Способ дистанционной аутентификации пользователя и система для его осуществления

Изобретение относится к способам цифровой обработки данных, которые предназначены для коммерческих применений, в частности к способу дистанционной аутентификации пользователя, который зарегистрирован в соответствующей защищенной системе. При этом выполняется контроль и анализ полномочий пользователя для осуществления процедуры его доступа в компьютерную сеть какой-либо защищенной системы.

Наиболее близким к заявляемому решению по технической сущности и достигаемому техническому результату является:

- Способ дистанционной аутентификации пользователя, описанный в системе дистанционной аутентификации по патенту ЕР 0986209, МПК 7 Н04L 9/32, опубл. 15.03.2000. Этот способ заключается в том, что формируют и сохраняют в базе данных сервера аутентификации электронные идентификационные данные пользователя, которые сравнивают с идентификационными данными пользователя при осуществлении процедуры доступа пользователя в компьютерную сеть защищенной системы, и на основе этого сравнения принимается решение о наличии или отсутствии полномочий у пользователя. При этом в качестве электронных идентификационных данных пользователя используют биометрические данные пользователя в виде отпечатков пальцев, ладони и/или информации о сетчатке глаза, данные о которых сохраняются в базе данных сервера аутентификации. Кроме того, обычно сервер аутентификации контролирует также и такие электронные идентификационные данные, как логин и пароль пользователя.

- Система дистанционной аутентификации пользователя по патенту ЕР 0986209, МПК 7 Н04L 9/32, опубл. 15.03.2000, содержит сервер аутентификации, сервер приложений, с которыми соединен через защищенную компьютерную сеть терминал доступа пользователя, при этом сервер аутентификации содержит контролер доступа, базу данных идентификаторов доступа, узел обработки шифрованием. При этом система также содержит устройство получения биометрических данных пользователя, в состав которого входят узел получения отпечатков пальцев, узел получения отпечатков ладоней, узел получения информации по сетчатке глаза.

Основным недостатком этого способа дистанционной аутентификации пользователя и системы для его осуществления является то, что имеет место активный режим аутентификации, при котором от пользователя к аутентификационному серверу идет значительный поток данных в виде информации об отпечатках пальцев, ладони, сетчатки глаза. А это повышает уязвимость аутентификационного сервера из-за того, что в этот поток злоумышленник может внести неправдивую информацию, в том числе внести какой-нибудь компьютерный вирус.

Другим недостатком этого способа и системы для его осуществления является снижение скорости передачи данных от терминала доступа пользователя к серверу аутентификации и сервера приложений за счет того, что имеет место повышенный информационный поток об отпечатках пальцев, ладони, сетчатке глаза пользователя.

Недостатком этого способа и системы для его осуществления является необходимость использования, а также высокая стоимость специального оборудования в виде аппаратных узлов по снятию биометрической информации о пользователе, а именно: сетчатки глаза, отпечатков пальцев, ладоней и тому подобное.

В основу изобретения положена задача создания эффективного способа дистанционной аутентификации пользователя и системы для его осуществление путем обеспечения пассивного режима аутентификации пользователя, что тем самым резко снизит до необходимого минимума поток данных между терминалом пользователя и аутентификационным сервером. Это также снизит уровень уязвимости защищенной системы от внесения компьютерного вируса через сеть передачи данных или других злоумышленных действий. А также позволит избежать расходов на аппаратные узлы.

