RU2676896C2 - Способ и система аутентификации пользователей для предоставления доступа к сетям передачи данных - Google Patents

Способ и система аутентификации пользователей для предоставления доступа к сетям передачи данных Download PDF

Info

Publication number
RU2676896C2
RU2676896C2 RU2016101134A RU2016101134A RU2676896C2 RU 2676896 C2 RU2676896 C2 RU 2676896C2 RU 2016101134 A RU2016101134 A RU 2016101134A RU 2016101134 A RU2016101134 A RU 2016101134A RU 2676896 C2 RU2676896 C2 RU 2676896C2
Authority
RU
Russia
Prior art keywords
access
user
computer network
specified
database
Prior art date
Application number
RU2016101134A
Other languages
English (en)
Other versions
RU2016101134A3 (ru
RU2016101134A (ru
Inventor
Магнус Скраастад ГУЛБРАНДСЕН
Original Assignee
СГЭкс АС
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by СГЭкс АС filed Critical СГЭкс АС
Publication of RU2016101134A publication Critical patent/RU2016101134A/ru
Publication of RU2016101134A3 publication Critical patent/RU2016101134A3/ru
Application granted granted Critical
Publication of RU2676896C2 publication Critical patent/RU2676896C2/ru

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/95Retrieval from the web
    • G06F16/951Indexing; Web crawling techniques
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/95Retrieval from the web
    • G06F16/955Retrieval from the web using information identifiers, e.g. uniform resource locators [URL]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • G06F21/12Protecting executable software
    • G06F21/121Restricting unauthorised execution of programs
    • G06F21/128Restricting unauthorised execution of programs involving web programs, i.e. using technology especially used in internet, generally interacting with a web browser, e.g. hypertext markup language [HTML], applets, java
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M15/00Arrangements for metering, time-control or time indication ; Metering, charging or billing arrangements for voice wireline or wireless communications, e.g. VoIP
    • H04M15/82Criteria or parameters used for performing billing operations
    • H04M15/8214Data or packet based
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/082Access security using revocation of authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/40Security arrangements using identity modules
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/71Hardware identity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/72Subscriber identity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/24Accounting or billing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/60Subscription-based services using application servers or record carriers, e.g. SIM application toolkits
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/14Charging, metering or billing arrangements for data wireline or wireless communications
    • H04L12/1403Architecture for metering, charging or billing
    • H04L12/1407Policy-and-charging control [PCC] architecture
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/14Charging, metering or billing arrangements for data wireline or wireless communications
    • H04L12/1453Methods or systems for payment or settlement of the charges for data transmission involving significant interaction with the data transmission network
    • H04L12/1467Methods or systems for payment or settlement of the charges for data transmission involving significant interaction with the data transmission network involving prepayment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/60Digital content management, e.g. content distribution
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/102Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying security measure for e-commerce
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Databases & Information Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Power Engineering (AREA)
  • Accounting & Taxation (AREA)
  • Business, Economics & Management (AREA)
  • Multimedia (AREA)
  • Technology Law (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Storage Device Security (AREA)
  • Telephonic Communication Services (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

Изобретение относится к доступу к данным, а именно к аутентификации пользователя. Технический результат – повышение эффективности аутентификации пользователей. Способ аутентификации пользователей и/или устройств, баз данных, серверов или другого оборудования, запрашивающих доступ к данным или услугам с ограниченным доступом из базы данных доступа в вычислительной сети, включает этапы: присвоение глобально уникальных связующих адресов всем устройствам в указанной вычислительной сети, причем каждое из устройств уникально привязано к конкретному пользователю, использование по меньшей мере присвоенного уникального связующего адреса, привязанного к пользователю устройства для идентификации пользователя, использование функции регистрации для аутентификации указанного идентифицированного пользователя в первой базе данных доступа в вычислительной сети и генерирование уникального ключа пользователя для доступа к вычислительной сети, предоставление доступа к данным или услугам с ограниченным доступом на запрос пользователя во второй базе данных доступа в вычислительной сети, если присвоенный уникальный связующий адрес или ключ пользователя распознается второй базой данных доступа и указанный пользователь аутентифицирован в первой базе данных доступа, и отклонение доступа пользователя к множеству баз данных доступа и/или к указанной вычислительной сети, если уникальный ключ нарушен или при выходе пользователя из системы для указанного ключа на указанном устройстве. 2 н. и 8 з.п. ф-лы, 9 ил.

