RU2395911C2 - System, device and method for end user authentication - Google Patents

System, device and method for end user authentication Download PDF

Info

Publication number
RU2395911C2
RU2395911C2 RU2008135684/09A RU2008135684A RU2395911C2 RU 2395911 C2 RU2395911 C2 RU 2395911C2 RU 2008135684/09 A RU2008135684/09 A RU 2008135684/09A RU 2008135684 A RU2008135684 A RU 2008135684A RU 2395911 C2 RU2395911 C2 RU 2395911C2
Authority
RU
Russia
Prior art keywords
authentication
call
access
code
user station
Prior art date
Application number
RU2008135684/09A
Other languages
Russian (ru)
Other versions
RU2008135684A (en
Inventor
Ульф ШУБЕРТ (SE)
Ульф ШУБЕРТ
Original Assignee
Мидай Аб
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Мидай Аб filed Critical Мидай Аб
Priority to RU2008135684/09A priority Critical patent/RU2395911C2/en
Publication of RU2008135684A publication Critical patent/RU2008135684A/en
Application granted granted Critical
Publication of RU2395911C2 publication Critical patent/RU2395911C2/en

Links

Images

Landscapes

  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)

Abstract

FIELD: information technologies.
SUBSTANCE: end user of device (10) of user station in system of authentication requests access to protected information, besides system comprises facility (20) of access server and facility (30) of authentication, and device (10) of user station maintains communication with facility (30) of authentication along the first channel of communication in radio communication network (40). Additionally, it maintains communication with facility (30) for authentication along the second communication channel. Specified facility (30) of authentication is arranged with the possibility to maintain the first mode of authentication and the second mode of authentication along specified second communication channel, and additionally it comprises solving facility to select whether the first or second mode of authentication shall be used and/or when the first or second mode of authentication shall be used for user station device (10), which requests access to protected information.
EFFECT: reduced interaction with end user.
27 cl, 8 dwg

Description

Область техники, к которой относится изобретениеFIELD OF THE INVENTION

Настоящее изобретение относится к системе для аутентификации конечного пользователя устройства пользовательской станции, запрашивающего доступ к защищенной информации, например защищенному ресурсу или защищенной службе или подобному, которая содержит средство сервера доступа и средство аутентификации, причем мобильное устройство пользовательской станции поддерживает связь со средством аутентификации по первому каналу связи сети радиосвязи.The present invention relates to a system for authenticating an end user of a user station device requesting access to secure information, such as a secure resource or a secure service or the like, which comprises access server means and authentication means, wherein the user station mobile device is in communication with the authentication means on the first channel communications radio communications network.

Изобретение также относится к средству аутентификации для аутентификации конечного пользователя, запрашивающего доступ к защищенной информации, защищенному ресурсу или защищенной службе из устройства пользовательской станции, содержащему интерфейс средства обслуживания доступа, по меньшей мере один интерфейс, обеспечивающий возможность осуществления связи с устройством пользовательской станции по первому каналу связи сети радиосвязи.The invention also relates to an authentication tool for authenticating an end user requesting access to secure information, a secure resource, or a secure service from a user station device, comprising at least one interface that provides access to a user station device via a first channel communications radio communications network.

Изобретение также относится к способу аутентификации удаленного конечного пользователя устройства пользовательской станции, запрашивающего доступ к защищенной службе, защищенному ресурсу, защищенной информации и т.д., посредством передачи запроса на доступ в средство аутентификации. В частности, это относится к аутентификации мобильных пользователей, запрашивающих доступ к защищенным ресурсам через сеть IP или через электронную сеть доступа другого вида.The invention also relates to a method for authenticating a remote end user of a user station device requesting access to a secure service, a secure resource, secure information, etc., by transmitting an access request to the authentication means. In particular, this applies to the authentication of mobile users requesting access to protected resources through an IP network or through another type of electronic access network.

Уровень техникиState of the art

Удаленный доступ к службам, которые защищены, или к информации, чувствительной к защите, в общем, через сети общего пользования требует строгой аутентификации конечного пользователя во избежание несанкционированного использования защищенной информации или для предотвращения непреднамеренного распространения защищенной информации или защищенных служб. Обычно аутентификацию обеспечивают с использованием так называемых маркеров для аутентификации, обеспечиваемых конечным пользователям. Тогда перед предоставлением доступа к защищенной службе или защищенной информации осуществляют проверку, имеется ли у конечного пользователя маркер. Обычным возможным вариантом этого является так называемая карточка права доступа, которая обеспечивает конечного пользователя псевдослучайными одноразовыми паролями, которые должны быть верифицированы сервером аутентификации.Remote access to services that are protected, or to information sensitive to protection, in general, through public networks, requires strict authentication of the end user to prevent unauthorized use of protected information or to prevent the unintentional distribution of protected information or protected services. Typically, authentication is provided using so-called authentication tokens provided to end users. Then, before providing access to the secure service or the protected information, it is checked whether the end user has a token. A common possible option for this is the so-called access card, which provides the end user with pseudo-random one-time passwords that must be verified by the authentication server.

В виде альтернативы распространению отдельных маркеров аутентификации в виде маркера может быть использован модуль идентификации мобильного устройства, например SIM-карта (Модуль Идентификации Абонента) GSM или USIM (UMTS SIM) UMTS (Универсальной Мобильной Телекоммуникационной Системы). Модуль идентификации может содержать частный секретный ключ, который может быть использован для подписи запроса на аутентификацию и для доказательства того, что удаленный конечный пользователь обладает маркером доступа, который в такой реализации состоит из модуля идентификации мобильного устройства.As an alternative to distributing individual authentication tokens as a token, a mobile device identification module can be used, for example, a GSM SIM card (Subscriber Identity Identification Module) or USM (UMTS SIM) UMTS (Universal Mobile Telecommunication System). The identification module may contain a private secret key, which can be used to sign the authentication request and to prove that the remote end user has an access token, which in such an implementation consists of a mobile device identification module.

В настоящее время существует два основных подхода к использованию модуля идентификации мобильных устройств в качестве маркера безопасности. Один из подходов состоит в использовании мобильной сети в виде защищенного канала, посредством которого сервер аутентификации связывается с мобильным устройством через сеть радиосвязи, что далее будет обозначено как аутентификация на основе сети. Аутентификация на основе сети обеспечивает большую простоту в использовании, так как сервер аутентификации может автоматически выполнять несколько этапов в диалоге аутентификации только с минимальными входными данными от конечного пользователя. Однако, при таких способах аутентификации на основе сети, существует недостаток, состоящий в том, что для аутентификации мобильное устройство должно находиться в пределах зоны охвата радиосвязи. Другой недостаток состоит в том, что канал может быть просто блокирован, что соответственно не допускает выполнения аутентификации.Currently, there are two main approaches to using the mobile device identification module as a security token. One approach is to use a mobile network in the form of a secure channel through which an authentication server communicates with a mobile device via a radio network, which will be referred to as network-based authentication. Network-based authentication provides greater ease of use, as the authentication server can automatically perform several steps in the authentication dialog with only minimal input from the end user. However, with such network-based authentication methods, there is a disadvantage in that, for authentication, the mobile device must be within the radio coverage area. Another disadvantage is that the channel can simply be blocked, which accordingly prevents authentication.

Другой подход основан на запросе конечного пользователя на выполнение вручную операции подписи на мобильном устройстве, что здесь обозначено как аутентификация с ручным вводом.Another approach is based on the request of the end user to manually perform the signing operation on the mobile device, which is here referred to as authentication with manual input.

Аутентификация с ручным вводом требует существенного взаимодействия с конечным пользователем, например, конечный пользователь каждый раз должен считывать вызов из канала доступа, вводить его на мобильное устройство и возвращать подписанный ответ. Это становится особенно неудобным, если мобильное устройство одновременно используют в качестве терминала доступа. Однако такой подход не зависит от зоны охвата радиосвязи.Manual authentication requires significant interaction with the end user, for example, the end user must read the call from the access channel each time, enter it on the mobile device and return a signed response. This becomes especially inconvenient if the mobile device is simultaneously used as an access terminal. However, this approach is independent of the radio coverage area.

В US-A-5668876 описаны способ и устройство для аутентификации конечного пользователя, пытающегося осуществить доступ к электронной службе, посредством которой передают код вызова в персональный блок, такой как мобильный телефон, который должен быть использован стандартным телефоном, мобильным телефоном или проводным телефоном. В персональный блок передают код вызова, пользователь вводит PIN-код или подобное, блок на основе секретного ключа, который хранится внутри, формирует код ответа. Этот код вводят, например, в телефон, передают обратно для сравнения ответа с первоначальным кодом вызова или с ожидаемым кодом ответа для разрешения или отклонения доступа. Этот документ, в частности, решает проблему необходимости ограничения использования систем защиты выделенными терминалами или заказными терминалами в определенных местах. Однако это решение имеет недостаток, состоящий в том, что оно не отслеживает результат доставки кодов вызова, что среди прочего означает, что, если отсутствует зона охвата радиосвязи, то аутентификация будет неуспешной.US-A-5668876 describes a method and apparatus for authenticating an end user trying to access an electronic service by which a call code is transmitted to a personal unit, such as a mobile phone, to be used with a standard telephone, mobile phone or wired telephone. A call code is transmitted to the personal block, the user enters a PIN code or the like, the block, based on the secret key stored inside, forms a response code. This code is entered, for example, into a telephone, sent back to compare the response with the original call code or with the expected response code to allow or deny access. This document, in particular, solves the problem of the need to limit the use of security systems to dedicated terminals or custom terminals in certain places. However, this solution has the disadvantage that it does not track the result of the delivery of call codes, which among other things means that if there is no radio coverage, then authentication will be unsuccessful.

СУЩНОСТЬ ИЗОБРЕТЕНИЯSUMMARY OF THE INVENTION

Следовательно, требуется система, посредством которой простым и гибким способом может быть выполнена аутентификация конечного пользователя, в частности, требующая по возможности минимального взаимодействия с конечным пользователем. В частности, требуется система, которая не ограничена использованием каких-либо выделенных блоков. Еще дополнительно, требуется система, которая может использовать преимущество так называемого подхода на основе сети, не страдающая недостатками, обычно связанными с таким подходом. В частности, требуется система, которая функционирует независимо от того, является ли достижимым устройство пользовательской станции, то есть находится ли он в пределах зоны охвата сети радиосвязи, которая, дополнительно, является удобной для пользователя и может быть автоматизирована в требуемой или в максимальной степени. В частности, требуется система, которую просто реализовать в уже существующих системах связи, а также в новых системах связи.Therefore, a system is required by which end-user authentication can be performed in a simple and flexible way, in particular requiring as little interaction as possible with the end-user. In particular, a system is required that is not limited to the use of any dedicated blocks. Still further, a system is needed that can take advantage of the so-called network-based approach without suffering from the drawbacks typically associated with such an approach. In particular, a system is required that operates regardless of whether the user station device is reachable, that is, whether it is within the coverage area of a radio communication network, which is additionally user-friendly and can be automated to the required or maximum extent. In particular, a system is required that is easy to implement in existing communication systems, as well as in new communication systems.

Также требуется устройство, или средство аутентификации, посредством которого могут быть решены одна или большее количество вышеупомянутых задач. Еще, дополнительно, требуется способ, посредством которого могут быть решены одна или большее количество вышеупомянутых задач.An apparatus or authentication means is also required by which one or more of the aforementioned tasks can be solved. Still further, a method is required by which one or more of the aforementioned problems can be solved.

Следовательно, предложена система, определенная первоначально, в которой устройство пользовательской станции дополнительно поддерживает связь с средством аутентификации по второму каналу связи. Средство аутентификации применяют, при приеме из устройства пользовательской станции запроса на доступ к защищенной информации или к защищенной службе или защищенному ресурсу, для установления, достижимо ли для аутентификации устройство пользовательской станции по первому каналу связи и, дополнительно для поддержки первого режима аутентификации, а также второго режима аутентификации по упомянутому второму каналу связи. Средство аутентификации дополнительно содержит средство решения для выбора, должен ли быть и/или когда должен быть активизирован или использован первый или второй режим аутентификации для устройства пользовательской станции, запрашивающего доступ к защищенной информации, и т.д. Упомянутое средство решения, в частности, содержит, или осуществляет с ним связь, средство коммутации для переключения между первым и вторым режимом аутентификации, в зависимости от того, какой из них может или должен быть использован. Более конкретно, первый режим аутентификации имеет приоритет относительно второго режима аутентификации, что означает, что, если может быть использован первый режим аутентификации, то он должен быть использован. Средство аутентификации, в частности, содержит средство анализа, которое содержит или включает в себя упомянутое средство решения для установления, достижимо ли устройство пользовательской станции для аутентификации по первому каналу связи. В частности, первый канал связи содержит канал аутентификации и, даже, более конкретно, второй канал связи содержит канал доступа.Therefore, the proposed system, originally defined in which the user station device further communicates with the authentication means on the second communication channel. An authentication tool is used when a request is received from a user station device for access to protected information or to a secure service or a secure resource to determine whether the user station device is reachable for authentication via the first communication channel and, in addition, to support the first authentication mode, as well as the second authentication mode for said second communication channel. The authentication means further comprises a decision means for selecting whether and / or when the first or second authentication mode should be activated or used for a user station device requesting access to secure information, etc. Said solution means, in particular, comprises, or communicates with, a switching means for switching between the first and second authentication mode, depending on which one can or should be used. More specifically, the first authentication mode has priority over the second authentication mode, which means that if the first authentication mode can be used, then it must be used. The authentication means, in particular, comprises an analysis means which comprises or includes the said decision means for determining whether the user station device for authentication on the first communication channel is reachable. In particular, the first communication channel contains an authentication channel and, even more specifically, the second communication channel contains an access channel.

