Способ связывания устройств

Область техники, к которой относится изобретение

Настоящее изобретение относится к способу связывания первой характеристики первого устройства со второй характеристикой второго устройства. Изобретение также относится к серверу и компьютерной программе, загружаемой в устройство обработки данных сервера.

Предшествующий уровень техники

Связывание устройств определяется достижением ассоциативной связи одной или более характеристик первого устройства с одной или более характеристиками одного или более других устройств. Характеристика в типичном случае обеспечивает возможность идентифицировать устройство, однако в более общем смысле характеристика может относиться к любому типу информации, ассоциированной с устройством. Для связывания первого устройства со вторым устройством одну или более характеристик первого устройства ассоциируют с одной или более характеристиками второго устройства. Одна или более из ассоциированных характеристик могут быть определены из соответствующих устройств или из дополнительных сущностей, обладающих информацией о соответствующих характеристиках. В общем, связывание устройств обеспечивает расширенную информацию благодаря связи, например, посредством выявления того факта, что два устройства связаны в некоторый момент времени. Для ассоциирования характеристик можно использовать таблицу, и характеристики могут отличаться для разных реализаций способа связывания.

Связывание устройств в возрастающей степени используется в целях аутентификации (установления подлинности). При попытке осуществления доступа к объекту, такому как система, или служба, или устройство, через не доверенное устройство, такое как компьютерный терминал, или торговый автомат, или шлюз, требуется, чтобы объект для этого доступа изначально не обладал информацией об операторе не доверенного устройства. Для большого количества ситуаций, таких как, например, загрузка общедоступной информации из Интернет или вход в общественное здание, это отсутствие информации не является проблемой для упомянутого объекта, т.е. доступ к этому объекту предоставляется через не доверенное устройство любому индивидууму, который способен эксплуатировать не доверенное устройство. Однако для осуществления доступа к объекту, в отношении которого применены ограничения доступа, информация относительно полномочий на доступ является необходимой. Эта информация может быть, например, обеспечена посредством процедуры аутентификации, подобной проверке идентификационных данных пользователя и пароля, введенных в не персональное устройство. В качестве альтернативы, в целях аутентификации для предоставления доступа можно использовать связывание с доверенным устройством.

Доверенным устройством является устройство, которое ассоциировано с полномочиями на доступ в качестве главной характеристики доверенного устройства. Полномочия на доступ подтверждают право на осуществление доверенным устройством доступа к конкретному объекту. При представлении доверенного устройства конкретному объекту полномочиями на доступ достигается то, что доверенному устройству предоставляется доступ к этому конкретному объекту. Конкретный объект или сущность, поддерживающая этот конкретный объект, может обладать некоторым критерием для верификации полномочий на доступ для предоставления доступа. Примерами доверенного устройства являются мобильный телефон с подтвержденным правом доступа к мобильной телефонной сети или кредитная карточка с подтвержденным правом доступа к службе оплаты. В зависимости от доверенного устройства и обработки верификации полномочий на доступ могут быть получены идентификационные данные законного владельца доверенного устройства либо может быть подтверждено, что индивидуум, эксплуатирующий доверенное устройство, идентичен законному владельцу или уполномочен законным владельцем. Соответствующая информация может быть ассоциирована с полномочиями на доступ доверенного устройства.

Таким образом, при запрашивании доступа к объекту через не доверенное устройство должно быть представлено доверенное устройство с ассоциированными полномочиями на доступ. Ассоциированные полномочия на доступ могут быть определены и могут быть ассоциированы с характеристикой, такой как идентификатор не доверенного устройства, запрашивающего доступ к объекту. В качестве альтернативы, характеристика доверенного устройства, относящаяся к полномочиям на доступ, ассоциированным с доверенным устройством, может быть ассоциирована с характеристикой недоверенного устройства. Объект, право доступа к которому подтверждают полномочия на доступ, ассоциированные с доверенным устройством, необязательно должен быть идентичен объекту, к которому запрашивает доступ не доверенное устройство. Соглашения между различными объектами могут гарантировать, что полномочия на доступ, подтверждающие право доступа к первому объекту, также подтверждают право доступа ко второму объекту. Ассоциированные характеристики доверенного и не доверенного устройств могут храниться в базе данных для последующей обработки, например, для статистических, финансовых и правовых целей. На основе ассоциированных характеристик доверенного и не доверенного устройств доступ может быть предоставлен не доверенному устройству или через него, поскольку теперь объект или сущность, поддерживающая этот объект, для целей аутентификации обеспечивается информацией о полномочиях на доступ, связанных с характеристикой не доверенного устройства, такой как идентификатор не доверенного устройства. В зависимости от доверенного устройства и реализации способа связывания, информация об идентификационных данных законного владельца доверенного устройства или подтверждение того, что оператор доверенного устройства идентичен законному владельцу доверенного устройства или уполномочен им, может быть получена и ассоциирована с соответствующей характеристикой не доверенного устройства. Также могут быть ассоциированы идентификационные данные объекта, к которому должен быть осуществлен доступ.

Для более защищенных способов связывания в дополнение к ассоциированию характеристик требуется доказательство того, что первое устройство и второе устройство, которые должны быть связаны, расположены в непосредственной близости. Доказательство непосредственной близости рассматривается как достаточный признак того, что оператор первого устройства идентичен оператору второго устройства или, по меньшей мере, уполномочен им.

Существуют различные решения для доказательства непосредственной близости, которые описываются следующим образом.

Согласно первому решению локальное соединение между первым устройством и вторым устройством, которые должны быть связаны, можно использовать для посылки данных связывания от сервера, например сервера оплаты или аутентификации, через первое устройство и второе устройство, а затем назад к серверу, либо наоборот. Успешное прохождение данных связывания в обе стороны является достаточным доказательством имеющегося локального соединения и, таким образом, непосредственной близости. Можно использовать локальные физические соединения, такие как кабели, доки (стационарные устройства для установки портативных компьютеров, обеспечивающие подключение к ним всевозможного внешнего оборудования), устройства считывания карточек или локальные беспроводные соединения с дальностями передачи около или менее 10 метров, что обеспечивается инфракрасными соединениями или соединениями стандарта Bluetooth.

Согласно второму решению индивидуум вручную переносит данные связывания с первого устройства на второе устройство для доказательства непосредственной близости. Например, сервер аутентификации, поддерживающий объект, к которому должен быть осуществлен доступ со стороны не доверенного устройства, посылает случайным образом сгенерированный одноразовый пароль (ОТР) в качестве данных связывания на доверенное устройство. Индивидуум, который эксплуатирует доверенное устройство и не доверенное устройство, считывает данные связывания и вручную впечатывает данные связывания в не доверенное устройство. Как и в первом решении, прохождение данных связывания в обе стороны рассматривается в качестве доказательства непосредственной близости.

В US 6259909 описывается прохождение в обе стороны кодового слова, используемого в способе защищенного доступа пользователя к удаленной системе. После аутентификации первого устройства связи устройством доступа кодовое слово передается от устройства доступа второму устройству связи. Упомянутое кодовое слово, принятое вторым устройством связи, далее передается от второго устройства связи через первое устройство связи на упомянутое устройство доступа, которое может предоставить первому и/или второму устройству связи доступ к удаленной системе после проверки кодового слова, принятого от первого устройства связи, на правильность. В качестве первого устройства связи может использоваться устройство обработки данных, а в качестве второго устройства связи может использоваться мобильный телефон.

