Спосіб визначення ідентифікатора користувача

Реферат: Винахід стосується захисту інформації в комп'ютерних мережах і системах. Розроблений спосіб для визначення ідентифікатора користувача характеризується тим, що користувач підтверджує свій ідентифікатор за допомогою свого мобільного пристрою, його камери і спеціального прикладного програмного забезпечення, роблячи знімок і шляхом цифрової обробки реконструйованої графічно структурованої інформації провайдера послуг. UA 107302 C2 (12) UA 107302 C2 UA 107302 C2 5 10 15 20 25 30 35 40 45 50 55 60 Винахід стосується захисту інформації у комп'ютерних мережах і системах. Існує спосіб автентифікації користувача з використанням паролів, де як парольні фрагменти використовують заздалегідь визначене кольорове зображення [1]. Існує спосіб ідентифікації користувача з використанням PIN-коду, в якому користувачеві присвоюється унікальний персональний код для доступу до інформаційних систем [2]. Існує спосіб введення паролю для доступу до комп'ютерних баз даних з використанням динамічних зображень, генерованих комп'ютером [3]. Існує спосіб для доступу до захищених послуг з одноразовим введенням паролю [4]. Існують способи ідентифікації користувача з використанням імен користувача і паролів [5-8]. Існують способи ідентифікації користувача, які доповнюють введення імені користувача і паролю додатковими факторами автентифікації (багатофакторною автентифікацією) генераторами одноразових паролів, друкованими кодовими картками, біометричними елементами та іншими факторами [9]. З метою зниження ризиків для безпеки, всі існуючі способи та системи вимагають від користувачів використання складних паролів, які важко запам'ятати, і які є незручними у використанні. Випадки втручання у системи провайдерів послуг з метою викрадення ідентифікаційних даних користувачів постійно зростають. Кожен додатковий фактор автентифікації, яким доповнюють імена користувачів і паролі, тягне за собою значні витрати і ускладнює досвід користувача, зводячи нанівець очікуване покращення безпеки. Цей винахід має на меті розробити спосіб перевірки автентичності користувача, який би забезпечував надійну перевірку ідентичності, за допомогою мобільного пристрою, наприклад, телефону, без використання імені користувача і пароля. Ця мета досягається шляхом запису користувачем на свій мобільний пристрій спеціально створеного реєстраційного зображення користувача, наприклад штрих-коду або QR-коду, яке відображається провайдером послуг, при цьому мобільний пристрій послідовно трансформує дані, отримані від фотодатчика, у структуровані дані, отримуючи ідентифікатор провайдера послуг, ідентифікатор ресурсу точки доступу провайдера послуг і унікальний маркер доступу і/або інші дані, вбудовані в це зображення, підтверджує цифровим підписом унікальний маркер доступу і/або інші дані, вбудовані в це зображення, і передає у точку доступу провайдера послуг у супроводі зі своїм відкритим ключем/цифровим сертифікатом, які використовуються для підпису цього повідомлення. Провайдер послуг перевіряє цифровий підпис отриманого повідомлення і, в разі успіху, асоціює отриманий відкритий ключ/цифровий сертифікат із профілем, який створив користувач. При повторному відвідуванні, користувач записує у свій мобільний пристрій спеціально створене реєстраційне зображення, наприклад штрих-код або QR-код, яке відображається провайдером послуг. Це зображення, записане фотодатчиком, послідовно трансформується у структуровані дані, отримуючи ідентифікатор провайдера послуг, ідентифікатор ресурсу точки доступу провайдера послуг і унікальний маркер доступу і/або інші дані, вбудовані в це зображення. Користувач вибирає той же самий ідентифікатор, який він використовував під час реєстрації у цього провайдера послуг, мобільний пристрій підтверджує цифровим підписом унікальний маркер доступу і/або інші дані, вбудовані у реєстраційне зображення, і передає у точку доступу провайдера послуг у супроводі зі своїм відкритим ключем/цифровим сертифікатом, які використовуються для підпису цього повідомлення. Провайдер послуг перевіряє цифровий підпис отриманого повідомлення, зіставляє профіль користувача за допомогою відкритого