В одной реализации второй канал связи также является каналом связи первой сети радиосвязи, или, в другом варианте осуществления, второй сети радиосвязи. Однако в другом предпочтительном варианте осуществления второй канал связи является каналом связи стационарной сети связи или проводной сети связи, например, для доступа в Интернет или для поддержки доступа в Интернет.In one implementation, the second communication channel is also a communication channel of a first radio communication network, or, in another embodiment, a second radio communication network. However, in another preferred embodiment, the second communication channel is a communication channel of a fixed communication network or a wired communication network, for example, to access the Internet or to support access to the Internet.

В одной реализации средство аутентификации содержит модуль аутентификации, который может быть обеспечен в сервере аутентификации или ассоциирован с сервером идентификации. Он также может быть обеспечен в средстве доступа или ассоциирован со средством доступа. В других вариантах осуществления средство аутентификации содержит сервер аутентификации.In one implementation, the authentication means comprises an authentication module, which may be provided in an authentication server or associated with an authentication server. It may also be provided in an access means or associated with an access means. In other embodiments, the authentication means comprises an authentication server.

В некоторых вариантах осуществления устройство пользовательской станции содержит мобильное устройство и терминал доступа, образующие отдельные блоки. В альтернативных реализациях устройство пользовательской станции содержит мобильный терминал доступа в виде единого блока, то есть мобильное устройство и терминал доступа обеспечены в виде единого блока.In some embodiments, a user station device comprises a mobile device and an access terminal forming separate blocks. In alternative implementations, the user station device comprises a mobile access terminal in the form of a single unit, that is, the mobile device and the access terminal are provided in a single unit.

Средство решения, как упомянуто выше, в частности, применяют для выбора второго режима, если устройство пользовательской станции, либо в виде объединенного блока, либо в виде его мобильного устройства, не является достижимым через упомянутую первую сеть радиосвязи, например, если оно находится вне зоны охвата радиосвязи, или если первый канал связи подавлен и т.д. Безусловно, могут существовать также другие причины для использования второго канала связи, в частности, вместо этого канала доступа, или вместо этого второго режима.The solution means, as mentioned above, in particular, is used to select the second mode if the user station device, either in the form of an integrated unit or in the form of its mobile device, is not reachable through the first radio communication network, for example, if it is out of range radio coverage, or if the first communication channel is suppressed, etc. Of course, there may also be other reasons for using the second communication channel, in particular, instead of this access channel, or instead of the second mode.

Средство аутентификации, в частности, содержит средство выполнения аутентификации, содержащее упомянутое средство анализа, которое применяют для инициации диалога пред-аутентификации с устройством пользовательской станции по первому каналу связи, например, через первую сеть радиосвязи, для установления, может ли быть использован первый режим аутентификации, или достижимо ли устройство пользовательской станции через первую сеть радиосвязи.The authentication means, in particular, comprises authentication means containing said analysis means, which is used to initiate a pre-authentication dialogue with the user station device via the first communication channel, for example, through the first radio communication network, to determine whether the first authentication mode can be used or whether the user station device is reachable via the first radio network.

Еще более конкретно, упомянутое средство аутентификации применяют для выполнения упомянутого диалога пред-аутентификации, который, можно сказать, также составляет этап анализа, для формирования и передачи первого сообщения вызова, содержащего код вызова, в устройство пользовательской станции через первую сеть связи и для инициации первого диалога аутентификации первого режима аутентификации посредством обеспечения второго сообщения вызова, содержащего подсказку (для) вызова, в устройство пользовательской станции, если верифицирована доставка кода вызова первого сообщения вызова. Средство аутентификации дополнительно применяют, если не верифицирована доставка кода вызова, для инициации второго диалога аутентификации второго режима аутентификации посредством формирования и передачи комбинированного сообщения вызова, содержащего код вызова и подсказку (для) вызова в одном сообщении, по второму каналу связи в устройство пользовательской станции, и для анализа, возвращен ли код вызова подписанным соответствующим образом и соответствует ли переданному коду вызова или ожидаемому ответу на переданный код вызова, для предоставления доступа или отклонения доступа к защищенной информации/службе в зависимости от результата анализа. Процедура анализа и предоставления/отклонения является одинаковой, вне зависимости от того, первый или второй режим используют.Even more specifically, said authentication means is used to perform said pre-authentication dialogue, which, it can be said, also constitutes an analysis step, for generating and transmitting a first call message containing a call code to a user station device through a first communication network and to initiate the first the authentication dialog of the first authentication mode by providing a second call message containing a hint (for) the call to the user station device, if verified and the delivery of the code to call the first call message. The authentication tool is additionally used, if the delivery of the call code is not verified, to initiate the second authentication dialog of the second authentication mode by generating and transmitting a combined call message containing the call code and the hint (for) the call in one message, via the second communication channel to the user station device, and to analyze whether the call code is returned signed accordingly and whether the transmitted call code matches or the expected response to the transmitted call code, q I grant access or deny access to protected information / service according to the analysis result. The analysis procedure and the provision / rejection is the same, regardless of whether the first or second mode is used.

В определенном варианте осуществления средство анализа применяют для передачи упомянутого первого сообщения вызова в виде SMS (Службы Коротких Сообщений), например, через SMS-C (SMS-Центр). Более конкретно, код вызова содержит случайное число, сформированное любым соответствующим образом.In a specific embodiment, the analysis tool is used to transmit the aforementioned first call message in the form of SMS (Short Message Service), for example, via SMS-C (SMS Center). More specifically, the call code contains a random number generated in any appropriate manner.

Средство аутентификации дополнительно содержит средство хранения пользовательских данных или осуществляет связь со средством хранения пользовательских данных, содержащим пользовательскую информацию, такую как открытые ключи для устройств пользовательской станции, и средство верификации аутентификации или осуществляет связь со средством верификации аутентификации, применяемым для расшифровки возвращенных подписанных (шифрованных) кодов вызова с использованием открытого ключа устройства пользовательской станции, соответствующего соответствующему частному ключу, который хранится в модуле аутентификации соответствующего устройства пользовательской станции, и посредством сравнения расшифрованного возвращенного кода вызова с первоначальным кодом вызова, переданным в устройство пользовательской станции, или с ожидаемым ответом, и для предоставления (разрешения) для запроса на доступ, если расшифрованный возвращенный код вызова соответствует первоначальному коду вызова или ожидаемому ответу, иначе для отклонения запроса на доступ.The authentication means further comprises means for storing user data or communicates with means for storing user data containing user information, such as public keys for user station devices, and means for verifying authentication or communicates with means for verifying authentication used to decrypt returned signed (encrypted) call codes using the public key of the user station device, respectively the corresponding private key, which is stored in the authentication module of the corresponding device of the user station, and by comparing the decrypted returned call code with the original call code transmitted to the device of the user station, or with the expected response, and to provide (permission) for the access request if the decrypted returned call code corresponds to the original call code or the expected response, otherwise to reject the access request.

Более конкретно, системой поддерживается механизм вызова-ответа RADIUS или подобный.More specifically, the system supports a RADIUS call-response mechanism or the like.

В одном варианте осуществления по второму каналу связи передают второе сообщение вызова, например подсказку вызова первого режима, код вызова подписывают (автоматически) в мобильном устройстве и представляют на мобильном устройстве, подсказывая конечному пользователю ввести подписанный код вызова в клиентское устройство доступа. В виде варианта, подпись частным ключом должна быть выполнена вручную или включает в себя также подпись вручную. В виде варианта, может быть предусмотрен автоматизированный ввод подписанного кода вызова, например, если пользовательская станция является объединенным устройством пользовательской станции (одним объектом), как описано выше, или если терминал (клиентское устройство) доступа и мобильное устройство являются отдельными блоками, но соединены, например, посредством протокола Bluetooth или подобного.In one embodiment, a second call message, such as a first mode call prompt, is transmitted over the second communication channel, the call code is signed (automatically) on the mobile device and presented on the mobile device, prompting the end user to enter the signed call code into the client access device. Alternatively, the signature with the private key must be done manually or also includes the signature manually. Alternatively, an automated entry of a signed call code may be provided, for example, if the user station is a combined user station device (one entity) as described above, or if the access terminal (client device) and the mobile device are separate units, but are connected, for example, via the Bluetooth protocol or the like.

Если реализуют второй режим, или должен быть реализован второй режим, то вместо этого код доступа с подсказкой передают по второму каналу связи в терминал доступа, и пользователю подсказывают подписать код вызова мобильным устройством посредством выбора вручную функции подписи на мобильном устройстве, ввода в него кода вызова (представлен на терминале доступа) и затем ввода подписанного кода вызова (представленного на мобильном устройстве) в терминал доступа. Здесь также возможна частичная или полная автоматизация для объединенного устройства пользовательской станции.If the second mode is implemented, or the second mode should be implemented, then instead the access code with a hint is transmitted via the second communication channel to the access terminal, and the user is prompted to sign the call code with the mobile device by manually selecting the signing function on the mobile device, entering the call code into it (presented on the access terminal) and then entering the signed call code (presented on the mobile device) into the access terminal. Partial or full automation is also possible for the combined device of the user station.

Следовательно, согласно изобретению также предложено средство аутентификации, как определено первоначально, которое применяют для поддержки связи с устройством пользовательской станции также по второму каналу связи, которое дополнительно содержит средство выполнения аутентификации, содержащее средство анализа для установления, достижимо ли для аутентификации устройство пользовательской станции, запрашивающее защищенный доступ, по первому каналу связи. Упомянутое средство аутентификации применяют для поддержки первого режима аутентификации и второго режима аутентификации (исключительно) с использованием второго канала связи, упомянутое средство анализа содержит средство решения для выбора упомянутого первого или упомянутого второго режима аутентификации. Упомянутое средство решения, в частности, содержит средство коммутации или осуществляет связь со средством коммутации для переключения между первым и вторым режимом аутентификации. Более конкретно, первый режим аутентификации имеет приоритет относительно второго режима аутентификации, в частности, упомянутый второй режим используют только, если устройство пользовательской станции не достижимо для аутентификации по первому каналу. В определенной реализации первый канал связи содержит канал аутентификации, и второй канал связи содержит канал доступа. Более конкретно, первым каналом связи является канал связи сети радиосвязи первой сети радиосвязи, при этом вторым каналом связи является канал связи стационарной сети связи, например, для доступа в Интернет, или канал связи сети радиосвязи упомянутой первой сети радиосвязи дополнительно к первой или второй сети радиосвязи. В одной реализации средство аутентификации содержит сервер аутентификации. В виде варианта, оно содержит модуль аутентификации, который может быть ассоциирован с сервером идентификации, или с сервером доступа, или с объединенным сервером аутентификации-доступа, или для обеспечения в них, или посредством его включения в состав или ассоциации с ним формируется объединенный сервер аутентификации-доступа.Therefore, according to the invention, an authentication tool is also provided, as originally defined, which is also used to support communication with the user station device via a second communication channel, which further comprises authentication means, comprising analysis means for determining whether the user station device is reachable for authentication requesting secure access through the first communication channel. Said authentication means is used to support the first authentication mode and the second authentication mode (exclusively) using the second communication channel, said analysis means comprising decision means for selecting said first or said second authentication mode. Said solution means, in particular, comprises switching means or communicates with the switching means for switching between the first and second authentication mode. More specifically, the first authentication mode takes precedence over the second authentication mode, in particular, said second mode is used only if the user station device is not reachable for authentication on the first channel. In a specific implementation, the first communication channel contains an authentication channel, and the second communication channel contains an access channel. More specifically, the first communication channel is a communication channel of a radio communication network of a first radio communication network, wherein the second communication channel is a communication channel of a fixed communication network, for example, for accessing the Internet, or a communication channel of a radio communication network of said first radio communication network in addition to the first or second radio communication network . In one implementation, the authentication means comprises an authentication server. Alternatively, it comprises an authentication module, which can be associated with an authentication server, or with an access server, or with an integrated authentication-access server, or for providing them, or by incorporating it into the association or associating with it, an integrated authentication server is formed -access.

Более конкретно, средство анализа применяют для анализа, выполняется ли заданный критерий, для установления, достижимо ли устройство пользовательской станции по первому каналу связи, более конкретно, посредством передачи кода вызова по первому каналу связи, например, в виде SMS, и для анализа, получено ли прямое или косвенное подтверждение доставки из устройства пользовательской станции или со стороны сети радиосвязи, относящееся к доступности устройства пользовательской станции. Более конкретно, если заданный критерий выполняется, то средство анализа применяют для активизации средства выполнения аутентификации в первом режиме, в котором его применяют для передачи второго сообщения вызова, содержащего подсказку вызова для подсказки ввести (вручную) в клиентское устройство доступа код вызова, переданный в первом сообщении вызова, предпочтительно, автоматически подписанный в мобильном устройстве устройства пользовательской станции, и для возврата упомянутого подписанного кода вызова в средство аутентификации. Упомянутое средство выполнения аутентификации дополнительно содержит средство верификации для расшифровки подписанного кода вызова и для сравнения расшифрованного возвращенного кода вызова с первоначально переданным кодом вызова (или ожидаемым ответом), и для разрешения запроса на доступ, если существует согласование между первоначальным кодом вызова (ожидаемым ответом) и возвращенным расшифрованным кодом вызова, и иначе для отклонения запроса на доступ.More specifically, the analysis tool is used to analyze whether a given criterion is fulfilled, to determine whether the user station device is reachable on the first communication channel, more specifically, by transmitting a call code on the first communication channel, for example, in the form of SMS, and for analysis, obtained whether direct or indirect delivery confirmation from the user station device or from the radio network side related to the availability of the user station device. More specifically, if the specified criterion is met, then the analysis tool is used to activate the authentication means in the first mode, in which it is used to send a second call message containing a call prompt for prompting to enter (manually) into the client access device the call code transmitted in the first a call message, preferably automatically signed in the mobile device of the user station device, and for returning said signed call code to the authentication means. Said authentication executing means further comprises verification means for decrypting the signed call code and for comparing the decrypted returned call code with the originally transmitted call code (or expected response), and to allow an access request if there is a match between the original calling code (expected answer) and returned decrypted call code, and otherwise to reject an access request.

