор телекомунікаційного обладнання, власником якого є особа, і персональний код доступу; "- перший інтерфейс для обміну даними з терміналом через першу мережу передачі даних;
"- другий інтерфейс для обміну даними з телекомунікаційним обладнанням через другу мережу передачі даних; н« генератор ідентифікаційного коду, здатний генерувати ідентифікаційний код за запитом від терміналу та відправляти генерований ідентифікаційний код на термінал, і здатний приймати ідентифікаційний код у поєднанні з унікальним ідентифікатором, що надходить від телекомунікаційного обладнання; " генератор разових маркерів аутентифікації здатний генерувати разовий маркер аутентифікації і відправляти його на телекомунікаційне обладнання, і потім отримувати його від телекомунікаційного обладнання; "- генератор прикладної програми для введення даних, здатний відправляти на термінал екран для введення персонального коду доступу та отримувати введений персональний код доступу від терміналу; « компаратор ідентифікаційного коду, унікального ідентифікатора, маркера аутентифікації та персонального коду доступу, що надходять від терміналу або телекомунікаційного обладнання, з еквівалентними елементами, які зберігаються на сервері, при цьому аутентифікація особи досягається тоді, коли сукупність порівнянь є позитивною.
У третьому аспекті винаходу система аутентифікації включає в себе сервер аутентифікації, як зазначено вище, термінал, з'єднаний із сервером через першу мережу передачі даних, та телекомунікаційне обладнання, з'єднане із сервером через другу мережу передачі даних, при цьому термінал додатково містить людино-машинний інтерфейс, який робить можливим відображення інформації та введення персонального коду доступу, і телекомунікаційне обладнання додатково містить засоби для введення інформації, що відображається на терміналі, та унікальний ідентифікатор.
У четвертому аспекті даного винаходу пропонується комп'ютерний програмний продукт, який містить команди програмного коду для виконання кроків за вищезазначеним способом, коли програма виконується на сервері аутентифікації.
Винахід буде краще зрозумілим з нижченаведеного опису, який наведений лише як приклад, і з посиланням на супровідні фігури, на яких: - Фігура 1 являє собою схематичний вигляд системи аутентифікації відповідно до варіанту за винаходом; - Фігура 2 являє собою блок-схему функціонування системи за Фігурою 1 у фазі реєстрації, на якій кожен елемент системи представлений у вигляді стовпця; і - Фігура З являє собою блок-схему функціонування системи за Фігурою 1 у фазі аутентифікації, на якій кожен елемент системи представлений у вигляді стовпця.
З посиланням на фігуру 1, система аутентифікації включає в себе сервер аутентифікації 1, з'єднаний з першою мережею передачі даних З через перший інтерфейс 5 і з'єднаний з другою мережею передачі даних 7 через другий інтерфейс 9.
Сервер також містить генератор 11 ідентифікаційного коду, призначений для генерування ідентифікаційного коду, і з'єднаний з першим інтерфейсом 5. Він також містить генератор 13 разового маркера аутентифікації призначений для генерування разового маркера аутентифікації, і з'єднаний з другим інтерфейсом 7.
Сервер 1 додатково містить генератор 15 прикладної програми для введення даних, який також з'єднаний з першим інтерфейсом 5, і компаратор 17, з'єднаний з кожним із генераторів.
Перша мережа передачі даних З надає можливість створити перший канал передачі даних між сервером 1 і терміналом 21. Цей термінал містить людино-машинний інтерфейс 23, такий як, наприклад, екран і клавіатура. Термінал являє собою, наприклад, персональний комп'ютер або термінал електронних платежів.
