[go: up one dir, main page]

RU2354066C2 - Method and system for authentication of data processing system user - Google Patents

Method and system for authentication of data processing system user Download PDF

Info

Publication number
RU2354066C2
RU2354066C2 RU2006119919/09A RU2006119919A RU2354066C2 RU 2354066 C2 RU2354066 C2 RU 2354066C2 RU 2006119919/09 A RU2006119919/09 A RU 2006119919/09A RU 2006119919 A RU2006119919 A RU 2006119919A RU 2354066 C2 RU2354066 C2 RU 2354066C2
Authority
RU
Russia
Prior art keywords
authentication
data processing
user
subscriber identity
identity module
Prior art date
Application number
RU2006119919/09A
Other languages
Russian (ru)
Other versions
RU2006119919A (en
Inventor
Мауро СЕНТИНЕЛЛИ (IT)
Мауро Сентинелли
Original Assignee
Телеком Италия С.П.А.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Телеком Италия С.П.А. filed Critical Телеком Италия С.П.А.
Priority to RU2006119919/09A priority Critical patent/RU2354066C2/en
Publication of RU2006119919A publication Critical patent/RU2006119919A/en
Application granted granted Critical
Publication of RU2354066C2 publication Critical patent/RU2354066C2/en

Links

Images

Landscapes

  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)

Abstract

FIELD: information technologies.
SUBSTANCE: method for authentication of user data processing terminal (USERa, USERb) provides this terminal with access to selected services provided by data processing system. The invention includes performing the first, based on subscriber identification module (SIM), authentication of user data processing terminal in authentication server of data processing in data processing system by means of functional associating with user data processing terminal of the first subscriber identification module (SIM) given to user of data processing terminal. Result of user data processing terminal authentication in data processing system is determined by the second authentication on the basis of identification information presented to user on mobile communication terminal over mobile communication network, for instance as short message service (SMS) message.
EFFECT: authentication security improvement.
26 cl, 6 dwg

Description

Область техники, к которой относится изобретениеFIELD OF THE INVENTION

Настоящее изобретение, в общем, относится к области систем обработки данных и более конкретно к способам аутентификации пользователей систем обработки данных.The present invention relates generally to the field of data processing systems, and more particularly to methods for authenticating users of data processing systems.

Предшествующий уровень техникиState of the art

В настоящее время аутентификация (то есть удостоверение в подлинности) пользователей систем обработки данных в целях предоставления им права осуществлять доступ к заранее определенным услугам представляет собой ощутимую проблему.Currently, authentication (i.e. authentication) of users of data processing systems in order to provide them with the right to access predefined services is a tangible problem.

В целях настоящего описания термин “услуга” следует понимать в широком смысле, так чтобы он охватывал любую возможную услугу, которую система обработки данных может предложить пользователю, включая простое осуществление логического входа в компьютер и/или в компьютерную сеть, соединение с внутренней сетью компании, общественной администрации, правительственного агентства и/или с Интернет, доступ к услуге обмена электронными сообщениями, доступ к Web-сайту, предлагающему, например, удаленные банковские услуги (инспектирование счетов и/или размещение депозитов), доступ к базам данных и т.п. (вышеперечисленное просто представляет собой не вполне исчерпывающий список того, что понимается под услугой в контексте настоящего описания).For the purposes of this description, the term “service” should be understood in a broad sense, so that it covers any possible service that the data processing system can offer the user, including the simple implementation of a logical login to a computer and / or computer network, connection to the internal network of the company, public administration, government agency and / or the Internet, access to an electronic messaging service, access to a website offering, for example, remote banking services (inspection of accounts and / Whether placing deposits), database access, etc. (the above simply does not constitute an exhaustive list of what is meant by a service in the context of the present description).

В частности, защищенная аутентификация пользователей, которые запрашивают доступ к конкретным услугам, предлагаемым системой обработки данных, является важной всякий раз, когда эти услуги делают пользователям доступной конфиденциальную информацию, такую как, например, содержимое почтовых ящиков системы обмена электронными сообщениями или личная информация, относящаяся, например, к состоянию здоровья индивидуумов, или исследовательские проекты компании, при этом выше было перечислено лишь несколько примеров.In particular, the secure authentication of users who request access to specific services offered by a data processing system is important whenever these services make available confidential information to users, such as, for example, the contents of mailboxes of an electronic messaging system or personal information relating to for example, on the state of health of individuals, or research projects of a company, while only a few examples were listed above.

С проблемой аутентификации пользователей сталкиваются не только в таких крупномасштабных системах обработки данных, как Интернет (который, несмотря на его впечатляющий успех, является весьма незащищенным), но также и при более малом масштабе, например, в инфраструктурах обработки данных компаний среднего или малого размера, где доступ к конкретным услугам, таким как базы данных платежных ведомостей сотрудников, бухгалтерские реестры и т.п., должен предоставляться пользователям на выборочной основе.The problem of user authentication is encountered not only in such large-scale data processing systems as the Internet (which, despite its impressive success, is very insecure), but also on a smaller scale, for example, in the data processing infrastructures of medium or small companies, where access to specific services, such as employee payroll databases, accounting registers, etc., should be provided to users on a selective basis.

Было предложено несколько способов аутентификации. Вероятно, наиболее широко распространенное решение в плане аутентификации основывается на обуславливании доступа к заранее определенным услугам предоставлением пользователем персональной информации идентификации, в типичном случае пары из имени пользователя и пароля.Several authentication methods have been proposed. Probably the most widespread authentication solution is based on conditioning access to predefined services by providing the user with personally identifiable information, typically a pair of username and password.

Эта технология, также известная как статическая основывающаяся на пароле аутентификация, является чрезвычайно незащищенной, например, потому что пользователи, опасаясь забыть назначенные им имя пользователя и пароль, могут записать их, например, на бумаге, делая эти персональные идентификационные коды, которые вместо этого должны держаться в строгом секрете, потенциально доступными другим людям; помимо этого имя пользователя и пароль обычно перемещаются по системе обработки данных без всякого шифрования и таким образом могут быть в большей или меньшей степени жульническим путем перехвачены другими людьми, прослушивающими трафик данных.This technology, also known as static password-based authentication, is extremely insecure, for example, because users, fearing to forget their username and password, can write them, for example, on paper, making these personal identification codes, which instead should keep a strict secret, potentially accessible to other people; in addition, the username and password usually move through the data processing system without any encryption, and thus can be more or less fraudulently intercepted by other people listening to data traffic.

В патенте США 6230002 В1 описан усовершенствованный способ, относящийся к аутентификации беспроводных хостов, ассоциированных с мобильными терминалами стандарта GSM (Глобальной Системы Мобильной Связи). Согласно данному способу пароль генерируется модулем идентификации абонента (SIM) мобильного терминала GSM, подключенного к беспроводному хосту, и сгенерированный пароль сообщается (через сеть GSM) аутентификационному серверу частной сети для получения доступа к ее защищенному сайту.US patent 6230002 B1 describes an improved method related to the authentication of wireless hosts associated with mobile terminals of the GSM standard (Global System for Mobile Communications). According to this method, the password is generated by the subscriber identity module (SIM) of the GSM mobile terminal connected to the wireless host, and the generated password is communicated (via the GSM network) to the authentication server of the private network to gain access to its secure site.

Некоторые из способов аутентификации, предложенных более недавно, происходят из сферы систем мобильной телефонной связи, в особенности GSM.Some of the more recent authentication methods come from the field of mobile telephone systems, especially GSM.

Во всех способах, относящихся к этому классу, используется аутентификация SIM, который включен в состав каждого мобильного телефона и который хранит информацию об абоненте услуги мобильной телефонной связи, в частности данные, используемые для разрешения мобильному телефону получать доступ к сети GSM.All methods related to this class use SIM authentication, which is included with each mobile phone and which stores information about the subscriber of the mobile telephone service, in particular, the data used to allow the mobile phone to access the GSM network.

К этому случаю относятся способ и система аутентификации, описанные в международной публикации WO 00/02406, в которых пользователь основывающейся на межсетевом протоколе (IP) сети (такой как Интернет), намеревающийся подсоединиться к этой IP-сети через его/ее терминал IP-сети (например, персональное цифровое информационное устройство - PDA), использует SIM, идентичный (или в высокой степени аналогичный) тому, что используется в его/ее мобильном телефоне GSM, для аутентификации в IP-сети, тем самым способ аутентификации существующей сети GSM используется для аутентификации в IP-сети.This case includes the authentication method and system described in international publication WO 00/02406, in which a user of a network-based Internet Protocol (IP) network (such as the Internet) intends to connect to this IP network through his / her IP network terminal (for example, a personal digital information device - PDA), uses a SIM that is identical (or highly similar) to that used in his / her GSM mobile phone for authentication in an IP network, thereby using an existing GSM network authentication method to I authenticate IP-based network.

Другие известные способы аутентификации используют защищенный аутентифицированный на основе SIM коммуникационный канал, формируемый сетью телефонной связи GSM, для распространения паролей пользователям, которые затем используют эти пароли, принимаемые на, например, их персональных мобильных телефонах, для доступа к услугам, предоставляемым по незащищенному каналу, такому как Интернет.Other known authentication methods use a secure, authenticated SIM-based communication channel formed by the GSM telephone network to distribute passwords to users, who then use these passwords received on, for example, their personal mobile phones, to access services provided over an insecure channel, such as the internet.

Пример данного типа способов известен из публикации патентной заявки США 2003/0061503 А1, описывающей способ аутентификации, согласно которому, когда неаутентифицируемое устройство, соответствующее пользователю, запрашивает услугу через незащищенную линию связи, такую как Интернет, либо локальную сеть (LAN) или беспроводную LAN (WLAN), во время регистрации на услугу пользователь идентифицирует защищенную линию связи, ассоциированную с ней, давая номер персонального мобильного телефона. Затем осуществляется обращение к мобильному телефону этого пользователя и ему/ей сообщается пароль (предпочтительно используемый лишь однократно); путем ввода этого пароля посредством неаутентифицируемого устройства пользователь уполномочивается на доступ к услуге.An example of this type of method is known from the publication of US patent application 2003/0061503 A1, which describes an authentication method, according to which, when an unauthenticated device corresponding to a user requests a service via an insecure communication line, such as the Internet or a local area network (LAN) or wireless LAN ( WLAN), during registration for the service, the user identifies the secure communication line associated with it, giving the number of a personal mobile phone. Then a call is made to the mobile phone of this user and a password is given to him / her (preferably used only once); by entering this password through an unauthenticated device, the user is authorized to access the service.

По мнению заявителя, известные из уровня техники способы аутентификации, хотя и являются удовлетворительными во многих отношениях, тем не менее не гарантируют достаточный уровень защищенности аутентификации.According to the applicant, the authentication methods known from the prior art, although satisfactory in many respects, nevertheless do not guarantee a sufficient level of authentication security.

В частности, в системах, таких как соответствующие двум вышеописанным примерам, SIM, который используется для аутентификации намеченного пользователя услуг системы обработки данных, может быть утерян или жульническим образом отнят у законного владельца, и неуполномоченные индивидуумы могут таким образом получить доступ к услугам ограниченной эксплуатации.In particular, in systems such as those corresponding to the two examples described above, the SIM used to authenticate the intended user of the data processing system services may be lost or fraudulently taken from its rightful owner, and unauthorized individuals may thus gain access to limited-use services.

Нечто подобное может иметь место в системах, основывающихся на распространении паролей через сеть GSM: также в этом случае терминал GSM, или даже только SIM, используемый для аутентификации пользовательского терминала GSM в сети GSM, может быть утерян или жульническим образом отнят у законного владельца, и неуполномоченные индивидуумы могут таким образом получить доступ к услугам ограниченного использования.Something similar can occur in systems based on the distribution of passwords via the GSM network: in this case, too, the GSM terminal, or even just the SIM used to authenticate the GSM user terminal in the GSM network, may be lost or fraudulently taken from its rightful owner, and unauthorized individuals can thus access restricted services.

Сущность изобретенияSUMMARY OF THE INVENTION

По мнению заявителя, желателен более высокий уровень защищенности по сравнению с тем, что достигается при эксплуатации известных методик аутентификации. Таким образом, задачей настоящего изобретения является повышение защищенности по сравнению с известными способами аутентификации.According to the applicant, a higher level of security is desirable compared to what is achieved by using known authentication methods. Thus, it is an object of the present invention to increase security in comparison with known authentication methods.

Заявителем обнаружено, что способ аутентификации, задействующий использование двух модулей идентификации абонента, позволяет достигать очень высокого уровня защищенности.Applicant has found that an authentication method involving the use of two subscriber identity modules allows achieving a very high level of security.

В частности, заявителем обнаружено, что уровень защищенности значительно повышается, если обеспечивается способ аутентификации, который содержит две фазы аутентификации, а именно основывающуюся на SIM аутентификацию терминала обработки данных пользователя, который запрашивает доступ к услугам ограниченного использования, и вторую фазу, соответствующую верификации идентификационных данных пользователя, выполняемой с использованием защищенной сети связи, такой как сеть мобильной связи.In particular, the applicant has found that the level of security is significantly increased if an authentication method is provided that includes two authentication phases, namely, SIM-based authentication of a user data terminal that requests access to limited-use services, and a second phase corresponding to the verification of identification data a user executed using a secure communication network, such as a mobile communication network.

В целях настоящего изобретения под основывающейся на SIM аутентификацией подразумевается любая аутентификация, задействующая обмен идентификационными данными, хранящимися в модуле идентификации абонента.For the purposes of the present invention, SIM-based authentication is understood to mean any authentication involving the exchange of identification data stored in a subscriber identity module.

Согласно первому аспекту настоящего изобретения предлагается способ, характеризуемый в пункте 1 прилагаемой формулы изобретения и предназначенный для аутентификации терминала обработки данных пользователя для предоставления этому терминалу обработки данных доступа к выбранным услугам, предоставляемым системой обработки данных, причем пользователю обеспечен аутентифицируемый мобильный коммуникационный терминал, выполненный с возможностью использования в сети мобильной связи.According to a first aspect of the present invention, there is provided a method as described in paragraph 1 of the appended claims for authenticating a user data terminal to provide this data processing terminal with access to selected services provided by the data processing system, the user being provided with an authenticated mobile communication terminal configured to use in a mobile network.

Резюмируя, способ включает в себя выполнение первой, основывающейся на SIM аутентификации терминала обработки данных пользователя в системе обработки данных на аутентификационном сервере обработки данных; этот этап содержит функциональное ассоциирование первого модуля идентификации абонента, выданного пользователю терминала обработки данных, с терминалом обработки данных этого пользователя.In summary, the method includes performing a first SIM-based authentication of a user data processing terminal in a data processing system on an authentication data processing server; this step comprises the functional association of the first subscriber identity module issued to the user of the data processing terminal with the data processing terminal of this user.