Средство верификации, в частности, применяют, и в первом, и во втором режиме, для извлечения открытого ключа, относящегося к устройству пользовательской станции, который хранится во внешнем или внутреннем средстве хранения (данных) и соответствует частному ключу устройства пользовательской станции, используемому для подписи. Еще более конкретно, средство аутентификации применяют, если не принято подтверждение доставки, или если запрос на доступ отклонен при реализации первого режима, для передачи в устройство пользовательской станции комбинированного сообщения вызова, содержащего и код вызова, и подсказку вызова, для подписи на мобильном устройстве и ввода в клиентское устройство доступа, для расшифровки возвращенного подписанного кода вызова и для сравнения расшифрованного возвращенного кода вызова с первоначально переданным кодом вызова (ожидаемым ответом), и для предоставления (разрешения) для запроса на доступ, если существует согласование между первоначальным кодом вызова и расшифрованным возвращенным кодом вызова, и иначе для отклонения запроса на доступ. В частности, требуется подпись вручную на мобильном устройстве после ввода кода вызова, представленного на терминале доступа, и ввод вручную этого подписанного кода вызова в терминал доступа.The verification tool, in particular, is used in both the first and second mode to retrieve the public key related to the user station device, which is stored in the external or internal storage (data) means and corresponds to the private key of the user station device used for signing . Even more specifically, an authentication tool is used if a delivery confirmation has not been received, or if the access request is rejected during the first mode, to transmit to the user station device a combined call message containing both the call code and the call hint for signing on the mobile device and input to the client access device to decrypt the returned signed call code and to compare the decrypted returned call code with the originally transmitted call code (expected ), and for granting (permission) for an access request, if there is agreement between the original call code and the decrypted returned call code, and otherwise for rejecting the access request. In particular, a manual signature is required on the mobile device after entering the call code presented on the access terminal and manually entering this signed call code into the access terminal.

Первое сообщение вызова, например код вызова, в частности, содержит случайный код вызова.The first call message, for example, a call code, in particular, contains a random call code.

Для решения одной или большего количества вышеупомянутых проблем и для выполнения одной или большего количества описанных ранее в заявке задач также предложен способ, как определено первоначально, который содержит этапы: выполнения этапа анализа в средстве аутентификации для установления, достижимо ли устройство пользовательской станции для аутентификации по первому каналу связи (первой) сети радиосвязи; если да, то инициации первого режима аутентификации; если нет, то инициации второго режима аутентификации по второму каналу связи.To solve one or more of the above problems and to perform one or more of the tasks described earlier in the application, a method is also proposed, as originally defined, which comprises the steps of: performing an analysis step in an authentication tool to determine if the user station device is reachable for authentication according to the first a communication channel of a (first) radio communication network; if so, the initiation of the first authentication mode; if not, then initiating a second authentication mode over the second communication channel.

Этап анализа, в частности, содержит этапы: формирования первого сообщения вызова в средстве аутентификации; передачи первого сообщения вызова в устройство пользовательской станции или в узел сети радиосвязи, осуществляющий обработку для устройства пользовательской станции; анализа, в средстве аутентификации, выполняется ли заданный критерий, например, принято ли подтверждение доставки первого сообщения в пределах заданного периода времени; если да, то инициации упомянутого первого режима аутентификации посредством передачи второго сообщения вызова, запрашивающего в ответ первое сообщение вызова, подписанное в устройстве пользовательской станции, и если нет, то инициации упомянутого второго режима посредством формирования комбинированного сообщения вызова и передачи упомянутого комбинированного сообщения вызова в устройство пользовательской станции по второму каналу связи. Более конкретно, первое сообщение вызова содержит код вызова, например случайный код, и второе сообщение вызова содержит подсказку вызова, при этом комбинированное сообщение вызова содержит код вызова и подсказку вызова.The analysis step, in particular, comprises the steps of: generating a first call message in an authentication means; transmitting the first call message to the device of the user station or to a node of the radio communication network performing processing for the device of the user station; analyzing, in the authentication means, whether a predetermined criterion is met, for example, whether delivery confirmation of a first message is received within a predetermined time period; if so, then initiating said first authentication mode by transmitting a second call message requesting a first call message signed in the user station device in response, and if not, initiating said second mode by generating a combined call message and transmitting said combined call message to the device user station on the second communication channel. More specifically, the first call message contains a call code, for example a random code, and the second call message contains a call hint, while the combined call message contains a call code and a call hint.

Еще более конкретно, первый и второй режим аутентификации, то есть безотносительно, тот, который реализуют, содержит этапы, в средстве аутентификации: приема возвращенного подписанного или шифрованного кода вызова; расшифровки возвращенного шифрованного кода вызова; сравнения первоначально переданного кода вызова или ожидаемого ответа с расшифрованным возвращенным кодом вызова; предоставления (разрешения) запроса на доступ, если расшифрованный возвращенный код вызова соответствует первоначально переданному коду вызова или ожидаемому ответу, иначе отклонения запроса на доступ.Even more specifically, the first and second authentication mode, that is, whatever the one that is implemented, comprises the steps, in an authentication tool: receiving a returned signed or encrypted call code; decrypting the returned encrypted call code; comparing the originally transmitted call code or the expected response with the decrypted returned call code; providing (authorizing) the access request if the decrypted returned call code corresponds to the originally transmitted call code or the expected response, otherwise the access request is rejected.

Более конкретно, способ содержит этапы, в устройстве пользовательской станции и для первого режима: автоматической подписи кода вызова, переданного в качестве первого сообщения вызова, частным ключом в мобильном устройстве; представления подписанного кода вызова на дисплее мобильного устройства устройства пользовательской станции; передачи подтверждения доставки в средство аутентификации; ввода подписанного кода вызова в клиентское устройство доступа устройства пользовательской станции при приеме подсказки вызова. Ввод может быть выполнен автоматически, если устройство пользовательской станции, например, содержит один единый блок, содержащий мобильное устройство и терминал (клиентское устройство) доступа, или если, например, между ними обеспечена связь Bluetooth. Иначе ввод выполняется конечным пользователем вручную или через IR-передачу.More specifically, the method comprises the steps in the user station device and for the first mode: automatically signing the call code transmitted as the first call message with a private key in the mobile device; presenting the signed call code on the display of the mobile device of the user station device; transmitting the delivery confirmation to the authentication means; entering the signed call code into the client access device of the user station device when receiving a call prompt. The input can be performed automatically if the user station device, for example, contains one single unit containing a mobile device and an access terminal (client device), or if, for example, Bluetooth is provided between them. Otherwise, the input is performed by the end user manually or via IR transmission.

В частности, способ содержит этапы, в устройстве пользовательской станции: подсказки, с первым сообщением вызова, конечному пользователю ввести секретный код пользователя, например, PIN-код, в мобильное устройство устройства пользовательской станции; подписи кода вызова частным секретным ключом, который хранится в модуле идентификации устройства пользовательской станции, например SIM-карте; представления подписанного кода вызова на дисплее мобильного устройства устройства пользовательской станции; передачи подтверждения доставки в средство аутентификации.In particular, the method comprises the steps, in a user station device: prompts, with a first call message, to an end user to enter a user's secret code, for example, a PIN code, into the mobile device of the user station device; signing the call code with a private secret key, which is stored in the identification module of the user station device, for example, a SIM card; presenting the signed call code on the display of the mobile device of the user station device; transmitting the delivery confirmation to the authentication means.

В частности, способ содержит этапы, при приеме подтверждения доставки в средстве аутентификации: передачи второго сообщения вызова, или подсказки вызова, в клиентское устройство доступа устройства пользовательской станции, запрашивающего ввод конечным пользователем в клиентское устройство доступа подписанного кода вызова, представленного на дисплее мобильного устройства; возврата подписанного кода вызова из клиентского устройства доступа в средство аутентификации.In particular, the method comprises the steps of receiving a delivery confirmation in an authentication means: transmitting a second call message, or a call prompt, to a client access device of a user station device requesting an end user to enter a signed call code displayed on a display of a mobile device into a client access device; return the signed call code from the client access device to the authentication tool.

В частности, этап расшифровки содержит: извлечение из средства хранения (данных) открытого ключа, соответствующего частному ключу, который хранится в модуле аутентификации мобильного устройства; расшифровки подписанного кода вызова с использованием открытого ключа. Средство хранения (данных) может содержаться в средстве аутентификации или в модуле аутентификации или во внешнем средстве хранения (данных), осуществляющем связь со средством аутентификации.In particular, the decryption step comprises: extracting from the storage means (data) the public key corresponding to the private key that is stored in the authentication module of the mobile device; decrypting the signed call code using the public key. The storage medium (data) may be contained in the authentication medium or in the authentication module or in an external storage medium (data) in communication with the authentication means.

Более конкретно, способ содержит этапы: реализации второго режима аутентификации посредством передачи сформированного скомбинированного вызова доступа в клиентское устройство доступа устройства пользовательской станции, инструктирующего конечного пользователя вручную подписать код вызова на мобильном устройстве устройства пользовательской станции посредством запроса на ввод конечным пользователем кода вызова в мобильное устройство и, возможно, пароля пользователя, например PIN-кода; подписи кода вызова частным ключом, который хранится в модуле защиты мобильного устройства; представления подписанного кода вызова на дисплее мобильного устройства; запроса на ввод конечным пользователем подписанного кода вызова в клиентское устройство доступа; возврата подписанного кода вызова в средство аутентификации из клиентского устройства доступа.More specifically, the method comprises the steps of: implementing a second authentication mode by transmitting the generated combined access call to the client access device of the user station device instructing the end user to manually sign the call code on the mobile device of the user station device by requesting the end user to enter the call code into the mobile device and possibly a user password, such as a PIN; signing the call code with a private key, which is stored in the security module of the mobile device; presentation of the signed call code on the display of the mobile device; a request for an end user to enter a signed calling code into a client access device; returning the signed call code to the authentication means from the client access device.

Преимущество изобретения состоит в том, что доступны два различных режима (канала) аутентификации, и что, если существует возможность, то может быть использован канал сети радиосвязи, иначе может быть использован другой канал, например канал доступа. Также преимущество состоит в том, что, в частности, в том случае, где используют канал радиосвязи, процедура может быть в высокой степени автоматизирована, но также она может быть автоматизирована в другой степени и во втором режиме, что аутентификация может быть выполнена в наиболее возможной степени через сеть радиосвязи, по каналу аутентификации, и только если он не функционирует, то используют канал доступа. Также предпочтительным является то, что аутентификация может быть обеспечена вне зависимости от того, существует ли зона охвата радиосвязи, или от того, находится ли устройство пользовательской станции в пределах зоны охвата сети радиосвязи, или от того, блокирован ли канал радиосвязи и т.д.An advantage of the invention is that two different authentication modes (channels) are available, and that, if possible, a radio network channel can be used, otherwise another channel, for example, an access channel, can be used. Another advantage is that, in particular, in the case where a radio channel is used, the procedure can be highly automated, but it can also be automated to a different degree in the second mode, that authentication can be performed as much as possible degrees through a radio communication network, through an authentication channel, and only if it does not function, then use the access channel. It is also preferred that authentication can be provided regardless of whether there is a radio coverage area, or whether the user station device is within the coverage area of a radio communication network, or whether a radio channel is blocked, etc.

КРАТКОЕ ОПИСАНИЕ ЧЕРТЕЖЕЙBRIEF DESCRIPTION OF THE DRAWINGS

Изобретение будет описано далее со ссылкой на прилагаемые чертежи, при этом предполагается устанавливать какие-либо ограничения.The invention will be described hereinafter with reference to the accompanying drawings, and it is intended to establish any limitations.

Фиг.1 схематично иллюстрирует систему согласно первой реализации концепции изобретения.Figure 1 schematically illustrates a system according to a first implementation of the concept of the invention.

Фиг.2 схематично иллюстрирует вторую реализацию системы согласно концепции изобретения.Figure 2 schematically illustrates a second implementation of a system according to the concept of the invention.

Фиг.3 схематично иллюстрирует третью реализацию системы согласно концепции изобретения.Figure 3 schematically illustrates a third implementation of a system according to the concept of the invention.

Фиг.4 весьма схематично иллюстрирует средства или функциональные части средства аутентификации, которые необходимы для выполнения концепции изобретения.4 very schematically illustrates the means or functional parts of the authentication means that are necessary to carry out the concept of the invention.

Фиг.5 изображает один упрощенный вариант осуществления средства аутентификации согласно изобретению.5 depicts one simplified embodiment of an authentication means according to the invention.

Фиг.6 - блок-схема, схематично описывающая процедуру изобретения.6 is a flowchart schematically describing a procedure of the invention.

Фиг.7 изображает блок-схему, немного более подробно описывающую концепцию изобретения, согласно одной реализации.7 depicts a block diagram describing a little more in detail the concept of the invention, according to one implementation.