Друга мережа передачі даних 7 робить можливим створення другого каналу передачі даних між сервером 1 і телекомунікаційним обладнанням 25. Обладнання 25 являє собою, наприклад, мобільний телефон. Він має стандартний людино-машинний інтерфейс 27 типу екран- клавіатура і, зокрема, фотографічний пристрій 29. Мобільний телефон також зазвичай містить обчислювальні засоби і засоби зберігання (не зображені), які роблять можливим виконання певних прикладних програм.
Перша мережа передачі даних З і друга мережа передачі даних 7 є різними мережами.
Наприклад, перша мережа 3 являє собою дротову мережу Інтернет, а друга мережа 7 являє собою мережу мобільного зв'язку. На сервері 1, його адміністратор може, наприклад, використовувати два різних провайдери доступу, щоб мінімізувати ймовірність того, що дані з одного каналу будуть займати частину іншого каналу.
Використання системи далі описано з посиланням на Фігури 2 і 3.
У допоміжному способі, або фазі, до аутентифікації користувача, він зобов'язаний зареєструватися на сервері аутентифікації 1.
Ця фаза реєстрації буде описана з посиланням на Фігуру 2.
Для ясності викладення сутності винаходу, передбачається, що термінал 21 являє собою так званий термінал електронних платежів типу "ЕРТ", і що телекомунікаційне обладнання 25 являє собою мобільний телефон, при цьому не відступаючи від загального характеру описаного способу.
За допомогою його/її мобільного телефону 25, користувач з'єднується, крок 31, із сервером 1 через другу мережу передачі даних і надає, крок 33, біографічні дані, які роблять можливим його/її ідентифікацію, наприклад його/її прізвище та ім'я, адресу, тощо.
Він/вона також надає ідентифікаційну інформацію з його/її мобільного телефону 25. Ця інформація включає в себе інформацію, що стосується терміналу (наприклад, серійний номер пристрою, номер виклику та ІМЕЇ!Ї "Міжнародний ідентифікатор апаратури мобільного зв'язку", тощо.
У свою чергу, сервер надсилає, крок 35, разовий пароль на мобільний телефон 25, який відображає його, крок 37, на екрані. Пароль, таким чином, відображається користувачеві у вигляді літерно-цифрового рядка, або навіть тільки цифрового.
Користувач вводить, крок 39, на ЕРТ 21 разовий пароль, який відображається на мобільному телефоні 25.
ЕРТ 21 передає, крок 41, разовий пароль на сервер 1 через першу мережу передачі даних 3. Після прийому, сервер перевіряє, крок 43, чи разовий пароль є вірним, тобто є ідентичним тому, який був надісланий на мобільний телефон 25.
Після цього створюється персональний код доступу, крок 45. Це створення здійснюється або сервером, який потім передає код користувачеві через ЕРТ 21, або таким чином, що користувач потім вводить його на ЕРТ для передачі на сервер.
Таким чином, користувач є відомим серверу і ділиться секретом з ним: персональним кодом доступу.
Зареєструвавшись, користувач може використовувати систему аутентифікації для його/її аутентифікації, Фігура 3.
Зо Для того щоб проілюструвати спосіб аутентифікації, буде описана операція захищеного електронного платежу.
Користувач використовує його/ї персональний комп'ютер для здійснення покупки в
