Способ, сервер и система для идентификации человека

Авторы патента:

ФЕРЛИН Бенуа Чарльз Маурис Фернанд (FR)

G06F21/31 - Обработка цифровых данных с помощью электрических устройств (вычислительные машины, в которых часть вычислений осуществляется гидравлическими или пневматическими устройствами G06D; оптическими средствами G06E; автономные внешние вводные и выводные устройства G06K; компьютерные системы, основанные на специфических вычислительных моделях G06N; цепи полного /активного и реактивного/ сопротивления H03H)

Владельцы патента RU 2610419:

ОНЕЙ БАНК (FR)

Изобретение относится к области информационной безопасности в телекоммуникациях. Технический результат заключается в надежной идентификации владельца телекоммуникационного оборудования. Способ, в котором сервер получает запрос на идентификацию от терминала, отправляет идентификационный код терминалу посредством первой сети передачи данных; терминал передает идентификационный код телекоммуникационному оборудованию; сервер получает от телекоммуникационного оборудования идентификационный код вместе с уникальным идентификатором, генерирует одноразовый идентификационный маркер и отправляет его телекоммуникационному оборудованию посредством второй сети передачи данных; телекоммуникационное оборудование возвращает одноразовый идентификационный маркер серверу посредством второй сети передачи данных; одновременно терминал принимает личный код доступа, вводимый человеком; сервер получает личный код доступа от терминала посредством первой сети передачи данных; идентификация человека реализуется сервером, если идентификационный код, уникальный идентификатор, идентификационный маркер и личный код доступа соответствуют элементам, содержащимся на сервере. 3 н. и 8 з.п. ф-лы, 3 ил.

Настоящее изобретение относится к способу, серверу и системе для идентификации человека, владельца телекоммуникационного оборудования, имеющего уникальный идентификатор.

При проведении многочисленных электронных транзакций, например, платежных, важно гарантировать подлинность участников и безопасность передачи конфиденциальной информации между ними.

Первое решение, которое предложено и широко применяется до сих пор, заключается в кодировании канала передачи с помощью особого протокола, как правило, протокола SSL - «Протокола Защищенных Сокетов» ("Secure Socket Layer").

Это обеспечивает возможность защититься от перехвата сообщений посредством подключения к каналу передачи, однако это не защищает от атак настольного компьютера, таких как установка шпионского программного обеспечения, или программного обеспечения для атаки типа «Человек в Браузере», то есть встраивания вредоносного шпионского программного обеспечения в браузер сети интернет, а также от программного обеспечения для атаки типа «Человек Посередине», когда третья сторона представляется одним из участников и получает несанкционированный доступ к каналу связи путем имитации ожидаемого поведения точки контакта.

Для защиты пользователей от данных типов атак было предложено множество решений. В частности, было предложено использовать два различных канала связи, подразумевая, что для третьей стороны очень сложно перехватить и синхронизировать связь, используя два или более каналов, и тем самым атаки «Человека Посередине» станут едва ли возможными.

Основываясь на данном принципе, решением с использованием двух каналов связи является обеспечение безопасности электронных платежей с помощью банковской карты, предложенное компаниями VISA и Mastercard соответственно под торговой маркой "3D secure" или "Securecode". Эта услуга заключается в том, что после ввода идентификаторов собственной банковской карты на собственный, предварительно зарегистрированный номер мобильного телефона приходит одноразовый секретный код, который затем должен быть скопирован на экран ввода платежа.

Недостатком данного решения является факт передачи набора секретной информации, к которой относится одноразовый секретный код, через терминал, на котором осуществляется платежная транзакция. Следовательно, третья сторона, которая перехватывает связь посредством сети интернет, может использовать для своих целей и изменить определенные параметры транзакции так, чтобы пользователь не заметил этого.

Например, в документе WO 2007072001 описывается другой бесконтактный способ осуществления платежей с использованием мобильного телефона в качестве безопасного средства осуществления платежей. В нем описана двухфакторная динамическая идентификация с использованием 3-х устройств: терминала доступа, мобильного телефона покупателя и сервера идентификации. Способ, главным образом, заключается в следующем:

- Пользователь вводит свои личные идентификационные данные на терминале доступа, который отправляет их серверу вместе с информацией, относящейся к платежной транзакции («контекст»);

- Сервер осуществляет проверку его/ее идентификационных данных и, если они являются достоверными, генерирует сообщение с идентификатором транзакции, которое он посылает терминалу;

- Терминал представляет идентификатор транзакции таким образом, чтобы он «захватывался» с помощью мобильного телефона;

- На основе данного идентификатора, который содержит скрытую информацию, мобильный телефон расшифровывает его и выводит контекст транзакции и идентификационную информацию с целью представления их пользователю для подтверждения правильности;

- Если пользователь подтверждает ее правильность, он/она вводит свой идентификационный код в терминал, который отправляет его серверу для подтверждения правильности;

- После проверки данного кода сервер подтверждает правильность транзакции и разрешает осуществление платежа.

Недостатком данного решения является то, что оно основано на криптографических способах, в частности на стеганографии, которые, как предполагается, препятствуют третьей стороне «тайно изменять» идентификатор транзакции. Однако если данные криптографические способы «взломаны», третья сторона может получить несанкционированный доступ к каналу связи между терминалом и сервером и заново создать идентификаторы согласно требованиям. В частности, данное решение основывается на программном обеспечении для расшифровки, установленном на мобильном телефоне. Однако защищенность информации на данных устройствах далеко не гарантируется.

