EA041505B1 - METHOD FOR CONFIRMING THE AUTHENTICITY OF USER DATA AND THE SYSTEM IMPLEMENTING IT - Google Patents

METHOD FOR CONFIRMING THE AUTHENTICITY OF USER DATA AND THE SYSTEM IMPLEMENTING IT Download PDF

Info

Publication number
EA041505B1
EA041505B1 EA201791674 EA041505B1 EA 041505 B1 EA041505 B1 EA 041505B1 EA 201791674 EA201791674 EA 201791674 EA 041505 B1 EA041505 B1 EA 041505B1
Authority
EA
Eurasian Patent Office
Prior art keywords
user
data
confirmation
computing device
service
Prior art date
Application number
EA201791674
Other languages
Russian (ru)
Original Assignee
Общество С Ограниченной Ответственностью "Сэйфтек"
Filing date
Publication date
Application filed by Общество С Ограниченной Ответственностью "Сэйфтек" filed Critical Общество С Ограниченной Ответственностью "Сэйфтек"
Publication of EA041505B1 publication Critical patent/EA041505B1/en

Links

Description

Область техникиTechnical field

Изобретение относится к области обработки данных, предназначенных для идентификации и аутентификации пользователя.The invention relates to the field of data processing for user identification and authentication.

Уровень техникиState of the art

Сфера применения данных по идентификации пользователя является достаточно обширной, в частности, аутентификация пользователей распространена на портальных решениях в сети Интернет, например подтверждение операции входа на портал;The scope of user identification data is quite extensive, in particular, user authentication is common in portal solutions on the Internet, for example, confirmation of the portal login operation;

подтверждение разрешения передачи данных от одного портала другому (например, когда используется вход через Google Account, вход через Facebook, вход через Vkontakte и др. типы Single SignOn решений);confirmation of permission to transfer data from one portal to another (for example, when using Google Account login, Facebook login, Vkontakte login and other types of Single SignOn solutions);

подтверждение данных платежных операций в системах дистанционного банковского обслуживания (онлайн-банкинг) при осуществлении платежных и других операций;confirmation of payment transaction data in remote banking systems (online banking) when making payment and other transactions;

при проведении операций по платежным картам в онлайн-платежах (Card-Not-Present-операции) в качестве способа подтверждения обладания платежной картой (например, при использовании VISA 3D Secure, MasterCard SecureCode);when conducting transactions with payment cards in online payments (Card-Not-Present transactions) as a way to confirm the possession of a payment card (for example, when using VISA 3D Secure, MasterCard SecureCode);

подтверждение волеизъявлений в системах электронного документооборота визирование электронных документов с удостоверением личности визирующего и т.п.confirmation of declarations of intent in electronic document management systems endorsement of electronic documents with an identity card of the approver, etc.

В информационных системах, автоматизирующих различные виды документооборота внутри или между организациями и/или физическими лицами, для подтверждения волеизъявлений используются различные виды подтверждений. Подтверждение необходимо для того, чтобы удостоверить личность, выражающую волеизъявление, а также для обеспечения функций безопасности при автоматизации процесса обмена документами.In information systems that automate various types of document flow within or between organizations and / or individuals, various types of confirmations are used to confirm expressions of will. Verification is necessary in order to verify the identity expressing the will, as well as to provide security features when automating the document exchange process.

В критичных с точки зрения безопасности информационных системах, например в системах дистанционного банковского обслуживания, платежных системах, системах сбора решений коллегиальных органов управления и пр., методы подтверждения должны обеспечивать широкий круг функций безопасности, включающий подтверждение авторства;In security-critical information systems, such as remote banking systems, payment systems, collegial decision collection systems, etc., verification methods should provide a wide range of security functions, including authorship verification;

возможность обнаружения факта внесения изменений после подтверждения.the possibility of detecting the fact of making changes after confirmation.

Традиционно эти задачи решаются средствами криптографической защиты информации, на основе которых работают системы и средства электронной подписи. То есть для электронного документа или транзакции вырабатывается электронная подпись, которая становится реквизитом документа, описывающего волеизъявление. И она обеспечивает необходимые функции безопасности.Traditionally, these tasks are solved by means of cryptographic information protection, on the basis of which electronic signature systems and means work. That is, for an electronic document or transaction, an electronic signature is generated, which becomes the requisite of the document describing the will. And it provides the necessary security features.

Для выработки электронной подписи и хранения ключа электронной подписи широко применяются различные криптографические программные и аппаратные средства, такие как токены, смарт-карты, например линейка продуктов SafeNet Authenticators, или специализированное программное обеспечение, такое как КриптоПро CSP, Microsoft Base Cryptographic Provider и т.п. При этом данные средства функционируют в среде персонального компьютера и зачастую являются причинами неудобств для пользователя, так как сложны в настройке и использовании.To generate an electronic signature and store an electronic signature key, various cryptographic software and hardware are widely used, such as tokens, smart cards, such as the SafeNet Authenticators product line, or specialized software, such as CryptoPro CSP, Microsoft Base Cryptographic Provider, etc. . At the same time, these tools operate in a personal computer environment and often cause inconvenience for the user, as they are difficult to set up and use.

Чтобы упростить использование средств подтверждения, часто используют генераторы одноразовых паролей, например eToken PASS, которые представляют собой автономные устройства, формирующие одноразовые пароли.To simplify the use of verification tools, one-time password generators are often used, such as eToken PASS, which are stand-alone devices that generate one-time passwords.

Основным недостатком данных устройств является тот факт, что формируемые ими одноразовые пароли не обеспечивают неизменности электронного документа. Они могут только подтвердить, что определенное лицо обладает данным устройством. То есть если завладеть кодом или несколькими кодами, сформированными данным устройством, то можно подтвердить любой электронный документ независимо от содержания. Это означает, что электронный документ или транзакция могут быть изменены после подтверждения. Следовательно, данные устройства не обеспечивают необходимых функций безопасности.The main disadvantage of these devices is the fact that the one-time passwords generated by them do not ensure the immutability of the electronic document. They can only confirm that a certain person is in possession of the device. That is, if you take possession of the code or several codes generated by this device, then you can confirm any electronic document, regardless of content. This means that an electronic document or transaction can be changed after confirmation. Therefore, these devices do not provide the required safety features.

Другим видом автономных устройств, формирующих подтверждения, являются МАС-вычислители (Message Authentication Code). Их другое название - TAN-генераторы (Transaction Authentication Number). Например, https://www.vasco.com/products/two-factor-authenticators/hardware/card-readers/digipass-836.htmlMessage Authentication Code (MAC) calculators are another type of autonomous devices that generate confirmations. Their other name is TAN generators (Transaction Authentication Number). For example, https://www.vasco.com/products/two-factor-authenticators/hardware/card-readers/digipass-836.html

В данный тип устройств вручную или по оптическому каналу вносится ограниченный набор информации (например, последние 6 цифр счета получателя), на основании которых вычисляется код подтверждения операции, привязанный к введенному значению.In this type of device, a limited set of information is entered manually or via an optical channel (for example, the last 6 digits of the recipient's account), on the basis of which the transaction confirmation code is calculated, tied to the entered value.

Эти устройства предоставляют высокий уровень безопасности, но в использовании являются очень неудобными, так как требуют большого количества ручных операций:These devices provide a high level of security, but are very inconvenient to use, as they require a large number of manual operations:

ввод пин-кода на генератор;entering a pin code on the generator;

ввод значений (обычно до 20 цифр) для вычисления кода;entering values (usually up to 20 digits) to calculate the code;

получение кода;getting a code;

ввод его в информационную систему.entering it into the information system.

- 1 041505- 1 041505

При этом данное устройство всегда должно быть при себе.In this case, this device should always be with you.