Фиг.8 - циклограмма, описывающая передачу сообщений, согласно одной реализации концепции изобретения.Fig. 8 is a sequence diagram describing message passing, according to one implementation of the concept of the invention.

ОСУЩЕСТВЛЕНИЕ ИЗОБРЕТЕНИЯDETAILED DESCRIPTION OF THE INVENTION

Фиг.1 - схематичная блок-схема, изображающая один возможный вариант системы, в которой реализуют концепцию изобретения. Система содержит устройство 10 пользовательской станции, здесь содержащее отдельные мобильное устройство 11, например мобильный телефон или карманный компьютер, или подобное устройство, и терминал 12 доступа, который, например, содержит персональный компьютер (PC) или карманный компьютер и т.д. Терминал 12 доступа осуществляет связь с сервером 20 доступа по второму каналу связи, содержащему канал доступа, который является каналом, по которому должны быть достижимы защищенная информация или служба, или ресурс. Сервер 20 доступа осуществляет связь с сервером 30 аутентификации. Устройство 10 пользовательской станции, здесь мобильное устройство 11, как упомянуто выше, обычно, мобильный телефон, но это может быть также некоторый другой вид мобильного устройства связи, например карманный или портативный компьютер, соединено через сеть радиосвязи (RAN, сеть радиодоступа) с системой 40 мобильной связи, например, системой мобильной телефонии. Связь между мобильным устройством 11 и системой 40 мобильной связи обеспечивают по первому каналу связи, здесь первый канал связи сети радиосвязи также определен как канал аутентификации. Здесь предполагается, что конечный пользователь 1 осуществляет попытку получить доступ к серверу 20 доступа через терминал 12 доступа. Для обеспечения возможности предоставления или отклонения доступа к защищенной информации или защищенной службе сервер 20 доступа направляет запрос на доступ (из терминала доступа, или клиентского устройства 12 доступа) в сервер 30 аутентификации, который отвечает за верификацию идентификатора конечного пользователя 1. В этом определенном варианте осуществления это делают с использованием модуля безопасности в мобильном устройстве 11, которое носит конечный пользователь 1. Здесь, обычно, мобильное устройство 11 должно быть достигнуто через сеть радиосвязи RAN и систему 40 мобильной связи. В этом конкретном варианте осуществления мобильное устройство 11 и терминал 12 доступа устройства 10 пользователя являются отдельными блоками. Должно быть ясно, что устройство пользователя может также состоять из одного единого устройства, содержащего обе функциональных возможности. В том случае, где устройство 10 пользователя состоит из одного единого блока, то есть мобильное устройство 11 и терминал 12 доступа являются одним устройством, система 40 сети радиосвязи/телефонии может функционировать также как канал доступа. Модулем идентификации и мобильным устройством 11, обычно, могут быть SIM-карта GSM/3GSM или карта USIM UMTS или любой другой вид модуля идентификации, аппаратных средств или программного обеспечения. Согласно концепции изобретения для идентификации сначала устанавливают, может ли быть использован первый режим аутентификации по первому каналу связи, то есть достижимо ли мобильное устройство 11 по первому каналу связи, или по каналу сети радиосвязи. Если да, то используют первый режим аутентификации, как будет дополнительно описано ниже, при этом, если оно не может быть достигнуто или не достижимо и не может обеспечивать подтверждение доставки на сервер 30 аутентификации, то инициируют второй режим аутентификации по второму каналу связи. Второй режим, обычно, требует несколько большего взаимодействия с пользователем, чем первый режим аутентификации, поэтому, предпочтительно, используют первый режим аутентификации каждый раз, когда это возможно.Figure 1 is a schematic block diagram depicting one possible embodiment of a system in which the concept of the invention is implemented. The system comprises a user station device 10, comprising individual mobile devices 11, for example, a mobile phone or PDA, or similar device, and an access terminal 12, which, for example, contains a personal computer (PC) or PDA, etc. The access terminal 12 communicates with the access server 20 through a second communication channel containing an access channel, which is a channel through which secure information or a service or resource should be reachable. The access server 20 communicates with the authentication server 30. The user station device 10, here a mobile device 11, as mentioned above, is usually a mobile phone, but it can also be some other type of mobile communication device, such as a handheld or laptop computer, connected via a radio network (RAN, radio access network) to the system 40 mobile communications, for example, a mobile telephony system. The communication between the mobile device 11 and the mobile communication system 40 is provided via the first communication channel, here the first communication channel of the radio communication network is also defined as an authentication channel. Here, it is assumed that the end user 1 attempts to access the access server 20 through the access terminal 12. In order to allow or deny access to the protected information or the secure service, the access server 20 sends an access request (from the access terminal or access client device 12) to the authentication server 30, which is responsible for verifying the identity of the end user 1. In this specific embodiment this is done using the security module in the mobile device 11, which is carried by the end user 1. Here, usually, the mobile device 11 must be reached through radio network RAN and the mobile system 40. In this particular embodiment, the mobile device 11 and the access terminal 12 of the user device 10 are separate units. It should be clear that the user device may also consist of one single device containing both functionality. In the case where the user device 10 consists of one single unit, that is, the mobile device 11 and the access terminal 12 are one device, the radio / telephony network system 40 may also function as an access channel. The identification module and mobile device 11 can typically be a GSM / 3GSM SIM card or a USIM UMTS card or any other type of identification module, hardware, or software. According to the concept of the invention, it is first established for identification whether the first authentication mode can be used on the first communication channel, that is, whether the mobile device 11 is reachable on the first communication channel, or on the channel of the radio communication network. If yes, then the first authentication mode is used, as will be further described below, however, if it cannot be achieved or is not reachable and cannot provide delivery confirmation to the authentication server 30, then the second authentication mode is initiated via the second communication channel. The second mode usually requires a bit more user interaction than the first authentication mode, therefore, it is preferable to use the first authentication mode whenever possible.

Фиг.2 - другая блок-схема, описывающая альтернативную реализацию системы, согласно изобретению. Здесь также предполагается, что устройство 10A пользовательской станции состоит из мобильного устройства 11А и терминала 12A доступа. Однако должно быть ясно, что в этом варианте осуществления оно также может содержать единственное устройство, как описано выше, согласно фиг.1. Мобильное устройство 12A соединено посредством первого канала связи сети радиосвязи с системой 40A мобильной связи, и терминал 12A доступа осуществляет связь по второму каналу связи с сервером 20A доступа. Однако в этом варианте осуществления предполагается, что средство аутентификации реализуют в виде модуля 30A аутентификации, который обеспечивают в сервере 20A доступа или ассоциируют с сервером доступа. В других аспектах функционирование подобно описанному, согласно фиг.1, фиг.2 предназначена просто для иллюстрации того, что средство аутентификации может быть реализовано в виде отдельного средства аутентификации или в виде сервера аутентификации, или в виде модуля аутентификации, обеспеченного в сервере 20А доступа или ассоциированного с ним (или ассоциированного с обычным сервером аутентификации).Figure 2 is another block diagram describing an alternative implementation of the system according to the invention. It is also assumed here that the user station device 10A consists of a mobile device 11A and an access terminal 12A. However, it should be clear that in this embodiment, it may also contain a single device, as described above, according to figure 1. Mobile device 12A is connected via a first communication channel of a radio communication network to mobile communication system 40A, and access terminal 12A communicates via a second communication channel with access server 20A. However, in this embodiment, it is assumed that the authentication means is implemented as an authentication module 30A, which is provided in the access server 20A or associated with the access server. In other aspects, operation similar to that described in FIG. 1, FIG. 2 is intended merely to illustrate that the authentication means may be implemented as a separate authentication means or as an authentication server, or as an authentication module provided in access server 20A or associated with it (or associated with a regular authentication server).

Фиг.3 - еще одна блок-схема, изображающая реализацию системы, согласно изобретению. В этой реализации предполагается, что устройство 10В пользовательской станции содержит один единый блок мобильного клиентского устройства доступа. Предполагается, что связь с системой 40В мобильной связи осуществляют по первому каналу связи сети радиосвязи и связь с сервером 20В доступа осуществляют по второму каналу связи. Сервер 20В доступа, в свою очередь, осуществляет связь с сервером 300 аутентификации, например, обычного вида, который содержит модуль 30В аутентификации для выполнения концепции изобретения. Модуль 30В аутентификации может быть обеспечен также в виде отдельного блока, осуществляющего связь с сервером 300 аутентификации 300. Должно быть ясно, что устройство 10В пользовательской станции, безусловно, может состоять из двух отдельных блоков, одного мобильного устройства и терминала доступа, со средством аутентификации, как здесь описано.Figure 3 is another block diagram depicting an implementation of a system according to the invention. In this implementation, it is assumed that the user station device 10B comprises one single unit of a mobile client access device. It is assumed that communication with the mobile communication system 40B is carried out via a first communication channel of a radio communication network and communication with an access server 20B is carried out via a second communication channel. The access server 20B, in turn, communicates with an authentication server 30 0 , for example, of a conventional form, which comprises an authentication module 30B for implementing the concept of the invention. Authentication module 30B may also be provided as a separate unit in communication with the authentication server 30 0 30 0. It should be clear that the user station device 10B can of course consist of two separate units, one mobile device and an access terminal, with authentication means, as described here.

Сервер аутентификации соответственно может быть реализован в виде автономного сервера идентификации, что является наиболее обычным случаем, или, например, в виде модуля аутентификации в сервере доступа, что является частным случаем применения.The authentication server, respectively, can be implemented as a stand-alone authentication server, which is the most common case, or, for example, as an authentication module in the access server, which is a special case of application.

Фиг.4 - концептуальная диаграмма, описывающая основные функции или компоненты сервера 30' аутентификации, который поддерживает концепцию изобретения. Предполагается, что сервер 30' аутентификации содержит один или большее количество интерфейсных модулей сервера доступа, посредством которых могут взаимодействовать серверы доступа. Одним возможным вариантом такого интерфейса является протокол RADIUS, в этом случае доступ к серверу аутентификации действует как RADIUS-сервер (RFC Запрос на Комментарий 2865, разделы 2.1 и 4.4), и сервер доступа действует как RADIUS-клиент. RADIUS, как определено в RFC 2865, является обычным пользовательским протоколом для осуществления интерфейса сервера аутентификации с сервером доступа. Для поддержки схемы аутентификации, в соответствии с которой конечному пользователю представляют подсказку вызова в качестве ответа на запрос на доступ, может быть использован механизм вызов-ответ в RADIUS. Механизм вызов-ответ в RADIUS описан в вышеупомянутых разделах RFC 2865. Концепция изобретения не ограничена поддержкой механизма вызов-ответ RADIUS, но она должна поддерживать подобный механизм.4 is a conceptual diagram describing the main functions or components of an authentication server 30 ′ that supports the concept of the invention. It is assumed that the authentication server 30 ′ comprises one or more access server interface modules through which access servers can communicate. One possible option for such an interface is the RADIUS protocol, in which case access to the authentication server acts as a RADIUS server (RFC Request for Comment 2865, sections 2.1 and 4.4), and the access server acts as a RADIUS client. RADIUS, as defined in RFC 2865, is a common user protocol for implementing an authentication server interface with an access server. To support the authentication scheme, according to which the end-user is presented with a call hint as a response to an access request, a call-response mechanism in RADIUS can be used. The RADIUS call-response mechanism is described in the above sections of RFC 2865. The concept of the invention is not limited to the support of the RADIUS call-response mechanism, but it must support a similar mechanism.

Предполагается также, что средство аутентификации содержит один или большее количество интерфейсных модулей сети мобильной связи, посредством которых взаимодействуют одна или большее количество сетей мобильной связи. Одним возможным вариантом такого интерфейса является протокол внешнего интерфейса SMSC (Центра службы коротких сообщений), такой как SMPP, посредством которого мобильные устройства могут быть достижимы посредством SMS. Обработка интерфейса с мобильными сетями может быть также осуществлена в отдельном узле межсетевого интерфейса (не изображен), в этом случае сервер аутентификации должен поддерживать интерфейс только с этим узлом межсетевого интерфейса.It is also contemplated that the authentication means comprises one or more interface modules of a mobile communication network through which one or more mobile communication networks communicate. One possible option for such an interface is the SMSC (Short Message Service Center) external interface protocol, such as SMPP, through which mobile devices can be reached via SMS. The processing of the interface with mobile networks can also be carried out in a separate gateway node (not shown), in which case the authentication server should only support an interface with this gateway node.

Дополнительно, еще предполагается, что оно содержит одно или большее количество интерфейсных модулей средства хранения пользовательских данных, посредством которых могут взаимодействовать один или несколько репозиториев, или средств хранения пользовательских данных. Необходимая пользовательская информация содержит, например, номер телефона и открытые ключи, соответствующие мобильным устройствам участвующих конечных пользователей. Эти данные могут храниться в выделенной базе данных или в каталоге LDAP (облегченном протоколе доступа к (сетевым) каталогам).Additionally, it is further contemplated that it comprises one or more interface modules of user data storage means through which one or more repositories or user data storage means can interact. The necessary user information contains, for example, a phone number and public keys corresponding to the mobile devices of the participating end users. This data can be stored in a dedicated database or in an LDAP directory (lightweight protocol for accessing (network) directories).

