RU2570838C2 - Строгая аутентификация посредством предоставления номера - Google Patents

Строгая аутентификация посредством предоставления номера Download PDF

Info

Publication number
RU2570838C2
RU2570838C2 RU2013148028/07A RU2013148028A RU2570838C2 RU 2570838 C2 RU2570838 C2 RU 2570838C2 RU 2013148028/07 A RU2013148028/07 A RU 2013148028/07A RU 2013148028 A RU2013148028 A RU 2013148028A RU 2570838 C2 RU2570838 C2 RU 2570838C2
Authority
RU
Russia
Prior art keywords
user
information system
time password
telephone
telephone terminal
Prior art date
Application number
RU2013148028/07A
Other languages
English (en)
Other versions
RU2013148028A (ru
Inventor
Бенуа ФЕРЛЕН
Original Assignee
Банк Аккорд
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Банк Аккорд filed Critical Банк Аккорд
Publication of RU2013148028A publication Critical patent/RU2013148028A/ru
Application granted granted Critical
Publication of RU2570838C2 publication Critical patent/RU2570838C2/ru

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0838Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/32Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
    • G06Q20/325Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices using wireless networks
    • G06Q20/3255Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices using wireless networks using mobile network messaging services for payment, e.g. SMS
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/385Payment protocols; Details thereof using an alias or single-use codes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/401Transaction verification
    • G06Q20/4012Verifying personal identification numbers [PIN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M1/00Substation equipment, e.g. for use by subscribers
    • H04M1/57Arrangements for indicating or recording the number of the calling subscriber at the called subscriber's set
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M1/00Substation equipment, e.g. for use by subscribers
    • H04M1/66Substation equipment, e.g. for use by subscribers with means for preventing unauthorised or fraudulent calling
    • H04M1/663Preventing unauthorised calls to a telephone set
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M3/00Automatic or semi-automatic exchanges
    • H04M3/42Systems providing special services or facilities to subscribers
    • H04M3/42025Calling or Called party identification service
    • H04M3/42034Calling party identification service
    • H04M3/42059Making use of the calling party identifier

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • General Physics & Mathematics (AREA)
  • Strategic Management (AREA)
  • Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • Theoretical Computer Science (AREA)
  • Finance (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Telephonic Communication Services (AREA)
  • Sub-Exchange Stations And Push- Button Telephones (AREA)

Abstract

Изобретение относится к области обеспечения безопасности доступа к онлайн ресурсам. Технический результат заключается в обеспечении взаимной аутентификации между пользователем и информационной системой за счет передачи данных пользователя и одноразового пароля по разным каналам связи. Для этого при аутентификации посредством одноразового пароля пользователя (10), имеющего компьютерный терминал (11) и телефонный терминал (12), объединенные в одном пользовательском устройстве, и желающего получить доступ к онлайн ресурсу через информационную систему (20), инициируют вызов с идентификатором вызывающего абонента, содержащим одноразовый пароль, на указанный телефонный терминал. 2 н. и 8 з.п. ф-лы, 1 ил.