Способ дополнительно содержит после выполнения аутентификации мобильного коммуникационного терминала пользователя в сети мобильной связи обуславливание результата аутентификации терминала обработки данных пользователя в системе обработки данных второй аутентификацией на основе информации идентификации, предоставляемой пользователю на мобильном коммуникационном терминале через сеть мобильной связи.The method further comprises, after authentication of the user’s mobile communication terminal in the mobile communication network is performed, determining the authentication result of the user data processing terminal in the data processing system by second authentication based on the identification information provided to the user on the mobile communication terminal via the mobile communication network.

Согласно варианту осуществления настоящего изобретения упомянутая вторая аутентификация содержит:According to an embodiment of the present invention, said second authentication comprises:

генерацию первого пароля на аутентификационном сервере обработки данных;first password generation on the authentication data processing server;

отправку первого пароля на мобильный коммуникационный терминал по сети мобильной связи;sending the first password to the mobile communication terminal via the mobile communication network;

проверку соответствия между первым паролем и зависящим от первого пароля вторым паролем, введенным на терминале обработки данных и предоставленным аутентификационному серверу обработки данных через систему обработки данных. Второй пароль может быть введен через терминал обработки данных пользователем или автоматически по приему первого пароля на мобильном коммуникационном терминале.checking the correspondence between the first password and the second password depending on the first password, entered at the data processing terminal and provided to the authentication data processing server through the data processing system. The second password can be entered through the data processing terminal by the user or automatically upon receipt of the first password on the mobile communication terminal.

Предпочтительно первый пароль можно использовать ограниченное количество раз, в частности лишь один раз.Preferably, the first password can be used a limited number of times, in particular only once.

Согласно варианту осуществления настоящего изобретения пользователю выдается второй модуль идентификации абонента, приспособленный для использования в мобильном коммуникационном терминале пользователя для его аутентификации в сети мобильной связи. Второй модуль идентификации абонента может иметь фиксированное однозначное соответствие с первым модулем идентификации абонента, или первый модуль идентификации абонента может быть ассоциирован с идентификатором второго модуля идентификации абонента, в частности номером мобильного коммуникационного терминала.According to an embodiment of the present invention, the user is provided with a second subscriber identity module, adapted for use in a user's mobile communication terminal for authentication in a mobile communication network. The second subscriber identity module may have a fixed one-to-one correspondence with the first subscriber identity module, or the first subscriber identity module may be associated with the identifier of the second subscriber identity module, in particular, the number of the mobile communication terminal.

Согласно варианту осуществления настоящего изобретения упомянутая информация идентификации посылается на мобильный коммуникационный терминал пользователя посредством сообщения службы коротких сообщений (SMS).According to an embodiment of the present invention, said identification information is sent to a user’s mobile communication terminal via a short message service (SMS) message.

В частности, первый модуль идентификации абонента относится к типу, принятому в сети мобильной связи для аутентификации мобильных коммуникационных терминалов. Первая, основывающаяся на SIM аутентификация терминала обработки данных может таким образом содержать аутентификацию терминала обработки данных аутентификационным сервером системы обработки данных, причем аутентификационный сервер выступает в роли центра аутентификации оператора сети мобильной связи.In particular, the first subscriber identity module is of a type adopted in a mobile communication network for authentication of mobile communication terminals. The first SIM-based authentication of the data processing terminal may thus comprise authentication of the data processing terminal by the authentication server of the data processing system, the authentication server acting as the authentication center of the mobile network operator.

Согласно еще одному аспекту настоящего изобретения предоставляется способ, охарактеризованный в пункте 12 формулы изобретения, посредством которого выполняется аутентификация терминала обработки данных в системе обработки данных для получения доступа к выбранным услугам, предоставляемым системой обработки данных.According to another aspect of the present invention, there is provided a method described in paragraph 12 of the claims by which the authentication of a data processing terminal in a data processing system is performed to gain access to selected services provided by the data processing system.

В частности, способ содержит:In particular, the method comprises:

взаимодействие с первым модулем идентификации абонента пользователя, функционально ассоциированным с терминалом обработки данных, и с аутентификационным сервером обработки данных в системе обработки данных для выполнения основывающейся на SIM аутентификации терминала обработки данных пользователя;interacting with a first user subscriber identity module functionally associated with a data processing terminal, and with a data processing authentication server in a data processing system to perform SIM-based authentication of a user data processing terminal;

получение персональной информации идентификации, предоставляемой пользователю на мобильном коммуникационном терминале пользователя, аутентифицированном через сеть мобильной связи,obtaining personal identification information provided to the user on the user's mobile communication terminal authenticated through the mobile communication network,

отправку упомянутой персональной информации аутентификации на аутентификационный сервер обработки данных для завершения аутентификации терминала обработки данных.sending said personal authentication information to the authentication data processing server to complete the authentication of the data processing terminal.

Первый модуль идентификации абонента может относиться к типу, принятому в сетях мобильной связи для аутентификации мобильных коммуникационных терминалов.The first subscriber identity module may be of a type adopted in mobile communication networks for authentication of mobile communication terminals.

Способ может дополнительно содержать:The method may further comprise:

извлечение идентификационных данных SIM из первого модуля идентификации абонента;extracting the SIM identity from the first subscriber identity module;

передачу извлеченных идентификационных данных SIM аутентификационному серверу, причем аутентификационный сервер, по существу, выступает в роли центра аутентификации оператора сети мобильной связи;transferring the extracted SIM identification data to the authentication server, the authentication server essentially acting as the authentication center of the mobile network operator;

прием от аутентификационного сервера SIM аутентификационных данных, соответствующих идентификационным данным SIM, и подачу идентификационных данных SIM на первый модуль идентификации абонента;receiving authentication data corresponding to the SIM identification data from the SIM authentication server and supplying the SIM identification data to the first subscriber identity module;

передачу аутентификационному серверу ответа, сформированного модулем идентификации абонента.transmitting to the authentication server a response generated by the subscriber identity module.

Также предложен способ, охарактеризованный в пункте 16 формулы изобретения, посредством которого аутентификационный сервер обработки данных аутентифицирует терминал обработки данных пользователя для предоставления этому терминалу обработки данных пользователя доступа к выбранным услугам, предоставляемым системой обработки данных.Also proposed is a method described in paragraph 16 of the claims by which an authentication data processing server authenticates a user data processing terminal to provide this user data processing terminal with access to selected services provided by the data processing system.

Способ содержит:The method comprises:

прием запроса аутентификации терминала обработки данных, причем с терминалом обработки данных функционально ассоциирован первый модуль идентификации абонента;receiving an authentication request from a data processing terminal, the first subscriber identification module being functionally associated with the data processing terminal;

выполнение основывающейся на SIM аутентификации терминала обработки данных на основе данных, ассоциированных с первым модулем идентификации абонента;performing SIM-based authentication of the data processing terminal based on data associated with the first subscriber identity module;

предоставление пользователю первой персональной информации идентификации посредством использования аутентифицируемого мобильного коммуникационного терминала пользователя, аутентифицированного в сети мобильной связи;providing the user with the first personal identification information by using an authenticated mobile communication terminal of a user authenticated in a mobile communication network;

обуславливание результата аутентификации терминала обработки данных пользователя предписанным соответствием между первой персональной информацией идентификации, предоставленной пользователю, и второй персональной информацией идентификации, принятой от терминала обработки данных пользователя в ответ на предоставление первой персональной информации идентификации.determining the authentication result of the user data processing terminal as prescribed by the correspondence between the first personal identification information provided to the user and the second personal identification information received from the user data processing terminal in response to providing the first personal identification information.

В частности, первый модуль идентификации абонента относится к типу, принятому в сетях мобильной связи для аутентификации мобильных коммуникационных терминалов, и аутентификационный сервер обработки данных, по существу, выступает в роли центра аутентификации оператора сети мобильной связи.In particular, the first subscriber identity module is of a type adopted in mobile communication networks for authentication of mobile communication terminals, and the authentication data processing server essentially acts as an authentication center of a mobile network operator.

Способ может дополнительно содержать:The method may further comprise:

генерацию первого пароля на аутентификационном сервере обработки данных и отправку первого пароля по сети мобильной связи на мобильный коммуникационный терминал пользователя;generating the first password on the authentication data processing server and sending the first password via the mobile communication network to the user's mobile communication terminal;

обуславливание результата аутентификации терминала обработки данных в системе обработки данных предписанным соответствием между первым паролем и зависящим от первого пароля вторым паролем, введенным на терминале обработки данных и предоставленным аутентификационному серверу обработки данных через систему обработки данных.determining the authentication result of the data processing terminal in the data processing system by the prescribed correspondence between the first password and the second password depending on the first password, entered at the data processing terminal and provided to the authentication data processing server through the data processing system.

Кроме того, изобретение охватывает компьютерные программы, непосредственно загружаемые в рабочую память терминала обработки данных пользователя и аутентификационного сервера обработки данных для выполнения при их исполнении вышеописанных способов, а также компьютерные программные продукты, содержащие машиночитаемые носители данных, хранящие упомянутые компьютерные программы.In addition, the invention encompasses computer programs directly loaded into the working memory of a user data processing terminal and an authentication data processing server for executing the above methods when they are executed, as well as computer software products containing computer-readable storage media storing said computer programs.

Согласно еще одному аспекту настоящего изобретения предоставляется система для аутентификации терминала обработки данных пользователя с целью предоставления этому терминалу обработки данных доступа к выбранным услугам, предоставляемым системой обработки данных. Пользователь имеет мобильный коммуникационный терминал, выполненный с возможностью использования после выполнения аутентификации, в сети мобильной связи (например, одной из сетей GSM, GPRS, UMTS).According to another aspect of the present invention, there is provided a system for authenticating a user data processing terminal to provide that data processing terminal with access to selected services provided by the data processing system. The user has a mobile communication terminal, configured to be used after authentication, in a mobile communication network (for example, one of the networks GSM, GPRS, UMTS).

Система содержит:The system contains:

первый модуль идентификации абонента, выполненный с возможностью функционального ассоциирования с терминалом обработки данных;a first subscriber identity module configured to functionally associate with a data processing terminal;

аутентификационный сервер обработки данных, выполненный с возможностью осуществления первого этапа аутентификации на основе первого модуля идентификации абонента.an authentication data processing server configured to implement a first authentication step based on a first subscriber identity module.

Аутентификационный сервер обработки данных дополнительно выполнен с возможностью осуществления второго процесса аутентификации на основе информации идентификации, предоставляемой пользователю на мобильном коммуникационном терминале через сеть мобильной связи.The authentication data processing server is further configured to implement a second authentication process based on the identification information provided to the user on the mobile communication terminal via the mobile communication network.

В частности, первый модуль идентификации абонента относится к типу, принятому в сетях мобильной связи для аутентификации мобильных коммуникационных терминалов.In particular, the first subscriber identity module is of a type adopted in mobile communication networks for authentication of mobile communication terminals.

Согласно варианту осуществления настоящего изобретения пользователю выдается второй модуль идентификации абонента, подлежащий использованию в мобильном коммуникационном терминале для аутентификации мобильного коммуникационного терминала в сети мобильной связи.According to an embodiment of the present invention, the user is provided with a second subscriber identity module to be used in the mobile communication terminal to authenticate the mobile communication terminal in the mobile communication network.

Второй модуль идентификации абонента может находиться в фиксированном однозначном соответствии с первым модулем идентификации абонента или он может быть ассоциирован с идентификатором второго модуля идентификации абонента, в частности наборным номером мобильного коммуникационного терминала.The second subscriber identity module may be in a fixed one-to-one correspondence with the first subscriber identity module or it may be associated with the identifier of the second subscriber identity module, in particular, the dialed number of the mobile communication terminal.

Первый модуль идентификации абонента предпочтительно ассоциирован с периферийным устройством компьютера, выполненным с возможностью подключения к компьютеру через порт подключения периферийных устройств компьютера.The first subscriber identity module is preferably associated with a computer peripheral device configured to connect to a computer via a computer peripheral connection port.

Согласно еще одному аспекту настоящего изобретения предоставляется комплект защищенной аутентификации, охарактеризованный в прилагаемом пункте 23 формулы изобретения, для аутентификации терминала обработки данных пользователя в системе обработки данных с целью предоставления терминалу обработки данных доступа к выбранным услугам, обеспечиваемым системой обработки данных.According to another aspect of the present invention, there is provided a security authentication kit described in the appended claims 23 for authenticating a user data processing terminal in a data processing system in order to provide the data processing terminal with access to selected services provided by the data processing system.

Упомянутый комплект содержит первый модуль идентификации абонента, в частности, относящийся к типу, принятому в сетях мобильной связи для аутентификации мобильных коммуникационных терминалов; периферийное устройство компьютера, с которым ассоциирован первый модуль идентификации абонента, являющееся функционально ассоциируемым с терминалом обработки данных пользователя; и второй модуль идентификации абонента, функционально ассоциируемый с мобильным коммуникационным терминалом пользователя для обеспечения возможности его соединения с сетью мобильной связи.Said kit comprises a first subscriber identity module, in particular, of a type adopted in mobile communication networks for authentication of mobile communication terminals; a computer peripheral device with which the first subscriber identity module is associated, which is functionally associated with a user data terminal; and a second subscriber identity module, functionally associated with the mobile communication terminal of the user to enable him to connect to the mobile network.

Упомянутый комплект может также включать в себя один из вышеуказанных компьютерных программных продуктов.The kit may also include one of the aforementioned computer software products.

Перечень чертежейList of drawings

Признаки и преимущества настоящего изобретения станут более понятны из следующего подробного описания некоторых вариантов его осуществления, представляемых в качестве неограничивающих примеров, при этом описание выполняется со ссылкой на прилагаемые чертежи, на которых:Signs and advantages of the present invention will become more apparent from the following detailed description of some embodiments thereof, presented as non-limiting examples, the description being made with reference to the accompanying drawings, in which:

Фиг.1 - схематичное представление иллюстративной системы обработки данных, в которой способ защищенной аутентификации пользователя, соответствующий варианту осуществления настоящего изобретения, реализуется выгодным образом.1 is a schematic representation of an example data processing system in which a secure user authentication method according to an embodiment of the present invention is implemented in an advantageous manner.

Фиг.2 - схематичное представление посредством функциональных блоков, соответствующих пониманию упомянутого варианта осуществления изобретения, аутентификационного сервера и оператора сети GSM.2 is a schematic representation by means of functional blocks corresponding to an understanding of the aforementioned embodiment of the invention, an authentication server and a GSM network operator.

Фиг.3 - схематичное представление посредством функциональных блоков, содержимого рабочей памяти компьютера пользователя во время фазы аутентификации, выполняемой посредством реализации способа защищенной аутентификации согласно упомянутому варианту осуществления настоящего изобретения.FIG. 3 is a schematic representation, by means of functional blocks, of the contents of the working memory of a user computer during an authentication phase performed by implementing a secure authentication method according to said embodiment of the present invention.