Description

Область техники
Настоящее изобретение относится в целом к доступу к данным, осуществляемому пользователем с вычислительного устройства, аутентификации пользователя и выставлению счетов пользователю за предоставленный доступ к данным. Данные в этом контексте включают не общедоступные данные, а только данные, доступ к которым связан с определенными ограничениями. Более точно, настоящее изобретение относится способу и системе аутентификации пользователя. Изобретение также относится способу поддержания связи между базовой сетью и рядом внешних устройств и баз данных с ограниченным доступом. Изобретение дополнительно относится к платформе для установления и обеспечения прав и цен, а также для сообщения о них необходимым частям базовой сети.
Уровень техники
Широкий доступ к глобальным вычислительным сетям, который имеют индивидуальные пользователи, породил ряд сложностей, связанных с аутентификацией и авторизацией индивидуальных пользователей. Существует несколько, связанных с как обеспечением безопасности, так и практических сложностей аутентификации пользователей, которые должны аутентифицировать себя. Существование нескольких различных способов аутентификации порождает практические сложности для пользователей, а также технических сложностей в процессе связи между различными областями, клиентами и т.д. с ограниченным доступом. Существует потребность в универсальной системе идентификации и аутентификации.
Существуют разнообразные принципы аутентификации, тремя наиболее распространенными из которых являются однофакторная, двухфакторная и трехфакторная аутентификация. В случае однофакторной аутентификации пользователь аутентифицирует себя с использованием только одного "мандата", такого как мобильный телефон с SIM-картой, например, когда SIM-карта или мобильный телефон передает уникальный аппаратный код, соответствующий конкретному пользователю. Аутентификация этого типа неприемлема в случаях, в которых требуется высокая надежность, таких как транзакции или загрузка объекта с защищенными правами доступа, поскольку важно, чтобы пользователь, который аутентифицирует себя, являлся действительным зарегистрированным владельцем SIM-карты или мобильного телефона. С целью повышения надежности аутентификации обычно вводится дополнительный элемент, используемый при аутентификации, в результате чего используются два фактора. Обычно вторым элементом является что-либо, что помнит пользователь, т.е. используется фактор, отображающий что-либо, чем владеет пользователь, и фактор, отображающий что-либо, что помнит пользователь. Фактором, связанным с тем, что помнит пользователь, может являться ПИН-код, а в случае ручной аутентификации до телефону - это обычно ответ на известный вопрос.
Сложностью с факторами, используемыми для аутентификации, является их изменчивость; как фактор "владения", так и "запоминаемый" фактор могут изменяться, а запоминаемый фактор также может быть забыт.К сожалению, не существует системы, позволяющей осуществлять универсальную самоидентификацию независимо от технических средств идентификации.
В основу настоящего изобретения положена задача создания системы и способа, в который упомянутые недостатки преодолены с использованием изменчивых факторов для аутентификации пользователей услуг, подлежащих защите.
Сущность изобретения
Решение задачи настоящего изобретения достигается за счет способов и систем, охарактеризованных в прилагаемой формуле изобретения.
В изобретении используется связующий адрес, необходимый для поддержания связи в вычислительной сети в качестве необязательного идентификатора вместе с методом аутентификации любого типа (однофакторной, двухфакторной или трехфакторной), который удостоверяет, что пользователем действительно является надлежащий пользователь. Если требуются несколько факторов, в качестве дополнительного фактора может использоваться, например, аппаратный код/идентификатор устройства доступа. Это подтверждается посредством функции регистрации, которая создает для пользователя/передает пользователю ключ и предоставляет пользователю статус аутентифицированного в регистрационной базе данных, сконфигурированной на поддержание связи. Эта регистрационная база данных может обмениваться ключом с пользователем и/или различными базами данных запросов доступа и/или обработчиками запросов доступа реальной сети.
Изобретение позволяет пользователям использовать связующий адрес (IP) для самоидентификации с обеспечением глобальной универсальной системы идентификации/аутентификации по принципу единственной подписи, которая может использоваться для осуществления любого доступа, платежа и т.п.
Использование IP-адресов гарантирует, что заданный связующий адрес используется надлежащим пользователем. Пользователь не должен иметь возможности доступа к базовой сети и получения посредством этой сети доступа к данным с ограниченным доступом без прохождения надежной авторизации с использованием уникального идентификатора пользователя, такого как, например, присвоенный IP-адрес. В одном из вариантов осуществления изобретения базовая сеть может отклонить запрос со стороны пользователя, если не была осуществлена аутентификация с использованием упомянутого уникального идентификатора. Этим способом личность пользователя может быть непосредственно связана с правами пользователя, и предотвращается получение пользователей доступа к данным с ограниченным доступом, если он не аутентифицировал себя.
За счет применения изобретения пользователь не может осуществлять связь с IP-адреса оператора, в отношении которого не действуют такие же ограничения, как в отношении оператора, предоставившего доступ пользователю. За счет предотвращения доступа пользователя посредством сети, изобретение делает невозможной попытку сохранения анонимности/отказа от идентификации (например, с использованием адреса-посредника, скрытого IP-адреса, другого IP-адреса) с целью доступа, например, к запрещенному контенту или обхода ограничений в базовой сети. Изобретение предотвращает доступ для пользователей к глобальным сетям с использованием инфраструктур других операторов помимо оператора, предоставившего доступ.
Согласно одной из особенностей изобретения предложен способ аутентификации пользователя, запрашивающего доступ к услугам вычислительной сети, включающий использование уникального связующего адреса для аутентификации и идентификации. Способ также может включать присвоение глобально уникальных связующих адресов пользователям и устройствам. Способ может включать использование функции регистрации посредством оборудования или устройства, к которому посредством аппаратного идентификатора, такого как MAC, IMEI IMSI и т.п., может быть привязан уникальный связующий адрес, такой как адрес согласно протоколу IPv6, и которое сконфигурировано на передачу и прием информации по сети. Способ согласно изобретению может включать использование аппаратного идентификатора, т.е. идентификатора, которым является по меньшей мере одно из следующего: связующий адрес, MAC, IMEI, коде, банковский идентификатор или другое средство идентификации, которое может использоваться для аутентификации пользователя.
В случае утери одного из идентификаторов или выхода пользователя из системы способ может дополнительно включать передачу сигнала базе данных, в которой ведется учет пользователей и их авторизация, и которая сконфигурирована на обеспечение доступа рассматриваемого пользователя к вычислительной сети и удаление такого пользователя из вычислительной сети при отсутствии идентификатора. В соответствии со способом база данных может быть сконфигурирована на регистрацию того, что пользователь больше не владеет всеми идентификаторами, а также на сообщение информации об этом при последующем запросе от базы данных запросов доступа или других внешних устройств на основании запроса пользователя на доступ к ним. В одном из вариантов осуществления изобретения база данных может входить в состав абонентской системы, администрирующей абонентов в телефонной компании.
В изобретении также предложена система аутентификации пользователя, который запрашивает доступ к услугам вычислительной сети, путем использования уникальных связующих адресов для аутентификации и идентификации. В этой системе может быть предусмотрено присвоение глобально уникальных связующих адресов пользователям и устройствам.
В систему может дополнительно входить система регистрации и абонентская система, способная поддерживать связь по меньшей мере с одним из следующего: (а) различными базами данных запросов доступа, (б) обработчиком запросов доступа, (в) ключом пользователя, (г) любыми другими электронными запросами, такими как аутентификация покупки, подписи, сверки, другими внешними устройствами и т.д.
Согласно одной из дополнительных особенностей изобретения предложен способ поддержания связи между базовой сетью и рядом внешних устройств, а также базами данных запросов доступа (ADB), защищающими данные, услуги, информацию, системы, прикладные программы и т.д. с ограниченным доступом, включающий сообщение идентификаторов пользователей, которые имеют доступ, и того, какой доступ они имеют, и определение и сообщение базовой сетью по запросу (абонентской системы/системы выставления счетов) того, произвел ли оплату пользователь/разрешен ли пользователю кредит на предполагаемое использование. Способ может дополнительно включать регистрацию трафика в базовой сети и/или ADB, которая информирует базовую сеть.