Средство 30' сервера аутентификации также содержит управляющий интерфейс для функционирования, управления и обслуживания сервера обычным образом. Дополнительно, еще средство 30' сервера аутентификации содержит то, что в представленной концептуальной блок-схеме может быть обозначено как ядро сервера, которое содержит основные функции аутентификации сервера. Эти функции содержат функцию для восстановления мандата пользователя из репозитория пользователя и проверки его относительно мандата, обеспеченного конечными пользователями, и функцию для формирования кода вызова (предпочтительно, случайного кода вызова) (и подсказки), который должен быть подписан секретным или частным ключом, который хранится в модуле идентификации мобильного устройства. Дополнительно, еще оно содержит функцию для отслеживания состояния доставки кода вызова, доставляемого в мобильное устройство через сеть мобильной связи, то есть по первому каналу связи, и в случае, если доставка является не успешной и не верифицирована, то вместо этого представления кода вызова по второму каналу связи, или по каналу доступа, и инструктирования конечного пользователя вручную подписать вызов мобильным устройством. В завершение, оно содержит функцию для проверки, что подписанный вызов доступа, возвращенный конечным пользователем, является корректным, например, посредством сравнения его с первоначальным кодом вызова для обнаружения, существует ли соответствие между ними и, следовательно, либо предоставления (разрешения) для запроса на доступ к защищенной информации, либо отклонения запроса на доступ.The authentication server means 30 ′ also comprises a control interface for operating, managing and maintaining the server in a conventional manner. Additionally, still the authentication server means 30 ′ comprises what can be referred to as the server core in the conceptual block diagram presented, which contains the basic server authentication functions. These functions contain a function for restoring a user’s credential from the user's repository and checking it against the credential provided by end users, and a function for generating a calling code (preferably a random calling code) (and a hint), which must be signed with a secret or private key that is stored in the mobile device identification module. Additionally, it also contains a function for tracking the delivery status of a call code delivered to a mobile device via a mobile communication network, that is, through the first communication channel, and if the delivery is unsuccessful and not verified, then instead of presenting the call code in the second a communication channel, or an access channel, and instructing the end user to manually sign a call with a mobile device. Finally, it contains a function to verify that the signed access call returned by the end user is correct, for example, by comparing it with the original calling code to find out if there is a match between them and, therefore, either granting (permission) to request access to protected information, or rejection of an access request.

Для поддержки концепции изобретения мобильное устройство и соответствующий модуль идентификации, например SIM-карта, должны поддерживать функциональные возможности приема кода вызова через сеть мобильной связи, например, в виде короткого сообщения, подписи кода вызова с использованием секретного или частного ключа, который хранится в модуле идентификации, например SIM-карте, и представления подписанного кода вызова на дисплее мобильного устройства. В виде возможного варианта может быть запрошен ввод конечным пользователем секретного PIN-кода или подобного перед представлением пользователю подписанного кода вызова. Здесь должен поддерживаться ввод кода вызова вручную через клавиатуру или, например, через средство голосового управления мобильного устройства. Затем пользователь, например, выбирает из меню функцию подписи и получает подсказку ввести код вызова, который должен быть подписан. В виде возможного варианта может быть запрошен ввод конечным пользователем секретного PIN-кода или подобного перед представлением пользователю подписанного кода вызова. Как упомянуто ранее в заявке, некоторые из этих функций могут быть также в той или иной степени автоматизированы.To support the concept of the invention, the mobile device and the corresponding identification module, for example a SIM card, must support the functionality of receiving a call code via a mobile communication network, for example, in the form of a short message, signing a call code using a secret or private key that is stored in the identification module , for example a SIM card, and presenting the signed call code on the display of the mobile device. As a possible option, an end user may be asked to enter a secret PIN or the like before presenting a signed call code to the user. Here, the call code must be manually entered via the keyboard or, for example, through the voice control of a mobile device. Then the user, for example, selects a signature function from the menu and receives a prompt to enter a call code to be signed. As a possible option, an end user may be asked to enter a secret PIN or the like before presenting a signed call code to the user. As mentioned earlier in the application, some of these functions can also be automated to one degree or another.

Фиг.5 - схематичная блок-схема, описывающая один вариант осуществления средства 30 аутентификации, в которой изображены указанные функции или средства, которые, в частности, соответствуют выполнению концепции изобретения. Здесь средство 30 аутентификации содержит первый интерфейс сети радиосвязи для первого канала связи и интерфейс сервера доступа для второго канала связи, или канала доступа. Сервер аутентификации содержит средство 31 выполнения аутентификации, содержащее средство 32 анализа для передачи по первому каналу связи первого сообщения вызова, содержащего код вызова, сформированный средством 34 формирования сообщения вызова, для установления, может ли быть использован первый режим аутентификации. Средство 32 анализа содержит средство 33 решения для установления, принято ли подтверждение доставки или квитанция о доставке из конечного устройства пользовательской станции, подтверждающие доступность через сеть радиосвязи по первому каналу связи, то есть для проверки, был ли соответственно принят код вызова устройством пользовательской станции, и для решения, должен быть использован первый режим аутентификации или второй режим аутентификации.5 is a schematic block diagram describing one embodiment of an authentication means 30, which depicts these functions or means, which, in particular, correspond to the implementation of the concept of the invention. Here, the authentication means 30 comprises a first radio network interface for a first communication channel and an access server interface for a second communication channel or access channel. The authentication server comprises authentication means 31 comprising analysis means 32 for transmitting, on a first communication channel, a first call message containing a call code generated by the call message generating means 34 to determine whether the first authentication mode can be used. The analysis means 32 comprises decision means 33 for determining whether a delivery confirmation or receipt of delivery from the end device of the user station has been received, confirming the availability of the first communication channel through the radio network, that is, to check whether the call code has been respectively received by the user station device, and to solve, the first authentication mode or second authentication mode should be used.

Средство 34 формирования сообщения вызова, если подтверждение принято корректно, то есть подтверждена доступность сети радиосвязи, то есть при возможности реализации первого режима аутентификации, формирует второе сообщение вызова, подсказку вызова, которое передают по каналу доступа (подсказка может быть также непосредственно обеспечена средством 32 анализа).The call message generating means 34, if the confirmation is received correctly, that is, the availability of the radio communication network is confirmed, that is, if it is possible to implement the first authentication mode, generates a second call message, a call hint, which is transmitted via the access channel (the hint can also be directly provided by analysis tool 32 )

В виде варианта, если должен быть осуществлен второй режим аутентификации, то, если требуется, передают сообщение, запрашивающее отмену предыдущего кода вызова. Средство 34 формирования вызова формирует комбинированное сообщение вызова, содержащее код вызова и подсказку вызова, и передает его в клиентское устройство доступа по второму каналу связи. Средство 35 верификации принимает шифрованный или подписанный код вызова, где его должны сравнить с переданным кодом вызова в средстве 36 сравнения после расшифровки в средстве 37 расшифровки посредством извлечения открытого ключа, относящегося к устройству пользовательской станции, который хранится в средстве 38 хранения пользовательских данных. Если расшифрованный код вызова соответствует первоначально сформированному коду вызова (или ожидаемому ответу), то может быть предоставлен доступ, иначе доступ отклоняют.Alternatively, if a second authentication mode is to be implemented, then, if required, a message is transmitted requesting the cancellation of the previous call code. The call generating means 34 generates a combined call message containing a call code and a call hint, and transmits it to a client access device via a second communication channel. The verification tool 35 receives an encrypted or signed call code, where it must be compared with the transmitted call code in the comparison tool 36 after being decrypted in the decryption tool 37 by retrieving a public key related to the user station device that is stored in the user data storage means 38. If the decrypted call code corresponds to the originally generated call code (or the expected response), then access can be granted, otherwise access is denied.

Процедура в средстве 35 верификации имеет место независимо от того, первый или второй режим аутентификации реализуют. Должно быть ясно, что средство 38 хранения пользовательских данных может быть обеспечено в виде выделенного средства хранения в сервере аутентификации или в виде части уже существующего средства хранения пользовательских данных или обычного средства хранения пользовательских данных, обеспеченного в сервере аутентификации, или в виде отдельного средства хранения, внешнего относительно сервера аутентификации. Оно может быть любого соответствующего вида, выделенного для выполнения определенного изобретения, или содержать обычное средство хранения, содержащее соответствующие пользовательские данные.The procedure in the verification tool 35 takes place regardless of whether the first or second authentication mode is implemented. It should be clear that the user data storage means 38 may be provided as dedicated storage means in the authentication server or as part of an existing user data storage means or conventional user data storage means provided in the authentication server, or as a separate storage means, external to the authentication server. It can be of any appropriate form, allocated for the implementation of a particular invention, or contain conventional storage means containing appropriate user data.

Фиг.6 - весьма схематичная блок-схема, описывающая концепцию изобретения. Здесь предполагают, что обработку начинают, когда конечный пользователь запрашивает доступ к защищенной информации или защищенной службе или ресурсу посредством ввода 100 мандата пользователя в терминал доступа. Мандат пользователя обычно содержит идентификацию пользователя, иногда совместно с паролем пользователя. Это соответствует нормальной процедуре для запросов на доступ. Сначала запрос на доступ обеспечивают на сервер доступа, который направляет 101 запрос на сервер идентификации. Сервер аутентификации осуществляет попытку 102 достигнуть мобильное устройство через сеть радиосвязи для инициации диалога аутентификации 102 на основе сети, то есть устанавливает, возможно ли реализовать первый режим аутентификации. Существенно, что сервер аутентификации верифицирует достижимость 103 мобильного устройства, через сеть радиосвязи, например, посредством запроса и ожидания подтверждения доставки сообщения, например кода вызова, переданного в мобильное устройство, 103. Должно быть ясно, что указанный этап верификации может быть выполнен также другим образом. Если может быть верифицирована достижимость мобильного устройства, то инициируют 104А первый режим аутентификации, то есть процедуру аутентификации на основе сети. Она может быть реализована различным образом, как будет более полно описано ниже.6 is a very schematic block diagram describing the concept of the invention. Here, it is assumed that processing is started when the end user requests access to the secure information or the secure service or resource by entering 100 user credentials into the access terminal. A user’s credential usually contains the user's identity, sometimes in conjunction with the user's password. This follows the normal procedure for access requests. First, an access request is provided to the access server, which forwards 101 requests to the authentication server. The authentication server attempts 102 to reach the mobile device via the radio network to initiate a network-based authentication dialog 102, that is, determines whether it is possible to implement the first authentication mode. Essentially, the authentication server verifies the reachability 103 of the mobile device via a radio network, for example, by requesting and waiting for delivery confirmation of the message, for example, a call code transmitted to the mobile device 103. It should be clear that the verification step can also be performed in another way . If the reachability of the mobile device can be verified, then the first authentication mode, i.e. a network based authentication procedure, is initiated 104A. It can be implemented in various ways, as will be more fully described below.

Если, с другой стороны, мобильное устройство является недостижимым, например, подтверждение доставки не возвращают в пределах заданного периода времени, например, пока не истечет установленный таймер, то сервер аутентификации вместо этого переходит к инициации 104B второго режима аутентификации, в частности диалога аутентификации с запросом ручного ввода. Это также может быть реализовано различным образом, как будет описано ниже. Независимо от того, какой режим аутентификации или диалог аутентификации реализуют, сервер аутентификации должен определить, была ли успешной 105 аутентификация, например, посредством сравнения переданного кода вызова с возвращенным и подписанным кодом вызова (после расшифровки), и если аутентификация была успешной, то предоставляют 106A доступ, иначе доступ отклоняют 106B.If, on the other hand, the mobile device is unreachable, for example, delivery confirmation is not returned within a predetermined period of time, for example, until the timer expires, the authentication server instead proceeds to initiate 104B of the second authentication mode, in particular the authentication dialog with the request manual input. This can also be implemented in various ways, as will be described below. Regardless of which authentication mode or authentication dialog is implemented, the authentication server must determine if authentication 105 was successful, for example, by comparing the transmitted call code with the returned and signed call code (after decryption), and if the authentication was successful, then provide 106A access, otherwise access reject 106B.

Фиг.7 - несколько более подробная блок-схема, описывающая одну реализацию концепции изобретения. Предполагается, что на средство аутентификации из устройства пользовательской станции, в частности, клиентского устройства доступа обеспечивают 201 запрос на доступ к защищенной службе или защищенной информации в общем. Для анализа, то есть верификации, обеспечена ли доступность через сеть радиосвязи, в средстве аутентификации формируют 202 первое сообщение вызова, содержащее код вызова, и передают 202 в устройство пользовательской станции, в частности в мобильное устройство, по первому каналу связи сети радиосвязи, или по первому каналу связи. В частности, также устанавливают таймер T1 на x секунд. Затем анализируют, принята ли 203 до истечения T1 в средстве аутентификации подтверждения доставки, относящаяся к первому сообщению вызова (уже на этом этапе код вызова может быть подписан автоматически или вручную мобильным устройством). Если да, то инициируют 204A первый режим аутентификации посредством обеспечения второго сообщения вызова, подсказки вызова, запрашивающего ввод подписи кода вызова в клиентское устройство доступа, указанную подсказку передают по второму каналу связи. Затем код вызова, подписанный автоматически или вручную частным ключом на мобильном устройстве, например, вручную вводят 205A в клиентское устройство доступа. Затем подписанный код вызова возвращают 209 из клиентского устройства доступа в средство аутентификации по второму каналу связи, который также обозначают как канал доступа. Затем средство аутентификации принимает 210 шифрованный или подписанный код вызова, и средство аутентификации для расшифровки подписанного кода вызова извлекает 211 из средства хранения открытый ключ, соответствующий частному ключу устройства пользовательской станции. После этого верифицируют 212, соответствует ли переданный код вызова расшифрованному возвращенному коду вызова. Если да, то предоставляют 212A доступ, если нет, то доступ отклоняют 212B.7 is a somewhat more detailed block diagram describing one implementation of the concept of the invention. It is believed that 201 requests for access to the secure service or the secure information in general are provided to the authentication means from the user station device, in particular the client access device. For analysis, that is, verification of whether accessibility via the radio communication network is ensured, the first call message containing the call code is generated 202 in the authentication tool and transmitted 202 to the user station device, in particular to the mobile device, via the first communication channel of the radio communication network, or the first communication channel. In particular, timer T1 is also set to x seconds. Then it is analyzed whether 203 has been received before the end of T1 in the delivery confirmation authentication tool related to the first call message (already at this point the call code can be signed automatically or manually by the mobile device). If yes, then the first authentication mode 204A is initiated by providing a second call message, a call prompt requesting to enter the signature of the call code into the client access device, the specified prompt is transmitted via the second communication channel. Then, a call code signed automatically or manually with a private key on the mobile device, for example, manually enter 205A into the client access device. Then, the signed call code is returned 209 from the client access device to the authentication means via the second communication channel, which is also referred to as the access channel. Then, the authentication means receives 210 an encrypted or signed call code, and the authentication means for decrypting the signed call code retrieves 211 from the storage means the public key corresponding to the private key of the user station device. After that, they verify 212 whether the transmitted call code matches the decrypted returned call code. If yes, then provide 212A access, if not, then access denied 212B.