Так как во многих информационных системах, ориентированных на широкий круг неопытных пользователей, одним из решающих факторов успешности является удобство, то широкое распространение получили способы подтверждения, когда некий код подтверждения приходит из информационной системы на мобильный телефон пользователю посредством SMS-сообщения или PUSH-уведомления. И этот код должен быть введен в интерфейс информационной системы для подтверждения. При этом код подтверждения передается посредством незащищенных каналов (SMS или PUSH), т.е. он доступен для прочтения третьим лицам. Следовательно, данный метод также не обеспечивает необходимых функций безопасности, хоть и обладает высоким уровнем удобства. Подтверждением этому являются рекомендации регуляторов (http://iz.ru/news/636249?page=1) в области информационной безопасности и институтов по стандартизации не использовать SMS для передачи кодов подтверждения (https://pages.nist.gov/80063-3/), а также прямой запрет производителей платформ для смартфонов (Apple, Google, Microsoft) на передачу конфиденциальной информации посредством PUSH-уведомлений.Since in many information systems aimed at a wide range of inexperienced users, one of the decisive success factors is convenience, confirmation methods are widely used when a certain confirmation code comes from the information system to the user's mobile phone via SMS or PUSH notification. And this code must be entered into the information system interface for confirmation. In this case, the confirmation code is transmitted via insecure channels (SMS or PUSH), i.e. it is available for reading by third parties. Therefore, this method also does not provide the necessary security features, although it has a high level of convenience. This is confirmed by the recommendations of regulators (http://iz.ru/news/636249?page=1) in the field of information security and standardization institutions not to use SMS to transmit confirmation codes (https://pages.nist.gov/80063- 3/), as well as a direct prohibition of smartphone platform manufacturers (Apple, Google, Microsoft) on the transfer of confidential information via PUSH notifications.

Сущность изобретенияThe essence of the invention

Заявленное решение направлено на обеспечение функций безопасности, при этом значительно упрощая процесс аутентификации пользователя, повышая удобство организации процесса обмена и обработки информации по сравнению с существующими способами подтверждения.The claimed solution is aimed at providing security functions, while significantly simplifying the user authentication process, increasing the convenience of organizing the process of exchanging and processing information compared to existing confirmation methods.

Техническим результатом является обеспечение защищенного процесса аутентификации пользователя и сокращение времени аутентификации пользователя. При этом заявленный способ позволяет организовать разделение (обмен) ключей несколькими способами, использовать как симметричную, так и асимметричную криптографию для подтверждения, а также выполнить необходимые требования по защищенности и секретности в процессе упомянутого разделения.The technical result is to provide a secure user authentication process and reduce the user authentication time. At the same time, the claimed method allows organizing the separation (exchange) of keys in several ways, using both symmetric and asymmetric cryptography for confirmation, and also fulfilling the necessary requirements for security and secrecy in the process of said separation.

Изобретение реализуется за счет осуществления способа подтверждения подлинности данных пользователя, содержащий этапы, на которых на прикладном сервисе инициируют процедуру проверки подлинности данных, полученных от устройства ввода данных пользователя, в ходе которой осуществляют передачу полученных от устройства ввода данных пользователя данных на сервис подтверждения;The invention is implemented by implementing a method for authenticating user data, comprising the steps of initiating an authentication procedure for the data received from the user input device on the application service, during which the data received from the user input device is transmitted to the confirmation service;

сервис подтверждения передает данные, которые подлежат проверке на подлинность и полученные от прикладного сервиса, на вычислительное устройство пользователя, которое выполнено с возможностью ввода пользователем команды подтверждения подлинности данных, полученных прикладным сервисом от устройства ввода данных пользователя;the validation service transmits the data to be authenticated and received from the application service to the user's computing device, which is configured for the user to input a command to validate the data received by the application service from the user's input device;

после чего вычислительное устройство пользователя в ответ на получение подтверждения подлинности данных, полученных прикладным сервисом от устройства ввода данных пользователя, формирует код подтверждения данных (КПД), который формируется на основании, по меньшей мере,after which the user's computing device, in response to receiving confirmation of the authenticity of the data received by the application service from the user's data input device, generates a data confirmation code (DAC), which is generated based on at least

a) содержания данных, полученных от устройства ввода данных пользователя прикладным сервисом;a) the content of the data received from the user input device by the application service;

b) уникальной секретной последовательности пользователя (УСПП);b) user unique secret sequence (USPS);

после чего выполняют передачу сформированного кода подтверждения данных на сервис подтверждения;after that, the generated data confirmation code is transmitted to the confirmation service;

после чего на сервисе подтверждения выполняют проверку сформированного кода подтверждения данных и передают результат проверки прикладному сервису;after that, on the confirmation service, the generated data confirmation code is checked and the result of the check is transmitted to the application service;

в ответ на успешную проверку сформированного кода подтверждения данных считают данные подлинными.in response to a successful check of the generated data confirmation code, the data is considered authentic.

В частном варианте реализации способа КПД формируется дополнительно на основании, по меньшей мере, времени выработки кода подтверждения данных;In a particular embodiment of the method, the PDC is additionally generated based on at least the time the data confirmation code was generated;

токена вычислительного устройства пользователя.token of the user's computing device.

В другом частном варианте реализации способа УСПП хранится на вычислительном устройстве пользователя.In another particular embodiment of the method, the USPN is stored on the user's computing device.

В другом частном варианте реализации способа токен вычислительного устройства пользователя формируется на основании по меньшей мере одного типа информации, выбираемого из группы серийный номер устройства;In another particular embodiment of the method, the user's computing device token is generated based on at least one type of information selected from the device serial number group;

IMEI устройства;device IMEI;

МАС-адрес;MAC address;

версия операционной системы устройства;operating system version of the device;

идентификатор программного обеспечения устройства.device software ID.

В другом частном варианте реализации способа формирование КПД на вычислительном устройстве пользователя и его проверка на сервисе подтверждения осуществляются криптографическим способом.In another particular embodiment of the method, the formation of the CPD on the user's computing device and its verification on the confirmation service are carried out in a cryptographic manner.

В другом частном варианте реализации способа передача данных пользователя от сервиса подтверждения на вычислительное устройство пользователя выполняется через прикладной сервис.In another particular embodiment of the method, the transfer of user data from the confirmation service to the user's computing device is performed via an application service.

В другом частном варианте реализации способа КПД от вычислительного устройства пользователя передается в сервис подтверждения через прикладной сервис.In another particular implementation of the method, the PDC is transmitted from the user's computing device to the confirmation service via the application service.

- 2 041505- 2 041505

В другом частном варианте реализации способа передача КПД через сервис осуществляется в автоматическом режиме с помощью канала передачи данных или с помощью ручного ввода информации в прикладной сервис пользователем.In another particular embodiment of the method, the transmission of the PDC through the service is carried out automatically using a data transmission channel or by manually entering information into the application service by the user.

В другом частном варианте реализации способа вычислительное устройство пользователя представляет собой мобильный телефон, смартфон, планшет, ноутбук, фаблет, портативную игровую приставку или носимое устройство в виде смарт-часов, или смарт-браслета.In another particular embodiment of the method, the user's computing device is a mobile phone, smartphone, tablet, laptop, phablet, portable game console, or wearable device in the form of a smart watch or smart bracelet.

В другом частном варианте реализации способа УСПП создается на сервисе подтверждения и передается в вычислительное устройство пользователя.In another particular embodiment of the method, the USPN is created on the confirmation service and transmitted to the user's computing device.

В другом частном варианте реализации способа УСПП передается по меньшей мере двумя частями в вычислительное устройство пользователя.In another particular embodiment of the method, the USGN is transmitted in at least two parts to the user's computing device.

В другом частном варианте реализации способа передача одной из частей УСПП осуществляется в виде двумерного графического кода или информации, отображаемой на устройстве отображения информации, или последовательности звуковых сигналов.In another particular embodiment of the method, the transmission of one of the USPP parts is carried out in the form of a two-dimensional graphic code or information displayed on an information display device, or a sequence of audio signals.

В другом частном варианте реализации способа части УСПП передаются по различным каналам передачи данных.In another particular embodiment of the method, parts of the USPN are transmitted over different data channels.

В другом частном варианте реализации способа УСПП передается по защищенному каналу передачи данных.In another particular embodiment of the method, the USPN is transmitted over a secure data channel.

В другом частном варианте реализации способа передача УСПП от сервиса на вычислительное устройство пользователя осуществляется через прикладной сервис.In another particular embodiment of the method, the transmission of the USPP from the service to the user's computing device is carried out through the application service.

В другом частном варианте реализации способа после получения вычислительным устройством пользователя УСПП на нем формируется пара закрытый-открытый ключ.In another particular embodiment of the method, after the user's computing device receives the USPP, a private-public key pair is formed on it.