Согласно одной из дополнительных особенностей изобретения предложена система поддержания связи между базовой сетью и рядом внешних устройств, а также базами данных запросов доступа (ADB), защищающими данные, услуги, информацию, системы, прикладные программы и т.д. с ограниченным доступом, в которую входит средство сообщения идентификаторов пользователей, которые имеют доступ, и того, какой доступ они имеют, и блок определения и сообщения базовой сетью по запросу (абонентской системы/системы выставления счетов) того, произвел ли оплату пользователь/разрешен ли пользователю кредит на предполагаемое использование. В систему может входить блок регистрации трафика в базовой сети и/или ADB, которая информирует базовую сеть.
Согласно еще одной из дополнительных особенностей изобретения предложен способ поддержания связи между базовой сетью и цифровой платформой, которая предоставляет информацию о контенте, формах платежа, условиях использования, цене распределении цен/доходов среди соответствующих объектов и функциях базовой сети (абонирования, выставления счетов, блокировки, других внешних контактов, платежа другим сторонам).
Согласно еще одной из дополнительных особенностей изобретения предложена система поддержания связи между базовой сетью и цифровой платформой, которая предоставляет информацию о контенте, формах платежа, условиях использования, цене, распределении цен/доходов среди соответствующих объектов и функциях базовой сети (абонирования, выставления счетов, блокировки, других внешних контактов, платежа другим сторонам).
Дополнительные признаки и преимущества настоящего изобретения станут ясны из зависимых пунктов формулы изобретения.
Краткое описание чертежей
Далее приведено краткое описание чертежей для облегчения понимание изобретения. Настоящее изобретение подробно описано далее со ссылкой на чертежи, на которых:
на фиг. 1 показан заголовок пакета IPv6,
на фиг. 2 показана сеть, в которую входят базы данных, содержащие контент, для доступа к которому требуется аутентификация,
на фиг. 3 показана блок-схема процедуры предъявления пароля/регистрации при аутентификации согласно одному из вариантов осуществления настоящего изобретения,
на фиг. 4 показана блок-схема процедуры предъявления пароля/регистрации при аутентификации согласно одной из разновидностей варианта осуществления, проиллюстрированного на фиг. 3,
на фиг. 5 показана блок-схема способа аутентификации,
на фиг. 6 показана блок-схема способа аутентификации, альтернативного способу, проиллюстрированному на фиг. 5,
на фиг. 7 проиллюстрирован пример поддержания связи между базовой сетью и рядом внешних устройств и баз данных запросов доступа, защищающих данные с ограниченным доступом,
на фиг. 8 проиллюстрирован пример сообщения, альтернативный примеру, проиллюстрированному на фиг. 7, и
на фиг. 9 проиллюстрирован пример платформы для взаимодействия между базовой сетью и системами выставления счетов.
Подробное описание изобретения
Далее сначала описаны общие варианты осуществления настоящего изобретения, а затем конкретные примеры осуществления. Там, где возможно, приведены ссылки на прилагаемые чертежи по возможности с использованием ссылочных позиций, указанных на чертежах. Тем не менее, следует отметить, что на чертежах представлены лишь примеры осуществления, и в объем описанного изобретения могут входить другие подробности и варианты осуществления.
Термином "данные с ограниченным доступом" обозначается любой объект, системы, услуги, прикладные программы, программы, видео, аудио и т.п., охраняемое законами об авторском праве и другими законами, данные, охраняемые основанными на частном праве соглашениями, такими как лицензионные соглашения, соглашения о распространении, агентские соглашения и т.п., а также данные, в отношении которых владелец решает применить ограничения доступа независимо от прав и правовой основы. Поскольку изобретение относится к управлению доступом к данным с ограниченным доступом посредством вычислительных сетей, термин "данные с ограниченным доступом" не включает материальные объекты. Тем менее, он включает любую интерпретацию или представление в цифровой форме охраняемого авторским правом материального объекта. Такой материальный объект может представлять собой без ограничения фотографии, живопись, а также скульптуры и другие трехмерные объекты, интерпретация которых в цифровой форме может использоваться, например, для производства и эксплуатации трехмерного объекта.
Термином "телефонная компания" в контексте изобретения обозначается любой поставщик услуг доступа к сети, имеющий право выступать в качестве посредника трафика данных, которыми обменивается пользователь, и одновременно способный прямо или опосредованно передавать данные с ограниченным доступом одному или нескольким пользователям.
Термином "правообладатель" обозначается одно или несколько лиц, на законном основаниях владеющих правом на данные и услуги с ограниченным доступом.. В случаях, когда телефонная компания предлагает собственные данные и услуги с ограниченным доступом, правообладателем также может являться телефонная компания. Это могут быть, например, компьютерные программные платформы или прикладные программы, при этом термин "компьютеры" следует интерпретировать согласно данному в описании определению.
Термином "поставщик прав" обозначается одно или несколько лиц, которые могут на законных основаниях действовать в качестве посредника данных с ограниченным доступом. Поставщиком прав может являться телефонная компания.
Термином "компьютер" обозначается любое устройство, которое способно подсоединяться к вычислительной сети и одновременно может быть идентифицировано уникальным идентификатором. Уникальным идентификатором устройства может служить аппаратный идентификатор, такой как, например, МАС-адрес, IMSI или IMEI. В одном из вариантов осуществления изобретения компьютер непосредственно привязан к идентификатору пользователя, который является уникальным и присвоен телефонной компанией или органом сертификации.
Термином "базовая сеть 1" обозначается сеть телефонной компании или поставщика услуг, которая служит носителем трафика данных для пользователей вне зоны обслуживания самого оператора; в некоторых случаях она также называется магистральной сетью.
Термином "IP" обозначается Интернет-протокол, которым является межсетевой протокол на сетевом уровне. Существует несколько межсетевых протоколов на сетевом уровне, наиболее распространенным из которых является IPv4. Протокол IPv4 используется в течение долгого времени, и одним из основных его недостатков является ограниченное число доступных адресов. С резким ростом числа устройств, которым требуются отдельные IP-адреса, в протоколе IPv4 исчерпываются адреса в некоторых диапазонах. Другим недостатком, который также может объясняться тем фактом, что протокол IPv4 вскоре станет устаревшим, является то, что этот протокол не рассчитан на рост потребности в аутентификации, целостности и защите данных, который вызван в основном огромным числом транзакций, доступных в настоящее время в сети, включая как денежные операции, так и не в последнюю очередь транзакции в отношении объектов с охраняемыми правами, таких как игры, музыка, фильмы и книги. С целью преодоления недостатков протокола IPv4 уже в 1994 г. было предложено перейти на протокол с более широким диапазоном адресов и большей гибкостью в целом, и этот протокол был назван IPv6. Протокол IPv6 имеет 128 битов адресного пространства, тогда как протокол IPv4 только 32 бита.
Во многих контекстах адреса IPv6 поделены на две части: 64-битный сетевой префикс и 64-битную часть, определяющую адрес хоста. Последняя часть, являющаяся идентификатором интерфейса, часто автоматически генерируется на основании МАС-адреса сетевого адаптера. МАС-адрес содержит 48 битов, а преобразование из 48 битов в 64 бита для использования в качестве идентификатора интерфейса описано в разделе 2.5.1 RFC 4291. Адреса IPv6 обычно являются шестнадцатеричными и состоят из восьми групп по четыре шестнадцатеричных цифры, разделенных двоеточием.
Пакет IPv6 состоит из двух частей: заголовка, проиллюстрированного на фиг. 1, и полезной нагрузки. Заголовок содержит 40 первых символов пакета и имеет различные поля. В контексте настоящего изобретения интерес в заголовке в основном представляет поле адреса источника, в котором содержатся адреса источников.
Поскольку, как и протокол IPv4, протокол IPv6 поддерживает глобально уникальные IP-адреса, могут отслеживаться (по меньшей мере, теоретически) действия любого устройства в сети.
Назначением протокола IPv6 является присвоение уникальных адресов каждому устройству, существующему в сети. Следовательно, каждое устройство в сети Интернет будет иметь глобально уникальный адрес, непосредственно адресуемый с любого другого адреса в сети Интернет. Из-за необходимости экономии адресов протокола IPv4 был внедрен протокол трансляции сетевых адресов (NAT) для маскировки устройств, имеющих IP-адреса, находящиеся за сетевым интерфейсом, чтобы такие устройства непосредственно не распознавались извне сетевого интерфейса. В протоколе IPv6 не требуется использовать NAT или самоконфигурирование адресов, хотя возможно самоконфигурирование на основании МАС-адреса. Даже когда адрес не. основан на МАС-адресе, адрес интерфейса будет являться глобально уникальным в отличие от сетей с использованием замаскированного NAT протокола IPv4. Несмотря на возможную критику протокола IPv6 из-за компрометации "секретности", его характеристики, включающие большое адресное пространство и уникальную отслеживаемость, делают его интересным кандидатом для аутентификации.
