RU2303811C1 - Remote user authentication method and the system for realization of the method - Google Patents

Remote user authentication method and the system for realization of the method Download PDF

Info

Publication number
RU2303811C1
RU2303811C1 RU2005134419/09A RU2005134419A RU2303811C1 RU 2303811 C1 RU2303811 C1 RU 2303811C1 RU 2005134419/09 A RU2005134419/09 A RU 2005134419/09A RU 2005134419 A RU2005134419 A RU 2005134419A RU 2303811 C1 RU2303811 C1 RU 2303811C1
Authority
RU
Russia
Prior art keywords
user
authentication server
actions
access
database
Prior art date
Application number
RU2005134419/09A
Other languages
Russian (ru)
Other versions
RU2005134419A (en
Inventor
зь Александр Павлович Вит (UA)
Александр Павлович Витязь
Original Assignee
Закрытое акционерное общество Коммерческий банк ПриватБанк
Александр Павлович Витязь
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Закрытое акционерное общество Коммерческий банк ПриватБанк, Александр Павлович Витязь filed Critical Закрытое акционерное общество Коммерческий банк ПриватБанк
Priority to RU2005134419/09A priority Critical patent/RU2303811C1/en
Publication of RU2005134419A publication Critical patent/RU2005134419A/en
Application granted granted Critical
Publication of RU2303811C1 publication Critical patent/RU2303811C1/en

Links

Images

Landscapes

  • Information Transfer Between Computers (AREA)
  • Telephonic Communication Services (AREA)

Abstract

FIELD: digital data processing, namely, remote user authentication.
SUBSTANCE: in accordance to method, electronic user identification data is formed and saved in authentication server database, which data is compared to identification data of user during realization of procedure of user access to computer network of protected system and on basis of that comparison, decision is taken about degree of user authority.
EFFECT: possible passive user authentication mode without usage of hardware.
2 cl, 2 dwg

Description

Изобретение относится к способам цифровой обработки данных, которые предназначены для коммерческих применений, в частности к способу дистанционной аутентификации пользователя, который зарегистрирован в соответствующей защищенной системе. При этом выполняется контроль и анализ полномочий пользователя для осуществления процедуры его доступа в компьютерную сеть какой-либо защищенной системы.The invention relates to digital data processing methods that are intended for commercial applications, in particular, to a method for remote authentication of a user who is registered in a corresponding secure system. At the same time, control and analysis of the user’s authority is performed to implement the procedure of his access to the computer network of any protected system.

Наиболее близким к заявляемому решению по технической сущности и достигаемому техническому результату является:Closest to the claimed solution for the technical nature and the achieved technical result is:

- Способ дистанционной аутентификации пользователя, описанный в системе дистанционной аутентификации по патенту ЕР 0986209, МПК 7 Н04L 9/32, опубл. 15.03.2000. Этот способ заключается в том, что формируют и сохраняют в базе данных сервера аутентификации электронные идентификационные данные пользователя, которые сравнивают с идентификационными данными пользователя при осуществлении процедуры доступа пользователя в компьютерную сеть защищенной системы, и на основе этого сравнения принимается решение о наличии или отсутствии полномочий у пользователя. При этом в качестве электронных идентификационных данных пользователя используют биометрические данные пользователя в виде отпечатков пальцев, ладони и/или информации о сетчатке глаза, данные о которых сохраняются в базе данных сервера аутентификации. Кроме того, обычно сервер аутентификации контролирует также и такие электронные идентификационные данные, как логин и пароль пользователя.- The method of remote user authentication described in the remote authentication system according to patent EP 0986209, IPC 7 H04L 9/32, publ. 03/15/2000. This method consists in generating and storing electronic user credentials in the authentication server database, which are compared with the user credentials during the user access procedure to the computer network of the secure system, and based on this comparison, a decision is made about the presence or absence of authority user. In this case, the user’s biometric data is used as electronic user identification data in the form of fingerprints, palm and / or retina information, the data of which is stored in the authentication server database. In addition, typically the authentication server also controls such electronic credentials as the username and password of the user.

- Система дистанционной аутентификации пользователя по патенту ЕР 0986209, МПК 7 Н04L 9/32, опубл. 15.03.2000, содержит сервер аутентификации, сервер приложений, с которыми соединен через защищенную компьютерную сеть терминал доступа пользователя, при этом сервер аутентификации содержит контролер доступа, базу данных идентификаторов доступа, узел обработки шифрованием. При этом система также содержит устройство получения биометрических данных пользователя, в состав которого входят узел получения отпечатков пальцев, узел получения отпечатков ладоней, узел получения информации по сетчатке глаза.- Remote authentication user system according to patent EP 0986209, IPC 7 H04L 9/32, publ. 03/15/2000, contains an authentication server, an application server with which a user access terminal is connected via a secure computer network, while the authentication server contains an access controller, a database of access identifiers, an encryption processing node. The system also includes a device for obtaining biometric user data, which includes a fingerprint receiving unit, a palmprint receiving unit, and a retina information receiving unit.