Фиг.4 - схематичное представление посредством упрощенных блок-схем последовательностей операций функционирования различных элементов, которые совместно работают для реализации способа защищенной аутентификации согласно упомянутому варианту осуществления настоящего изобретения.FIG. 4 is a schematic diagram, through simplified flowcharts, of the operation sequences of various elements that work together to implement a secure authentication method according to the aforementioned embodiment of the present invention.

Подробное описание изобретенияDETAILED DESCRIPTION OF THE INVENTION

Со ссылкой на чертежи, чисто иллюстративный и ни в коей мере не ограничивающий сценарий, согласно которому соответствующий варианту осуществления настоящего изобретения способ защищенной аутентификации пользователя может быть реализован, показан на фиг.1. Распределенная система обработки данных, по всем материалам заявки обозначаемая ссылочным номером 100, содержит частную локальную компьютерную сеть 105, например локальную сеть (LAN), в частности, но не в ограничительном смысле, сеть Ethernet, городскую сеть (MAN) или глобальную сеть (WAN), образующую вычислительную инфраструктуру организации, например предприятия или агентства общественной администрации, при этом конкретный тип локальной компьютерной сети 105 абсолютно не важен для целей настоящего изобретения.With reference to the drawings, a purely illustrative and in no way limiting scenario according to which a secure user authentication method according to an embodiment of the present invention can be implemented is shown in FIG. A distributed data processing system, denoted by reference number 100 for all application materials, contains a private local area network network 105, for example a local area network (LAN), in particular, but not limited to, an Ethernet network, metropolitan area network (MAN) or wide area network (WAN) ), forming the computing infrastructure of an organization, for example, an enterprise or public administration agency, while the particular type of local area network 105 is absolutely not important for the purposes of the present invention.

В наиболее общих понятиях, частная локальная компьютерная сеть 105 содержит один или более компьютеров-серверов 110, показанных на чертеже, которые предоставляют конкретные услуги множеству компьютеров-клиентов, таких как компьютеры-клиенты 115a и 115b, показанные на чертеже, причем различные компьютеры подсоединены к инфраструктуре 120 обмена данным, посредством чего эти различные компьютеры могут сообщаться между собой. Возможности по обработке данных различных компьютеров частной локальной сети 105 могут варьироваться в значительной степени: сетевые компьютеры-клиенты 115a, 115b являются, например, персональными компьютерами, в частности переносными компьютерами, такими как ноутбуки, или рабочими станциями, эксплуатируемыми персоналом организации, например, служащими для выполнения соответствующих обязанностей; компьютер-сервер 110 может быть надлежащим образом сконфигурированным персональным компьютером, рабочей станцией или даже большой ЭВМ (мейнфреймом). Услуги, предоставляемые компьютером-сервером 110 компьютерам-клиентам 115a, 115b, могут включать в себя хранение электронных файлов (файловый сервер), услуги прикладного программного обеспечения (сервер приложений), услуги управления базами данных (сервер баз данных), услуги обмена электронными сообщениями (электронная почта) и любые другие возможные услуги; хотя конкретный тип услуги или услуг, предоставляемых компьютером(ами)-сервером(ами) частной локальной сети 105, не является существенным для настоящего изобретения, в дальнейшем, исключительно в качестве примера, будет предполагаться, что компьютер-сервер 110 выступает в роли почтового сервера для частной локальной сети 105.In most general terms, a private local area network 105 comprises one or more server computers 110 shown in the drawing, which provide specific services to a plurality of client computers, such as client computers 115a and 115b shown in the drawing, with various computers connected to a data exchange infrastructure 120, whereby these various computers can communicate with each other. The processing capabilities of the various computers on the private LAN 105 can vary greatly: the network client computers 115a, 115b are, for example, personal computers, in particular laptop computers, such as laptops, or workstations operated by company personnel, for example, employees to carry out relevant duties; server computer 110 may be a properly configured personal computer, workstation, or even a mainframe. The services provided by the server computer 110 to the client computers 115a, 115b may include storing electronic files (file server), application software services (application server), database management services (database server), electronic messaging services ( email) and any other possible services; although the particular type of service or services provided by the computer (s) -server (s) of the private LAN 105 is not essential for the present invention, hereinafter, solely as an example, it will be assumed that the server computer 110 acts as a mail server for a private LAN 105.

Частная локальная сеть 105 также содержит шлюз 125, например модем/маршрутизатор ISDN (цифровой сети связи с комплексными услугами) или XDSL (цифровой абонентской линии), сопрягающий частную локальную сеть 105 с точкой доступа 130а к внешней компьютерной сети 135; в дальнейшем будет предполагаться, что внешняя компьютерная сеть 135 является открытой сетью, в частности Интернет (и таким образом, по существу, незащищенной сетью), хотя это не следует трактовать в ограничительном смысле в отношении настоящего изобретения; таким образом, точка доступа 130а является, например, поставщиком услуг соединения с Интернет (ISP).Private LAN 105 also includes a gateway 125, such as an ISDN (Digital Integrated Services Network) modem / router or XDSL (Digital Subscriber Line) modem / router, connecting private LAN 105 with access point 130a to external computer network 135; it will hereinafter be assumed that the external computer network 135 is an open network, in particular the Internet (and thus a substantially unprotected network), although this should not be construed in a limiting sense with respect to the present invention; thus, access point 130a is, for example, an Internet connection service provider (ISP).

Компьютер 140 удаленного пользователя, например переносной компьютер, также соединен (выполнен с возможностью соединения) с Интернет 135 через точку доступа 130b, которая может совпадать с точкой доступа (ISP) 130а или, в более общем случае, она может быть другой точкой доступа, расположенной в другой географической области, либо эти две точки доступа 103а и 103b могут быть разными точками присутствия (РОР) одного и того же ISP. С этой целью компьютер использует, например, модем (например, модем ISDN) и коммутируемое соединение, либо модем XDSL и соединение XDSL с точкой доступа 130b, либо соединение беспроводной LAN (WLAN) с точкой доступа 130b (такое как соединение Wi-Fi (верность беспроводной передачи информации), вид доступа к Интернет, который становится все более популярным в таких местах, как гостиницы и аэропорты).Remote user computer 140, such as a laptop computer, is also connected (configured to connect) to the Internet 135 via an access point 130b, which may coincide with an access point (ISP) 130a, or, more generally, it may be another access point located in another geographic area, or the two access points 103a and 103b may be different points of presence (POP) of the same ISP. For this purpose, the computer uses, for example, a modem (for example, an ISDN modem) and a dial-up connection, or an XDSL modem and an XDSL connection with an access point 130b, or a wireless LAN (WLAN) connection with an access point 130b (such as a Wi-Fi connection (fidelity wireless transmission of information), a type of Internet access that is becoming increasingly popular in places such as hotels and airports).

Удаленный пользователь ПОЛЬЗОВАТЕЛЬа компьютера 140 является, например, служащим предприятия-владельца частной локальной сети 105 и желает осуществить доступ к частной локальной сети своего работодателя и использовать услуги, предоставляемые ее компьютером(ами)-сервером(ами) 110, из удаленного местоположения, то есть не будучи непосредственно подсоединенным к локальной сети 105, через внешнюю (открытую) сеть 135; описанная ситуация может иметь место, например, когда находящийся вне офиса служащий, будучи в командировке или даже в отпуске, желает осуществить доступ к почтовому серверу 110 предприятия для проверки персонального почтового ящика электронной почты на предмет, возможно, поступивших новых, важных сообщений.The remote user of the USER of the computer 140 is, for example, an employee of the owner of the private local network 105 and wants to access the private local network of his employer and use the services provided by his computer (s) -server (s) 110, from a remote location, i.e. not being directly connected to the local network 105, through an external (open) network 135; the described situation can occur, for example, when an employee who is outside the office, while on a business trip or even on vacation, wants to access the company's mail server 110 to check the personal e-mail mailbox for possible new important messages.

Предполагается, что для доступа к частной локальной сети 105, в частности к почтовому серверу 110, удаленному пользователю требуется аутентифицировать себя во избежание мошеннического доступа к частным почтовым ящикам электронной почты. Частную локальную сеть 105 таким образом можно рассматривать как сайт с защищенным доступом в пределах Интернет. Следует указать, что это просто является примером и способ аутентификации, который будет описан далее, имеет весьма общую применимость; в этом отношении удаленный пользователь ПОЛЬЗОВАТЕЛЬа может быть любым уполномоченным (авторизованным) пользователем услуг, предоставляемых частной локальной сетью, таким как заказчик владельца частной локальной сети 105, желающий, например, инспектировать состояние размещенных заказов на приобретение.It is assumed that in order to access the private local area network 105, in particular the mail server 110, the remote user needs to authenticate himself in order to avoid fraudulent access to private email inboxes. Private LAN 105 can thus be regarded as a site with secure access within the Internet. It should be noted that this is just an example and the authentication method that will be described later has very general applicability; in this regard, the remote user of the USER can be any authorized (authorized) user of the services provided by the private local network, such as the customer of the owner of the private local network 105, who wants, for example, to inspect the status of placed purchase orders.

Согласно варианту осуществления настоящего изобретения в целях аутентификации удаленный пользователь ПОЛЬЗОВАТЕЛЬа оснащен парой идентификационных модулей абонента, в частности, но не в ограничительном смысле, модулями идентификации абонента (SIM) типа, используемого в целях аутентификации в сотовых цифровых телефонных системах (DCS) или общедоступных наземных сетях мобильной связи (PLMN), таких как широко распространенные сотовые сети телефонной связи Глобальной Системы Мобильной Связи (GSM), или их известные расширения, такие как сети с общей службой пакетной радиопередачи (GPRS) (которая фактически является подсетью сети GSM), либо сети Универсальной Системы Мобильных Телекоммуникаций (UMTS) (широкополосной сотовой системы связи третьего поколения) или основывающаяся на спутниковой связи сеть мобильной связи.According to an embodiment of the present invention, for authentication purposes, the remote USER user is equipped with a pair of subscriber identity modules, in particular, but not limited to, subscriber identity modules (SIM) of the type used for authentication in cellular digital telephone systems (DCS) or public terrestrial networks mobile communications (PLMN), such as the widespread cellular telephone networks of the Global System for Mobile Communications (GSM), or their well-known extensions, such as networks with General Packet Radio Service (GPRS) (which is actually a subnet of the GSM network), or the Universal Mobile Telecommunications System (UMTS) network (third-generation broadband cellular communication system) or a satellite-based mobile network.

Как известно из уровня техники, обычно SIM имеет форму карточки (размера кредитной карточки или меньшего размера, в зависимости от масштаба миниатюризации терминала пользователя) со встроенными компонентами интегральной схемы, в частности, хранящими персональные данные, которые поддерживают аутентификацию SIM, а также шифрование и дешифрование. По меньшей мере, к настоящему моменту использование SIM (и основывающейся на SIM процедуры аутентификации) для идентификации связанного с ним мобильного терминала оказалось надежным путем для недопущения использования данного терминала другими устройствами вместо себя, тем самым обеспечивая защищенный аутентифицированный доступ к, например, счету, соответствующему этому конкретному пользователю.As is known from the prior art, usually a SIM is in the form of a card (credit card size or smaller, depending on the scale of miniaturization of the user terminal) with integrated components of the integrated circuit, in particular, storing personal data that supports SIM authentication, as well as encryption and decryption . At least to date, the use of SIM (and SIM-based authentication procedures) to identify the associated mobile terminal has proven to be a reliable way to prevent other devices from using the terminal in their place, thereby providing secure, authenticated access to, for example, an account corresponding to this particular user.

Первый SIM SIMa из пары модулей SIM пользователя функционально связан (с возможностью отсоединения) с компьютером 140 удаленного пользователя; например, первый SIM SIMa встроен в периферийное устройство компьютера, которое может быть в рабочем состоянии подключено к компьютеру 140, так чтобы быть функционально доступным с его стороны, например аппаратный ключ 145, подключаемый к порту (в явном виде на фиг.1 не показан) компьютера 140, например его порту универсальной последовательной шины (USB) или порту стандарта Международной ассоциации производителей плат памяти для персональных компьютеров (PCMCIA), либо посредством периферийного устройства типа считывателя смарт-карт, которое выполнено с возможностью взаимодействия с SIM, либо первый SIM SIMa может быть встроен в карту памяти, которая затем может быть функционально подключена к компьютеру 140 посредством считывателя карт памяти. Следует отметить, что конкретный путь, которым первый SIM SIMa функционально связывается с компьютером 140, не является ограничением настоящего изобретения, и в общем достаточно того, что первый SIM SIMa функционально связан с компьютером 140 (образом, подходящим для обеспечения возможности обмена данными между компьютером 140 и SIM SIMa) посредством любого типа устройства-адаптера/считывателя, подключенного к компьютеру через любой тип периферийного порта.The first SIM SIMa of the pair of user SIM modules is functionally connected (with the possibility of disconnection) with the remote user computer 140; for example, the first SIM SIMa is integrated into the peripheral device of the computer, which can be connected to the computer 140 in an operational state so as to be functionally accessible from its side, for example, a hardware key 145 connected to the port (not shown explicitly in FIG. 1) computer 140, for example, its port of the universal serial bus (USB) or the standard port of the International Association of manufacturers of memory cards for personal computers (PCMCIA), or through a peripheral device such as a smart card reader, which is performed with the ability to interact with SIM, either the first SIM SIMa can be integrated into a memory card, which can then be functionally connected to the computer 140 via a memory card reader. It should be noted that the specific way in which the first SIM SIMa is functionally connected to the computer 140 is not a limitation of the present invention, and it is generally sufficient that the first SIM SIMa is functionally connected to the computer 140 (in a manner suitable for allowing data exchange between the computer 140 and SIM SIMa) through any type of adapter / reader device connected to the computer through any type of peripheral port.

Второй SIM SIMb вставлен (с возможностью извлечения) в мобильный телефон/коммуникационный терминал 150 пользователя, такой как мобильный телефон, приспособленный для использования в сети мобильной связи (например, PLMN) 155, такой как сотовая сеть телефонной связи GSM, сеть GPRS или сеть UMTS, эксплуатируемая оператором 160 сети GSM (или GPRS, или UMTS).A second SIM SIMb is inserted (removably) into a user’s mobile phone / communication terminal 150, such as a mobile phone adapted for use in a mobile communication network (eg, PLMN) 155, such as a GSM cellular telephone network, GPRS network, or UMTS network operated by the operator 160 of the GSM network (or GPRS, or UMTS).