Следовательно, было бы более полезным получить способ идентификации, который был бы устойчивым по отношению к данным атакам и не требовал бы применения криптографических способов, которые являются сложными для воплощения, или не требовал бы усиления защищенности мобильных телефонов.

С целью устранения одного или нескольких из вышеупомянутых недостатков способ для идентификации человека, при котором серверу идентификации заранее известно, что данный человек владеет телекоммуникационным оборудованием, имеющим уникальный идентификатор, и обладает кодом доступа, включает:

- получение сервером запроса на идентификацию от терминала посредством первой сети передачи данных;

- отправку сервером идентификационного кода терминалу посредством первой сети передачи данных;

- передачу идентификационного кода от терминала телекоммуникационному оборудованию;

- получение сервером от телекоммуникационного оборудования посредством второй сети передачи данных идентификационного кода вместе с уникальным идентификатором;

- генерацию сервером одноразового идентификационного маркера и отправку его телекоммуникационному оборудованию посредством второй сети передачи данных; и возврат одноразового идентификационного маркера серверу телекоммуникационным оборудованием посредством второй сети передачи данных; и одновременно,

- принятие терминалом посредством запроса на принятие личного кода доступа, вводимого человеком; и получение сервером личного кода доступа, поступающего от терминала, посредством первой сети передачи данных;

- идентификацию человека сервером, если идентификационный код, уникальный идентификатор, идентификационный маркер и личный код доступа соответствуют элементам, содержащимся на сервере.

Следовательно, предпочтительно каждый канал связи передает секретные данные сам по себе, и перехват в одном из каналов не дает возможности узнать секретные данные, передаваемые в другом канале. Это также защищает от атак, связанных с наличием шпионского программного обеспечения, установленного в одном из терминалов, поскольку для этой цели имеется перераспределение секретных данных между терминалами.

Характеристики конкретных вариантов воплощений, которые будут использоваться сами по себе или в сочетании, представляют собой:

- он дополнительно содержит вспомогательный способ регистрации человека, включающий:

- получение сервером уникального идентификатора телекоммуникационного оборудования и по меньшей мере биографических данных человека от телекоммуникационного оборудования посредством второй сети связи;

- отправку сервером одноразового пароля телекоммуникационному оборудованию посредством второй сети связи и вывод одноразового пароля на экран телекоммуникационным оборудованием;

- принятие одноразового пароля на втором терминале путем его ввода человеком;

- получение сервером одноразового пароля от второго терминала посредством третьей телекоммуникационной сети; и

- создание и разделение использования личного кода доступа между человеком и сервером посредством второго терминала и третьей телекоммуникационной сети;

- конфиденциальные биографические данные передаются серверу от второго терминала посредством третьей телекоммуникационной сети после получения одноразового пароля сервером и перед созданием личного кода доступа;

- конфиденциальные биографические данные содержат данные банковской карты;

- вспомогательный способ регистрации дополнительно содержит, после создания и разделения использования личного кода доступа:

- отправку сервером идентификационного кода, связанного с регистрацией, второму терминалу посредством третьей сети передачи данных;

- передачу идентификационного кода от терминала телекоммуникационному оборудованию;

- получение сервером идентификационного кода вместе с уникальным идентификатором оборудования, поступающим от телекоммуникационного оборудования, посредством второй сети передачи данных;

- передача идентификационного кода от терминала телекоммуникационному оборудованию достигается путем вывода на экран терминала пиктограммы и принятия выведенного на экран изображения с помощью фотографического аппарата телекоммуникационного оборудования; и/или

- телекоммуникационное оборудование перехватывает отправку сообщения одноразового идентификационного маркера и автоматически возвращает его без вмешательства человека путем использования двух различных каналов связи.

Во втором аспекте изобретения сервер для идентификации человека содержит:

- элемент памяти, предназначенный для хранения биографической информации человека, причем биографическая информация содержит по меньшей мере уникальный идентификатор телекоммуникационного оборудования, которым владеет человек, и личный код доступа;

- первый интерфейс, предназначенный для связи с терминалом посредством первой сети передачи данных;

- второй интерфейс, предназначенный для связи с телекоммуникационным оборудованием посредством второй сети передачи данных;

- генератор идентификационного кода, способный генерировать идентификационный код по запросу от терминала и отправлять сгенерированный идентификационный код терминалу и способный получать идентификационный код вместе с уникальным идентификатором, поступающим от телекоммуникационного оборудования;

- генератор одноразовых идентификационных маркеров, способный генерировать одноразовый идентификационный маркер и отправлять его телекоммуникационному оборудованию и затем получать его от телекоммуникационного оборудования;

- генератор приложения ввода, способный отправлять терминалу экран ввода личного кода доступа и получать введенный личный код доступа от терминала;

- компаратор идентификационного кода, уникального идентификатора, идентификационного маркера и личного кода доступа, поступающих от терминала или телекоммуникационного оборудования, с эквивалентными элементами, содержащимися на сервере, причем идентификация человека достигается, если результат ряда сравнений является положительным.