Основным недостатком этого способа дистанционной аутентификации пользователя и системы для его осуществления является то, что имеет место активный режим аутентификации, при котором от пользователя к аутентификационному серверу идет значительный поток данных в виде информации об отпечатках пальцев, ладони, сетчатки глаза. А это повышает уязвимость аутентификационного сервера из-за того, что в этот поток злоумышленник может внести неправдивую информацию, в том числе внести какой-нибудь компьютерный вирус.The main disadvantage of this method of remote authentication of the user and the system for its implementation is that there is an active authentication mode in which there is a significant data flow from the user to the authentication server in the form of information about fingerprints, palm, retina. And this increases the vulnerability of the authentication server due to the fact that an attacker can introduce untruthful information into this stream, including some kind of computer virus.

Другим недостатком этого способа и системы для его осуществления является снижение скорости передачи данных от терминала доступа пользователя к серверу аутентификации и сервера приложений за счет того, что имеет место повышенный информационный поток об отпечатках пальцев, ладони, сетчатке глаза пользователя.Another disadvantage of this method and system for its implementation is the decrease in the data transfer rate from the user access terminal to the authentication server and application server due to the fact that there is an increased information flow about fingerprints, palm, retina of the user's eye.

Недостатком этого способа и системы для его осуществления является необходимость использования, а также высокая стоимость специального оборудования в виде аппаратных узлов по снятию биометрической информации о пользователе, а именно: сетчатки глаза, отпечатков пальцев, ладоней и тому подобное.The disadvantage of this method and system for its implementation is the need to use, as well as the high cost of special equipment in the form of hardware nodes for removing biometric information about the user, namely: the retina, fingerprints, palms and the like.

В основу изобретения положена задача создания эффективного способа дистанционной аутентификации пользователя и системы для его осуществление путем обеспечения пассивного режима аутентификации пользователя, что тем самым резко снизит до необходимого минимума поток данных между терминалом пользователя и аутентификационным сервером. Это также снизит уровень уязвимости защищенной системы от внесения компьютерного вируса через сеть передачи данных или других злоумышленных действий. А также позволит избежать расходов на аппаратные узлы.The basis of the invention is the creation of an effective method for remote authentication of a user and a system for its implementation by providing a passive user authentication mode, which thereby sharply reduces the required data flow between the user terminal and the authentication server. It will also reduce the vulnerability of the protected system against the introduction of a computer virus through a data network or other malicious activities. And also will avoid the cost of hardware nodes.

Поставленная задача решается тем, что по способу дистанционной аутентификации пользователя, заключающемся в том, что формируют и сохраняют в базе данных сервера аутентификации электронные идентификационные данные пользователя, которые сравнивают с идентификационными данными пользователя при осуществлении процедуры доступа пользователя в компьютерную сеть защищенной системы и на основе этого сравнения принимается решение о наличии или отсутствии полномочий у пользователя. При этом в качестве электронных идентификационных данных пользователя, которые формируют и сохраняют в базе данных сервера аутентификации, используют историю привычного порядка выполнения действий пользователем при предыдущем осуществлении процедуры доступа пользователя в компьютерную сеть защищенной системы. Историю привычного порядка выполнения действий пользователем, которую формируют и сохраняют в базе данных сервера аутентификации, перед сравнением с идентификационными данными пользователя анализируют по существенным признакам, в качестве которых принимают наиболее часто повторяющиеся действия пользователя с обозначением возможных отклонений от определенной средней их величины или существенные признаки, которые являются неизменными при каждом посещении пользователем соответствующего WEB-ресурса. А идентификационные данные пользователя в базе данных сервера аутентификации постоянно обновляют. Кроме того, в качестве истории привычного порядка выполнения действий пользователем, которую формируют и сохраняют в базе данных сервера аутентификации, используют виды, последовательность и длительность выполнения действий пользователем при предыдущем осуществлении процедуры доступа пользователя в компьютерную сеть защищенной системы. А в качестве действий пользователя, историю привычного порядка выполнения которых формируют и сохраняют в базе данных сервера аутентификации при предыдущем осуществлении процедуры доступа пользователя в компьютерную сеть защищенной системы, используют время, в которое обычно пользователь посещает WEB-ресурс, длительность сессии, порядок открытия http-страниц на WEB-ресурсе, IP-адрес компьютера пользователя. Через сервер аутентификации дополнительно выполняют интерактивный опрос пользователя.The problem is solved in that according to the method of remote user authentication, which consists in generating and storing electronic user identification data in the authentication server database, which is compared with the user identification information during the user access procedure to the computer network of the protected system and based on this comparison, a decision is made on the presence or absence of authority of the user. At the same time, as the user's electronic identification data, which are generated and stored in the authentication server database, they use the history of the usual procedure for the user to perform actions during the previous procedure for user access to the computer network of the protected system. The history of the usual procedure for performing actions by the user, which is formed and stored in the authentication server database, is analyzed according to essential features before being compared with the user’s identification data, which are taken as the most frequently repeated user actions indicating possible deviations from a certain average value or significant features, which are unchanged each time a user visits the corresponding WEB resource. And user credentials in the authentication server database are constantly updated. In addition, the types, sequence and duration of the actions performed by the user during the previous procedure for user access to the computer network of the protected system are used as the history of the usual order of user actions that is generated and stored in the authentication server database. And as user actions, the history of the usual order of execution of which is formed and stored in the authentication server database during the previous procedure for user access to the computer network of the protected system, they use the time at which the user usually visits the WEB resource, session duration, the order of opening http- pages on the WEB resource, the IP address of the user's computer. An interactive user survey is additionally performed through the authentication server.