Согласно варианту осуществления настоящего изобретения существует однозначное соответствие между первым и вторым модулями SIM SIMa и SIMb, а также между этими двумя модулями SIM и пользователем ПОЛЬЗОВАТЕЛЬа, в том смысле, что орган, выдающий эти два модуля SIM, обычно, но вовсе не обязательно, оператор GSM, не только рассматривает каждый из этих двух модулей SIM как ассоциированный с этим конкретным пользователем-абонентом ПОЛЬЗОВАТЕЛЬа, но дополнительно два модуля SIMa и SIMb рассматриваются как ассоциированные друг с другом. Следует указать, что хотя согласно описываемому здесь варианту осуществления настоящего изобретения рассматривается единственный оператор 160 сети GSM, это не следует считать ограничением настоящего изобретения: различные операторы сети GSM (или GPRS, или UMTS) могут сотрудничать при предоставлении услуги защищенной аутентификации пользователя, при условии, что гарантирована вышеупомянутая ассоциация между двумя модулями SIM и между парой модулей SIM и пользователем.According to an embodiment of the present invention, there is an unambiguous correspondence between the first and second SIM modules SIMa and SIMb, as well as between these two SIM modules and the USER user, in the sense that the authority issuing these two SIM modules is usually, but not necessarily, an operator GSM, not only considers each of these two SIM modules as associated with this particular USER user, but additionally two SIMa and SIMb modules are considered to be associated with each other. It should be noted that although the only operator 160 of the GSM network is considered in accordance with an embodiment of the present invention described here, this should not be considered a limitation of the present invention: various GSM network operators (or GPRS or UMTS) can cooperate in providing a secure user authentication service, provided that that the above association between two SIM modules and between a pair of SIM modules and a user is guaranteed.

В более общем случае достаточно, чтобы поддерживалась (в некотором типе базы данных, управляемой, например, оператором сети GSM) взаимосвязь между данными первого SIM SIMa и идентификационными данными (например, телефонным номером), позволяющими достичь мобильного коммуникационного терминала пользователя, который связан со вторым SIM SIMb.In a more general case, it is enough to maintain (in a certain type of database managed, for example, by a GSM network operator) the relationship between the data of the first SIM SIMa and the identification data (for example, a phone number) that allows reaching the mobile communication terminal of the user who is connected with the second SIM SIMb.

Также на чертеже показан аутентификационный компьютер-сервер 165 (в более общем случае, аутентификационная система обработки данных, содержащая, например, сеть компьютеров), осуществляющий управление (по меньшей мере, частично) двухэтапной процедурой аутентификации пользователя на основе двух модулей SIM SIMa и SIMb, которая подробно описывается в дальнейшем. В наиболее общих понятиях, аутентификационный компьютер-сервер 165 соединен с Интернет 135 и согласно иллюстрируемому примеру является частью оператора 160 сети GSM (в каковом случае услуга аутентификации является одной из услуг, предоставляемых оператором сети GSM), хотя в общем аутентификационный компьютер-сервер 165 не является необходимой частью оператора 160 сети GSM, достаточно того, чтобы он осуществлял с ним связь (по защищенной линии связи, такой как, например, виртуальная частная сеть (VPN)).The drawing also shows an authentication computer server 165 (in a more general case, an authentication data processing system containing, for example, a network of computers) that controls (at least partially) a two-step user authentication procedure based on two SIM modules SIMa and SIMb, which is described in detail later. In its most general terms, the authentication server computer 165 is connected to the Internet 135 and, according to the illustrated example, is part of the GSM network operator 160 (in which case the authentication service is one of the services provided by the GSM network operator), although in general the authentication server computer 165 is not is a necessary part of the operator 160 of the GSM network, it is enough that he communicates with him (over a secure communication line, such as, for example, a virtual private network (VPN)).

Фиг.2 схематически иллюстрирует, в терминах функциональных блоков, для надлежащего понимания процедуры аутентификации согласно описываемой здесь процедуре аутентификации, оператора 160 сети GSM и аутентификационного компьютера-сервера 165.Figure 2 schematically illustrates, in terms of functional blocks, for a proper understanding of the authentication procedure according to the authentication procedure described here, the GSM network operator 160 and the authentication server computer 165.

Аутентификационный компьютер-сервер 165 выполнен с возможностью осуществления основывающейся на SIM аутентификации удаленного компьютера 140. Как описано во вводной части настоящего описания, основывающийся на SIM механизм аутентификации терминала обработки данных пользователя, такого как удаленный компьютер 140, как таковой известен, и пример структуры, позволяющей реализовать такой механизм, приведен в ранее цитированной международной публикации WO 00/02406. Не вдаваясь в специфические подробности, аутентификационный компьютер-сервер 165 содержит аутентификационный сервер 200, который соединен как с Интернет, так и (через защищенное соединение 205) с сервером-посредником (прокси-сервером) 210, имеющим доступ к центру 215 аутентификации оператора 160 сети GSM, причем центр 215 аутентификации, в свою очередь, соединен с реестром местоположения собственных абонентов (HLR) оператора 160 сети GSM. Защищенное соединение 205 гарантируется, например, тем фактом, что аутентификационный сервер 200 размещается вблизи прокси-сервера 210. Центр 215 аутентификации представляет собой центр аутентификации сети GSM, который обычно отвечает за выполнение стандартных процедур аутентификации мобильных коммуникационных терминалов (мобильных телефонов), оснащенных SIM, таких как мобильный телефон 150, который желает соединиться с сетью 155 GSM. Прокси-сервер 210 обеспечивает возможность соединения между аутентификационным сервером 200 и сетью GSM, и, в частности, он маршрутизирует трафик между аутентификационным сервером 200 и центром 215 аутентификации GSM; прокси-сервер 210 выступает в роли виртуального реестра местоположения посещающих абонентов (VLR), не отличающийся для HLR оператора сети GSM от любого другого VLR сети GSM. Обмен 220 данными между прокси-сервером 210 и центром 215 аутентификации GSM может осуществляться по сети согласно сигнализации стандарта SS7, используемой оператором сети GSM. С аутентификационным сервером 200 ассоциирована база 225 данных, используемая для хранения аутентификационных данных пользователя во время процедуры аутентификации.The authentication computer server 165 is configured to implement SIM-based authentication of the remote computer 140. As described in the introduction to the present description, the SIM-based authentication mechanism of the user data terminal, such as the remote computer 140, is known per se, and an example structure allowing to implement such a mechanism is given in the previously cited international publication WO 00/02406. Without going into specific details, the authentication computer server 165 includes an authentication server 200 that is connected to both the Internet and (via a secure connection 205) with a mediation server (proxy server) 210 that has access to the authentication center 215 of the network operator 160 GSM, and the authentication center 215, in turn, is connected to the own subscriber location register (HLR) of the GSM network operator 160. A secure connection 205 is guaranteed, for example, by the fact that the authentication server 200 is located near the proxy server 210. The authentication center 215 is a GSM network authentication center, which is usually responsible for performing standard authentication procedures for SIM-equipped mobile communication terminals (mobile phones), such as a mobile phone 150 that wishes to connect to a GSM network 155. The proxy server 210 provides connectivity between the authentication server 200 and the GSM network, and in particular, it routes traffic between the authentication server 200 and the GSM authentication center 215; proxy server 210 acts as a virtual register of the location of visiting subscribers (VLR), not different for the HLR of the GSM network operator from any other VLR of the GSM network. Data exchange 220 between the proxy server 210 and the GSM authentication center 215 can be performed over the network according to the SS7 standard signaling used by the GSM network operator. An authentication database 200 is associated with a database 225 used to store user authentication data during the authentication procedure.

Аутентификационный компьютер-сервер 165 также включает в себя сервер 230 ассоциирования SIM, который в соединении с базой 235 данных пар SIM, в которой хранится информация о парах модулей SIM, таких как пара модулей SIM SIMa и SIMb (или, проще говоря, идентификационные данные, например, номер мобильного телефона, соответствующий второму SIM SIMb, который ассоциирован с первым SIM SIMa), выполнен с возможностью идентификации одного SIM из заданной пары SIM, например второго SIM SIMb (или соответствующего ему номера мобильного телефона) на основе предоставляемой аутентификационным сервером 200 информации, идентифицирующей другой SIM из пары, первый SIM SIMa согласно рассматриваемому примеру. Сервер 230 ассоциирования SIMa осуществляет связь с агентом 235 генерации паролей, генерирующим пароли (предпочтительно однократно используемые), подлежащие отправке по сети 155 GSM на мобильный телефон 150 пользователя, например, в форме сообщения службы коротких сообщений (SMS), подготавливаемого агентом-компоновщиком 245 SMS. Сообщение доставляется намеченному получателю центром 250 услуги обмена сообщениями оператора 160 сети GSM, например SMS-центром или центром услуги обмена мультимедийными сообщениями (MMS), для распространения текстовых или мультимедийных сообщений на терминалы абонентов сети 155 GSM. Альтернативно, пароли могут посылаться в форме MMS, либо они могут сообщаться пользователю посредством телефонных вызовов, например, с использованием голосового синтезатора. Агент 255 сравнения паролей предусмотрен для сравнения паролей, сгенерированных агентом 240 генерации паролей, с соответствующими ответными паролями, введенными пользователями и принятыми через Интернет 135, например, посредством аутентификационного сервера 200.The authentication computer server 165 also includes a SIM association server 230, which, in conjunction with a SIM pair database 235, which stores information about pairs of SIM modules, such as a pair of SIM modules SIMa and SIMb (or, more simply, identification data, for example, a mobile phone number corresponding to the second SIM SIMb, which is associated with the first SIM SIMa), is configured to identify one SIM from a given SIM pair, for example, a second SIM SIMb (or its corresponding mobile phone number) based on the provided authentication an ication server 200 of information identifying another SIM from the pair, the first SIM SIMa according to the considered example. The SIMa association server 230 communicates with a password generating agent 235 generating passwords (preferably once used) to be sent via the GSM network 155 to the user's mobile phone 150, for example, in the form of a short message service (SMS) message prepared by the SMS linker 245 . The message is delivered to the intended recipient by the messaging service center 250 of the GSM network operator 160, for example, the SMS center or the multimedia messaging service (MMS) service center, for distributing text or multimedia messages to the terminals of the subscribers of the GSM network 155. Alternatively, passwords can be sent in the form of MMS, or they can be communicated to the user via phone calls, for example, using a voice synthesizer. The password comparison agent 255 is provided for comparing passwords generated by the password generation agent 240 with corresponding response passwords entered by users and received via the Internet 135, for example, through an authentication server 200.

Следует отметить, что, по меньшей мере, некоторые из описанных выше функциональных блоков аутентификационного компьютера-сервера 165 могут быть реализованы и обычно реализуются в качестве комбинации аппаратного и программного обеспечения или даже полностью в качестве программного обеспечения.It should be noted that at least some of the functional blocks described above of the authentication server computer 165 can be implemented and are usually implemented as a combination of hardware and software, or even completely as software.

Фиг.3 - упрощенное представление содержимого рабочей памяти 300 (например, ОЗУ) удаленного компьютера 140 во время процесса аутентификации. Программный модуль 305 графического интерфейса пользователя (GUI) обеспечивает возможность простого взаимодействия пользователя ПОЛЬЗОВАТЕЛЬа с компьютером 140 через обычные периферийные устройства ввода/вывода компьютера, которые схематически показаны как блок 310 и включают в себя монитор, клавиатуру и координатно-указательное устройство. Программный модуль 315 USB-драйвера обеспечивает возможность взаимодействия с периферийными устройствами USB, в рассматриваемом примере USB-ключом 145 со встроенным в него первым SIM SIMa. Программный модуль 320 драйвера модема обеспечивает возможность осуществления связи с модемом 325 (например, ISDN или XDSL), используемым для соединения с точкой 130b доступа; модуль драйвера модема управляет низкоуровневыми деталями связи. Программный модуль 330 связи с Интернет управляет, напротив, высокоуровневыми деталями связи через Интернет, например деталями, относящимися к межсетевому протоколу (IP). Блок 335 схематически показывает программное приложение, исполняющееся на компьютере 140, которое, как предполагается, запрашивает услуги у защищенного сайта, предоставляющего выборочный доступ к упомянутым услугам, обуславливаемый предварительной аутентификацией пользователя; например, приложение 335 представляет собой программное обеспечение клиента электронной почты (например, Outlook или Outlook Express от компании Microsoft, Eudora, LotusNotes), которое пользователь ПОЛЬЗОВАТЕЛЬа компьютера 140 запустил для доступа к персональному почтовому ящику электронной почты, который содержится на почтовом сервере 110. Блок 340, напротив, схематически иллюстрирует клиентское программное приложение аутентификации, которое вызывается на компьютере 140, например, в ответ на запрос аутентификации от почтового сервера 110, с целью управления той частью процедуры аутентификации, которая является локальной для компьютера 140, что в деталях описывается в дальнейшем. Схематически, клиент 340 аутентификации содержит агент 345 осуществления диалога с SIM в USB-ключе 145, и модуль 350 извлечения и направления пароля для извлечения, например, введенного пользователем пароля, введенного, например, посредством клавиатуры, и направления введенного пароля на модуль 330 связи с целью отправки пароля на аутентификационный компьютер-сервер 165 через Интернет 135.Figure 3 is a simplified representation of the contents of the working memory 300 (e.g., RAM) of the remote computer 140 during the authentication process. A graphical user interface (GUI) program module 305 enables the user to easily interact with the computer 140 through conventional computer peripheral input / output devices, which are schematically shown as a block 310 and include a monitor, keyboard, and pointing device. The USB driver software module 315 provides the ability to interact with USB peripherals, in this example, a USB key 145 with a first SIM SIMa integrated therein. The modem driver software module 320 enables communication with a modem 325 (eg, ISDN or XDSL) used to connect to the access point 130b; the modem driver module manages the low-level communication details. Software module 330 Internet communications controls, on the contrary, the high-level details of communication over the Internet, for example, details related to the Internet Protocol (IP). Block 335 schematically shows a software application running on computer 140 that is supposed to request services from a secure site that provides selective access to these services, driven by user pre-authentication; for example, application 335 is an e-mail client software (for example, Outlook or Outlook Express from Microsoft, Eudora, LotusNotes), which the user of the USER of computer 140 has launched to access the personal e-mail mailbox that is contained on the mail server 110. Block 340, on the contrary, schematically illustrates an authentication client software application that is invoked on computer 140, for example, in response to an authentication request from mail server 110, in order to control that part th authentication procedure that is local to computer 140, which is described in detail hereinafter. Schematically, the authentication client 340 comprises a SIM dialogue agent 345 in the USB key 145, and a password extraction and direction module 350 for extracting, for example, a user-entered password, entered, for example, via a keyboard, and forwarding the password entered to the communication module 330 the purpose of sending the password to the authentication computer server 165 via the Internet 135.

Как можно видеть, все программные модули заранее установлены в компьютер 140 и при вызове функционируют поверх операционной системы компьютера, которая в явном виде не показана на чертеже. В частности, программное обеспечение 340 клиента аутентификации, которое может быть установлено либо с физического носителя, такого как дискета, CD-ROM или DVD-ROM, либо путем загрузки его с подходящего файлового сервера (например, посредством сеанса протокола передачи файлов (FTP)), может в некоторых случаях принимать форму встраиваемого модуля для уже существующего запрашивающего услуги приложения 335, например встраиваемого модуля для почтового клиента, такого как Microsoft Outlook, Microsoft Outlook Express, Eudora, LotusNotes, или для браузера, такого как Microsoft Internet Explorer или Netscape Communicator.As you can see, all program modules are pre-installed in the computer 140 and, when called, operate on top of the computer operating system, which is not shown explicitly in the drawing. In particular, authentication client software 340, which can be installed either from a physical medium, such as a floppy disk, CD-ROM or DVD-ROM, or by downloading it from a suitable file server (for example, via a file transfer protocol (FTP) session) , may in some cases take the form of a plug-in for an existing application-requesting service 335, for example a plug-in for an email client such as Microsoft Outlook, Microsoft Outlook Express, Eudora, LotusNotes, or for a browser such as Microsoft Internet Explorer or and Netscape Communicator.