В третьем аспекте изобретения система идентификации содержит сервер идентификации, подобный описанному выше, терминал, подключенный к серверу посредством первой сети передачи данных, и телекоммуникационное оборудование, подключенное к серверу посредством второй телекоммуникационной сети, причем терминал дополнительно содержит средства взаимодействия пользователя с компьютером, обеспечивающие возможность вывода информации и ввода личного кода доступа, и телекоммуникационное оборудование дополнительно содержит средства для ввода информации, выведенной на экран терминалом, и уникальный идентификатор.

В четвертом аспекте изобретения программный продукт для компьютера содержит команды программного кода, предназначенные для осуществления шагов вышеописанного способа, когда программа выполняется на сервере идентификации.

Изобретение будет более понятно при прочтении нижеприведенного описания, данного исключительно в качестве примера, и со ссылкой на сопроводительные фигуры, на которых:

- Фигура 1 представляет схематический вид системы идентификации согласно варианту воплощения изобретения;

- Фигура 2 представляет граф потока работы системы, показанной на Фигуре 1, в ее фазе регистрации, при этом каждый элемент системы представлен в виде столбца; и

- Фигура 3 представляет граф потока работы системы, показанной на Фигуре 1, в ее фазе идентификации, при этом каждый элемент системы представлен в виде столбца.

Как видно на Фигуре 1, система идентификации содержит сервер идентификации 1, подключенный к первой сети передачи данных 3 посредством первого интерфейса 5 и подключенный ко второй сети передачи данных 7 посредством второго интерфейса 9.

Сервер также содержит генератор 11 идентификационного кода, приспособленный для генерации идентификационного кода и подключенный к первому интерфейсу 5. Он также содержит генератор 13 одноразового идентификационного маркера, приспособленный для генерации одноразового идентификационного маркера и подключенный ко второму интерфейсу 7.

Сервер 1 дополнительно содержит генератор 15 приложения ввода, который также подключен к первому интерфейсу 5, и компаратор 17, подключенный к каждому из генераторов.

Первая сеть передачи данных 3 обеспечивает возможность создания первого канала связи между сервером 1 и терминалом 21. Этот терминал содержит средства взаимодействия пользователя с компьютером 23, такие как, например, экран и клавиатура. Терминалом является, например, настольный компьютер или терминал электронных платежей.

Вторая сеть передачи данных 7 обеспечивает возможность создания второго канала связи между сервером 1 и телекоммуникационным оборудованием 25. Оборудованием 25 является, например, мобильный телефон. Оно содержит обычные средства взаимодействия пользователя с компьютером 27 типа экран-клавиатура и, в частности, устройство для фотосъемки 29. Мобильный телефон, как правило, также содержит средства произведения вычислений и хранения информации (не представлены), обеспечивая возможность запуска определенных приложений.

Первая сеть передачи данных 3 и вторая сеть передачи данных 7 являются отдельными сетями. Например, первая сеть 3 является кабельной сетью интернет, а вторая сеть 7 является сетью мобильной связи. На сервере 1 его менеджер может, например, использовать двух различных провайдеров доступа с целью минимизировать вероятность того, что данные из одного канала займут часть другого канала.

Использование системы будет теперь описано со ссылкой на Фигуры 2 и 3.

Во вспомогательном способе или фазе перед идентификацией пользователя последний должен пройти регистрацию на сервере идентификации 1.

Эта фаза регистрации будет описана со ссылкой на Фигуру 2.

С целью ясности изложения предполагается, что терминал 21 является так называемым терминалом электронных платежей типа «EPT» и что телекоммуникационным оборудованием 25 является мобильный телефон, без отклонения от общности описанного способа.

Используя свой мобильный телефон 25, пользователь подключается на шаге 31 к серверу 1 посредством второй сети и предоставляет ему на шаге 33 биографические данные, обеспечивая возможность его/ее идентификации, например его/ее фамилию и имя, адрес и т.д.

Он/она также предоставляет идентификационную информацию, полученную от его/ее мобильного телефона 25. Эта информация включает информацию, относящуюся к терминалу (например, серийный номер устройства, номер абонента и код IMEI - «Международный Идентификатор Мобильного Оборудования» и т.д.).

В ответ сервер отправляет на шаге 35 одноразовый пароль на мобильный телефон 25, который последний выводит на свой экран на шаге 37. Таким образом, пароль предоставляется пользователю в виде алфавитно-цифровой строчки или даже только цифровой.

Пользователь вводит на шаге 39 в терминал электронных платежей 21 одноразовый пароль, выведенный на экран мобильного телефона 25.

Терминал электронных платежей 21 на шаге 41 передает одноразовый пароль серверу 1 посредством первой сети 3. После получения сервер осуществляет на шаге 43 проверку того, что одноразовый пароль является правильным, то есть идентичным тому, который был порожден на мобильном телефоне 25.

Затем на шаге 45 создается личный код доступа. Это создание осуществляется либо сервером, который затем передает код пользователю посредством терминала электронных платежей 21, либо фактом того, что пользователь затем вводит его в терминал электронных платежей для передачи на сервер.

Таким образом, пользователь известен серверу и разделяет использование секретной информации с ним: личный код доступа.

Когда пользователь прошел регистрацию, он/она может затем использовать систему идентификации для его/ее идентификации, Фигура 3.

