RU2786176C2 - Method and system for multichannel user authorization - Google Patents
Method and system for multichannel user authorization Download PDFInfo
- Publication number
- RU2786176C2 RU2786176C2 RU2021109734A RU2021109734A RU2786176C2 RU 2786176 C2 RU2786176 C2 RU 2786176C2 RU 2021109734 A RU2021109734 A RU 2021109734A RU 2021109734 A RU2021109734 A RU 2021109734A RU 2786176 C2 RU2786176 C2 RU 2786176C2
- Authority
- RU
- Russia
- Prior art keywords
- user
- authorization
- mobile
- access
- channel
- Prior art date
Links
- 230000005540 biological transmission Effects 0.000 claims abstract description 14
- 230000004044 response Effects 0.000 claims abstract description 7
- 230000000875 corresponding Effects 0.000 claims description 9
- 230000003190 augmentative Effects 0.000 claims description 3
- 229920002239 polyacrylonitrile Polymers 0.000 claims description 3
- 229920000638 styrene acrylonitrile Polymers 0.000 claims description 3
- 235000010384 tocopherol Nutrition 0.000 claims description 3
- 235000019731 tricalcium phosphate Nutrition 0.000 claims description 3
- 238000004891 communication Methods 0.000 abstract description 3
- 239000000126 substance Substances 0.000 abstract 1
- 238000000034 method Methods 0.000 description 25
- 230000003993 interaction Effects 0.000 description 5
- 230000002730 additional Effects 0.000 description 4
- 230000004913 activation Effects 0.000 description 3
- 229920002134 Carboxymethyl cellulose Polymers 0.000 description 2
- 210000003462 Veins Anatomy 0.000 description 2
- 239000008186 active pharmaceutical agent Substances 0.000 description 2
- 235000010948 carboxy methyl cellulose Nutrition 0.000 description 2
- 239000000203 mixture Substances 0.000 description 2
- 230000003287 optical Effects 0.000 description 2
- 230000002085 persistent Effects 0.000 description 2
- 229920002574 CR-39 Polymers 0.000 description 1
- 210000000554 Iris Anatomy 0.000 description 1
- 241001025261 Neoraja caerulea Species 0.000 description 1
- 210000001525 Retina Anatomy 0.000 description 1
- 229930002945 all-trans-retinaldehyde Natural products 0.000 description 1
- 230000015572 biosynthetic process Effects 0.000 description 1
- 235000014510 cooky Nutrition 0.000 description 1
- 229920005994 diacetyl cellulose Polymers 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000005755 formation reaction Methods 0.000 description 1
- 239000011521 glass Substances 0.000 description 1
- 230000000977 initiatory Effects 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 230000002207 retinal Effects 0.000 description 1
- 235000020945 retinal Nutrition 0.000 description 1
- 239000011604 retinal Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Images
Abstract
Description
Область техникиTechnical field
[0001] Настоящее решение относится к системе и способам для обеспечения авторизации пользователей посредством вычислительной сети, в частности, с помощью мобильной авторизации, в которой пользователю может быть предоставлен доступ в множестве мобильных каналов.[0001] The present solution relates to a system and methods for providing authorization of users through a computer network, in particular, using mobile authorization, in which a user can be granted access in a variety of mobile channels.
Уровень техникиState of the art
[0002] Существующая проблема заключается в том, что пользователю необходимо помнить свои логины и пароли к множеству различных источников данных, при этом затраты ресурсов на поддержку пользователей и восстановление логинов/паролей являются достаточно высокими в рамках реализации различных бизнес систем и продуктов. Более того, любые дополнительные действия со стороны пользователя по запоминанию или восстановлению паролей ведут к снижению уровня использования программных продуктов, особенно если речь идет о некритичных для жизни/работы случаях, как например сервисные приложения или электронная коммерция.[0002] The existing problem is that the user needs to remember their logins and passwords to many different data sources, while the resource costs for user support and login/password recovery are quite high in the implementation of various business systems and products. Moreover, any additional actions on the part of the user to remember or recover passwords lead to a decrease in the level of use of software products, especially when it comes to cases that are not critical for life / work, such as service applications or e-commerce.
[0003] Существуют и вполне известны различные реализации алгоритмов безопасности, с различными степенями защиты, которые решают проблему необходимости помнить или восстанавливать логины/пароли. Начиная от хранения данных логинов в браузерах и от аутентификаций через сторонние сервисы (например, через Google или Facebook, VK, решения Single SignOn (SSO)) и до отдельных приложений "сейфов для паролей". Некоторые из этих методов также собирают данные о пользователях, что часто не нравится пользователям. Другие известные реализации для решения данной проблемы включают методы требующие установки дополнительного программного обеспечения, производимого и контролируемого третьей стороной (например, Google Authenticator или одной из множества подобных) или требуют дорогостоящих технологических операций, например, отправка CMC сообщения с кодом подтверждения, e-mail подтверждение и т.п. Более того, эти методы безопасности требуют множества дополнительных действий со стороны пользователя, что нежелательно для быстрых и выверенных бизнес операций, особенно в случае с вышеупомянутым не критичным программным обеспечением, как то сервисным или для электронной коммерции.[0003] Various implementations of security algorithms exist and are well known, with varying degrees of protection, that solve the problem of having to remember or recover logins/passwords. Starting from the storage of login data in browsers and from authentication through third-party services (for example, through Google or Facebook, VK, Single SignOn (SSO) solutions) and up to separate "password safe" applications. Some of these methods also collect user data, which is often not liked by users. Other known implementations to solve this problem include methods that require the installation of additional software produced and controlled by a third party (for example, Google Authenticator or one of many similar ones) or require expensive technological operations, for example, sending a CMC message with a verification code, e-mail confirmation etc. Moreover, these security methods require many additional actions on the part of the user, which is undesirable for fast and accurate business operations, especially in the case of the aforementioned non-critical software, such as service or e-commerce.
[0004] Другая проблема в том, что вышеописанные существующие методы реализации очень сильно отличаются друг от друга, в зависимости от форм фактора доставки требуемых данных пользователю. Например, между браузером на компьютере, установленным на компьютер приложением, установленным на мобильном устройстве приложением, браузером на мобильном устройстве или другими форм факторами доставки.[0004] Another problem is that the existing methods of implementation described above are very different from each other, depending on the form factor of delivering the required data to the user. For example, between a browser on a computer, an application installed on a computer, an application installed on a mobile device, a browser on a mobile device, or other form of delivery factors.
[0005] Таким образом, каждый пользователь должен знать разные методы аутентификации и помнить какой конкретно применяется им на конкретном источнике данных (программном обеспечении), что опять же уменьшает полезность источника данных, так как если пользователь забывает как войти, он часто перестает использовать данный источник.[0005] Thus, each user must know different authentication methods and remember which one he specifically uses on a particular data source (software), which again reduces the usefulness of the data source, since if the user forgets how to log in, he often stops using this source .
[0006] Известны также решения по принципу авторизации с помощью протокола OAuth (Open Authorization), который представляет собой открытый протокол авторизации, позволяющий предоставить третьей стороне ограниченный доступ к защищенным ресурсам пользователя без необходимости передавать ей (третьей стороне) логин и пароль. Такие решения, например, раскрыты в таких источниках, как: US 20160028737, US20160330199, WO2014130141.[0006] Solutions are also known based on the principle of authorization using the OAuth (Open Authorization) protocol, which is an open authorization protocol that allows you to provide a third party with limited access to protected user resources without having to transfer login and password to it (third party). Such solutions are, for example, disclosed in such sources as: US 20160028737, US20160330199, WO2014130141.
[0007] Недостатком существующих подходов является отсутствие обеспечения мультиканальной авторизации пользователей с помощью использования мобильных каналов, которые сам пользователь может назначать для взаимодействия с одним или множеством ресурсов, взаимодействующих в рамках многоканальной платформы (системы). Также, недостатком является то, что для каждого типа форм-фактора доступа применяется присущий ему метод авторизации, что повышает трудозатратность процессов аутентификации, в частности, увеличение времени для выполнения необходимых действий для авторизации.[0007] The disadvantage of existing approaches is the lack of providing multi-channel user authorization through the use of mobile channels, which the user himself can assign to interact with one or more resources interacting within the multi-channel platform (system). Also, the disadvantage is that for each type of access form factor, its own authorization method is used, which increases the laboriousness of authentication processes, in particular, the increase in time to perform the necessary actions for authorization.
Раскрытие изобретенияDisclosure of invention
[0008] Настоящее решение использует только технологии уже установленные в техническом периметре пользователя (например, на его мобильном устройстве) и решает те же самые задачи, которые стремятся решать все вышеописанные подходы, но с высоким уровнем безопасности и с минимальным количеством действий на стороне пользователя, что значительно упрощает процесс его авторизации на ресурсе доступа.[0008] This solution uses only technologies already installed in the technical perimeter of the user (for example, on his mobile device) and solves the same tasks that all the above approaches strive to solve, but with a high level of security and with a minimum number of actions on the user's side, which greatly simplifies the process of its authorization on the access resource.
[0009] Настоящее решение обеспечивает пользователю возможность использования меньшего количества методов аутентификации для различных форм факторов доступа к данным, то есть пользователь может всегда использовать один и тот же метод мобильной аутентификации для всех форм факторов получения данных, а также назначать предпочтительный метод авторизации для различных ресурсов доступа. Также, заявленное решение обеспечивает возможность использования различных каналов доступа для заданного ресурса доступа.[0009] The present solution allows the user to use fewer authentication methods for different forms of data access factors, that is, the user can always use the same mobile authentication method for all forms of data access factors, as well as assign a preferred authorization method to various resources access. Also, the claimed solution provides the possibility of using different access channels for a given access resource.