Далее соответствующая варианту осуществления настоящего изобретения иллюстративная процедура аутентификации будет описана с помощью блок-схем последовательностей операций по фиг.4, рассматривая излагаемый в настоящее время сценарий.Next, an exemplary authentication procedure corresponding to an embodiment of the present invention will be described using the flowcharts of FIG. 4, considering the current scenario.

Предположим, что пользователь ПОЛЬЗОВАТЕЛЬа из местоположения, удаленного относительно частной локальной сети 105 работодателя, желает соединиться с почтовым сервером 110 для проверки персонального электронного почтового ящика. Пользователь ПОЛЬЗОВАТЕЛЬа устанавливает соединение с Интернет 135 (через точку доступа 130b), затем запускает клиент 335 электронной почты, который пытается осуществить доступ к почтовому серверу в частной локальной сети 105 (защищенному сайту - этап 401 на фиг.4). Почтовый сервер 110 принимает запрос доступа (этап 403) и перед предоставлением доступа удаленному компьютеру 140, а точнее исполняющемуся в нем клиенту 335 электронной почты), начинает процедуру аутентификации посредством выдачи запроса аутентификации на компьютер 140. Затем почтовый сервер 110 ожидает подтверждение аутентификации (этап 405), которое должно быть принято от аутентификационного компьютера-сервера 165.Suppose a USER user from a location remote from the employer's private LAN 105 wishes to connect to the mail server 110 to check a personal electronic mail box. The USER user establishes a connection to the Internet 135 (via the access point 130b), then launches the email client 335, which attempts to access the mail server on the private LAN 105 (secure site - step 401 in figure 4). The mail server 110 accepts the access request (step 403) and before granting access to the remote computer 140, or rather the email client 335 executing therein), starts the authentication procedure by issuing an authentication request to the computer 140. Then, the mail server 110 waits for authentication confirmation (step 405 ), which must be received from the authentication server computer 165.

Процедура аутентификации состоит из двух фаз аутентификации: первая фаза аутентификации обеспечивает основывающуюся на SIM аутентификацию компьютера 140, выполняемую на основе способа аутентификации, выполняемого в сети 155 GSM для аутентификации мобильных телефонов пользователей. После аутентификации компьютера 140 вторая фаза аутентификации обеспечивает аутентификацию (персональную идентификацию или распознавание) пользователя ПОЛЬЗОВАТЕЛЬа компьютера 140.The authentication procedure consists of two phases of authentication: the first phase of authentication provides SIM-based authentication of the computer 140, based on the authentication method performed on the GSM network 155 to authenticate user mobile phones. After authentication of the computer 140, the second authentication phase provides authentication (personal identification or recognition) of the user of the USER computer 140.

Для понимания деталей основывающейся на SIM процедуры аутентификации компьютера 140 будет полезным сделать краткий обзор того, как обычно выполняется аутентификация мобильных телефонов в сети GSM.In order to understand the details of the SIM-based authentication procedure of the computer 140, it will be useful to give a brief overview of how GSM mobile phones are typically authenticated.

Когда мобильный телефон пользователя, например мобильный телефон 150 пользователя ПОЛЬЗОВАТЕЛЬа, пытается соединиться с сетью GSM, такой как сеть 155 GSM, центр 215 аутентификации оператора 160 сети GSM запрашивает мобильный телефон 150 предоставить соответствующий международный опознавательный код абонента мобильной связи (IMSI), который представляет собой девятибайтовый идентификационный код, хранящийся в SIM SIMb мобильного телефона. В ответ мобильный телефон 150 предоставляет оператору 160 сети GSM запрошенный идентификационный код IMSI. Центр 215 аутентификации использует принятый код IMSI для генерации так называемого триплета аутентификации, составленного из “опознавательного запроса”, “подписанного ответа” и ключа шифрования; опознавательный запрос представляет собой шестнадцатибайтовое случайное значение, ключ шифрования представляет собой специфический для конкретного соединения ключ шифрования, используемый в сети 155 GSM, а подписанный ответ (в дальнейшем называемый просто ответом) представляет собой четырехбайтовое значение, которое выводится из опознавательного запроса, используя специфический ключ шифрования. Центр 215 аутентификации затем посылает опознавательный запрос на мобильный телефон 150; на основе опознавательного запроса, принятого от центра 215 аутентификации, SIM SIMb телефона генерирует ответ и ключ шифрования: ключ сохраняется в SIM SIMb, в то время как ответ передается обратно в центр 215 аутентификации. Центр 215 аутентификации сравнивает принятый ответ с локально сгенерированным ответом (подписанным ответом, сгенерированным в процессе генерирования), и если эти два ответа совпадают, аутентификация SIM SIMb завершается успешно.When a user’s mobile phone, for example, a USER’s mobile phone 150, attempts to connect to a GSM network, such as a GSM network 155, the authentication center 215 of the GSM network operator 160 requests the mobile phone 150 to provide a corresponding international mobile subscriber identity code (IMSI), which is A nine-byte identification code stored in the SIM SIMb of the mobile phone. In response, the mobile phone 150 provides the GSM operator 160 with the requested IMSI. The authentication center 215 uses the received IMSI code to generate the so-called authentication triplet composed of an “authentication request”, a “signed response” and an encryption key; the authentication request is a sixteen-byte random value, the encryption key is a connection-specific encryption key used in the GSM network 155, and the signed response (hereinafter referred to simply as the response) is a four-byte value that is derived from the authentication request using a specific encryption key . The authentication center 215 then sends an authentication request to the mobile phone 150; Based on the authentication request received from the authentication center 215, the SIM of the telephone generates a response and an encryption key: the key is stored in the SIM SIMb, while the response is transmitted back to the authentication center 215. The authentication center 215 compares the received response with the locally generated response (the signed response generated during the generation process), and if the two responses match, SIM SIMb authentication succeeds.

Возвращаясь обратно к фиг.4, удаленный компьютер 140 принимает запрос аутентификации от почтового сервера (этап 409); это приводит к активации клиента 340 аутентификации, например, посредством скрипта, включенного в Web-страницу, загруженную в удаленный компьютер 140, когда этот компьютер обращается к почтовому серверу 110, и соединение удаленного компьютера 140 с почтовым сервером подлежит переадресации к аутентификационному серверу 200 в аутентификационном компьютере-сервере 165; таким образом удаленный компьютер 140 контактирует с аутентификационным сервером 200 и предоставляет ему свой IP-адрес, запрашивая аутентификационный сервер 200 защищенным образом аутентифицировать пользователя ПОЛЬЗОВАТЕЛЬа (и дать подтверждение аутентификации почтовому серверу 110) (этап 411). Аутентификационный сервер 200 принимает запрос аутентификации от компьютера 140 совместно с его IP-адресом, который будет использоваться для идентификации компьютера 140 для почтового сервера (этап 413).Returning back to FIG. 4, the remote computer 140 receives an authentication request from the mail server (step 409); this leads to activation of the authentication client 340, for example, by means of a script included in a web page downloaded to the remote computer 140 when the computer accesses the mail server 110, and the connection of the remote computer 140 to the mail server must be redirected to the authentication server 200 in the authentication server computer 165; thus, the remote computer 140 contacts the authentication server 200 and provides it with its IP address, requesting the authentication server 200 to authenticate the USER user securely (and give authentication confirmation to the mail server 110) (step 411). The authentication server 200 receives the authentication request from the computer 140 together with its IP address, which will be used to identify the computer 140 for the mail server (step 413).

Основывающаяся на SIM аутентификация компьютера 140 (первая фаза процедуры аутентификации) аналогична ранее изложенной аутентификации мобильного телефона 150 для соединения с сетью 155 GSM, за исключением того, что в этом случае данные частично переносятся через Интернет 135 (в более общем случае, открытую компьютерную сеть), а не только через сеть 155 GSM.SIM-based authentication of the computer 140 (first phase of the authentication procedure) is similar to the previously described authentication of the mobile phone 150 to connect to the GSM network 155, except that in this case the data is partially transferred via the Internet 135 (more generally, an open computer network) , and not just through the 155 GSM network.

Аутентификационный сервер 200 выдает (этап 415) на компьютер 140 запрос на идентификационные данные первого SIM SIMa аутентификационной пары SIM, а именно SIM, функционально связанного с компьютером 140. Клиент 340 аутентификации принимает этот запрос, а затем осуществляет доступ к первому SIM SIMa, встроенному в USB-ключ 145, для чтения из него идентификационных данных, таких как IMSI (этап 417). Если клиент 340 аутентификации не может найти какой-либо SIM, присоединенный к компьютеру 140, может быть сгенерировано сообщение пользователю ПОЛЬЗОВАТЕЛЬа, запрашивающее подключить несущее SIM периферийное устройство к компьютеру 140 или вставить первый SIM SIMa в подходящий считыватель. Клиент 340 аутентификации затем посылает идентификационные данные, считанные с первого SIM SIMa, на аутентификационный сервер (этап 419).The authentication server 200 issues (step 415) to the computer 140 a request for the credentials of the first SIM SIMa of the SIM authentication pair, namely, the SIM functionally connected to the computer 140. The authentication client 340 receives this request and then accesses the first SIM SIMa embedded in USB dongle 145 to read identification data from it, such as IMSI (step 417). If the authentication client 340 cannot find any SIM attached to the computer 140, a message to the USER user may be generated requesting to connect the SIM-bearing peripheral device to the computer 140 or insert the first SIM SIMa into a suitable reader. The authentication client 340 then sends the credentials read from the first SIM SIMa to the authentication server (step 419).

Для аутентификации первого SIM SIMa аутентификационный сервер 200 представляет идентификационные данные первого SIM, принятые от компьютера 140, центру 215 аутентификации GSM, относящемуся к оператору 160 GSM (этап 421). С этой целью виртуальный VLR используется для установления соединения между аутентификаицонным сервером 200 и центром 215 аутентификации GSM. Аутентификационный сервер 200 посылает виртуальному VLR 210 сообщение запроса аутентификации, содержащее принятые от компьютера 140 идентификационные данные (IMSI) первого SIM SIMa, подлежащего аутентификации. Виртуальный VLR 210 посылает в центр 215 аутентификации GSM надлежащим образом отформатированное запросное сообщение (например, сообщение, соответствующее протоколу прикладной части мобильной связи (МАР)) для запрашивания центра 215 аутентификации GSM выдать триплет аутентификации. Центр 215 аутентификации GSM принимает это запросное сообщение, содержащее IMSI первого SIM SIMa, и отвечает генерацией (этап 423) триплета аутентификации, полностью аналогичного используемым для регистрации мобильных телефонов в сети 155 GSM и составленного из опознавательного запроса, ответа и ключа шифрования, и отправкой этого триплета аутентификации (этап 425) в виртуальный VLR 210 в аутентификационном компьютере-сервере 165. Триплет аутентификации посылается виртуальным VLR 210 на аутентификационный сервер 200, который сохраняет триплет аутентификации (этап 427) и с этого момента функционирует в отношении первого SIM SIMa точно так же, как функционировал бы центр 215 аутентификации GSM в отношении подлежащего аутентификации мобильного телефона. Опознавательный запрос посылается через Интернет 135 на компьютер 140 (этап 427), на котором клиент 340 аутентификации направляет принятый опознавательный запрос на первый SIM SIMa (этап 429).For authentication of the first SIM SIMa, the authentication server 200 presents the first SIM identification data received from the computer 140 to the GSM authentication center 215 related to the GSM operator 160 (step 421). To this end, a virtual VLR is used to establish a connection between the authentication server 200 and the GSM authentication center 215. The authentication server 200 sends an authentication request message to the virtual VLR 210 containing the identification data (IMSI) of the first SIM SIMa to be authenticated from the computer 140. The virtual VLR 210 sends a properly formatted request message (e.g., a message corresponding to the Mobile Application Protocol (MAP)) to the GSM authentication center 215 to request the GSM authentication center 215 to issue an authentication triple. The GSM authentication center 215 receives this request message containing the IMSI of the first SIM SIM and responds by generating (step 423) an authentication triple that is completely similar to that used for registering mobile phones in the GSM network 155 and composed of the authentication request, response and encryption key, and sending this the authentication triplet (step 425) to the virtual VLR 210 in the authentication server computer 165. The authentication triplet is sent by the virtual VLR 210 to the authentication server 200, which stores the authentication triplet (step 427) and from that moment operates with respect to the first SIM SIMa in the same way as the GSM authentication center 215 with respect to the mobile phone to be authenticated. The authentication request is sent via the Internet 135 to the computer 140 (step 427), on which the authentication client 340 sends the received authentication request to the first SIM SIMa (step 429).

Когда первый SIM SIMa принимает опознавательный запрос, он генерирует ключ шифрования и ответ (этап 431); ключ шифрования сохраняется в первом SIM SIMa или клиенте 340 аутентификации (например, этот ключ должен использоваться для шифрования связи с защищенным сайтом через Интернет в будущем), а сгенерированный ответ посылается в обратном направлении клиентом 340 аутентификации на аутентификационный сервер 200 (этап 433).When the first SIM SIMa receives the authentication request, it generates an encryption key and a response (step 431); the encryption key is stored in the first SIM SIM or authentication client 340 (for example, this key should be used to encrypt communication with the secure site via the Internet in the future), and the generated response is sent back by the authentication client 340 to the authentication server 200 (step 433).

Когда аутентификационный сервер 200 принимает от клиента 340 аутентификации ответ, сгенерированный первым SIM SIMa (этап 435), принятый ответ сравнивается с ответом, скомпонованным в триплете аутентификации (этап 437). Если эти ответы не совпадают (выходная ветвь “НЕТ” этапа 439 ветвления), аутентификационный сервер 200 информирует защищенный сайт 110 (используя IP-адрес удаленного компьютера) о том, что аутентификация первого уровня завершилась неудачно (этап 441); если сервер 110 частной сети принимает такое сообщение (этап 443, выходная ветвь “ДА”), он отказывает компьютеру 140 пользователя (идентифицируемому соответствующим IP-адресом) в доступе к услугам (этап 445).When the authentication server 200 receives from the authentication client 340 the response generated by the first SIM SIM (step 435), the received response is compared with the response arranged in the authentication triple (step 437). If these answers do not match (output branch “NO” of the branch 439), the authentication server 200 informs the secure site 110 (using the IP address of the remote computer) that the first level authentication has failed (step 441); if the private network server 110 receives such a message (step 443, the output branch is “YES”), it denies the user computer 140 (identified by the corresponding IP address) access to the services (step 445).