В другом частном варианте реализации способа на вычислительном устройстве пользователя КПД формируется на основании данных открытого ключа, использующихся в качестве данных, полученных от пользователя и для которых проверяется подлинность.In another particular implementation of the method on the user's computing device, the PDC is generated based on the public key data used as the data received from the user and for which the authenticity is checked.

В другом частном варианте реализации способа КПД вместе с открытым ключом передаются на сервис подтверждения.In another particular implementation of the method, the CPD together with the public key are transmitted to the confirmation service.

В другом частном варианте реализации способа на этапе проверки данных на сервисе подтверждения выполняется проверка подлинности открытого ключа с помощью проверки КПД и, в случае если проверка успешна, то выполняется регистрация открытого ключа для вычислительного устройства пользователя на сервисе подтверждения для дальнейшей проверки КПД.In another particular embodiment of the method, at the stage of data verification on the confirmation service, the public key is authenticated by means of a PDC check and, if the verification is successful, then the public key is registered for the user's computing device on the confirmation service for further PDC verification.

В другом частном варианте реализации способа при формировании КПД на вычислительном устройстве пользователя в качестве УСПП используется закрытый ключ, а при проверке на сервисе подтверждения - зарегистрированный открытый ключ для данного вычислительного устройства пользователя.In another particular embodiment of the method, when generating the KPD on the user's computing device, the private key is used as the USPP, and when checking on the confirmation service, the registered public key for the given user's computing device is used.

Заявленное решение реализуется также за счет осуществления системы подтверждения пользователем подлинности данных, направленных на прикладной сервис, которая содержит устройство ввода данных пользователя, с помощью которого данные формируются и передаются по каналу связи на прикладной сервис;The claimed solution is also implemented through the implementation of a user authentication system for data sent to the application service, which contains a user input device, through which data is generated and transmitted over a communication channel to the application service;

прикладной сервис, выполненный с возможностью проверки подлинности данных, полученных от устройства ввода данных пользователя, в ходе которой осуществляют передачу данных, полученных от устройства ввода данных пользователя на сервис подтверждения;an application service configured to authenticate the data received from the user input device, which transmits the data received from the user input device to the confirmation service;

сервис подтверждения, выполненный с возможностью передачи данных, полученных от устройства ввода данных пользователя и для которых проверяется подлинность, на вычислительное устройство пользователя, которое выполнено с возможностью ввода пользователем команды подтверждения подлинности данных, полученных от устройства ввода данных, причем вычислительное устройство пользователя, выполненное с возможностью в ответ на ввод команды подтверждения подлинности данных, полученных от пользователя, посредством устройства ввода данных пользователя, прикладным сервисом осуществляет формирование кода подтверждения данных, характеризующегося тем, что упомянутый код подтверждения формируется на основании, по меньшей мере, содержания данных, полученных от устройства ввода данных пользователя прикладным сервисом, и уникальной секретной последовательности пользователя (УСПП); и выполнено с возможностью передачи сформированного кода подтверждения данных на сервис подтверждения, который выполнен с возможностью проверки сформированного кода подтверждения данных и передачи результата проверки прикладному сервису, который в ответ на успешную проверку считает данные, полученные от устройства ввода данных пользователя, подлинными.confirmation service configured to transmit data received from the user's input device and for which authentication is being verified to the user's computing device, which is configured to input by the user a command to authenticate the data received from the input device, wherein the user's computing device configured with the possibility, in response to the input of a command to confirm the authenticity of data received from the user, by means of the user data input device, the application service generates a data confirmation code, characterized in that said confirmation code is generated based on at least the content of the data received from the input device user data by the application service, and the user's unique secret sequence (USPP); and configured to transmit the generated data confirmation code to a confirmation service, which is configured to check the generated data confirmation code and transmit the verification result to the application service, which, in response to a successful verification, considers the data received from the user input device to be authentic.

В частном варианте реализации системы вычислительное устройство пользователя представляет собой мобильный телефон, смартфон, планшет, ноутбук, фаблет, портативную игровую приставку или носимое устройство в виде смарт-часов или смарт-браслета.In a particular implementation of the system, the user's computing device is a mobile phone, smartphone, tablet, laptop, phablet, portable game console, or wearable device in the form of a smart watch or smart bracelet.

В другом частном варианте реализации системы код подтверждения данных формируется дополнительно на основании, по меньшей мере, времени выработки кода подтверждения данных;In another particular embodiment of the system, the data confirmation code is additionally generated based on at least the time the data confirmation code was generated;

токена вычислительного устройства пользователя.token of the user's computing device.

В другом частном варианте реализации системы УСПП создается на сервисе подтверждения и храIn another particular implementation of the USPP system, it is created on the confirmation and storage service.

- 3 041505 нится на вычислительном устройстве пользователя. В другом частном варианте реализации системы токен вычислительного устройства пользователя формируется на основании по меньшей мере одного типа информации, выбираемого из группы серийный номер устройства;- 3 041505 is on the user's computing device. In another particular implementation of the system, the user's computing device token is generated based on at least one type of information selected from the device serial number group;

IMEI устройства;device IMEI;

МАС-адрес;MAC address;

версия операционной системы устройства;operating system version of the device;

идентификатор программного обеспечения устройства.device software ID.

В другом частном варианте реализации системы УСПП передается по меньшей мере двумя частями на вычислительное устройство пользователя.In another particular embodiment of the system, the USGN is transmitted in at least two parts to the user's computing device.

В другом частном варианте реализации системы передача одной из частей УСПП осуществляется в виде двумерного графического кода или информации, отображаемой на устройстве отображения информации, или последовательности звуковых сигналов.In another particular embodiment of the system, the transmission of one of the USPP parts is carried out in the form of a two-dimensional graphic code or information displayed on an information display device, or a sequence of audio signals.

В другом частном варианте реализации системы части УСПП передаются по различным каналам передачи данных.In another particular embodiment of the system, parts of the USGN are transmitted over different data transmission channels.

В другом частном варианте реализации системы после получения вычислительным устройством пользователя УСПП на нем формируется пара закрытый-открытый ключ.In another particular embodiment of the system, after the user's computing device receives the USPP, a private-public key pair is formed on it.

В другом частном варианте реализации системы на вычислительном устройстве пользователя код подтверждения данных формируется на основании данных открытого ключа, использующихся в качестве данных, полученных от устройства ввода данных пользователя, и для которых проверяется подлинность.In another particular implementation of the system on the user's computing device, the data confirmation code is generated based on public key data used as data received from the user's input device and authenticated.

В другом частном варианте реализации системы сформированный код подтверждения данных вместе с открытым ключом передается на сервис подтверждения. В другом частном варианте реализации системы сервис подтверждения осуществляет проверку подлинности открытого ключа с помощью проверки сформированного кода подтверждения данных и, в случае если проверка успешна, то выполняет регистрацию открытого ключа для вычислительного устройства пользователя для последующей проверки сформированного кода подтверждения данных. В другом частном варианте реализации системы при формировании кода подтверждения данных на вычислительном устройстве пользователя в качестве УСПП используется закрытый ключ, а при проверке на сервисе подтверждения - зарегистрированный открытый ключ для данного вычислительного устройства пользователя.In another particular implementation of the system, the generated data confirmation code, together with the public key, is transmitted to the confirmation service. In another particular implementation of the system, the confirmation service authenticates the public key by checking the generated data confirmation code and, if the verification is successful, then registers the public key for the user's computing device for subsequent verification of the generated data confirmation code. In another particular implementation of the system, when generating a data confirmation code on the user's computing device, a private key is used as USPP, and when checking on the confirmation service, the registered public key for this user's computing device is used.

Описание чертежейDescription of drawings

Фиг. 1-12 иллюстрируют выполнение заявленного способа, фиг. 13 - общий вид вычислительного устройства пользователя, предназначенного для реализации заявленного способа (устройства подтверждения).Fig. 1-12 illustrate the implementation of the claimed method, FIG. 13 is a general view of the user's computing device designed to implement the claimed method (confirmation device).

Детальное описание изобретенияDetailed description of the invention

Согласно фиг. 1 метод основан на том, что для подтверждения используется вычислительное устройство пользователя (4), в базовом варианте представляющее собой смартфон, который в настоящее время есть у подавляющего большинства пользователей информационных систем. Данное устройство взаимодействует с сервисом подтверждения (3), который выполняет транспортные функции (взаимодействие с вычислительными устройствами пользователей (4) через каналы связи) и функции безопасности (проверку подтверждений), а также обеспечивает взаимодействие с информационными системами (прикладными сервисами) (2).According to FIG. Method 1 is based on the fact that the user's computing device (4) is used for confirmation, which in the basic version is a smartphone, which the vast majority of users of information systems currently have. This device interacts with the confirmation service (3), which performs transport functions (interaction with user computing devices (4) through communication channels) and security functions (checking confirmations), and also provides interaction with information systems (application services) (2).