Поставленная задача также решается тем, что система дистанционной аутентификации пользователя содержит сервер аутентификации, сервер приложений, с которыми соединен через защищенную компьютерную сеть терминал доступа пользователя, при этом сервер аутентификации содержит базу данных идентификаторов доступа, которая выполнена с возможностью сохранять идентификационные данные, контроллер доступа, который выполнен с возможностью сравнения идентификационных данных пользователя, сохраненных в базе данных идентификаторов доступа с идентификационными данными пользователя при осуществлении процедуры доступа пользователя в компьютерную сеть защищенной системы. При этом сервер аутентификации дополнительно содержит базу данных истории привычного порядка выполнения действий пользователем, в которой сохраняют сформированные контроллером доступа данные истории привычного порядка выполнения действий пользователя, при этом контроллер доступа выполнен с узлом анализа истории привычного порядка выполнения действий пользователем.The problem is also solved by the fact that the remote user authentication system contains an authentication server, an application server with which a user access terminal is connected via a secure computer network, while the authentication server contains an access identifier database that is configured to store identification data, an access controller, which is configured to compare user credentials stored in a database of access identifiers with ide user authentication data during the user access procedure to the computer network of the protected system. At the same time, the authentication server additionally contains a database of the history of the usual order of performing actions by the user, in which the history data of the usual order of performing actions of the user generated by the access controller is stored, while the access controller is configured with an analysis node of the history of the usual order of performing actions by the user.

Использование в соответствии со способом и системой для его осуществления, в качестве электронных идентификационных данных пользователя истории привычного порядка выполнения действий пользователем, данные о которых сохраняют в соответствующей базе данных, при предыдущем осуществлении процедуры его доступа в компьютерную сеть защищенной системы позволяет обеспечить пассивный режим аутентификации пользователя. А это позволяет снизить к минимуму поток данных, то есть к необходимым, например, логину и паролю и/или другим необходимым данным, которые передают от пользователя к аутентификационному серверу. При этом пользователь может и не знать, что его полномочия тщательным образом проверяют. Все это позволяет не только повысить достоверность проверки полномочий пользователя, но также и снизить уязвимость аутентификационного сервера от неправдивой информации при злоумышленных действиях, или снизить возможность внесения какого-нибудь компьютерного вируса в эту сеть передачи данных.Using, in accordance with the method and system for its implementation, as the user's electronic identification data, the history of the usual procedure for performing user actions, the data of which is stored in the corresponding database, during the previous implementation of the procedure for its access to the computer network of the protected system, it is possible to provide a passive user authentication mode . And this allows you to minimize the flow of data, that is, to the necessary, for example, login and password and / or other necessary data that is transmitted from the user to the authentication server. In this case, the user may not know that his credentials are thoroughly checked. All this allows not only to increase the reliability of user authorization checks, but also to reduce the vulnerability of the authentication server from false information during malicious actions, or to reduce the possibility of introducing any computer virus into this data transmission network.

Выполнение в соответствии со способом и системой для его осуществления анализа по существенным признакам истории привычного порядка выполнения действий пользователем, которые формируют и сохраняют в базе данных сервера аутентификации, позволяет повысить надежность аутентификации за счет выделения из всех действий, которые выполняет пользователь, только существенных, выполнение которых пользователем наиболее вероятное.Performing an analysis in accordance with the method and system for analyzing the essential features of the history of the usual procedure for performing user actions, which are generated and stored in the authentication server database, can improve authentication reliability by isolating from all the actions that the user performs, only significant which is most likely by the user.

Выполнение постоянного обновления идентификационных данных пользователя в базе данных аутентификационного сервера перед каждым осуществлением процедуры доступа пользователя в компьютерную сеть защищенной системы позволяет в динамическом режиме обновлять историю привычного порядка выполнения действий пользователем, что также повышает достоверность проверки его полномочий.Performing a constant update of the user's credentials in the database of the authentication server before each implementation of the user access procedure to the computer network of the protected system allows the user to dynamically update the history of the usual procedure for the user to perform actions, which also increases the reliability of checking his credentials.