Задачей настоящего изобретения является создание систем и способов аутентификации, в которых определенный фактор основан на связующем адресе (таком как IPv6). Как указано выше, в качестве одного из факторов, который генерирует код аутентификации, обычно используется МАС-адрес, IMSI или IMEI. Однако, как также указано выше, этому подходу присущи несколько недостатков. Например, аппаратное устройство (фактор владения) может использоваться несколькими пользователями. Если пользователю присвоен глобально уникальный адрес, который является неизменным аналогично номеру карточки социального страхования/телефонному номеру, такой адрес может использоваться в качестве фактора в алгоритме однофакторной, двухфакторной или трехфакторной аутентификации. Таким уникальным адресом может являться адрес IPv6.
Адреса IPv6 могут присваиваться поставщиками интернет-услуг, операторами или сертифицированными органами, уполномоченными выдавать сертификаты, как в существующих системах, в которых отдельные агенты, такие как Symantec, в числе прочих могут подтверждать подлинность и выдавать PKI в качестве центра сертификации (СА). Предполагается, что присвоение адреса IPv6 осуществляется безопасным образом.
Согласно одной из особенностей изобретения после получения персонального и глобально уникального адреса IPv6 пользователь имеет возможность пройти аутентификацию с использованием этого уникального адреса IPv6 в системе однофакторной аутентификации.
Согласно другой особенности изобретения уникальный адрес IPv6 может являться одним из факторов двухфакторной аутентификации, при этом другим фактором может являться МАС-адрес, IMSI или IMEI. Согласно одной из особенностей изобретения аппаратный код и адрес IPv6 могут вводиться в алгоритм, который генерирует уникальный код аутентификации.
Аналогичным образом, согласно третьей особенности изобретения могут использоваться три фактора.
Если пользователь должен осуществить транзакцию или совершить другие действия, для которых требуется удостоверить личность пользователя, необходима аутентификация.
Предупреждение и автоматическая блокировка ID+IP=проверенного/разрешенного/идентифицированного IP, заданного посредством функции регистрации, в случае утери идентификатора/'разрушения" ключа. Отмена/блокировка доступа к сети и/или защищенному ресурсу (при отсутствии постоянной идентификации происходит отсоединение).
В одном из вариантов осуществления (фиг. 4) в изобретении предусмотрена функция предъявления пароля/регистрации для доступа к сети Интернет/другой сети.
Функция предъявления пароля при использовании двухфакторной аутентификации поддерживает связь с базой данных (DB1), в которой ведется учет связующих адресов и идентификаторов за различными связующими адресами, а также того, как могут быть аутентифицированы идентификаторы. Может использоваться электронное устройство, содержащее приемопередатчик со связным интерфейсом, позволяющим ему иметь связующий адрес, с помощью которого оно может поддерживать связь по сети (IMEI, IMSI, MAC).
Связующий адрес может быть указан в различных базах данных запросов доступа (DBx), подсоединенных к вычислительной сети и защищающих URL, ссылку или конкретный объем данных, услугу или другой объект с ограниченным доступом. Решение о доступе к DBx принимается в зависимости от того, содержится ли связующий адрес в базе данных запросов доступа, и при поступлении в DB1 запроса о том, установлено ли, что адрес разрешен/авторизован правильным пользователем, и, если это так, предоставляется доступ к DBx. В противном случае передается сообщение об ошибке, и доступ отклоняется. Если пользователь выходит из системы, или "ключ" нарушен, об этом может сообщаться DB1, которая передает соответствующим базам данных запросов доступа (DBx) и другим внешним устройствам сообщение о том, что пользователь больше не должен иметь доступа, и передается сообщение об ошибке. В этом случае может проводиться различие между намеренным выходом из системы и срывом вследствие нарушения ключа, за счет чего может уменьшаться величина трафика данных, поскольку о намеренном выходе из системы необязательно сообщать DB1, так как впоследствии снова войти в систему в любом в случае может только правильный пользователь. В случае нарушения ключа DB1 всегда передается сообщение об этом. DB1 регистрирует его и может передать DBx и другим внешним устройствам сообщение о том, что пользователь не идентифицирован. В этом случае будут отклоняться любые последующие попытки доступа со стороны пользователя/связующего адреса, и ADB передается сообщение об ошибке (фиг. 4).
Об ограничении доступа может сообщаться непосредственно обработчику запросов доступа, который предоставляет пользователю доступ и одновременно разблокирует/аутентифицирует пользователя в DB1. Разблокировка происходит при предоставлении правильного идентификатора и правильного IP вместе с MAC, IMEI и т.п. На стороне пользователя создается ключ. Этот ключ уведомляет DB1 о том, нарушен ли он путем изменения/сокрытия/придания анонимности IP или в результате выхода пользователя из системы. DB1 уведомляет обработчика запросов доступа, который доставляет сообщение об ошибке пользователю.
Пример реализации первой особенности изобретения
Далее описан пример использования аутентификации в процессе связи между базовой сетью и рядом внешних устройств и баз данных с ограниченным доступом. Процесс аутентификации включает пять стадий.
1. Абонент телефонной компании имеет уникальный связующий адрес и использует функцию регистрации, чтобы ввести связующий адрес, и средство аутентификации, которое доказывает, что он в действительности является надлежащим пользователем связующего адреса. Также предусмотрен код, которым снабжаются вычислительные устройства (компьютер, планшет и мобильный телефон) пользователя. После того, как все подтверждено, в абонентской системе оператора регистрируется, что пользователь идентифицирован, и ему присваивается ключ.
Пользователь пытается получить доступ к базе данных, в которой содержится услуга или контент. Если брандмауэр не распознает связующий адрес, доступ не разрешается. Если брандмауэр распознает связующий адрес, доступ разрешается.
2. Если абонентская система (DB1) зарегистрировала выход из системы/нарушение ключа, она может уведомить ADB и внешние устройства.
3. Если пользователь, который зарегистрировался и был идентифицирован, выходит из системы или изменяет IP посредством сервера-посредника, скрывает IP посредством другого программного обеспечения, использует множество IP и т.п., от ключа абонентской функции поступает сообщение, в котором зарегистрировано нарушение ключа.
4. Если пользователь, действует таким образом, что это приводит к нарушению ключа или выходу из системы, эта информация может сообщаться базам данных запросов доступа. Затем пользователю больше не будет разрешен доступ к соответствующим базам данных.
5. Информация о выходе из системы/нарушении ключа может сообщаться непосредственно функции доступа, связанной с базовой сетью, в результате чего может прекращаться доступ соответствующего пользователя.
6. Сервер/база данных, отвечающая за обработку покупки, функция подписи, финансовая функция и т.п.могут принимать сообщение о том, что пользователь не идентифицирован.
Пример реализации второй особенности
Изобретение также относится к платформе для установления и обеспечения прав и цен, а также для сообщения о них необходимым частям базовой сети, которая описана в этом примере со ссылкой фиг. 5.
Поддержание связи между базой данных запросов доступа/брандмауэром (ADB), защищающим контент/услугу/данные и подсоединенным к вычислительной сети, и базовой сетью (CN), в которую входит клиентская и абонентская система (CSS) и система выставления счетов (BS)
Базовая сеть предоставляет информацию о том, каким клиентам следует разрешить доступ и какой доступ следует разрешить. Когда уникальный пользователь запрашивает соответствующий доступ, запрашивается ADB, чтобы определить, следует ли предоставить доступ (предполагается, что указанное использование оплачено клиентом/клиенту разрешен кредит). ADB также запрашивает базовую сеть, чтобы проверить, произведена ли оплата клиентом или ему разрешен кредит. Если доступ предоставлен, такой доступ может осуществляться в согласованных пределах использования. ADB регистрирует трафик и может отчитываться перед базовой сетью.
1. CCS регистрирует в каталоге для каждого пользователя, кем являются клиенты и что они выбирают для получения доступа. Клиентам предоставляется доступ к соответствующим ADB, если указан их уникальный идентификатор в каталоге.
2. BS выставляет счета клиентам в соответствии с тем, какая сумма причитается за указанный доступ. BS принимает информацию о ценах, а также о предполагаемом и/или зарегистрированном трафике. CN поддерживает связь с рядом ADB и внешних устройств.
3. Внутри базовой сети поддерживают связь и согласованно действуют система выставления счетов и клиентская система. Информация о зарегистрированном трафике клиента может извлекаться из различных ADB.