Інтернеті. Для спрощення розуміння, приймається стандарт, що персональний комп'ютер являє собою термінал 21, з'єднаний з першою мережею 3. Проте, слід розуміти, що термінал 21, який використовується у фазі реєстрації, може бути і, найчастіше, відрізняється від терміналу 21, який використовується у фазі аутентифікації. Подібним чином, перша мережа З може бути однаковою в обох фазах або може відрізнятися. Важливо підкреслити, що під час кожної фази, дві різні мережі і два типи терміналів використовуються одночасно, при цьому одним з терміналів є той самий мобільний телефон 25 користувача, який був зареєстрований під час реєстрації, тобто, обладнання, яке супроводжує користувача майже постійно.
Наприкінці процесу покупки, користувач переходить на сторінку платежів інтернет-магазину.
Користувач вибирає платіж за допомогою описаної системи аутентифікації.
Набір даних, що стосуються транзакції, яку часто називають "контекст" буде відправлений, крок 51, на сервер аутентифікації із запитом про аутентифікацію.
Сервер 1 надсилає, крок 53, ідентифікаційний код транзакції на комп'ютер 21. Цей код відображається, крок 55, на екрані комп'ютера у вигляді піктограми. Як правило, код відображається у вигляді 20 штрих-коду, але він також може відображатися у вигляді стандартного штрих-коду, або навіть у вигляді рядка літерно-цифрових символів.
Відображуваний ідентифікаційний код передається, крок 57, на мобільний телефон 25. Коли код представлений у вигляді штрих-коду, ця передача здійснюється шляхом фотографування, в іншому випадку користувач вводить літерно-дифровий рядок за допомогою клавіатури у його/її телефоні.
Ідентифікаційний код потім відправляється, крок 59, на сервер 1 мобільним телефоном 25.
Варто зазначити, що цей код аутентифікації не містить жодного секрету, при цьому трансформація штрих-коду у літерно-дифровий ідентифікатор може здійснюватися на мобільному телефоні 25 або перенаправляється на сервер, передача, таким чином, здійснюється у формі фотографічного файлу. Ідентифікаційний код відправляється, крок 59, і супроводжується ідентифікатором мобільного телефону 25. Цей ідентифікатор повинен відповідати ідентифікатору, зареєстрованому під час реєстрації, в цілях забезпечення можливості для серверу перевірити, що це дійсно використовується саме мобільний телефон користувача.
Після прийому ідентифікаційного коду, сервер генерує, крок 61, разовий маркер аутентифікації і надсилає його, крок 63, на мобільний телефон 25. Останній повертає, крок 64, разовий маркер аутентифікації на сервер 1. Переважно, канал, який використовується для однієї з передач, відрізняється від каналу, який використовується для іншої передачі.
Наприклад, маркер, отримується через канал передачі "коротких повідомлень" і повертається через канал передачі даних ТСР/ЛР за допомогою УУі-Рі або ЗСі-мережі. Цей крок може здійснюватися без втручання користувача, оскільки можливо запрограмувати телефон так, щоб він перехоплював виклик раніше мелодії дзвінка і генерував повідомлення у відповідь. Ці передачі можуть здійснюватися, наприклад, за допомогою коротких повідомлень типу 5М5. Цей крок дає можливість підтвердити, що це дійсно саме мобільний телефон користувача надіслав ідентифікатор, а не третя сторона намагається видати себе за користувача.
Паралельно, сервер програмує комп'ютер 21 так, щоб він відображував, крок 65, запит на отримання персонального коду доступу.
Користувач, вводить потім, крок 67, персональний код доступу, який передається, крок 69, на сервер 1.
Сервер 1, аутентифікує, крок 71, користувача, якщо ідентифікаційний код, унікальний ідентифікатор, маркер аутентифікації і персональний код доступу відповідають елементам, які зберігаються сервером.
У рамках представленої платіжної транзакції, сервер аутентифікації, таким чином, запускає оплату транзакції.
