RU2731651C1 - Method and system of user authorization - Google Patents
Method and system of user authorization Download PDFInfo
- Publication number
- RU2731651C1 RU2731651C1 RU2019135945A RU2019135945A RU2731651C1 RU 2731651 C1 RU2731651 C1 RU 2731651C1 RU 2019135945 A RU2019135945 A RU 2019135945A RU 2019135945 A RU2019135945 A RU 2019135945A RU 2731651 C1 RU2731651 C1 RU 2731651C1
- Authority
- RU
- Russia
- Prior art keywords
- user
- request
- resource system
- code
- authentication
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
Abstract
Description
ОБЛАСТЬ ТЕХНИКИFIELD OF TECHNOLOGY
[1] Данное техническое решение в общем относится к области вычислительной техники, а в частности к способу и системе авторизации пользователя на веб-сайте при помощи QR-кода.[1] This technical solution generally relates to the field of computer technology, and in particular to the method and system for authorizing a user on a website using a QR code.
УРОВЕНЬ ТЕХНИКИLEVEL OF TECHNOLOGY
[2] В настоящее время пользователи, вводящие свои учетные данные для авторизации на веб-сайте с помощью незащищенных устройств и сталкиваются с риском раскрытия своих учетных данных для посторонних лиц. В связи с этим требуется такой способ ввода данных пользователем для входа на веб-сайты, при котором не требуется вводить конфиденциальную информацию. Также в некоторых случаях пользователям может быть сложно вручную вводить учетные данные, например, на устройствах с ограниченными возможностями ввода.[2] Currently, users who enter their credentials to log in to a website using unsecured devices face the risk of disclosing their credentials to unauthorized persons. Therefore, a user input method is required to log in to websites that does not require input of confidential information. Also, in some cases, users may find it difficult to manually enter credentials, for example, on devices with limited input capabilities.
[3] Наиболее близким техническим решением к заявленному решению является система и способ, раскрытые в заявке US 2015089610 (А1), опубл. 26.03.2015, позволяющие пользователю использовать доверенное устройство для предоставления конфиденциальной информации поставщику идентификационных данных с помощью QR-кода (Quick Response), чтобы поставщик идентификаторов мог получить доступ к веб-сайту или собрать информацию для веб-сайта. В известном решении пользователь может безопасно выполнить авторизацию на веб-сайте с незащищенного устройства, вводя конфиденциальную информацию в доверенное устройство. Поставщик идентификаторов может генерировать QR-код для отображения на веб-сайте на незащищенном устройстве. Пользователь с помощью приложения от поставщика идентификаторов, установленного на доверенном устройстве, может сканировать QR-код для передачи QR-кода поставщику идентификаторов. Поставщик идентификаторов может подтвердить QR-код и получить учетные данные для аутентификации пользователя или может собирать информацию для веб-сайта. Преимущественно, пользователь может выполнить безопасный вход на веб-сайт с ненадежных устройств, используя доверенное устройство.[3] The closest technical solution to the claimed solution is the system and method disclosed in the application US 2015089610 (A1), publ. 03/26/2015 allowing the user to use a trusted device to provide confidential information to the identity provider using a QR code (Quick Response) so that the identity provider can access the website or collect information for the website. In the known solution, a user can securely authorize a website from an unsecured device by entering confidential information into a trusted device. An identity provider can generate a QR code to display on a website on an unsecured device. A user can scan a QR code using an application from an ID provider installed on a trusted device to transmit the QR code to the ID provider. An identity provider can validate a QR code and obtain credentials to authenticate a user, or can collect information for a website. Advantageously, a user can securely log into a website from untrusted devices using a trusted device.
[4] Недостатком известного решения является его ограниченный функционал, например, в известном решении отсутствует функция отслеживания статуса QR-кода, в связи с чем снижается надежность системы.[4] The disadvantage of the known solution is its limited functionality, for example, the known solution lacks the function of tracking the status of the QR code, and therefore reduces the reliability of the system.
СУЩНОСТЬ ТЕХНИЧЕСКОГО РЕШЕНИЯESSENCE OF THE TECHNICAL SOLUTION
[5] Технической проблемой или задачей, поставленной в данном техническом решении, является создание простого и надежного способа и системы авторизации пользователя в ресурсной системе посредством аутентификации с помощью QR-кода.[5] The technical problem or task posed in this technical solution is the creation of a simple and reliable method and system for authorizing a user in a resource system through authentication using a QR code.