ключа/цифрового підпису, які були збережені під час реєстрації, і дозволяє сеанс користувача відповідно до отриманого унікального маркера доступу або інших даних, вбудованих у реєстраційне зображення. Для того, щоб почати користуватися системою певного провайдера послуг, наприклад, електронною поштою, форумами, сервісом електронної торгівлі, сервісом інтерактивного телебачення, тощо, більшість з яких доступні в режимі "онлайн", користувач відкриває сторінку ресурсу цього сервісу з комп'ютера або будь-якого іншого пристрою. Користувач створює профіль у цього провайдера послуг, вказавши будь-яку інформацію, яку провайдер послуг запитує спеціально для надання конкретної послуги. Якщо користувач вже створив профіль у певного провайдера послуг, користувач проходить автентифікацію відповідно до цього профілю за допомогою будь-яких засобів автентифікації, які він міг використовувати під час створення профілю. Користувач записує спеціально створене реєстраційне зображення, наприклад штрихкод або QR-код, за допомогою прикладного програмного додатку на даному мобільному пристрої, наприклад, смартфоні. Прикладний програмний додаток послідовно трансформує дані, отримані від фотодатчика, у структуровані дані, отримуючи ідентифікатор провайдера послуг, ідентифікатор ресурсу точки доступу провайдера послуг і унікальний маркер доступу 1 UA 107302 C2 5 10 15 20 25 30 35 40 45 50 і/або інші дані, вбудовані в це зображення. Мобільний пристрій підтверджує цифровим підписом унікальний маркер доступу і/або інші дані, вбудовані в це зображення, і передає у точку доступу провайдера послуг у супроводі зі своїм відкритим ключем/цифровим сертифікатом, які використовуються для підпису цього повідомлення. Провайдер послуг перевіряє цифровий підпис отриманого повідомлення і, в разі успіху, асоціює отриманий відкритий ключ/цифровий сертифікат із профілем, який створив користувач. У тих випадках, коли додаткові перевірки безпеки потрібні, щоб почати користуватися деякими послугами, наприклад, банківськими послугами, від користувачів можуть вимагати особистого відвідування приміщення провайдера послуг. Провайдер послуг може, таким чином, надати особисто користувачу реєстраційне зображення, наприклад, роздрукувавши його у реєстраційній формі на отримання послуги, показуючи на екрані комп'ютера, тощо. Користувач записує, таким чином, це реєстраційне зображення за допомогою прикладного програмного додатку на своєму мобільному пристрої і виконує наступні етапи реєстрації, як описано вище. При повторному відвідуванні, користувач записує у свій мобільний пристрій спеціально створене реєстраційне зображення, наприклад штрих-код або QR-код, яке відображається провайдером послуг. Це зображення, записане фотодатчиком, послідовно трансформується у структуровані дані, отримуючи ідентифікатор провайдера послуг, ідентифікатор ресурсу точки доступу провайдера послуг і унікальний маркер доступу і/або інші дані, вбудовані в це зображення. Користувач вибирає той же самий ідентифікатор, який він використовував під час реєстрації у цього провайдера послуг, мобільний пристрій підтверджує цифровим підписом унікальний маркер доступу і/або інші дані, вбудовані у реєстраційне зображення, і передає у точку доступу провайдера послуг у супроводі зі своїм відкритим ключем/цифровим сертифікатом, які використовуються для підпису цього повідомлення. Провайдер послуг перевіряє цифровий підпис отриманого повідомлення, зіставляє профіль користувача за допомогою відкритого ключа/цифрового підпису, які були збережені під час реєстрації, і дозволяє сеанс користувача відповідно до отриманого унікального маркера доступу або інших даних, вбудованих у реєстраційне зображення. На цьому процес автентифікації користувача завершується. У тих випадках, коли провайдер послуг потребує виконання додаткових заходів з контролю безпеки під час процесу реєстрації, провайдер послуг може зареєструвати IP-адресу вихідного мобільного пристрою, що використовується для надсилання повідомлення запиту про реєстрацію, і встановити обмеження щодо географічного положення для наступної дозволеної сесії користувача. Наприклад, провайдер послуг може дозволити доступ до