Вышеупомянутые решения для доказательства непосредственной близости имеют недостатки. Локальное соединение требует совместимых интерфейсов на устройствах, которые должны быть связаны, для передачи данных с одного устройства на другое устройство. Однако совместимость интерфейсов зачастую не обеспечивается, что, таким образом, ограничивает применимость решений, основывающихся на локальных соединениях, до малого фрагмента потенциального рынка. Это особенно относится к локальным беспроводным соединениям, поскольку соответствующие интерфейсы локальной беспроводной связи, такие как инфракрасные приемопередатчики или приемопередатчики Bluetooth, достаточно редко встречаются на устройствах, подобных персональным компьютерам (РС, ПК), рабочим станциям, торговым автоматам или мобильным телефонам более ранних поколений. Использование локальных физических соединений требует того, чтобы устройства, которые должны быть связаны, были физически соединены. Однако выполнение физического соединения устройств является неудобным и зачастую представляет собой раздражающую задачу. Аналогично, методики локального беспроводного соединения прямой видимости, подобные инфракрасным, требуют надлежащего выравнивания приемопередатчиков устройств, которые должны быть соединены. Более того, замена устройства соответствующим дополнительным устройством требует изначального удаления локального соединения от подлежащего замене устройства и присоединения удаленного локального соединения к соответствующему дополнительному устройству, тем самым усиливая неудобство для оператора.

Решения, основывающиеся на ручном переносе данных связывания, требуют того, чтобы индивидуум, который эксплуатирует первое и второе устройства, был активен в том смысле, что индивидуум должен считывать данные связывания, которые должны быть перенесены вручную от первого устройства, и впечатывать их во второе устройство. Для того чтобы предотвратить возможность угадывания данных связывания, эти данные связывания не должны быть слишком короткими. Однако считывание длинной последовательности из первого устройства и впечатывание этой длинной последовательности во второе устройство не является удобным, и вероятность ошибки при печати возрастает с длиной последовательности. Вызывает раздражение, когда связывание отклоняется вследствие каких-либо ошибок при чтении или печатании.

Сущность изобретения

Задачей настоящего изобретения является предоставление способа, устройства и компьютерной программы, которые обеспечивают возможность удобного связывания первой характеристики первого устройства и второй характеристики второго устройства.

Эта задача решается посредством способа, охарактеризованного в пункте 1 формулы изобретения. Кроме того, изобретение воплощено в сервере, охарактеризованном в пункте 10, и компьютерной программе, загружаемой в устройство обработки данных сервера, которая охарактеризована в пункте 18 формулы изобретения. Предпочтительные варианты осуществления описаны в остальных пунктах.

Для связывания первой характеристики первого устройства и второго устройства посредством сервера выполняют следующие этапы.

На первом этапе первую информацию связывания и вторую информацию связывания выбирают в соответствии с требованием согласованности первой информации связывания и второй информации связывания. С этой целью первая информация связывания необязательно должна быть идентична второй информации связывания.

Затем первую информацию связывания посылают от сервера на первое устройство и вторую информацию связывания посылают от сервера на второе устройство.

Помимо этого, первую информацию связывания представляют посредством первого устройства и вторую информацию связывания представляют посредством второго устройства. Представление следует понимать как вывод для индивидуума. Вывод посредством первого устройства может отличаться от вывода посредством второго устройства, тем не менее согласованность первой информации связывания и второй информации связывания должна быть распознаваемой. Примеры неидентичной согласующейся информации связывания могут включать в себя случаи, когда первая информация связывания является дополнением или продолжением второй информации связывания.

После распознавания того, что первая информация связывания, которая представлена первым устройством, и вторая информация связывания, которая представлена вторым устройством, согласуются, в первое устройство вводят указание согласованности. Например, для ввода указания согласованности оператор первого устройства может нажать кнопку на первом устройстве или использовать надлежащую речевую команду.

На основе введенного указания согласованности первое устройство посылает на сервер подтверждение согласованности. Подтверждение согласованности подтверждает серверу согласованность первой информации связывания, представленной первым устройством, и второй информации связывания, представленной вторым устройством.

На основе принятого подтверждения согласованности первую характеристику и вторую характеристику ассоциируют, например, посредством коррелирования первой характеристики и второй характеристики в таблице.

Предлагаемый способ обеспечивает возможность удобного связывания первой характеристики первого устройства и второй характеристики второго устройства. Сравнение первой информации связывания, представляемой первым устройством, и второй информации связывания, представляемой вторым устройством, и подтверждение согласованности на одном из двух упомянутых устройств, согласно настоящему изобретению требует значительно меньшего количества выполняемых индивидуумом действий по сравнению со способами связывания, основывающимися на ручном переносе данных связывания, поскольку не нужно считывать длинных последовательностей с первого устройства и вручную впечатывать их во второе устройство. Кроме того, возможности ошибки при печатании можно полностью избежать, поскольку никакой информации связывания печатать не нужно, что делает предлагаемый способ значительно более удобным для индивидуума. Помимо этого, соответствующий настоящему изобретению способ не требует локального соединения между первым устройством и вторым устройством, что делает ненужными совместимые интерфейсы и присоединение и удаление локальных соединений, в то же время повышая применимость. Представление согласующейся информации связывания посредством первого устройства и посредством второго устройства является дополнительно выгодным в том плане, что оно освобождает оператора первого устройства от необходимости знать адрес второго устройства, которое должно быть связано с упомянутым первым устройством, что имеет место для способов связывания, которые требуют ввода или подтверждения адреса упомянутого второго устройства на первом устройстве для подтверждения связывания. Однако очень часто адрес устройства недоступен, например, адрес не отображается или его нельзя считать, либо он может временно измениться. Особенно в случае не доверенного устройства имеет место ситуация, что адрес зачастую недоступен оператору, что делает предлагаемый способ весьма подходящим для связывания не доверенных устройств, например, для связывания адреса межсетевого протокола (IP-адреса) и порта первого компьютерного терминала в качестве первого не доверенного устройства с IP-адресом и портом второго компьютерного терминала в качестве второго не доверенного устройства для создания компьютерной сети, содержащей эти два компьютерных терминала.

Согласно предпочтительному варианту осуществления первое устройство представляет собой доверенное устройство, и первая характеристика относится к полномочиям на доступ, которые подтверждают право доступа к первому объекту. Отношение означает, что первая характеристика содержит полномочия на доступ и/или идентификатор, на основе которого могут быть получены полномочия на доступ. Примером идентификатора, на основе которого могут быть получены полномочия на доступ, подтверждающие право доступа к сети мобильной телефонной связи, является международный номер коммутируемой цифровой сети для мобильной станции (MSISDN) мобильного телефона. Ассоциированные характеристики могут быть дополнительно обработаны, например, для статистических, финансовых или правовых целей.