Для иллюстрации способа идентификации будет описана операция осуществления безопасного электронного платежа.

Пользователь использует его/ее персональный компьютер для осуществления покупки в сети интернет. Для упрощения понимания примем, что персональный компьютер является терминалом 21, подключенным к первой сети 3. Однако понятно, что терминал 21, использующийся в фазе регистрации, может быть и наиболее часто является отличным от терминала 21, использующегося в фазе идентификации. Подобным образом первая сеть 3 может быть одной и той же в обеих фазах или отличаться. Важно подчеркнуть, что в каждой фазе одновременно используются две отдельные сети и два типа терминалов, причем одним из терминалов все еще является мобильный телефон 25 пользователя, который зарегистрирован в процессе регистрации, то есть оборудование, которое находится у пользователя почти всегда с собой.

В конце процесса осуществления покупки пользователь переходит затем на страницу оплаты онлайн-магазина. Пользователь выбирает режим оплаты, используя описанную систему идентификации.

Набор данных, относящихся к транзакции, часто называемый «контекстом», отправляется затем на шаге 51 серверу идентификации вместе с запросом на идентификацию.

Сервер 1 отправляет на шаге 53 идентификационный код транзакции компьютеру 21. Этот код выводится на экран компьютера на шаге 55 в виде пиктограммы. Как правило, код выводится на экран в виде двумерного штрихкода, однако он также может выводиться в виде обычного штрихкода или даже в виде строчки, состоящей из буквенных и цифровых символов.

Выведенный на экран идентификационный код передается на шаге 57 мобильному телефону 25. Когда код представляется в виде штрихкода, эта передача осуществляется путем фотографирования, в противном случае пользователь вводит буквенно-цифровую строчку на клавиатуре его/ее телефона.

Затем идентификационный код отправляется на шаге 59 серверу 1 мобильным телефоном 25. Следует отметить, что данный идентификационный код не включает в себя никакой секретной информации, преобразование штрихкода в буквенно-цифровой идентификатор может быть произведено на мобильном телефоне 25 или перенаправлено серверу, таким образом, передача осуществляется в виде файла, содержащего фотографию. Идентификационный код отправляется на шаге 59 в сопровождении идентификатора мобильного телефона 25. Данный идентификатор должен соответствовать идентификатору, зарегистрированному в процессе регистрации, для того чтобы обеспечить серверу возможность проверки того, что он в порядке и действительно является мобильным телефоном пользователя, который используется.

После получения идентификационного кода сервер генерирует на шаге 61 одноразовый идентификационный маркер и отправляет его на шаге 63 мобильному телефону 25. Последний возвращает на шаге 64 одноразовый идентификационный маркер серверу 1. Предпочтительно, чтобы канал, используемый для одной из передач сообщений, отличался от канала, используемого для другой передачи сообщения. Например, получение маркера осуществляется посредством канала «короткого сообщения», а его возврат - посредством канала данных протокола TCP/IP сети Wifi или 3G. Этот шаг может быть осуществлен без вмешательства пользователя, поскольку можно запрограммировать телефон таким образом, чтобы он перехватывал звонок перед звучанием рингтона и генерировал сообщение в ответ. Эти передачи сигналов могут достигаться, например, путем использования коротких сообщений SMS. Данный шаг обеспечивает возможность подтверждения того, что он в порядке и действительно является мобильным телефоном пользователя, который послал идентификатор, а не третьей стороной, пытающейся представиться пользователем.

Одновременно сервер программирует компьютер 21 таким образом, что он выводит на экран на шаге 65 запрос на принятие личного кода доступа.

Пользователь затем вводит на шаге 67 личный код доступа, который передается на шаге 69 серверу 1.

Сервер 1 на шаге 71 подтверждает подлинность пользователя, если идентификационный код, уникальный идентификатор, идентификационный маркер и личный код доступа соответствуют элементам, содержащимся на сервере.

В объеме представленной платежной транзакции сервер идентификации запускает таким образом осуществление платежной транзакции.

В первой альтернативе регистрации, когда сервер 1 должен служить для проверки подлинности операций электронных платежей, особенно полезным является то, что пользователь также предоставляет серверу 1 данные относительно его/ее средств осуществления платежа и, в частности, данные банковской карты. Этот шаг достигается с помощью терминала электронных платежей 21 после шага 43 проверки подлинности одноразового пароля и предпочтительно перед шагом 45 создания личного кода доступа. Сервер идентификации может, следовательно, в процессе осуществления платежной транзакции использовать данные банковской карты для осуществления платежа.

Во второй альтернативе регистрации, когда сервер 1 должен проводить идентификацию биографических данных вместе с третьей стороной, последняя может быть проверена с использованием разнообразных средств, известных как таковые. Например, проверка подлинности личности может быть осуществлена путем предоставления идентификационного документа, такого как идентификационная карта, паспорт или водительские права. Эти проверенные данные могут, таким образом, служить, например, для проверки подлинности информации о покупателе относительно продавца. Эти проверки подлинности могут служить в качестве идентификации для покупателя без ввода личного кода доступа для материальных товаров, пока они гарантируют то, что доставка купленных товаров будет осуществляться по «проверенному» адресу покупателя.

В третьей альтернативе регистрации эта фаза следует через те же самые шаги, что и фаза идентификации, в частности, с использованием одноразового идентификационного маркера, который переходит от сервера к телефону и обратно.