Метод подразумевает, что подтверждение данных вырабатывается непосредственно вычислительным устройством пользователя (4) на основе выполнения математических (криптографических) преобразований над данными, полученными от пользователя (1), посредством устройства ввода данных пользователя (электронным документом или транзакцией), что позволяет однозначно определить автора и обнаружить внесение изменений после подтверждения, а также исключить использование недоверенных каналов (мобильная сеть, push-канал) связи для доставки пользователю сформированного кода подтверждения.The method implies that data confirmation is generated directly by the user's computing device (4) based on the performance of mathematical (cryptographic) transformations on the data received from the user (1) by means of the user's data input device (electronic document or transaction), which makes it possible to uniquely identify the author and detect changes after confirmation, as well as exclude the use of untrusted communication channels (mobile network, push channel) for delivering the generated confirmation code to the user.

На этапе (S101) пользователь (1) посредством устройства ввода данных пользователя формирует данные для прикладного сервиса (2) и выполняет их передачу по выбранному каналу связи. Под каналом связи может пониматься широкий спектр средств и методов для передачи информации, в частности, проводного и/или беспроводного типа, таких как Ethernet, LAN, WLAN, Wi-Fi, оптические каналы (IrDa), NFC, Bluetooth, BLE, сеть Интернет и т.п.In step (S101), the user (1) generates data for the application service (2) by means of the user input device and transmits it over the selected communication channel. A communication channel can be understood as a wide range of means and methods for transmitting information, in particular, wired and / or wireless type, such as Ethernet, LAN, WLAN, Wi-Fi, optical channels (IrDa), NFC, Bluetooth, BLE, the Internet and so on.

Получив данные для подтверждения от пользователя, посредством устройства ввода данных пользователя прикладной сервис (2) инициирует процедуру проверки подлинности данных, полученных от устройства ввода данных пользователя, в ходе которой осуществляют передачу полученных данных на сервис подтверждения (3) на этапе (S102). Далее на этапе (S103) с помощью сервиса подтверждения (3) осуществляется передача данных, полученных от прикладного сервиса (2) на вычислительное устройство пользователя (4), выполненное с возможностью получения от пользователя (1) команды подтверждения правильности данных.After receiving the confirmation data from the user, the application service (2) initiates the authentication procedure for the data received from the user input device through the user input device, during which the received data is transmitted to the confirmation service (3) in step (S102). Next, in step (S103), the confirmation service (3) transmits the data received from the application service (2) to the user's computing device (4), configured to receive a data validation command from the user (1).

Вычислительное устройство пользователя (4) выполняет взаимодействие (S104) с пользователемThe user computing device (4) performs interaction (S104) with the user

- 4 041505 (1), в процессе которого пользователь (1) выполняет ознакомление с данными, которые он подтверждает, и выражает согласие с их содержанием, т.е. даёт команду подтверждения правильности данных.- 4 041505 (1), during which the user (1) performs an acquaintance with the data, which he confirms, and agrees with their content, i.e. gives a command to confirm the correctness of the data.

На этапе (S105) устройство (4) в ответ на получение команды от пользователя (1) осуществляет формирование кода подтверждения данных (КПД) и выполняет его передачу на сервис подтверждения (3). Генерация такой команды может осуществляться с помощью ввода кода подтверждения (например, пароля), взаимодействия с графическим интерфейсом пользователя (GUI) на устройстве (4), ввода голосовой команды с помощью NFC аутентификатора, биометрических средств (сканер отпечатка пальцев, сканер сетчатки глаза) и т.п.In step (S105), the device (4), in response to receiving a command from the user (1), generates a data confirmation code (DAC) and transmits it to the confirmation service (3). Such a command can be generated by entering a verification code (for example, a password), interacting with the graphical user interface (GUI) on the device (4), entering a voice command using an NFC authenticator, biometrics (fingerprint scanner, iris scanner), and etc.

Затем сервис подтверждения (3) выполняет проверку КПД и передает результат проверки прикладному сервису (2) на этапе (S106). В ответ на успешную проверку считают данные, полученные от пользователя посредством устройства ввода данных пользователя, подтвержденными. В ходе успешной проверки формируются данные подтверждения процесса аутентификации пользователя для целей такой проверки, например транзакции или логина на веб-ресурсе.Then, the confirmation service (3) performs a performance check and transmits the result of the check to the application service (2) in step (S106). In response to a successful verification, the data received from the user through the user input device is considered to be confirmed. A successful verification generates confirmation data of the user authentication process for the purpose of such verification, such as a transaction or login on a web resource.

КПД формируется на основании одного или более типов данных, которые выбираются из группы содержание данных, время выработки КПД, уникальной секретной последовательности пользователя (УСПП) или токена вычислительного устройства пользователя (4). Дополнительно КПД может также формироваться с использованием вычислительных возможностей SIM-карты (Subscriber Identification Module) и процессора устройства (4), в случае, когда в качестве вычислительного устройства пользователя (4) используется смартфон или планшет.The PDC is generated based on one or more data types that are selected from the group data content, PDC generation time, user unique secret sequence (USPS), or user computing device token (4). Additionally, the efficiency can also be generated using the computing capabilities of the SIM card (Subscriber Identification Module) and the processor of the device (4), in the case when a smartphone or tablet is used as the user's computing device (4).

УСПП хранится на вычислительном устройстве пользователя (4).USPP is stored on the user's computing device (4).

Токен вычислительного устройства пользователя (4) формируется на основании по меньшей мере одного типа информации, выбираемого из группы серийный номер устройства;The user's computing device token (4) is generated based on at least one type of information selected from the device serial number group;

IMEI устройства;device IMEI;

МАС-адрес;MAC address;

версия операционной системы устройства;operating system version of the device;

идентификатор программного обеспечения устройства.device software ID.

Как показано на фиг. 2, передача данных от сервиса подтверждения (3) в вычислительное устройство пользователя (4) может выполняться через прикладной сервис (2) (S201). При этом способ передачи может быть автоматический с помощью заданного канала связи (S202); автоматизированный с применением средств автоматизации передачи информации при отсутствии канала связи у вычислительного устройства пользователя (4), например оптический, звуковой или радиоканал (фиг. 3), с помощью устройства авторизации пользователя (5), например терминала.As shown in FIG. 2, transmission of data from the confirmation service (3) to the user computing device (4) may be performed via the application service (2) (S201). Here, the transmission method may be automatic using a predetermined communication channel (S202); automated using information transfer automation tools in the absence of a communication channel at the user's computing device (4), for example, an optical, audio or radio channel (Fig. 3), using a user authorization device (5), for example, a terminal.

В случае использования устройства авторизации (5) информация сначала передается (S203) на него, после чего считывается (S204) вычислительным устройством пользователя (4). Считывание информации может осуществляться с помощью различных каналов передачи данных, проводного и/или беспроводного типа, оптических, световых, радиоканала, звуковых и т.п.In the case of using an authorization device (5), the information is first transmitted (S203) to it, after which it is read (S204) by the user's computing device (4). Reading information can be carried out using various data transmission channels, wired and / or wireless type, optical, light, radio channel, sound, etc.

На фиг. 4 показан пример ручного ввода информации в случае, когда отсутствует соединение между вычислительным устройством пользователя (4) и прикладным сервисом (2). Информация может предоставляться в виде, воспринимаемом человеком, при этом информация передается (S205) на устройство авторизации (5) и вводится пользователем (1) в вычислительное устройство пользователя (4) вручную, например, в виде отображенного на экране устройства (5) кода или записи воспроизводимого звукового сигнала устройством (4).In FIG. 4 shows an example of manual input of information in the case when there is no connection between the user's computing device (4) and the application service (2). The information may be provided in a human readable form, the information being transmitted (S205) to the authorization device (5) and entered by the user (1) into the user's computing device (4) manually, for example, in the form of a code displayed on the screen of the device (5) or recording the reproduced sound signal by the device (4).