[006] Техническим результатом, достигаемым при решении вышеуказанной технической задачи, является обеспечение возможности отслеживания статуса QR-кода для определения подтверждения пользователем операции аутентификации и его аутентификации. Дополнительным техническим результатом является обеспечение возможности отмены входа с ненадежного устройства после сканирования QR-кода.[006] The technical result achieved when solving the above technical problem is to provide the ability to track the status of the QR code to determine the confirmation by the user of the authentication operation and its authentication. An additional technical result is the ability to cancel the login from an unreliable device after scanning the QR code.
[7] Указанный технический результат достигается благодаря осуществлению способа аутентификации пользователя, выполняемого по меньшей мере одним вычислительным устройством, содержащего этапы, на которых: получают запрос на аутентификацию пользователя; получают данные о типе аутентификации, выбранном пользователем, и идентификатор (ID) единой учетной записи пользователя; регистрируют операцию аутентификации и формируют идентификатор операции; генерируют QR-код, в который включается информация об идентификаторе операции и назначают ему соответствующий статус; отслеживают статус QR-кода; на основе данных о статусе QR-кода определяют, что операция подтверждена пользователем, причем в параметры операции сохраняют ID единой учетной записи пользователя; аутентифицируют пользователя по ID единой учетной записи пользователя.[7] The specified technical result is achieved due to the implementation of the method of user authentication, performed by at least one computing device, containing the stages, which are: receive a request for user authentication; get data on the type of authentication selected by the user, and the identifier (ID) of a single user account; register an authentication operation and generate an operation identifier; generate a QR code, which includes information about the operation identifier and assign it a corresponding status; track the status of the QR code; based on the data on the status of the QR code, it is determined that the operation is confirmed by the user, and the ID of the single user account is stored in the operation parameters; authenticate the user by the ID of a single user account.
[8] В одном из частных примеров осуществления способа дополнительно выполняют этапы, на которых: на основе данных о статусе QR-кода определяют, что QR-код отсканирован пользователем; направляют пользователю запрос на подтверждение операции аутентификации.[8] In one of the particular examples of implementation of the method, the steps are additionally performed, at which: based on the data on the status of the QR code, it is determined that the QR code has been scanned by the user; send a request to the user to confirm the authentication operation.
[9] В другом частном примере осуществления способа дополнительно выполняют этапы, на которых: получают от устройства партнера запрос кода авторизации, в параметры запроса которого включается ID учетной записи ресурсной системы; генерируют данные кода авторизации и направляют их ресурсной системе; получают от ресурсной системы запрос кода доступа, в параметрах которого включаются данные кода авторизации и ID учетной записи ресурсной системы; авторизуют ресурсную систему на основе результатов проверки данных кода авторизации, направленных ресурсной системе, и данных кода авторизации, полученных от ресурсной системы; отправляют в ресурсную систему код доступа, содержащий ID единой учетной записи пользователя.[9] In another particular embodiment of the method, the following steps are additionally performed, at which: a request for an authorization code is received from a partner device, the request parameters of which include the resource system account ID; generate authorization code data and send it to the resource system; receive an access code request from the resource system, the parameters of which include the authorization code data and the resource system account ID; authorizing the resource system based on the results of checking the authorization code data sent to the resource system and the authorization code data received from the resource system; send to the resource system an access code containing the ID of a single user account.
[10] В другом частном примере осуществления способа дополнительно выполняют этапы, на которых: включают в параметры запроса кода авторизации параметр для предотвращения подделки межсайтовых запросов, сгенерированный устройством ресурсной системы, причем сгенерированные данные кода авторизации перенаправляют пользователю вместе с параметром для предотвращения подделки межсайтовых запросов; получают от пользователя посредством устройства ресурсной системы данные кода авторизации и параметр для предотвращения подделки межсайтовых запросов; на основе результатов сравнения параметра для предотвращения подделки межсайтовых запросов, сгенерированного устройством ресурсной системы и упомянутого параметра, полученного от пользователя, формируют запрос на получение кода доступа, в который включаются данные кода авторизации.[10] In another particular embodiment of the method, the steps are additionally performed, which include: include in the authorization code request parameters a parameter for preventing cross-site request forgery, generated by the resource system device, and the generated authorization code data is redirected to the user along with the parameter for preventing cross-site request forgery; obtaining authorization code data and a parameter for preventing cross-site request forgery from the user through the resource system device; Based on the comparison results of the cross-site request forgery prevention parameter generated by the resource system device and the said parameter received from the user, a request for obtaining an access code is formed, in which authorization code data is included.
[11] В другом предпочтительном варианте осуществления заявленного решения представлена система аутентификации пользователя, содержащая по меньшей мере одно вычислительное устройство и по меньшей мере одно устройство памяти, содержащее машиночитаемые инструкции, которые при их исполнении по меньшей мере одним вычислительным устройством выполняют указанный выше способ.[11] In another preferred embodiment of the claimed solution, a user authentication system is provided comprising at least one computing device and at least one memory device containing machine-readable instructions that, when executed by at least one computing device, perform the above method.