Description

Настоящее изобретение относится к области обеспечения безопасности доступа к онлайн ресурсам и более конкретно к аутентификации пользователя, желающего получить доступ к онлайн услуге по общедоступной информационной сети, такой как Интернет.
Под понятием «аутентификация» в информационных системах в данном случае понимают проверку личных данных объекта (например, человека, компьютера, информационного процесса) с целью авторизации доступа этого объекта к ресурсам (например, услугам, сетям, системам, приложениям). Далее в тексте эти объекты обозначены термином «пользователь».
Размещение онлайн ресурсов в общедоступных информационных сетях типа сети Интернет предоставляет множество преимуществ как для пользователей, так и для организаций, особенно коммерческих организаций (например, Интернет-банкинг, электронная коммерция). Подтверждением этому служат увеличивающееся количество онлайн услуг и более широкое их использование.
Это, естественно, вызвало большой интерес киберпреступников («хакеров»), и количество программ, предназначенных для хищения данных, обеспечивающих получение обманным путем доступа к онлайн ресурсам, значительно возросло.
В связи с этим, как никогда необходимы надежные способы аутентификации как для пользователей, так и для организаций. Действительно, с одной стороны, пользователь должен быть уверен, что он на самом деле получает доступ к серверу услуг, к которому он обращается (и на который он, возможно, будет передавать персональные данные, такие как банковские реквизиты), и, с другой стороны, этот сервер должен иметь подтверждение, что этот пользователь действительно является пользователем, который был ранее зарегистрирован на сервере, и что он не является мошенником. Злонамеренные действия третьего лица, выдающего себя за законного пользователя для осуществления, например, онлайн банковской операции, являются угрозой как для законного пользователя, так и для банка, предлагающего такую онлайн услугу.
В уровне техники существуют различные способы обеспечения проверки подлинности пользователя, работающего в среде в режиме клиент/сервер и запрашивающего доступ к онлайн ресурсу. Аутентификация может происходить на основании нескольких факторов:
– данные, известные пользователю, например пароль;
– предмет, которым обладает пользователь, например магнитная карта или чип-карта;
– действие, выполняемое только пользователем, например живая подпись на сенсорном экране;
– физический параметр, присущий пользователю, например отпечаток пальца.
В настоящее время в основе наиболее широко применяемого способа осуществления аутентификации пользователя на удаленном сервере лежит применение статического пароля совместно с идентификатором (логин). Преимущество такого способа заключается в том, что его можно осуществлять полностью с помощью программного обеспечения, избегая тем самым дополнительных затрат (аппаратные средства).
Однако сетевой шпионаж с целью сбора личных данных законных пользователей является помехой для выполнения этого способа. Личные данные, полученные таким образом, могут использоваться в дальнейшем. Приемы хеширования или шифрования паролей не могут в полной мере решить эту проблему, поскольку они защищают только линии связи, оставляя незащищенным пользовательский терминал, в котором теперь нередко можно найти множество вредоносных приложений (хакерские программы).
Методы аутентификации, основанные на средствах, предоставляемых пользователям, таких как маркер аутентификации, чип-карта, смарт-карта или флэш-накопитель, являются нежелательными, так как являются причиной дополнительных затрат на аппаратные средства.
Кроме того, биометрические способы аутентификации в основном являются сложными, и для них необходимо выполнение этапа утомительного предварительного определения параметров.
Для устранения ограничений таких способов аутентификации и предоставления одного фактора, а именно применения статических паролей, были предоставлены решения для аутентификации, объединяющие два фактора: данные, известные пользователю (например, пароль), и информация, которой обладает пользователь (например, номер телефона или электронный адрес). В этом случае говорят о строгой аутентификации. Среди таких способов существует решение для аутентификации, основанное на применении одноразовых паролей (также называемых OTP сокращенно от One-Time Password).
В соответствии со своим названием одноразовый пароль (OTP) можно использовать в качестве средства аутентификации только для одного сеанса. Таким образом, при каждом новом запросе на доступ, выдаваемом пользователем на удаленный сервер, генерируется новый OTP, как правило, случайным или псевдослучайным образом и затем сообщается пользователю. Пользователь предоставляет этот OTP на удаленный сервер в качестве доказательства подлинности его данных, которые он указал, например, с помощью своего логина/пароля. Следовательно, незаконное присвоение логинов/статических паролей либо с пользовательского терминала, либо с линии связи, соединяющей пользовательский терминал с сервером, становится бесполезным, так как OTP становится устаревшим с момента его применения.
Для того чтобы обеспечить подлинную безопасность, OTP, как правило, сообщается пользователю по другому каналу, установленному между пользовательским терминалом и сервером. На самом деле OTP, как правило, отправляется пользователю через SMS (Short Service Message), через MMS (Multimedia Messaging Service) или голосовым сообщением с применением второго фактора аутентификации, например, номера телефона пользователя, который был предварительно предоставлен на удаленный сервер.