Поставленная задача решается тем, что по способу дистанционной аутентификации пользователя, заключающемся в том, что формируют и сохраняют в базе данных сервера аутентификации электронные идентификационные данные пользователя, которые сравнивают с идентификационными данными пользователя при осуществлении процедуры доступа пользователя в компьютерную сеть защищенной системы и на основе этого сравнения принимается решение о наличии или отсутствии полномочий у пользователя. При этом в качестве электронных идентификационных данных пользователя, которые формируют и сохраняют в базе данных сервера аутентификации, используют историю привычного порядка выполнения действий пользователем при предыдущем осуществлении процедуры доступа пользователя в компьютерную сеть защищенной системы. Историю привычного порядка выполнения действий пользователем, которую формируют и сохраняют в базе данных сервера аутентификации, перед сравнением с идентификационными данными пользователя анализируют по существенным признакам, в качестве которых принимают наиболее часто повторяющиеся действия пользователя с обозначением возможных отклонений от определенной средней их величины или существенные признаки, которые являются неизменными при каждом посещении пользователем соответствующего WEB-ресурса. А идентификационные данные пользователя в базе данных сервера аутентификации постоянно обновляют. Кроме того, в качестве истории привычного порядка выполнения действий пользователем, которую формируют и сохраняют в базе данных сервера аутентификации, используют виды, последовательность и длительность выполнения действий пользователем при предыдущем осуществлении процедуры доступа пользователя в компьютерную сеть защищенной системы. А в качестве действий пользователя, историю привычного порядка выполнения которых формируют и сохраняют в базе данных сервера аутентификации при предыдущем осуществлении процедуры доступа пользователя в компьютерную сеть защищенной системы, используют время, в которое обычно пользователь посещает WEB-ресурс, длительность сессии, порядок открытия http-страниц на WEB-ресурсе, IP-адрес компьютера пользователя. Через сервер аутентификации дополнительно выполняют интерактивный опрос пользователя.

Поставленная задача также решается тем, что система дистанционной аутентификации пользователя содержит сервер аутентификации, сервер приложений, с которыми соединен через защищенную компьютерную сеть терминал доступа пользователя, при этом сервер аутентификации содержит базу данных идентификаторов доступа, которая выполнена с возможностью сохранять идентификационные данные, контроллер доступа, который выполнен с возможностью сравнения идентификационных данных пользователя, сохраненных в базе данных идентификаторов доступа с идентификационными данными пользователя при осуществлении процедуры доступа пользователя в компьютерную сеть защищенной системы. При этом сервер аутентификации дополнительно содержит базу данных истории привычного порядка выполнения действий пользователем, в которой сохраняют сформированные контроллером доступа данные истории привычного порядка выполнения действий пользователя, при этом контроллер доступа выполнен с узлом анализа истории привычного порядка выполнения действий пользователем.

Использование в соответствии со способом и системой для его осуществления, в качестве электронных идентификационных данных пользователя истории привычного порядка выполнения действий пользователем, данные о которых сохраняют в соответствующей базе данных, при предыдущем осуществлении процедуры его доступа в компьютерную сеть защищенной системы позволяет обеспечить пассивный режим аутентификации пользователя. А это позволяет снизить к минимуму поток данных, то есть к необходимым, например, логину и паролю и/или другим необходимым данным, которые передают от пользователя к аутентификационному серверу. При этом пользователь может и не знать, что его полномочия тщательным образом проверяют. Все это позволяет не только повысить достоверность проверки полномочий пользователя, но также и снизить уязвимость аутентификационного сервера от неправдивой информации при злоумышленных действиях, или снизить возможность внесения какого-нибудь компьютерного вируса в эту сеть передачи данных.

Выполнение в соответствии со способом и системой для его осуществления анализа по существенным признакам истории привычного порядка выполнения действий пользователем, которые формируют и сохраняют в базе данных сервера аутентификации, позволяет повысить надежность аутентификации за счет выделения из всех действий, которые выполняет пользователь, только существенных, выполнение которых пользователем наиболее вероятное.

Выполнение постоянного обновления идентификационных данных пользователя в базе данных аутентификационного сервера перед каждым осуществлением процедуры доступа пользователя в компьютерную сеть защищенной системы позволяет в динамическом режиме обновлять историю привычного порядка выполнения действий пользователем, что также повышает достоверность проверки его полномочий.

Использование в качестве истории привычного порядка выполнения действий пользователем, которые формируют и сохраняют в базе данных сервера аутентификации, разных видов действий (операций) пользователя, а также их последовательность и/или длительность выполнения этих действий, их сочетаний позволяет повысить надежность определения достоверности проверки полномочий пользователя.