Следует понимать, что способ в комплекте может быть воплощен в виде выполняемого программного обеспечения, в частности, сервером 1. Это программное обеспечение, которое является набором команд для управления компьютером, может храниться на носителе, обеспечивающем возможность его выполнения, таком как жесткий диск или оптический диск. Оно также может быть передано в виде загружаемого файла.

Однако способ целиком или его часть может реализовываться в виде проводных электронных схем с целью достижения конкретных операций, например, в виде FPGA (Field Programmable Gate Arrays - Программируемых Пользователем Вентильных Матриц). Это может быть необходимо с точки зрения быстродействия или для обеспечения дополнительной безопасности.

Изобретение было проиллюстрировано и описано подробно на чертежах и в предыдущем описании. Последнее следует рассматривать как иллюстративное и данное в качестве примера, и не ограничивающее изобретение данным единственным описанием. Возможно множество альтернатив данному варианту воплощения.

Таким образом, понятно, что операции, осуществляемые телекоммуникационным оборудованием, являются относительно простыми, вывод на экран кода, фотографирование и т.д., и могут, следовательно, выполняться с помощью стандартного мобильного телефона. Однако использование программируемого телефона обеспечивает возможность, используя специально приспособленную программу, упростить набор операций для пользователя.

Описанная фаза регистрации предпочтительно обеспечивает возможность улучшения безопасности данных, предоставляемых на сервер. Однако она не зависит от фазы идентификации. Следовательно, регистрация может быть осуществлена с просьбой к пользователю прийти с его/ее мобильным телефоном в безопасное место, например в отделение банка, с целью предоставления всех необходимых документов: информация затем вводится сотрудником в безопасный терминал без выполнения фазы регистрации, как описано выше.

Подобным образом способ и система были описаны без использования способов криптографии. Они не являются обязательными, но могут быть с пользой применены для усиления безопасности набора.

В формуле изобретения слово «содержащий» не исключает другие варианты, а единственное число не исключает множественности.

1. Способ для идентификации человека, при котором серверу идентификации заранее известно, что человек является владельцем телекоммуникационного оборудования, имеющего уникальный идентификатор, и известно, что человек имеет личный код доступа, при этом способ содержит:

- получение (51) сервером запроса на идентификацию от терминала посредством первой сети передачи данных;

- отправку (53) сервером идентификационного кода терминалу посредством первой сети передачи данных;

- передачу (57) идентификационного кода от терминала телекоммуникационному оборудованию;

- получение (59) сервером от телекоммуникационного оборудования посредством второй сети передачи данных идентификационного кода вместе с уникальным идентификатором;

- генерацию (61) сервером одноразового идентификационного маркера и отправку (63) его телекоммуникационному оборудованию посредством второй сети передачи данных; и возврат (64) одноразового идентификационного маркера серверу телекоммуникационным оборудованием посредством второй сети передачи данных; и одновременно,

- принятие (67) терминалом посредством запроса на принятие личного кода доступа, вводимого человеком; и получение (69) сервером личного кода доступа, поступающего от терминала, посредством первой сети передачи данных;

- идентификация (71) человека реализуется сервером, если идентификационный код, уникальный идентификатор, идентификационный маркер и личный код доступа соответствуют элементам, содержащимся на сервере.

2. Способ по п. 1, отличающийся тем, что он дополнительно содержит вспомогательный способ для регистрации человека, содержащий:

- получение (31, 33) сервером уникального идентификатора телекоммуникационного оборудования и по меньшей мере биографических данных человека от телекоммуникационного оборудования посредством второй сети связи;

- отправку (35) сервером одноразового пароля телекоммуникационному оборудованию посредством второй сети связи и вывод на экран (37) одноразового пароля телекоммуникационным оборудованием;

- принятие (39) одноразового пароля на втором терминале путем его ввода человеком;

- получение (41) сервером одноразового пароля от второго терминала посредством третьей телекоммуникационной сети; и

- создание (43) и разделение использования (45) личного кода доступа человека с сервером посредством второго терминала и третьей телекоммуникационной сети.

3. Способ по п. 2, отличающийся тем, что конфиденциальные биографические данные передаются серверу вторым терминалом посредством третьей телекоммуникационной сети после получения одноразового пароля сервером и перед созданием личного кода доступа.

4. Способ по п. 3, отличающийся тем, что конфиденциальные биографические данные содержат данные банковской карты.

5. Способ по любому из пп. 2-4, отличающийся тем, что вспомогательный способ регистрации, после создания и разделения использования личного кода доступа человека с сервером, дополнительно содержит:

- передачу идентификационного кода от терминала телекоммуникационному оборудованию;

- получение сервером идентификационного кода вместе с уникальным идентификатором оборудования, поступающим из телекоммуникационного оборудования, посредством второй сети передачи данных.

6. Способ по любому из пп. 1-4, отличающийся тем, что передача идентификационного кода от терминала телекоммуникационному оборудованию достигается путем вывода на экран терминала пиктограммы и принятия выведенного на экран изображения с помощью фотографического аппарата телекоммуникационного оборудования.

7. Способ по п. 5, отличающийся тем, что передача идентификационного кода от терминала телекоммуникационному оборудованию достигается путем вывода на экран терминала пиктограммы и принятия выведенного на экран изображения с помощью фотографического аппарата телекоммуникационного оборудования.