Как показано на фиг. 5, может использоваться дополнительное устройство (6), канал связи (S207), который используется пользователем (1), например персональный компьютер, смартфон, планшет или терминал, к которому подключается вычислительное устройство пользователя (4).As shown in FIG. 5, an additional device (6), a communication channel (S207) that is used by the user (1), such as a personal computer, smartphone, tablet, or terminal, to which the user's computing device (4) is connected, can be used.

Согласно фиг. 6, КПД от вычислительного устройства пользователя (4) может передаваться в сервис подтверждения (3) через прикладной сервис (2). Передача КПД может осуществляется в автоматическом режиме с помощью канала передачи данных или с помощью ручного ввода информации в прикладной сервис (2) пользователем (1), как изображено на фиг. 7. Ручной ввод КПД в сервис (2) может (S303) осуществляться с помощью ввода кода или иной информации в интерфейс прикладного сервиса (2) (S304). Процесс персонализации вычислительного устройства пользователя (4) в рамках описанного метода всегда начинается с обмена уникальной секретной последовательностью пользователя (УСПП) между сервисом подтверждения (3) и вычислительным устройством пользователя (4). УСПП формируется на стороне сервиса подтверждения (3), после чего подразумевается несколько способов передачи его в вычислительное устройство (4): передача УСПП полностью (в случае наличия доверенного канала между вычислительным устройством пользователя и прикладным сервисом (2), обычно это означает из-рукв-руки в печатном виде); передача УСПП двумя частями по разным каналам, когда есть вероятность компрометации одного из каналов передачи (например, один канал - монитор компьютера пользователя; второй - SMS или email); передача УСПП онлайн, если существует защищенный канал между вычислительным устройством пользователя (4) и сервисом подтверждения (3) или между вычислительным устройством пользователя (4) и прикладным сервисом (2).According to FIG. 6, the PDC from the user computing device (4) may be transmitted to the confirmation service (3) via the application service (2). The transmission of the PDC can be performed automatically using a data link or by manually entering information into the application service (2) by the user (1), as shown in FIG. 7. Manual entry of the PDC into the service (2) may (S303) be performed by entering a code or other information into the interface of the application service (2) (S304). The process of personalizing the user's computing device (4) within the framework of the described method always begins with the exchange of a unique secret user sequence (USPS) between the confirmation service (3) and the user's computing device (4). USPP is formed on the side of the confirmation service (3), after which several ways of its transmission to the computing device (4) are implied: - hands in printed form); transmission of USPP in two parts via different channels, when there is a possibility of compromising one of the transmission channels (for example, one channel is the user's computer monitor; the second is SMS or email); transmission of USPP online if there is a secure channel between the user's computing device (4) and the confirmation service (3) or between the user's computing device (4) and the application service (2).

- 5 041505- 5 041505

На фиг. 8 представлен пример передачи УСПП (7) в вычислительное устройство пользователя (4). УСПП (7) формируется сервисом подтверждения (3) и передается (S401) в вычислительное устройство пользователя (4). УСПП (7) может передаваться в виде информации, закодированной визуальным способом, например двухмерный штрих-код, QR-код и т.п., либо в виде физического носителя (распечатка) или путем отображения на устройстве авторизации (5). УСПП (7) вносится (S402) в вычислительное устройство пользователя (4) путем его считывания с помощью соответствующих средств устройства (4).In FIG. 8 shows an example of transmitting the USPG (7) to the user's computing device (4). The USRP (7) is generated by the confirmation service (3) and transmitted (S401) to the user's computing device (4). USPP (7) can be transmitted in the form of visually encoded information, such as a two-dimensional barcode, QR code, etc., or in the form of a physical medium (printout) or by displaying on the authorization device (5). USPP (7) is entered (S402) into the user's computing device (4) by reading it using the appropriate means of the device (4).

Как показано на фиг. 9 УСПП (7) может также передаваться по меньшей мере двумя частями на вычислительное устройство пользователя (4), в частности, одна из частей (8) может представлять собой информацию, закодированную визуальным способом, например двухмерный штрих-код; другая часть (9) информацию в человекочитаемом виде, например текст или код.As shown in FIG. 9 USPP (7) can also be transmitted in at least two parts to the user's computing device (4), in particular, one of the parts (8) can be visually encoded information, such as a two-dimensional barcode; the other part (9) information in human readable form, such as text or code.

Части УСПП (8) и (9) могут передаваться по разным каналам передачи данных, например первая часть (8) путем отображения (S403) на устройстве авторизации (5), например мониторе терминала, вторая (9) - путем отправки SMS (Short Message Service) сообщения или PUSH уведомления (S404). УСПП вносится в вычислительное устройство пользователя (4) путем считывания первой части (8) кода и ввода пользователем (1) второй части (9) с последующим их объединением (S405) с помощью программноаппаратных средств устройства (4).USPP parts (8) and (9) can be transmitted via different data transmission channels, for example, the first part (8) by displaying (S403) on the authorization device (5), such as a terminal monitor, the second (9) by sending SMS (Short Message Service) messages or PUSH notifications (S404). USPP is entered into the user's computing device (4) by reading the first part (8) of the code and entering the second part (9) by the user (1) with their subsequent combination (S405) using the firmware of the device (4).

Согласно фиг. 10 возможен также способ передачи УСПП (7) с помощью защищенного канала передачи данных (S406).According to FIG. 10, it is also possible to transmit the USPG (7) using a secure data channel (S406).

Согласно фиг. 11 УСПП (7) может также передаваться с использованием защищенного канала передачи данных между вычислительным устройством пользователя (4) и прикладным сервисом (2). При этом УСПП (7) передается от сервиса подтверждения (3) в прикладной сервис (2) (S407), после чего по защищенному каналу передается в вычислительное устройство пользователя (4) (S408).According to FIG. 11 USPP (7) can also be transmitted using a secure data transmission channel between the user's computing device (4) and the application service (2). In this case, the USPP (7) is transmitted from the confirmation service (3) to the application service (2) (S407), after which it is transmitted via a secure channel to the user's computing device (4) (S408).

После того как вычислительное устройство пользователя (4) и сервис подтверждения (3) имеют разделенное (одинаковое) значение УСПП, устройство (4) имеет возможность выполнять операции подтверждения в соответствии с методом.After the user computing device (4) and the confirmation service (3) have a shared (same) USRC value, the device (4) is able to perform confirmation operations in accordance with the method.

Тем не менее, использование асимметричной криптографии для подтверждения является более предпочтительным из-за своих свойств. В частности, в этом случае выработать подтверждение может только вычислительное устройство пользователя (4), а проверить его может любой желающий, в том числе сервис подтверждения (2). Но для использования асимметричной криптографии необходимо решить задачу сопоставления конкретного устройства (4) с записью на сервисе подтверждения (2). Использование инфраструктуры открытых ключей и цифровых сертификатов является крайне сложным технически и организационно, поэтому метод предполагает для решения этой задачи использовать уже разделенное значение УСПП.However, the use of asymmetric cryptography for confirmation is preferred due to its properties. In particular, in this case, only the user's computing device (4) can generate a confirmation, and anyone can check it, including the confirmation service (2). But to use asymmetric cryptography, it is necessary to solve the problem of matching a specific device (4) with a record on the confirmation service (2). The use of a public key infrastructure and digital certificates is extremely complex technically and organizationally, so the method involves using the already divided USPP value to solve this problem.

При этом устройство (4) формирует пару закрытый-открытый ключ и предоставляет открытый ключ сервису подтверждения (2) для регистрации. Для удостоверения, что открытый ключ не был подменен в процессе передачи, устройство (4) вырабатывает для открытого ключа подтверждение авторства и неизменности на основе УСПП. И после успешной регистрации открытого ключа дальнейшие подтверждения вырабатываются на основе асимметричной криптографии.In this case, the device (4) generates a private-public key pair and provides the public key to the confirmation service (2) for registration. In order to verify that the public key has not been tampered with during transmission, the device (4) generates for the public key a confirmation of authorship and immutability based on the USPC. And after the successful registration of the public key, further confirmations are generated based on asymmetric cryptography.