4. При попытке доступа ADB определяет, следует ли разрешить доступ клиенту и, возможно, какой доступ (функция отображения); проверяет в базовой сети, BS, CCS, была ли произведена оплата.
5. Доступ предоставляется, если клиент и соответствующий доступ указаны в ADB, если только в ADB не зарегистрирована поступившая от CN информация о том, что пользователь не произвел оплату или ему не разрешен кредит.
6. ADB регистрирует трафик и затем может отчитываться перед CN. CN может регистрировать использование.
Клиент указывает CN выбранный контент и услуги, а также объем их использования, CN предоставляет эту информацию BS/CN вносит пользователя в различные ADB вместе с объемом использования (функция отображения)/CN передает уведомление, и клиент блокируется в ADB, если он не произвел оплату или ему не разрешен кредит (покупка за наличные, например, может быть все же авторизована (разблокирована/заблокирована в ADB при различных действиях)) или, в качестве альтернативы, ADB запрашивает CN, произвел ли оплату клиент или разрешен ли ему кредит, например, на отдельные покупки вне функции отображения (разблокированной/заблокированной в ADB при различных действиях).
Запрос доступа со стороны пользователя
Существует ли пользователь в ADB? (Входит ли услуга в число услуг, абонированных пользователем? Это также может быть проверено в CCS.)
Тип использования? Например, остаются ли еще данные для загрузки? (функция отображения и регистрации). Если только ADB не была уведомлена CN, предполагается, что клиент произвел оплату или ему разрешен кредит (или он может произвести оплату наличными) (разблокировано/заблокировано в CN)
Получена ли оплата? Разрешен ли кредит? Или произведена ли оплата наличными? (разблокировано/заблокировано в CN)
Отчет перед CN в случае дальнейших действий, за которые должен быть выставлен счет.
ADB регистрирует и предоставляет информацию CN.
Базовая сеть с использованием информации о пользователе и согласованном использовании (абонировании, заданной функции отображения) создает профиль пользователя на основании такой информации в ADB и поддерживает связь с ADB по поводу различных услуг, чтобы в любой заданный момент принять решение о доступе и выставить правильный счет на основании фактического использования (регистрации с задержкой, если был разрешен кредит)
Выбор доступа клиентами
Идентификаторы клиентов регистрируются в соответствующих местоположениях доступа (ADB). Клиенту выставляется соответствующий счет. При запросе доступа проверяется, зарегистрирован ли клиент, и была ли произведена оплата/разрешен кредит. В случае предоставления доступа согласно требованиям регистрируется его использование клиентом. Эта информация может пересылаться CN.
В изобретении согласно этому примеру решены следующие задачи:
передачи различным ADB сообщений о том, кто к чему имеет доступ;
обеспечения простого решения оплаты, которое не зависит от платформы и может использоваться в сети;
предотвращения избыточной передачи сигналов вследствие осуществляемой в реальном времени проверки того, произвел ли клиент оплату. Может считаться, что пользователь произвел оплату, если от CN не получено уведомление об обратном;
обнаружения по запросу пользователя того, произведена ли оплата индивидуальными пользователями/будет ли разрешен кредит/должна ли быть произведена оплата наличными и за какое использование;
сообщения о регистрации пользователей в базовой сети или ADB (ADB способна легче интерпретировать использование) объекту, который выставляет счет уникальному клиенту/пользователю.
Пример практической реализации одной из особенностей второго примера осуществления изобретения
Уникальный пользователь посредством абонентской системы выбирает доступ к различным услугам предоставления данных и контента.
Базовая сеть, в которую входит абонентская система, уведомляет различные ADB и внешние устройства о том, что пользователю разрешен доступ и том, какие виды доступа должны быть отображены для клиента.
Затем пользователь пытается получить доступ к услугам предоставления контента, которые он запросил. Они находятся за брандмауэром ADB.
Если запрошенный объект находится в предполагаемом использовании, доступ предоставляется, в противном случае доступ не предоставляется. Это также может быть связано с правом на покупку за наличные или разрешением на кредит. ADB может запросить базовую сеть (систему выставления счетов) о том, произвел ли клиент оплату/разрешен ли клиенту кредит, и доступ предоставляется в соответствии с предполагаемым использованием. Использование регистрируется в ADB, и о нем может поддерживать связь базовой сети. Базовая сеть также может регистрировать использование.
В изобретении согласно второй особенности предусмотрено:
поддержание связи между базовой сетью и рядом внешних устройств и баз данных запросов доступа, защищающих данные, услуги, информацию, системы, прикладные программы и т.д. с ограниченным доступом. Также может быть защищена функция заказа на покупку за наличные;
принятие решения о том, какой доступ следует разрешить, и произвел ли пользователь оплату/будет ли ему разрешен кредит на предполагаемое использование. CN (абонентская функция, функция выставления счетов) уведомляет ADB/внешние устройства, если пользователь не произвел пользователь оплату и ему не будет разрешен кредит. Это может регистрироваться в ADB с целью предотвращения последующих запросов доступа от соответствующего пользователя;
регистрация трафика в базовой сети и/или ADB, которая сообщает об этом базовой сети.
Пример реализации третьей особенности изобретения
Далее со ссылкой на фиг. 6 описан пример осуществления третьей особенности изобретения.
Изобретение относится к платформе для установления и обеспечения прав и критериев доступа, таких как, например, цены, а также для сообщения о них необходимым частям базовой сети, включая комментарии к выставлению счетов (Какова цена; что охраняется правами и блокируется; каково процентное распределение доходов), абонирование, блокировку, регистрацию, внешние контакты.
Электронная платформа площадка с функцией регистрации
Платформа позволяет определять условия, касающиеся прав на цифровой контент/услуги и данные, доступ к которым ограничен правообладателем. Такими условиями могут являться, например, цена, страна и географическое положение, оператор, конкретное распределение платежей пользователей и т.д. Они могут приниматься другой стороной, при этом установленная цена, а также распределение доходов от контента/услуг определяют, как CN следует выставлять счета клиентам, блокировать доступ пользователей к запрещенным аналогичным данным и распределять доходы. Платформа/база данных поддерживает связь с базовой сетью и может предоставлять информацию, необходимую для CN. В системе выставления счетов и клиентской системе определены цены на услуги/контент, правила оплаты и применимый принцип распределения, а также функциональные возможности блокировки запрещенных объектов. Оплата распределяется согласно процентному распределению, указанному для соответствующих услуг/контента.
Регистрация, условия, подтверждение со стороны контрагента, установленная цена, процентное распределение цены/доходов, функции блокировки запрещенных данных
Информация передается абонентской функции, системе выставления счетов, функции блокировки и функции управления денежными потоками.
В изобретении предложена платформа для инициирования, администрирования и реализации соглашений по цифровым авторским правам, которая сообщает базовой сети информацию, необходимую для обеспечения требуемых функциональных возможностей. Это не известно из уровня техники.
Практический пример реализации третьей особенности изобретения
Цифровая платформа
Сторона соглашения регистрируется и принимает условия. При поступлении подтверждения от "контрагента" базовой сети передается информация о том, какой контент/услуги могут быть выбраны пользователем, о применимой стране или регионе, о цене и тем самым о счете, выставляемом пользователю, о том, как распределяется оплата, о сходном запрещенном контенте, который следует заблокировать.
Оператор и правообладатель заключают соглашение, которое дублируется в платформе. Правообладатель на основании регистрируемого им трафика клиентов оператора взимает соответствующую плату с оператора в соответствии с соглашением. Затем оператор удостоверяется в том, что он получил оплату от конечного потребителя, чтобы обеспечить причитающуюся с него оплату правообладателю.
Следовательно, в изобретение согласно третьей особенности обеспечено поддержание связи между базовой сетью и цифровой платформой с целью предоставления информации о контенте, цене, распределении цены среди соответствующих лиц и функциях базовой сети (абонировании, выставлении счетов, блокировке, оплате)
На фиг. 6 показана платформа, содержащая соглашения с различными условиями распределения и использования конечным потребителем, например, что касается цены для конечного потребителя и распределения доходов между правообладателем и дистрибьютором, взаимодействия платформы с базовой сетью и взаимодействий между базовой сетью и системами выставления счетов, платежными системами и разрешенными версиями. Предотвращается доступ к запрещенным копиям защищенных данных.
Список определений
Figure 00000001
Figure 00000002
Figure 00000003
Figure 00000004