сесії користувача тільки з пристроїв, які знаходяться в безпосередній близькості до IP-адреси вихідного мобільного пристрою, що ускладнює запуск будь-яких атак з викрадення ідентифікаційних даних. Спосіб і система для визначення ідентифікатора користувача, описані тут, забезпечують надійний процес автентифікації користувача за допомогою мобільного пристрою, наприклад телефону. Спосіб може використовуватися для будь-якого сайту ресурсів провайдера послуг, не обмежуючись веб-сайтом в мережі Інтернет, доступ до якого здійснюється з персонального комп'ютера. Єдиною технологічною передумовою для такого сайту ресурсів є здатність відображати динамічно генероване облікове/реєстраційне зображення. Спосіб може бути реалізований для будь-якої операційної системи, браузера або програмного забезпечення прикладного програмного інтерфейсу (АРІ). Посилання: 1. Патент RU 2348974, С2, G06K9/00, 2008. 2. Патент RU 2385233, С1, B42D15/10, 2008. 3. Патент RU 2263341, С1, G06F1/00, 2005. 4. Патент RU 2308755, С2, G06F17/00, 2005. 5. Патентна заявка US 2008/0120717, A1, G06F21/00, 2008. 6. Патентна заявка US 2009/0307182, A1, G06N5/02, 2009. 7. Патентна заявка US 2009/0228370, A1, G06Q30/00, 2009. 8. Патентна заявка WO 2008/151209, A1, H04K1/00, 2006. 9. Патент RU 2382408, С2, G06K9/00, 2008. 55 2 UA 107302 C2 ФОРМУЛА ВИНАХОДУ 5 10 15 20 25 30 35 Спосіб визначення ідентифікатора користувача, який включає: створення нового профілю користувача або автентифікації відповідно до існуючого профілю користувача за допомогою вже існуючих засобів автентифікації, який відрізняється тим, що: профіль користувача створюють з реєстрацією ІР-адреси мобільного пристрою, що використовується для надсилання повідомлення про реєстрацію, та встановлюють можливість географічного обмеження для наступної дозволеної сесії користувача за ІР-адресою, після створення профілю користувача, користувач записує реєстраційне зображення за допомогою прикладного програмного додатку на даному мобільному пристрої; прикладний програмний додаток послідовно трансформує дані з фотодатчика у структуровані дані, отримуючи ідентифікатор провайдера послуг, ідентифікатор ресурсу точки доступу провайдера послуг і унікальний маркер доступу, вбудований в це зображення; мобільний пристрій підтверджує цифровим ідентифікатором пристрою унікальний маркер доступу, вбудований в це зображення, і передає у точку доступу провайдера послуг у супроводі зі своїм відкритим ключем/цифровим сертифікатом, які використовуються для підпису цього повідомлення; провайдер послуг перевіряє цифровий ідентифікатор пристрою отриманого повідомлення і, в разі успіху, асоціює отриманий відкритий ключ/цифровий сертифікат із профілем, який створив користувач; при повторному відвідуванні, користувач записує у свій мобільний пристрій спеціально створене реєстраційне зображення, яке відображається провайдером послуг; це зображення, записане фотодатчиком, послідовно трансформується у структуровані дані, отримуючи ідентифікатор провайдера послуг, ідентифікатор ресурсу точки доступу провайдера послуг і унікальний маркер доступу, вбудовані в це зображення; користувач вибирає той же самий ідентифікатор, який він використовував під час реєстрації у цього провайдера послуг, мобільний пристрій підтверджує цифровим ідентифікатором пристрою унікальний маркер доступу, вбудований у реєстраційне зображення, і передає у точку доступу провайдера послуг у супроводі зі своїм відкритим ключем/цифровим сертифікатом, які використовуються для підпису цього повідомлення; провайдер послуг перевіряє ІР-адресу вихідного мобільного пристрою, цифровий ідентифікатор пристрою отриманого повідомлення, зіставляє профіль користувача за допомогою відкритого ключа/цифрового підпису, які були збережені під час реєстрації, і дозволяє сеанс користувача відповідно до отриманого унікального маркера доступу, вбудованого у реєстраційне зображення; на цьому процес автентифікації користувача завершується. Комп’ютерна верстка Л. Литвиненко Державна служба інтелектуальної власності України, вул. Урицького, 45, м. Київ, МСП, 03680, Україна ДП “Український інститут промислової власності”, вул. Глазунова, 1, м. Київ – 42, 01601 3