Тем не менее, отправка OTP (например, через SMS, через MMS или голосовым сообщением) на телефон, несомненно, вызывает дополнительные финансовые затраты на предоставление онлайн услуг (которые в настоящее время являются платными). Понятно, что отправка OTP через SMS большому количеству клиентов, которые ежемесячно пользуются онлайн услугой, предлагаемой малыми предприятиями (PME), представляет существенные финансовые издержки для такого предприятия.
Одной целью настоящего изобретения является устранение вышеупомянутых недостатков.
Другой целью настоящего изобретения является предоставление решения для строгой аутентификации с меньшими издержками.
Другой целью настоящего изобретения является уменьшение финансовых затрат, требуемых для обеспечения безопасности коммерческих сайтов.
Другой целью изобретения является предоставление пользователю, как правило, пользователю Интернета, возможности получения доступа к онлайн услугам простым и безопасным способом.
Другой целью настоящего изобретения является создание способа строгой аутентификации, предоставляющего возможность обеспечения безопасности доступа к онлайн ресурсам по незащищенной сети.
С этой целью изобретение, согласно первому аспекту, относится к способу аутентификации посредством одноразового пароля пользователя, имеющего компьютерный терминал и телефонный терминал и желающего получить доступ к онлайн ресурсу через информационную систему, при этом способ включает этап инициирования на указанный телефонный терминал вызова с идентификатором пользователя, желающего получить доступ, содержащим одноразовый пароль.
Изобретение, согласно второму аспекту, относится к системе аутентификации посредством одноразового пароля пользователя, имеющего компьютерный терминал и телефонный терминал и желающего получить доступ к онлайн ресурсу через информационную систему, при этом система содержит частную автоматическую телефонную станцию, предназначенную для инициирования на указанный телефонный терминал вызова с идентификатором пользователя, желающего получить доступ, содержащим одноразовый пароль.
Изобретение, согласно третьему аспекту, относится к компьютерному программному продукту, реализованному на носителе данных, который можно осуществлять в компьютерном блоке обработки и который содержит команды для осуществления способа, описываемого в настоящем документе.
Другие признаки и преимущества изобретения станут более понятны и очевидны после прочтения приведенного ниже описания предпочтительных вариантов осуществления со ссылкой на прилагаемую фигуру 1, которая схематически показывает функциональное представление варианта осуществления.
На фиг. 1 показан пользователь 10, желающий получить удаленный доступ к онлайн ресурсу через компьютерный терминал 11 посредством информационной системы 20.
Компьютерный терминал 11 может быть любым пользовательским устройством, позволяющим пользователю 10 подключиться к сети передачи данных, а именно Интернету, посредством которой к онлайн ресурсу, предлагаемому информационной системой 20, предоставлен доступ. Примерами компьютерного терминала 10 являются стационарный/портативный персональный/общедоступный компьютер, PDA (Personal Digital Assistant) или Smartphone (смартфон).
Информационной системой 20 может быть любое аппаратное и/или программное средство обработки данных, предоставляющее пользователю 10 онлайн ресурс, а именно онлайн услугу, доступную с компьютерного терминала 11. Примерами информационной системы 20 являются сервер приложений, веб-сервер, предоставляющий хостинг для веб-сайта электронной коммерции, или ряд кооперативных серверов.
Пользователь 10 также имеет телефонный терминал 12 совместно, по меньшей мере, с одним номером вызова (номер телефона). Этим телефонным терминалом 12, например, является
- мобильный телефон, Smartphone или PDA, содержащий SIM-карту (Subscriber Identity Module) или USIM (Universal Subscriber Identity Module);
- аналоговый или цифровой стационарный телефон;
- софт-телефон с номером телефона (например, SkypeTM In).
В предпочтительном исполнении телефонный терминал 12 является мобильным телефоном или Smartphone. Разумеется, эти варианты не являются ограничивающими.
Телефонный терминал 12 обеспечивает предоставление вызываемому абоненту номера вызывающего абонента (на англ. Caller_ID сокращенно от Caller Identification или CLIP сокращенно от Calling Line Identification Presentation). Другими словами, телефонный терминал 12 предоставляет вызываемому абоненту номер или в целом идентификатор вызывающего абонента. Идентификатор вызывающего абонента может быть отображен на экране телефонного терминала 12, если такой есть, или на отдельном устройстве.
Альтернативно или совместно, идентификатор входящего вызова на телефонный терминал 12 может быть:
- отображен из списка, содержащегося в этом терминале (например, журнал вызовов, пропущенных вызовов, непринятых вызовов), и/или
- получен набором определенного номера (например, для абонента France TelecomTM необходимо набрать 3131 для получения номера последнего вызывающего абонента).
В частности, компьютерный терминал 11 и телефонный терминал 12 могут представлять единое пользовательское устройство, такое как:
- стационарный/переносной компьютер, содержащий софт-телефон; или