Согласно фиг. 12 после получения вычислительным устройством пользователя (4) УСПП (S409) на нем формируется пара закрытый-открытый ключ с помощью асимметричных криптографических алгоритмов (S410). На устройстве (4) КПД может также формироваться на основании данных открытого ключа, использующихся в качестве содержания данных, полученных от пользователя (S411). КПД также может быть передан вместе с открытым ключом на сервис подтверждения (3) (S412).According to FIG. 12, after the user's computing device (4) receives the USPP (S409), a private-public key pair is formed on it using asymmetric cryptographic algorithms (S410). On the device (4), the PDC may also be generated based on the public key data used as the content of the data received from the user (S411). The PDC may also be transmitted along with the public key to the confirmation service (3) (S412).

На этапе проверки данных на сервисе подтверждения (3) выполняется проверка неизменности открытого ключа с помощью проверки КПД, и в случае если проверка успешна, выполняется регистрация открытого ключа для устройства (4) на сервисе подтверждения (3) для дальнейшей проверки КПД.At the stage of data verification on the confirmation service (3), the persistence of the public key is checked using the efficiency check, and if the check is successful, the public key for the device (4) is registered on the confirmation service (3) for further verification of the efficiency.

При формировании КПД на вычислительном устройстве пользователя (4) в качестве УСПП может использоваться закрытый ключ, а при проверке на сервисе подтверждения (3) - зарегистрированный открытый ключ для данного устройства (4).When generating the KPD on the user's computing device (4), the private key can be used as USPP, and when checking on the confirmation service (3), the registered public key for this device (4) can be used.

Результат асимметричного криптографического преобразования представляет собой длинную (до 512 символов) цифробуквенную последовательность. Поэтому предпочтительно осуществлять такую передачу кода в автоматическом режиме. Использование симметричной криптографии позволяет выполнять урезание результата криптографических преобразований до любой длины (обычно 6-10 цифр и букв), что делает возможным передать код подтверждения автоматизировано или вручную. Но при наличии канала связи данное упрощение снижает уровень безопасности процесса подтверждения, так как урезанный код, передаваемый с участием человека, менее стоек к перебору, а также подвержен методам социальной инженерии (когда значение кода обманным путем выведывается у пользователя мошенником при общении). Таким образом, метод позволяет организовать максимально удобное разделение (обмен) УСПП (ключей) несколькими способами, использовать как симметричную, так и асимметричную криптографию для подтверждения, а также выполнить необходимые требования по защищенности и секретности в процессе разделения.The result of an asymmetric cryptographic transformation is a long (up to 512 characters) alphanumeric sequence. Therefore, it is preferable to carry out such code transmission in automatic mode. The use of symmetric cryptography allows the result of cryptographic transformations to be truncated to any length (usually 6-10 digits and letters), which makes it possible to transmit the confirmation code automatically or manually. But in the presence of a communication channel, this simplification reduces the level of security of the confirmation process, since the truncated code transmitted with the participation of a person is less resistant to brute force, and is also subject to social engineering methods (when the value of the code is deceived from the user by a fraudster during communication). Thus, the method allows organizing the most convenient separation (exchange) of USPP (keys) in several ways, using both symmetric and asymmetric cryptography for confirmation, and also fulfilling the necessary requirements for security and secrecy in the process of separation.

Согласно фиг. 13 представлена принципиальная блок-схема вычислительного устройства (200), коAccording to FIG. 13 is a schematic block diagram of a computing device (200) that

--

Claims (33)