Claims (21)

1. Способ аутентификации пользователей и/или устройств, баз данных, серверов или другого оборудования, сконфигурированного на поддержание связи по сети, запрашивающих доступ к данным или услугам с ограниченным доступом из базы данных доступа в вычислительной сети, причем вычислительная сеть включает по меньшей мере одну базовую сеть, связанную с поставщиком услуг доступа, и множество баз данных доступа, подсоединенных к указанной по меньшей мере одной базовой сети, включающий стадии:
присвоение глобально уникальных связующих адресов всем устройствам в указанной вычислительной сети, причем каждое из устройств уникально привязано к конкретному пользователю,
использование по меньшей мере присвоенного уникального связующего адреса, привязанного к пользователю устройства для идентификации пользователя;
использование функции регистрации посредством указанного устройства указанного пользователя для аутентификации указанного идентифицированного пользователя в первой базе данных доступа (DB1) в вычислительной сети и генерирование уникального ключа пользователя для доступа к вычислительной сети с использованием указанного присвоенного уникального связующего адреса;
предоставление доступа к данным или услугам с ограниченным доступом на запрос пользователя во второй базе данных доступа (DBx) в вычислительной сети, если присвоенный уникальный связующий адрес или ключ пользователя распознается второй базой данных доступа (DBx) и указанный пользователь аутентифицирован в первой базе данных доступа (DB1); и
отклонение доступа пользователя к множеству баз данных доступа и/или к указанной вычислительной сети, если уникальный ключ нарушен или при выходе пользователя из системы для указанного ключа на указанном устройстве.
2. Способ по п. 1, в котором указанным устройствам присвоен уникальный связующий адрес при помощи аппаратного идентификатора, который позволяет устройству отправлять и получать информацию по сети, причем аппаратным идентификатором может являться одно из следующего: МАС-адрес, IMEI или IMSI.
3. Способ по п.1 или 2, включающий дополнительную идентификацию пользователя при помощи идентификатора, включающего по меньшей мере одно из следующего: МАС-адрес, IMEI, IMSI, код, банковский идентификатор.
4. Способ по п. 3, в котором при отсутствии одного из идентификаторов, идентифицирующих пользователя, или при выходе пользователя из системы под ключом на указанном устройстве способ дополнительно включает:
передачу от пользователя сообщения первой базе данных доступа (DB1), сконфигурированной на предоставление доступа на запрос пользователя к вычислительной сети или удаление пользователя из вычислительной сети при отсутствии идентификатора.
5. Способ по п. 4, в котором первая база данных доступа (DB1) сконфигурирована на регистрацию того, что пользователь больше не владеет всеми идентификаторами, и на сообщение информации об этом автоматически для доступа к базам данных (DBx) или при последующих запросах от других баз данных доступа или других внешних устройств в сети на основании запроса доступа к ним со стороны пользователя.
6. Способ по любому из пп. 1-2, 4-5, в котором первая база данных доступа DB1 входит в состав абонентской системы, администрирующей абонентов телефонной компании.
7. Способ по п. 6, дополнительно включающий передачу из базовой сети и первой базы данных доступа (DB1) в базы данных доступа (DBx) идентификации пользователей, имеющих доступ к вычислительной сети и/или к базам данных доступа (DBx), и того, какой доступ они имеют, и определение и сообщение базовой сетью, произвел ли оплату пользователь/разрешен ли пользователю кредит на использование.
8. Способ по п. 7, включающий регистрацию трафика в базовой сети и/или базах данных доступа (DBx), которые информируют базовую сеть.
9. Способ по любому из пп. 1-2, 4-5, 7-8, в которой базовая сеть дополнительно поддерживает связь с цифровой платформой, которая предоставляет информацию о контенте, формах платежа, условиях использования, цене, распределении цены среди соответствующих объектов и функциях базовой сети.
10. Система для аутентификации пользователей и/или устройств, баз данных, серверов, или другого оборудования, сконфигурированного на поддержание связи по сети, запрашивающих доступ к данным или услугам с ограниченным доступом из базы данных доступа в вычислительной сети, причем вычислительная сеть включает по меньшей мере одну базовую сеть, связанную с поставщиком услуг доступа, и множество баз данных доступа, подсоединенных к указанной по меньшей мере одной базовой сети, включающая:
средство для присвоения глобально уникальных связующих адресов всем устройствам в указанной вычислительной сети, причем каждое из устройств уникально привязано к конкретному пользователю,
средство для использования по меньшей мере присвоенного уникального связующего адреса, привязанного к пользователю устройства для идентификации пользователя;
средство для использования функции регистрации посредством указанного устройства указанного пользователя для аутентификации указанного идентифицированного пользователя в первой базе данных доступа (DB1) в вычислительной сети и генерирования уникального ключа пользователя для доступа к вычислительной сети с использованием указанного присвоенного уникального связующего адреса;
средство для предоставления доступа к данным или услугам с ограниченным доступом на запрос пользователя во второй базе данных доступа (DBx) в вычислительной сети, если присвоенный уникальный связующий адрес или ключ пользователя распознается второй базой данных доступа (DBx) и указанный пользователь аутентифицирован в первой базе данных доступа (DB1), и
средство для отклонения доступа пользователя к множеству баз данных доступа и/или к указанной вычислительной сети, если уникальный ключ нарушен или при выходе пользователя из системы для указанного ключа на указанном устройстве.
RU2016101134A 2013-07-05 2014-07-07 Способ и система аутентификации пользователей для предоставления доступа к сетям передачи данных RU2676896C2 (ru)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
NO20130947 2013-07-05
NO20130947 2013-07-05
PCT/NO2014/050123 WO2015002545A1 (en) 2013-07-05 2014-07-07 Method and system related to authentication of users for accessing data networks