Согласно другому предпочтительному варианту осуществления вторая характеристика второго устройства содержит идентификатор, идентифицирующий второе устройство. Доступ ко второму объекту предоставляется для второго устройства или через второе устройство на основе ассоциирования первой характеристики, относящейся к полномочиям на доступ, и второй характеристики, содержащей упомянутый идентификатор. Второй объект может быть идентичен первому объекту или отличаться от него. Соглашения могут гарантировать, что полномочия на доступ для осуществления доступа к первому объекту подтверждают также право доступа ко второму объекту. Таким образом, ассоциирование первой характеристики, относящейся к подтверждению доступа, и второй характеристики, содержащей идентификатор для идентификации второго устройства, может обеспечить информацию в отношении того, что подтверждено право второго устройства на осуществление доступа ко второму объекту. На основе этой информации может быть предоставлен доступ ко второму объекту. От сервера может быть послано утверждение доступа на второе устройство, второй объект или дополнительную сущность, поддерживающее второе устройство или второй объект, для предоставления доступа. Утверждение доступа может содержать полномочия на доступ, подтверждающие право на осуществление доступа ко второму объекту, которые могут быть получены на основе полномочий на доступ, подтверждающих право на осуществление доступа к первому объекту. Доступ ко второму объекту может быть, например, достигнут посредством разблокирования второго устройства для надлежащего использования.

Согласно другому предпочтительному варианту осуществления запрос на аутентификацию инициирует связывание. Запрос на аутентификацию является обычным для способов аутентификации, что позволяет снизить затрачиваемые на реализацию усилия при использовании предложенного способа связывания в целях аутентификации. Особенно в случае, когда аутентификация требуется для осуществления доступа ко второму объекту, второй объект может просто послать запрос на аутентификацию и ожидать утверждения доступа перед предоставлением доступа второму устройству, что имеет место в случае известных способов аутентификации. Соответственно, необязательно адаптировать второй объект к частным деталям предложенного способа, что увеличивает применимость предложенного способа.

Согласно другому предпочтительному варианту осуществления первая информация связывания и вторая информация связывания содержат один или более случайно сгенерированных символов. Случайно сгенерированные символы являются выгодными по причинам безопасности, поскольку снижается вероятность того, что при первом связывании и при втором связывании будет представлена идентичная или подобная информация связывания. Особенно в случае, когда множество не доверенных устройств расположены в непосредственной близости, индивидуум, который должен подтвердить согласованность информации связывания, может легко запутаться, если одинаковая или весьма подобная информация связывания будет представлена на множестве не доверенных устройств в его среде. Кроме того, случайно сгенерированные символы также являются выгодными, потому что информацию связывания можно обрабатывать аналогично одноразовому паролю, что является преимуществом, если соответствующий настоящему изобретению способ будет скомбинирован с известным способом связывания, использующим одноразовые пароли. Примерами символа являются цифра, буква, изображение, фотография, картинка или пиктограмма. Преимущество использования цифр, букв и/или пиктограмм состоит в простоте их обработки и представления на устройстве, имеющем простой дисплей, подобный интегрированному в известный мобильный телефон Глобальной Системы Мобильной Связи (GSM). Другое преимущество цифр и/или букв состоит в том, что их можно легко преобразовать в звуковое представление. Представление графики, такой как изображения, фотографии, картинки и/или пиктограммы может быть предпочтительным, поскольку индивидуум обычно распознает более интуитивно и быстро согласованность графики по сравнению с буквами и/или цифрами, что делает способ более удобным.

Согласно другому предпочтительному варианту осуществления первая информация связывания идентична второй информации связывания. Сравнение и подтверждение согласованности идентичной информации связывания в типичном случае более удобно относительно сравнения и подтверждения неидентичной согласующейся информации связывания. Помимо этого, использование идентичной информации связывания проще реализовать на сервере.

Согласно еще одному предпочтительному варианту осуществления ассоциирование первой характеристики и второй характеристики может основываться на верификации данных подтверждения, введенных в первое устройство, на предмет правильности. Ввод данных подтверждения может быть выгодным по причинам безопасности, например, для того, чтобы сделать индивидуума более осведомленным, или для персонифицированной аутентификации. Для верификации введенных данных подтверждения на предмет правильности введенные данные подтверждения должны согласовываться с заранее заданными данными подтверждения. Первое устройство или сервер, либо оба из них могут выполнять верификацию. Если сервер верифицирует введенные данные подтверждения, то данные подтверждения, введенные в первое устройство, или данные, сгенерированные на первом устройстве на основе введенных данных подтверждения, должны быть посланы на сервер, например, включенными в подтверждение согласованности или присоединенными к подтверждению согласованности. Сервер сравнивает введенные данные подтверждения или сгенерированные данные с заранее заданными данными подтверждения и выполняет ассоциирование характеристик, если введенные данные подтверждения или сгенерированные данные, соответственно, согласуются с заранее заданными данными подтверждения. Если первое устройство выполняет верификацию, то первое устройство имеет доступ к заранее заданным данным, которые обеспечивают возможность первому устройству верифицировать введенные данные на предмет правильности, например заранее заданные данные могут быть посланы от сервера на второе устройство либо заранее заданные данные могут храниться на втором устройстве. Первое устройство сравнивает введенные данные подтверждения с заранее заданными данными подтверждения. Способ может быть реализован таким образом, что посылка подтверждения согласованности является неявной индикацией верификации введенных данных подтверждения на предмет правильности посредством первого устройства для сервера. На основе верификации на предмет правильности сервер может выполнить ассоциирование первой и второй характеристик. В зависимости от реализации данные подтверждения могут быть введены для указания согласованности информации связывания, что, таким образом, сокращает количество этапов, подлежащих выполнению.

Согласно предпочтительному варианту осуществления данные подтверждения содержат по меньшей мере одно из (а) персонального идентификационного номера, (б) пароля, (с) указания в отношении дополнительной информации, представляемой параллельно с первой информацией связывания или второй информацией связывания, причем эта дополнительная информация является отличимой от первой информации связывания и второй информации связывания, и (г) данных, вычисляемых на основе первой информации связывания и/или второй информации связывания. Введенный персональный идентификационный номер (PIN) позволяет выполнить персонифицированную аутентификацию индивидуума, который в текущий момент эксплуатирует первое устройство, и является особенно выгодным для избежания несанкционированного использования, например, посредством предотвращения того, чтобы вор мог использовать украденное устройство для связывания согласно настоящему изобретению. Пароль можно использовать аналогичным образом, но его, возможно, легче запомнить чем PIN. Представление дополнительной информации параллельно с первой информацией связывания или второй информацией связывания может заставить оператора тщательным образом изучить представленную информацию для распознавания согласованности, что, таким образом, делает предложенный способ более безопасным. Кроме того, указание в отношении дополнительной информации может быть весьма коротким и простым для ввода, например, посредством цифры или буквы, указывающей дополнительную информацию. Альтернативное решение состоит во вводе данных, вычисляемых на основе первой информации связывания и/или второй информации связывания, что также повышает уровень осведомленности индивидуума и, таким образом, делает способ более безопасным. Кроме того, некоторым индивидуумам предложенный способ может показаться привлекательным просто по причине этапа вычисления, на котором требуется, чтобы индивидуум думал над правильным ответом, т.е. правильными данными подтверждения.

Настоящее изобретение также относится к серверу, предназначенному для реализации вышеописанного способа.

