|
|
больше ...
Термины запроса в документе
Реферат
[RU] Раскрыты система обеспечения безопасности и способ для аутентификации доступа пользователя в систему. Система обеспечения безопасности принимает от пользователя запрос аутентификации и отвечает, создавая матрицу обеспечения безопасности на основе сохраненных ранее пользовательского ключевого слова и данных о пользовательских предпочтениях, причем матрица обеспечения безопасности отличается для каждого запроса аутентификации. Система обеспечения безопасности отправляет пользователю матрицу обеспечения безопасности и ожидает одноразовый код в ответ на матрицу обеспечения безопасности. Пользователь формирует одноразовый код на основе пользовательского ключевого слова, пользовательских предпочтений и матрицы обеспечения безопасности. Система обеспечения безопасности проверяет одноразовый код с использованием матрицы обеспечения безопасности, ключевого слова и пользовательских предпочтений и отвечает, отправляя пользователю результат аутентификации, который либо разрешает, либо запрещает доступ в систему. Дополнительно, система обеспечения безопасности отправляет сообщение о выполнении или невыполнении в систему, доступ к которой должен быть осуществлен. 
Полный текст патента
(57) Реферат / Формула:
Раскрыты система обеспечения безопасности и способ для аутентификации доступа пользователя в систему. Система обеспечения безопасности принимает от пользователя запрос аутентификации и отвечает, создавая матрицу обеспечения безопасности на основе сохраненных ранее пользовательского ключевого слова и данных о пользовательских предпочтениях, причем матрица обеспечения безопасности отличается для каждого запроса аутентификации. Система обеспечения безопасности отправляет пользователю матрицу обеспечения безопасности и ожидает одноразовый код в ответ на матрицу обеспечения безопасности. Пользователь формирует одноразовый код на основе пользовательского ключевого слова, пользовательских предпочтений и матрицы обеспечения безопасности. Система обеспечения безопасности проверяет одноразовый код с использованием матрицы обеспечения безопасности, ключевого слова и пользовательских предпочтений и отвечает, отправляя пользователю результат аутентификации, который либо разрешает, либо запрещает доступ в систему. Дополнительно, система обеспечения безопасности отправляет сообщение о выполнении или невыполнении в систему, доступ к которой должен быть осуществлен.
2420-520692ЕА/071 СПОСОБ И СИСТЕМА ДЛЯ АБСТРАКТНЫХ И РАНДОМИЗИРОВАННЫХ ОДНОРАЗОВЫХ ПАРОЛЕЙ ДЛЯ ТРАНЗАКЦИ0НН0Й АУТЕНТИФИКАЦИИ
ОБЛАСТЬ ТЕХНИКИ, К КОТОРОЙ ОТНОСИТСЯ ИЗОБРЕТЕНИЕ Настоящее изобретение относится в целом к системам и способам аутентификации и, в частности, касается систем аутентификации, отличающихся высокой надежностью. ОПИСАНИЕ СВЯЗАННОГО УРОВНЯ ТЕХНИКИ
Обеспечение безопасности персональных идентификационных данных стало краеугольным камнем всех транзакций в современном электронном мире, характеризующемся высокими уровнями инвестиций, вкладываемых в разработку методов обеспечения безопасности и аутентификации, технологии их поддержки, а также в хакерство в этой сфере. Почти все в мире банковских операций зависит от предварительно размещенного персонального идентификационного номера (PIN) , который представляет собой секретный числовой пароль, совместно используемый пользователем и системой для аутентификации пользователя в системе, в то время как большинство электронных систем с полнотекстовыми интерфейсами зависят от паролей.
В настоящее время общепринято полностью полагаться на криптографические хэш-функции (CHF). В этих детерминированных процедурах берутся произвольные данные, на основе которых получают вычисленное математическим путем значение хэш-функции, уникальное для этих данных. Хорошо документированным примером функции CHF является алгоритм MD5. Хэш-функции и интеллектуальные способы обеспечения безопасности между клиентом и сервером затрудняют обратное создание индивидуального пароля или PIN-кода на основе копии упомянутых данных. Однако при использовании визуального отслеживания вместе с технологиями фишинга большинство паролей или PIN-кодов можно рассекретить, что позволяет выполнять обработку для мошеннических транзакций. Такими образом, желательно иметь такую схему обеспечения безопасности, которая снижает вероятность возможного рассекречивания аутентификации.