- Smartphone или PDA, предоставляющий помимо выполнения функций телефона услугу передачи данных (DATA).
При выполнении варианта осуществления, показанного на фиг. 1, пользователь 10 желает получить доступ к онлайн ресурсу посредством информационной системы 20, для которого необходимо выполнение строгой аутентификации (этап 1 на фиг. 1). В качестве примера пользователь 10 хочет выполнить транзакцию (например, перечисление, покупку, продажу) онлайн на веб-сайте (например, на банковском сайте или на сайте электронной коммерции), хостинг для которого предоставлен информационной системой 20. Для подключения к удаленной информационной системе 20 веб-сайта, к которому необходимо получить доступ, пользователь 10 использует компьютерный терминал 11 обычным способом, вводя веб-адрес сайта.
Для онлайн ресурса, для которого необходима строгая аутентификация, информационная система 20 предназначена для проверки подлинности личных данных пользователя 10, которые он предоставил, например, посредством логина/пароля. С этой целью информационная система 20 (этап 2 на фиг. 1)
- запоминает запрос пользователя 10;
- выполняет поиск номера телефона (т.е. второй фактор аутентификации), который пользователь 10 предварительно предоставил в ходе предыдущего сеанса. Понятно, что предполагается, что пользователь 10 предварительно заполнил свой профиль (по меньшей мере, ввел логин, пароль и номер телефона) для информационной системы 20, указав в нем номер телефона своего телефонного терминала 12;
- генерирует OTP, который пользователю 10 заранее неизвестен. Такой OTP, как правило, генерируется случайным или псевдослучайным образом.
Затем информационная система 20
- передает (этап 31 на фиг. 1) сгенерированный OTP и номер телефона пользователя 10 на частную автоматическую телефонную станцию 30, также называемую PBX или PABX сокращенно от Private Automatic Branch eXchange, и
- сообщает (этап 32 на фиг. 1) пользователю 10:
o что по номеру телефона, который он предварительно предоставил (т.е. номер телефона его телефонного терминал 12) будет вскоре выполнен вызов; и
o что он должен обратно предоставить (отправить) идентификатор вызывающего абонента (Caller_ID).
PABX 30 может также являться PABX IP, которая предоставляет переход на IP (Internet Protocol) традиционной BAPX.
Преимущественно одной из основных функций PABX 30 является возможность изменения номера вызывающего абонента (Caller_ID) при необходимости.
Следовательно, при использовании номера телефона и OTP, переданных на телефонную станцию с информационной системы 20, PABX 30 предусматривает (этап 4 на фиг. 1) инициирование вызова на телефонный терминал 12 пользователя 10, одновременно предоставляя OTP в идентификаторе вызывающего абонента (то есть в Caller_ID). В результате OTP передается непосредственно на дисплей телефонного терминала 12 вместо отображения номера вызывающего абонента.
Необходимо отметить, что вызов, инициированный посредством PABX 30, на телефонный терминал 12 предназначен для предоставления OTP, а не для проведения разговора. Продолжительность этого вызова является необходимой и достаточной только для предоставления OTP на телефонный терминал 12, другими словами, до момента, когда пользователь 10 снимет трубку. Следовательно, PABX 30 запрограммирована на прекращение совершаемого вызова, например, сразу после первого или второго звонка.
Пользователь 10 вводит (этап 5 на фиг. 1) идентификатор вызывающего абонента (Caller_ID), который был отображен на его телефонном терминале 12, в соответствии с запросом информационной системы 20. В качестве примера, пользователь 10 вводит идентификатор вызывающего абонента в специальную область (например, конкретное поле в электронной форме) и передает его информационной системе 20.
Альтернативно, информационная система 20 запрашивает у пользователя 10 только определенную часть идентификатора абонента входящего вызова, который он сразу принимает на свой телефонный терминал 12.
Информационная система 20 проверяет (этап 6 на фиг. 1) достоверность сообщения, отправленного ей пользователем 10, и далее разрешает или запрещает доступ, запрошенный пользователем 10. С этой целью информационная система 20 содержит средства, обеспечивающие проверку соответствия сообщения, предоставленного пользователем 10, и OTP, сгенерированного и переданного на PABX 30. В случае соответствия содержимого, предоставленного пользователем 10 (этап 5 на фиг. 1), с содержимым, сгенерированным информационной системой 20, информационная система 20 аутентифицирует определенным способом пользователя 10. В этом случае информационная система 20 направляет пользователя 10 к запрошенному ресурсу.
Пользователю 10 сообщается результат аутентификации (этап 7 на фиг. 1).
В приведенном в качестве примера варианте осуществления описанного выше способа:
- пользователь 10 Интернета выдает сообщение с запросом на доступ со своего компьютера 11 на сервер 20 приложений, предоставляющий хостинг банковскому сайту, для выполнения определенной транзакции (этап 1 на фиг. 1);
- сервер 20 приложений запоминает запрос пользователя 10 Интернета, находит номер телефона последнего (второй фактор аутентификации пользователя 10 Интернета) и генерирует одноразовый пароль (OTP) (этап 2 на фиг. 1);
- сервер 20 приложений передает сгенерированный одноразовый пароль и номер телефона пользователя 10 Интернета на PABX 30 (этап 31 на фиг. 1);