Сервер можно использовать для связывания первой характеристики первого устройства и второй характеристики второго устройства. Сервер содержит приемный модуль для приема сообщений, передающий модуль для посылки сообщений и модуль обработки для обработки сообщений и информации. Модуль обработки выполнен с возможностью выбора первой информации связывания и второй информации связывания. Первая информация связывания согласуется со второй информацией связывания. Передающий модуль выполнен с возможностью посылки первой информации связывания на первое устройство и второй информации связывания на второе устройство. Приемный модуль выполнен с возможностью приема подтверждения согласованности от первого устройства, причем подтверждение согласованности подтверждает для модуля обработки согласованность первой информации связывания, представленной первым устройством, и второй информации связывания, представленной вторым устройством. Модуль обработки выполнен с возможностью ассоциирования первой характеристики и второй характеристики на основе принятого подтверждения согласованности.

Согласно предпочтительному варианту осуществления первое устройство является доверенным устройством и первая характеристика относится к полномочиям на доступ, подтверждающим право доступа доверенного устройства к первому объекту.

Согласно другому предпочтительному варианту осуществления вторая характеристика содержит идентификатор, идентифицирующий второе устройство, и, на основе ассоциирования первой характеристики, относящейся к полномочиям на доступ, и второй характеристики, содержащей идентификатор, модуль обработки выполнен с возможностью генерации утверждения доступа для предоставления второму устройству или через второе устройство доступа ко второму объекту, являющемуся идентичным первому объекту или отличным от него, а передающий модуль выполнен с возможностью посылки утверждения доступа второму устройству или второму объекту или сущности, поддерживающей второе устройство или второй объект, для предоставления доступа.

Согласно еще одному предпочтительному варианту осуществления приемный модуль выполнен с возможностью приема запроса на аутентификацию, инициирующего выполнение связывания модулем обработки.

Согласно другому предпочтительному варианту осуществления модуль обработки выполнен с возможностью выбора первой информации связывания и второй информации связывания таким образом, чтобы они содержали один или более случайным образом сгенерированных символов.

Согласно еще одному предпочтительному варианту осуществления модуль обработки выполнен с возможностью выбора первой информации связывания таким образом, чтобы она была идентична второй информации связывания.

Согласно другому варианту осуществления модуль обработки выполнен с возможностью исполнения ассоциирования первой характеристики и второй характеристики на основе верификации данных подтверждения, введенных в первое устройство, на предмет правильности.

Настоящее изобретение также относится к компьютерной программе, содержащей части программных кодов, предназначенных для реализации вышеописанного способа при его функционировании на сервере. Компьютерная программа может храниться на машиночитаемом носителе. Машиночитаемый носитель может представлять собой постоянную или перезаписываемую память, размещенную внутри сервера или внешним образом. Надлежащая компьютерная программа также может быть перенесена на сервер, например, через кабельную или беспроводную линию связи в качестве последовательности сигналов.

Компьютерная программа может использоваться для связывания первой характеристики первого устройства и второй характеристики второго устройства. Компьютерная программа может быть загружена в модуль обработки сервера и содержит код, выполненный с возможностью выбора первой информации связывания и второй информации связывания. Первая информация связывания согласуется со второй информацией связывания. Компьютерная программа содержит код, выполненный с возможностью инициализации посылки первой информации связывания на первое устройство и посылки второй информации связывания на второе устройство и выполнения ассоциирования первой характеристики и второй характеристики на основе подтверждения согласованности, принятого от первого устройства, причем подтверждение согласованности подтверждает компьютерной программе согласованность первой информации связывания, представленной первым устройством, и второй информации связывания, представленной вторым устройством. Компьютерную программу можно использовать во всех описанных вариантах осуществления способа.

Далее подробно описываются варианты осуществления настоящего изобретения для предоставления специалисту в данной области техники полного и исчерпывающего понимания. Однако эти варианты осуществления являются иллюстративными и не ограничивающими, поскольку объем изобретения определяется прилагаемой формулой изобретения.

Перечень чертежей

Фиг.1а - блок-схема последовательности операций, соответствующая первому варианту осуществления настоящего изобретения.

Фиг.1b - примеры процессов и сообщений между устройствами согласно варианту осуществления по Фиг.1а.

Фиг.2 - иллюстрация оператора, устройств и сообщений между устройствами согласно второму варианту осуществления настоящего изобретения.

Фиг.3а - таблица, содержащая первый набор примеров представлений посредством доверенного устройства и на не доверенном устройстве.

Фиг.3b - таблица, содержащая второй набор примеров представлений посредством доверенного устройства и на не доверенном устройстве.

Подробное описание изобретения

На Фиг.1a показана блок-схема последовательности операций, соответствующая первому варианту осуществления настоящего изобретения, согласно которому запрос 50 на связывание инициирует следующие этапы способа. На Фиг.1b показаны примеры процессов и сообщений между устройствами, т.е. первым устройством РР1 и вторым устройством NP1, которые должны быть связаны, и сервером S1, для реализации способа согласно блок-схеме последовательности операций, изображенной на Фиг.1а. Далее Фиг.1а и Фиг.1b описываются параллельно. Идентичные ссылки на Фиг.1а и Фиг.1b описывают соответствующие признаки.

Согласно Фиг.1а первый вариант осуществления начинается с запроса 50 на связывание. Запрос 50 на связывание может исходить от сущности, являющейся внешней по отношению к серверу S1, или от самого сервера S1. Запрос 50 на связывание может быть послан от второго устройства NP1 на сервер S1 посредством сообщения 51 запроса, как изображено на Фиг.1b. Запрос 50 на связывание инициирует выполнение сервером S1 связывания первого устройства РР1 и второго устройства NP1 посредством ассоциирования первой характеристики первого устройства РР1 и второй характеристики второго устройства NP1. В сообщении 51 запроса серверу может быть предоставлен адрес второго устройства NP1. Помимо этого, сообщение запроса может содержать адрес первого устройства РР1. Далее сервер S1 выбирает 75 первую информацию связывания и вторую информацию связывания. Кроме того, сервер S1 посылает первую информацию связывания через сообщение 101 на первое устройство РР1 и посылает 150 вторую информацию связывания через сообщение 151 на второе устройство NP1. Далее первое устройство РР1 представляет 200 первую информацию связывания, а второе устройство NP1 представляет 250 вторую информацию связывания. После сравнения представленной информации связывания и распознавания согласованности представленной информации, индивидуум, который эксплуатирует первое устройство РР1, выполняет ввод 300 указания согласованности в первое устройство РР1. Предпочтительно первое устройство РР1 выдает запрос на ввод 300 указания согласованности, а при наличии более жестких требований безопасности также на ввод 350 данных подтверждения типа PIN в первое устройство РР1. Согласно настоящему примеру первое устройство РР1 выполняет верификацию введенных данных подтверждения на предмет правильности. Ввод 300, 350 указания согласованности и правильные данные подтверждения инициируют посылку 400 подтверждения согласованности от первого устройства РР1 на сервер S1 через сообщение 401. Подтверждение согласованности подтверждает согласованность первой информации связывания, которая представлена на первом устройстве РР1, и второй информации связывания, которая представлена на втором устройстве NP1, и дополнительно обеспечивает сервер S1 информацией о том, что оператор первого устройства РР1 был персонифицировано аутентифицирован посредством ввода правильного PIN. Кроме того, принятое подтверждение согласованности обеспечивает серверу S1 информацию с доказательством непосредственной близости первого устройства РР1 и второго устройства NP1, так что сервер S1 может предположить, что индивидуум, эксплуатирующий второе устройство NP1, идентичен индивидууму, эксплуатирующему первое устройство РР1, или по меньшей мере уполномочен им. На основе принятого подтверждения согласованности сервер S1 может выполнить ассоциирование 450 первой характеристики первого устройства РР1 и второй характеристики второго устройства NP1. То, какие характеристики подлежат ассоциированию 450, может быть указано в запросе 50 на связывание. Могут быть выполнены дополнительные этапы определения с целью определения надлежащих характеристик, которые должны быть связаны. Подходящим примером является ассоциирование адреса первого устройства РР1 и адреса второго устройства NP1, т.е. адресов, которые известны серверу для посылки 100, 150 информации связывания. На основе ассоциирования 450 первой характеристики и второй характеристики утверждение связывания может констатировать успешное связывание двух устройств РР1 и NP1. Утверждение связывания может быть послано 501 на второе устройство в качестве ответа на запрос 50 на связывание.