КРАТКОЕ ОПИСАНИЕ ЧЕРТЕЖЕЙBRIEF DESCRIPTION OF DRAWINGS
[12] Признаки и преимущества настоящего изобретения станут очевидными из приводимого ниже подробного описания изобретения и прилагаемых чертежей, на которых:[12] Features and advantages of the present invention will become apparent from the following detailed description of the invention and the accompanying drawings, in which:
На фиг. 1 - представлен пример системы авторизации пользователя.FIG. 1 shows an example of a user authorization system.
На фиг. 2 - представлен пример общего вида вычислительного устройства.FIG. 2 is an example of a general view of a computing device.
ПОДРОБНОЕ ОПИСАНИЕ ИЗОБРЕТЕНИЯDETAILED DESCRIPTION OF THE INVENTION
[1] Ниже будут описаны понятия и термины, необходимые для понимания данного технического решения.[1] Below will be described the concepts and terms necessary to understand this technical solution.
[2] В данном техническом решении под системой подразумевается, в том числе компьютерная система, ЭВМ (электронно-вычислительная машина), ЧПУ (числовое программное управление), ПЛК (программируемый логический контроллер), компьютеризированные системы управления и любые другие устройства, способные выполнять заданную, четко определенную последовательность операций (действий, инструкций).[2] In this technical solution, a system means, including a computer system, a computer (electronic computer), CNC (numerical control), PLC (programmable logic controller), computerized control systems and any other devices capable of performing a given , a well-defined sequence of operations (actions, instructions).
[3] Под устройством обработки команд подразумевается электронный блок, вычислительное устройство, либо интегральная схема (микропроцессор), исполняющая машинные инструкции (программы).[3] A command processing device means an electronic unit, a computing device, or an integrated circuit (microprocessor) that executes machine instructions (programs).
[4] Устройство обработки команд считывает и выполняет машинные инструкции (программы) с одного или более устройств хранения данных. В роли устройства хранения данных могут выступать, но не ограничиваясь, жесткие диски (HDD), флеш-память, ПЗУ (постоянное запоминающее устройство), твердотельные накопители (SSD), оптические приводы.[4] A command processor reads and executes machine instructions (programs) from one or more storage devices. Data storage devices can include, but are not limited to, hard drives (HDD), flash memory, ROM (read only memory), solid state drives (SSD), optical drives.
[5] Программа - последовательность инструкций, предназначенных для исполнения устройством управления вычислительной машины или устройством обработки команд.[5] Program - a sequence of instructions intended for execution by a computer control device or a command processing device.
[6] В соответствии со схемой, приведенной на фиг. 1, система 100 авторизации пользователя содержит: устройства 10 пользователя, ресурсную систему 20 (например, устройство партнера или другой автоматизированной системы (АС)), устройство 30 аутентификации пользователя и устройство 40 обработки запросов на аутентификацию пользователя.[6] Referring to the diagram in FIG. 1, the
[7] Устройствами пользователя могут быть: устройство 11 взаимодействия с сайтом и устройство 12 мобильного приложения. В частном варианте реализации решения устройство 11 взаимодействия с сайтом может представлять собой, например, портативный или стационарный компьютер, мобильный телефон или смартфон, планшет и пр., оснащенные прикладным программным обеспечением -браузером, обеспечивающим возможность: просмотра веб-страниц, содержания веб-документов, компьютерных файлов и их каталогов; управления веб-приложениями; а также для решения других задач. Устройство 12 мобильного приложения представляет собой вычислительное устройство, которое сконфигурировано для работы с различными типами мобильных приложений, например, с мобильным приложением Сбербанк-онлайн, и оснащено средствами, например, фото и/или видео камерой, для фиксации изображений, в частности изображений QR-кода. Например, устройство 12 мобильного приложения может быть выполнено в виде мобильного телефона, смартфона или планшета. Для использования приложения на упомянутом устройстве 12 пользователю необходимо авторизоваться посредством идентификатора (ID) единой учетной записи пользователя. Упомянутый ID единой учетной записи пользователь может получить при регистрации через упомянутое приложение или другими известными из уровня техники у поставщика этого приложения, который генерирует (ID) единой учетной записи пользователя и направляет его в упомянутое устройство 12 для хранения.[7] User devices can be:
[8] Ресурсная система 20 интегрирует информационные, финансовые, материальные, трудовые ресурсы с необходимыми основными фондами, которые обеспечивают жизненный цикл продукции: материалы - продукция - товар. Целью ресурсной системы 20 является переработка материалов в товар, необходимый для пользователя. Задачей этой системы является обеспечение принятия решений относительно развития управляемого объекта - интегрированного ресурса на основе новых компьютерных технологий (см. О.С. Григоров и др., УПРАВЛЕНИЕ БИЗНЕС-ПОТЕНЦИАЛОМ ПРОИЗВОДСТВЕННЫХ СИСТЕМ, Новосибирск 2002, 56 с., http://window.edu.ru/resource/799/37799/files/m bus1.pdf). Ресурсная система 20 может быть реализована на базе по меньшей мере одного сервера, сконфигурированного для предоставления пользователю устройства 11 через веб-сайт различного вида услуги. Ресурсная система 20, в частном случае ее реализации, содержит: модуль 21 обработки запросов пользователя и модуль 22 маршрутизации. Указанные модули могут быть реализованы на базе программно-аппаратных средств ресурсной системы 20, модифицированных в программной части таким образом, чтобы выполнять приписанные далее этим модулям функции.[8] The
[9] Устройство 30 аутентификации пользователя и устройство 40 обработки запросов на аутентификацию пользователя могут быть также реализованы на базе по меньшей мере одного сервера, при этом устройство 30 аутентификации пользователя может содержать модуль 31 связи с пользователем и модуль 32 аутентификации, а устройство 40 обработки запросов на аутентификацию пользователя может включать: базу 41 данных (БД) и модуль 42 обработки запросов на аутентификацию. Указанные модули также могут быть реализованы на базе программно-аппаратных средств устройства 30 и устройства 40 соответственно, модифицированных в программной части таким образом, чтобы выполнять приписанные далее этим модулям функции.[9] The
[10] Соответственно, пользователь посредством устройства 11 взаимодействия с веб-сайтом, в частности при помощи браузера, может перейти в ресурсную систему 20, например, посредством посещения веб-сайта ресурсной системы 20 или установки соответствующего приложения, для просмотра ее содержимого, информацию о котором в устройство 11 направляется ресурсной системой 20. Например, пользователю может быть отображена информация о предоставляемых ресурсной системой 20 услугах (получение ипотеки, каталог товаров, предоставление информации о состоянии счетов и карт, осуществление платежей и т.д.), а пользователь может посредством устройства 11 направить запрос на получение по меньшей мере одной услуги, предоставляемой ресурсной системой 20.[10] Accordingly, the user, through the
[11] В процессе формирования запроса на получение услуги, либо в любой другой момент времени, например, при входе в ресурсную систему 20 (т.е. авторизации), пользователь может направить запрос на авторизацию в ресурсную систему 20 для представления ему (пользователю) дополнительных функций, предусмотренных для авторизированных пользователей ресурсной системы 20. Для входа в ресурсную систему 20 пользователь может использовать единую учетную запись для аутентификации на множестве не связанных друг с другом Интернет-ресурсов, информация о которой содержится в БД 41 устройства 40 аутентификации пользователя, например, в виде UID. Для этого пользователь посредством устройства 11 взаимодействует с ресурсной системой 20, отправляя соответствующую команду/запрос на авторизацию, которая поступает в модуль 21 обработки запросов пользователя ресурсной системы 20.[11] In the process of generating a request for a service, or at any other time, for example, when entering the resource system 20 (ie, authorization), the user can send an authorization request to the
[12] Например, в случае входа на веб-сайт ресурсной системы 20 при помощи протокола OIDC (Open ID Connect) при получении запроса на авторизацию модуль 21 обработки запросов отправляет в модуль 22 маршрутизации запрос на получение параметра, защищающего от межсайтовых подделок (State) и параметра, защищающего от копирования запросов (Nonce). Модуль 22 маршрутизации известными из уровня техники методами формирует указанные параметры, создает операцию авторизации, сохраняет в параметрах операции значения State и Nonce, после чего возвращает указанные параметры и идентификатор операции авторизации в модуль 21. Модуль 21 сохраняет в памяти, которой он может быть дополнительно оснащен, идентификатор операции авторизации и направляет запрос кода авторизации (AUTHCODE) в модуль 31 связи с пользователем, отправляя в запросе State, Nonce, ссылку URI, на который нужно вернуть пользователя после успешной аутентификации (REDIRECT_URI), и идентификатор (ID) ресурсной системы. Также ID ресурсной системы, пароль ресурсной системы и REDIRECT_URI, могут быть заранее занесены в БД 41 при регистрации ресурсной системы 20 в устройстве 40 обработки запросов на аутентификацию пользователя.[12] For example, in the case of logging into the website of the