У першому варіанті реєстрації коли сервер 1 має використовуватися для перевірки достовірності електронних платіжних операцій, особливою перевагою є те, що користувач також надає серверу 1 дані про його/її платіжний засіб, і, зокрема, дані про банківську карту. Цей крок здійснюється через ЕРТ 21, після кроку 43 перевірки достовірності разового паролю, і переважно, раніше кроку 45 створення персонального коду доступу. Сервер аутентифікації може, таким чином, під час платіжної транзакції використовувати дані банківської картки для виконання платежу.
Зо У другому варіанті реєстрації, коли сервер 1 має аутентифікувати біографічні дані з третьою стороною, остання може бути перевірена за допомогою різних відомих засобів, відомих як такі.
Наприклад, перевірка особи може здійснюватися шляхом надання документа, що посвідчує особу, такого як посвідчення особи, паспорт або посвідчення водія. Таким чином, ці перевірені дані можуть використовуватися, наприклад, для перевірки реквізитів покупця, що застосовується підприємствами роздрібної торгівлі. Ці підтвердження достовірності можуть слугувати аутентифікацією для покупця, без введення персонального коду доступу, для матеріальних благ в тій мірі, в якій вони гарантують, що доставка придбаних товарів буде здійснюватися за "перевіреною" адресою покупця.
У третьому варіанті реєстрації, ця фаза слідує тим же крокам, що і фаза аутентифікації, зокрема, з використанням разового маркера аутентифікації, який передається з сервера на телефон і назад.
Слід розуміти, що набір операцій за способом може бути реалізований у формі виконуваного програмного забезпечення, зокрема, сервером 1. Це програмне забезпечення, яке являє собою набір команд для керування комп'ютером, може зберігатися на носієві, який дозволяє його виконання, наприклад, на жорсткому диску або оптичному диску. Воно також може передаватися у формі файлу для завантаження.
Проте, увесь або частина способу може бути реалізована у формі дротових електронних схем для здійснення певних операцій, наприклад, у формі ЕРСА (Програмованої користувачем вентильної матриці). Це може бути необхідно заради швидкості або для забезпечення
БО додаткової безпеки.
Винахід був проілюстрований і детально описаний з посиланням на фігури і в попередньому описі. Останній має розглядатися як ілюстративний, і наведений як приклад, не обмежуючи винахід цим окремим описом. Багато альтернативних варіантів є можливими.
Таким чином, слід розуміти, що операції, які виконуються телекомунікаційним обладнанням є відносно простими, відображення коду, фотографування, тощо, а, отже, можуть здійснюватися за допомогою стандартного мобільного телефону. Тим не менше, використання програмованого телефону дозволяє, при використанні спеціально адаптованої програми, спростити набір операцій для користувача.
Фаза реєстрації що описується, переважно дозволяє посилити безпеку даних, що бо надсилаються на сервер. Проте, вона не залежить від фази аутентифікації. Таким чином,
реєстрація може бути здійснена шляхом запрошення користувача відвідати, з його/її мобільним телефоном, безпечне місце, наприклад, відділення банку, з тим щоб надати всі необхідні документи: інформація потім вводиться агентом у захищений термінал без виконання фази реєстрації, як описано вище.
Подібним чином, спосіб і система були описані без використання криптографічних методів.
Вони не є обов'язковими, але можуть з успіхом використовуватися для посилення безпеки набору операцій.
У формулі винаходу слово "який включає в себе" не виключає інших елементів, а однина не виключає множини.