При использовании доверенного устройства в качестве первого устройства РР1 дополнительные этапы верификации, которые не показаны на Фиг.1, могут оказаться выгодными. В этом случае сервер может верифицировать полномочия на доступ персонального устройства для выполнения связывания, например, перед посылкой информации связывания на соответствующие устройства. Особенно в случае, если доступ к объекту запрашивается для второго устройства NP1 или через второе устройство NP1, может быть проверено, существуют ли надлежащие соглашения, позволяющие осуществлять доступ к объекту посредством второго устройства NP1 или через второе устройство NP1 на основе полномочий на доступ доверенного устройства. Например, может быть проверено, подтверждают ли также полномочия на доступ мобильного телефона, подтверждающие право доступа этого мобильного телефона к системе мобильной телефонной связи, такой как GSM или универсальная система мобильных телекоммуникаций (UMTS), право доступа к Интернет-услуге в качестве примера объекта, доступ к которому запрашивается через компьютерный терминал в качестве примера второго устройства. Посредством ассоциирования первой характеристики, относящейся к полномочиям на доступ первого устройства, например, номера мобильного телефона в качестве первой характеристики, и второй характеристики, которая позволяет идентифицировать второе устройство, может быть предоставлен доступ для второго устройства или через второе устройство к объекту.

Для использования способа, описанного совместно с Фиг.1а, для целей аутентификации преимущественным является заменить запрос 50 на связывание и утверждение 500 связывания соответствующими запросом на аутентификацию и утверждением аутентификации, используя доверенное устройство в качестве первого устройства РР1. Запрос на аутентификацию может быть послан через сообщение 51 на сервер S1. Этапы 75-450 и соответствующие процессы и сообщения 75-450 могут быть выполнены, как пояснено в связи с Фиг.1. На основе связывания утверждение аутентификации может быть послано на второе устройство через сообщение 501, активирующее, например, разблокирование второго устройства NP1 на получение доступа.

В общем случае для первого и второго устройства применимо следующее: для приема первой информации связывания на первом устройстве первое устройство оснащено первым приемным модулем, а для приема второй информации связывания посредством второго устройства второе устройство оснащено вторым приемным модулем. Для представления первой информации связывания посредством первого устройства первое устройство оснащено первым модулем вывода, а для представления второй информации связывания посредством второго устройства второе устройство оснащено вторым модулем вывода. Примерами модуля вывода являются дисплей, громкоговоритель или принтер, либо устройство, которое позволяет представлять информацию связывания посредством рельефных символов. Второе устройство может быть оснащено модулем ввода, таким как клавишная панель или микрофон для инициирования способа связывания, например, посредством запроса на аутентификацию или связывание. Для ввода указания согласованности и данных подтверждения, если необходимо, первое устройство оснащено модулем ввода, таким как клавишная панель, микрофон или сенсорный экран.

Один или более из вышеупомянутых модулей для первого устройства и/или второго устройства могут быть съемными. Тот факт, что первое устройство и/или второе устройство необязательно должны иметь встроенный приемный модуль, передающий модуль, модуль ввода и/или модуль вывода, делает предложенный способ значительно более гибким, например, в качестве доверенного устройства может использоваться кредитная карточка, вставленная в устройство, подобное устройству считывания карточек, имеющее в дополнение модуль ввода и вывода и приемный и передающий модули, как объяснено выше. Кроме того, представление информации связывания посредством громкоговорителя или шрифтом Брайля делает предложенный способ также легко используемым слепыми индивидуумами.

Далее описаны примеры доверенных устройств, которые могут использоваться в предложенном способе связывания: во-первых, доверенное устройство, которое подтверждает право доступа к объекту без выявления идентификационных данных законного владельца доверенного устройства: согласно этому первому примеру одна или более ассоциированных с доверенным устройством характеристик, которые могут быть определены объектом при представлении доверенного устройства для получения доступа, не позволяют идентифицировать законного владельца. С этой целью доверенное устройство согласно первому примеру может быть предоставлено законному владельцу без ассоциирования идентификационных данных законного владельца с упомянутыми одной или более характеристиками, которые могут быть определены. Примером такого доверенного устройства является билет, который подтверждает право на осуществление доступа к объекту, при этом при выявлении полномочий на доступ наименование упомянутого объекта и серийный номер не ассоциированы с идентификационными данными законного владельца. Во-вторых, доверенное устройство, которое подтверждает право доступа к объекту, которое позволяет получить идентификационные данные законного владельца; согласно второму примеру по меньшей мере одна из характеристик доверенного устройства, которые может определить объект, ассоциирована с идентификационными данными законного владельца. Упомянутые идентификационные данные могут храниться на доверенном устройстве, в объекте и/или дополнительной сущности, к которой объект может осуществить доступ. Когда упомянутые идентификационные данные хранятся в объекте и/или в упомянутой дополнительной сущности, доверенное устройство должно быть уникальным образом идентифицируемым объектом для получения идентификационных данных законного владельца. В-третьих, доверенное устройство, которое подтверждает право доступа к объекту, допускающее персонифицированную аутентификацию, т.е. можно доказать, что индивидуум, который эксплуатирует доверенное устройство, идентичен законному владельцу или уполномочен им. Секрет, подобный персональному идентификационному номеру (PIN), персонально выдаваемому законному владельцу, или идентификационным данным пользователя - механизму пароля или персональной информации, уникальным образом относящейся к законному владельцу, типа подписи или фотографии, может использоваться для персонифицированной аутентификации при представлении доверенного устройства для получения доступа. Уполномочивание законным владельцем может быть достигнуто посредством предоставления упомянутого секрета другому индивидууму, что позволяет этому другому индивидууму осуществить доступ к объекту при представлении доверенного устройства. Примерами доверенных устройств, допускающих персонифицированную аутентификацию, являются кредитная карточка в комбинации с подписью или мобильный телефон GSM в комбинации с PIN.

В случае связывания доверенного устройства то, предоставляется ли информация о законном владельце серверу, как это объяснялось выше, зависит от этого доверенного устройства и обработки характеристик, которые могут быть определены сервером для связывания. Если информацию о законном владельце можно определить, то эту информацию можно использовать на этапе ассоциирования. В качестве общего правила, при наличии более жестких требований безопасности предпочтительно использовать доверенное устройство, соответствующее примеру с большим порядковым номером. Кроме того, доверенное устройство может быть ассоциировано с такими характеристиками, как дата выпуска, дата истечения срока или значение, ассоциированное с доверенным устройством, которое может рассматриваться, например, для связывания и/или предоставления доступа.