Использование в качестве истории привычного порядка выполнения действий пользователем, которые формируют и сохраняют в базе данных сервера аутентификации, разных видов действий (операций) пользователя, а также их последовательность и/или длительность выполнения этих действий, их сочетаний позволяет повысить надежность определения достоверности проверки полномочий пользователя.Using as the history of the usual order of user actions that generate and save in the database of the authentication server, different types of user actions (operations), as well as their sequence and / or the duration of these actions, their combinations can improve the reliability of determining the authenticity of user authorization checks .

Использование в качестве действий пользователя времени, в которое обычно пользователь посещает соответствующий WEB-ресурс, длительность сессии работы пользователя, порядка открытия http-страниц на этом WEB-ресурсе, а также IP-адреса компьютера пользователя и их сочетаний, также позволяет повысить надежность определения достоверности проверки полномочий пользователя.The use as the user's actions of the time at which the user usually visits the corresponding WEB resource, the duration of the user's session, the procedure for opening http-pages on this WEB resource, as well as the IP address of the user's computer and their combinations, also improves the reliability of determining the reliability user authorization checks.

Выполнение дополнительного интерактивного опроса пользователя по редко используемым его признакам, если имеет место сомнение в достоверности проверки полномочий пользователя по привычному для него порядку выполнения действий, позволяет принять службой поддержки более взвешенное решение о доступе пользователя в компьютерную сеть защищенной системы.Performing an additional interactive survey of the user based on rarely used signs, if there is doubt about the authenticity of checking the user’s authority according to his usual order of actions, allows the service desk to make a more informed decision about the user's access to the computer network of the protected system.

Изложенное выше подтверждает наличие причинно-следственных связей между совокупностью существенных признаков заявляемого изобретения и достигаемым техническим результатом.The above confirms the presence of causal relationships between the totality of the essential features of the claimed invention and the achieved technical result.

Данная совокупность существенных признаков позволяет по сравнению с прототипом по способу дистанционной аутентификации пользователя и системы для его осуществления обеспечить пассивный режим аутентификации пользователя. Это позволяет снизить к необходимому минимуму поток данных от пользователя к аутентификационному серверу для повышения достоверности проверки полномочий пользователя. А также позволит снизить уязвимость аутентификационного сервера от неправдивой информации при злоумышленных действиях, или снизить возможность внесения какого-нибудь компьютерного вируса в сеть передачи данных. Кроме того, это позволит избежать расходов на аппаратные узлы по снятию биометрической информации о пользователе.This set of essential features makes it possible, in comparison with the prototype, to provide a passive user authentication mode for the remote authentication of the user and the system for its implementation. This allows you to reduce the required flow of data from the user to the authentication server to increase the reliability of user credentials verification. It will also reduce the vulnerability of the authentication server from false information during malicious actions, or reduce the possibility of introducing a computer virus into the data transmission network. In addition, this will avoid the cost of hardware nodes to remove biometric information about the user.

По мнению автора, заявляемое техническое решение отвечает критериям изобретения "новизна" и "изобретательский уровень", потому что совокупность существенных признаков, которая характеризует способ дистанционной аутентификации пользователя и системы для его осуществления, является новой и не вытекает явно из известного уровня техники.According to the author, the claimed technical solution meets the criteria of the invention of "novelty" and "inventive step", because the set of essential features that characterizes the method of remote authentication of the user and the system for its implementation is new and does not follow clearly from the prior art.

Заявляемое изобретение поясняется чертежом, где на Фиг.1 приведена структурная схема системы, которая осуществлена по способу дистанционной аутентификации пользователя; на Фиг.2 приведена диаграмма последовательности действий процесса аутентификации.The invention is illustrated in the drawing, where Fig.1 shows a structural diagram of a system that is implemented by a method of remote authentication of a user; 2 is a flowchart of an authentication process.

Способ дистанционной аутентификации пользователя осуществляется таким образом.The remote authentication method of the user is carried out in this way.