8. Способ по любому из пп. 1-4 или 7, отличающийся тем, что телекоммуникационное оборудование перехватывает отправку сообщения одноразового идентификационного маркера и автоматически возвращает его без вмешательства человека, используя два разных канала связи.

9. Способ по п. 5, отличающийся тем, что телекоммуникационное оборудование перехватывает отправку сообщения одноразового идентификационного маркера и автоматически возвращает его без вмешательства человека, используя два разных канала связи.

10. Сервер идентификации человека, предназначенный для реализации шагов способа, согласно любому из пп. 1-9, при этом сервер содержит:

- первый интерфейс (5), предназначенный для осуществления связи с терминалом (21) посредством первой сети передачи данных (3);

- второй интерфейс (9), предназначенный для осуществления связи с телекоммуникационным оборудованием (25) посредством второй сети передачи данных (7);

- генератор (11) идентификационных кодов, способный генерировать идентификационный код по запросу терминала и отправлять сгенерированный идентификационный код терминалу и получать идентификационный код вместе с уникальным идентификатором, поступающим от телекоммуникационного оборудования;

- генератор (13) одноразовых идентификационных маркеров, способный генерировать одноразовый идентификационный маркер и отправлять его телекоммуникационному оборудованию и затем получать его от телекоммуникационного оборудования;

- генератор (15) приложения ввода, способный отправлять терминалу экран ввода личного кода доступа и получать введенный личный код доступа от терминала;

- компаратор (17) идентификационного кода, уникального идентификатора, идентификационного маркера и личного кода доступа, поступающих от терминала или телекоммуникационного оборудования, с эквивалентными элементами, содержащимися на сервере, при этом идентификация человека достигается, если результат набора сравнений является положительным.

11. Система идентификации, содержащая сервер идентификации согласно п. 10, терминал, подключенный к серверу посредством первой сети передачи данных, и телекоммуникационное оборудование, подключенное к серверу посредством второй телекоммуникационной сети, причем терминал дополнительно содержит средства взаимодействия пользователя с компьютером, обеспечивающие возможность вывода на экран информации и ввода личного кода доступа, а телекоммуникационное оборудование дополнительно содержит средства для ввода информации, выведенной на экран терминалом, и уникальный идентификатор.

Изобретение относится к области защиты информации в компьютерных системах. Технический результат заключается в снижении количества необнаруженных инцидентов компьютерной безопасности.

Способ авторизации пользователя в сети и сервер, используемый в нем // 2610280

Изобретение относится к технологиям обработки доступа несанкционированного пользователя к веб-ресурсам. Техническим результатом является повышение защищенности доступа к ресурсам, за счет осуществления блокировки несанкционированного лица во время осуществления им несанкционированного доступа к сетевому ресурсу.

Способ и система предоставления доступа к файлу для веб-ресурса // 2610266

Изобретение относится к способам и системам предоставления доступа к файлу от пользователя веб-ресурсу, без необходимости веб-ресурсу сохранять файл на своем сервере.

Способ (варианты) и система (варианты) анонимной авторизации на сервисе пользователя // 2610258

Изобретение относится к системе первого веб-сервиса для анонимной авторизации пользователя сервиса, который обладает учетной записью, связанной с системой первого веб-сервиса.

Система и способ определения измененных веб-страниц // 2610254

Изобретение относится к компьютерной безопасности. Технический результат заключается в обеспечении безопасности работы пользователя в сети.

Система и способ выполнения запросов процессов операционной системы к файловой системе // 2610228

Изобретение предназначено для выполнения запросов процессов к файловой системе. Технический результат – оптимизация работы файловой системы с запросами процессов.

Способ выполнения кода в режиме гипервизора // 2609761

Изобретение относится к области компьютерной безопасности. Технический результат заключается в обеспечении выполнения кода в режиме гипервизора.

Способ автоматического восстановления пароля к сервису и компьютер, используемый в нем // 2609085

Изобретение относится к компьютерной безопасности. Технический результат заключается в повышении надежности процедуры восстановления пароля.

Искажение символов для символьно-графического обратного теста тьюринга // 2608262

Изобретение относится к средствам графического искажения отдельных символов при помощи интерполяции (морфинга) шрифтов между собой. Технический результат заключается в обеспечении возможности создания изображений для полностью автоматизированного теста Тьюринга (САРТСНА), при повышении сложности автоматического распознавания символов данных изображений с помощью компьютерных программ.

Способ и устройство для разблокирования экрана и терминала // 2608243

Изобретение относится к области разблокирования экрана. Технический результат – повышение точности операции разблокирования с использованием пароля нефиксированной длины и улучшение безопасности терминала.