На Фиг.2 показан второй вариант осуществления предложенного способа. Индивидуум А2, который эксплуатирует доверенное устройство, обозначенное как мобильный телефон РР2, и не доверенное устройство, обозначенное как компьютерный терминал NP2, желает осуществить доступ через компьютерный терминал NP2 к услуге, предоставляемой сервером SP2 в Интернете. Сервер SP2 распознает, что для запрошенной услуги требуется аутентификация. Сервер SP2 может ответить компьютерному терминалу NP2 сообщением ARM1 запроса аутентификации, запрашивающим аутентификацию, например ввести номер MSISDN. Индивидуум А2 вводит номер MSISDN мобильного телефона РР2 в компьютерный терминал NP2 и посылает в сообщении ARM2 ответа на запрос аутентификации введенный номер MSISDN мобильного телефона РР2 в сервер SP2. Сообщение ARM2 ответа на запрос аутентификации также может переносить адрес компьютерного терминала NP2, такой как адрес межсетевого протокола (IP) и номер порта. На основе принятого сообщения ARM2 ответа на запрос аутентификации сервер SP2 посылает запрос RA на аутентификацию серверу AS2. Согласно настоящему примеру запрос RA содержит номер MSISDN мобильного телефона РР2, IP-адрес и номер порта компьютерного терминала NP2 и IP-адрес и номер порта сервера SP2. В необязательном порядке, в запрос RA может быть включен идентификатор или имя услуги и/или поставщика услуги и время, когда запрос SR на услугу был принят на сервере SP2. Инициированный запросом RA, сервер AS2 функционирует следующим образом: сервер AS2 признает принятый номер MSISDN как подтверждающий право доступа к системе мобильных телекоммуникаций. На основе анализа номера MSISDN сервер AS2 может также обнаружить, что номер MSISDN соответствует конкретному сетевому оператору. Согласно настоящему примеру сервер AS2 проверяет, подтверждают ли полномочия на доступ, соответствующие номеру MSISDN, также и право доступа к услуге, предоставляемой сервером SP2, например, в соответствии с надлежащим соглашением, заключенным заранее, или по запросу, или предполагая неявное соглашение вследствие того факта, что сервер SP2 посылает номер MSISDN в сообщении 51 запроса. Если требуется персонифицированная аутентификация, сервер AS2 может в дополнение получить идентификационные данные законного владельца номера MSISDN, например имя и адрес индивидуума А2, представляющего мобильный телефон РР2 в качестве доверенного устройства.

После признания номера MSISDN мобильного телефона РР2 и одобрения ассоциированных полномочий на доступ сервер AS2 продолжает выполнение связывания посредством выбора первой и второй информации связывания. Согласно настоящему примеру сервер AS2 выбирает и посылает идентичную последовательность картинок на мобильный телефон РР2 и на компьютерный терминал NP2. Информация связывания для компьютерного терминала NP2 посылается в сообщении LIA1 на сервер SP2, который далее посылает информацию связывания для компьютерного терминала NP2 через сообщение LIA2 на компьютерный терминал NP2, где выполняется представление информации связывания на экране дисплея компьютера, как показано изображением DIN экрана. Информация связывания для мобильного телефона РР2 посылается на мобильную станцию в сообщении LIB, например, через службу коротких сообщений (SMS) или службу обмена мультимедийными сообщениями (MMS) или протокол беспроводных приложений (WAP). Информация связывания представляется на дисплее мобильного телефона РР2, как показано на изображении DIP экрана. Способ становится более удобным и более безопасным, если представление информации связывания на мобильном телефоне РР2 осуществляется параллельно с таким запросом, как:

"Дорогой [Имя индивидуума],

Вы хотите осуществить доступ к услуге [Имя услуги] в [время запроса услуги]. Пожалуйста, подтвердите согласованность информации связывания, представляемой на Вашем мобильном телефоне и Вашем не доверенном устройстве [адрес] нажатием кнопки ДА, вслед за чем следует ввести Ваш PIN."

Вышеприведенный текст запроса включает в себя элементы в квадратных скобках. Эти элементы, такие как имя индивидуума А2, имя услуги, время запроса услуги и адрес не доверенного устройства, могут быть включены в сообщение LIB и, таким образом, предоставлены мобильному телефону РР2 для представления, если эта информация доступна для сервера AS2, как объяснено ранее.

Если информация связывания в форме последовательности картинок, представленной на дисплее мобильного телефона РР2 и на экране компьютерного терминала NP2, идентична и, таким образом, согласуется, индивидуум А2 нажимает кнопку ДА на мобильном телефоне РР2 и вводит свой PIN для подтверждения согласованности. В случае, если информация, которая представлена мобильным телефоном РР2, и информация, представленная компьютерным терминалом NP2, не согласуются, возможно, имеет место атака. В этом случае подтверждение согласованности может быть отклонено, и, таким образом, процедура связывания может быть завершена, например, посредством нажатия НЕТ или ввода неверного PIN. Согласно настоящему примеру информация связывания согласуется, и подтверждение согласованности посылается через сообщение МС подтверждения согласованности из мобильного телефона РР2 на сервер AS2. На основе принятого подтверждения согласованности сервер AS2 связывает компьютерный терминал NP2 и мобильный телефон РР2 посредством ассоциирования, например, адреса компьютерного терминала NP2 с номером MSISDN мобильного телефона РР2 и предоставляет серверу SP2 сообщение АА утверждение аутентификации, содержащее утверждение аутентификации. На основе утверждения аутентификации сервер SP2 может предоставить доступ SA к услуге компьютерному терминалу NP2 для индивидуума А2. Сервер АS2 может предоставить персональную информацию, относящуюся к индивидууму А2, такую как имя, и/или адрес, и/или номер кредитной карточки, серверу SP2, если эта информация доступна или запрошена. Сервер SP2 может сохранить предоставленную персональную информацию в базе данных, например, для финансовых или статистических целей либо по правовым причинам.

В варианте осуществления по Фиг.2 в качестве не доверенного устройства используется компьютерный терминал. Однако в вариантах осуществления, описанных со ссылкой на Фиг.1а, 1b и 2, в качестве не доверенного устройства может использоваться, например, персональное цифровое информационное устройство (PDA), рабочая станция, портативный компьютер, торговый автомат, устройство физического доступа типа двери или устройство физического контроля, такое как турникет.

