Спосіб підтвердження повноважень користувача на обслуговування

Спосіб підтвердження повноважень користувача на обслуговування, що включає одержання користувачем свого облікового імені і пароля при звертанні в довірчий орган, формування у довірчому органі на їх основі одноразового динамічного ідентифікатора користувача, спрямування його через обслуговуючий орган у довірчий орган для підтвердження обслуговуючому органу повноважень користувача, який відрізняється тим, що сформований одноразовий динамічний ідентифікатор користувача спочатку направляють користувачу, при цьому здійснюють додатковий режим підтримки рівня захищеності всього процесу введенням у динамічну характеристику одноразового динамічного ідентифікатора користувача зміни його довжини в залежності від уже діючої и Винахід відноситься до області ідентифікації користувачів у різних сферах обслуговування і видачі їм ВІДПОВІДНИХ повноважень, включаючи підтвердження платоспроможності чи стійкої репутації В даний час проблема ідентифікації стає дуже актуальної через появу великої КІЛЬКОСТІ мобільних користувачів і значним розширенням комунікаційних мереж, наприклад Інтернет Відомий спосіб підтвердження повноважень користувача на обслуговування, заснований на використанні одноразових ідентифікаторів за допомогою персональних пристроїв доступу, опублікований на сайті http //www rsasecunty com Зазначений спосіб включає присвоєння користувачу одноразового ідентифікатора, який він передає довірчому органу через обслуговуючий орган для підтвердження обслуговуючому органу повноважень користувача У відомому способі додатково застосовують персональний пристрій доступу, що має набір одноразових ідентифікаторів, кожний з який використовується для підтвердження повно важень користувача Недоліком відомого способу є необхідність мати користувачу додаткове апаратне забезпечення у вигляді персонального пристрою доступу Іншим недоліком є відсутність зворотного зв'язку між пристроєм доступу і довірчим органом для відновлення таблиць, що містять одноразові ідентифікатори Відомий спосіб підтвердження повноважень користувача на обслуговування, описаний у винаході «Використання персональних комунікаційних пристроїв для аутентифікацм користувача» (міжнародна заявка WO 01/67219А1, МПК7 G06F1/26, публ 13 09 2001, заявник - компанія April System Design Inc) Відомий спосіб включає одержання користувачем свого облікового імені і пароля при звертанні в довірчий орган, формування на їхній основі одноразового ідентифікатора користувача, напрямок його через обслуговуючий орган у довірчий орган для підтвердження обслуговуючому органу повноважень користувача У відомому способі частина функцій довірчого органа винесена в зону розташування як користувача, так і обслуговуючо КІЛЬКОСТІ 2 Спосіб за п 1, який відрізняється тим, що через замкнений за допомогою передачі по ньому одноразового динамічного ідентифікатора користувача контур із довірчого органа, користувача, обслуговуючого органа і знову довірчого органа додатково здійснюють у зворотному напрямку замкнений зв'язок на основі облікового імені користувача у вигляді номера його персонального пристрою зв'язку 3 Спосіб за п 1 або 2, який відрізняється тим, що при передачі обслуговуючим органом одноразового динамічного ідентифікатора користувача для підтвердження повноважень користувача додатково передають ідентифікатор обраного користувачем одного з обслуговуючих органів О CO о о о ю 50003 го органа Користувач, знаючи свій пароль і не знаючи своє облікове ім'я, спочатку звертається в стаціонарну частину довірчого органа з запитом і одержує у ВІДПОВІДЬ своє облікове ім'я За допомогою винесеної в зону розташування користувача частиною довірчого органа на основі уже відомого користувачу як свого облікового імені, так і пароля формується одноразовий ідентифікатор користувача, який цією частиною довірчого органа вже без утручання користувача передається обслуговуючому органу, а їм разом з паролем і обліковим ім'ям користувача передається далі в стаціонарну частину довірчого органа для порівняння з внесеними в базу даних і прийняття рішення про підтвердження повноважень користувача Недоліком відомого способу є труднощі залучення масового споживача через необхідність додаткового оснащення апаратним і програмним продуктами як користувача, так і обслуговуючого органа Іншим недоліком є