[0010] Механизм авторизации настоящего решения может быть как частью аутентификации первого фактора для доступа к данным непосредственно с мобильного устройства, так и вторым фактором аутентификации, при котором доступ к данным на одном устройстве осуществляется через другое мобильное устройство или на этом же устройстве, но из другого канала аутентифкации. Упомянутый механизм также может работать как гибрид 1ого и 2ого факторов аутентификации на том же самом или разным форм факторах, в тех случаях, когда авторизация первого фактора не прошла или потребовала дополнительного доказательства (второй фактор) из другого канала аутентификации.[0010] The authorization mechanism of the present solution can be both part of the first factor authentication for accessing data directly from the mobile device, and the second authentication factor, in which data on one device is accessed through another mobile device or on the same device, but from another authentication channel. The mentioned mechanism can also work as a hybrid of the 1st and 2nd authentication factors on the same or different form factors, in cases where the authorization of the first factor failed or required additional proof (second factor) from another authentication channel.
[0011] Вышеупомянутые каналы авторизации могут включать, например, иконку на экране мобильного устройства (установленную или в форме PWA, имеющую или не имеющую разрешение на Push уведомления), мобильные службы мгновенных сообщений (мессенджеры и боты в мессенджерах), смс, e-mail, VOIP системы, QR коды и другие каналы.[0011] The above authorization channels may include, for example, an icon on the screen of a mobile device (installed or in the form of a PWA, with or without permission to push notifications), mobile instant messaging services (messengers and bots in messengers), sms, e-mail , VOIP systems, QR codes and other channels.
[0012] В предпочтительном варианте осуществления заявленного решения представлена система авторизации пользователя, содержащая связанные каналом передачи данных устройство пользователя и ресурс доступа, связанный с системой аутентификации, в которой:[0012] In a preferred embodiment of the claimed solution, a user authorization system is presented, comprising a user device and an access resource associated with an authentication system, connected by a data transmission channel, in which:
устройство пользователя, выполненное с возможностью формирования запроса на авторизацию на ресурсе доступа с помощью по меньшей мере одного мобильного канала, который связан с упомянутым устройством;a user device configured to generate an authorization request on an access resource using at least one mobile channel that is associated with said device;
ресурс доступа выполнен с возможностью получения пользовательского запроса на авторизацию и передачи соответствующего запроса в систему аутентификации; иthe access resource is configured to receive a user request for authorization and send the corresponding request to the authentication system; and
система аутентификации, обеспечивающая авторизацию пользователя на упомянутом ресурсе с помощью по меньшей мере одного мобильного канала, связанного с устройством пользователя.an authentication system that authorizes a user on said resource using at least one mobile channel associated with the user's device.
[0013] В частном случае реализации мобильный канал представляет собой программное приложение или элемент графического интерфейса пользователя.[0013] In a particular implementation case, a mobile channel is a software application or a graphical user interface element.
[0014] В другом частном случае реализации приложение представляет собой мессенджер.[0014] In another particular implementation, the application is a messenger.
[0015] В другом частном случае реализации система аутентификации содержит данные о доступных каналах авторизации для каждого из ресурсов доступа.[0015] In another particular case of implementation, the authentication system contains data about the available authorization channels for each of the access resources.
[0016] В другом частном случае реализации система аутентификации хранит данные авторизации пользователей для каждого из доступных мобильных каналов.[0016] In another particular implementation, the authentication system stores user authorization data for each of the available mobile channels.
[0017] В другом частном случае реализации запрос на авторизацию содержит по меньшей мере информацию, идентифицирующую пользователя.[0017] In another particular implementation, the authorization request contains at least information identifying the user.
[0018] В другом частном случае реализации запрос дополнительно содержит данные доступа выбранного мобильного канала.[0018] In another particular implementation, the request additionally contains the access data of the selected mobile channel.
[0019] В другом частном случае реализации запрос на авторизацию шифруется на устройстве пользователя и дешифруется в системе аутентификации.[0019] In another particular implementation, the authorization request is encrypted on the user's device and decrypted in the authentication system.
[0020] В другом частном случае реализации система аутентификации дополнительно направляет запрос на подтверждение авторизации в мобильный канал устройства пользователя.[0020] In another particular case of implementation, the authentication system additionally sends an authorization confirmation request to the mobile channel of the user's device.
[0021] В другом частном случае реализации система аутентификации осуществляет авторизацию пользователя на ресурсе на основании получения ответа от мобильного канала устройства пользователя.[0021] In another particular case of implementation, the authentication system authorizes the user on the resource based on receiving a response from the mobile channel of the user's device.
[0022] В другом частном случае реализации при получении запроса от устройства пользователя на авторизацию, система аутентификации осуществляет проверку доступных мобильных каналов для данного пользователя.[0022] In another particular implementation, upon receiving a request from the user's device for authorization, the authentication system checks for available mobile channels for the user.
[0023] В другом частном случае реализации система аутентификации выполняет приоритезацию мобильных каналов для авторизации пользователя.[0023] In another particular implementation, the authentication system prioritizes mobile channels for user authorization.
[0024] В другом частном случае реализации система аутентификации формирует запрос в мобильный канал пользователя с наибольшим приоритетом.[0024] In another particular implementation, the authentication system generates a request to the user's mobile channel with the highest priority.
[0025] В другом частном случае реализации авторизация пользователя выполняется посредством дополнительной верификации.[0025] In another particular implementation, user authorization is performed through additional verification.
[0026] В другом частном случае реализации дополнительная верификация представляет собой биометрическую верификацию, пин-код, графический код, звуковой код или их сочетания.[0026] In another particular implementation, the additional verification is a biometric verification, a pin code, a graphic code, an audio code, or combinations thereof.
[0027] В другом частном случае реализации канал передачи данных выбирается из Интернет, Интранет, LAN, Ethernet, TCP/IP, WAN, WLAN, MAN, CAN, SAN, PAN, Wi-Fi, Wi-Fi Direct, LPWAN, GSM, GPRS, LTE, 5G, Bluetooth, BLE, IrDa, NFC, спутниковая связь или их сочетания.[0027] In another particular implementation, the data link is selected from the Internet, Intranet, LAN, Ethernet, TCP/IP, WAN, WLAN, MAN, CAN, SAN, PAN, Wi-Fi, Wi-Fi Direct, LPWAN, GSM, GPRS, LTE, 5G, Bluetooth, BLE, IrDa, NFC, satellite, or combinations thereof.
[0028] В другом частном случае реализации ресурс доступа представляет собой веб-сайт или программное приложение.[0028] In another particular implementation, the access resource is a website or software application.
[0029] В другом частном случае реализации устройство пользователя представляет собой персональный компьютер, смартфон, ноутбук, планшет, игровую приставку или умное носимое устройство.[0029] In another particular implementation, the user's device is a personal computer, smartphone, laptop, tablet, game console, or smart wearable device.
[0030] В другом частном случае реализации умное носимое устройство выбирается из группы: смарт-часы, смарт-браслет, смарт-кольцо, средства дополненной реальности, средства смешанной реальности, средства виртуальной реальности.[0030] In another particular implementation case, the smart wearable device is selected from the group: smart watch, smart bracelet, smart ring, augmented reality tools, mixed reality tools, virtual reality tools.
[0031] В другом предпочтительном варианте осуществления заявленного решения представлен способ авторизации пользователя на ресурсе доступа с помощью канала передачи данных, содержащий этапы, на которых:[0031] In another preferred embodiment of the claimed solution, a method for authorizing a user on an access resource using a data transmission channel is presented, comprising the steps of:
формируют запрос на доступ к ресурсу с помощью устройства пользователя, который содержит данные авторизации пользователя;form a request for access to the resource using the user's device, which contains the user's authorization data;
причем запрос выполняется из мобильного канала, доступного на упомянутом устройстве пользователя; передают упомянутый запрос на доступ к ресурсу в связанную с упомянутым ресурсом систему аутентификации;wherein the request is made from a mobile channel available on said user's device; transmitting said request for access to the resource to an authentication system associated with said resource;
осуществляют сравнение, с помощью системы аутентификации, данных авторизации пользователя для выбранного мобильного канала из полученного запроса, с данными доступа, хранящимися в системе аутентификации; иcomparing, by means of the authentication system, the user's authorization data for the selected mobile channel from the received request, with the access data stored in the authentication system; and
обеспечивают авторизацию упомянутого пользователя на упомянутом ресурсе с помощью упомянутого мобильного канала, в случае успешной проверки пользовательского запроса.provide authorization of the mentioned user on the mentioned resource using the mentioned mobile channel, in case of successful verification of the user request.
[0032] В одном из частных примеров реализации данные авторизации пользователя включают в себя по меньшей мере идентификатор пользователя на ресурсе доступа в выбранном мобильном канале.[0032] In one particular implementation, the user authorization data includes at least a user ID on an access resource on the selected mobile channel.
[0033] В другом частном примере реализации запрос на авторизацию шифруется на устройстве пользователя.[0033] In another particular implementation, the authorization request is encrypted on the user's device.
[0034] В другом частном примере реализации система аутентификации хранит для каждого ресурса доступные мобильные каналы авторизации.[0034] In another particular implementation, the authentication system stores available mobile authorization channels for each resource.