Claims (9)

ФОРМУЛА ВИНАХОДУ
1. Спосіб аутентифікації особи, яка попередньо є відомою серверу аутентифікації як особа, яка має телекомунікаційне обладнання, має унікальний ідентифікатор та є відомою як така, що має персональний код доступу, при цьому спосіб включає в себе: отримання (51) сервером запиту аутентифікації від термінала через першу мережу передачі даних; відправку (53) сервером ідентифікаційного коду на термінал через першу мережу передачі даних; передачу (57) ідентифікаційного коду від термінала на телекомунікаційне обладнання; отримання (59) сервером, від телекомунікаційного обладнання через другу мережу передачі даних, ідентифікаційного коду у поєднанні з унікальним ідентифікатором; генерування (61) сервером разового маркера аутентифікації і його відправку (63) на телекомунікаційне обладнання через другу мережу передачі даних; та повернення (64) разового маркера аутентифікації на сервер телекомунікаційним обладнанням через другу мережу передачі даних, та паралельно, отримання (67) терміналом, шляхом запиту на отримання, персонального коду доступу, введеного особою; та отримання (69) сервером персонального коду доступу, який надходить від термінала через першу мережу передачі даних; Зо аутентифікацію (71) особи, отриману від сервера, якщо ідентифікаційний код, унікальний ідентифікатор, маркер аутентифікації та персональний код доступу відповідають елементам, що зберігаються сервером.
2. Спосіб за п. 1, який відрізняється тим, що він додатково містить допоміжний спосіб для реєстрації особи, що включає в себе: отримання (31, 33) сервером унікального ідентифікатора телекомунікаційного обладнання і принаймні біографічних даних особи від телекомунікаційного обладнання через другу мережу передачі даних; відправку (35) сервером разового пароля на телекомунікаційне обладнання через другу мережу передачі даних і відображення (37) разового пароля телекомунікаційним обладнанням; отримання (39) разового пароля на другому терміналі шляхом його введення особою; отримання (41) сервером разового пароля від другого термінала через третю мережу передачі даних, та створення (43) і обмін (45) персональним кодом доступу між особою і сервером через другий термінал та третю мережу передачі даних.
3. Спосіб за п. 2, який відрізняється тим, що конфіденційні біографічні дані передаються на сервер другим терміналом через третю мережу передачі даних після прийому разового пароля сервером і до створення персонального коду доступу.
4. Спосіб за п. 3, який відрізняється тим, що конфіденційні біографічні дані містять дані банківської картки.
5. Спосіб за будь-яким з пп. 2-4, який відрізняється тим, що допоміжний спосіб реєстрації додатково включає в себе, після створення і обміну персональним кодом доступу: відправку сервером ідентифікаційного коду, пов'язаного з реєстрацією, на другий термінал через третю мережу передачі даних; передачу ідентифікаційного коду від термінала до телекомунікаційного обладнання; прийом сервером ідентифікаційного коду у поєднанні з унікальним ідентифікатором обладнання, що надходить від телекомунікаційного обладнання через другу мережу передачі даних.
б. Спосіб за будь-яким з попередніх пунктів, який відрізняється тим, що передача ідентифікаційного коду від термінала до телекомунікаційного обладнання досягається шляхом відображення піктограми на терміналі та отримання відображуваного зображення за допомогою фотографічного апарата телекомунікаційного обладнання.
7. Спосіб за будь-яким з попередніх пунктів, який відрізняється тим, що телекомунікаційне обладнання перехоплює відправку даних разового маркера аутентифікації і автоматично повертає їх без втручання особи шляхом використання двох різних каналів передачі даних.
8. Сервер аутентифікації особи для виконання кроків способу за будь-яким з пп. 1-7, при цьому сервер включає в себе: пам'ять для зберігання біографічної інформації про особу, при цьому біографічна інформація містить принаймні унікальний ідентифікатор телекомунікаційного обладнання, власником якого є особа, і персональний код доступу; перший інтерфейс (5) для обміну даними з терміналом (21) через першу мережу передачі даних (3); другий інтерфейс (9) для обміну даними з телекомунікаційним обладнанням (25) через другу мережу передачі даних (7); генератор (11) ідентифікаційного коду, здатний генерувати ідентифікаційний код за запитом від термінала та відправляти генерований ідентифікаційний код на термінал, і здатний приймати ідентифікаційний код у поєднанні з унікальним ідентифікатором, що надходить від телекомунікаційного обладнання; генератор (13) разових маркерів аутентифікації здатний генерувати разовий маркер аутентифікації і відправляти його на телекомунікаційне обладнання, і потім отримувати його від телекомунікаційного обладнання; генератор прикладної програми для введення даних (15), здатний відправляти на термінал екран для введення персонального коду доступу та отримувати введений персональний код доступу від термінала; компаратор (17) ідентифікаційного коду, унікального ідентифікатора, маркера аутентифікації та персонального коду доступу, що надходять від термінала або телекомунікаційного обладнання, з еквівалентними елементами, які зберігаються на сервері, при цьому аутентифікація особи досягається тоді, коли сукупність порівнянь є позитивною.
9. Система аутентифікації, що включає в себе сервер аутентифікації за п. 8, термінал, з'єднаний Зо із сервером через першу мережу передачі даних, та телекомунікаційне обладнання, з'єднане із сервером через другу мережу передачі даних, при цьому термінал додатково містить людино- машинний інтерфейс, який робить можливим відображення інформації та введення персонального коду доступу, і телекомунікаційне обладнання додатково містить засоби для введення інформації, що відображається терміналом, та унікальний ідентифікатор.
UAA201402196A 2011-08-05 2012-06-28 Спосіб, сервер і система аутентифікації особи UA113415C2 (xx)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR1157182A FR2978891B1 (fr) 2011-08-05 2011-08-05 Procede, serveur et systeme d'authentification d'une personne
PCT/FR2012/051495 WO2013021107A1 (fr) 2011-08-05 2012-06-28 Procede, serveur et systeme d'authentification d'une personne