Использование в качестве действий пользователя времени, в которое обычно пользователь посещает соответствующий WEB-ресурс, длительность сессии работы пользователя, порядка открытия http-страниц на этом WEB-ресурсе, а также IP-адреса компьютера пользователя и их сочетаний, также позволяет повысить надежность определения достоверности проверки полномочий пользователя.

Выполнение дополнительного интерактивного опроса пользователя по редко используемым его признакам, если имеет место сомнение в достоверности проверки полномочий пользователя по привычному для него порядку выполнения действий, позволяет принять службой поддержки более взвешенное решение о доступе пользователя в компьютерную сеть защищенной системы.

Изложенное выше подтверждает наличие причинно-следственных связей между совокупностью существенных признаков заявляемого изобретения и достигаемым техническим результатом.

Данная совокупность существенных признаков позволяет по сравнению с прототипом по способу дистанционной аутентификации пользователя и системы для его осуществления обеспечить пассивный режим аутентификации пользователя. Это позволяет снизить к необходимому минимуму поток данных от пользователя к аутентификационному серверу для повышения достоверности проверки полномочий пользователя. А также позволит снизить уязвимость аутентификационного сервера от неправдивой информации при злоумышленных действиях, или снизить возможность внесения какого-нибудь компьютерного вируса в сеть передачи данных. Кроме того, это позволит избежать расходов на аппаратные узлы по снятию биометрической информации о пользователе.

По мнению автора, заявляемое техническое решение отвечает критериям изобретения "новизна" и "изобретательский уровень", потому что совокупность существенных признаков, которая характеризует способ дистанционной аутентификации пользователя и системы для его осуществления, является новой и не вытекает явно из известного уровня техники.

Заявляемое изобретение поясняется чертежом, где на Фиг.1 приведена структурная схема системы, которая осуществлена по способу дистанционной аутентификации пользователя; на Фиг.2 приведена диаграмма последовательности действий процесса аутентификации.

Способ дистанционной аутентификации пользователя осуществляется таким образом.

Пользователь с помощью терминала доступа пользователя (персональный компьютер, мобильный телефон, другие телекоммуникационные устройства) обращается через соответствующую компьютерную сеть к какой-либо защищенной системе, в которой он зарегистрирован как пользователь и имеет определенные полномочия на осуществление операций, например: система электронной коммерции, банковская или финансовая система, база данных с ограниченным доступом, а также Интернет- или Интранет-системы. В каждой из этих защищенных систем расположен свой аутентификационный сервер, в котором формируют и сохраняют, кроме необходимых данных в виде логина, пароля и др., еще и электронные идентификационные данные пользователя в виде истории привычного порядка выполнения действий пользователя при предыдущем осуществлении им процедуры доступа в эту защищенную систему. При обращении пользователя в обычное для него время к необходимой ему защищенной системе в Интернет, в которой он зарегистрирован, он сначала выполняет стандартные, но необходимые действия (порядок действий) по использованию WEB-ресурса, посещению http-страниц на этом WEB-ресурсе. Контролер доступа и анализа истории привычного порядка выполнения действий пользователя в аутентификационном сервере в пассивном режиме отслеживает все действия пользователя (порядок действий), то есть: время начала и окончания сессии посещения пользователем WEB- ресурса защищенной системы; IP-адрес хоста или терминала доступа пользователя, с которого пользователь заходил в защищенную систему; фиксируют посещение пользователем каждой http-страницы соответствующего WEB-ресурса, адреса этих http-страниц; время входа и выхода с каждой страницы; продолжительность использования и порядок открытия http-страниц. Все эти действия (порядок действий) пользователя сравниваются с аналогичными действиями, которые сохраняют в базе данных сервера аутентификации в виде истории привычного порядка выполнения действий пользователем и, в случае совпадения их по существенным признакам, сервер аутентификации не ограничивает доступ пользователя к серверу приложений. А в случае существенного несовпадения по этим существенным признакам выдают запрет на допуск пользователя к серверу приложений, причем такой запрет может выдаваться после первого, второго или после третьего существенного несовпадения. В случае необходимости, после этого существенного несовпадения, через сервер аутентификации может быть проведен интерактивный опрос пользователя по редко используемым для контроля признакам пользователя, которые сохраняют в соответствующей базе данных сервера аутентификации.