[13] Модуль 31 аутентификации известными из уровня техники методами валидирует параметры запроса кода авторизации (AUTHCODE) и в случае успешной проверки направляет в устройство 11 взаимодействия с сайтом форму аутентификации, которая отображается пользователю. При выборе пользователем аутентификации с помощью QR-кода в модуль 31 аутентификации поступают от устройства 11 данные о типе аутентификации - аутентификация с помощью QR-кода (PAT_QR), после чего упомянутый модуль 31 формирует и направляет запрос аутентификации пользователя для получения QR-кода в модуль 42 обработки запросов. В запросе упомянутым модулем 31 отправляются данные о типе аутентификации (PAT_QR), State, Nonce, ID ресурсной системы, REDIRECT_URI (далее - параметры OIDC), а также IP адрес, название браузера и операционной системы компьютера пользователя, собранные известными из уровня техники методами. Модуль 42 обработки запросов при получении запроса аутентификации пользователя регистрирует в БД 41 операцию аутентификации, формирует идентификатор операции (QRID), сохраняет полученные из модуля 31 данные вместе с идентификатором операции и присваивает операции статус «Новый», после чего модуль 42 генерирует QR-код, в который включается информация об идентификаторе операции.[13] The
[14] Сгенерированный QR-код и идентификатор операции модуль 42 обработки запросов направляет в модуль 31 связи с пользователем для передачи и вывода его на устройстве 11 взаимодействия с веб-сайтом. Также модуль 31 в соответствии с заложенным в него пользователем устройства 30 программно-аппаратным алгоритмом периодически обращается посредством модуля 42 обработки запросов к БД 41 для получения текущего статуса операции аутентификации, отправляя в запросе проверки статуса идентификатор операции (QRID).[14] The generated QR code and the operation identifier are sent by the
[15] Далее для авторизации в ресурсной системе 20 пользователю необходимо запустить приложение на устройстве 12 мобильного приложения, известными из уровня техники методами авторизоваться в приложении посредством ID единой учетной записи пользователя, после чего с помощью мобильного приложения и устройства 12 мобильного приложения пользователю необходимо просканировать изображение, выведенное на устройстве 11 взаимодействия с веб-сайтом. При получении изображения QR-кода устройство 12 извлекает из него идентификатор операции (QRID) и направляет его в модуль 42 обработки запросов, который при получении идентификатора операции (QRID) меняет статус «Новый» для данного идентификатора операции (QRID) в БД 41 на статус «Отсканирован», после чего модуль 42 извлекает из БД 41 информацию об операции, в том числе ее идентификатор (QRID), и возвращает ее в модуль 12 мобильного приложения.[15] Further, for authorization in the
[16] Далее посредством устройства 12 мобильного приложения пользователь подтверждает операцию, отправляя запрос на подтверждение аутентификации в модуль 42 обработки запросов с идентификатором операции (QRID) и статусом операции «Подтвержден». Дополнительно в запрос на подтверждение аутентификации упомянутое устройство 12 включает ID единой учетной записи пользователя. Также дополнительно пользователь известными из уровня техники может подписать упомянутый запрос своей цифровой подписью, информация о которой сохранена в упомянутом устройстве 12.[16] Next, through the
[17] Модуль 42 обработки запросов меняет статус для данного идентификатора операции (QRID) в БД 41 на статус «Подтвержден» и сохраняет в параметрах операции аутентификации ID единой учетной записи пользователя. Соответственно, кода модуль 31 связи с пользователем при обращении к БД 41 через модуль 42 обработки запросов определил, что идентификатор операции (QRID) имеет статус «Подтвержден», модуль 31 связи с пользователем отправляет идентификатор операции (QRID) в запросе к модулю 42 на получение кода авторизации AUTHCODE, REDIRECT_URI и State, сохраненные для данного идентификатора операции (QRID) в БД 41.[17] The
[18] При получении от модуля 31 связи с пользователем запроса кода авторизации модуль 42 аутентифицирует пользователя, от которого ранее был получен запрос на аутентификацию с аналогичным идентификатором операции (QRID), и возвращает посредством модуля 31 в устройство 11 взаимодействия с веб-сайтом AUTHCODE, REDIRECT_URI и State. По REDIRECT_URI устройство 11 взаимодействия с веб-сайтом перенаправляется в ресурсную систему 20 сайта партнера, после чего устройство 11 направляет в модуль 21 обработки запросов пользователя AUTHCODE и State.[18] Upon receipt of the authorization code request from the
[19] Модуль 21 обработки запросов пользователя, получив AUTHCODE и State, передает их в модуль 22 маршрутизации в связке со значением текущей операции авторизации пользователя в ресурсной системе. Модуль 22 маршрутизации сверяет значение State, полученные от модуля 21, с тем значением State, которое сохранено в данных операции авторизации, сгенерированных ранее. Если значения совпадают, то модуль 22 обработки запросов пользователя направляет запрос в модуль 32 аутентификации на получение кода доступа, в который включается: полученное значение AuthCode, ID ресурсной системы, пароль ресурсной системы, REDIRECT_URI (тот же самый URI, который был отправлен в запросе на код авторизации).[19]