СУЩНОСТЬ ИЗОБРЕТЕНИЯ
Один вариант осуществления настоящего изобретения представляет собой способ для абстрагирования взаимодействия с клиентским интерфейсом, заключающегося в том, что каждый раз, когда пользователь захочет выполнить аутентификацию в защищенной системе, эта система предоставляет пользователю одноразовый рандомизированный набор символов или чисел в таком виде, который позволяет ему использовать заранее определенное ключевое слово для определения PIN-кода, соответствующего упомянутому рандомизированному ключевому слову.
В частности, один вариант осуществления настоящего изобретения относится к способу проверки аутентичности пользователя для доступа в защищенную систему. Способ включает в себя следующие этапы: прием от пользователя запроса аутентификации, создание матрицы обеспечения безопасности на основе ID пользователя и данных о пользовательских предпочтениях и отправку упомянутой матрицы пользователю, прием от пользователя одноразового кода в ответ на матрицу обеспечения безопасности, проверку правильности одноразового кода на основе матрицы обеспечения безопасности, ID пользователя, по меньшей мере одного пользовательского ключевого слова и данных о пользовательских предпочтениях после проверки правильности одноразового кода, отправку пользователю результата аутентификации, упомянутый результат аутентификации основан на одноразовом коде, матрице обеспечения безопасности, ID пользователя, пользовательском ключевом слове; и отправку сообщения о выполнении или невыполнении на основе результата аутентификации.
Еще один вариант осуществления настоящего изобретения
относится к системе обеспечения безопасности, предназначенной
для проверки аутентичности пользователя для доступа в
защищенную систему. Система обеспечения безопасности включает в
себя компьютер для обеспечения безопасности и клиентский
интерфейс. Компьютер для обеспечения безопасности
запрограммирован для сохранения пользовательского ключевого слова и данных о пользовательских предпочтениях с целью приема от пользователя запроса аутентификации, включающего в себя ID
пользователя, для доступа в защищенную систему и создания матрицы обеспечения безопасности в ответ на упомянутый запрос аутентификации на основе сохраненных данных о пользовательских предпочтениях и ID пользователя, для отправки матрицы обеспечения безопасности пользователю и приема от пользователя одноразового кода, для проверки правильности одноразового кода с использованием созданной матрицы обеспечения безопасности, пользовательского ключевого слова и данных о пользовательских предпочтениях, и для отправки пользователю результата аутентификации на основе проверки подлинности, и для отправки в защищенную систему сообщения о выполнении или невыполнении в зависимости от результата аутентификации. Клиентский интерфейс позволяет пользователю передать в систему обеспечения безопасности запрос аутентификации для доступа в защищенную систему, а также принимать и отображать матрицу обеспечения безопасности, и дает возможность пользователю отправлять в систему обеспечения безопасности одноразовый код.
Согласно настоящему способу отсутствует корреляция между ключевым словом пользователя и матрицей обеспечения безопасности, предоставляемой пользователю для проверки подлинности. Система обеспечения безопасности формирует случайным образом матрицу обеспечения безопасности, а пользователь использует эту матрицу обеспечения безопасности для определения одноразового кода, являющегося действительным для данного пользователя и данной матрицы обеспечения безопасности. Каждый запрос аутентификации приводит к созданию новой матрицы обеспечения безопасности, вычисляемой таким образом, чтобы гарантировать минимальную вероятность определения ключевого слова.
Настоящее изобретение открывает новый подход к обеспечению безопасности аутентификации, позволяя пользователю определить одно или более ключевых слов, которые затем использует в качестве персональной ссылки, что дает возможность пользователю создать одноразовый код из рандомизированной матрицы обеспечения безопасности, созданной системой. Ключевое слово никогда непосредственно не вводится во время процесса
аутентификации на любой его стадии и, следовательно, никогда не может быть раскрыто или использоваться совместно с каким-либо другим пользователем.
Благодаря разделению процесса аутентификации на три фазы: (i) запрос аутентификации, (ii) подтверждение полномочий и (iii) передача деталей авторизации, формируется способ обеспечения безопасности, который может просматривать, записывать и анализировать все транзакционные запросы аутентификации между пользователем, клиентским интерфейсом и системой обеспечения безопасности, с гарантией невозможности идентификации ключевого слова пользователя.