Однако, если на этапе 203, выше, своевременно не было принято подтверждение доставки, то средство аутентификации для отмены предварительно переданного кода вызова передает 204B запрос на отмену в сеть мобильной связи (например, SNS-C). Это иллюстрируют пунктирной линией, так как, например, может быть нечего отменять, например, вызов не достиг устройства пользовательской станции, но для удобства запрос должен быть передан в любом случае. Процедура аутентификации переходит к инициации 205B второго режима аутентификации посредством формирования комбинированного сообщения вызова, содержащего код вызова и подсказку вызова, и передаче его по каналу доступа в терминал (клиентское устройство) доступа устройства пользовательской станции. Запрашивают 206В подписание кода вызова мобильным устройством. В частности, конечный пользователь вручную вводит 207B код вызова в мобильное устройство и подписывает 207B его. Затем подписанный вызов вручную (или автоматически) вводят 208В в терминал (клиентское устройство) доступа, и переходят к этапу 209 и т.д., как для первого режима аутентификации.However, if, at step 203, above, the delivery confirmation was not received in a timely manner, then the authentication means for canceling the previously transmitted call code transmits the cancellation request to the 204B to the mobile network (e.g., SNS-C). This is illustrated by a dashed line, since, for example, there may be nothing to cancel, for example, the call did not reach the user station device, but for convenience, the request should be transmitted anyway. The authentication procedure proceeds to the initiation of the second authentication mode 205B by generating a combined call message containing a call code and a call hint, and transmitting it via the access channel to the access terminal (client device) of the user station device. Request 206B signing of the call code by the mobile device. In particular, the end user manually enters the 207B call code into the mobile device and signs 207B of it. Then, the signed call is manually (or automatically) entered 208B into the access terminal (client device), and proceed to step 209, etc., as for the first authentication mode.

В одном варианте осуществления предполагается, что в режиме пред-аутентификации конечного пользователя запрашивают ввести мандат пользователя (не изображено на чертеже). Если мандат корректен, то сервер аутентификации формирует случайный код вызова, который передают в мобильное устройство через сеть мобильной связи. Вызов шифруют с использованием секретного ключа, который хранится в модуле защиты мобильного устройства, и теперь подписанный код вызова представляют на дисплее мобильного устройства. Как возможный вариант, может быть запрошен ввод PIN-кода пользователем перед отображением подписанного вызова. Если код вызова был успешно доставлен в мобильное устройство, то используют первый модуль, и сервер аутентификации переходит к представлению подсказки вызова конечному пользователю через сервер доступа, запрашивая ввод конечным пользователем подписанного вызова в клиентское устройство доступа. Если был возвращен корректный код вызова, который, как упомянуто выше, верифицируют посредством его расшифровки с использованием открытого ключа, соответствующего частному или секретному ключу на мобильном устройстве, то может быть предоставлен доступ.In one embodiment, it is assumed that in the pre-authentication mode, the end user is asked to enter a user credential (not shown). If the credential is correct, then the authentication server generates a random calling code, which is transmitted to the mobile device via the mobile communication network. The call is encrypted using a secret key that is stored in the security module of the mobile device, and now the signed call code is presented on the display of the mobile device. As an option, the user may be asked to enter a PIN code before displaying a signed call. If the call code was successfully delivered to the mobile device, the first module is used, and the authentication server proceeds to present the call prompt to the end user through the access server, requesting the end user to enter the signed call into the client access device. If the correct call code has been returned, which, as mentioned above, is verified by decrypting it using the public key corresponding to the private or secret key on the mobile device, then access may be granted.

С другой стороны, если сервер аутентификации каким-либо образом информирован, что код вызова не может быть доставлен в мобильное устройство, то есть в пределах предварительно определенного периода времени не принято подтверждение, то сервер аутентификации переходит к представлению кода вызова и подсказки вызова конечному пользователю через сервер доступа. Это также обозначено как комбинированное сообщение вызова, содержащее случайный код вызова совместно с подсказкой, содержащей запрос на подпись случайного кода вызова мобильным устройством и затем ввод его в клиентское устройство (терминал) доступа. Затем пользователь, в частности, может выбрать функцию подписи в меню мобильного устройства и ввести код вызова. Затем код вызова должен быть зашифрован секретным или частным ключом, который хранится в модуле защиты мобильного устройства, и подписанный вызов представляют на дисплее мобильного устройства. Как возможный вариант может быть запрошен ввод PIN-кода пользователем перед отображением подписанного кода вызова. Затем пользователь вводит подписанный код вызова в терминал доступа, и его возвращают в сервер аутентификации. Если был возвращен корректный код вызова, что верифицируют посредством его расшифровки с использованием открытого ключа, как описано выше, то предоставляют доступ.On the other hand, if the authentication server is in some way informed that the call code cannot be delivered to the mobile device, that is, within the predefined time period the confirmation is not received, then the authentication server proceeds to present the call code and the call prompt to the end user through access server. This is also referred to as a combined call message containing a random call code in conjunction with a prompt containing a request to sign a random call code by a mobile device and then enter it into a client access device (terminal). Then the user, in particular, can select the signature function in the menu of the mobile device and enter the call code. Then the call code must be encrypted with a secret or private key, which is stored in the security module of the mobile device, and the signed call is presented on the display of the mobile device. As an option, a PIN may be requested by the user before displaying the signed call code. Then, the user enters the signed call code into the access terminal and is returned to the authentication server. If the correct call code was returned, which is verified by decrypting it using the public key, as described above, then grant access.

Должно быть ясно, что это относится к одной конкретной реализации. Подобная реализация будет дополнительно описана согласно диаграмме сигнализации фиг.8 с указанием связанных с ней альтернативных реализаций.It should be clear that this refers to one particular implementation. A similar implementation will be further described according to the signaling diagram of FIG. 8, indicating associated alternative implementations.

Фиг.8 - диаграмма сигнализации, описывающая одну реализацию концепции изобретения. Предполагается, что сначала из клиентского устройства доступа в сервер доступа передают первоначальный запрос на доступ 301, который содержит мандат пользователя. Его 302 направляют из сервера доступа в сервер аутентификации, например, с использованием протокола RADIUS. На основе принятого мандата пользователя сервер аутентификации осуществляет проверку, зарегистрировано ли мобильное устройство для рассматриваемого пользователя, например, посредством обращения к внутренней базе данных или обращения к некоторым внешним доверительным источникам, например каталогу LDAP. Ссылкой на мобильное устройство обычно может быть номер мобильного телефона конечного пользователя. В альтернативной реализации конечный пользователь может вводить ссылку на мобильное устройство, например номер телефона, непосредственно в качестве имени пользователя, в этом случае не требуется обращение сервера аутентификации к каким-либо внутренним или внешним средствам хранения данных для этой ссылки.Fig. 8 is a signaling diagram describing one implementation of the concept of the invention. It is assumed that the initial access request 301, which contains the user's credential, is first transmitted from the client access device to the access server. It 302 is sent from the access server to the authentication server, for example, using the RADIUS protocol. Based on the accepted user credentials, the authentication server checks whether the mobile device is registered for the user in question, for example, by accessing an internal database or by referring to some external trusted sources, such as an LDAP directory. The reference to the mobile device can usually be the end-user’s mobile phone number. In an alternative implementation, the end user can enter a link to a mobile device, for example, a phone number, directly as a username; in this case, the authentication server does not need to use any internal or external data storage devices for this link.

Затем сервер аутентификации формирует случайный код вызова и передает код вызова 303 через систему мобильной телефонии или некоторую другую подобную сеть радиосвязи в мобильное устройство, или конечному пользователю, в частности, совместно с сообщением для активизации сначала диалога пред-аутентификации на мобильном устройстве. В одной реализации это первоначальное сообщение, также обозначенное как процедура пред-аутентификации, содержит короткое сообщение или SMS, которое инициирует диалог SIM Toolkit на мобильном устройстве конечного пользователя. Затем сервер аутентификации, например, посредством установки таймера, переходит к ожиданию в пределах предварительно определенного периода времени подтверждения из сети того, что код вызова был успешно доставлен в мобильное устройство, также обозначенного подтверждением доставки 304A. В одной реализации оно может иметь вид подтверждения доставки в отношении того, что SMS было доставлено в мобильное устройство. После доставки в мобильное устройство первоначальное сообщение, или первое сообщение вызова, например, содержащее код вызова, может вызвать диалог аутентификации. В одной реализации это может быть осуществлено посредством подсказки конечному пользователю ввести в телефон секретный PIN-код (если это уже не было сделано автоматически), и если введен корректный PIN-код, подписать код вызова с использованием частного секретного ключа, который хранится в SIM-карте (или эквивалентном модуле идентификации), и результат, то есть подписанный вызов, представляют на дисплее мобильного устройства. В альтернативной реализации пользователю не требуется вводить PIN-код, но вызов автоматически подписывают частным ключом и представляют на дисплее мобильного устройства.Then, the authentication server generates a random calling code and transmits a calling code 303 via a mobile telephony system or some other similar radio communication network to a mobile device, or to an end user, in particular, together with a message to activate the pre-authentication dialogue on the mobile device first. In one implementation, this initial message, also referred to as a pre-authentication procedure, contains a short message or SMS that initiates the SIM Toolkit dialogue on the end user’s mobile device. Then, the authentication server, for example, by setting a timer, waits within a predetermined time period for confirmation from the network that the call code has been successfully delivered to the mobile device, also indicated by delivery confirmation 304A. In one implementation, it may be in the form of a delivery confirmation that the SMS has been delivered to a mobile device. After delivery to the mobile device, the initial message, or the first call message, for example, containing a call code, can cause an authentication dialog. In one implementation, this can be done by prompting the end user to enter a secret PIN code into the phone (if this has not already been done automatically), and if the correct PIN code is entered, sign the call code using a private secret key, which is stored in the SIM card (or equivalent identification module), and the result, that is, the signed call, is presented on the display of the mobile device. In an alternative implementation, the user does not need to enter a PIN code, but the call is automatically signed with a private key and presented on the display of the mobile device.

Когда сервер аутентификации принял из сети подтверждение или квитанцию о доставке в отношении того, что мобильное устройство было достигнуто, он запрашивает сервер доступа на представление конечному пользователю второго сообщения вызова, содержащего подсказку вызова 305A. В одной реализации это сообщение имеет вид сообщения вызова доступа RADIUS. Сервер доступа направляет в клиентское устройство доступа этот запрос 306А, то есть подсказку вызова, где запрашивают ввод конечным пользователем в терминал (клиентское устройство) доступа подписанного вызова 307A, который представлен на дисплее мобильного устройства.When the authentication server received from the network a confirmation or delivery receipt regarding the mobile device having been reached, it requests the access server to present to the end user a second call message containing a call prompt 305A. In one implementation, this message is in the form of a RADIUS access call message. The access server sends this request 306A to the client access device, that is, a call hint, where they request the end user to enter the access terminal (client device) of the signed call 307A, which is presented on the display of the mobile device.

Затем подписанный вызов 308А возвращают по каналу доступа в сервер доступа, и дополнительно направляют 309А в сервер аутентификации. Затем сервер аутентификации расшифровывает подписанный код вызова с использованием открытого ключа, соответствующего частному ключу, который хранится в модуле аутентификации мобильного устройства. Открытый ключ хранится во внутренней базе данных сервера аутентификации или запрашивается из внешнего источника, например, посредством запроса LDAP. Затем сервер аутентификации сравнивает возвращенный и расшифрованный код вызова с первоначальным кодом вызова, переданным в мобильное устройство. Если существует соответствие двух кодов вызова, то сервер аутентификации отвечает сообщением предоставления доступа 310A серверу доступа, который, в свою очередь, предоставляет доступ 311A клиентскому устройству доступа. С другой стороны, если был возвращен некорректный код вызова, то сервер аутентификации вместо этого отвечает отклонением доступа 310A, 311A.Then, the signed call 308A is returned via the access channel to the access server, and further sent 309A to the authentication server. Then, the authentication server decrypts the signed call code using the public key corresponding to the private key stored in the authentication module of the mobile device. The public key is stored in the internal database of the authentication server or is requested from an external source, for example, through an LDAP request. Then, the authentication server compares the returned and decrypted call code with the original call code transmitted to the mobile device. If there is a correspondence between the two calling codes, the authentication server responds with an access grant message 310A to the access server, which in turn provides access 311A to the client access device. On the other hand, if an incorrect call code was returned, then the authentication server instead responds with access denial 310A, 311A.