[20] Модуль 32 аутентификации проверяет AuthCode посредством сравнения с AuthCode, который ранее был направлен модулем 31 в устройство 11 взаимодействия с веб-сайтом, идентификатор ресурсной системы и пароль ресурсной системы, после чего авторизует ресурсную систему на основе результатов проверки данных кода авторизации, направленных ресурсной системе, и данных кода авторизации, полученных от ресурсной системы, и выдает Access_Token (код доступа) и ID_TOKEN (набор данных пользователя, который необходимы для идентификации пользователя в ресурсной системе, в том числе внешний ID пользователя АС банка (sub), передаваемый внешним потребителям, сформированный на основе ID единой учетной записи пользователя, извлеченного из параметров операции аутентификации, а также параметр Nonce). Модуль 22 маршрутизации, получив ID_TOKEN, проверяет значение Nonce, которое сохранено в параметрах операции пользователя с тем, которое получено в ID_TOKEN. Если значения совпадают, то модуль 22 маршрутизации идентифицирует клиента по внешнему ID пользователя АС банка (sub), полученному в ID_TOKEN. Далее модуль 22 маршрутизации авторизует пользователя и возвращает в модуль 21 страницу для отображения пользователю, которая перенаправляется в устройство 11 взаимодействия с веб-сайтом. Таким образом, пользователь устройства 11 взаимодействия с веб-сайтом получает авторизированный доступ в ресурсную систему 20.[20]
[21] В общем виде (см. фиг. 2) вычислительное устройство содержит объединенные общей шиной информационного обмена один или несколько процессоров (201), средства памяти, такие как ОЗУ (202) и ПЗУ (203), интерфейсы ввода/вывода (204), устройства ввода/вывода (205), и устройство для сетевого взаимодействия (206).[21] In general (see Fig. 2), the computing device contains one or more processors (201), combined by a common data exchange bus, memory means such as RAM (202) and ROM (203), input / output interfaces (204 ), input / output devices (205), and a device for networking (206).
[22] Процессор (201) (или несколько процессоров, многоядерный процессор и т.п.) может выбираться из ассортимента устройств, широко применяемых в настоящее время, например, таких производителей, как: Intel™, AMD™, Apple™, Samsung Exynos™, MediaTEK™, Qualcomm Snapdragon™ и т.п. Под процессором или одним из используемых процессоров в системе (200) также необходимо учитывать графический процессор, например, GPU NVIDIA с программной моделью, совместимой с CUDA, или Graphcore, тип которых также является пригодным для полного или частичного выполнения способа, а также может применяться для обучения и применения моделей машинного обучения в различных информационных системах.[22] The processor (201) (or multiple processors, multi-core processor, etc.) can be selected from a range of devices currently widely used, for example, manufacturers such as: Intel ™, AMD ™, Apple ™, Samsung Exynos ™, MediaTEK ™, Qualcomm Snapdragon ™, etc. Under the processor or one of the processors used in the system (200), it is also necessary to take into account a graphics processor, for example, an NVIDIA GPU with a CUDA compliant programming model, or Graphcore, the type of which is also suitable for full or partial execution of the method, and can also be used for training and application of machine learning models in various information systems.
[23] ОЗУ (202) представляет собой оперативную память и предназначено для хранения исполняемых процессором (201) машиночитаемых инструкций для выполнения необходимых операций по логической обработке данных. ОЗУ (202), как правило, содержит исполняемые инструкции операционной системы и соответствующих программных компонент (приложения, программные модули и т.п.). При этом, в качестве ОЗУ (202) может выступать доступный объем памяти графической карты или графического процессора.[23] RAM (202) is a random access memory and is intended for storing machine-readable instructions executed by the processor (201) for performing the necessary operations for logical data processing. RAM (202), as a rule, contains executable instructions of the operating system and corresponding software components (applications, software modules, etc.). In this case, the available memory of the graphics card or graphics processor can act as RAM (202).
[24] ПЗУ (203) представляет собой одно или более устройств постоянного хранения данных, например, жесткий диск (HDD), твердотельный накопитель данных (SSD), флэш-память (EEPROM, NAND и т.п.), оптические носители информации (CD-R/RW, DVD-R/RW, BlueRay Disc, MD) и др.[24] ROM (203) is one or more persistent storage devices, such as a hard disk drive (HDD), solid state data storage device (SSD), flash memory (EEPROM, NAND, etc.), optical storage media ( CD-R / RW, DVD-R / RW, BlueRay Disc, MD), etc.