Publications (1)

Publication Number Publication Date
UA113415C2 true UA113415C2 (xx) 2017-01-25

Family

ID=46598848

Family Applications (1)

Application Number Title Priority Date Filing Date
UAA201402196A UA113415C2 (xx) 2011-08-05 2012-06-28 Спосіб, сервер і система аутентифікації особи

Country Status (8)

Country Link
US (1) US10045210B2 (uk)
EP (1) EP2619941B1 (uk)
CN (1) CN103380592B (uk)
BR (1) BR112014002740A8 (uk)
FR (1) FR2978891B1 (uk)
RU (1) RU2610419C2 (uk)
UA (1) UA113415C2 (uk)
WO (1) WO2013021107A1 (uk)

Families Citing this family (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101761882B1 (ko) * 2013-05-16 2017-07-26 한국전자통신연구원 클라우드 id 카드를 이용하여 개인 정보를 제공하기 위한 시스템 및 그 방법
HK1184635A2 (en) * 2013-08-21 2014-01-24 Chaatz Ltd Instant communication system
US10185960B2 (en) 2014-07-11 2019-01-22 Google Llc Hands-free transactions verified by location
US20160012426A1 (en) * 2014-07-11 2016-01-14 Google Inc. Hands-free transactions with a challenge and response
US11257085B1 (en) * 2015-12-11 2022-02-22 Wells Fargo Bank, N.A Systems and methods for authentication device-assisted transactions
US10482463B2 (en) 2016-03-01 2019-11-19 Google Llc Facial profile modification for hands free transactions
US10091194B2 (en) * 2016-05-12 2018-10-02 Bank Of America Corporation Preventing unauthorized access to secured information systems using multi-device authentication techniques
US10305891B2 (en) 2016-05-12 2019-05-28 Bank Of America Corporation Preventing unauthorized access to secured information systems using multi-device authentication techniques
US10474879B2 (en) 2016-07-31 2019-11-12 Google Llc Automatic hands free service requests
FR3058286B1 (fr) * 2016-11-02 2019-11-22 Overkiz Procede de procede de controle d’acces a un service utilisateur destine au controle d’une installation domotique
FR3074944B1 (fr) * 2017-12-08 2021-07-09 Idemia Identity & Security France Procede de securisation d'une transaction electronique
US10708771B2 (en) * 2017-12-21 2020-07-07 Fortinet, Inc. Transfering soft tokens from one mobile device to another
CN108563934B (zh) * 2018-03-09 2020-07-10 青岛海信移动通信技术股份有限公司 一种指纹解锁的方法及装置
US11108762B2 (en) * 2018-06-05 2021-08-31 The Toronto-Dominion Bank Methods and systems for controlling access to a protected resource
US11695772B1 (en) * 2022-05-03 2023-07-04 Capital One Services, Llc System and method for enabling multiple auxiliary use of an access token of a user by another entity to facilitate an action of the user

Family Cites Families (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA2410431A1 (en) * 2000-05-24 2001-11-29 Gavin Walter Ehlers Authentication system and method
KR100412510B1 (ko) * 2002-03-30 2004-01-07 한민규 이종 통신망을 이용한 인스턴트 로그인 사용자 인증 및결제 방법과 그 시스템
JP4416392B2 (ja) * 2002-11-26 2010-02-17 キヤノン株式会社 撮像機器及び無線通信装置
KR100820669B1 (ko) * 2004-06-16 2008-04-10 엘지전자 주식회사 네트워크상에서의 디바이스에 대한 액세스 권한 설정과디바이스간의 인증을 위한 방법 및 장치
CN1684406A (zh) * 2004-06-25 2005-10-19 中国银行股份有限公司 提供直通式银行金融服务的方法和***
CN1963856A (zh) * 2005-11-11 2007-05-16 博经科技股份有限公司 网络金融交易的安全认证方法
EP1802155A1 (en) * 2005-12-21 2007-06-27 Cronto Limited System and method for dynamic multifactor authentication
US20090217048A1 (en) * 2005-12-23 2009-08-27 Bce Inc. Wireless device authentication between different networks
JP4693171B2 (ja) * 2006-03-17 2011-06-01 株式会社日立ソリューションズ 認証システム
CN101141252A (zh) * 2006-09-08 2008-03-12 上海浦东发展银行股份有限公司 一种网络密码认证方法
US8434133B2 (en) * 2006-10-06 2013-04-30 Fmr Llc Single-party, secure multi-channel authentication
CN101291329A (zh) * 2007-04-16 2008-10-22 林仲宇 以电话号码及识别码做为网络在线刷卡双重认证之方法
US9800413B2 (en) * 2008-08-15 2017-10-24 Gm Global Technology Operations, Inc. System and method for performing an asymmetric key exchange between a vehicle and a remote device
CN101577917A (zh) * 2009-06-16 2009-11-11 深圳市星龙基电子技术有限公司 一种安全的基于手机的动态密码验证方法
US8719717B2 (en) * 2009-07-17 2014-05-06 Blackberry Limited Method and apparatus for sharing calendar databases
CN101651675B (zh) * 2009-08-27 2015-09-23 飞天诚信科技股份有限公司 通过认证码对客户端进行验证的方法和***
FR2959896B1 (fr) * 2010-05-06 2014-03-21 4G Secure Procede d'authentification d'un utilisateur requerant une transaction avec un fournisseur de service
US20120028609A1 (en) * 2010-07-27 2012-02-02 John Hruska Secure financial transaction system using a registered mobile device
US8555355B2 (en) * 2010-12-07 2013-10-08 Verizon Patent And Licensing Inc. Mobile pin pad