Пользователь с помощью терминала доступа пользователя (персональный компьютер, мобильный телефон, другие телекоммуникационные устройства) обращается через соответствующую компьютерную сеть к какой-либо защищенной системе, в которой он зарегистрирован как пользователь и имеет определенные полномочия на осуществление операций, например: система электронной коммерции, банковская или финансовая система, база данных с ограниченным доступом, а также Интернет- или Интранет-системы. В каждой из этих защищенных систем расположен свой аутентификационный сервер, в котором формируют и сохраняют, кроме необходимых данных в виде логина, пароля и др., еще и электронные идентификационные данные пользователя в виде истории привычного порядка выполнения действий пользователя при предыдущем осуществлении им процедуры доступа в эту защищенную систему. При обращении пользователя в обычное для него время к необходимой ему защищенной системе в Интернет, в которой он зарегистрирован, он сначала выполняет стандартные, но необходимые действия (порядок действий) по использованию WEB-ресурса, посещению http-страниц на этом WEB-ресурсе. Контролер доступа и анализа истории привычного порядка выполнения действий пользователя в аутентификационном сервере в пассивном режиме отслеживает все действия пользователя (порядок действий), то есть: время начала и окончания сессии посещения пользователем WEB- ресурса защищенной системы; IP-адрес хоста или терминала доступа пользователя, с которого пользователь заходил в защищенную систему; фиксируют посещение пользователем каждой http-страницы соответствующего WEB-ресурса, адреса этих http-страниц; время входа и выхода с каждой страницы; продолжительность использования и порядок открытия http-страниц. Все эти действия (порядок действий) пользователя сравниваются с аналогичными действиями, которые сохраняют в базе данных сервера аутентификации в виде истории привычного порядка выполнения действий пользователем и, в случае совпадения их по существенным признакам, сервер аутентификации не ограничивает доступ пользователя к серверу приложений. А в случае существенного несовпадения по этим существенным признакам выдают запрет на допуск пользователя к серверу приложений, причем такой запрет может выдаваться после первого, второго или после третьего существенного несовпадения. В случае необходимости, после этого существенного несовпадения, через сервер аутентификации может быть проведен интерактивный опрос пользователя по редко используемым для контроля признакам пользователя, которые сохраняют в соответствующей базе данных сервера аутентификации.The user, using the user's access terminal (personal computer, mobile phone, other telecommunication devices), accesses through a computer network some secure system in which he is registered as a user and has certain authority to perform operations, for example: e-commerce system, banking or a financial system, a restricted access database, or an Internet or Intranet system. Each of these secure systems has its own authentication server, which forms and stores, in addition to the necessary data in the form of a login, password, etc., also the user's electronic identification data in the form of a history of the usual order of user actions during the previous implementation of the access procedure in this secure system. When a user contacts his secure system on the Internet at the usual time for him, in which he is registered, he first performs standard, but necessary actions (procedure) for using the WEB resource, visiting http-pages on this WEB resource. The access and analysis controller of the history of the usual order of user actions in the authentication server in passive mode monitors all user actions (the order of actions), that is: the start and end times of the session when the user visits the WEB resource of the protected system; IP address of the host or access terminal of the user from which the user logged into the protected system; record the user visiting each http-page of the corresponding WEB-resource, the addresses of these http-pages; time of entry and exit from each page; duration of use and procedure for opening http pages. All these actions (the order of actions) of the user are compared with similar actions that are stored in the authentication server database in the form of a history of the usual order of actions performed by the user and, if they coincide on essential grounds, the authentication server does not restrict user access to the application server. And in the event of a significant discrepancy on these essential grounds, a ban is issued on the user’s admission to the application server, and such a ban may be issued after the first, second or after the third significant discrepancy. If necessary, after this significant discrepancy, an interactive user survey can be conducted through the authentication server for rarely used to control user attributes, which are stored in the corresponding database of the authentication server.

Данные по истории привычного порядка действий пользователя, которые сохраняют в базе данных сервера аутентификации, при каждом обращении пользователя к нему постоянно обновляют.The data on the history of the usual order of user actions, which are stored in the authentication server database, is constantly updated every time a user accesses it.

Лучший вариант системы, которая осуществлена по способу дистанционной аутентификации пользователя, в соответствии с Фиг.1, содержит защищенную систему 1, в которой пользователь зарегистрирован. Эта защищенная система 1 имеет терминал 2 доступа пользователя, который соединен через компьютерную сеть 3 и WEB-сервер 4 с сервером 5 аутентификации, который в свою очередь соединен с сервером 6 приложений. Терминал 2 доступа пользователя является компьютерной системой в виде персонального компьютера, который содержит узел 2.1 обработки шифрования информации. Сервер 5 аутентификации также является компьютерной системой, которая включает в себя контролер 5.1 доступа и анализа истории привычного порядка выполнения действий пользователем, базу 5.2 данных истории привычного порядка выполнения действий пользователем, базу 5.3 идентификаторов доступа (логина и пароля, др.), узел 5.4 обработки шифрования информации. Сервер 6 приложений также является компьютерной системой, которая содержит несколько приложений в виде, например, определенного количества: WEB- ресурс 1, 6.1... WEB ресурс N, 6.N.The best version of the system, which is implemented by the method of remote authentication of the user, in accordance with Figure 1, contains a secure system 1 in which the user is registered. This secure system 1 has a user access terminal 2, which is connected through a computer network 3 and a WEB server 4 to an authentication server 5, which in turn is connected to an application server 6. The user access terminal 2 is a computer system in the form of a personal computer, which contains an information encryption processing unit 2.1. Authentication server 5 is also a computer system, which includes a controller 5.1 for access and analysis of the history of the usual order of actions performed by the user, a database of 5.2 history data of the usual order of actions performed by the user, base 5.3 of access identifiers (login and password, etc.), processing node 5.4 encryption information. Application server 6 is also a computer system that contains several applications in the form, for example, of a certain amount: WEB resource 1, 6.1 ... WEB resource N, 6.N.

Система дистанционной аутентификации пользователя работает таким образом.The remote user authentication system works this way.