На Фиг.3а показана таблица с примерами согласованности информации связывания, представленной доверенным устройством в качестве примера первого устройства и не доверенным устройством в качестве примера второго устройства. Отдельные примеры информации связывания указаны идентифицирующими номерами (ID). Идентичные последовательности цифр 1а, букв 2а, пиктограмм 3а, картинок 4а и комбинации букв и цифр 5а показаны в качестве примеров идентичной информации связывания. Однако, как утверждалось ранее, согласующаяся информация связывания необязательно должна быть идентичной. Примеры неидентичной согласующейся информации связывания даны в примерах 6а-11а. Примеры 6а и 7а выявляют примеры последовательной согласующейся информации связывания для последовательностей цифр и букв соответственно, т.е. последовательностей, начинающихся на доверенном устройстве и продолжающихся на не доверенном устройстве и наоборот. 8а и 9а показывают примеры дополняющей согласующейся информации связывания, где первая последовательность пиктограмм представляется доверенным устройством, а вторая последовательность пиктограмм, идентичная первой последовательности пиктограмм, но с обращенным цветом, представляется не доверенным устройством. 10а - пример вычисляемой согласующейся информации связывания, т.е. информация связывания, представляемая не доверенным устройством, может быть вычислена на основе информации связывания, представляемой доверенным устройством, и наоборот. Пример 11а показывает последовательность картинок, представляемую не доверенным устройством. Информацией связывания, представляемой доверенным устройством, является последовательность имен, согласующаяся с последовательностью картинок в текстовом формате. Реализация согласно примеру 11а может быть очень полезна, только если одно из устройств поддерживает представление картинок. Таким образом, может оказаться выгодным предоставить доверенному устройству или не доверенному устройству, либо им обоим разнообразные форматы информации связывания, из которых можно выбрать наиболее подходящий формат для повышения вероятности представления информации связывания. Другим примером неидентичной согласующейся информации, не показанным на Фиг.3а, является головоломка, при этом одна или более первых частей этой головоломки могут быть представлены доверенным устройством, а одна или более других частей данной головоломки могут быть представлены не доверенным устройством.

Сравнение и распознавание согласованности в отношении графической информации связывания, такой как картинки, изображения или пиктограммы, могут оказаться проще для индивидуума, чем в отношении неграфической информации связывания, такой как цифры и буквы, что делает предложенный способ, основывающийся на графической информации связывания, более удобным, но также и более безопасным, поскольку вероятность ошибочного распознавания согласованности уменьшается. В качестве примера, для набора из 100 пиктограмм последовательность из трех случайным образом выбранных пиктограмм в качестве информации связывания обеспечивает 1000000 различных последовательностей, что делает предложенный способ достаточно защищенным, с одной стороны. С другой стороны, сравнение последовательности из трех пиктограмм является простым и быстрым относительно, например, последовательности из шести цифр, которой также соответствует возможность обеспечения 1000000 различных последовательностей.

Фиг.3b используется для объяснения того, как ввод указания согласованности может быть выполнен и как может быть выполнен ввод данных подтверждения в доверенное устройство, которым, в качестве примера, является первое устройство. По этой причине, показаны примеры согласованности информации связывания, представленной доверенным устройством и не доверенным устройством, которым, в качестве примера, является второе устройство. К представляемой согласующейся информации связывания добавляется дополнительная информация, представляемая параллельно соответствующей согласующейся информации связывания на одном или более устройствах. Для распознавания согласованности первой информации связывания и второй информации связывания упомянутая дополнительная информация должна быть четко отличима от согласующейся информации связывания, например, согласно примерам 1b-10b, как поясняется далее. Для ввода указания согласованности и/или ввода данных подтверждения надлежащий запрос может быть представлен по меньшей мере одним из устройств, которые должны быть связаны. Ввод указания для согласованности и для данных подтверждения может быть объединен.

Согласно первому примеру 1b согласующаяся информация связывания задается последовательностью цифр "123456" на обоих устройствах и дополнительная информация задается последовательностью "ABCDEF" латинских букв и последовательностью "ψδηρτξ" греческих букв. Информация, как она представляется на доверенном устройстве, пронумерована, и согласованность информации связывания может быть подтверждена введением "2" в доверенное устройство для указания того, что информация с номером "2", представленная доверенным устройством, является информацией связывания, которая согласуется с информацией связывания, представленной не доверенным устройством. В качестве альтернативы, можно использовать координатно-указательное устройство, такое как мышь, для осуществления "щелчка" по информации связывания или соответствующему идентификатору, т.е. номеру "2" согласно настоящему примеру. Для указания согласованности возможен также голосовой ввод.

Пример 2b показывает соответствующее представление согласующейся информации связывания, т.е. "ABCDEF", и дополнительной информации, т.е. "45Т698" и "$rt%tz", причем дополнительная информация теперь представляется не доверенным устройством. В качестве идентификаторов буква "A" используется для согласующейся информации связывания и буквы "B" и "C" используются для дополнительной информации. Согласно этому примеру указание согласованности может быть выполнено вводом "A" в доверенное устройство.

Согласно примерам 1b и 2b ввод указания согласованности также может быть выполнен тривиальным путем без использования представления дополнительной информации индивидууму, например, посредством нажатия "ДА". Дополнительный этап подтверждения может потребовать ввода "2" или "A" в качестве данных подтверждения согласно примеру 1b или 2b соответственно.

Оба примера 1b и 2b увеличивают сложность, что обеспечивает преимущество, заключающееся в повышении защищенности способа. Индивидуум, который эксплуатирует доверенное устройство, не сможет достичь связывания доверенного устройства и не доверенного устройства простым нажатием кнопки или другим тривиальным путем. Вместо этого, он вынужден тщательным образом сравнивать информацию, представляемую обоими устройствами, и сделать правильный выбор для ввода.

В следующих примерах 3b-10b цифра "0" представляет дополнительную информацию, которую можно легко отличить от согласующейся информации связывания согласно настоящим примерам. Дополнительная информация может быть, например, представлена отдельно от информации связывания доверенным устройством согласно примерам 8b-10b, или представлена отдельно от информации связывания не доверенным устройством согласно примерам 4b-7b, или может содержаться в информации связывания, как проиллюстрировано примером 3b, где дополнительная информация содержится в информации связывания, представляемой доверенным устройством. Случай, когда дополнительная информация включена в информацию связывания, представляемую не доверенным устройством, также возможен, но не показан на Фиг.3b.

Согласно примерам 3b-10b, указание согласованности может быть выполнено, например, нажатием кнопки "ДА", вслед за чем вводятся данные подтверждения, т.е. дополнительная информация "0" согласно примерам 3b-10b.

В 11b идентичная информация связывания в форме математического уравнения "3+5=?" представляется обоими устройствами. Правильный результат "8" может быть введен в качестве данных подтверждения.

В качестве альтернативы, указание согласованности в примерах 3b-10b и 11b может быть объединено со вводом данных согласованности, например посредством запроса указать согласованность вводом дополнительной информации, т.е. "0" и "8" для примеров 3b-10b и 11b соответственно. Преимуществом этой реализации является то, что требуется меньшее количество действий оператора, т.е. нажатие кнопки "ДА" можно исключить.

Вышеизложенные варианты осуществления решают задачи настоящего изобретения. Однако следует понимать, что специалистами в данной области техники могут быть сделаны изменения, не выходя за рамки объема изобретения, который ограничен только формулой изобретения.