[0035] В другом частном примере реализации для каждого пользователя в системе аутентификации установлен по меньшей мере один мобильный канал для авторизации на ресурсе.[0035] In another particular implementation example, at least one mobile channel is installed for each user in the authentication system for authorization on the resource.
[0036] Еще одним предпочтительным вариантом осуществления заявленного решения является способ авторизации пользователя на ресурсе доступа с помощью канала передачи данных, содержащий этапы, на которых:[0036] Another preferred embodiment of the claimed solution is a method for authorizing a user on an access resource using a data transmission channel, comprising the steps of:
формируют запрос на доступ к ресурсу с помощью устройства пользователя, который содержит данные авторизации пользователя;form a request for access to the resource using the user's device, which contains the user's authorization data;
передают упомянутый запрос на доступ к ресурсу в связанную с упомянутым ресурсом систему аутентификации;transmitting said request for access to the resource to an authentication system associated with said resource;
проверяют в системе аутентификации доступность для упомянутого пользователя одного или более мобильных каналов для авторизации с помощью сравнения данных авторизации пользователя с данными, хранящимися в системе аутентификации;checking in the authentication system the availability for said user of one or more mobile channels for authorization by comparing the user's authorization data with data stored in the authentication system;
направляют в по меньшей мере один мобильный канал авторизации, доступный пользователю, запрос подтверждения доступа;sending to at least one mobile authorization channel available to the user an access confirmation request;
осуществляют подтверждение доступа с помощью мобильного канала на устройстве пользователя, в который поступил запрос от системы аутентификации, или получают отрицательное подтверждение о несанкционнированном доступе в упомянутом мобильном канале; иconfirming access using a mobile channel on the user's device, which received a request from the authentication system, or receive a negative confirmation of unauthorized access in said mobile channel; and
выполняют авторизацию пользователя на упомянутом ресурсе, в случае успешного подтверждения запроса доступа, или запрещают доступ при получении отрицательного подтверждения.perform authorization of the user on the mentioned resource, in case of successful confirmation of the access request, or deny access upon receipt of a negative confirmation.
[0037] В одном из частных примеров реализации при обработке пользовательского запроса на авторизацию, система аутентификации осуществляет приоритезацию доступных мобильных каналов для авторизации пользователя.[0037] In one particular implementation, when processing a user authorization request, the authentication system prioritizes available mobile channels for user authorization.
[0038] В другом частном примере реализации система аутентификации направляет запрос на подтверждение доступа в мобильный канал пользователя с наибольшим приоритетом.[0038] In another particular implementation example, the authentication system sends an access confirmation request to the mobile channel of the user with the highest priority.
[0039] В другом частном примере реализации для подтверждения запроса на подтверждение доступа устанавливается политика подтверждения, связанная с мобильным каналом.[0039] In another particular implementation example, a confirmation policy associated with the mobile channel is set to confirm an access confirmation request.
[0040] В другом частном примере реализации политика подтверждения выбирается из группы: временной интервал, подтверждение получение сообщения.[0040] In another particular implementation example, the acknowledgment policy is selected from the group: time interval, acknowledgment of message receipt.
[0041] В другом частном примере реализации при невыполнении заданной политики подтверждения система аутентификации формирует повторный запрос в другой доступный мобильный канал авторизации, на основании приоритезации каналов.[0041] In another particular implementation example, if the specified confirmation policy is not followed, the authentication system generates a re-request to another available mobile authorization channel, based on channel prioritization.
Описание чертежейDescription of drawings
[0042] Фиг. 1 иллюстрирует общую схему работы заявленного решения.[0042] FIG. 1 illustrates the general scheme of operation of the claimed solution.
[0043] Фиг. 2 Фиг. 3 иллюстрируют способ авторизации пользователя.[0043] FIG. 2 Fig. 3 illustrate a user authorization method.
[0044] Фиг. 4А - Фиг. 4D иллюстрируют примеры выбора мобильного канала аутентификации на устройстве пользователя с помощью графического интерфейса пользователя.[0044] FIG. 4A - Fig. 4D illustrate examples of selecting a mobile authentication channel on a user device using a graphical user interface.
[0045] Фиг. 5А - Фиг. 5D иллюстрируют примеры аутентификации при использовании двухфакторной верификации.[0045] FIG. 5A - Fig. 5D illustrate examples of authentication using two-factor verification.
[0046] Фиг. 6 иллюстрирует общий вид пользовательского устройства.[0046] FIG. 6 illustrates a general view of a user device.
Осуществление изобретенияImplementation of the invention
[0047] На Фиг. 1 представлена общая система (100) взаимодействия элементов заявленного решения. Авторизация пользователя (110) на ресурсе доступа (120) осуществляется с помощью пользовательского (110) вычислительного устройства, осуществляющего взаимодействие посредством канала передачи данных с ресурсом доступа (120). Ресурс доступа (120) подключен посредством соответствующего канала передачи данных к системе аутентификации (130), которая выполняет обработку данных для осуществления пользовательской (110) авторизации.[0047] In FIG. 1 shows the general system (100) of the interaction of the elements of the claimed solution. Authorization of the user (110) on the access resource (120) is carried out using the user (110) computing device that interacts with the access resource (120) via a data transmission channel. The access resource (120) is connected via an appropriate data link to the authentication system (130), which performs data processing for user (110) authorization.
[0048] Пользовательское вычислительное устройство (110) может представлять, например, смартфон, планшет, персональный компьютер, ноутбук, игровую приставку, с март-телевизор, носимое умное устройство (кольцо, браслет, часы, очки и т.п.), средство виртуальной реальности, средство дополненной реальности, средство смешанной реальности и т.п. Устройство (110) должно обеспечивать обработку необходимой программной логики для выполнения процедуры авторизации пользователя на одном или более ресурсах (120). Общее описание основных компонентов устройства (10) будет раскрыто далее в настоящем описании.[0048] The user computing device (110) may be, for example, a smartphone, tablet, personal computer, laptop, game console, March-TV, wearable smart device (ring, bracelet, watch, glasses, etc.), virtual reality tool, augmented reality tool, mixed reality tool, and the like. The device (110) must provide processing of the necessary software logic to perform the user authorization procedure on one or more resources (120). A general description of the main components of the device (10) will be disclosed later in this description.
[0049] Канал передачи данных может представлять собой различный принцип и протоколы для передачи информации и обеспечения информационного взаимодействия, например, Интернет, Интранет, LAN, Ethernet, TCP/IP, WAN, WLAN, MAN, CAN, SAN, PAN, Wi-Fi, Wi-Fi Direct, LP WAN, GSM, GPRS, LTE, 5G, Bluetooth, BLE, IrDa, NFC, спутниковая связь и т.п. Различные имплементации и воплощения канала передачи данных зависят от конкретной реализации информационной сети обмена. Стоит также отметить, что канал передачи данных может представлять собой прямое подключение двух и более устройств между собой.[0049] The data link can be a variety of principles and protocols for transmitting information and providing information exchange, for example, the Internet, Intranet, LAN, Ethernet, TCP/IP, WAN, WLAN, MAN, CAN, SAN, PAN, Wi-Fi , Wi-Fi Direct, LP WAN, GSM, GPRS, LTE, 5G, Bluetooth, BLE, IrDa, NFC, satellite, etc. Various implementations and embodiments of the data transmission channel depend on the specific implementation of the information exchange network. It is also worth noting that a data transmission channel can be a direct connection of two or more devices to each other.
[0050] Под ресурсом доступа (120) понимается сущность (объект, приложение, устройство, веб-сайт и т.п.), к которой пользователь получает доступ с помощью канала передачи данных, например, наиболее распространенный случай веб-сайт. Ресурс доступа (120) в настоящей реализации технического решения подразумеваются не только сами данные, например, данные бухгалтерского учета, медиа данные, информация доступа, но и механизм их доставки, например, окно интернет браузера, мобильное приложение, элементы графического интерфейса пользователя. Ресурс доступа (120) может также представлять собой приложение, установленное на устройстве пользователя (110).[0050] An access resource (120) refers to an entity (object, application, device, website, etc.) that a user accesses via a data link, such as the most common case of a website. The access resource (120) in the present implementation of the technical solution implies not only the data itself, for example, accounting data, media data, access information, but also the mechanism for their delivery, for example, an Internet browser window, a mobile application, elements of a graphical user interface. The access resource (120) may also be an application installed on the user's device (110).
[0051] Ресурс доступа (120) также может содержать хранилище данных (121), например, базу данных. Хранилище данных (121) представляет собой механизм, связанный с ресурсом доступа (120), который при получении запроса на доступ от пользователя (110) "узнает" ранее аутентифицированных пользователей (110) для ускорения процесса последующей аутентификации. Этот механизм может использовать, например, "куки-файлы" для ресурса (120) в браузере, или в другом техническом виде, позволяющем осуществлять задачу.[0051] The access resource (120) may also contain a data store (121), such as a database. The data store (121) is a mechanism associated with the access resource (120) that, upon receiving an access request from a user (110), "learns" previously authenticated users (110) to expedite the subsequent authentication process. This mechanism may use, for example, "cookies" for the resource (120) in the browser, or in other technical form that allows the task to be carried out.