Мощность матрицы обеспечения безопасности может быть изменена пользователем с целью упрощения или усложнения ее определения, но не системой, в которой аутентифицируется пользователь.
Способ по настоящему изобретению можно применить к любой системе, предъявляющей требование, состоящее в том, чтобы аутентификация пользователя выполнялась с минимальными изменениями в защищенной системе или с минимальными изменениями наработанных навыков пользователя. Поскольку матрица обеспечения безопасности и одноразовый код полностью абстрагированы от ключевого слова, требования по обеспечению безопасности никоим образом не влияют на их кодирование для передачи в любом направлении. Таким образом, способ по настоящему изобретению хорошо подходит к любой системе, где есть возможность легко контролировать или следить за соединением между клиентским интерфейсом и защищенной системой.
Указанный способ можно реализовать для одной системы, множества систем или в виде унифицированной общедоступной системы проверки правильности, причем этот способ блокирует любую транзакцию, которая требует от пользователя проверку его идентичности.
КРАТКОЕ ОПИСАНИЕ ЧЕРТЕЖЕЙ
Эти и другие признаки, аспекты и преимущества настоящего изобретения станут более понятными при обращении к нижеследующему описанию, прилагаемой формуле изобретения и
сопроводительным чертежам, на которых: фиг. 1 - запрос аутентификации; фиг. 2 - запрос проверки подлинности;
фиг. 3 - первый пример одноразового кода, в котором использован сдвиг;
фиг. 4 - второй пример одноразового кода, в котором использованы сдвиг и обход;
фиг. 5 - третий пример одноразового кода, в котором использован обход (индексирование);
фиг. б - четвертый пример одноразового кода, в котором использован скачок;
фиг. 7А - примерная архитектура внутреннего сервера обеспечения безопасности для локальной аутентификации;
фиг. 7В - части клиентского интерфейса во время процесса аутентификации;
фиг. 8 - пример архитектуры внутреннего сервера обеспечения безопасности для удаленной Web-аутентификации;
фиг. 9 - пример архитектуры внешнего сервера обеспечения безопасности для удаленной Web-аутентификации;
фиг. 10 - примерная архитектура внутреннего сервера обеспечения безопасности для внутренней и внешней Web-аутентификации и внутренней системной аутентификации;
фиг. 11 - описание структуры сообщений;
фиг. 12 - пользовательские предпочтения;
фиг. 13 - предпочтения защищенной системы;
фиг. 14 - блок-схема варианта осуществления настоящего изобретения; и
фиг. 15 - блок-схема варианта для создания и отправки одноразового кода.
ПОДРОБНОЕ ОПИСАНИЕ ИЗОБРЕТЕНИЯ
В последующем описании используются следующие определения.
Защищенная система 2 0 - это система, требующая от пользователя аутентификацию как предпосылку для обработки транзакций или информационных запросов.
Система 30 обеспечения безопасности - это система, в которой сохраняются ключевое слово и предпочтения пользователя,
пользовательские предпочтения и предпочтения систем обеспечения безопасности, и где выполняется обработка для интерфейсов систем обеспечения безопасности.
11 - Запрос аутентификации
31 - Матрица обеспечения безопасности
12 - Одноразовый код
32 - Результат аутентификации
33 - Сообщение о выполнении
Предпочтения 4 0 пользователя определены в Таблице 3, причем они сохраняются внутренне системой 3 0 обеспечения безопасности.
Ключевое слово 41 представляет собой линейную строку алфавитных символов, которая определена пользователем 10. В приведенных примерах ключевое слово ограничено только алфавитными символами (от А до Z); однако данный способ и система поддерживают алфавитные (в зависимости или независимо от ситуации), числовые, специальные символы или любую их комбинацию.
Предпочтения 50 защищенной системы определены в Таблице 4, причем они сохраняются внутри системы 3 0 обеспечения безопасности.
Клиентский интерфейс 60 представляет собой человеко-машинный интерфейс (HMI), где пользователю 10 требуется использовать клавиатуру, сенсорный экран, клавиатуру для ввода PIN-кода или другое устройство ввода для предоставления Интернет-службе деталей аутентификации (например, банковский автомат или экран входа в систему).