[25] Для организации работы компонентов системы (200) и организации работы внешних подключаемых устройств применяются различные виды интерфейсов В/В (204). Выбор соответствующих интерфейсов зависит от конкретного исполнения вычислительного устройства, которые могут представлять собой, не ограничиваясь: PCI, AGP, PS/2, IrDa, FireWire, LPT, COM, SATA, IDE, Lightning, USB (2.0, 3.0, 3.1, micro, mini, type C), TRS/Audio jack (2.5, 3.5, 6.35), HDMI, DVI, VGA, Display Port, RJ45, RS232 и т.п.[25] Various types of I / O interfaces (204) are used to organize the operation of system components (200) and to organize the operation of external connected devices. The choice of the appropriate interfaces depends on the specific version of the computing device, which can be, but are not limited to: PCI, AGP, PS / 2, IrDa, FireWire, LPT, COM, SATA, IDE, Lightning, USB (2.0, 3.0, 3.1, micro, mini, type C), TRS / Audio jack (2.5, 3.5, 6.35), HDMI, DVI, VGA, Display Port, RJ45, RS232, etc.
[26] Для обеспечения взаимодействия пользователя с вычислительной системой (200) применяются различные средства (205) В/В информации, например, клавиатура, дисплей (монитор), сенсорный дисплей, тач-пад, джойстик, манипулятор мышь, световое перо, стилус, сенсорная панель, трекбол, динамики, микрофон, средства дополненной реальности, оптические сенсоры, планшет, световые индикаторы, проектор, камера, средства биометрической идентификации (сканер сетчатки глаза, сканер отпечатков пальцев, модуль распознавания голоса) и т.п.[26] To ensure user interaction with the computing system (200), various means (205) of I / O information are used, for example, a keyboard, display (monitor), touch display, touch-pad, joystick, mouse manipulator, light pen, stylus, touch panel, trackball, speakers, microphone, augmented reality, optical sensors, tablet, light indicators, projector, camera, biometric identification (retina scanner, fingerprint scanner, voice recognition module), etc.
[27] Средство сетевого взаимодействия (206) обеспечивает передачу данных посредством внутренней или внешней вычислительной сети, например, Интранет, Интернет, ЛВС и т.п. В качестве одного или более средств (206) может использоваться, но не ограничиваться: Ethernet карта, GSM модем, GPRS модем, LTE модем, 5G модем, модуль спутниковой связи, NFC модуль, Bluetooth и/или BLE модуль, Wi-Fi модуль и др.[27] The networking tool (206) provides data transmission via an internal or external computer network, for example, Intranet, Internet, LAN and the like. One or more means (206) can be used, but not limited to: Ethernet card, GSM modem, GPRS modem, LTE modem, 5G modem, satellite communication module, NFC module, Bluetooth and / or BLE module, Wi-Fi module, and dr.
[28] Дополнительно могут применяться также средства спутниковой навигации в составе системы (200), например, GPS, ГЛОНАСС, BeiDou, Galileo.[28] Additionally, satellite navigation aids can be used as part of the system (200), for example, GPS, GLONASS, BeiDou, Galileo.
[29] Конкретный выбор элементов устройства (200) для реализации различных программно-аппаратных архитектурных решений может варьироваться с сохранением обеспечиваемого требуемого функционала.[29] The specific choice of elements of the device (200) for the implementation of various software and hardware architectural solutions can vary while maintaining the required functionality provided.
[30] Модификации и улучшения вышеописанных вариантов осуществления настоящего технического решения будут ясны специалистам в данной области техники. Предшествующее описание представлено только в качестве примера и не несет никаких ограничений. Таким образом, объем настоящего технического решения ограничен только объемом прилагаемой формулы изобретения.[30] Modifications and improvements to the above-described embodiments of the present technical solution will be apparent to those skilled in the art. The foregoing description is provided by way of example only and is not intended to be limiting. Thus, the scope of the present technical solution is limited only by the scope of the attached claims.