- сервер 20 приложений сообщает пользователю 10 Интернета, что он получит вскоре вызов по номеру телефона, который он ранее представил, идентификатор вызывающего абонента (Caller_ID) которого является одноразовым паролем, который пользователь должен ввести (этап 32 на фиг. 1);
- PABX 30 осуществляет вызов по номеру телефона пользователя 10 Интернета, отображая в идентификаторе вызывающего абонента одноразовый пароль, сгенерированный сервером 20 приложений;
- пользователь 10 Интернета предоставляет идентификатор вызывающего абонента, показанный ему на его телефоне 11 (этап 5 на фиг. 1);
- сервер 20 приложений проверяет соответствие сгенерированного им одноразового пароля и пароля, который был ему предоставлен пользователем 10 Интернета (этап 6 на фиг. 1);
- сервер 20 приложений сообщает пользователю 10 Интернета об успешной/неудавшейся аутентификации (этап 7 на фиг. 1).
В другом варианте осуществления, приведенном в качестве примера, пользователь 20 обладает пользовательским устройством, сочетающим телефонный терминал и компьютерный терминал, например Smartphone, или, например, стационарным/переносным компьютером. В этом случае пользователь 10:
- подключается к удаленному серверу 20 со своего Smartphone (например, открывает веб-страницу онлайн услуги, предлагаемой удаленным сервером 20);
- авторизируется на удаленном сервере 20 с помощью, по меньшей мере, одного идентификатора, который он имеет (логин или пароль, например);
- запрашивает подключение к онлайн услуге на удаленном сервере 20 (запрашивает, например, выполнение онлайн транзакции);
- удаленный сервер 20 выполняет поиск номера телефона, связанного с личными данными, заявленными пользователем 10, причем эти данные сообщаются ему во время предшествующего этапа (например, этап регистрации для онлайн услуги);
- удаленный сервер 20 генерирует OTP;
- удаленный сервер 20 передает номер телефона пользователя 20 и сгенерированный OTP на PABX 30;
- удаленный сервер 20 просит пользователя предоставить ему идентификатор вызывающего абонента (Caller_ID), содержащийся в вызове, который будет вскоре получен;
- PABX 30 инициирует вызов по номеру телефона, который был на нее передан, предоставляя OTP в идентификаторе вызывающего абонента(Caller_ID);
- пользователь 10 вводит идентификатор вызывающего абонента (Caller_ID), содержащийся в только что полученном вызове, и передает его на удаленный сервер 20 (пользователь 20 вводит идентификатор вызывающего абонента (Caller_ID) в форму, которую он, например, предоставляет на удаленный сервер);
- удаленный сервер 20 проверяет соответствие сообщения, предоставленного пользователем, и сгенерированного OTP и сообщает пользователю результат (то есть была ли аутентификация успешной или неудавшейся).
В предпочтительном варианте осуществления, когда компьютерный терминал 11 и телефонный терминал 12 объединены в одном пользовательском устройстве (в частности, компьютер или Smartphone), программное приложение предназначено для повторного использования идентификатора вызывающего абонента из последнего входящего вызова для предоставления на удаленный сервер. В конкретном варианте осуществления это программное приложение запускается пользователем через электронную форму, предоставляющую доступ к онлайн услуге. Альтернативно это приложение запускается автоматически с момента запроса пользователем доступа к онлайн услуге.
В одном варианте осуществления программное приложение присоединено к электронной форме, предоставляющей доступ к онлайн услуге. Преимущественно это программное приложение позволяет уменьшить вмешательство пользователя в способ аутентификации.
В другом варианте осуществления, когда телефонный терминал 12 и компьютерный терминал 11 не объедены в одном пользовательском устройстве (то есть, представлено два отдельных пользовательских терминала), программное приложение, распределенное между двумя терминалами 11 и 12, обеспечивает доставку на компьютерный терминал 11 идентификатора вызывающего абонента из последнего входящего вызова, полученного телефонным терминалом 11. С этой целью программное приложение может использовать, например, радиоинтефейс связи ближнего действия (BluetoothTM, например), распределенный между компьютерным терминалом 11 и телефонным терминалом 12.
Необходимо отметить, что OTP, согласно настоящему изобретению, может быть сгенерирован с помощью любого способа, известного в области техники (например, программным, аппаратным, случайным/псевдослучайным, зависящим/независящим от факторов аутентификации).
В одном варианте осуществления идентификатор вызывающего абонента (Caller_ID), отображенный для пользователя 10, позволяет извлекать или выводить из него OTP (например, с помощью функции выбора или дешифрования), сгенерированный информационной системой 20. Эта функция предоставляется пользователю 10 его компьютерным терминалом 11 и/или телефонным терминалом 12.
В частности, способ аутентификации посредством одноразового пароля, описанный выше, может быть осуществлен совместно с другими способами обеспечения безопасности (протоколы безопасного обмена данными, например, такие как SSH или SSL).
Описанный способ обеспечивает ряд преимуществ. Он обеспечивает, по сути,
- подтверждение взаимной аутентификации между пользователем 10 и информационной системой 20;
- уменьшение затрат на аутентификацию посредством OTP: в отличие от SMS/MMS, так как вызов, как правило, является бесплатным;
- подтверждение безопасности способа аутентификации: личные данные пользователя (например, логин/пароль) и OTP передаются по двум разным каналам связи.