[0052] Система аутентификации (130) представляет собой программно-аппаратное решение по обеспечению многоканального управления доступом для осуществления авторизации пользователей (110). Система аутентификации (130) может быть интегрирована в ресурс доступа (120), причем интеграция может быть полной или частичной. Система аутентификации (130) может быть удаленным сервисом, взаимодействующим посредством обмена запросов авторизации пользователей (110) через ресурс доступа (120), для обеспечения доступа.[0052] The authentication system (130) is a hardware and software solution for providing multi-channel access control for user authorization (110). The authentication system (130) may be integrated into the access resource (120) and the integration may be complete or partial. The authentication system (130) may be a remote service interacting by exchanging user authorization requests (110) through an access resource (120) to provide access.
[0053] Основными элементами системы аутентификации (130) являются хранилище данных (131), модуль назначения канала доступа для аутентификации (132), модуль пользовательских настроек (133), модуль выбора и приоритезации мобильных каналов (134), модуль уведомления пользователя и модуль уведомления ресурса доступа (135). Набор модулей может отличаться при конкретной конечной реализации, в частности, модули уведомлений могут являться опциональным решением.[0053] The main elements of the authentication system (130) are a data store (131), an access channel assignment module for authentication (132), a user settings module (133), a mobile channel selection and prioritization module (134), a user notification module, and a notification module access resource (135). The set of modules may differ depending on the final implementation, in particular, notification modules may be an optional solution.
[0054] Хранилище данных (131) содержит основную информацию для обеспечения процесса авторизации пользователей (110). В модуле (131) хранятся данные каналов, выбранные каждым пользователем (110), осуществляющим взаимодействие с системой (130), ключи/токены/ID данные, соответствующие каждому пользователю (110) в каждом мобильном канале, с помощью которого выполняется или выполнялась авторизация.[0054] The data store (131) contains the basic information for providing the user authorization process (110). The module (131) stores channel data selected by each user (110) interacting with the system (130), keys/tokens/ID data corresponding to each user (110) in each mobile channel through which authorization is performed or performed.
[0055] Также, в хранилище (131) хранятся алгоритмы, процедуры и логика работы авторизации и уведомлений для каждого канала авторизации, например, но не исключительно: таймауты операций, способы подтверждений доставки данных, правила запуска, периоды повторных аутентификаций, АПИ (API) вызовы и другие детали канала. Количество каналов в системе (130) может быть больше, чем конкретный ресурс доступа (120) избрал использовать для решения собственных задач по авторизации пользователей (110).[0055] Also, the storage (131) stores the algorithms, procedures and logic for the operation of authorization and notifications for each authorization channel, for example, but not exclusively: operation timeouts, data delivery confirmation methods, trigger rules, re-authentication periods, API (API) calls and other channel details. The number of channels in the system (130) may be greater than the specific access resource (120) chosen to use to solve their own problems of user authorization (110).
[0056] В хранилище (131) содержится программная логика по управлению ключами доступа, в частности, получение, хранение и передача авторизационных ключей и/или идентификаторов (в зависимости от канала авторизации) для каждого ресурса доступа (120) и для каждого канала, выбранного ресурсом доступа (120) для своей работы.[0056] The store (131) contains program logic for managing access keys, in particular, obtaining, storing and transmitting authorization keys and / or identifiers (depending on the authorization channel) for each access resource (120) and for each channel selected access resource (120) for its work.
[0057] В хранилище данных (131) также передается и хранится информацию о всех ранее аутентифицированных пользователях для каждого ресурса доступа (120). Данная информация может связываться с хранящимися данными ключей в хранилище данных (131) из множества ресурсов доступа (120), для обеспечения централизованного сервиса аутентификации.[0057] The data store (131) also transmits and stores information about all previously authenticated users for each access resource (120). This information may be associated with the stored key data in the data store (131) from the plurality of access resources (120) to provide a centralized authentication service.
[0058] В хранилище (131) также могут сохраняться все события аутентификации, включая все важные технические данные о таких событиях, например, идентификаторы пользователя, время и место, канал, тип устройства пользователя и так далее.[0058] The store (131) may also store all authentication events, including all important technical data about such events, such as user IDs, time and place, channel, user device type, and so on.
[0059] Модуль назначения канала доступа для аутентификации (132) обеспечивает работу с ключами/идентификаторами для множества ресурсов доступа (120). Данный модуль (132) может быть реализован, например, в виде облачного сервиса, связанного с ресурсами доступа (120). С помощью модуля (132) выполняется настройки используемых каналов авторизации на ресурсах доступа (132).[0059] The Authentication Access Channel Assignment Module (132) handles keys/identifiers for a plurality of access resources (120). This module (132) can be implemented, for example, as a cloud service associated with access resources (120). The module (132) is used to configure the authorization channels used on the access resources (132).
[0060] Модуль выбора мобильного канала авторизации (133) обеспечивает выбор канала авторизации для пользователя (110). Данный функционал может быть вызван изнутри или снаружи периметра ресурса доступа (120) (в зависимости от применяемого форм фактора). Модуль (133) содержит данные только мобильных каналов аутентификации, выбранных владельцем ресурса доступа (120) из набора всех мобильных каналов, чья логика работы доступна и хранится в хранилище (131) системы аутентификации (130).[0060] The mobile authorization channel selection module (133) provides authorization channel selection for the user (110). This functionality can be called from inside or outside the perimeter of the access resource (120) (depending on the applied form factor). The module (133) contains data of only mobile authentication channels selected by the owner of the access resource (120) from the set of all mobile channels whose operation logic is available and stored in the storage (131) of the authentication system (130).
[0061] Модуль многоканального выбора и приоритезации мобильных каналов (134) обеспечивает подбор и ранжирование каналов аутентификации, исходя из установленных логикой работы модуля (134) правил. Модуль (134) при выполнении предписанных функций может использовать историю аутентификаций пользователя (110) и данные о разрешенных каналах ресурсом доступа (120). Процесс выбора канала начинается с выбора одного канала (наиболее приоритетного) и далее выполняется перебор каналов авторизации до получения результата аутентификации.[0061] The module for multi-channel selection and prioritization of mobile channels (134) provides the selection and ranking of authentication channels based on the rules established by the logic of the module (134). The module (134), when performing the prescribed functions, can use the user's authentication history (110) and the data on allowed channels by the access resource (120). The channel selection process begins with the selection of one channel (the highest priority) and then iterates through the authorization channels until the authentication result is obtained.
[0062] Модуль уведомления пользователя (135) обеспечивает уведомление пользователя (110) о том, что аутентификация происходит в данный момент (может не применяться в каждой реализации настоящего решения), включая логику сообщений об отказе в аутентификации или о просрочке, или о необходимости дополнительного подтверждения. Функционирование логики данного модуля (135) может требовать дополнительных действий со стороны пользователя (110). Чаще всего такие дополнительные действия требуются при аутентификации второго фактора доступа.[0062] The user notification module (135) provides notification to the user (110) that authentication is currently in progress (may not be applicable in each implementation of the present solution), including the logic of messages about authentication failure or delay, or the need for additional confirmation. The operation of the logic of this module (135) may require additional actions on the part of the user (110). Most often, such additional steps are required when authenticating the second access factor.
[0063] Модуль уведомления ресурса доступа (136) обеспечивает уведомление ресурса доступа (120) о результате аутентификации, например, модуль (136) может быть реализован на основании протокола OAuth.[0063] The access resource notification module (136) notifies the access resource (120) of the authentication result, for example, the module (136) may be implemented based on the OAuth protocol.
[0064] На Фиг. 2 представлен способ авторизации пользователя (110) с помощью мобильного канала аутентификации на ресурсе доступа (120). На этапе (201) пользователь инициирует процесс аутентификации на ресурсе доступа (120). Инициирование запроса на доступ к ресурсу (120) может выполняться, например, через активацию элемента графического интерфейса (GUI) на экране устройства (110), например, иконку, виджет и т.п., через веб-браузер или с помощью программного приложения. Далее запрос от устройства пользователя (110) на этапе (202) передается на ресурс доступа (120).[0064] In FIG. 2 shows a method for authorizing a user (110) using a mobile authentication channel on an access resource (120). At step (201), the user initiates an authentication process on the access resource (120). Initiation of a request for access to a resource (120) can be performed, for example, through the activation of a graphical interface (GUI) element on the screen of the device (110), for example, an icon, widget, etc., through a web browser or using a software application. Next, the request from the user's device (110) at step (202) is transmitted to the access resource (120).
[0065] При получении пользовательского запроса на этапе (202) ресурс (120) осуществляет его обработку. Запрос, как правило, включает в себя идентификатор пользователя, либо связку его данных авторизации (логин/пароль), также может дополнительно использоваться ID устройства пользователя и иной тип идентифицирующей информации. Ресурс доступа (120) на этапе (203) по полученным идентификаторам пользователя осуществляет проверку наличия для данного пользователя (110) установленного мобильного канала аутентификации, с помощью передачи упомянутых данных идентификации в систему аутентификации (130) (этап 203).[0065] Upon receipt of a user request at step (202), the resource (120) processes it. The request, as a rule, includes a user ID, or a bunch of his authorization data (login / password), the user's device ID and other type of identifying information can also be additionally used. The access resource (120) at step (203) checks whether the user (110) has an established mobile authentication channel based on the received user identifiers by transmitting said identification data to the authentication system (130) (step 203).