На фиг. 1 пользователь 10 заранее предоставил системе 30 обеспечения безопасности свои предпочтения 4 0 и свое ключевое слово. Ключевое слово 41 сохраняется в зашифрованном виде в системе 30 обеспечения безопасности и никогда не передается никакой функцией.
На фиг. 1 пользователь выполняет запрос аутентификации на клиентском интерфейсе 60, который, в свою очередь, отправляет запрос 11 аутентификации в защищенную систему 20, которая направляет запрос 11 аутентификации в систему 30 обеспечения
безопасности.
На фиг. 2 данные 50 о предпочтениях защищенной системы используются для определения требуемого формата и ограничений клиентского интерфейса 60. Данные 40 о пользовательских предпочтениях используются для определения мощности матрицы 11 обеспечения безопасности, предпочитаемой пользователем 10. Система 30 обеспечения безопасности создает матрицу 31 обеспечения безопасности и отправляет ее обратно в защищенную систему 20 обеспечения безопасности, которая затем направляет матрицу 31 обеспечения безопасности непосредственно на клиентский интерфейс 60 или использует информацию в ней для построения пользовательского представления матрицы 31 обеспечения безопасности, которое затем предоставляется пользователю 10. Формат идентификатора (ID) пользователя не зависит от системы и может представлять собой любой уникальный ID для всех систем, поддерживаемых сервером обеспечения безопасности. Примерами ID пользователя являются ID клиента или адрес электронной почты.
На фиг. 2 пользователь 10 выполняет аутентификацию, используя предоставленную матрицу 31 обеспечения безопасности, для определения одноразового кодового числа 12 путем применения пользовательских предпочтений 40 в сочетании с ключом 41. Это одноразовое кодовое число 12 вводится в клиентский интерфейс 60, который затем посылает его в защищенную систему 2 0 обеспечения безопасности, а затем в систему 30 обеспечения безопасности, где система 30 обеспечения безопасности проверяет подлинность, используя данные матрицы 31 обеспечения безопасности вместе с одноразовым кодом 12, сохраненным ключевым словом 41 пользователя 10 и предпочтениями 4 0 пользователя. В ответ на упомянутый запрос система 30 обеспечения безопасности отправляет результат 32 аутентификации обратно в защищенную систему 20, которая посылает его обратно на клиентский интерфейс 60. Одновременно возникает второе взаимодействие, при котором система 30 обеспечения безопасности после успешной аутентификации инициирует отправку сообщения 33 о выполнении в точку уведомления о выполнении системы 3 0
обеспечения безопасности, как подробно указано в предпочтениях 50 защищенной системы.
Каждый запрос 11 аутентификации и каждая проверка правильности одноразового кода 12 приводит к созданию матрицы 31 обеспечения безопасности на основе повторной рандомизации для предотвращения повторного использования кода 12. Для ограничения максимального количества попыток в данном временном кадре поддерживается регистрация запросов 11 аутентификации и запросов одноразового кода 12, чтобы предотвратить атаку методом прямого перебора кодов и обеспечить звуковое сопровождение указанных попыток.
В примере на фиг. 3 показаны матрица 31 обеспечения безопасности, данные 4 0 о пользовательских предпочтениях и пользовательское ключевое слово 41. Пользователь 10 использует свое ключевое слово и данные 4 0 о пользовательских предпочтениях для создания одноразового кода 12.
В данном примере пользователь 10 предпочитает, чтобы:
(a) матрица 31 обеспечения безопасности отображалась в алфавитном порядке; и
(b) к отображенной цифре, которая соответствует букве ключевого слова, добавлялась 1.
Значения в матрице для каждого символа ключевого слова порождает 17572. Добавление сдвига, равного +1, к результирующему значению матрицы дает значение 2 8 683 в качестве одноразового кода 12.
В качестве примера на фиг. 4 показаны матрица 31 обеспечения безопасности, пользовательские предпочтения 40 и пользовательское ключевое слово 41. Пользователь 10 использует свое ключевое слово и свои пользовательские предпочтения 4 0 для создания одноразового кода 12.