1. Способ предоставления доступа ко второму объекту для второго устройства (NP1, NP2) или через второе устройство (NP1, NP2) путем связывания первой характеристики первого устройства (РР1, РР2) и второй характеристики второго устройства (NP1, NP2) посредством сервера (S1, AS2), при этом первое устройство (РР1, РР2) является доверенным устройством и первая характеристика относится к полномочиям на доступ, подтверждающим право доступа первого устройства (РР1, РР2) для доступа к первому объекту, при этом способ содержит прием на сервере (S1, AS2) запроса (50), инициирующего выполнение этапов, на которых выбирают (75) на сервере (S1, AS2) первую информацию связывания и вторую информацию связывания для распознавания их пользователем (ями) первого и второго устройств, при этом первая информация связывания согласуется со второй информацией связывания, посылают (100, 150) с сервера (S1, AS2) первую информацию связывания на первое устройство (РР1, РР2) и вторую информацию связывания на второе устройство (NP1, NP2) и представляют (200, 250) посредством первого устройства (РР1, РР2) первую информацию связывания и посредством второго устройства (NP1, NP2) вторую информацию связывания, вводят (300) в первое устройство (РР1, РР2) указание согласованности первой информации связывания и второй информации связывания, на основе введенного указания согласованности посылают (400) от первого устройства (РР1, РР2) на сервер (S1, AS2) подтверждение согласованности с целью подтверждения согласованности для сервера (S1, AS2), ассоциируют (450) первую характеристику и вторую характеристику на основе принятого подтверждения согласованности, для осуществления связывания дополнительно верифицируют, посредством сервера (S1, AS2) полномочия на доступ первого устройства (РР1, РР2), на основе упомянутого связывания посылают от сервера (S1, AS2) сообщение для предоставления доступа ко второму объекту.

2. Способ по п.1, используемый для аутентификации, в котором запрос (50) представляет собой запрос на аутентификацию, причем способ дополнительно содержит этап, на котором устанавливают ассоциацию (450) посредством утверждения аутентификации.

3. Способ по п.2, в котором утверждение аутентификации посылают для предоставления доступа.

4. Способ по п.3, в котором вторая характеристика содержит идентификатор, идентифицирующий второе устройство (NP1, NP2), и второй объект идентичен первому объекту или отличается от первого объекта.

5. Способ по п.1, в котором первая информация связывания и вторая информация связывания содержат один или более из случайным образом сгенерированных символов.

6. Способ по п.1, в котором первая информация связывания идентична второй информации связывания.

7. Способ по п.1, в котором ассоциирование (450) основывается на верификации введенных в первое устройство (РР1, РР2) данных подтверждения на предмет правильности.

8. Способ по п.7, в котором введенные данные подтверждения содержат по меньшей мере одно из:

(а) персонального идентификационного номера,

(b) пароля,

(с) указания дополнительной информации, представляемой параллельно с первой информацией связывания или второй информацией связывания, при этом упомянутая дополнительная информация отличима от первой информации связывания и второй информации связывания, и

(d) данных, вычисляемых на основе первой информации связывания и/или второй информации связывания.

9. Сервер (S1, AS2) предоставления доступа ко второму объекту для второго устройства (NP1, NP2) или через второе устройство (NP1, NP2) путем связывания первой характеристики первого устройства (РР1, РР2) и второй характеристики второго устройства, при этом первое устройство (РР1, РР2) является доверенным устройством и первая характеристика относится к полномочиям на доступ, подтверждающим право доступа первого устройства (РР1, РР2) для доступа к первому объекту, при этом сервер (SI, AS2) содержит приемный модуль для приема сообщений, передающий модуль для посылки сообщений и модуль обработки для обработки сообщений и информации, при этом приемный модуль выполнен с возможностью приема запроса (50), модуль обработки выполнен с возможностью инициирования принятым запросом (50) для выбора первой информации связывания и второй информации связывания для распознавания их пользователем (ями) первого и второго устройств, причем первая информация связывания согласуется со второй информацией связывания, передающий модуль выполнен с возможностью посылки первой информации связывания на первое устройство (РР1, РР2) и второй информации связывания на второе устройство (NP1, NP2), приемный модуль выполнен с возможностью приема подтверждения согласованности от первого устройства (РР1, РР2), при этом подтверждение согласованности подтверждает для модуля обработки согласованность первой информации связывания, представляемой первым устройством (РР1, РР2), и второй информации связывания, представляемой вторым устройством (NP1, NP2), и модуль обработки выполнен с возможностью ассоциирования (450) первой характеристики и второй характеристики на основе принятого подтверждения согласованности и, для осуществления связывания, дополнительно выполнен с возможностью верификации полномочий на доступ первого устройства (РР1, РР2) и, на основе упомянутого связывания, посылки через передающий модуль сообщения для предоставления доступа ко второму объекту.

10. Сервер (S1, AS2) по п.9, используемый для аутентификации, при этом запрос (50) представляет собой запрос на аутентификацию, причем модуль обработки дополнительно выполнен с возможностью установления ассоциации (450) посредством утверждения аутентификации.

11. Сервер (S1, AS2) по п.10, в котором передающий модуль выполнен с возможностью посылки утверждения аутентификации для предоставления доступа.

12. Сервер (S1, AS2) по п.11, в котором вторая характеристика содержит идентификатор, идентифицирующий второе устройство, при этом второй объект, является идентичным первому объекту или отличающимся от первого объекта, и передающий модуль выполнен с возможностью посылки утверждения доступа на второе устройство (NP1, NP2) или второй объект, либо на сущность, поддерживающую второе устройство (NP1, NP2) или второй объект, для предоставления доступа.

13. Сервер (S1, AS2) по п.9, в котором модуль обработки выполнен с возможностью выбора первой информации связывания и второй информации связывания таким образом, чтобы они содержали сгенерированные случайным образом символы.

14. Сервер (S1, AS2) по п.9, в котором модуль обработки выполнен с возможностью выбора первой информации связывания таким образом, чтобы она была идентична второй информации связывания.

15. Сервер (S1, AS2) по п.9, в котором модуль обработки выполнен с возможностью ассоциирования (450) первой характеристики и второй характеристики на основе верификации введенных в первое устройство (РР1, РР2) данных подтверждения на предмет правильности.

16. Машиночитаемый носитель, содержащий компьютерную программу для предоставления доступа ко второму объекту для второго устройства (NP1, NP2) или через второе устройство (NP1, NP2) посредством связывания первой характеристики первого устройства (РР1, РР2) и второй характеристики второго устройства (NP1, NP2), причем первое устройство (РР1, РР2) является доверенным устройством и первая характеристика относится к полномочиям на доступ, подтверждающим право доступа первого устройства (РР1, РР2) для доступа к первому объекту, при этом данная компьютерная программа является загружаемой с машиночитаемого носителя в модуль обработки сервера (S1, AS2) и содержит код, выполненный с возможностью инициирования запросом (50), чтобы выбирать первую информацию связывания и вторую информацию связывания для распознавания их пользователем (ями) первого и второго устройств, причем первая информация связывания согласуется со второй информацией связывания, инициализировать посылку первой информации связывания на первое устройство (РР1, РР2) и посылку второй информации связывания на второе устройство, так чтобы первая информация связывания выводилась на первом устройстве (РР1, РР2) и вторая информация связывания выводилась на втором устройстве (NP1, NP2), и выполнять ассоциирование (450) первой характеристики первого устройства и второй характеристики второго устройства на основе подтверждения согласованности, принятого от первого устройства (РР1, РР2), причем подтверждение согласованности подтверждает компьютерной программе согласованность первой информации связывания, представленной первым устройством, и второй информации связывания, представленной вторым устройством (NP1, NP2), и, для осуществления связывания, дополнительно верифицировать полномочия на доступ первого устройства (РР1, РР2) и, на основе упомянутого связывания, инициализировать посылку сообщения для предоставления доступа ко второму объекту.