Claims (10)

1. Способ аутентификации посредством одноразового пароля пользователя (10), имеющего компьютерный терминал (11) и телефонный терминал (12) и желающего получить доступ к онлайн ресурсу через информационную систему (20), при этом способ включает этап инициирования на указанный телефонный терминал вызова с идентификатором вызывающего абонента, содержащим одноразовый пароль, причем компьютерный терминал и телефонный терминал объединены в одном пользовательском устройстве.
2. Способ по п. 1, отличающийся тем, что он дополнительно включает этап предоставления личных данных пользователя через информационную систему (20) и этап запроса доступа через информационную систему.
3. Способ по любому из предыдущих пунктов, отличающийся тем, что он дополнительно включает этап генерирования одноразового пароля.
4. Способ по п. 1, отличающийся тем, что он дополнительно включает этап передачи номера телефона, связанного с предоставленными личными данными, и сгенерированного одноразового пароля на IP частную автоматическую телефонную станцию (30), при этом указанный номер телефона был предварительно внесен в указанную информационную систему (20).
5. Способ по п. 1, отличающийся тем, что он дополнительно включает этап предоставления на информационный сервер (20) идентификатора вызывающего абонента из вызова, полученного на телефонный терминал (12).
6. Способ по п. 1, отличающийся тем, что он дополнительно включает этап проверки соответствия сообщения, предоставленного информационной системе (20), и одноразового пароля, сгенерированного информационной системой (20).
7. Способ по любому из пп. 1, 2, 4-6, отличающийся тем, что телефонный терминал представляет собой софт-телефон, а компьютерный терминал представляет собой стационарный/переносной компьютер, содержащий указанный софт-телефон.
8. Способ по любому из пп. 1, 2, 4-6, отличающийся тем, что единое пользовательское устройство представляет собой Smartphone или PDA, предоставляющий помимо выполнения функций телефона услугу передачи данных.
9. Система аутентификации посредством одноразового пароля пользователя (10), имеющего компьютерный терминал (11) и телефонный терминал (12) и желающего получить доступ к онлайн ресурсу через информационную систему (20), причем указанный компьютерный терминал и указанный телефонный терминал объединены в одном пользовательском устройстве, при этом система содержит IP частную автоматическую телефонную станцию (30), предназначенную для инициирования на указанный телефонный терминал вызова с идентификатором вызывающего абонента, содержащим одноразовый пароль.
10. Система по п. 9, отличающаяся тем, что информационная система (20) содержит:
- средство генерирования одноразовых паролей;
- средство передачи на IP частную автоматическую телефонную станцию (30) одноразового пароля и номера телефона;
- средство проверки соответствия сгенерированного одноразового пароля и сообщения, предоставленного через информационную систему (20).
RU2013148028/07A 2011-03-30 2012-03-29 Строгая аутентификация посредством предоставления номера RU2570838C2 (ru)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
FR1152664 2011-03-30
FR1152664A FR2973618B1 (fr) 2011-03-30 2011-03-30 Authentification forte par presentation du numero
PCT/FR2012/050672 WO2012131268A1 (fr) 2011-03-30 2012-03-29 Authentification forte par presentation du numero