Пользовательские предпочтения 10 в данном примере выглядят следующим образом:
(a) матрица 31 обеспечения безопасности должна
отображаться в случайном порядке;
(b) добавлять 1 к цифре, отображаемой против буквы
ключевого слова; и
(с) добавлять сверх того 3 к первой букве ключевого слова, добавлять сверх того б ко второй букве ключевого слова и т.д.
Определив значение в матрице для каждого символа ключевого слова, получим 28672. Добавив сдвиг +1, получим 39783. Добавив обход +3, получим 65608, представляющее собой одноразовый код. Заметим, что суммирование в данном примере выполняется по модулю десять, хотя можно использовать суммирование по любому модулю.
В качестве примера на фиг. 5 показаны матрица 31 обеспечения безопасности, пользовательские предпочтения 40 и пользовательское ключевое слово 41. Пользователь 10 использует свое ключевое слово и пользовательские предпочтения 4 0 для создания одноразового кода 12.
Пользовательские предпочтения 4 0 в данном примере выглядят следующим образом:
(a) матрица 31 обеспечения безопасности должна
отображаться в случайном порядке;
(b) добавлять 2 к первой букве ключевого слова, 4 - ко второй букве ключевого слова и т.д.; и
(c) вторая и четвертая цифры в этом примере должны представлять цифры, выбранные пользователем, а ответ с числами для одноразового действительного кода представляет собой
a. 41215
b. 42225
c. 43235
d. 41235
e. 49285
f. и т.д. - причем релевантными являются только первое, третье и пятое числа.
Определив значение в матрице для каждого символа ключевого слова, получим 2#8#9. Добавив обход +2, получим 4#2#5, представляющее одноразовый код. Опять же заметим, что суммирование представляет собой суммирование по модулю 10.
В качестве примера на фиг. 6 показаны матрица 31 обеспечения безопасности, пользовательские предпочтения 40 и пользовательское ключевое слово 41. Пользователь 10 использует
свое ключевое слово и пользовательские предпочтения 4 0 для создания одноразового кода 12.
Пользовательские предпочтения 10 в данном примере выглядят следующим образом:
(a) матрица 31 обеспечения безопасности должна
отображаться в случайном порядке;
(b) добавлять 1 к первой букве ключевого слова, вычитать 1
из второй буквы ключевого слова, добавлять 1 к третьей букве
ключевого слова и т.д.
Определив значение матрицы для каждого символа ключевого слова, получим 98 42 8. Добавив скачок +1, получим 07 519, представляющее одноразовый код. Опять же, сложение или вычитание представляет собой сложение или вычитание по модулю 10.
На фиг. 7А представлена система 30 обеспечения безопасности, используемая защищенной системой 2 0 для проверки правильности авторизации пользователей 60, которые входят в учерез локальную сеть 70, к которой подключен пользователь через беспроводной приемопередатчик 72 с использованием проводного или беспроводного соединения.
Этап 1: Пользователь осуществляет доступ в портал входа в защищенную систему - только по запросу для предоставления ID пользователя, который может представлять собой адрес электронной почты, согласно ссылочным позициям 82 и 84 на фиг. 7В.
Этап 2: Пользователь вводит ID пользователя, как показано под ссылочной позицией 8 4 на фиг. 7В.
Этап 3: Защищенная система отправляет ID пользователя и ID системы в систему обеспечения безопасности, которая выполняет проверку подлинности и возвращает матрицу 31 обеспечения безопасности (смотри 86 на фиг. 7В), которая затем отображается защищенной системой 20 пользователю 60.
Этап 4: Пользователь вводит одноразовый код 12 и входит в систему как нормальный пользователь (86 на фиг. 7В). Система 20 обеспечения безопасности отправляет одноразовый код 12, ID пользователя и ID системы в систему 30 обеспечения
безопасности, которая проверяет упомянутый код и предоставляет защищенной системе 2 0 ID сеанса, если упомянутый код прошел проверку подлинности.
На фиг. 8 представлена система 30 обеспечения безопасности, используемая защищенной системой 20, для проверки пользователей 60, которые входят в систему через Интернет 90, например, используя модем 96.
Этап 1: Удаленный пользователь осуществляет доступ к порталу регистрации защищенной системы - только по запросу для предоставления ID пользователя, который может представлять собой адрес электронной почты, согласно ссылочным позициям 82 и 84 на фиг. 7В.