[0066] На этапе (203) система аутентификации проверяет с помощью сравнения полученных данных в пользовательском запросе и данных, хранящихся в модуле памяти системы (131), на наличие канала аутентификации для соответствующего пользователя (110). Если для пользователя, запрашивающего процесс аутентификации, в системе (130) не сохранено канала, например, выполняется первый доступ к ресурсу (120), то осуществляется выбор канала с помощью модуля (133) (этап 211), при котором для выбранного канала создаются данные доступа, которые сохраняются в хранилище (131) системы (130) для соответствующего пользователя. Впоследствии сохраненные данные будут применяться для последующей авторизации с помощью выбранного канала аутентификации.[0066] At step (203), the authentication system checks, by comparing the data received in the user request and the data stored in the system memory module (131), for the existence of an authentication channel for the corresponding user (110). If no channel is stored in the system (130) for the user requesting the authentication process, for example, the first access to the resource (120) is performed, then the channel is selected using the module (133) (step 211), in which data is created for the selected channel access, which are stored in the storage (131) of the system (130) for the respective user. Subsequently, the saved data will be used for subsequent authorization using the selected authentication channel.
[0067] На этапе (204) проверяется источник направления запроса, в частности, осуществляется ли пользовательский запрос из ранее назначенного мобильного канала для текущего пользователя (110), связанный с ресурсом (120), к которому выполняется запрос на аутентификацию. Если мобильный канал уже назначен и его данные сохранены для текущего пользователя (110) и соответствующего ресурса доступа (120)в системе аутентификации (130), то осуществляется дальнейшее выполнение логики и правил аутентификации, заложенных для данного мобильного канала (этап 205).[0067] At step (204), the source of the request is checked, in particular, whether the user request is from a previously assigned mobile channel for the current user (110) associated with the resource (120) to which the authentication request is being made. If the mobile channel has already been assigned and its data is stored for the current user (110) and the corresponding access resource (120) in the authentication system (130), then further execution of the authentication logic and rules laid down for this mobile channel is carried out (step 205).
[0068] Например, в качестве мобильного канала аутентификации может использоваться приложение мессенджер (Telegram, WhatsApp, FaceBook Messenger, Slack, Viber и т.п.). Каждый канал имеет свою заданную логику идентификации пользователей и принцип обработки данных с помощью алгоритмов, например, принципы шифрования данных, формирование и передачу пакетов данных, алгоритм уведомления и т.п.[0068] For example, a messenger application (Telegram, WhatsApp, FaceBook Messenger, Slack, Viber, etc.) can be used as a mobile authentication channel. Each channel has its own user identification logic and the principle of data processing using algorithms, for example, the principles of data encryption, the formation and transmission of data packets, the notification algorithm, etc.
[0069] При выполнении необходимых требований по организации аутентификации с помощью логики мобильного канала на этапе (206), пользователю предоставляется доступ к ресурсу с помощью его авторизации (этап 207). Дополнительно ресурс данных (120) может уведомляться системой (130) о факте положительной аутентификации пользователя (110).[0069] Upon fulfilling the necessary requirements for organizing authentication using the mobile channel logic at step (206), the user is granted access to the resource using his authorization (step 207). Additionally, the data resource (120) may be notified by the system (130) that the user has been positively authenticated (110).
[0070] Если на этапе (206) процедура аутентификации завершается не успешно, то логика алгоритма аутентификации пользователя (110) может заново обратиться к системе аутентификации (130) на этапе (208) для анализа дополнительных мобильных каналов аутентификации для текущего пользователя (110). Если для пользователя (110) в системе аутентификации имеются дополнительные мобильные каналы для аутентификации, то процесс аутентификации переход на этап (300), который будет описан далее в материалах заявки.[0070] If at step (206) the authentication procedure is not completed successfully, then the logic of the user authentication algorithm (110) may re-access the authentication system (130) at step (208) to analyze additional mobile authentication channels for the current user (110). If there are additional mobile channels available for the user (110) in the authentication system for authentication, then the authentication process proceeds to step (300), which will be described later in the application materials.
[0071] В случае, если на этапе (208) для пользователя (110) нет дополнительных каналов для аутентификации, то процесс аутентификации может начаться заново (этап 209) с повторением процесса для текущего назначенного пользователем (110) мобильным каналом аутентификации. Повторная аутентификация может выполняться с помощью генерирования сообщения, PUSH-уведомления или иного типа оповещения, отображаемого с помощью устройства пользователя (110), в ответ на которое пользователь (110) инициирует повторную аутентификацию на ресурсе доступа (120). При отказе от повторной процедуры аутентификации, на этапе (210) система аутентификации (130) сообщает ресурсу (120) о запрете авторизации пользователя.[0071] If at step (208) there are no additional channels for the user (110) to authenticate, then the authentication process may start again (step 209) repeating the process for the currently assigned mobile authentication channel by the user (110). Re-authentication may be performed by generating a message, PUSH notification, or other type of alert displayed by the user's device (110), in response to which the user (110) initiates re-authentication on the access resource (120). When refusing to re-authenticate, at step (210) the authentication system (130) informs the resource (120) about the prohibition of user authorization.
[0072] На Фиг. 3 представлена процедура (300) выбора мобильного канала для аутентификации пользователем (110). Как было указано выше, выбор мобильного канала может осуществляться когда пользователь (110) не осуществлял назначение мобильного канала аутентификации для авторизации на выбранном ресурсе доступа (120), либо в случае, когда пользователь (110) не смог выполнить аутентификацию с помощью установленного заранее мобильного канала. При таком сценарии выполнения аутентификации пользователя (110) осуществляется назначение дополнительного мобильного канала для аутентификации.[0072] In FIG. 3 shows a procedure (300) for selecting a mobile channel for user authentication (110). As mentioned above, mobile channel selection can be performed when the user (110) did not assign a mobile authentication channel for authorization on the selected access resource (120), or in the case when the user (110) was unable to authenticate using a pre-established mobile channel. . In this user authentication scenario (110), an additional mobile channel is assigned for authentication.
[0073] На этапе (301) выполняется проверка доступных для пользователя (110) мобильных каналов для аутентификации, информация о которых находится в системе аутентификации (130). Если пользователь еще не выполнял выбор канала аутентификации для использования на текущем ресурсе доступа (120), то система аутентификации (130) проверяет все доступные для пользователя (110) каналы аутентификации, а также возможность применения доступных мобильных каналов аутентификации для текущего ресурса доступа (120).[0073] At step (301), a check is made of mobile channels available to the user (110) for authentication, information about which is in the authentication system (130). If the user has not yet selected an authentication channel to use on the current access resource (120), then the authentication system (130) checks all authentication channels available to the user (110), as well as the possibility of using available mobile authentication channels for the current access resource (120) .
[0074] После получения перечня мобильных каналов, доступных пользователю (110) для авторизации на текущем ресурсе (120), на этапе (302) выполняется проверка активации механизма приоритезации мобильных каналов, установленного в системе аутентификации (130) для соответствующего пользователя (110). Если механизм приоритезации не активирован, то на этапе (303) осуществляется выбор мобильного канала для аутентификации пользователя (110), который был использован при последней успешной авторизации на текущем ресурсе доступа (120).[0074] After receiving the list of mobile channels available to the user (110) for authorization on the current resource (120), at step (302) the activation of the mobile channel prioritization mechanism installed in the authentication system (130) for the corresponding user (110) is checked. If the prioritization mechanism is not activated, then at step (303) the mobile channel for user authentication (110) is selected, which was used during the last successful authorization on the current access resource (120).
[0075] На этапе (304) при активированном механизме приоритезации мобильных каналов аутентификации, система аутентификации (130) выполняет ранжирование доступных мобильных каналов для осуществления процесса авторизации пользователя (110) на текущем ресурсе доступа (120). Правила приоритезации могут состоять из 1…N количества правил, в частности, как выбирать первичный (приоритетный) и последующие каналы, как выстраивать последовательность использования мобильных каналов аутентификации и т.п.[0075] At step (304), with the mobile authentication channel prioritization mechanism activated, the authentication system (130) performs ranking of available mobile channels to perform the user authorization process (110) on the current access resource (120). Prioritization rules can consist of 1...N number of rules, in particular, how to select the primary (priority) and subsequent channels, how to sequence the use of mobile authentication channels, etc.
[0076] Каждый ресурс доступа (120) может иметь по-разному настроенные правила аутентификации. Приоритеты могут содержать, но не исключительно, цену использования канала, предпочтения ресурса доступа (120), историю авторизаций пользователя, скорость реакции пользователя на канал, возможность использования канала в месте нахождения пользователя и так далее. На основании приоритета каналов осуществляется выбор канала для аутентификации с наибольшим приоритетом, а также выстраивается последующая очередность для дальнейшего использования каналов аутентификации в случае повторной процедуры аутентификации.[0076] Each access resource (120) may have differently configured authentication rules. The priorities may include, but are not limited to, channel usage cost, access resource preferences (120), user authorization history, user response rate to the channel, channel usage capability at the user's location, and so on. Based on the channel priority, the channel for authentication with the highest priority is selected, and the subsequent queue is built for further use of the authentication channels in the event of a repeated authentication procedure.
[0077] В качестве примера применения механизма ранжирования каналов аутентификации можно рассмотреть пример, в котором система (130) определяет ряда метрик для подбора наиболее релевантного канала для использования в качестве аутентификации. В частности, параметрами для обработки алгоритма ранжирования могут служить: местонахождение пользователя (роуминг, наличие сетей 3G/4G), условия сотового оператора (бесплатный доступ к мессенджерам, соцсетям и т.п.), стоимость передачи данных с использованием каждого типа мобильного канала (SMS, Интернет). На основании полученных метрик, параметры, присущие тому или иному мобильному каналу, обрабатываются алгоритмом модуля приоритезации (134) системы аутентификации (130).[0077] As an example of the application of an authentication channel ranking mechanism, consider an example where the system (130) determines a set of metrics to select the most relevant channel to use as authentication. In particular, the parameters for processing the ranking algorithm can be: the user's location (roaming, availability of 3G / 4G networks), the conditions of the mobile operator (free access to instant messengers, social networks, etc.), the cost of data transmission using each type of mobile channel ( SMS, Internet). Based on the obtained metrics, the parameters inherent in a particular mobile channel are processed by the algorithm of the prioritization module (134) of the authentication system (130).