торое может использоваться для реализации функциональности вычислительного устройства пользователя (4), прикладного сервиса (2), сервиса подтверждения (3) и других устройств, в частности устройств (5) и (6). С помощью набора вычислительных устройств (200) реализуется система, обеспечивающая программно-аппаратное выполнение заявленного способа.which can be used to implement the functionality of the user's computing device (4), application service (2), confirmation service (3) and other devices, in particular devices (5) and (6). Using a set of computing devices (200), a system is implemented that provides hardware and software implementation of the claimed method. Система подтверждения данных пользователя реализуется с помощью нескольких вычислительных устройств (200), например персонального компьютера, ноутбука, планшета, сервера, серверного кластера, мейнфрема, носимых смарт-устройств (часы, браслет) и т.п.The user data confirmation system is implemented using several computing devices (200), such as a personal computer, laptop, tablet, server, server cluster, mainframe, wearable smart devices (watch, bracelet), etc. В общем случае устройство (200) содержит один или более процессоров (201), выполняющих основную вычислительную работу при реализации этапов способа подтверждения данных.In general, the device (200) includes one or more processors (201) that perform the main computational work in implementing the steps of the data validation method. Оперативную память (ОЗУ) (202), предназначенную для оперативного хранения команд, исполняемых одним или более процессорами (201).Random Access Memory (RAM) (202) for online storage of instructions executed by one or more processors (201). Средство хранения данных (203) может представлять собой жесткий диск (HDD), твердотельный накопитель (SSD), флэш-память (NAND-flash, EEPROM, Secure Digital и т.п.), оптический диск (CD, DVD, Blue Ray), мини-диск или их совокупности.The storage medium (203) may be a hard disk drive (HDD), solid state drive (SSD), flash memory (NAND-flash, EEPROM, Secure Digital, etc.), optical disk (CD, DVD, Blue Ray) , mini-disk or combinations thereof. Интерфейсы ввода/вывода (В/В) (204) представляют собой стандартные порты и средства сопряжения устройств и передачи данных, выбираемые исходя из необходимой конфигурации исполнения системы (200), в частности USB (2.0, 3.0, USB-C, micro, mini), Ethernet, PCI, AGP, COM, LPT, PS/2, SATA, FireWire, Lightning и т.п.Input/output (I/O) interfaces (204) are standard ports and means of interfacing devices and data transfer, selected based on the required configuration of the system execution (200), in particular USB (2.0, 3.0, USB-C, micro, mini ), Ethernet, PCI, AGP, COM, LPT, PS/2, SATA, FireWire, Lightning, etc. Средства В/В (205) также выбираются из известного спектра различных устройств, например клавиатура, тачпад, сенсорный дисплей, монитор, проектор, манипулятор мышь, джойстик, трекбол, световое перо, стилус, устройства вывода звука (колонки, наушники, встроенные динамики, зуммер) и т.п.I/O devices (205) are also selected from a known range of different devices, such as keyboard, touchpad, touch screen, monitor, projector, mouse, joystick, trackball, light pen, stylus, audio output devices (speakers, headphones, built-in speakers, buzzer), etc. Средства передачи данных (206) выбираются из устройств, предназначенных для реализации процесса коммуникации между различными устройствами посредством проводной и/или беспроводной связи, в частности, таким устройствами могут быть GSM модем, Wi-Fi приемопередатчик, Bluetooth или BLE модуль, GPS модуль, Глонасс модуль, NFC, Ethernet модуль и т.п.Data transmission means (206) are selected from devices designed to implement the communication process between various devices via wired and / or wireless communication, in particular, such devices can be a GSM modem, Wi-Fi transceiver, Bluetooth or BLE module, GPS module, Glonass module, NFC, Ethernet module, etc. Компоненты устройства (200) сопряжены между собой посредством общей шины передачи данных (210).The components of the device (200) are interconnected via a common data bus (210). ФОРМУЛА ИЗОБРЕТЕНИЯCLAIM 1. Способ подтверждения пользователем подлинности данных, направленных на прикладной сервис, содержащий этапы, на которых на прикладном сервисе (2) инициируют процедуру проверки подлинности данных, полученных от устройства ввода данных пользователя, в ходе которой осуществляют передачу полученных от устройства ввода данных пользователя данных на сервис подтверждения (3);1. A method for user confirmation of the authenticity of data sent to the application service, comprising the steps at which the application service (2) initiates the procedure for verifying the data received from the user's data input device, during which the data received from the user's data input device is transmitted to confirmation service (3); сервис подтверждения (3) передает данные, которые подлежат проверке на подлинность и полученные от прикладного сервиса (2), на вычислительное устройство пользователя (4), которое выполнено с возможностью ввода пользователем (1) команды подтверждения подлинности данных, полученных прикладным сервисом (2) от устройства ввода данных пользователя;the confirmation service (3) transmits the data to be authenticated and received from the application service (2) to the user's computing device (4), which is configured for the user (1) to enter a command to authenticate the data received by the application service (2) from a user input device; после чего вычислительное устройство пользователя (4) в ответ на получение подтверждения подлинности данных, полученных прикладным сервисом (2) от устройства ввода данных пользователя, формирует код подтверждения данных, который формируется на основании, по меньшей мере, содержания данных, полученных от устройства ввода данных пользователя прикладным сервисом (2);after which the user's computing device (4), in response to receiving confirmation of the authenticity of the data received by the application service (2) from the user's data input device, generates a data confirmation code, which is generated based on at least the content of the data received from the data input device application service user (2); уникальной секретной последовательности пользователя (УСПП);user unique secret sequence (USPP); после чего выполняют передачу сформированного кода подтверждения данных на сервис подтверждения (3);after that, the generated data confirmation code is transmitted to the confirmation service (3); после чего на сервисе подтверждения (3) выполняют проверку сформированного кода подтверждения данных и передают результат проверки прикладному сервису (2);after that, on the confirmation service (3), the generated data confirmation code is checked and the result of the check is transmitted to the application service (2); в ответ на успешную проверку сформированного кода подтверждения данных считают данные подлинными.in response to a successful check of the generated data confirmation code, the data is considered authentic. 2. Способ по п.1, характеризующийся тем, что код подтверждения данных формируется дополнительно на основании, по меньшей мере, времени выработки кода подтверждения данных;2. The method according to claim 1, characterized in that the data confirmation code is generated additionally based on at least the time of generation of the data confirmation code; токена вычислительного устройства пользователя (4).token of the user's computing device (4). 3. Способ по п.2, характеризующийся тем, что УСПП хранится на вычислительном устройстве пользователя (4).3. The method according to claim 2, characterized in that the USPN is stored on the user's computing device (4). 4. Способ по п.2, характеризующийся тем, что токен вычислительного устройства пользователя (4) формируется на основании по меньшей мере одного типа информации, выбираемого из группы серийный номер устройства;4. The method according to claim 2, characterized in that the user's computing device token (4) is generated based on at least one type of information selected from the device serial number group; IMEI устройства;device IMEI; МАС-адрес;MAC address; - 7 041505 версия операционной системы устройства;- 7 041505 device operating system version; идентификатор программного обеспечения устройства.device software ID. 5. Способ по п.1, характеризующийся тем, что формирование кода подтверждения данных на вычислительном устройстве пользователя (4) и его проверка на сервисе подтверждения (3) осуществляются криптографическим способом.5. The method according to claim 1, characterized in that the generation of a data confirmation code on the user's computing device (4) and its verification on the confirmation service (3) are carried out cryptographically. 6. Способ по п.1, характеризующийся тем, что передача данных, полученных от пользователя, которые подлежат проверке на подлинность, от сервиса подтверждения (3) на вычислительное устройство пользователя (4) выполняется через прикладной сервис (2).6. The method according to claim 1, characterized in that the transmission of data received from the user, which is subject to authentication, from the confirmation service (3) to the user's computing device (4) is performed through the application service (2). 7. Способ по п.1, характеризующийся тем, что сформированный код подтверждения данных от вычислительного устройства пользователя (4) передается в сервис подтверждения (3) через прикладной сервис (2).7. The method according to claim 1, characterized in that the generated data confirmation code from the user's computing device (4) is transmitted to the confirmation service (3) through the application service (2). 8. Способ по п.7, характеризующийся тем, что передача сформированного кода подтверждения данных через прикладной сервис (2) осуществляется в автоматическом режиме с помощью канала передачи данных или с помощью ручного ввода информации в прикладной сервис (2) пользователем с помощью устройства ввода данных пользователя.8. The method according to claim 7, characterized in that the transmission of the generated data confirmation code through the application service (2) is carried out automatically using a data transmission channel or by manually entering information into the application service (2) by the user using a data input device user. 9. Способ по п.1, характеризующийся тем, что вычислительное устройство пользователя (4) представляет собой мобильный телефон, смартфон, планшет, ноутбук, фаблет, портативную игровую приставку или носимое устройство в виде смарт-часов или смарт-браслета.9. The method according to claim 1, characterized in that the user's computing device (4) is a mobile phone, smartphone, tablet, laptop, phablet, portable game console or wearable device in the form of a smart watch or smart bracelet. 10. Способ по п.3, характеризующийся тем, что УСПП создается на сервисе подтверждения (3) и передается в вычислительное устройство пользователя (4).10. The method according to claim 3, characterized in that the USPN is created on the confirmation service (3) and transmitted to the user's computing device (4). 11. Способ по п.10, характеризующийся тем, что УСПП передается по меньшей мере двумя частями на вычислительное устройство пользователя (4).11. The method according to claim 10, characterized in that the USPN is transmitted in at least two parts to the user's computing device (4). 12. Способ по п.11, характеризующийся тем, что передача одной из частей УСПП осуществляется в виде двумерного графического кода или информации, отображаемой на устройстве отображения информации, или последовательности звуковых сигналов.12. The method according to claim 11, characterized in that the transmission of one of the USPP parts is carried out in the form of a two-dimensional graphic code or information displayed on an information display device, or a sequence of audio signals. 13. Способ по п.11, характеризующийся тем, что части УСПП передаются по различным каналам передачи данных.13. The method according to claim 11, characterized in that the parts of the USPN are transmitted over different data channels. 14. Способ по п.10, характеризующийся тем, что УСПП передается по защищенному каналу передачи данных.14. The method according to claim 10, characterized in that the USPN is transmitted over a secure data channel. 15. Способ по п.14, характеризующийся тем, что передача УСПП от сервиса подтверждения (3) на вычислительное устройство пользователя (4) осуществляется через прикладной сервис (2).15. The method according to claim 14, characterized in that the transmission of the USPP from the confirmation service (3) to the user's computing device (4) is carried out through the application service (2). 16. Способ по любому из пп.10-15, характеризующийся тем, что после получения вычислительным устройством пользователя (4) УСПП в нем формируется пара закрытый-открытый ключ.16. The method according to any one of claims 10-15, characterized in that after the user's computing device (4) receives the USPP, a private-public key pair is formed in it. 17. Способ по п.16, характеризующийся тем, что на вычислительном устройстве пользователя (4) код подтверждения данных формируется на основании данных открытого ключа, использующихся в качестве данных, полученных от пользователя, и для которых проверяется подлинность.17. The method according to claim 16, characterized in that, on the user's computing device (4), a data confirmation code is generated based on public key data used as data received from the user and for which authentication is verified. 18. Способ по п.17, характеризующийся тем, что сформированный код подтверждения данных вместе с открытым ключом передаются на сервис подтверждения (3).18. The method according to claim 17, characterized in that the generated data confirmation code together with the public key are transmitted to the confirmation service (3). 19. Способ по п.18, характеризующийся тем, что на этапе проверки подлинности данных на сервисе подтверждения (3) выполняется проверка подлинности открытого ключа с помощью проверки сформированного кода подтверждения данных и, в случае если проверка успешна, выполняют регистрацию открытого ключа для вычислительного устройства пользователя (4) на сервисе подтверждения (3) для дальнейшей проверки сформированного кода подтверждения данных.19. The method according to claim 18, characterized in that at the stage of data authentication on the confirmation service (3), the public key is authenticated by checking the generated data confirmation code and, if the verification is successful, registering the public key for the computing device user (4) on the confirmation service (3) for further verification of the generated data confirmation code. 20. Способ по п.2, характеризующийся тем, что при формировании кода подтверждения данных на вычислительном устройстве пользователя (4) в качестве УСПП используется закрытый ключ, а при проверке на сервисе подтверждения (3) - зарегистрированный открытый ключ для данного вычислительного устройства пользователя (4).20. The method according to claim 2, characterized in that when generating a data confirmation code on the user's computing device (4), a private key is used as USPP, and when checking on the confirmation service (3), the registered public key for this user's computing device ( 4). 21. Система подтверждения пользователем подлинности данных, направленных на прикладной сервис, содержащая устройство ввода данных пользователя, с помощью которого данные формируются и передаются по каналу связи на прикладной сервис (2);21. The system for user confirmation of the authenticity of data directed to the application service, containing a user input device, through which data is generated and transmitted over a communication channel to the application service (2); прикладной сервис (2), выполненный с возможностью проверки подлинности данных, полученных от устройства ввода данных пользователя, в ходе которой осуществляют передачу данных, полученных от устройства ввода данных пользователя прикладным сервисом (2), подлежащих проверке на подлинность на сервис подтверждения (3);an application service (2) configured to authenticate data received from the user input device, during which data received from the user input device by the application service (2) is transmitted to be authenticated to the confirmation service (3); сервис подтверждения (3), выполненный с возможностью передачи данных, полученных от устройства ввода данных пользователя и для которых проверяется подлинность, на вычислительное устройство пользователя (4), которое выполнено с возможностью ввода пользователем (1) команды подтверждения подлинности данных, полученных от устройства ввода данных, причем вычислительное устройство пользователя (4), выполненное с возможностью в ответ на ввод команды подтверждения подлинности данных, полученных от пользователя (1), посредством устройства ввода данных пользователя, прикладным сервисом (2) осуществляет формирование кода подтверждения данных, характеризующегося тем, confirmation service (3), configured to transmit data received from the user's input device and for which authentication is being verified, to the user's computing device (4), which is configured to input by the user (1) a command to authenticate the data received from the input device data, moreover, the user's computing device (4), configured in response to the input of the data authentication command received from the user (1), through the user's data input device, the application service (2) generates a data confirmation code, characterized in that - 8 041505 что упомянутый код подтверждения формируется на основании, по меньшей мере, содержания данных, полученных от устройства ввода данных пользователя прикладным сервисом (2), и уникальной секретной последовательности пользователя (УСПП); и выполнено с возможностью передачи сформированного кода подтверждения данных на сервис подтверждения (3), который выполнен с возможностью проверки сформированного кода подтверждения данных и передачи результата проверки прикладному сервису (2), который в ответ на успешную проверку считает данные, полученные от устройства ввода данных пользователя, подлинными.- 8 041505 that said confirmation code is generated based on at least the content of the data received from the user input device by the application service (2) and the user's unique secret sequence (USPS); and is configured to transmit the generated data confirmation code to the confirmation service (3), which is configured to check the generated data confirmation code and transmit the verification result to the application service (2), which, in response to a successful verification, reads the data received from the user's data input device , authentic. 22. Система по п.21, характеризующаяся тем, что вычислительное устройство пользователя (4) представляет собой мобильный телефон, смартфон, планшет, ноутбук, фаблет, портативную игровую приставку или носимое устройство в виде смарт-часов или смарт-браслета.22. The system according to claim 21, characterized in that the user's computing device (4) is a mobile phone, smartphone, tablet, laptop, phablet, portable game console or wearable device in the form of a smart watch or smart bracelet. 23. Система по п.21, характеризующаяся тем, что код подтверждения данных формируется дополнительно на основании, по меньшей мере, времени выработки кода подтверждения данных;23. The system according to claim 21, characterized in that the data confirmation code is generated additionally based on at least the time of generation of the data confirmation code; токена вычислительного устройства пользователя (4).token of the user's computing device (4). 24. Система по п.23, характеризующаяся тем, что УСПП создается на сервисе подтверждения (3) и хранится на вычислительном устройстве пользователя (4).24. The system according to claim 23, characterized in that the USPN is created on the confirmation service (3) and stored on the user's computing device (4). 25. Система по п.23, характеризующаяся тем, что токен вычислительного устройства пользователя (4) формируется на основании по меньшей мере одного типа информации, выбираемого из группы серийный номер устройства;25. The system according to claim 23, characterized in that the user's computing device token (4) is generated based on at least one type of information selected from the device serial number group; IMEI устройства;device IMEI; МАС-адрес;MAC address; версия операционной системы устройства;operating system version of the device; идентификатор программного обеспечения устройства.device software ID. 26. Система по п.25, характеризующаяся тем, что УСПП передается по меньшей мере двумя частями на вычислительное устройство пользователя (4).26. The system according to claim 25, characterized in that the USPN is transmitted in at least two parts to the user's computing device (4). 27. Система по п.25, характеризующаяся тем, что передача одной из частей УСПП осуществляется в виде двумерного графического кода или информации, отображаемой на устройстве отображения информации, или последовательности звуковых сигналов.27. The system according to claim 25, characterized in that the transmission of one of the USPP parts is carried out in the form of a two-dimensional graphic code or information displayed on an information display device, or a sequence of audio signals. 28. Система по п.27, характеризующаяся тем, что части УСПП передаются по различным каналам передачи данных.28. The system according to claim 27, characterized in that parts of the USPN are transmitted over different data transmission channels. 29. Система по п.27, характеризующаяся тем, что после получения вычислительным устройством пользователя (4) УСПП на нем формируется пара закрытый-открытый ключ.29. The system according to claim 27, characterized in that after the user's computing device (4) receives the USPP, a private-public key pair is formed on it. 30. Система по п.21, характеризующаяся тем, что на вычислительном устройстве пользователя (4) код подтверждения данных формируется на основании данных открытого ключа, использующихся в качестве данных, полученных от устройства ввода данных пользователя, и для которых проверяется подлинность.30. The system according to claim 21, characterized in that, on the user's computing device (4), a data confirmation code is generated based on public key data used as data received from the user's input device and for which authentication is verified. 31. Система по п.30, характеризующаяся тем, что сформированный код подтверждения данных вместе с открытым ключом передается на сервис подтверждения (3).31. The system according to claim 30, characterized in that the generated data confirmation code together with the public key is transmitted to the confirmation service (3). 32. Система по п.31, характеризующаяся тем, что сервис подтверждения (3) осуществляет проверку подлинности открытого ключа с помощью проверки сформированного кода подтверждения данных и, в случае если проверка успешна, выполняет регистрацию открытого ключа для вычислительного устройства пользователя (4) для последующей проверки сформированного кода подтверждения данных.32. The system according to claim 31, characterized in that the confirmation service (3) authenticates the public key by checking the generated data confirmation code and, if the verification is successful, registers the public key for the user's computing device (4) for subsequent verification of the generated data confirmation code. 33. Система по п.21, характеризующаяся тем, что при формировании кода подтверждения данных на вычислительном устройстве пользователя (4) в качестве УСПП используется закрытый ключ, а при проверке на сервисе подтверждения (3) - зарегистрированный открытый ключ для данного вычислительного устройства пользователя (4).33. The system according to claim 21, characterized in that when generating a data confirmation code on the user's computing device (4), a private key is used as USPP, and when checking on the confirmation service (3), the registered public key for this user's computing device ( 4). --
EA201791674 2017-08-22 METHOD FOR CONFIRMING THE AUTHENTICITY OF USER DATA AND THE SYSTEM IMPLEMENTING IT EA041505B1 (en)