Publications (2)

Publication Number Publication Date
RU2013148028A RU2013148028A (ru) 2015-05-10
RU2570838C2 true RU2570838C2 (ru) 2015-12-10

Family

ID=46017976

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2013148028/07A RU2570838C2 (ru) 2011-03-30 2012-03-29 Строгая аутентификация посредством предоставления номера

Country Status (6)

Country Link
US (1) US9602504B2 (ru)
EP (1) EP2692122A1 (ru)
CN (2) CN103597806A (ru)
FR (1) FR2973618B1 (ru)
RU (1) RU2570838C2 (ru)
WO (1) WO2012131268A1 (ru)

Families Citing this family (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10778680B2 (en) * 2013-08-02 2020-09-15 Alibaba Group Holding Limited Method and apparatus for accessing website
US9485169B2 (en) 2014-07-23 2016-11-01 Nexmo Inc. Systems and methods for adaptive routing
US9516480B2 (en) 2014-11-24 2016-12-06 Nexmo Inc. Identity and phone number verification
US10356567B2 (en) 2014-11-24 2019-07-16 Nexmo, Inc. Multi-channel communication system
US10716003B2 (en) 2014-11-24 2020-07-14 Nexmo, Inc. Identity and phone number verification
US9660999B2 (en) 2015-02-06 2017-05-23 Microsoft Technology Licensing, Llc Discovery and connection to a service controller
US9742780B2 (en) * 2015-02-06 2017-08-22 Microsoft Technology Licensing, Llc Audio based discovery and connection to a service controller
EP3275134B1 (en) 2015-03-24 2020-08-05 Nexmo Inc. Multi-channel communication system
US10476782B2 (en) 2015-08-03 2019-11-12 Nexmo, Inc. Systems and methods for adaptive routing
JP6690918B2 (ja) * 2015-10-16 2020-04-28 日本特殊陶業株式会社 加熱部材、静電チャック、及びセラミックヒータ
US10817593B1 (en) * 2015-12-29 2020-10-27 Wells Fargo Bank, N.A. User information gathering and distribution system
WO2017143304A1 (en) * 2016-02-19 2017-08-24 Tata Communications (America) Inc. System and method for authentication with missed calls
US10601814B2 (en) * 2017-07-26 2020-03-24 Secret Double Octopus Ltd. System and method for temporary password management
CN107682316B (zh) * 2017-09-05 2020-02-14 平安科技(深圳)有限公司 动态密码发送策略的生成方法和动态密码发送方法
GB2580635A (en) * 2019-01-18 2020-07-29 Stratec Se System for authentification

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6078908A (en) * 1997-04-29 2000-06-20 Schmitz; Kim Method for authorizing in data transmission systems
EP1445917A2 (en) * 2003-02-04 2004-08-11 RenderSpace - Pristop Interactive d.o.o. Identification system for admission into protected area by means of an additional password
RU2354066C2 (ru) * 2003-11-07 2009-04-27 Телеком Италия С.П.А. Способ и система для аутентификации пользователя системы обработки данных
RU2401455C2 (ru) * 2004-11-29 2010-10-10 Монитайс Лимитед Электронная система для предоставления банковских услуг