Если квитанция о доставке 304A не была возвращена в пределах предварительно определенного периода времени, то сервер аутентификации переходит ко второму режиму аутентификации.If the 304A delivery receipt has not been returned within a predetermined time period, then the authentication server switches to the second authentication mode.

Сначала сервер аутентификации очищает сеть радиосвязи от кодов вызова доступа, ожидающих обработки, например, посредством передачи в сеть сообщения отмены 304B. Затем он передает в сервер доступа код вызова и подсказку, с инструкциями для конечного пользователя подписать (вручную) код мобильным устройством. В одной реализации это может быть сделано в виде сообщения с кодом вызова RADIUS. Соответственно сервер доступа направляет в клиентское устройство доступа комбинированный вызов 306В, который запрашивает подпись конечным пользователем вызова мобильным устройством и возврат подписанного кода вызова. Конечный пользователь считывает код вызова на клиентском устройстве доступа и вручную выбирает функцию подписи на мобильном устройстве. Затем мобильное устройство запрашивает ввод конечным пользователем кода вызова, 307B, и возможно, частного PIN-кода. Затем вызов подписывают с использованием частного ключа, который хранится в модуле безопасности мобильного устройства. Результирующий подписанный вызов представляют на дисплее мобильного устройства, и конечный пользователь вводит его 308B (вручную) в клиентское устройство доступа. Этот подписанный код 309B, 310B возвращают в сервер аутентификации, который верифицирует вызов подобно тому, как описано выше в отношении сообщений 308A-311A.First, the authentication server clears the radio network from access call codes awaiting processing, for example, by sending a 304B cancel message to the network. Then it sends a call code and a hint to the access server, with instructions for the end user to sign (manually) the code with the mobile device. In one implementation, this can be done as a message with a RADIUS call code. Accordingly, the access server sends a combined call 306B to the client access device, which requests the end user to sign the call with the mobile device and return the signed call code. The end user reads the call code on the client access device and manually selects the signature function on the mobile device. The mobile device then requests the end-user to enter a call code, 307B, and possibly a private PIN. Then the call is signed using the private key, which is stored in the security module of the mobile device. The resulting signed call is presented on the display of the mobile device, and the end user enters it 308B (manually) into the client access device. This signed code 309B, 310B is returned to the authentication server, which verifies the call in the same way as described above with respect to messages 308A-311A.

В альтернативных реализациях некоторые или все этапы, осуществляемые вручную, которые описаны согласно фиг.8, например 307A, 307B, 308B, могут быть автоматизированы посредством подсоединения клиентского устройства доступа к мобильному устройству, например, с использованием протокола радиосвязи Bluetooth. Указанные этапы также могут быть автоматизированы в тех случаях, когда клиентское устройство доступа и мобильное устройство являются одним блоком.In alternative implementations, some or all of the manual steps that are described in FIG. 8, for example, 307A, 307B, 308B, can be automated by connecting a client access device to a mobile device, for example, using the Bluetooth radio protocol. These steps can also be automated in cases where the client access device and the mobile device are one unit.

Должно быть ясно, что между мобильным устройством и сервером аутентификации содержится узел сети, например, SMS-C (на чертеже изображен пунктирной линией).It should be clear that between the mobile device and the authentication server contains a network node, for example, SMS-C (shown in dashed line).

Должно быть ясно, что концепция, описанная в этом изобретении, также применима к реализациям, в которых вместо асимметричных ключей используют симметричные ключи. В этом случае ключи определены как открытыми, так и фактически частными.It should be clear that the concept described in this invention is also applicable to implementations in which symmetric keys are used instead of asymmetric keys. In this case, the keys are defined both public and actually private.

Еще дополнительно, в виде варианта, модуль безопасности, в качестве альтернативы для SIM-карт или подобного, может быть реализован в виде программного обеспечения в аппаратных средствах мобильного устройства.Still further, as an option, the security module, as an alternative to SIM cards or the like, can be implemented as software in the hardware of a mobile device.

Следует ясно понимать, что изобретение в объеме приложенной формулы изобретения может различным образом варьироваться во многих аспектах, и что оно не ограничивается проиллюстрированными вариантами осуществления.It should be clearly understood that the invention within the scope of the appended claims may vary in many ways in many ways, and that it is not limited to the illustrated embodiments.

Claims (27)