Если же, напротив, эти два ответа совпадают (выходная ветвь “ДА” этапа 439 ветвления), сервер 230 ассоциирования SIM в аутентификационном компьютере-сервере 165 извлекает из базы 235 данных пар SIM информацию идентификации второго SIM SIMb пользователя, который ассоциирован с первым SIM SIMa пользователя (этап 447); например, идентифицируется номер мобильного телефона, соответствующий второму SIM SIMb, так чтобы обеспечить возможность обращения к пользователю посредством мобильного телефона 150 пользователя. Агент 240 генерации паролей затем генерирует пароль, подлежащий отправке удаленному пользователю ПОЛЬЗОВАТЕЛЬа через персональный мобильный телефон (этап 449). Компоновщик 245 SMS-сообщений затем составляет SMS-сообщение, подлежащее отправке на мобильный телефон пользователя ПОЛЬЗОВАТЕЛЬа и содержащее сгенерированный пароль, и посылает это сообщение на мобильный телефон 150 пользователя (этап 451); центр 240 SMS оператора 160 GSM доставляет данное SMS-сообщение на мобильный телефон 150 пользователя (этап 453).If, on the contrary, these two answers coincide (the output branch “YES” of the branching step 439), the SIM association server 230 in the authentication server computer 165 retrieves the second SIM user identification information associated with the first SIM SIM from the SIM pair database 235 user (step 447); for example, a mobile phone number corresponding to the second SIM SIMb is identified so as to allow access to the user via the mobile phone 150 of the user. The password generation agent 240 then generates a password to be sent to the remote USER user via a personal mobile phone (step 449). The SMS message composer 245 then composes an SMS message to be sent to the USER’s user’s mobile phone and containing the generated password, and sends this message to the user’s mobile phone 150 (step 451); the SMS center 240 of the GSM operator 160 delivers this SMS message to the user's mobile phone 150 (step 453).

Параллельно с этим клиент 340 аутентификации вызывает отображение сообщения приглашения пользователю ПОЛЬЗОВАТЕЛЬа компьютера 140 для предложения ему/ей ввести пароль, принятый через персональный мобильный телефон 150 (этап 455). При условии, что мобильный телефон 150 пользователя был предварительно зарегистрирован в сети GSM (обычным путем, изложенным выше), SMS-сообщение от аутентификационного компьютера-сервера 165 с паролем, подлежащим использованию для завершения процедуры аутентификации, принимается на мобильном телефоне 150 пользователя. Согласно варианту осуществления настоящего изобретения SMS-сообщение шифруется для повышения уровня защищенности.At the same time, the authentication client 340 causes the invitation message to be displayed to the user of the USER of the computer 140 to prompt him / her to enter the password received through the personal mobile phone 150 (step 455). Provided that the user's mobile phone 150 has been pre-registered in the GSM network (in the usual way described above), an SMS message from the authentication server computer 165 with the password to be used to complete the authentication procedure is received on the mobile phone 150 of the user. According to an embodiment of the present invention, the SMS message is encrypted to increase security.

Когда пользователь ПОЛЬЗОВАТЕЛЬа принимает пароль, он/она вводит пароль в компьютер 140 и клиент 340 аутентификации подтверждает введенный пароль и посылает его на аутентификационный сервер 200 через Интернет (этап 457). Следует отметить, что не является строго необходимым, чтобы пароль, введенный пользователем, совпадал с паролем, принятым на мобильном телефоне: на самом деле пользователь может быть оснащен устройством скремблирования (например, таблицей транскодирования), посредством которого для любого принятого пароля может быть получен скремблированный пароль.When the USER user accepts the password, he / she enters the password into the computer 140 and the authentication client 340 confirms the entered password and sends it to the authentication server 200 via the Internet (step 457). It should be noted that it is not strictly necessary that the password entered by the user matches the password received on the mobile phone: in fact, the user can be equipped with a scrambling device (for example, a transcoding table) by which a scrambled password can be obtained for any received password password.

Пароль принимается на аутентификационном сервере 200 (этап 459), и он сравнивается агентом 255 сравнения паролей с местным паролем (этап 461). Если эти два пароля не совпадают (выходная ветвь “НЕТ” этапа 463 ветвления), аутентификационный сервер 200 информирует сервер 110 защищенного сайта о том, что аутентификация второго уровня завершилась неудачно (этап 465); если сервер 110 принимает такое сообщение (этап 467, выходная ветвь “ДА”), он отказывает компьютеру 140 пользователя в доступе к услугам (этап 469). Если, напротив, эта два ответа совпадают (выходная ветвь “ДА” этапа 463 ветвления), аутентификация пользователя ПОЛЬЗОВАТЕЛЬа считается успешной и аутентификационный сервер 200 информирует сервер 110 защищенного сайта о том, что пользователь ПОЛЬЗОВАТЕЛЬа, уникально идентифицируемый конкретным IP-адресом, был успешно аутентифицирован (этап 471). Для предотвращения какого-либо мошенничества это подтверждение аутентификации аутентификационного сервера 200 для защищенного сайта 110 может быть сообщено через защищенное соединение 170 (представленное штрих-пунктиром) или зашифровано; например, виртуальная частная сеть (VPN) может быть установлена между сервером защищенного сайта, запрашивающим аутентификацию, и аутентификационным сервером.The password is received at the authentication server 200 (step 459), and it is compared by the password comparison agent 255 with the local password (step 461). If these two passwords do not match (output branch “NO” of the branching step 463), the authentication server 200 informs the secure site server 110 that the second level authentication has failed (step 465); if the server 110 receives such a message (step 467, the output branch is “YES”), it denies the user computer 140 access to the services (step 469). If, on the contrary, these two answers coincide (the output branch “YES” of the branch step 463), the USER user authentication is considered successful and the authentication server 200 informs the secure site server 110 that the USER user uniquely identified by the specific IP address has been successfully authenticated (step 471). To prevent any fraud, this authentication confirmation of the authentication server 200 for the secure site 110 may be communicated via secure connection 170 (represented by a dash-dot) or encrypted; for example, a virtual private network (VPN) can be established between the secure site server requesting authentication and the authentication server.

Когда сервер 110 защищенного сайта принимает такое подтверждение, он предоставляет доступ к услугам (этап 473), позволяя, например, клиенту 335 электронной почты осуществить доступ к персональному почтовому ящику пользователя ПОЛЬЗОВАТЕЛЬа. С этого момента аутентифицированный пользователь ПОЛЬЗОВАТЕЛЬа может использовать услуги, предлагаемые сервером 110.When the secure site server 110 receives this confirmation, it provides access to services (step 473), allowing, for example, the email client 335 to access the USER’s personal mailbox. From this moment, the authenticated USER user can use the services offered by the server 110.

Следует отметить, что вместо использования IP-адреса удаленного компьютера 140 в качестве пути идентификации компьютера на защищенном сайте и аутентификационном сервере (решение, которое может в некоторых случаях привести к некоторым проблемам, как, например, в случае, когда компьютер 140 соединяется с Интернет, проходя через прокси-сервер, или, в общем, всякий раз, когда соединение осуществляется через некоторое устройство, фильтрующее IP-адреса), могут быть задействованы другие решения, основывающиеся, например, на обмене идентификационными данными более высокого уровня по отношению к уровню IP, например, прикладного уровня.It should be noted that instead of using the IP address of the remote computer 140 as a way to identify the computer on a secure site and authentication server (a solution that can in some cases lead to some problems, such as, for example, when the computer 140 is connected to the Internet, passing through a proxy server, or, in general, whenever a connection is made through some device filtering IP addresses), other solutions based on, for example, the exchange of identification higher level data with respect to the IP layer, for example, the application layer.

Следует понимать, что описанная выше процедура аутентификации основывается на двухэтапном процессе аутентификации: первой, основывающейся на SIM, процедуре аутентификации для аутентификации удаленного компьютера 140 и второй процедуре аутентификации, также основывающейся на аутентификации SIM (аутентификации мобильного телефона пользователя для соединения с сетью GSM), посредством которой гарантируется подлинность пользователя (для получения доступа пользователь-мошенник вынужден будет не только завладеть первым SIM SIMa, но также и вторым SIM SIMb, вероятность чего считается весьма низкой). Также пароль (предпочтительно однократно используемый), необходимый для завершения аутентификации, сообщается пользователю по аутентифицированной и защищенной линии связи, такой как сеть GSM; для еще более высокого уровня защищенности может быть обеспечено шифрование пароля. Помимо этого, код в виде персонального идентификационного номера (PIN) может быть запрошен для пользователя для получения доступа к первому SIM SIMa, ассоциированному с компьютером 140, для еще большего повышения защищенности.It should be understood that the authentication procedure described above is based on a two-step authentication process: the first SIM-based authentication procedure for authenticating the remote computer 140 and the second authentication procedure also based on SIM authentication (user mobile phone authentication to connect to the GSM network), which guarantees the authenticity of the user (in order to gain access, a fraudulent user will have to not only take possession of the first SIM SIMa, but also the second SIM SIMb, the probability of which is considered very low). Also, the password (preferably once used) necessary to complete the authentication is communicated to the user via an authenticated and secure communication line, such as a GSM network; for an even higher level of security, password encryption can be provided. In addition, a personal identification number (PIN) code may be requested for the user to gain access to the first SIM SIM associated with the computer 140 to further increase security.

Согласно вышесказанному, для центра аутентификации GSM, служащего в качестве основы при аутентификации первого SIM SIMa, нет необходимости быть тем же самым центром аутентификации, который аутентифицирует второй SIM SIMb, при условии, что между этими двумя модулями SIM гарантирована взаимосвязь.According to the foregoing, for the GSM authentication center serving as the basis for the authentication of the first SIM SIM, there is no need to be the same authentication center that authenticates the second SIM SIMb, provided that the relationship between the two SIM modules is guaranteed.

Для повышения уровня защищенности транзакций данные, которыми осуществляется обмен между компьютером 140 и сервером 110 защищенного сайта, после того, как аутентификация завершена и доступ к желаемым услугам предоставлен, могут быть зашифрованы, например, используя тот же самый ключ шифрования, что был сгенерирован первым SIM SIMa.To increase the level of transaction security, the data exchanged between the computer 140 and the secure site server 110, after authentication is completed and access to the desired services is provided, can be encrypted, for example, using the same encryption key that was generated by the first SIM SIMa

Заявитель считает целесообразным отметить, что двухэтапный способ защищенной аутентификации согласно настоящему изобретению имеет весьма широкое применение, не ограничиваясь рассмотренным здесь иллюстративным сценарием. Например, данный способ можно использовать не только для аутентификации удаленного пользователя, осуществляющего доступ к частной локальной сети 105 через Интернет, но даже через прямое, коммутируемое соединение с частной локальной сетью.The applicant considers it appropriate to note that the two-step method of secure authentication according to the present invention has very wide application, not limited to the illustrative scenario discussed here. For example, this method can be used not only to authenticate a remote user accessing private local network 105 via the Internet, but even through a direct, dial-up connection to a private local network.

Способ защищенной аутентификации согласно настоящему изобретению можно использовать даже в случае, если доступ к частной локальной сети не осуществляется через незащищенную открытую сеть, такую как Интернет, но когда компьютер пользователя находится в пределах сети 105 или подсоединен к ней непосредственно, так что обычный логический вход пользователя становится защищенным: в этом случае внешняя сеть может быть задействована просто с целью осуществления связи с аутентификационным компьютером-сервером 165. Эта ситуация схематически изображена на фиг.1, на которой ссылочное обозначение ПОЛЬЗОВАТЕЛЬb обозначает локального пользователя частной локальной сети 105, например служащего предприятия-владельца частной локальной сети, который желает осуществить логический вход в сеть через один из ее компьютеров, например компьютер-клиент 100а, с целью использования услуг, сделанных доступными системой обработки данных предприятия (причем среди этих услуг может быть включено обеспечение возможности соединения с Интернет 135). Также как и удаленный пользователь ПОЛЬЗОВАТЕЛЬа, ПОЛЬЗОВАТЕЛЬb также обеспечивается парой модулей SIM: первым SIM (встроенным, например, в USB-ключ, приспособленный для считывания компьютером 110а) для основывающейся на SIM аутентификации компьютера, открывающего сеанс, и вторым SIM, подлежащим использованию в обычном мобильном телефоне пользователя, для приема через сеть мобильной телефонной связи пароля от аутентификационного сервера-компьютера 165.The secure authentication method according to the present invention can be used even if the private LAN is not accessed through an insecure open network, such as the Internet, but when the user's computer is within the network 105 or connected directly to it, so that the usual logical user input becomes secure: in this case, the external network can be involved simply for the purpose of communicating with the authentication computer server 165. This situation is schematically 1, in which the reference designator USER b denotes a local user of a private local network 105, for example, an employee of an enterprise owning a private local network, who wishes to log into the network through one of its computers, for example, client computer 100a, for use services made available by the enterprise data processing system (and among these services may include the ability to connect to the Internet 135). As well as the remote USER user, USER b is also provided with a pair of SIM modules: the first SIM (built-in, for example, into a USB key adapted for reading by computer 110a) for SIM-based authentication of the computer that opens the session, and the second SIM to be used in regular a user's mobile phone for receiving a password from an authentication server computer 165 through a mobile telephone network.

Также следует заметить, что хотя согласно рассмотренному здесь сценарию аутентификационный компьютер-сервер находился за пределами среды обработки данных, запрашивающей аутентификацию, и, в частности, был частью оператора сети GSM, это не следует рассматривать как ограничение настоящего изобретения; так, аутентификационный компьютер-сервер или система компьютеров может быть частью системы обработки данных, например, предприятия, реализующего способ защищенной аутентификации согласно настоящему изобретению.It should also be noted that although according to the scenario discussed here, the authentication computer server was outside the data processing environment requesting authentication, and, in particular, was part of the GSM network operator, this should not be construed as a limitation of the present invention; thus, an authentication server computer or computer system may be part of a data processing system, for example, an enterprise implementing a secure authentication method according to the present invention.

Способ аутентификации согласно настоящему изобретению особенно приспособлен для обеспечения высокой степени защищенности при транзакциях, осуществляемых служащими предприятия или правительственного агентства. Таким образом, способ аутентификации согласно настоящему изобретению обеспечивает подходящий путь управления безопасностью предприятия или агентства в связи с его персоналом.The authentication method of the present invention is particularly adapted to provide a high degree of security for transactions carried out by employees of an enterprise or government agency. Thus, the authentication method according to the present invention provides a suitable way to manage the security of an enterprise or agency in connection with its personnel.

Однако данное применение способа аутентификации не является ограничивающим; например, данный способ может быть использован для аутентификации посетителей Интернет-сайтов электронной торговли.However, this application of the authentication method is not restrictive; for example, this method can be used to authenticate visitors to e-commerce Internet sites.