зменшення захищеності інформації про користувача, тому що формування одноразового ідентифікатора користувача здійснюється при СПІЛЬНІЙ дії його персонального пристрою зв'язку та доданого йому апаратного продукту, розміщеного в зоні розташування користувача Найбільш близьким по технічній сутності й ефекту, що досягається, є відомий спосіб підтвердження повноважень користувача на обслуговування, описаний у винаході «Способ и устройство для защищенной идентификации мобильного пользователя в сети связи» (патент РФ №2150790, МПК7 H04L9/32, публ 06 10 2000) Відомий спосіб включає одержання користувачем свого облікового імені і пароля при звертанні в довірчий орган, формування на їхній основі одноразового динамічного ідентифікатора користувача, напрямок його через обслуговуючий орган у довірчий орган для підтвердження обслуговуючому органу повноважень користувача У зазначеному способі попередньо видані довірчим органом користувачу його облікове ім'я І пароль користувач передає у видане йому заздалегідь довірчим органом персональний пристрій доступу, який формує одноразовий ідентифікатор в зоні розташування користувача, який потім цим пристроєм доступу самостійно передається в обслуговуючий орган Час дії одноразового ідентифікатора користувача обмежено (години, доби, тижні), але може забезпечити декілька його звертань до одного і того же обслуговуючого органу Недоліком відомого способу є зменшення захищеності інформації про користувача через необхідність формування одноразового ідентифікатора користувача безпосередньо в зоні його розташування Зазначений недолік обумовлений розподілом функцій довірчого органа в просторі з переносом частини їх у зону розташування користувача і викликаний необхідністю постачання користувача додатковим апаратним і програмним забезпеченням у вигляді інтелектуальної картки до його персонального пристрою зв'язку, за допомогою якої і формується одноразовий ідентифікатор користувача, відразу прямуючий обслуговуючому органу В основу винаходу поставлена задача по удосконаленню способу підтвердження повноважень користувача на обслуговування за допомогою оп тимізацм обміну інформацією користувача з обслуговуючим і довірчим органами за рахунок відмовлення від застосування користувачем, винесеному до нього додаткового апаратного і програмного забезпечення, а також уведенням додаткового зв'язку, що забезпечує користувачу одержання початкової інформації про сформований одноразовий його ідентифікатор з зони поза його розташування, що дозволяє розширити область застосування способу в різних сферах обслуговування та залучити масового користувача Поставлена задача досягається тим, що у відомому способі підтвердження повноважень користувача на обслуговування, що включає одержання користувачем свого облікового імені і пароля при звертанні в довірчий орган, формування в ньому на їхній основі одноразового динамічного ідентифікатора користувача, напрямок його через обслуговуючий орган у довірчий орган для підтвердження обслуговуючому органу повноважень користувача, ВІДПОВІДНО винаходу сформований одноразовий динамічний ідентифікатор користувача початкове направляють йому, при цьому здійснюють додатковий режим підтримки рівня захищеності всього процесу введенням у динамічну характеристику одноразового ідентифікатора користувача зміни його довжини в залежності від уже діючої їхньої КІЛЬКОСТІ Переважним варіантом виконання є те, що через замкнений за допомогою передачі по ньому одноразового динамічного ідентифікатора користувача контур із довірчого органа, користувача, обслуговуючого органа і знову довірчого органа додатково здійснюють в зворотному напрямку також замкнутий зв'язок на основі облікового імені користувача у вигляді номера його персонального пристрою зв'язку Іншим переважним варіантом є те, що при передачі обслуговуючим органом одноразового динамічного ідентифікатора для підтвердження повноважень користувача додатково передають ідентифікатор, обраного користувачем, одного з безлічей обслуговуючих органів Таким чином, передача користувачем через персональний пристрій зв'язку довірчому органу, розташованому поза зоною користувача, двох своїх ідентифікаційних параметрів - облікового імені і пароля, проведення в довірчому органі авторизації цих параметрів і формування при цьому в ньому по запиту користувача одноразового його ідентифікатора з