Данные по истории привычного порядка действий пользователя, которые сохраняют в базе данных сервера аутентификации, при каждом обращении пользователя к нему постоянно обновляют.

Лучший вариант системы, которая осуществлена по способу дистанционной аутентификации пользователя, в соответствии с Фиг.1, содержит защищенную систему 1, в которой пользователь зарегистрирован. Эта защищенная система 1 имеет терминал 2 доступа пользователя, который соединен через компьютерную сеть 3 и WEB-сервер 4 с сервером 5 аутентификации, который в свою очередь соединен с сервером 6 приложений. Терминал 2 доступа пользователя является компьютерной системой в виде персонального компьютера, который содержит узел 2.1 обработки шифрования информации. Сервер 5 аутентификации также является компьютерной системой, которая включает в себя контролер 5.1 доступа и анализа истории привычного порядка выполнения действий пользователем, базу 5.2 данных истории привычного порядка выполнения действий пользователем, базу 5.3 идентификаторов доступа (логина и пароля, др.), узел 5.4 обработки шифрования информации. Сервер 6 приложений также является компьютерной системой, которая содержит несколько приложений в виде, например, определенного количества: WEB- ресурс 1, 6.1... WEB ресурс N, 6.N.

Система дистанционной аутентификации пользователя работает таким образом.

В соответствии с Фиг.2 пользователь вводит в терминал 2 доступа пользователя, в качестве которого может быть какой-либо терминал защищенной системы, идентификаторы доступа, т.е. свой логин и пароль или PIN-код. При этом терминал 2 доступа пользователя через узел 2.1 обработки шифрования информации, компьютерную сеть 3 и WEB-ссрвер 4 соединяют с сервером 5 аутентификации, с отправкой ему запроса об аутентификации и с сервером 6 приложений. Далее пользователь выполняет привычные и необходимые для него действия по посещению избранного им WEB-pecypca сервера 6 приложений, например системы Интернет-банка "Privat-24" (www.privar24.ua), открытию нужных http-страниц на этом WEB-ресурсе. При этом контролер 5.1 доступа и анализа истории привычного порядка выполнения действий пользователя сервера 5 аутентификации в пассивном (одностороннем) режиме отслеживает все действия пользователя:

время начала и окончания сессии входа пользователя в систему "Privat-24";

IP-адрес хоста, с которого пользователь заходил в эту защищенную систему;

фиксируется последовательность посещения пользователем каждой http-страницы, адреса этих страниц; время захода и выхода с каждой страницы;

продолжительность времени нахождения на каждой странице, выполнение операций по осуществлению пользователем необходимых транзакций (обмен валют, оплата услуг, осуществление денежных переводов и тому подобное).

Все эти действия или порядок этих действий пользователя сравнивают с существенными признаками аналогичных предыдущих его действий, историю привычного порядка выполнения которых сохраняют в базе 5.2 данных сервера 5 аутентификации. Эти существенные признаки отобраны и сформированы контролером 5.1 доступа и анализа истории привычного порядка выполнения действий пользователя. Эти существенные признаки обновляются в базе 5.2 данных истории привычного порядка выполнения действий пользователя и формируют после каждого обращения пользователя к защищенной системе. В качестве этих признаков принимают наиболее часто повторяющиеся действия пользователя с обозначением возможных отклонений от определенной средней их величины или существенные признаки, которые являются неизменными при каждом посещении пользователем соответствующего WEB-ресурса. В случае совпадения этих сравниваемых действий пользователя контролер 5.1 доступа и анализа истории привычного порядка выполнения действий пользователя сервер 5 аутентификации не ограничивает (отсутствие ограничений) доступ пользователя к серверу 6 приложений. А в случае существенного несовпадения анализируемых данных сначала выдается сигнал предупреждения в сервер 5 аутентификации, а в дальнейшем, после трех или другого определенного количества предупреждений, выдается запрет на доступ терминала пользователя к серверу 6 приложений.