Следует также отметить, что хотя в описанном выше иллюстративном варианте осуществления (одноразовый) пароль принимается пользователем на персональном мобильном телефоне и пользователь должен вводить этот пароль лично в компьютер 140, это не следует рассматривать как ограничение настоящего изобретения; ничто на самом деле не мешает обеспечить автоматический ввод принятого через сеть GSM пароля в компьютер, например, посредством рабочего подключения мобильного телефона 150 пользователя к компьютеру 140 пользователя, например, посредством соединения Bluetooth или аналогичного соединения.It should also be noted that although in the above illustrative embodiment the (one-time) password is received by the user on a personal mobile phone and the user must enter this password personally in the computer 140, this should not be construed as limiting the present invention; nothing really hinders the automatic entry of the password received through the GSM network into the computer, for example, via a working connection of the user's mobile phone 150 to the user's computer 140, for example, via a Bluetooth connection or a similar connection.

В заключение настоящее изобретение было раскрыто и описано здесь посредством нескольких вариантов осуществления, и были изложены некоторые альтернативы, однако специалистам в данной области техники должно быть очевидно, что некоторые изменения в отношении описанных вариантов осуществления, а также другие варианты осуществления настоящего изобретения возможны, не выходя за рамки его объема, определяемого приложенной формулой изобретения.In conclusion, the present invention has been disclosed and described herein by means of several embodiments, and some alternatives have been set forth, however, it should be apparent to those skilled in the art that some changes with respect to the described embodiments, as well as other embodiments of the present invention, are possible without leaving beyond its scope defined by the attached claims.

Claims (26)

1. Способ аутентификации терминала (140, 115а) обработки данных пользователя (ПОЛЬЗОВАТЕЛЬа, ПОЛЬЗОВАТЕЛЬb) для предоставления этому терминалу обработки данных доступа к выбранным услугам, предоставляемым системой (100, 105) обработки данных, причем пользователь обеспечивается аутентифицируемым мобильным коммуникационным терминалом (150), выполненным с возможностью использования в сети мобильной связи (155), при этом способ содержит этапы, на которых
выполняют первую, основывающуюся на модуле идентификации абонента (SIM), аутентификацию терминала обработки данных пользователя в системе обработки данных на аутентификационном сервере обработки данных, причем при данном выполнении первой, основывающейся на SIM аутентификации функционально ассоциируют с терминалом обработки данных пользователя первый модуль идентификации абонента (SIMa), выданный пользователю терминала обработки данных,
аутентифицируют мобильный коммуникационный терминал в сети мобильной связи, используя второй модуль идентификации абонента (SIMb), выданный пользователю, при этом первый модуль идентификации абонента ассоциирован с информацией идентификации второго модуля идентификации абонента,
используя упомянутую ассоциацию между первым модулем идентификации абонента и вторым модулем идентификации абонента на основе упомянутой информации идентификации второго модуля идентификации абонента, предоставляют персональную информацию идентификации пользователю на мобильном терминале через сеть мобильной связи, и
выполняют вторую аутентификацию, которая основывается на персональной информации идентификации, предоставляемой пользователю на мобильном коммуникационном терминале через сеть мобильной связи, при этом терминал обработки данных положительно аутентифицируют на предмет предоставления ему доступа к выбранным услугам при условии, что как первая, основывающаяся на SIM, аутентификация, так и вторая аутентификация успешны.1. An authentication method of a user data processing terminal (140, 115a) (USER, USERb) for providing this data processing terminal with access to selected services provided by the data processing system (100, 105), the user being provided with an authenticated mobile communication terminal (150), made with the possibility of use in a mobile communication network (155), the method comprising the steps of
perform the first, based on the subscriber identity module (SIM), authentication of the user data processing terminal in the data processing system on the authentication data processing server, and in this execution of the first SIM-based authentication, the first subscriber identification module (SIMa) is functionally associated with the user data terminal ) issued to the user of the data processing terminal,
authenticating the mobile communication terminal in the mobile network using the second subscriber identity module (SIMb) issued to the user, wherein the first subscriber identity module is associated with the identification information of the second subscriber identity module,
using said association between the first subscriber identity module and the second subscriber identity module based on said identification information of the second subscriber identity module, provide personal identification information to a user on a mobile terminal via a mobile communication network, and
perform the second authentication, which is based on personal identification information provided to the user on the mobile communication terminal via the mobile communication network, while the data processing terminal is positively authenticated to provide him access to the selected services, provided that as the first SIM-based authentication, so the second authentication is successful. 2. Способ по п.1, в котором вторая аутентификация содержит этапы, на которых
генерируют первый пароль на аутентификационном сервере обработки данных,
посылают первый пароль на мобильный коммуникационный терминал через сеть мобильной связи,
проверяют соответствие между первым паролем и зависящим от первого пароля вторым паролем, введенным пользователем на терминале обработки данных и предоставленным аутентификационному серверу обработки данных через систему обработки данных.2. The method of claim 1, wherein the second authentication comprises the steps of:
generate the first password on the authentication data processing server,
send the first password to the mobile communication terminal via the mobile communication network,
check the correspondence between the first password and the second password depending on the first password, entered by the user at the data processing terminal and provided to the authentication data processing server through the data processing system. 3. Способ по п.2, в котором второй пароль вводится пользователем посредством терминала обработки данных.3. The method according to claim 2, in which the second password is entered by the user through the data processing terminal. 4. Способ по п.2, в котором второй пароль вводится автоматически при приеме первого пароля на мобильном коммуникационном терминале пользователя.4. The method according to claim 2, in which the second password is entered automatically upon receipt of the first password on the user's mobile communication terminal. 5. Способ по пп.2, 3 или 4, в котором первый пароль можно использовать ограниченное количество раз, в частности, только один раз.5. The method according to claims 2, 3 or 4, in which the first password can be used a limited number of times, in particular, only once. 6. Способ по п.1, в котором второй модуль идентификации абонента имеет фиксированное однозначное соответствие с первым модулем идентификации абонента.6. The method according to claim 1, in which the second subscriber identity module has a fixed one-to-one correspondence with the first subscriber identity module. 7. Способ по п.1, в котором первый модуль идентификации абонента ассоциирован с идентификатором второго модуля идентификации абонента, в частности, номером мобильного коммуникационного терминала.7. The method according to claim 1, in which the first subscriber identity module is associated with the identifier of the second subscriber identity module, in particular, the number of the mobile communication terminal. 8. Способ по любому одному из пп.1-4, в котором упомянутую информацию идентификации посылают на мобильный коммуникационный терминал пользователя посредством сообщения службы коротких сообщений (SMS).8. The method according to any one of claims 1 to 4, in which said identification information is sent to the mobile communication terminal of the user by means of a short message service (SMS). 9. Способ по любому одному из пп.1-4, в котором первый модуль идентификации абонента относится к типу, принятому в сетях мобильной связи для аутентификации мобильных коммуникационных терминалов.9. The method according to any one of claims 1 to 4, in which the first subscriber identity module is of the type adopted in mobile networks for authentication of mobile communication terminals. 10. Способ по п.9, в котором выполнение первой, основывающейся на SIM аутентификации терминала обработки данных содержит этап, на котором, после того, как первый модуль идентификации абонента аутентифицирован аутентификационным сервером (200) системы обработки данных, этот аутентификационный сервер (200), по существу, выступает в роли центра (215) аутентификации оператора (160) сети мобильной связи.10. The method according to claim 9, in which the first SIM-based authentication of the data processing terminal comprises a step in which, after the first subscriber identity module is authenticated by the authentication server (200) of the data processing system, this authentication server (200) , essentially, acts as a center (215) of authentication of the operator (160) of the mobile communication network. 11. Способ аутентификации терминала (140) обработки данных в системе обработки данных для предоставления ему доступа к выбранным услугам, предоставляемым системой (100, 105) обработки данных, при этом способ содержит этапы, на которых
взаимодействуют (417, 419, 429, 431, 433) с первым модулем идентификации абонента (SIMa), функционально ассоциированным с терминалом обработки данных, и с аутентификационным сервером обработки данных в системе обработки данных для выполнения основывающейся на SIM аутентификации терминала обработки данных пользователя,
получают (455) персональную информацию идентификации, предоставляемую пользователю на мобильном коммуникационном терминале пользователя, аутентифицированном через сеть (155) мобильной связи, используя второй модуль идентификации абонента (SIMb), выданный пользователю, при этом первый модуль идентификации абонента ассоциирован с информацией идентификации второго модуля идентификации абонента, причем упомянутая персональная информация идентификации предоставляется пользователю с использованием упомянутой ассоциации между первым модулем идентификации абонента и вторым модулем идентификации абонента на основе упомянутой информации идентификации, и
посылают (457) эту персональную информацию идентификации на аутентификационный сервер обработки данных для завершения аутентификации терминала обработки данных и предоставления ему доступа к выбранным услугам.11. A method of authenticating a data processing terminal (140) in a data processing system to provide it with access to selected services provided by the data processing system (100, 105), the method comprising the steps of
interacting (417, 419, 429, 431, 433) with a first subscriber identity module (SIMa) functionally associated with a data processing terminal, and with an authentication data processing server in a data processing system to perform SIM-based authentication of the user data processing terminal,
receive (455) personal identification information provided to the user on the user's mobile communication terminal authenticated through the mobile communication network (155) using a second subscriber identity module (SIMb) issued to the user, wherein the first subscriber identity module is associated with the identification information of the second identification module a subscriber, wherein said personal identification information is provided to the user using the association between the first module m subscriber identity module and a second identification based on the identification information of said subscriber, and
send (457) this personal identification information to the authentication data processing server to complete the authentication of the data processing terminal and provide it with access to selected services. 12. Способ по п.11, в котором первый модуль идентификации абонента относится к типу, принятому в сетях мобильной связи для аутентификации мобильных коммуникационных терминалов.12. The method according to claim 11, in which the first subscriber identity module is of the type adopted in mobile communication networks for authentication of mobile communication terminals. 13. Способ по п.12, дополнительно содержащий этапы, на которых
извлекают (417) идентификационные данные SIM из первого модуля идентификации абонента (SIMa),
передают извлеченные идентификационные данные SIM на аутентификационный сервер, при этом аутентификационный сервер, по существу, выступает в роли центра (215) аутентификации оператора (160) сети мобильной связи,
принимают от аутентификационного сервера данные аутентификации SIM, соответствующие идентификационным данным SIM, и подают данные аутентификации SIM на первый модуль идентификации абонента,
передают на аутентификационный сервер ответ, сгенерированный первым модулем идентификации абонента.13. The method according to item 12, further comprising stages, in which
extracting (417) SIM identification data from a first subscriber identity module (SIMa),
transmitting the extracted SIM identification data to the authentication server, wherein the authentication server essentially acts as the authentication center (215) of the operator (160) of the mobile communication network,
receive SIM authentication data corresponding to the SIM identification data from the authentication server, and provide SIM authentication data to the first subscriber identity module,
transmit to the authentication server the response generated by the first subscriber identity module. 14. Способ аутентификации терминала (140) обработки данных пользователя в системе (100) обработки данных посредством аутентификационного сервера (165) обработки данных для предоставления этому терминалу обработки данных доступа к выбранным услугам, предоставляемым системой (100, 105) обработки данных, при этом способ содержит этапы, на которых
принимают (413) запрос аутентификации терминала обработки данных, при этом с терминалом обработки данных функционально ассоциирован первый модуль идентификации абонента (SIMa),
выполняют основывающуюся на SIM аутентификацию терминала обработки данных на основе данных, ассоциированных с первым модулем идентификации абонента,
предоставляют (447, 449, 451) пользователю первую персональную информацию идентификации посредством использования мобильного коммуникационного терминала (150) пользователя, аутентифицированного в сети (155) мобильной связи, используя второй модуль идентификации абонента (SIMb), выданный пользователю, при этом первый модуль идентификации абонента ассоциирован с информацией идентификации второго модуля идентификации абонента, причем упомянутая персональная информация идентификации предоставляется пользователю с использованием упомянутой ассоциации между первым модулем идентификации абонента и вторым модулем идентификации абонента на основе упомянутой информации идентификации второго модуля идентификации абонента,
обуславливают (459, 461, 463) результат аутентификации терминала обработки данных пользователя для предоставления ему доступа к выбранным услугам упомянутой основывающейся на SIM аутентификацией и предписанным соответствием между первой персональной информацией идентификации, предоставленной пользователю, и второй персональной информацией идентификации, принятой от терминала обработки данных пользователя в ответ на предоставление первой персональной информации идентификации.14. The authentication method of the user data processing terminal (140) in the data processing system (100) by the data processing authentication server (165) to provide this data processing terminal with access to selected services provided by the data processing system (100, 105), the method contains stages in which
receive (413) the authentication request of the data processing terminal, while the first subscriber identity module (SIMa) is functionally associated with the data processing terminal,
performing SIM-based authentication of the data processing terminal based on data associated with the first subscriber identity module,
provide (447, 449, 451) the user with the first personal identification information by using a mobile communication terminal (150) of a user authenticated in the mobile network (155) using a second subscriber identity module (SIMb) issued to the user, wherein the first subscriber identity module associated with the identification information of the second subscriber identity module, said personal identification information being provided to the user using said ass the numbers between the first subscriber identity module and the second subscriber identity module based on said identification information of the second subscriber identity module,
determine (459, 461, 463) the authentication result of the user data terminal to provide him access to selected services, said SIM-based authentication and the prescribed correspondence between the first personal identification information provided to the user and the second personal identification information received from the user data terminal in response to the provision of the first personal identification information. 15. Способ по п.14, в котором первый модуль идентификации абонента относится к типу, принятому в сетях мобильной связи для аутентификации мобильных коммуникационных терминалов, при этом аутентификационный сервер обработки данных, по существу, выступает в роли (415, 421, 427, 435, 437, 439) центра (215) аутентификации оператора (160) сети мобильной связи.15. The method according to 14, in which the first subscriber identity module is of the type adopted in mobile networks for authentication of mobile communication terminals, while the authentication data processing server essentially acts as (415, 421, 427, 435 , 437, 439) of the center (215) of authentication of the operator (160) of the mobile communication network. 16. Способ по п.15, дополнительно содержащий этапы, на которых
генерируют на аутентификационном сервере обработки данных первый пароль и посылают первый пароль через сеть мобильной связи на мобильный коммуникационный терминал пользователя,
обуславливают результат аутентификации терминала обработки данных в системе обработки данных предписанным соответствием между первым паролем и зависящим от первого пароля вторым паролем, введенным на терминале обработки данных и предоставленным аутентификационному серверу обработки данных через систему обработки данных.16. The method according to clause 15, further comprising stages, in which
generate the first password on the authentication data processing server and send the first password via the mobile communication network to the user's mobile communication terminal,
the authentication result of the data processing terminal in the data processing system is determined by the prescribed correspondence between the first password and the second password depending on the first password entered at the data processing terminal and provided to the authentication data processing server through the data processing system. 17. Машиночитаемый носитель в терминале обработки данных, содержащий компьютерную программу, которая при ее исполнении предписывает терминалу обработки выполнять аутентификацию терминала обработки данных в системе обработки данных для предоставления ему доступа к выбранным услугам, предоставляемым системой обработки данных, посредством
взаимодействия с первым модулем идентификации абонента (SIMa), функционально ассоциированным с терминалом обработки данных, и с аутентификационным сервером обработки данных в системе обработки данных для выполнения основывающейся на SIM аутентификации терминала обработки данных пользователя,
получения персональной информации идентификации, предоставляемой пользователю на мобильном коммуникационном терминале пользователя, аутентифицированном через сеть (155) мобильной связи, используя второй модуль идентификации абонента (SIMb), выданный пользователю, при этом первый модуль идентификации абонента ассоциирован с информацией идентификации второго модуля идентификации абонента, причем упомянутая персональная информация идентификации предоставляется пользователю с использованием упомянутой ассоциации между первым модулем идентификации абонента и вторым модулем идентификации абонента на основе упомянутой информации идентификации, и
посылки этой персональной информации идентификации на аутентификационный сервер обработки данных для завершения аутентификации терминала обработки данных и предоставления ему доступа к выбранным услугам.17. A computer-readable medium in a data processing terminal, comprising a computer program which, when executed, instructs the processing terminal to authenticate the data processing terminal in the data processing system to provide it with access to selected services provided by the data processing system by
interacting with a first subscriber identity module (SIMa) functionally associated with the data processing terminal and with the authentication data processing server in the data processing system to perform SIM-based authentication of the user data processing terminal,
obtaining personal identification information provided to the user on the user's mobile communication terminal authenticated through the mobile communication network (155) using a second subscriber identity module (SIMb) issued to the user, wherein the first subscriber identity module is associated with the identification information of the second subscriber identity module, said personal identification information is provided to the user using said association between the first module a subscriber identity and a second subscriber identity module based on said identification information, and
sending this personal identification information to the authentication data processing server to complete the authentication of the data processing terminal and providing it access to the selected services. 18. Машиночитаемый носитель в аутентификационном сервере обработки данных, содержащий компьютерную программу, которая при ее исполнении предписывает аутентификационному серверу обработки данных выполнять аутентификацию терминала обработки данных пользователя в системе обработки данных для предоставления этому терминалу обработки данных доступа к выбранным услугам, предоставляемым системой обработки данных, посредством
приема запроса аутентификации терминала обработки данных, при этом с терминалом обработки данных функционально ассоциирован первый модуль идентификации абонента (SIMa),
выполнения основывающейся на SIM аутентификации терминала обработки данных на основе данных, ассоциированных с первым модулем идентификации абонента,
предоставления пользователю первой персональной информации идентификации посредством использования мобильного коммуникационного терминала пользователя, аутентифицированного в сети мобильной связи, используя второй модуль идентификации абонента (SIMb), выданный пользователю, при этом первый модуль идентификации абонента ассоциирован с информацией идентификации второго модуля идентификации абонента, причем упомянутая персональная информация идентификации предоставляется пользователю с использованием упомянутой ассоциации между первым модулем идентификации абонента и вторым модулем идентификации абонента на основе упомянутой информации идентификации второго модуля идентификации абонента,
обуславливания результата аутентификации терминала обработки данных пользователя для предоставления ему доступа к выбранным услугам упомянутой основывающейся на SIM аутентификацией и предписанным соответствием между первой персональной информацией идентификации, предоставленной пользователю, и второй персональной информацией идентификации, принятой от терминала обработки данных пользователя в ответ на предоставление первой персональной информации идентификации.18. A computer-readable medium in an authentication data processing server, comprising a computer program which, when executed, instructs the authentication data processing server to authenticate the user data processing terminal in the data processing system to provide this data processing terminal with access to selected services provided by the data processing system by
receiving an authentication request of the data processing terminal, wherein the first subscriber identity module (SIMa) is functionally associated with the data processing terminal,
performing SIM-based authentication of the data processing terminal based on data associated with the first subscriber identity module,
providing the user with first personal identification information by using a mobile communication terminal of a user authenticated in the mobile network using a second subscriber identity module (SIMb) issued to the user, wherein the first subscriber identity module is associated with identification information of the second subscriber identity module, said personal information identification is provided to the user using the association between the first subscriber identity module and the second subscriber identity module based on said identification information of the second subscriber identity module,
determining the authentication result of the user data processing terminal to provide him with access to selected services by said SIM-based authentication and the prescribed correspondence between the first personal identification information provided to the user and the second personal identification information received from the user data processing terminal in response to providing the first personal information identification. 19. Система, предназначенная для аутентификации терминала (140, 115а) обработки данных пользователя (ПОЛЬЗОВАТЕЛЬа, ПОЛЬЗОВАТЕЛЬb) в системе обработки данных с целью предоставления этому терминалу обработки данных доступа к выбранным услугам, предоставляемым системой (105) обработки данных, при этом пользователь имеет аутентифицируемый мобильный коммуникационный терминал (150), приспособленный для использования в сети (155) мобильной связи, при этом система содержит:
первый модуль идентификации абонента (SIMa), выполненный с возможностью функционального ассоциирования (145) с терминалом обработки данных,
аутентификационный сервер (165) обработки данных, выполненный с возможностью осуществлять первый этап аутентификации на основе первого модуля идентификации абонента,
при этом аутентификационный сервер обработки данных дополнительно выполнен с возможностью (230-245):
осуществлять второй этап аутентификации на основе персональной информации идентификации, предоставляемой пользователю на мобильном коммуникационном терминале через сеть мобильной связи, используя второй модуль идентификации абонента (SIMb), ассоциированный с информацией идентификации второго модуля идентификации абонента, причем упомянутая персональная информация идентификации предоставляется пользователю с использованием упомянутой ассоциации между первым модулем идентификации абонента и вторым модулем идентификации абонента на основе упомянутой информации идентификации, и
предоставлять терминалу обработки данных доступ к выбранным услугам при условии, что первый этап аутентификации и второй этап аутентификации успешны.19. A system for authenticating a user data processing terminal (140, 115a) (USER, USERb) in a data processing system in order to provide this data processing terminal with access to selected services provided by the data processing system (105), while the user has an authenticated a mobile communication terminal (150) adapted for use in a mobile communication network (155), the system comprising:
a first subscriber identity module (SIMa) configured to functionally associate (145) with a data processing terminal,
an authentication server (165) for processing data, configured to perform a first authentication step based on a first subscriber identity module,
wherein the authentication data processing server is further configured to (230-245):
carry out the second authentication step based on personal identification information provided to the user on the mobile communication terminal via the mobile communication network using the second subscriber identity module (SIMb) associated with the identification information of the second subscriber identity module, said personal identification information being provided to the user using the association between the first subscriber identity module and the second subscriber identity module based on said identification information, and
provide the data processing terminal with access to the selected services, provided that the first authentication step and the second authentication step are successful. 20. Система по п.19, в которой первый модуль идентификации абонента относится к типу, принятому в сетях мобильной связи для аутентификации мобильных коммуникационных терминалов.20. The system according to claim 19, in which the first subscriber identity module is of the type adopted in mobile networks for authentication of mobile communication terminals. 21. Система по п.20, в которой второй модуль идентификации абонента (SIMb) подлежит использованию в мобильном коммуникационном терминале для аутентификации мобильного коммуникационного терминала в сети (155) мобильной связи.21. The system according to claim 20, in which the second subscriber identity module (SIMb) is to be used in the mobile communication terminal to authenticate the mobile communication terminal in the mobile communication network (155). 22. Система по п.21, в которой второй модуль идентификации абонента находится в фиксированном однозначном соответствии с первым модулем идентификации абонента.22. The system according to item 21, in which the second subscriber identity module is in a fixed one-to-one correspondence with the first subscriber identity module. 23. Система по п.21, в которой второй модуль идентификации абонента ассоциирован с идентификатором второго модуля идентификации абонента, в частности, номером мобильного коммуникационного терминала.23. The system according to item 21, in which the second subscriber identity module is associated with the identifier of the second subscriber identity module, in particular, the number of the mobile communication terminal. 24. Система по любому одному из пп.19-23, в которой первый модуль идентификации абонента ассоциирован с устройством (145), выполненным с возможностью подключения к компьютеру через порт подключения периферийных устройств компьютера.24. The system according to any one of claims 19-23, wherein the first subscriber identity module is associated with a device (145) configured to connect to a computer through a connection port of peripheral devices of the computer. 25. Система по любому одному из пп.19-23, в которой сеть мобильной связи является одной из сети GSM (глобальной системы мобильной связи), сети GPRS (общей службы пакетной радиопередачи) и сети UMTS (универсальной системы мобильных телекоммуникаций).25. The system according to any one of paragraphs.19-23, in which the mobile communication network is one of the GSM network (global mobile communication system), GPRS network (general packet radio service) and UMTS network (universal mobile telecommunications system). 26. Система по п.24, в которой сеть мобильной связи является одной из сети GSM (глобальной системы мобильной связи), сети GPRS (общей службы пакетной радиопередачи) и сети UMTS (универсальной системы мобильных телекоммуникаций). 26. The system according to paragraph 24, in which the mobile communication network is one of the GSM network (global system for mobile communications), GPRS network (general packet radio service) and UMTS network (universal mobile telecommunications system).
RU2006119919/09A 2003-11-07 2003-11-07 Method and system for authentication of data processing system user RU2354066C2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2006119919/09A RU2354066C2 (en) 2003-11-07 2003-11-07 Method and system for authentication of data processing system user