В соответствии с Фиг.2 пользователь вводит в терминал 2 доступа пользователя, в качестве которого может быть какой-либо терминал защищенной системы, идентификаторы доступа, т.е. свой логин и пароль или PIN-код. При этом терминал 2 доступа пользователя через узел 2.1 обработки шифрования информации, компьютерную сеть 3 и WEB-ссрвер 4 соединяют с сервером 5 аутентификации, с отправкой ему запроса об аутентификации и с сервером 6 приложений. Далее пользователь выполняет привычные и необходимые для него действия по посещению избранного им WEB-pecypca сервера 6 приложений, например системы Интернет-банка "Privat-24" (www.privar24.ua), открытию нужных http-страниц на этом WEB-ресурсе. При этом контролер 5.1 доступа и анализа истории привычного порядка выполнения действий пользователя сервера 5 аутентификации в пассивном (одностороннем) режиме отслеживает все действия пользователя:In accordance with FIG. 2, the user enters into the access terminal 2 of the user, which can be any terminal of the protected system, access identifiers, i.e. your username and password or PIN. At the same time, the user access terminal 2 through the information encryption processing unit 2.1, the computer network 3 and the WEB server 4 are connected to the authentication server 5, by sending him an authentication request and to the application server 6. Further, the user performs the usual and necessary actions for him to visit the 6 applications server WEB-pecypca he chooses, for example, the Privat-24 Internet banking system (www.privar24.ua), open the necessary http-pages on this WEB resource. Moreover, the controller 5.1 access and analysis of the history of the usual order of user actions of the authentication server 5 in the passive (one-way) mode monitors all user actions:

время начала и окончания сессии входа пользователя в систему "Privat-24";start and end time of the user login session in the Privat-24 system;

IP-адрес хоста, с которого пользователь заходил в эту защищенную систему;IP address of the host from which the user logged into this secure system;

фиксируется последовательность посещения пользователем каждой http-страницы, адреса этих страниц; время захода и выхода с каждой страницы;the sequence of user visits of each http-page, the addresses of these pages is recorded; time of entry and exit from each page;

продолжительность времени нахождения на каждой странице, выполнение операций по осуществлению пользователем необходимых транзакций (обмен валют, оплата услуг, осуществление денежных переводов и тому подобное).the length of time spent on each page, the execution of operations to carry out the necessary transactions by the user (currency exchange, payment for services, money transfers, etc.).

Все эти действия или порядок этих действий пользователя сравнивают с существенными признаками аналогичных предыдущих его действий, историю привычного порядка выполнения которых сохраняют в базе 5.2 данных сервера 5 аутентификации. Эти существенные признаки отобраны и сформированы контролером 5.1 доступа и анализа истории привычного порядка выполнения действий пользователя. Эти существенные признаки обновляются в базе 5.2 данных истории привычного порядка выполнения действий пользователя и формируют после каждого обращения пользователя к защищенной системе. В качестве этих признаков принимают наиболее часто повторяющиеся действия пользователя с обозначением возможных отклонений от определенной средней их величины или существенные признаки, которые являются неизменными при каждом посещении пользователем соответствующего WEB-ресурса. В случае совпадения этих сравниваемых действий пользователя контролер 5.1 доступа и анализа истории привычного порядка выполнения действий пользователя сервер 5 аутентификации не ограничивает (отсутствие ограничений) доступ пользователя к серверу 6 приложений. А в случае существенного несовпадения анализируемых данных сначала выдается сигнал предупреждения в сервер 5 аутентификации, а в дальнейшем, после трех или другого определенного количества предупреждений, выдается запрет на доступ терминала пользователя к серверу 6 приложений.All these actions or the order of these user actions are compared with the essential features of similar previous actions, the history of the usual order of execution of which is stored in the database 5.2 of the authentication server 5. These essential features are selected and generated by the access controller 5.1 and the history analysis of the usual order of user actions. These essential features are updated in the database 5.2 of the history data of the usual order of user actions and form after each user access to the protected system. The most frequently repeated user actions with the designation of possible deviations from a certain average value or significant features that are unchanged each time the user visits the corresponding WEB resource are taken as these signs. If these compared user actions coincide, the access and analysis controller 5.1 of the usual order of user actions does not restrict the authentication server 5 (lack of restrictions) from the user access to the application server 6. And in case of significant mismatch of the analyzed data, a warning signal is first sent to the authentication server 5, and then, after three or another certain number of warnings, a ban is issued on the access of the user terminal to the application server 6.

Терминал 2 доступа пользователя может быть выполнен также в виде рабочей станции, мобильного телефона или других подобных телекоммуникационных устройств, выполненных с узлом шифрования.The user access terminal 2 can also be made in the form of a workstation, mobile phone, or other similar telecommunication devices made with an encryption node.

Хотя здесь показаны и описаны варианты, которые признаны лучшими для осуществления настоящего изобретения, специалистам в данной отрасли техники будет понятно, что можно осуществлять разнообразные изменения и модификации, и элементы можно заменять на эквивалентные, не выходя при этом за пределы объема притязаний настоящего изобретения.Although shown and described as being the best for the practice of the present invention, those skilled in the art will understand that various changes and modifications can be made and elements can be replaced with equivalent ones without departing from the scope of the present invention.