Терминал 2 доступа пользователя может быть выполнен также в виде рабочей станции, мобильного телефона или других подобных телекоммуникационных устройств, выполненных с узлом шифрования.

Хотя здесь показаны и описаны варианты, которые признаны лучшими для осуществления настоящего изобретения, специалистам в данной отрасли техники будет понятно, что можно осуществлять разнообразные изменения и модификации, и элементы можно заменять на эквивалентные, не выходя при этом за пределы объема притязаний настоящего изобретения.

Соответствие заявляемого технического решения критерию изобретения "промышленная применимость" подтверждается указанными примерами выполнения способа дистанционной аутентификации пользователя и системы для его осуществления.

1. Способ дистанционной аутентификации пользователя, заключающийся в том, что формируют и сохраняют в базе данных сервера аутентификации электронные идентификационные данные пользователя, которые сравнивают с идентификационными данными пользователя при осуществлении процедуры доступа пользователя в компьютерную сеть защищенной системы и на основе этого сравнения принимается решение о наличии или отсутствии полномочий у пользователя, отличающийся тем, что в качестве электронных идентификационных данных пользователя, которые формируют и сохраняют в базе данных сервера аутентификации, используют историю привычного порядка выполнения действий пользователем при предыдущем осуществлении процедуры доступа пользователя в компьютерную сеть защищенной системы.

2. Способ по п.1, отличающийся тем, что историю привычного порядка выполнения действий пользователем, которую формируют и сохраняют в базе данных сервера аутентификации, перед сравнением с идентификационными данными пользователя анализируют по существенным признакам, в качестве которых принимают наиболее часто повторяющиеся действия пользователя с обозначением возможных отклонений от определенной средней их величины или существенные признаки, которые являются неизменными при каждом посещении пользователем соответствующего WEB-ресурса.

3. Способ по любому из пп.1 и 2, отличающийся тем, что идентификационные данные пользователя в базе данных сервера аутентификации постоянно обновляют.

4. Способ по п.1, отличающийся тем, что в качестве истории привычного порядка выполнения действий пользователем, которую формируют и сохраняют в базе данных сервера аутентификации, используют виды, последовательность и длительность выполнения действий пользователем при предыдущем осуществлении процедуры доступа пользователя в компьютерную сеть защищенной системы.

5. Способ по п.4, отличающийся тем, что в качестве действий пользователя, историю привычного порядка выполнения которых формируют и сохраняют в базе данных сервера аутентификации при предыдущем осуществлении процедуры доступа пользователя в компьютерную сеть защищенной системы, используют время, в которое обычно пользователь посещает WEB-ресурс, длительность сессии, порядок открытия http-страниц на WEB-ресурсе, IP-адрес компьютера пользователя.

6. Способ по п.3, отличающийся тем, что через сервер аутентификации дополнительно выполняют интерактивный опрос пользователя.

7. Система дистанционной аутентификации пользователя, содержащая сервер аутентификации, сервер приложений, с которыми соединен через защищенную компьютерную сеть терминал доступа пользователя, при этом сервер аутентификации содержит базу данных идентификаторов доступа, которая выполнена с возможностью сохранять идентификационные данные, контроллер доступа, который выполнен с возможностью сравнения идентификационных данных пользователя, сохраненных в базе данных идентификаторов доступа с идентификационными данными пользователя при осуществлении процедуры доступа пользователя в компьютерную сеть защищенной системы, отличающаяся тем, что сервер аутентификации дополнительно содержит базу данных истории привычного порядка выполнения действий пользователем, в которой сохраняют сформированные контроллером доступа данные истории привычного порядка выполнения действий пользователя, при этом контроллер доступа выполнен с узлом анализа истории привычного порядка выполнения действий пользователем.