Система и способ аутентификации пользователя при помощи электронной цифровой подписи пользователя // 2610696

Изобретение относится к области компьютерной безопасности. Технический результат заключается в повышении безопасности аутентификации пользователя. Система содержит средство управления биометрическими данными для сбора биометрических данных у пользователя, вычисления биометрического ключа на основе собранных данных; средство управления конфиденциальными данными для создания открытого и закрытого криптографических ключей, шифрования закрытого криптографического ключа биометрическим ключом, сохранения зашифрованного закрытого криптографического ключа и открытого криптографического ключа в базе конфиденциальных данных согласно идентификатору пользователя; средство расшифрования для расшифрования зашифрованного закрытого криптографического ключа биометрическим ключом, передачи расшифрованного закрытого криптографического ключа средству шифрования; средство шифрования для создания электронной цифровой подписи пользователя с помощью полученного закрытого криптографического ключа; средство проверки для выполнения проверки полученной электронной цифровой подписи пользователя с помощью открытого криптографического ключа, аутентификации пользователя при получении положительных результатов выполненной проверки. 2 н. и 6 з.п. ф-лы, 3 ил.

Способ создания и сохранения цифровой записи пользователя при помощи мобильного электронного устройства // 2610949

Изобретение относится к способу создания и сохранения цифровой записи пользователя при помощи мобильного электронного устройства, а именно предоставлению возможности пользователю на основе данных, содержащихся в указанной записи, получить скидочное предложение и обменять его на продукт или услугу в сфере обслуживания, торговли, питания, развлечений и отдыха при помощи цифровой записи на мобильном электронном устройстве. При этом цифровая запись пользователя создается через пользовательский интерфейс, привязка мобильного электронного устройства осуществляется к цифровой записи пользователя посредством идентификатора мобильного устройства, а данные выбираются на основе GPS-приемника мобильного электронного устройства об, по меньшей мере, одном текущем параметре пользователя. Данные сравниваются с текущими параметрами пользователя. Набор параметров включает, по меньшей мере, – граничное значение скорости движения пользователя, – текущее значение скорости пользователя, – стартовое значение пройденного пользователем расстояния, – значение фактически пройденного расстояния пользователем, – значение изменения пройденного расстояния пользователем за промежуток времени , при этом изменения в цифровую запись вносят при соблюдении условий, что пользователь прошел расстояние > при скорости , и за время пройденное расстояние пользователем изменилось на , а затем сохраняют цифровую запись. Технический результат - получение пользователем скидки в денежном эквиваленте, т.е. возможности физически обменять данные, хранящиеся в цифровой записи, на какой-либо продукт (товар) или услугу. 10 з.п. ф-лы, 6 ил.

Блок, использующий операционную систему, и устройство формирования изображения, использующее его // 2611014

Изобретение относится к блоку, включающему в себя встроенный центральный процессор (CPU), и устройству формирования изображений, использующему встроенный центральный процессор. Техническим результатом является повышение надежности данных, хранимых в блоке памяти, встроенном в блок устройства формирования изображений. Предложено устройство формирования изображения. Устройство содержит основной корпус, который включает в себя основной контроллер для операций устройства формирования изображения, сменный блок, который смонтирован на основном корпусе для осуществления связи с основным контроллером через последовательный интерфейс, и чип контроля пользовательского сменного блока (CRUM), который сформирован на сменном блоке. Чип CRUM содержит блок памяти, который хранит программу инициализации, предоставленную отдельно от операционной системы (OS), исполняемой в основном контроллере, уникальную информацию сменного блока и информацию статуса относительно использования сменного блока. 6 н. и 48 з.п. ф-лы, 7 ил., 1 табл.

Система обработки информации // 2611016

Изобретение относится к системе обработки информации. Технический результат заключается в обеспечении системы обработки информации, способной управлять процессом раскрытия имени пользователя другому пользователю в соответствии с отношением с другим пользователем. Система содержит пользовательский сервер управления, соединенный с устройствами-клиентами, содержащий секцию хранения пользовательской информации для хранения идентификационного имени пользователя, уникально идентифицирующего пользователя ассоциированно с именем, имеющим ограничение раскрытия, зарегистрированное пользователем, и информации, идентифицирующей из множества пользователей пользователя, имеющего право на раскрытие имени, имеющего ограничение раскрытия; секцию приема запроса пользовательской информации для приема от устройства-клиента запроса на получение информации имени запрошенного пользователя, включающей информацию, идентифицирующую запрашивающего пользователя, использующего устройство-клиент; секцию передачи пользовательской информации для передачи имени, имеющего ограничение раскрытия запрашиваемого пользователя, в качестве ответа на запрос на получение, если запрашивающий пользователь зарегистрирован в качестве пользователя, имеющего право на разглашение запрашиваемого пользователя. 4 н. и 5 з.п. ф-лы, 9 ил.

Способ обнаружения дестабилизирующих воздействий на вычислительные сети // 2611243

Изобретение относится к области электросвязи и вычислительной техники. Технический результат заключается в повышении защищенности вычислительных сетей от деструктивных воздействий и снижении времени на обнаружение и устранение последствий дестабилизирующих воздействий. Технический результат достигается за счет увеличения количества классифицируемых ситуаций на вычислительные сети, увеличения числа существенных признаков, характеризующих классифицируемые дестабилизирующие воздействия на вычислительные сети и используемых для контроля и прогнозирования, принятия решения о наличии дестабилизирующих воздействий на вычислительные сети с использованием методов непараметрического распознавания образов с учетом всех используемых существенных признаков, обучения системы распознавания дестабилизирующих воздействий, учета накопленной статистики функционирования вычислительных сетей при прогнозировании изменения значений существенных признаков, что позволит принять упреждающие меры по минимизации последствий воздействий, включающие в себя не только возможность переключения на резервные вычислительные сети, но и передачу отдельных функций от одних узлов другим, перекоммутации связей или выключение подвергшихся дестабилизирующим воздействиям узлов. 8 ил.