Also Published As

Publication number Publication date
BR112014002740A2 (pt) 2017-06-13
WO2013021107A1 (fr) 2013-02-14
FR2978891B1 (fr) 2013-08-09
US20140227999A1 (en) 2014-08-14
EP2619941A1 (fr) 2013-07-31
BR112014002740A8 (pt) 2017-06-20
US10045210B2 (en) 2018-08-07
RU2014103321A (ru) 2015-09-10
WO2013021107A9 (fr) 2013-05-23
EP2619941B1 (fr) 2018-12-12
FR2978891A1 (fr) 2013-02-08
RU2610419C2 (ru) 2017-02-10
CN103380592A (zh) 2013-10-30
CN103380592B (zh) 2017-06-13

Similar Documents

Publication Publication Date Title
UA113415C2 (xx) Спосіб, сервер і система аутентифікації особи
EP2999189B1 (en) Network authentication method for secure electronic transactions
US9838205B2 (en) Network authentication method for secure electronic transactions
US9741033B2 (en) System and method for point of sale payment data credentials management using out-of-band authentication
US20170364911A1 (en) Systems and method for enabling secure transaction
Das et al. On the security of SSL/TLS-enabled applications
KR100548638B1 (ko) 스마트카드를 이용한 원 타임 패스워드 생성 및 인증방법그리고 이를 위한 스마트카드
CN101427510A (zh) 用于网络功能描述的数字通行
US11403633B2 (en) Method for sending digital information
JP2008522470A (ja) 端末ユーザ識別情報モジュールを接続した通信端末を保護する方法
WO2005116909A1 (en) An apparatus, system and methods for supporting an authentication process
CN101577697B (zh) 一种强制双向动态密码的认证方法及其认证***
EP3284241A1 (en) Method and system for transaction security
KR20070084801A (ko) 스마트카드를 이용한 원 타임 패스워드 생성 및 인증방법그리고 이를 위한 스마트카드
JP6370771B2 (ja) サイバーidを使用してセキュアなトランザクションを提供する方法およびシステム
CN101222334B (zh) 一种采用图片干扰的密码令牌安全认证方法
KR20090131114A (ko) 온라인 상호 인증 방법 및 그 시스템
CA2740448A1 (en) Methods, systems and nodes for authorizing a securized exchange between a user and a provider site
WO2011060739A1 (zh) 一种安全***及方法
Nashwan et al. Mutual chain authentication protocol for SPAN transactions in Saudi Arabian banking
EP2763346B1 (en) Mutual anti-piracy authentication system in smartphone-type software tokens and in the sms thereof
JP7050466B2 (ja) 認証システムおよび認証方法
KR20080109580A (ko) 서버 인증 시스템 및 방법
WO2011060738A1 (zh) 一种确认cpu卡内数据的方法
Fujita et al. Design and Implementation of a multi-factor web authentication system with MyNumberCard and WebUSB