Соответствие заявляемого технического решения критерию изобретения "промышленная применимость" подтверждается указанными примерами выполнения способа дистанционной аутентификации пользователя и системы для его осуществления.The conformity of the claimed technical solution to the criteria of the invention "industrial applicability" is confirmed by the indicated examples of the remote authentication method of the user and the system for its implementation.

Claims (7)

1. Способ дистанционной аутентификации пользователя, заключающийся в том, что формируют и сохраняют в базе данных сервера аутентификации электронные идентификационные данные пользователя, которые сравнивают с идентификационными данными пользователя при осуществлении процедуры доступа пользователя в компьютерную сеть защищенной системы и на основе этого сравнения принимается решение о наличии или отсутствии полномочий у пользователя, отличающийся тем, что в качестве электронных идентификационных данных пользователя, которые формируют и сохраняют в базе данных сервера аутентификации, используют историю привычного порядка выполнения действий пользователем при предыдущем осуществлении процедуры доступа пользователя в компьютерную сеть защищенной системы.1. The method of remote user authentication, which consists in generating and storing in the database of the authentication server electronic user identification data, which is compared with the user identification data during the user access procedure to the computer network of the protected system, and based on this comparison, a decision is made about the availability of or lack of authority of the user, characterized in that as the electronic identification data of the user, which form comfort and stored in the authentication server database, use the usual story about performing user actions in a previous implementation of user access procedures in a secure computer network system. 2. Способ по п.1, отличающийся тем, что историю привычного порядка выполнения действий пользователем, которую формируют и сохраняют в базе данных сервера аутентификации, перед сравнением с идентификационными данными пользователя анализируют по существенным признакам, в качестве которых принимают наиболее часто повторяющиеся действия пользователя с обозначением возможных отклонений от определенной средней их величины или существенные признаки, которые являются неизменными при каждом посещении пользователем соответствующего WEB-ресурса.2. The method according to claim 1, characterized in that the history of the usual order of actions performed by the user, which is generated and stored in the authentication server database, is analyzed by comparison with the user’s identification data for essential reasons, which are taken as the most frequently repeated user actions with designation of possible deviations from a certain average value or significant features that are unchanged each time a user visits the corresponding WEB resource a. 3. Способ по любому из пп.1 и 2, отличающийся тем, что идентификационные данные пользователя в базе данных сервера аутентификации постоянно обновляют.3. The method according to any one of claims 1 and 2, characterized in that the user credentials in the authentication server database are constantly updated. 4. Способ по п.1, отличающийся тем, что в качестве истории привычного порядка выполнения действий пользователем, которую формируют и сохраняют в базе данных сервера аутентификации, используют виды, последовательность и длительность выполнения действий пользователем при предыдущем осуществлении процедуры доступа пользователя в компьютерную сеть защищенной системы.4. The method according to claim 1, characterized in that the types, sequence and duration of the actions performed by the user in the previous implementation of the user access procedure to the computer network protected are used as the history of the usual order of user actions that are generated and stored in the authentication server database system. 5. Способ по п.4, отличающийся тем, что в качестве действий пользователя, историю привычного порядка выполнения которых формируют и сохраняют в базе данных сервера аутентификации при предыдущем осуществлении процедуры доступа пользователя в компьютерную сеть защищенной системы, используют время, в которое обычно пользователь посещает WEB-ресурс, длительность сессии, порядок открытия http-страниц на WEB-ресурсе, IP-адрес компьютера пользователя.5. The method according to claim 4, characterized in that, as a user’s actions, the history of the usual order of execution of which is generated and stored in the authentication server database during the previous implementation of the user access procedure to the computer network of the protected system, use the time that the user usually visits WEB resource, session duration, procedure for opening http-pages on a WEB resource, IP address of a user's computer. 6. Способ по п.3, отличающийся тем, что через сервер аутентификации дополнительно выполняют интерактивный опрос пользователя.6. The method according to claim 3, characterized in that through the authentication server additionally perform an interactive user survey. 7. Система дистанционной аутентификации пользователя, содержащая сервер аутентификации, сервер приложений, с которыми соединен через защищенную компьютерную сеть терминал доступа пользователя, при этом сервер аутентификации содержит базу данных идентификаторов доступа, которая выполнена с возможностью сохранять идентификационные данные, контроллер доступа, который выполнен с возможностью сравнения идентификационных данных пользователя, сохраненных в базе данных идентификаторов доступа с идентификационными данными пользователя при осуществлении процедуры доступа пользователя в компьютерную сеть защищенной системы, отличающаяся тем, что сервер аутентификации дополнительно содержит базу данных истории привычного порядка выполнения действий пользователем, в которой сохраняют сформированные контроллером доступа данные истории привычного порядка выполнения действий пользователя, при этом контроллер доступа выполнен с узлом анализа истории привычного порядка выполнения действий пользователем.7. A remote user authentication system comprising an authentication server, an application server to which a user access terminal is connected via a secure computer network, wherein the authentication server contains an access identifier database that is configured to store identification data, an access controller that is configured to comparing user credentials stored in the access identifier database with user credentials When performing the procedure for user access to the computer network of a secure system, characterized in that the authentication server additionally contains a database of the history of the usual order of user actions, in which the history data generated by the access controller of the usual order of user actions is stored, while the access controller is configured with an analysis node history of the usual order of user actions.
RU2005134419/09A 2005-11-07 2005-11-07 Remote user authentication method and the system for realization of the method RU2303811C1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2005134419/09A RU2303811C1 (en) 2005-11-07 2005-11-07 Remote user authentication method and the system for realization of the method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2005134419/09A RU2303811C1 (en) 2005-11-07 2005-11-07 Remote user authentication method and the system for realization of the method