Способ, устройство и система для аутентификации доступа // 2611968

Изобретение относится к области аутентификации доступа пользователя. Технический результат – эффективная защита доступа от несанкционированного пользователя в сети. Способ аутентификации доступа включает в себя получение идентификатора устройства для устройства, к которому требуется осуществление доступа, отправку идентификатора устройства и учетной записи пользователя устройства осуществления доступа на стороннее устройство, которое отправляет запрос на аутентификацию на регистрационный терминал в случае, если идентификатор устройства привязан к используемой учетной записи, и учетная запись пользователя устройства осуществления доступа отличается от учетной записи пользователя, привязанной к идентификатору устройства, отправку пароля доступа, соответствующего идентификатору устройства, на устройство осуществления доступа после ответа по разрешению доступа, возвращенного посредством регистрационного терминала, и осуществление доступа к устройству, к которому требуется осуществление доступа, согласно принимаемому паролю доступа. 9 н. и 16 з.п. ф-лы, 19 ил.

Crum-модуль и устройство формирования изображений для аутентификации и связи и способы для этого // 2611991

Изобретение относится к аутентификации устройства формирования изображений. Технический результат заключается в уменьшении ошибок связи между расходным блоком и устройством формирования изображения. Формируют первые данные определения целостности относительно первых данных посредством главного контроллера, установленного на основном корпусе устройства формирования изображений, для аутентификации с CRUM-модулем. Передают посредством главного контроллера на CRUM-модуль первый сигнал, который включает в себя первые данные и первые данные определения целостности. Тестируют посредством CRUM-модуля целостность первого сигнала, используя первые данные определения целостности. Формируют посредством CRUM-модуля вторые данные определения целостности, используя вторые данные, которые должны быть переданы на главный контроллер, и первые данные определения целостности в ответ на целостность верифицированного первого сигнала. Передают посредством CRUM-модуля второй сигнал, который включает в себя вторые данные и вторые данные определения целостности на главный контроллер. 4 н. и 13 з.п. ф-лы, 29 ил.

Способ, устройство и система управления полномочиями // 2612587

Изобретение относится к вычислительной технике. Технический результат заключается в обеспечении автоматического обновления полномочий пользователя. Способ управления полномочиями включает в себя получение данных пользования полномочиями пользователя, обработку данных пользования полномочиями для получения результата по полномочиям, причем обработка данных пользования полномочиями для получения результата по полномочиям включает в себя обработку данных пользования полномочиями в соответствии с выбором полномочий, чтобы получить значение достоверности полномочий и первоначальный выбор полномочий, и внесение изменений в первоначальный выбор полномочий в соответствии со значением достоверности полномочий и пороговым значением, чтобы получить результат по полномочиям, отправку результата по полномочиям, полученного при обработке, на терминал для того, чтобы терминал обновил соответствующий вариант полномочий. 5 н. и 21 з.п. ф-лы, 43 ил.

Самонастраивающаяся интерактивная система, способ и считываемый компьютером носитель данных обмена комментариями между пользователями // 2613530

Группа изобретений относится к технологиям обмена данными в социальных сетях с помощью технологии клиент-сервер. Техническим результатом является осуществление оценки доверия комментариям пользователей посредством рейтинга пользователя и автоматической блокировки пользователя с низким рейтингом. Предложена самонастраивающаяся интерактивная система обмена комментариями между пользователями, по меньшей мере, в одной социальной сети с использованием технологии клиент-сервер. Система содержит модуль доступа, модуль создания профиля пользователя, модуль оценки надежности профиля пользователя. Модуль оценки надежности предназначен для вычисления рейтинга пользователя, который показывает уровень доверия комментариям этого пользователя. Если, по меньшей мере, два других пользователя с большими рейтингами отмечают комментарии пользователя как ненадежные или оскорбительные, система осуществляет блокировку комментариев этого пользователя. 3 н. и 20 з.п. ф-лы, 16 ил.

Способ обнаружения вредоносных программ и элементов // 2613535

Изобретение относится к области компьютерной безопасности. Технический результат заключается в повышении достоверности обнаружения вредоносных программ и элементов. Способ включает анализ программы или сообщений, которые удовлетворяют критерию или группе критериев подозрительности и создание сообщения, указывающего на результат обнаружения вредоносных элементов, причем в сервер, браузер или канал коммуникаций между ними встраивают систему фильтрации, которая осуществляет анализ передаваемых документов с учетом базы данных, включающей данные об известных безопасных элементах, и в случае, если в документе присутствуют неизвестные потенциально вредоносные элементы, отсутствующие в базе данных безопасных элементов, осуществляют декомпозицию полученного документа на множество отдельных, содержащих неизвестные потенциально вредоносные элементы, из которых создают файлы, число которых коррелирует с числом декомпозированных элементов, после чего производят композицию одного либо нескольких наборов файлов из декомпозированных элементов, которые подвергают динамическому детектированию для отслеживания отклонений от нормального поведения клиентской программы в результате действий вредоносных элементов, а передачу документа в браузер осуществляют без выявленных вредоносных элементов. 11 з.п. ф-лы, 1 ил.