[0078] Далее на этапе (305) применяется логика аутентификации для выбранного мобильного канала на этапах (303) или (304) с помощью соответствующей связки идентификационных данных (ID/токены и т.п.) пользователя (110) для выбранного канала, которые хранятся в системе (130). После обработки данных на этапе (305) выполняется последовательность действий, описанная выше для этапа (205).[0078] Next, at step (305), the authentication logic for the selected mobile channel is applied at steps (303) or (304) using the appropriate user identification data (ID/tokens, etc.) binding (110) for the selected channel, which stored in the system (130). After processing the data at step (305), the sequence of actions described above for step (205) is performed.
[0079] Также, если на этапе (208) в случае неуспешной аутентификации пользователя (110) с помощью заданного канала аутентификации или одного из каналов, который был выбран из набора доступных каналов аутентификации, способ аутентификации выполняется процедуру, начиная с этапа (301). Если с помощью механизма выбора каналов системы (130) уже выполнялся выбор мобильного канала для аутентификации, то используются параметры аутентификации для следующего приоритетного канала.[0079] Also, if at step (208) in case of unsuccessful authentication of the user (110) using a given authentication channel or one of the channels that was selected from the set of available authentication channels, the authentication method is executed from step (301). If a mobile channel for authentication has already been selected using the system channel selection mechanism (130), then the authentication parameters for the next priority channel are used.
[0080] Также, система аутентификации (130) может проверять цикл авторизации, например, его продолжительность в заданный промежуток времени, количество итераций, до получения положительного/отрицательного результата. В таком случае реализация имеет механизм установки и хранения этих установок для применения их после проверки последнего доступного канала.[0080] Also, the authentication system (130) can check the authorization cycle, for example, its duration in a given period of time, number of iterations, before obtaining a positive/negative result. In such a case, the implementation has a mechanism to set and store these settings in order to apply them after checking the last available channel.
[0081] Ресурс (120) предоставляет доступ пользователю (110) тем способом, который применим для конкретной реализации. Например, если пользователь (110) запрашивает авторизацию в ресурсе (120) через десктоп браузер, то после мобильного подтверждения пользователь допускается на ресурс доступа (120). Если пользователь (110) запрашивает авторизацию в мобильной версии ресурса (120), тогда незамедлительный доступ может быть разрешен.[0081] The resource (120) provides access to the user (110) in a manner that is applicable to a particular implementation. For example, if a user (110) requests authorization in a resource (120) through a desktop browser, then after a mobile confirmation, the user is admitted to the access resource (120). If the user (110) requests authorization on the mobile version of the resource (120), then immediate access may be granted.
[0082] Дополнительно для процесса аутентификации устройства пользователя (110) может применяться дополнительная верификация пользователя в мобильном канале доступа, например, двухфакторная аутентификации (2FA - Two factor authentication). На этапе (205) для каждого из каналов устанавливается присущая ему политика осуществления процедуры верификации пользователя, исходя из полученного запроса на доступ к ресурсу (120). При условии применении 2FA определяется используемый соответствующим мобильным каналом способ ее выполнения, например, ввод кода (PIN-код, код из электронного сообщения и т.п.), ввод символов/слов, применение средств ЭЦП, ввод подписи пользователя на экране устройства (110), биометрическая идентификация (отпечаток пальца, сканирование сетчатки глаза, голосовой ввод, изображения пользователя, рисунок вен и т.п.), факт просмотра сообщения (PUSH-сообщения), графический код (например, QR-код, bar-код), временной интервал обработки сообщения, взаимодействие с элементами графического интерфейса и т.п. Могут применяться различные известные из уровня техники принципы подтверждения доступа пользователя (110) к выбранному каналу данных.[0082] Additionally, for the user device authentication process (110), additional user verification in the mobile access channel, for example, two-factor authentication (2FA - Two factor authentication), can be applied. At step (205) for each of the channels, its inherent policy for implementing the user verification procedure is set, based on the received request for access to the resource (120). If 2FA is used, the method of its implementation used by the corresponding mobile channel is determined, for example, entering a code (PIN code, code from an electronic message, etc.), entering symbols / words, using digital signature tools, entering a user signature on the device screen (110 ), biometric identification (fingerprint, retinal scan, voice input, user images, vein pattern, etc.), fact of viewing a message (PUSH messages), graphic code (for example, QR code, bar code), time interval for message processing, interaction with GUI elements, etc. Various principles known in the art for confirming user access (110) to a selected data channel may be applied.
[0083] При передаче пользовательского запроса в систему аутентификации (130), к запросу может применяться один или несколько алгоритмов шифрования, например, RSA, SHA-256 и т.п. Данный подход обеспечивает дополнительную защиту при обмене информационными пакетами, содержащими идентификационные данные пользователя (110) и данные для выполнения процедуры аутентификации в канале пользователя.[0083] When passing a user request to the authentication system (130), one or more encryption algorithms, such as RSA, SHA-256, and the like, may be applied to the request. This approach provides additional security in the exchange of information packets containing user identification data (110) and data for performing the authentication procedure in the user channel.
[0084] На Фиг. 4А представлен пример выбора каналов аутентификации с помощью GUI пользовательского устройства (110). Интерфейс устройства (110) содержит область отображения информации о ресурсе доступа (112) и область (111) расположения иконок (1111)-(1113) мобильных каналов. Область (111) может представлять собой всплывающее окно или виджет. При активации выбранной иконки с каналом доступа выполняется процедура связывания выбранного канала аутентификации с текущим ресурсом доступа или, например, ресурсом, связанным с данной иконкой.[0084] In FIG. 4A shows an example of selecting authentication channels using the GUI of the user device (110). The device interface (110) contains an area for displaying information about the access resource (112) and an area (111) for the location of icons (1111)-(1113) of mobile channels. Area (111) may be a popup or widget. When the selected icon is activated with an access channel, a procedure is performed to associate the selected authentication channel with the current access resource or, for example, the resource associated with this icon.
[0085] Фиг. 4В иллюстрирует пример с отображением вариантов каналов для аутентификации пользователя, в котором помимо иконок (1111)-(1113) может также отображаться наиболее предпочтительный канал аутентификации (1114) для текущего ресурса доступа (120). Иконка или кнопка для выбора канала (1114) может отображаться как автоматически при осуществлении доступа к ресурсу (120), так и при выполнении определенных заданных условий, например, прошествии определенного временного периода, активации механизма приоритезации каналов и т.п.[0085] FIG. 4B illustrates an example of displaying channel options for user authentication, in which, in addition to icons (1111)-(1113), the most preferred authentication channel (1114) for the current access resource (120) can also be displayed. An icon or button for selecting a channel (1114) can be displayed either automatically when accessing a resource (120) or when certain predetermined conditions are met, for example, a certain time period has passed, a channel prioritization mechanism has been activated, and the like.
[0086] На Фиг. 4С представлен пример отображения десктопной версии устройства (110), например, персональный компьютер, ноутбук или моноблок, в которой пользователь может запросить аутентификацию с помощью мобильных каналов. В этом случае выбор канала делается, используя логику первично мобильных каналов, связка с которыми существует на десктопе в виде установленных приложений или плагинов, или ссылка на выбор доставляется на мобильное устройство пользователя любым приемлемым методом, например CMC, push, e-mail и т.п. Окно интерфейса (111) отображает как возможные варианты выбора каналов аутентификации (1111)-(1112), так и предпочтительные каналы (1114). Элемент (1115) представляет собой элемент интерфейса, с помощью которого может выполняться вызов списка иконок мобильных каналов (111).[0086] In FIG. 4C shows an example of displaying a desktop version of a device (110), such as a personal computer, laptop or all-in-one, in which the user can request authentication using mobile channels. In this case, channel selection is made using the logic of primary mobile channels, a link with which exists on the desktop in the form of installed applications or plug-ins, or a selection link is delivered to the user's mobile device by any acceptable method, such as CMC, push, e-mail, etc. P. The interface window (111) displays both the possible authentication channels (1111)-(1112) and the preferred channels (1114). Element (1115) is an interface element with which a list of icons of mobile channels (111) can be called.
[0087] На Фиг. 4D представлен пример выбора канала аутентификации при заблокированном режиме устройства (110). Область (111) с иконками каналов (1111)-(1113) может вызываться при помощи взаимодействия с дисплеем устройства (110), например, с помощью свайп-движения от нижней кромки экрана. Специалисту должно быть очевидно, что могут применятся другие варианты взаимодействия с GUI устройства (110) в любых возможных направлениях, доступных с помощью работы логики интерфейса или операционной системы, оболочки, лаунчера и т.п.[0087] In FIG. 4D shows an example of authentication channel selection in device locked mode (110). The area (111) with channel icons (1111)-(1113) can be called up by interacting with the display of the device (110), for example, by swiping from the bottom edge of the screen. It should be obvious to one skilled in the art that other options for interacting with the GUI of the device (110) in any possible directions available through the operation of the interface logic or operating system, shell, launcher, and the like can be used.