Claims (21)
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2019135945A RU2731651C1 (en) | 2019-11-08 | 2019-11-08 | Method and system of user authorization |
EA202090168A EA038161B1 (en) | 2019-11-08 | 2020-01-28 | Method and system for authorizing a user |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2019135945A RU2731651C1 (en) | 2019-11-08 | 2019-11-08 | Method and system of user authorization |
Publications (1)
Publication Number | Publication Date |
---|---|
RU2731651C1 true RU2731651C1 (en) | 2020-09-07 |
Family
ID=72421833
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
RU2019135945A RU2731651C1 (en) | 2019-11-08 | 2019-11-08 | Method and system of user authorization |
Country Status (2)
Country | Link |
---|---|
EA (1) | EA038161B1 (en) |
RU (1) | RU2731651C1 (en) |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20130254858A1 (en) * | 2012-03-26 | 2013-09-26 | Computer Associates Think, Inc. | Encoding an Authentication Session in a QR Code |
US20150089610A1 (en) * | 2012-02-17 | 2015-03-26 | Ebay Inc. | Login using qr code |
US20160314462A1 (en) * | 2013-12-20 | 2016-10-27 | Secuve Co.,Ltd. | System and method for authentication using quick response code |
US20170032382A1 (en) * | 2014-04-14 | 2017-02-02 | Jenda Tag, LLC | System and Method for Product Authentication |
US20170085567A1 (en) * | 2015-09-23 | 2017-03-23 | Alibaba Group Holding Limited | System and method for processing task resources |
RU2638741C2 (en) * | 2012-12-07 | 2017-12-15 | Микросек Самиташтечникаи Фейлестё Зрт. | Method and user authentication system through mobile device with usage of certificates |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8943320B2 (en) * | 2011-10-31 | 2015-01-27 | Novell, Inc. | Techniques for authentication via a mobile device |
-
2019
- 2019-11-08 RU RU2019135945A patent/RU2731651C1/en active
-
2020
- 2020-01-28 EA EA202090168A patent/EA038161B1/en unknown
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20150089610A1 (en) * | 2012-02-17 | 2015-03-26 | Ebay Inc. | Login using qr code |
US20130254858A1 (en) * | 2012-03-26 | 2013-09-26 | Computer Associates Think, Inc. | Encoding an Authentication Session in a QR Code |
RU2638741C2 (en) * | 2012-12-07 | 2017-12-15 | Микросек Самиташтечникаи Фейлестё Зрт. | Method and user authentication system through mobile device with usage of certificates |
US20160314462A1 (en) * | 2013-12-20 | 2016-10-27 | Secuve Co.,Ltd. | System and method for authentication using quick response code |
US20170032382A1 (en) * | 2014-04-14 | 2017-02-02 | Jenda Tag, LLC | System and Method for Product Authentication |
US20170085567A1 (en) * | 2015-09-23 | 2017-03-23 | Alibaba Group Holding Limited | System and method for processing task resources |
Also Published As
Publication number | Publication date |
---|---|
EA038161B1 (en) | 2021-07-16 |
EA202090168A1 (en) | 2021-05-31 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6046765B2 (en) | System and method enabling multi-party and multi-level authorization to access confidential information | |
US8856902B2 (en) | User authentication via mobile communication device with imaging system | |
US8904507B2 (en) | System and method for controlling user access to a service processor | |
US10135810B2 (en) | Selective authentication system | |
US11539526B2 (en) | Method and apparatus for managing user authentication in a blockchain network | |
BR112018007449B1 (en) | COMPUTING DEVICE, COMPUTER IMPLEMENTED METHOD AND COMPUTER READABLE MEMORY DEVICE | |
US10701053B2 (en) | Authentication and approval control system for distributed ledger platform | |
US20170235936A1 (en) | Secure credential service for cloud platform applications | |
US9985961B2 (en) | Information processing system and authentication method | |
US11700129B2 (en) | Systems and methods for tokenized data delegation and protection | |
US10791104B2 (en) | Systems and methods for authenticating users of a computer system | |
US20190098009A1 (en) | Systems and methods for authentication using authentication management server and device application | |
EP3663946A1 (en) | Information processing apparatus, information processing method, and information processing program | |
EP1669833A1 (en) | Method of validating a trusted computer system | |
US10972465B1 (en) | Secure authentication through visual codes containing unique metadata | |
KR101027228B1 (en) | User-authentication apparatus for internet security, user-authentication method for internet security, and recorded medium recording the same | |
JP5991143B2 (en) | Information processing apparatus, system, and information registration method | |
JP5707204B2 (en) | Identification system and identification method | |
RU2731651C1 (en) | Method and system of user authorization | |
WO2021091415A1 (en) | Method and system for authorizing a user | |
US11044247B2 (en) | Systems and methods for authentication using authentication management server and device application | |
US10828926B2 (en) | Smart processing device with selective configuration function control | |
US11316843B1 (en) | Systems for authenticating users from a separate user interface | |
US20230394473A1 (en) | Authenticating Users and Controlling Access to Secure Information Systems Via Linked Devices | |
US20240073029A1 (en) | Multi-Computer System For User Authentication Based on Client-Side One-Time Passcode |