Family Cites Families (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6594255B1 (en) * 1999-02-09 2003-07-15 Tadiran Telecom Business Systems Ltd. PBX with short messaging service on a telephone display
AU2002210969A1 (en) * 2000-10-31 2002-05-15 Arkray, Inc. User authentication method in network
US6782081B2 (en) * 2002-05-21 2004-08-24 Bellsouth Intellectual Property Corporation Automated delivery of instant message to a telephone line device
CN1481109A (zh) * 2002-09-03 2004-03-10 网泰金安信息技术有限公司 基于无线传输平台的动态密码身份认证系统
GB2401745B (en) * 2003-05-15 2006-02-15 Desktop Guardian Ltd Method of controlling computer access
WO2006038883A1 (en) * 2004-10-08 2006-04-13 Advanced Network Technology Laboratories Pte Ltd User provisioning with multi-factor authentication
CN100492966C (zh) * 2004-11-26 2009-05-27 王小矿 基于智能卡和动态密码的身份认证系统
US20060153346A1 (en) * 2005-01-11 2006-07-13 Metro Enterprises, Inc. On-line authentication registration system
SE532098C2 (sv) * 2005-08-23 2009-10-20 Smarttrust Ab Autenticeringssystem och -förfarande
PL1833219T3 (pl) * 2006-03-08 2015-01-30 Monitise Ltd Sposób, urządzenie i oprogramowanie wykorzystujące kod w celu obliczania ograniczonego czasowo hasła w telefonie komórkowym
GB2455235A (en) * 2006-07-20 2009-06-10 Kamfu Wong Method and system for online payment and identity confirmation with setting authentication formula
CN101060556A (zh) * 2006-12-30 2007-10-24 陈鹏 电话用户身份认证的方法
CN101145905A (zh) * 2007-10-25 2008-03-19 中国工商银行股份有限公司 一种实现电话银行在线支付的认证方法、装置及系统
US8082448B2 (en) * 2008-10-28 2011-12-20 Xerox Corporation System and method for user authentication using non-language words
ES2645289T3 (es) * 2008-12-03 2017-12-04 Entersekt International Limited Autenticación de transacciones seguras
US8635454B2 (en) * 2009-07-27 2014-01-21 Vonage Network Llc Authentication systems and methods using a packet telephony device
US8904489B2 (en) * 2009-09-08 2014-12-02 Thomas Varghese Client identification system using video conferencing technology
US8667280B2 (en) * 2010-02-24 2014-03-04 Ca, Inc. Method and apparatus for applying a partial password in a multi-factor authentication scheme
CN101808094A (zh) * 2010-03-15 2010-08-18 张锋 身份认证系统和方法
US8495720B2 (en) * 2010-05-06 2013-07-23 Verizon Patent And Licensing Inc. Method and system for providing multifactor authentication
US9665868B2 (en) * 2010-05-10 2017-05-30 Ca, Inc. One-time use password systems and methods

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6078908A (en) * 1997-04-29 2000-06-20 Schmitz; Kim Method for authorizing in data transmission systems
EP1445917A2 (en) * 2003-02-04 2004-08-11 RenderSpace - Pristop Interactive d.o.o. Identification system for admission into protected area by means of an additional password
RU2354066C2 (ru) * 2003-11-07 2009-04-27 Телеком Италия С.П.А. Способ и система для аутентификации пользователя системы обработки данных
RU2401455C2 (ru) * 2004-11-29 2010-10-10 Монитайс Лимитед Электронная система для предоставления банковских услуг

Also Published As

Publication number Publication date
EP2692122A1 (fr) 2014-02-05
RU2013148028A (ru) 2015-05-10
CN107423975A (zh) 2017-12-01
US9602504B2 (en) 2017-03-21
FR2973618B1 (fr) 2013-04-26
CN103597806A (zh) 2014-02-19
FR2973618A1 (fr) 2012-10-05
WO2012131268A1 (fr) 2012-10-04
US20140075525A1 (en) 2014-03-13

Similar Documents

Publication Publication Date Title
RU2570838C2 (ru) Строгая аутентификация посредством предоставления номера
US11856132B2 (en) Validating automatic number identification data
JP5719871B2 (ja) フィッシング攻撃を防ぐ方法および装置
US8893237B2 (en) Secure and efficient login and transaction authentication using iphones# and other smart mobile communication devices
TWI449394B (zh) User authentication, verification and code generation system maintenance subsystem
US8606234B2 (en) Methods and apparatus for provisioning devices with secrets
US8826398B2 (en) Password changing
WO2013184266A2 (en) Enhanced 2chk authentication security with query transactions
US20180130056A1 (en) Method and system for transaction security
KR20100038990A (ko) 네트워크 인증 시스템의 보안 인증 방법 및 그 장치
CN112968892B (zh) 信息的验证方法、装置、计算设备和介质
WO2012004640A1 (en) Transaction authentication
RU2625949C2 (ru) Способ и система, использующие кибер-идентификатор для обеспечения защищенных транзакций
EP3826260A1 (en) Service agent authentication
CN117336092A (zh) 一种客户端登录方法、装置、电子设备和存储介质

Legal Events

Date Code Title Description
PD4A Correction of name of patent owner
MM4A The patent is invalid due to non-payment of fees

Effective date: 20190330