[0088] Фиг. 5А - Фиг. 5В иллюстрируют пример работы платформы с помощью двухфакторной верификации между двумя устройствами (1101)-(1102), в случае когда одно из устройств находится в заблокированном режиме. При необходимости аутентификации на ресурсе доступа (120) на первом устройстве (1101), если для ресурса (120) имеется назначенный канал доступа или пользователь имеет несколько доступных каналов для осуществления процесса аутентификации на упомянутом ресурсе (120), то запрос на аутентификацию пользователя на ресурсе (120) может поступать на устройство (1102), которое может находиться в заблокированном режиме. В этом случае уведомление о поступлении в выбранный мобильный канал для аутентификации может отображаться в виде PUSH-уведомления (111), которое также приходит в соответствующий выбранный пользователем мобильный канал аутентификации (1111). Активация полученного PUSH-уведомления (111) может осуществляться, в частности, при взаимодействии с элементом интерфейса, отображающим данное уведомление, что будет являться подтверждением пользовательской аутентификации с помощью устройства (1102). Подтверждением может являться взаимодействие с областью PUSH-уведомления (111). Если подтверждение уведомления (111) не происходит в установленное время, то считается, что аутентификация не выполняется и осуществляется либо выбор другого канала для аутентификации, либо запрет на предоставление доступа.[0088] FIG. 5A - Fig. 5B illustrates an example of platform operation using two-factor verification between two devices (110 1 )-(110 2 ), when one of the devices is in locked mode. If it is necessary to authenticate on the access resource (120) on the first device (110 1 ), if the resource (120) has an assigned access channel or the user has several available channels to perform the authentication process on the mentioned resource (120), then the user authentication request on resource (120) may be sent to the device (110 2 ), which may be in a blocked mode. In this case, the arrival notification on the selected mobile channel for authentication may be displayed as a PUSH notification (111) which also arrives on the corresponding user-selected mobile authentication channel (1111). Activation of the received PUSH notification (111) can be carried out, in particular, when interacting with an interface element that displays this notification, which will be a confirmation of user authentication using the device (110 2 ). The confirmation may be an interaction with the PUSH notification area (111). If the confirmation of the notification (111) does not occur at the set time, then it is considered that authentication is not performed and either another channel for authentication is selected or access is denied.
[0089] В то же время, может использоваться частный вариант подтверждения аутентификации, при котором, система (130) получает уведомление из мобильного канала аутентификации на устройстве (1102) о просмотре PUSH-уведомления. В этом случае факт аутентификации также считается совершенным. Под термином "просмотр" также подразумевается получения отклика от устройства пользователя (1102), подтверждающего, что пользователь увидел PUSH-уведомление (111), например, с помощью получения данных от сенсоров мобильного устройства (1102) (гироскоп, камера, датчик приближения и т.п.). Само по себе PUSH-уведомление (111) также может носить сугубо информационный характер и не требовать дополнительной активности со стороны пользователя.[0089] At the same time, a private authentication confirmation option may be used, in which the system (130) receives a notification from the mobile authentication channel on the device (110 2 ) to view the PUSH notification. In this case, the fact of authentication is also considered perfect. The term "view" also means receiving a response from the user's device (110 2 ) confirming that the user has seen the PUSH notification (111), for example, by receiving data from the sensors of the mobile device (110 2 ) (gyroscope, camera, proximity sensor etc.). The PUSH notification itself (111) can also be purely informational in nature and does not require additional activity on the part of the user.
[0090] Также, одним из частных примеров подтверждения аутентификации пользователя устройства (1102) при отправке подтверждения от другого устройства с помощью PUSH-уведомления, ввод информации в поле (111) может выполняться с помощью текстового ввода с помощью текстовой строки, генерируемой GUI при взаимодействии с областью (111) PUSH-уведомления.[0090] Also, one of the particular examples of confirming device user authentication (110 2 ) when sending confirmation from another device using a PUSH notification, entering information in the field (111) can be performed using text input using a text string generated by the GUI when interaction with the area (111) of the PUSH notification.
[0091] На Фиг. 5В представлен пример взаимодействия с областью (111), например, с помощью свайп движения с отображением вариантов для подтверждения или отклонения аутентификации. Также, дополнительно может применяться вариант со входом на устройстве (1 Юг) в установленный мобильный канал для аутентификации, например, Telegram, в котором будут предоставляться варианты для выполнения или отклонения аутентификации. Примером таких приложения может служить известное решение LoginTap.[0091] In FIG. 5B shows an example of interaction with the area (111), for example, using a swipe movement with options displayed to confirm or reject authentication. Also, an option with access on the device (1 South) to the established mobile channel for authentication, for example, Telegram, can be additionally used, in which options will be provided to perform or reject authentication. An example of such applications is the well-known LoginTap solution.
[0092] В различных вариантах осуществления, выполнение процесса аутентификации с помощью устройства (110) снабженного биометрическим сенсором в области дисплея, может выполнятся с помощью переноса посредством GUI операционной системы иконки с мобильным каналом аутентификации в область биометрического сенсора для осуществления подтверждения пользовательского выбора с помощью биометрической верификации.[0092] In various embodiments, the implementation of the authentication process using the device (110) equipped with a biometric sensor in the display area can be performed by transferring, by means of the GUI of the operating system, an icon with a mobile authentication channel to the area of the biometric sensor to confirm the user selection using the biometric verification.
[0093] На Фиг. 5С представлен представлен пример выполнения двухфакторной верификации пользователя (110) с помощью перемещения иконки (1112) выбранного канала аутентификации в область биометрического сенсора (105), расположенного в зоне дисплея устройства (110). В такой реализации аутентификация пользователя выполняется при распознавании нахождения пальца области в области сенсора (105) с захваченным элементом GUI в виде иконки (1112) канала, что обеспечивает дополнительную верификацию и защиту обеспечения доступа.[0093] In FIG. 5C shows an example of performing two-factor user verification (110) by moving the icon (1112) of the selected authentication channel to the area of the biometric sensor (105) located in the display area of the device (110). In such an implementation, user authentication is performed by recognizing that the area finger is in the area of the sensor (105) with a captured GUI element in the form of a channel icon (1112), which provides additional verification and security of access.
[0094] На Фиг. 5D изображен пример выполнения аутентификации с помощью двухфакторной аутентификации, которая выполняется на устройстве (110) пользователя. При запросе на доступ к ресурсу (120), например, веб-сайту или приложению (установленному на устройстве (110) или веб-приложению и т.п.) с устройства (110), подтверждение может отправляться в мобильный канал (1111), доступный на том же устройстве (110), например, Telegram. В мобильном канале (1111) может отображаться уведомление, например, в виде запроса чат-сессии, с вариантами подтверждения или отклонения процесса аутентификации. При подтверждении запроса в канале (1111) параметры аутентификации передаются на ресурс доступа (120) (или систему аутентификации ((130)) для выполнения и последующего предоставления доступа к ресурсу (120) с помощью устройства (110).[0094] In FIG. 5D shows an example of performing authentication using two-factor authentication, which is performed on the device (110) of the user. When requesting access to a resource (120), such as a website or application (installed on a device (110) or a web application, etc.) from a device (110), an acknowledgment may be sent to a mobile channel (1111), available on the same device (110) e.g. Telegram. The mobile channel (1111) may display a notification, such as a request for a chat session, with options to accept or reject the authentication process. Upon confirmation of the request in the channel (1111), the authentication parameters are transmitted to the access resource (120) (or authentication system ((130)) for execution and subsequent granting of access to the resource (120) using the device (110).
[0095] Альтернативным случаем, представленным на Фиг. 5D выполнения двухфакторной аутентификации на устройстве (110) при запросе на доступ к ресурсу (120), может являться факт подтверждения аутентификации в другом мобильном канале, который получает запрос на аутентификацию пользователя от системы аутентификации (130), в случае когда первый мобильный канал (1111), в который изначально поступил запрос от ресурса (120), не выполнил аутентификацию. Такой случай может иметь место при возникновении ошибки аутентификации пользователя с помощью первого канала (1111), например, истечение времени отклика от первого канала аутентификации, технические проблемы связи, неполноценная передача идентификационной информации (ключи/токены и т.п.) от первого канала и т.п. В этом случае доступ к ресурсу (120) будет предоставлен при получении пользовательского подтверждения из второго канала аутентификации, например, если от ресурса (120) первый запрос был направлен в Telegram, то при неполучении или неполного получения идентификационной пользователя информации из данного канала, то запрос на аутентификацию перенаправляет далее в доступный пользователю второй мобильный канал, например, WatsApp, в котором при выполнении процедуры подтверждения доступа, подтверждающая информация передается на ресурс доступа (120) для осуществления авторизации пользователя.[0095] An alternative case, shown in FIG. 5D of performing two-factor authentication on the device (110) when requesting access to a resource (120), it may be the fact of authentication confirmation in another mobile channel that receives a user authentication request from the authentication system (130), in the case when the first mobile channel (1111 ) that was originally requested from the resource (120) failed to authenticate. Such a case can occur when a user authentication error occurs using the first channel (1111), for example, the response time from the first authentication channel, technical communication problems, incomplete transmission of identification information (keys / tokens, etc.) from the first channel, and etc. In this case, access to the resource (120) will be provided upon receipt of a user confirmation from the second authentication channel, for example, if the first request from the resource (120) was sent to Telegram, then if the user's identification information was not received or incompletely received from this channel, then the request redirects for authentication further to the second mobile channel available to the user, for example, WatsApp, in which, when executing the access confirmation procedure, confirming information is transmitted to the access resource (120) for user authorization.