початковою передачею цього ідентифікатора користувачу дозволяють виключити необхідність використання користувачем додаткових апаратних і програмних засобів для підтвердження його повноважень Це дозволяє підвищити рівень захищеності процесу в цілому Уведенням динамічності одноразового ідентифікатора користувача, формованого в МІСЦІ розташування бази даних о всіх користувачах, додатково підтримують установлений рівень захищеності довірчого органа та всього процесу в цілому Це спрощує реалізацію способу, підвищуючи при цьому мобільні можливості користувачів, і дозволяє уніфікувати спосіб стосовно зв'язку з безліччю обслуговуючих органів у різних сферах ДІЯЛЬНОСТІ користувачів Технічна сутність винаходу пояснюється графічною частиною 50003 На фіг зображено схему взаємодії користувача з довірчим і обслуговуючими органами Приклад конкретного виконання для одного обслуговуючого органа Користувач 1 попередньо зареєстрований у довірчому органі 2, що має встановлений рівень захищеності 99%, для наступного обслуговування одним з органів 3, наприклад, в органі Зс При цьому в довірчому органі 2 користувачу 1 привласнені відкрите облікове ім'я І пароль, що введені в базу даних довірчого органа 2 і повідомлені користувачу 1 При виникненні в користувача 1 необхідності звертання в орган обслуговування Зс він звертається в довірчий орган 2 із запитом, у якому вказується повідомлення 4, що відповідає його зареєстрованому відкритому обліковому імені, і повідомлення 5, що відповідає привласненому йому паролю Повідомлення 4 і 5 у своїй сукупності є частинами цифрового SMS-повідомлення, що користувач 1 направляє до довірчого органа 2 через персональний пристрій зв'язку 6 Довірчий орган 2 виконує авторизацію повідомлень 4 і 5, проводячи їхнє порівняння з наявними в базі даних при реєстрації, після чого виробляє динамічний ідентифікатор 7, що є одноразовим, і передає його на персональний пристрій зв'язку 6 користувача 1 у виді SMS -повідомлення Після ЦЬОГО користувач 1 через свій персональний пристрій зв'язку 6 передає обслуговуючому органу Зс повідомлення 7 а у вигляді одноразового динамічного ідентифікатора користувача Користувачу 1 довірчим органом 2 присвоюється відкрите облікове ім'я В ВИГЛЯДІ номера його персонального пристрою зв'язку 6 Та при кожному звертанні видається новий одноразовий ідентифікатор Обслуговуючий орган Зс передає отриманий одноразовий динамічний ідентифікатор 7 а у вигляді повідомлення 7е довірчому органу 2, що порівнює його з наявними у його пам'яті При позитивному результаті порівняння обслуговуючому органу Зс передається повідомлення 8 про підтвердження повноважень користувача у вигляді його відкритого облікового імені ВІДПОВІДНОГО номеру його персонального пристрою зв'язку 6 чи відмовлення в повноваженнях Після цього обслуговуючий орган Зс повідомленням 9 повідомляє користувача 1 про його повноваження у вигляді номера його персонального пристрою зв'язку 6 при позитивному результаті попередньої дії Приклад конкретного виконання для безлічі обслуговуючих органів Даний приклад відрізняється від попереднього тим, що передача одноразового ідентифікатора 7б, який йде від обслуговуючого органа 3 довірчому органу 2, здійснюється разом з ідентифікатором 10, обраного користувачем обслуговуючого органа з серії 3 цих органів Наприклад, використовуючи даний винахід у системі E-mail (система обміну електронною поштою), користувач одержує можливість використовувати одноразовий ідентифікатор для підтвердження своїх прав на доступ до особистої поштової скриньки У комерційних цілях одноразові ідентифікатори можуть використовуватися для підпису електронних платежів і виконання предоплачених послуг Таким чином, маючи тільки персональний пристрій зв'язку - мобільний телефон, користувач одержує можливість використовувати пропонований спосіб як один ключ до безлічі дверей 50003 Ідентифікатор о бслуго вуюч о го оррана Ідентифікатори обслуговуючих органів Одноразовий ідентифікатор Іидтве рдже ння Повідомлення Одноразов г ідентифікатори Одноразовий ідентифікатор Одноразовий ідентифікатор Облікове ЇМ я +380675650808 +380675650809 4380675650810 +380675650811 ФІГ. ДП «Український інститут промислової власності» (Укрпатент) вул СІМІХОХЛОВИХ 15 м Київ 04119 Україна ( 0 4 4 ) 4 5 6 - 2 0 - 90 ТОВ Міжнародний науковий комітет вул Артема 77 м Київ 04050 Україна (044)216-32-71