Publications (2)

Publication Number Publication Date
RU2005134419A RU2005134419A (en) 2007-05-20
RU2303811C1 true RU2303811C1 (en) 2007-07-27

Family

ID=38163758

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2005134419/09A RU2303811C1 (en) 2005-11-07 2005-11-07 Remote user authentication method and the system for realization of the method

Country Status (1)

Country Link
RU (1) RU2303811C1 (en)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8578457B2 (en) 2009-12-02 2013-11-05 Dmitry I. Kan Process of remote user authentication in computer networks to perform the cellphone-assisted secure transactions
US9607651B2 (en) 2013-01-07 2017-03-28 Samsung Electronics Co., Ltd. Method and apparatus for controlling contents in electronic device
RU2617683C2 (en) * 2014-10-22 2017-04-26 Сяоми Инк. Method and device for processing terminal anomaly and electronic device
RU2670031C2 (en) * 2014-01-14 2018-10-17 Бьёрн ПИРРВИТЦ System and method of identification and / or authentication

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8578457B2 (en) 2009-12-02 2013-11-05 Dmitry I. Kan Process of remote user authentication in computer networks to perform the cellphone-assisted secure transactions
US9607651B2 (en) 2013-01-07 2017-03-28 Samsung Electronics Co., Ltd. Method and apparatus for controlling contents in electronic device
RU2670031C2 (en) * 2014-01-14 2018-10-17 Бьёрн ПИРРВИТЦ System and method of identification and / or authentication
RU2617683C2 (en) * 2014-10-22 2017-04-26 Сяоми Инк. Method and device for processing terminal anomaly and electronic device
US9773105B2 (en) 2014-10-22 2017-09-26 Xiaomi Inc. Device security using user interaction anomaly detection

Also Published As

Publication number Publication date
RU2005134419A (en) 2007-05-20

Similar Documents

Publication Publication Date Title
US11290464B2 (en) Systems and methods for adaptive step-up authentication
US11876807B2 (en) Secure online access control to prevent identification information misuse
US11429745B2 (en) Data security hub
CN106797371B (en) Method and system for user authentication
KR102431834B1 (en) System and method for carrying strong authentication events over different channels
JP4954979B2 (en) Systems and methods for fraud monitoring, detection, and hierarchical user authentication
US8984649B2 (en) Method and system for authenticating user access to a restricted resource across a computer network
EP2383954A2 (en) Virtual server and method for identifying zombie, and sinkhole server and method for integratedly managing zombie information
EP3005215B1 (en) Passive security of applications
Papathanasaki et al. Modern authentication methods: A comprehensive survey
Olanrewaju et al. A frictionless and secure user authentication in web-based premium applications
RU2303811C1 (en) Remote user authentication method and the system for realization of the method
US20230315890A1 (en) Call location based access control of query to database
KR102284876B1 (en) System and method for federated authentication based on biometrics
WO2019159809A1 (en) Access analysis system and access analysis method
JP3923268B2 (en) Rogue client identification device
WO2011118237A1 (en) Authentication device and authentication method
US11356441B2 (en) Alternate user communication routing
Parveen et al. Cookie Hijacking: Privacy Risk
CN118643482A (en) User information verification method, device, equipment and storage medium
UA81027C2 (en) Method for remotely identifying users and a system for the realization of the method
TEJASWINI et al. A Novel Secure Protocol for Continuous Authentication using Blowfish Algorithm
Alnajajr Hardware and User Profiling for Multi-factor Authentication

Legal Events

Date Code Title Description
MM4A The patent is invalid due to non-payment of fees

Effective date: 20101108

RZ4A Other changes in the information about an invention
TK4A Correction to the publication in the bulletin (patent)

Free format text: AMENDMENT TO CHAPTER -RZ4A- IN JOURNAL: 34-2011

Free format text: AMENDMENT TO CHAPTER -MM4A- IN JOURNAL: 34-2011

NF4A Reinstatement of patent

Effective date: 20131220

MM4A The patent is invalid due to non-payment of fees

Effective date: 20201108