[0096] В одном из частных примеров применения заявленного решения, при использовании внутрикорпоративных внешне изолированных сетей, например, сети типа Интранет, каждому сотруднику для каждого устройства доступа к одному или более ресурсов может назначаться соответствующий мобильный канал аутентификации. Такое решение может быть организовано с помощью соответствующих связок идентификаторов пользователей, устройств, ресурсов и каналов доступа. Также, с помощью такой реализации может формироваться информационный контур для предоставления доступа, например, к одному ресурсу доступа посредством связанного приложения, через которое осуществляется аутентификация участников упомянутого контура.[0096] In one of the particular examples of the application of the claimed solution, when using intracorporate externally isolated networks, for example, an Intranet type network, each employee for each access device to one or more resources can be assigned a corresponding mobile authentication channel. Such a solution can be organized using appropriate bundles of user identifiers, devices, resources and access channels. Also, using such an implementation, an information loop can be formed to provide access, for example, to one access resource through an associated application through which the participants of the said loop are authenticated.
[0097] На Фиг. 6 представлен пример выполнения пользовательского устройства (110). В общем случае, как указывалось выше, устройство (110) может выбираться из широкого перечня электронных устройств, известных из уровня техники. В общем случае устройство (110) содержит один или несколько процессоров (101) или микроконтроллер(-ов), ОЗУ (102), средство постоянного хранения данных (103), интерфейсы ввода/вывода (104), устройства ввода/вывода (105), средство сетевого взаимодействия (106).[0097] In FIG. 6 shows an exemplary implementation of the user device (110). In general, as noted above, device (110) may be selected from a wide variety of electronic devices known in the art. In general, the device (110) contains one or more processors (101) or microcontroller(s), RAM (102), persistent data storage (103), input/output interfaces (104), input/output devices (105) , networking tool (106).
[0098] Процессор (101) представляет собой основной вычислительный модуль, обеспечивающий логическую обработку алгоритмических команд, необходимых для осуществления устройством (110) необходимых функций.[0098] The processor (101) is the main computing module that provides logical processing of the algorithmic commands necessary for the device (110) to perform the necessary functions.
[0099] ОЗУ (102) представляет собой стандартную оперативную память, предназначенную для хранения исполняемых процессором инструкций, реализующих работу заложенной программной логики.[0099] RAM (102) is a standard random access memory designed to store instructions executable by the processor that implement the work of the embedded program logic.
[0100] Средства для постоянного хранения данных (103) могут представлять собой, не ограничиваясь: жесткий диск (HDD), флэш-память (NAND, EEPROM, SD-карты и т.п.), твердотельный накопитель (SSD), оптические накопители данных (CD/DVD/BlueRay диски и т.п.).[0100] Persistent storage media (103) may include, but are not limited to: hard disk drive (HDD), flash memory (NAND, EEPROM, SD cards, etc.), solid state drive (SSD), optical drives data (CD/DVD/BlueRay discs, etc.).
[0101] Интерфейсы В/В (104) могут представлять собой, не ограничиваясь: АЦП/ЦАП, USB (micro-, Туре С, mini- и т.п.), PS/2, PCI, VGA, RS232, RJ45, FireWire, SATA, IDE, COM, LPT, Audio Jack, HDMI, Display Port, Lightning и т.п.[0101] The I/O interfaces (104) may be, but are not limited to: ADC/DAC, USB (micro, Type C, mini, etc.), PS/2, PCI, VGA, RS232, RJ45, FireWire, SATA, IDE, COM, LPT, Audio Jack, HDMI, Display Port, Lightning, etc.
[0102] Средства В/В (105) могут представлять собой, не ограничиваясь: дисплей, сенсорный дисплей, клавиатуру (механическая, сенсорная, проекционная и т.п.), трекбол, джойстик, тач-пад, динамики, микрофон, проектор, световой индикатор, зуммер, биометрический сенсор (сканер отпечатка пальца, сетчатки глаза, радужной оболочки, голоса, ладони, рисунка вен и т.п.), камера, оптический сенсор, акселерометр, гироскоп, датчик освещенности, датчик приближения, грависенсор и т.п.[0102] The I/O facilities (105) may be, but are not limited to: a display, a touchscreen, a keyboard (mechanical, touch, projection, etc.), a trackball, a joystick, a touchpad, speakers, a microphone, a projector, indicator light, buzzer, biometric sensor (fingerprint, retina, iris, voice, palm, vein pattern, etc.), camera, optical sensor, accelerometer, gyroscope, light sensor, proximity sensor, gravisensor, etc. P.
[0103] Средство сетевого взаимодействия (106) может представлять собой, не ограничиваясь: Bluetooth-модуль, BLE модуль, NFC, Ethernet карта, модем, роутер, IrDa, GSM - модем, GPRS-модем, LTE-модем, 50-модем, WLAN, Wi-Fi модуль, спутниковый модем, ГНСС - приемник и т.п.[0103] The network communication tool (106) can be, but is not limited to: Bluetooth module, BLE module, NFC, Ethernet card, modem, router, IrDa, GSM modem, GPRS modem, LTE modem, 50 modem, WLAN, Wi-Fi module, satellite modem, GNSS receiver, etc.
[0104] Представленные описание заявленного решения раскрывает лишь предпочтительные примеры его реализации и не должно трактоваться как ограничивающее иные, частные примеры его осуществления, не выходящие за рамки объема правовой охраны, которые являются очевидными для специалиста соответствующей области техники.[0104] The presented description of the claimed solution discloses only the preferred examples of its implementation and should not be construed as limiting other, particular examples of its implementation that do not go beyond the scope of legal protection that are obvious to a specialist in the relevant field of technology.
Claims (31)
Publications (2)
| Publication Number | Publication Date |
|---|---|
| RU2021109734A RU2021109734A (en) | 2022-10-19 |
| RU2786176C2 true RU2786176C2 (en) | 2022-12-19 |
Family
ID=
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090119754A1 (en) * | 2006-02-03 | 2009-05-07 | Mideye Ab | System, an Arrangement and a Method for End User Authentication |
| US20130086645A1 (en) * | 2011-09-29 | 2013-04-04 | Oracle International Corporation | Oauth framework |
| US20150172292A1 (en) * | 2009-02-03 | 2015-06-18 | Inbay Technologies Inc. | Method and system for authenticating a security device |
| RU2580400C2 (en) * | 2013-02-12 | 2016-04-10 | Кэнон Эропа Н.В. | Method for authentication of peripheral device user, peripheral device and system for authentication of peripheral device user |
| US20160300054A1 (en) * | 2010-11-29 | 2016-10-13 | Biocatch Ltd. | Device, system, and method of three-dimensional spatial user authentication |
| US20180096127A1 (en) * | 2016-09-30 | 2018-04-05 | Salesforce.Com, Inc. | Associating multiple e-learning identities with a single user |
| WO2018151392A1 (en) * | 2017-02-16 | 2018-08-23 | 로움아이티 주식회사 | Smart login method using messenger service and apparatus therefor |
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090119754A1 (en) * | 2006-02-03 | 2009-05-07 | Mideye Ab | System, an Arrangement and a Method for End User Authentication |
| US20150172292A1 (en) * | 2009-02-03 | 2015-06-18 | Inbay Technologies Inc. | Method and system for authenticating a security device |
| US20160300054A1 (en) * | 2010-11-29 | 2016-10-13 | Biocatch Ltd. | Device, system, and method of three-dimensional spatial user authentication |
| US20130086645A1 (en) * | 2011-09-29 | 2013-04-04 | Oracle International Corporation | Oauth framework |
| RU2580400C2 (en) * | 2013-02-12 | 2016-04-10 | Кэнон Эропа Н.В. | Method for authentication of peripheral device user, peripheral device and system for authentication of peripheral device user |
| US20180096127A1 (en) * | 2016-09-30 | 2018-04-05 | Salesforce.Com, Inc. | Associating multiple e-learning identities with a single user |
| WO2018151392A1 (en) * | 2017-02-16 | 2018-08-23 | 로움아이티 주식회사 | Smart login method using messenger service and apparatus therefor |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6895431B2 (en) | Passwordless authentication for access control | |
| US11019048B2 (en) | Password state machine for accessing protected resources | |
| US11843611B2 (en) | Framework for multi-level and multi-factor inline enrollment | |
| US9887995B2 (en) | Locking applications and devices using secure out-of-band channels | |
| US10666643B2 (en) | End user initiated access server authenticity check | |
| EP3420677B1 (en) | System and method for service assisted mobile pairing of password-less computer login | |
| EP3213487B1 (en) | Step-up authentication for single sign-on | |
| US10225283B2 (en) | Protection against end user account locking denial of service (DOS) | |
| US11406196B2 (en) | Multi-factor authentication with increased security | |
| US20050188210A1 (en) | System and method facilitating secure credential management | |
| US11290443B2 (en) | Multi-layer authentication | |
| US20160330199A1 (en) | Fallback identity authentication techniques | |
| US9178880B1 (en) | Gateway mediated mobile device authentication | |
| US10826886B2 (en) | Techniques for authentication using push notifications | |
| US11799866B2 (en) | Method and system of multi-channel user authorization | |
| RU2786176C2 (en) | Method and system for multichannel user authorization |