Related Child Applications (1)

Application Number Title Priority Date Filing Date
RU2018146361A Division RU2018146361A (ru) 2013-07-05 2014-07-07 Способ и система аутентификации пользователей для предоставления доступа к сетям передачи данных

Publications (3)

Publication Number Publication Date
RU2016101134A RU2016101134A (ru) 2017-08-10
RU2016101134A3 RU2016101134A3 (ru) 2018-06-07
RU2676896C2 true RU2676896C2 (ru) 2019-01-11

Family

ID=52144026

Family Applications (2)

Application Number Title Priority Date Filing Date
RU2016101134A RU2676896C2 (ru) 2013-07-05 2014-07-07 Способ и система аутентификации пользователей для предоставления доступа к сетям передачи данных
RU2018146361A RU2018146361A (ru) 2013-07-05 2014-07-07 Способ и система аутентификации пользователей для предоставления доступа к сетям передачи данных

Family Applications After (1)

Application Number Title Priority Date Filing Date
RU2018146361A RU2018146361A (ru) 2013-07-05 2014-07-07 Способ и система аутентификации пользователей для предоставления доступа к сетям передачи данных

Country Status (11)

Country Link
US (1) US10862890B2 (ru)
EP (1) EP3017390B1 (ru)
KR (1) KR102299865B1 (ru)
CN (1) CN105518689B (ru)
AU (2) AU2014284786A1 (ru)
BR (1) BR112016000122B1 (ru)
CA (1) CA2917453C (ru)
ES (1) ES2875963T3 (ru)
IL (1) IL243458B (ru)
RU (2) RU2676896C2 (ru)
WO (1) WO2015002545A1 (ru)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20230144169A1 (en) * 2006-05-05 2023-05-11 Cfph, Llc Game access device with time varying signal
EP3618478B1 (en) 2015-08-31 2021-08-11 Samsung Electronics Co., Ltd. Method and device for downloading profile in communication system
CN105323253B (zh) * 2015-11-17 2020-02-28 腾讯科技(深圳)有限公司 一种身份验证方法及装置
US10133868B2 (en) * 2016-01-10 2018-11-20 Apple Inc. Switching users and sync bubble for EDU mode
WO2017153990A1 (en) * 2016-03-08 2017-09-14 Protectivx Ltd. System and method for device authentication using hardware and software identifiers
JP7162350B2 (ja) * 2017-03-09 2022-10-28 グルブランドセン,マグヌス,スクラースタッド コアネットワークアクセスプロバイダ
CN108304207A (zh) * 2018-03-01 2018-07-20 上海找钢网信息科技股份有限公司 混合app应用程序的资源更新方法及系统
US11861582B2 (en) 2020-01-02 2024-01-02 Visa International Service Association Security protection of association between a user device and a user
CN114338522B (zh) * 2020-11-27 2024-04-05 成都市伏羲科技有限公司 基于标识管理的IPv6编址与组网方法
US11824937B2 (en) * 2021-04-04 2023-11-21 Rissana, LLC System and method for handling the connection of user accounts to other entities

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070209054A1 (en) * 2005-09-30 2007-09-06 Bellsouth Intellectual Property Corporation Methods, systems, and computer program products for providing communications services
US20080120707A1 (en) * 2006-11-22 2008-05-22 Alexander Ramia Systems and methods for authenticating a device by a centralized data server
RU2332807C2 (ru) * 2002-03-30 2008-08-27 МОМОКЭШ Инк. Способ быстрой регистрации для аутентификации пользователя и осуществления оплаты при использовании двух различных каналов связи, а также предназначенная для этого система
US20100192199A1 (en) * 2006-09-07 2010-07-29 Cwi International, Llc Creating and using a specific user unique id for security login authentication
US20130061332A1 (en) * 2011-09-07 2013-03-07 Elwha LLC, a limited liability company of the State of Delaware Computational systems and methods for verifying personal information during transactions