1. Система для аутентификации конечного пользователя устройства (10, 10А, 10В) пользовательской станции, запрашивающего доступ к защищенной информации, например, защищенному ресурсу или службе или подобному, содержащая средство (20, 20А, 20В) сервера доступа и средство (30, 30А, 30В) аутентификации, устройство (10, 10А, 10В) пользовательской станции, поддерживающее связь со средством (30, 30А, 30В) аутентификации по первому каналу связи сети (40) радиосвязи,
отличающаяся тем, что
устройство (10, 10А, 10В) пользовательской станции дополнительно поддерживает связь со средством (30, 30А, 30В) аутентификации по второму каналу связи,
средство (30, 30А, 30В) аутентификации выполнено с возможностью, при приеме запроса доступа к защищенной информации из устройства (10, 10А, 10В) пользовательской станции, установления, достижимо ли устройство (10, 10А, 10В) пользовательской станции по первому каналу связи,
упомянутое средство (30, 30А, 30В) аутентификации выполнено с возможностью поддержки первого режима аутентификации и второго режима аутентификации по упомянутому второму каналу связи, причем упомянутое средство (30, 30А, 30В) аутентификации дополнительно содержит средство (33) решения для выбора, должен ли и/или когда должен использоваться первый или второй режим аутентификации для устройства (10, 10А, 10В) пользовательской станции, запрашивающего доступ к защищенной информации или защищенному ресурсу или службе.1. A system for authenticating an end user of a device (10, 10A, 10B) of a user station requesting access to secure information, for example, a secure resource or service or the like, comprising means (20, 20A, 20B) of an access server and means (30, 30A , 30B) authentication, a user station device (10, 10A, 10B) in communication with the authentication means (30, 30A, 30B) over the first communication channel of the radio communication network (40),
characterized in that
the user station device (10, 10A, 10B) additionally communicates with the authentication means (30, 30A, 30B) via the second communication channel,
the authentication means (30, 30A, 30B) is configured to, when receiving a request for access to the protected information from the user station device (10, 10A, 10B), determine whether the user station device (10, 10A, 10B) is reachable via the first communication channel ,
said authentication means (30, 30A, 30B) configured to support a first authentication mode and a second authentication mode via said second communication channel, said authentication means (30, 30A, 30B) further comprising means (33) for deciding whether and / or when the first or second authentication mode should be used for a device (10, 10A, 10B) of a user station requesting access to secure information or a secure resource or service. 2. Система по п.1, отличающаяся тем, что средство (33) решения содержит средство коммутации для переключения между первым и вторым режимом аутентификации или осуществляет связь с ним.2. The system according to claim 1, characterized in that the means (33) of the solution comprises switching means for switching between the first and second authentication mode or communicates with it. 3. Система по любому из п.1 или 2, отличающаяся тем, что первый режим аутентификации имеет приоритет относительно второго режима аутентификации, и средство (30, 30А, 30В) аутентификации содержит средство (32) анализа, содержащее упомянутое средство (33) решения, для установления, достижимо ли устройство (10, 10А, 10В) пользовательской станции по первому каналу связи.3. The system according to any one of claims 1 or 2, characterized in that the first authentication mode takes precedence over the second authentication mode, and the authentication means (30, 30A, 30B) comprises analysis means (32) containing said decision means (33) , to determine whether the device (10, 10A, 10B) of the user station is reachable via the first communication channel. 4. Система по п.1, отличающаяся тем, что первый канал связи содержит канал аутентификации и/или второй канал связи содержит канал доступа.4. The system according to claim 1, characterized in that the first communication channel contains an authentication channel and / or the second communication channel contains an access channel. 5. Система по п.1, отличающаяся тем, что второй канал связи является каналом связи первой или второй сети радиосвязи.5. The system according to claim 1, characterized in that the second communication channel is a communication channel of the first or second radio communication network. 6. Система по п,1, отличающаяся тем, что второй канал связи является каналом связи стационарной сети связи, например, поддерживающей Интернет.6. The system according to claim 1, characterized in that the second communication channel is a communication channel of a stationary communication network, for example, supporting the Internet. 7. Система по п.1, отличающаяся тем, что средство аутентификации содержит модуль (30А, 30В) аутентификации, который обеспечен в сервере аутентификации или ассоциирован с ним, или в сервере доступа или ассоциирован с ним.7. The system according to claim 1, characterized in that the authentication means comprises an authentication module (30A, 30B), which is provided in or associated with an authentication server, or in or associated with an access server. 8. Система по п.1, отличающаяся тем, что средство аутентификации содержит сервер (30) аутентификации.8. The system according to claim 1, characterized in that the authentication means comprises an authentication server (30). 9. Система по п.1, отличающаяся тем, что устройство (10, 10А) пользовательской станции содержит мобильное устройство (11, 11А) и терминал или клиентское устройство (12, 12А) доступа, образующие отдельные блоки, или мобильный терминал доступа или клиентское устройство доступа в виде единого блока.9. The system according to claim 1, characterized in that the user station device (10, 10A) comprises a mobile device (11, 11A) and an access terminal or client device (12, 12A) forming separate blocks, or a mobile access terminal or client access device in the form of a single unit. 10. Система по п.1, отличающаяся тем, что средство (33) решения выполнено с возможностью инициации второго режима, если устройство пользовательской станции недостижимо через упомянутую первую сеть радиосвязи например, если она находится вне зоны охвата радиосвязи или если первый канал связи блокирован.10. The system according to claim 1, characterized in that the solution means (33) is configured to initiate a second mode if the user station device is unattainable through said first radio communication network, for example, if it is outside the radio coverage area or if the first communication channel is blocked. 11. Система по п.1,
отличающаяся тем, что
средство (30, 30А, 30В) аутентификации содержит средство (31) выполнения аутентификации, содержащее упомянутое средство (32) анализа, и которое выполнено с возможностью инициации диалога пред-аутентификации с устройством (10, 10А, 10В) пользовательской станции по первому каналу связи, например, через первую сеть радиосвязи, для установления, может ли быть использован первый режим аутентификации.11. The system according to claim 1,
characterized in that
the authentication means (30, 30A, 30B) comprises an authentication means (31) containing said analysis means (32), and which is configured to initiate a pre-authentication dialogue with the user station device (10, 10A, 10B) via the first communication channel , for example, through a first radio communication network, to establish whether a first authentication mode can be used. 12. Система по п.11,
отличающаяся тем, что
упомянутое средство (30, 30А, 30В) аутентификации выполнено с возможностью осуществления упомянутого диалога пред-аутентификации, формирования и передачи первого сообщения вызова, содержащего случайный код вызова, устройству (10А, 10А, 10В) пользовательской станции по первой сети связи, и, если верифицирована доставка кода вызова, инициирования первого диалога аутентификации первого режима аутентификации путем обеспечения второго сообщения вызова, содержащего подсказку вызова, в устройство пользовательской станции, и, если не верифицирована доставка кода вызова, инициирования второго диалога аутентификации второго режима аутентификации путем формирования и передачи комбинированного сообщения вызова, содержащего код вызова и подсказку вызова, по второму каналу связи в устройство (10, 10А, 10В) пользовательской станции, и, для упомянутых первого или второго диалогов аутентификации, выполнения анализа подписан или нет соответствующим образом возвращенный код вызова для того, чтобы предоставить или отклонить доступ к защищенной информации/службе с использованием упомянутых первого и второго режимов аутентификации.12. The system according to claim 11,
characterized in that
said authentication means (30, 30A, 30B) is configured to carry out said pre-authentication dialogue, generate and transmit a first call message containing a random call code to a user station device (10A, 10A, 10B) over the first communication network, and if verified delivery of the call code, initiating the first authentication dialog of the first authentication mode by providing a second call message containing a call hint to the user station device, and if not verified delivery of a call code, initiating a second authentication dialog of a second authentication mode by generating and transmitting a combined call message containing a call code and a call hint, via a second communication channel to a user station device (10, 10A, 10B), and, for said first or second dialogs authentication, analysis, whether or not the corresponding returned call code is signed or not in order to grant or deny access to protected information / service using the mentioned First and second authentication modes. 13. Система по п.12, отличающаяся тем, что
упомянутое средство (32) анализа выполнено с возможностью передачи упомянутого первого сообщения вызова в виде SMS, например, SMS-C.13. The system according to p. 12, characterized in that
said analysis tool (32) is configured to transmit said first call message in the form of SMS, for example, SMS-C. 14. Система по п.12 или 13,
отличающаяся тем, что
средство (30) аутентификации содержит или осуществляет с ним связь, средство (38) хранения пользовательских данных, хранящее пользовательскую информацию, например, открытые ключи и средство верификации аутентификации, выполненное с возможностью дешифрования подписанных кодов вызова с использованием открытых ключей устройства пользовательской станции, соответствующих частным ключам, хранящимся в модуле аутентификации устройства пользовательской станции, и сравнения дешифрованного возвращенного кода вызова с первоначальным кодом вызова, переданным в устройство пользовательской станции, и, если первоначальный код вызова соответствует дешифрованному возвращенному коду вызова или ожидаемому коду ответа, предоставления (разрешения) запроса на доступ; иначе отклонения запроса на доступ.14. The system of claim 12 or 13,
characterized in that
the authentication means (30) comprises or communicates with it, the user data storage means (38) storing user information, for example, public keys and authentication verification means, capable of decrypting signed call codes using public keys of the user station device corresponding to private keys stored in the authentication module of the user station device and comparing the decrypted returned call code with the original calling code va transmitted to the subscriber station device, and if the original calling code corresponds to decrypt the returned challenge code or the expected response code, providing (authorization) request for access; otherwise, denied access request. 15. Система по п.12,
отличающаяся тем, что
второе сообщение вызова выполнено с возможностью запроса автоматической или выполненной вручную подписи кода вызова, обеспеченного в первом сообщении вызова мобильным устройством, например, частным ключом, и ввода подписанного кода вызова на терминале доступа, и тем, что комбинированное сообщение вызова выполнено с возможностью запроса подписи сопроводительного кода вызова на мобильном устройстве и ввода подписанного кода вызова на терминале доступа.15. The system of claim 12,
characterized in that
the second call message is configured to request an automatic or manual signature of the call code provided in the first message of the call by the mobile device, for example, a private key, and enter the signed call code on the access terminal, and that the combined call message is configured to request an accompanying signature a calling code on a mobile device and entering a signed calling code on an access terminal. 16. Средство (30, 30А, 30В) аутентификации для аутентификации конечного пользователя, запрашивающего доступ к защищенной информации или защищенному ресурсу или службе из устройства (10, 10А, 10В) пользовательской станции, содержащее интерфейс средства обслуживания доступа и по меньшей мере один интерфейс, обеспечивающий связь с устройством пользовательской станции по первому каналу связи сети радиосвязи,
отличающееся тем, что
оно выполнено с возможностью поддержки связи с устройством (10, 10А, 10В) пользовательской станции по второму каналу связи, и при этом оно дополнительно содержит средство (31) выполнения аутентификации, содержащее средство (32) анализа для установления, достижимо ли устройство пользовательской станции по первому каналу связи, и
упомянутое (30, 30А, 30В) средство аутентификации выполнено с возможностью поддержки первого режима аутентификации и второго режима аутентификации с использованием второго канала связи, причем упомянутое средство (32) анализа содержит средство (33) решения для выбора упомянутого первого или упомянутого второго режима аутентификации.16. An authentication means (30, 30A, 30B) for authenticating an end user requesting access to a protected information or a protected resource or service from a user station device (10, 10A, 10B) comprising an access facility interface and at least one interface, providing communication with the user station device via the first communication channel of the radio communication network,
characterized in that
it is configured to support communication with the user station device (10, 10A, 10B) via the second communication channel, and it further comprises authentication means (31), comprising analysis means (32) for determining whether the user station device is reachable by the first communication channel, and
said (30, 30A, 30B) authentication means configured to support a first authentication mode and a second authentication mode using a second communication channel, said analysis means (32) comprising decision means (33) for selecting said first or said second authentication mode. 17. Средство аутентификации по п.16,
отличающееся тем, что
средство (33) решения содержит средство коммутации для переключения между первым и вторым режимом аутентификации или осуществляет с ним связь.17. The authentication tool according to clause 16,
characterized in that
means (33) of the solution contains switching means for switching between the first and second authentication mode or communicates with it. 18. Средство аутентификации по п.16,
отличающееся тем, что
первый режим аутентификации имеет приоритет относительно второго режима аутентификации, второй режим используют только, если устройство пользовательской станции недостижимо для аутентификации по первому каналу связи.18. The authentication tool according to clause 16,
characterized in that
the first authentication mode takes precedence over the second authentication mode, the second mode is used only if the user station device is unreachable for authentication via the first communication channel. 19. Средство аутентификации по п.16, отличающееся тем, что
первый канал связи содержит канал аутентификации и второй канал связи содержит канал доступа.19. The authentication tool according to clause 16, characterized in that
the first communication channel contains an authentication channel and the second communication channel contains an access channel. 20. Средство аутентификации по п.16,
отличающееся тем, что
оно содержит сервер (30) аутентификации.20. The authentication tool according to clause 16,
characterized in that
it contains an authentication server (30). 21. Средство аутентификации по п.16,
отличающееся тем, что
оно содержит модуль (30А, 30В) аутентификации, выполненный с возможностью ассоциации с сервером (30) аутентификации или с сервером (20А) доступа или с возможностью быть обеспеченными в них.21. The authentication tool according to clause 16,
characterized in that
it comprises an authentication module (30A, 30B) configured to associate with or with the access server (20A) of access or with an access server (20A). 22. Средство аутентификации по любому из пп.16-21,
отличающееся тем, что
средство (32) анализа выполнено с возможностью анализа, выполняется ли заданный критерий, для установления, достижимо ли устройство (10, 10А, 10В) пользовательской станции по первому каналу связи, посредством передачи первого сообщения вызова, содержащего код вызова, по первому каналу связи, например в виде SMS, и для анализа, получено ли прямое или косвенное подтверждение доставки в отношении доступности для аутентификации устройства пользовательской станции.22. The authentication tool according to any one of paragraphs.16-21,
characterized in that
analysis tool (32) is configured to analyze whether a predetermined criterion is met to determine whether the user station device (10, 10A, 10B) is reachable via the first communication channel by transmitting a first call message containing a call code via the first communication channel, for example in the form of SMS, and to analyze whether direct or indirect delivery confirmation has been received regarding the availability for authentication of the user station device. 23. Средство аутентификации по п.22,
отличающееся тем, что
если выполняется заданный критерий, то средство (32) анализа выполнено с возможностью активации средства (31) выполнения аутентификации в первом режиме, в котором оно выполнено с возможностью формирования и передачи второго сообщения вызова, содержащего подсказку вызова, подсказывающую ввести вручную или автоматически в клиентское устройство доступа код вызова, подписанный мобильным устройством (11, 11А, 10В), и возврата упомянутого подписанного кода вызова, и
средство (31) выполнения аутентификации дополнительно содержит средство (35) верификации для расшифровки подписанного кода вызова и для сравнения расшифрованного возвращенного кода вызова с первоначально переданным кодом вызова или ожидаемым кодом ответа и для предоставления (разрешения) запроса на доступ, если существует согласование между первоначальным кодом вызова или ожидаемым кодом ответа и расшифрованным возвращенным кодом вызова, и отклонения запроса на доступ, если согласование отсутствует.23. The authentication tool according to item 22,
characterized in that
if the specified criterion is met, then the analysis tool (32) is configured to activate the authentication tool (31) in the first mode, in which it is configured to generate and transmit a second call message containing a call prompt prompting to enter manually or automatically into the client device access a calling code signed by the mobile device (11, 11A, 10B), and returning said signed calling code, and
the authentication means (31) further comprises verification means (35) for decrypting the signed call code and for comparing the decrypted returned call code with the originally transmitted call code or the expected response code and for providing (authorizing) the access request, if there is agreement between the original code the call or the expected response code and the decrypted return call code, and rejecting the access request if there is no agreement. 24. Средство аутентификации по п.23, отличающееся тем, что
средство (35) верификации выполнено с возможностью извлечения открытого ключа для первого и второго режимов, который хранится во внешнем средстве (38) хранения, соответствующего частному ключу устройства (10, 10А, 10В) пользовательской станции, используемому для подписи.24. The authentication tool according to item 23, wherein
verification means (35) is configured to extract a public key for the first and second modes, which is stored in an external storage means (38) corresponding to the private key of the user station device (10, 10A, 10B) used for signing. 25. Способ аутентификации удаленного конечного пользователя устройства пользовательской станции, запрашивающего доступ к защищенной службе или ресурсу или к защищенной информации, посредством передачи запроса на доступ в средство аутентификации,
отличающийся тем, что
содержит этапы, на которых
выполняют этап анализа в средстве аутентификации для установления, достижимо ли устройство пользовательской станции для аутентификации по первому каналу связи сети радиосвязи,
если да, то
используют первой режим аутентификации по первому каналу связи,
если нет, то
используют второй режим аутентификации по второму каналу связи этой или другой сети связи.25. A method for authenticating a remote end-user device of a user station requesting access to a secure service or resource or to secure information by transmitting an access request to an authentication means,
characterized in that
contains stages in which
performing an analysis step in an authentication means to determine whether the user station device is reachable for authentication on a first communication channel of a radio communication network,
if yes, then
using the first authentication mode on the first communication channel,
if not, then
use the second authentication mode on the second communication channel of this or another communication network. 26. Способ по п.25,
отличающийся тем, что
этап анализа заключается в том, что
формируют первое сообщение вызова, содержащее код вызова, например, случайный код, в средстве аутентификации,
передают первое сообщение вызова в устройство пользовательской станции или в узел сети радиосвязи, обрабатывающий устройство пользовательской станции,
анализируют, выполняется ли заданный критерий, например, принято ли подтверждение доставки первого сообщения вызова в пределах заданного периода времени, в средстве аутентификации,
если да, то
используют или инициируют упомянутый первый режим аутентификации посредством передачи второго сообщения вызова, содержащего подсказку вызова, запрашивающую код вызова, подписанный мобильным устройством, и возвращают его в средство аутентификации по второму каналу связи,
если нет, то
инициируют упомянутый второй режим, причем
второй режим аутентификации содержит этап, на котором
передают комбинированное сообщение вызова, содержащее код вызова и подсказку вызова, запрашивающую подпись кода вызова в устройстве пользовательской станции.26. The method according A.25,
characterized in that
the analysis stage is that
form the first call message containing the call code, for example, a random code, in the authentication means,
transmitting the first call message to a user station device or to a radio network node processing a user station device,
analyze whether the specified criterion is met, for example, whether the delivery confirmation of the first call message is received within the specified time period, in the authentication means,
if yes, then
using or initiating said first authentication mode by transmitting a second call message containing a call prompt requesting a calling code signed by the mobile device and returning it to the authentication means via the second communication channel,
if not, then
initiate said second mode, and
the second authentication mode comprises the step of
transmit a combined call message containing the call code and a call hint requesting the signature of the call code in the user station device. 27. Способ по любому из пп.25 и 26,
отличающийся тем, что
первый и второй режимы аутентификации в средстве аутентификации содержат этапы, на которых
принимают возвращенный шифрованный подписанный код вызова,
расшифровывают возвращенный шифрованный код вызова,
сравнивают первоначально переданный код вызова или ожидаемый код с расшифрованным возвращенным кодом вызова,
разрешают запрос на доступ, если расшифрованный возвращенный код вызова соответствует первоначально переданному коду вызова или ожидаемому коду ответа,
иначе отклоняют запрос на доступ, и в устройстве пользовательской станции передают подтверждения доставки в средство подтверждения; в первом режиме аутентификации автоматически подписывают, например, частным ключом, код вызова, обеспеченный в мобильное устройство, мобильным устройством устройства пользовательской станции, осуществляющим связь с средством аутентификации по упомянутому первому каналу связи;
при приеме второго сообщения вызова вводят подписанный код вызова в терминал доступа устройства пользовательской станции, осуществляющего связь со средством аутентификации по второму каналу связи. 27. The method according to any one of paragraphs.25 and 26,
characterized in that
the first and second authentication modes in the authentication means comprise steps in which
accept the returned encrypted signed call code,
decrypt the returned encrypted call code,
comparing the originally transmitted call code or the expected code with the decrypted returned call code,
allow the access request if the decrypted returned call code matches the originally transmitted call code or the expected response code,
otherwise, the access request is rejected, and delivery confirmations are transmitted to the confirmation means at the user station device; in the first authentication mode, for example, with a private key, a call code provided to the mobile device by the mobile device of the user station device communicating with the authentication means via the first communication channel is automatically signed;
upon receipt of the second call message, the signed call code is entered into the access terminal of the user station device communicating with the authentication means via the second communication channel.
RU2008135684/09A 2006-02-03 2006-02-03 System, device and method for end user authentication RU2395911C2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2008135684/09A RU2395911C2 (en) 2006-02-03 2006-02-03 System, device and method for end user authentication

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2008135684/09A RU2395911C2 (en) 2006-02-03 2006-02-03 System, device and method for end user authentication

Publications (2)

Publication Number Publication Date
RU2008135684A RU2008135684A (en) 2010-03-10
RU2395911C2 true RU2395911C2 (en) 2010-07-27

Family

ID=42134862

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2008135684/09A RU2395911C2 (en) 2006-02-03 2006-02-03 System, device and method for end user authentication

Country Status (1)

Country Link
RU (1) RU2395911C2 (en)

Also Published As

Publication number Publication date
RU2008135684A (en) 2010-03-10

Similar Documents

Publication Publication Date Title
CA2641418C (en) A system, an arrangement and a method for end user authentication
US9047473B2 (en) System and method for second factor authentication services
JP4742903B2 (en) Distributed authentication system and distributed authentication method
US7979054B2 (en) System and method for authenticating remote server access
US7043230B1 (en) Method and system for multi-network authorization and authentication
RU2404520C2 (en) Method for provision of signature key for digital signature, verification or coding of data, and also mobile terminal
EP1102157B1 (en) Method and arrangement for secure login in a telecommunications system
KR100882033B1 (en) Use of a public key key pair in the terminal for authentication and authorisation of the telecommunication user with the network operator and business partners
KR101451359B1 (en) User account recovery
JP2003058507A (en) Method and apparatus for restricting access of user using cellular telephone
KR20090022425A (en) Multiple authentication access system and the method thereof
FI128171B (en) Network authentication
CN112020716A (en) Remote biometric identification
US9648495B2 (en) Method and device for transmitting a verification request to an identification module
KR20180039037A (en) Cross authentication method and system between online service server and client
RU2395911C2 (en) System, device and method for end user authentication
EP3881208A1 (en) Secure linking of device to cloud storage
IL193016A (en) System, arrangement and method for end user authentication
GB2582326A (en) A method of mutual authentication