Publications (1)

Publication Number Publication Date
EA041505B1 true EA041505B1 (en) 2022-10-31

Family

ID=

Similar Documents

Publication Publication Date Title
US9864987B2 (en) Account provisioning authentication
CN106464673B (en) Enhanced security for authenticating device registration
ES2456815T3 (en) User authentication procedures in data processing systems
JP5601729B2 (en) How to log into a mobile radio network
US9647840B2 (en) Method for producing a soft token, computer program product and service computer system
US20080305769A1 (en) Device Method & System For Facilitating Mobile Transactions
US20090172402A1 (en) Multi-factor authentication and certification system for electronic transactions
CN112805737A (en) Techniques for token proximity transactions
EP3043306A1 (en) System for convenient person authentication using mobile communication terminal and actual financial card and method therefor
GB2488766A (en) Securely transferring data to a mobile device
EP3662430B1 (en) System and method for authenticating a transaction
CN111742314B (en) Biometric sensor on portable device
WO2019226115A1 (en) Method and apparatus for user authentication
US11558199B1 (en) Systems and methods for privacy preserving distributed ledger consensus
JP2015088080A (en) Authentication system, authentication method, and program
CN111161056A (en) Method, system and equipment for improving transaction security of digital assets
JP2015138545A (en) Electronic payment system and electronic payment method
US20230062507A1 (en) User authentication at access control server using mobile device
KR101592891B1 (en) Digital system for pair user authentication, authentication system, and providing method thereof
TW201349127A (en) Dynamic barcode verification system and its verification method
KR101187414B1 (en) System and method for authenticating card issued on portable terminal
CN105405010B (en) Transaction device, transaction system using the same and transaction method
EA041505B1 (en) METHOD FOR CONFIRMING THE AUTHENTICITY OF USER DATA AND THE SYSTEM IMPLEMENTING IT
KR20130011473A (en) Two channel authentication system and method based position value
Fujita et al. Design and Implementation of a multi-factor web authentication system with MyNumberCard and WebUSB