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
SE0202450D0 (sv) * 2002-08-15 2002-08-15 Ericsson Telefon Ab L M Non-repudiation of digital content
US7124197B2 (en) * 2002-09-11 2006-10-17 Mirage Networks, Inc. Security apparatus and method for local area networks
US7636941B2 (en) * 2004-03-10 2009-12-22 Microsoft Corporation Cross-domain authentication
US10140596B2 (en) * 2004-07-16 2018-11-27 Bryan S. M. Chua Third party authentication of an electronic transaction
US7957726B2 (en) * 2004-11-24 2011-06-07 Research In Motion Limited System and method for porting a personalized indicium assigned to a mobile communications device
US20090030757A1 (en) * 2005-12-19 2009-01-29 Uri Admon Content Distribution for Mobile Phones
US7647041B2 (en) * 2006-03-30 2010-01-12 Sbc Knowledge Ventures, L.P. Systems, methods, and apparatus to enable backup wireless devices
US20090168735A1 (en) * 2006-07-07 2009-07-02 Yasuhiro Mizukoshi Station, setting information managing device, wireless communication system, setting information obtaining method, computer-readable medium
US9692602B2 (en) * 2007-12-18 2017-06-27 The Directv Group, Inc. Method and apparatus for mutually authenticating a user device of a primary service provider
US8508336B2 (en) * 2008-02-14 2013-08-13 Proxense, Llc Proximity-based healthcare management system with automatic access to private information
US7979899B2 (en) * 2008-06-02 2011-07-12 Microsoft Corporation Trusted device-specific authentication
US8023425B2 (en) * 2009-01-28 2011-09-20 Headwater Partners I Verifiable service billing for intermediate networking devices
US8371501B1 (en) * 2008-10-27 2013-02-12 United Services Automobile Association (Usaa) Systems and methods for a wearable user authentication factor
US8893009B2 (en) * 2009-01-28 2014-11-18 Headwater Partners I Llc End user device that secures an association of application to service policy with an application certificate check
US8898759B2 (en) * 2010-08-24 2014-11-25 Verizon Patent And Licensing Inc. Application registration, authorization, and verification
US20120066107A1 (en) * 2010-08-27 2012-03-15 Sven Grajetzki Method and System for Securing Accounts
US8984605B2 (en) * 2011-08-23 2015-03-17 Zixcorp Systems, Inc. Multi-factor authentication
IES86399B2 (en) * 2012-03-15 2014-05-21 Moqom Ltd Mobile phone SIM takeover protection
US9083703B2 (en) * 2012-03-29 2015-07-14 Lockheed Martin Corporation Mobile enterprise smartcard authentication
US20120203594A1 (en) * 2012-04-20 2012-08-09 Groer Sean A Monitoring migration behavior of users of electronic devices and related service providers

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2332807C2 (ru) * 2002-03-30 2008-08-27 МОМОКЭШ Инк. Способ быстрой регистрации для аутентификации пользователя и осуществления оплаты при использовании двух различных каналов связи, а также предназначенная для этого система
US20070209054A1 (en) * 2005-09-30 2007-09-06 Bellsouth Intellectual Property Corporation Methods, systems, and computer program products for providing communications services
US20100192199A1 (en) * 2006-09-07 2010-07-29 Cwi International, Llc Creating and using a specific user unique id for security login authentication
US20080120707A1 (en) * 2006-11-22 2008-05-22 Alexander Ramia Systems and methods for authenticating a device by a centralized data server
US20130061332A1 (en) * 2011-09-07 2013-03-07 Elwha LLC, a limited liability company of the State of Delaware Computational systems and methods for verifying personal information during transactions

Also Published As

Publication number Publication date
KR102299865B1 (ko) 2021-09-07
RU2016101134A3 (ru) 2018-06-07
EP3017390A1 (en) 2016-05-11
US10862890B2 (en) 2020-12-08
US20160182519A1 (en) 2016-06-23
BR112016000122B1 (pt) 2022-11-01
AU2020202168A1 (en) 2020-04-16
BR112016000122A2 (ru) 2017-07-25
CA2917453C (en) 2023-08-08
WO2015002545A1 (en) 2015-01-08
IL243458B (en) 2022-01-01
RU2016101134A (ru) 2017-08-10
ES2875963T3 (es) 2021-11-11
EP3017390B1 (en) 2021-03-03
AU2020202168B2 (en) 2020-11-05
RU2018146361A (ru) 2019-01-24
KR20160055130A (ko) 2016-05-17
EP3017390A4 (en) 2017-05-10
CA2917453A1 (en) 2015-01-08
CN105518689B (zh) 2020-03-17
CN105518689A (zh) 2016-04-20
IL243458A0 (en) 2016-02-29
AU2014284786A1 (en) 2016-02-18

Similar Documents

Publication Publication Date Title
RU2676896C2 (ru) Способ и система аутентификации пользователей для предоставления доступа к сетям передачи данных
CN111429254B (zh) 一种业务数据处理方法、设备以及可读存储介质
CN115758444A (zh) 区块链实现的方法和系统
US9723007B2 (en) Techniques for secure debugging and monitoring
CN102006276B (zh) 经由次级或经分割信令通信路径的许可证发放和证书分发
RU2008141288A (ru) Аутентификация для коммерческой транзакции с помощью мобильного модуля
CN102739664B (zh) 提高网络身份认证安全性的方法和装置
CN106657014B (zh) 访问数据的方法、装置及系统
CN104054321A (zh) 针对云服务的安全管理
JP2003067326A (ja) ネットワーク上の資源流通システム、及び相互認証システム
US7080409B2 (en) Method for deployment of a workable public key infrastructure
KR20150137518A (ko) 하이브리드 클라우드기반 ict서비스시스템 및 그 방법
Guan et al. Authledger: A novel blockchain-based domain name authentication scheme
US8650392B2 (en) Ticket authorization
RU2625949C2 (ru) Способ и система, использующие кибер-идентификатор для обеспечения защищенных транзакций
Chae et al. A study on secure user authentication and authorization in OAuth protocol
KR101597035B1 (ko) 하이브리드 클라우드기반 아이씨티 서비스시스템을 이용한 소프트웨어 등록처리방법
CN105743883B (zh) 一种网络应用的身份属性获取方法及装置
CN102427461A (zh) 一种实现Web服务应用安全的方法及系统
US11265312B2 (en) Telecommunication system for the secure transmission of data therein and device associated therewith
Bolgouras et al. Enabling Qualified Anonymity for Enhanced User Privacy in the Digital Era
CN116628093A (zh) 用于进行跨链交互的方法及装置、电子设备、存储介质
CN116760595A (zh) 访问方法、计算设备及计算机存储介质
CN114444060A (zh) 一种权限校验方法、装置、系统及存储介质