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2006119919/09A RU2354066C2 (en) 2003-11-07 2003-11-07 Method and system for authentication of data processing system user

Publications (2)

Publication Number Publication Date
RU2006119919A RU2006119919A (en) 2007-12-20
RU2354066C2 true RU2354066C2 (en) 2009-04-27

Family

ID=38916888

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2006119919/09A RU2354066C2 (en) 2003-11-07 2003-11-07 Method and system for authentication of data processing system user

Country Status (1)

Country Link
RU (1) RU2354066C2 (en)

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2460232C1 (en) * 2010-04-26 2012-08-27 Кэнон Кабусики Кайся Device for sending images and method of authentication in device for sending images
WO2013081508A2 (en) * 2011-11-29 2013-06-06 Rawllin International Inc. Authentication of mobile device
RU2554529C2 (en) * 2009-06-10 2015-06-27 Виза Интернэшнл Сервис Ассосиэйшн Activation of service using algorithmically configured key
RU2570838C2 (en) * 2011-03-30 2015-12-10 Банк Аккорд Strong authentication by providing number
RU2575682C2 (en) * 2011-01-14 2016-02-20 Нокиа Солюшнз энд Нетуоркс Ой External authentication support via unsecured network
RU2602388C2 (en) * 2011-03-22 2016-11-20 Сажем Дефенс Секюрите Method and device for connection to network with high safety level
RU2608187C2 (en) * 2014-10-31 2017-01-17 Сяоми Инк. Terminal verification method and device
US9641525B2 (en) 2011-01-14 2017-05-02 Nokia Solutions And Networks Oy External authentication support over an untrusted network
RU2655646C2 (en) * 2013-01-25 2018-05-29 Сони Корпорейшн Terminal, program and communication system
US10019604B2 (en) 2014-10-31 2018-07-10 Xiaomi Inc. Method and apparatus of verifying terminal and medium
RU2707939C2 (en) * 2014-12-12 2019-12-02 Виза Интернэшнл Сервис Ассосиэйшн Support platform for inter-machine devices

Cited By (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9426659B2 (en) 2009-06-10 2016-08-23 Visa International Service Association Service activation using algorithmically defined key
RU2554529C2 (en) * 2009-06-10 2015-06-27 Виза Интернэшнл Сервис Ассосиэйшн Activation of service using algorithmically configured key
US9160734B2 (en) 2009-06-10 2015-10-13 Visa International Service Association Service activation using algorithmically defined key
RU2460232C1 (en) * 2010-04-26 2012-08-27 Кэнон Кабусики Кайся Device for sending images and method of authentication in device for sending images
RU2517713C2 (en) * 2010-04-26 2014-05-27 Кэнон Кабусики Кайся Device for picture sending and method of authentication in said device
US10581816B2 (en) 2011-01-14 2020-03-03 Nokia Technologies Oy External authentication support over an untrusted network
US9641525B2 (en) 2011-01-14 2017-05-02 Nokia Solutions And Networks Oy External authentication support over an untrusted network
RU2575682C2 (en) * 2011-01-14 2016-02-20 Нокиа Солюшнз энд Нетуоркс Ой External authentication support via unsecured network
RU2602388C2 (en) * 2011-03-22 2016-11-20 Сажем Дефенс Секюрите Method and device for connection to network with high safety level
RU2570838C2 (en) * 2011-03-30 2015-12-10 Банк Аккорд Strong authentication by providing number
WO2013081508A2 (en) * 2011-11-29 2013-06-06 Rawllin International Inc. Authentication of mobile device
WO2013081508A3 (en) * 2011-11-29 2013-08-01 Rawllin International Inc. Authentication of mobile device
RU2655646C2 (en) * 2013-01-25 2018-05-29 Сони Корпорейшн Terminal, program and communication system
RU2608187C2 (en) * 2014-10-31 2017-01-17 Сяоми Инк. Terminal verification method and device
US10019604B2 (en) 2014-10-31 2018-07-10 Xiaomi Inc. Method and apparatus of verifying terminal and medium
RU2707939C2 (en) * 2014-12-12 2019-12-02 Виза Интернэшнл Сервис Ассосиэйшн Support platform for inter-machine devices
US11580519B2 (en) 2014-12-12 2023-02-14 Visa International Service Association Provisioning platform for machine-to-machine devices

Also Published As

Publication number Publication date
RU2006119919A (en) 2007-12-20

Similar Documents

Publication Publication Date Title
CN1879071B (en) Method and system for authenticating a user of a data processing system
US7890767B2 (en) Virtual smart card system and method
AU2009323748B2 (en) Secure transaction authentication
EP1102157B1 (en) Method and arrangement for secure login in a telecommunications system
US8578457B2 (en) Process of remote user authentication in computer networks to perform the cellphone-assisted secure transactions
CA2665961C (en) Method and system for delivering a command to a mobile device
US20240005312A1 (en) Multi-Factor User Authentication Using Blockchain Tokens
US20140052992A1 (en) Response to Queries by Means of the Communication Terminal of a User
RU2354066C2 (en) Method and system for authentication of data processing system user
KR20170070379A (en) cryptograpic communication method and system based on USIM card of mobile device
Khu-Smith et al. Enhancing e-commerce security using GSM authentication
KR20070076576A (en) Payment Approval Process
KR20070077481A (en) Customer Authentication Relay Server
KR20060112167A (en) Customer authentication relay method and system, server and recording medium therefor
KR20070077484A (en) Information processing method
KR20070076577A (en) Record carrier
KR20070076578A (en) Record carrier
KR20070077483A (en) Payment Process
KR20070077485A (en) Record carrier
KR20070077480A (en) Customer Authentication Processing Server