Этап 2: Пользователь вводит ID пользователя, как показано под ссылочной позицией 8 4 на фиг. 7В.
Этап 3: Защищенная система отправляет ID пользователя и ID системы в систему 30 обеспечения безопасности, которая выполняет проверку подлинности и возвращает матрицу 31 обеспечения безопасности, которая затем отображается защищенной системой 20 обеспечения безопасности пользователю 60.
Этап 4: Пользователь вводит одноразовый код и входит в систему как нормальный пользователь (86 на фиг. 7В). Защищенная система 20 отправляет одноразовый код 12, ID пользователя и ID системы в систему 30 обеспечения безопасности, которая проверяет упомянутый код и предоставляет защищенной системе 2 0 ID сеанса, если упомянутый код прошел проверку подлинности.
На фиг. 9 система 30 обеспечения безопасности, используемая защищенной системой 2 0 для проверки пользователей 60, которые входят в систему через Интернет 90. В этой конфигурации одна система 30 обеспечения безопасности может обслуживать множество защищенных систем 20, что дает возможность пользователям 60 иметь одно ключевое слово для всех зарегистрированных систем. Как указывалось ранее, удаленные пользователи 60 подсоединяются к Интернету 90 через модем 96.
Этап 1: Удаленный пользователь 60 осуществляет доступ к порталу входа в защищенную системы - только по запросу для предоставления ID пользователя, который может представлять
собой адрес электронной почты, согласно ссылочным позициям 82 и 84 на фиг. 7В.
Этап 2: Пользователь 60 вводит ID пользователя, как показано под ссылочной позицией 8 4 на фиг. 7В.
Этап 3: Защищенная система 20 отправляет ID пользователя и ID системы в систему 30 обеспечения безопасности, которая выполняет проверку подлинности и возвращает матрицу 31 обеспечения безопасности, которая затем отображается защищенной системой 20 пользователю 60.
Этап 4: Пользователь 60 вводит одноразовый код 12 и регистрируется как нормальный пользователь. Защищенная система 2 0 отправляет одноразовый код 12, ID пользователя и ID системы в систему 30 обеспечения безопасности, которая проверяет упомянутый код и предоставляет защищенной системе 2 0 ID сеанса, если упомянутый код прошел проверку подлинности.
На фиг. 10 представлена внутренняя система 30 обеспечения безопасности, сконфигурированная для обслуживания финансового учреждения по всем его финансовым делам, и которая эффективно заменяет стандартные системы аутентификации, такие как системы, основанные на паролях и PIN-кодах, для дебитных и кредитных систем, используемых в расчетных узлах, банковских автоматах (ATM), в оптовой или Интернет-торговле. В приведенном выше примере показаны:
(a) Интернет-банкинг через сеть Интернет
(b) Другие Интернет-услуги, такие как обмен акциями или обмен иностранной валюты
(c) Банковские автоматы
(d) Точки продаж
(e) Персональный компьютер для обслуживания клиентов
(f) Офисные персональные компьютеры.
Ниже описываются системы, показанные на фиг. 10. Интернет-банкинг через сеть Интернет
Если пользователь входит в Интернет-портал 90 банка обычным порядком, то в процессе вхождения запрашивается только ID пользователя (смотри ссылочные позиции 82, 84 на фиг.7В). После приема ID пользователя компьютер 2 0 банка связывается с
системой 30 обеспечения безопасности, сообщая ID пользователя и ID банковской системы. После проверки подлинности ID пользователя и ID системы система 30 обеспечения безопасности создает матрицу безопасности и передает ее обратно на компьютер 20 банка, после чего отображает эту матрицу пользователю 110 вместе с запросом на ввод одноразового кода, как это показано под ссылочной позицией 8 6 на фиг. 7В. Используя матрицу обеспечения безопасности, пользователь создает одноразовый код и вводит его в систему. Этот одноразовый код поступает обратно в компьютер 2 0 банка, который затем направляет этот одноразовый код, ID пользователя и ID банковской системы обратно в систему 30 обеспечения безопасности, где проверяется подлинность одноразового кода. Если его подлинность подтверждается, то создается ID сеанса, который передается обратно на компьютер 20 банка, а затем возвращается обратно в Интернет-приложение 110 для формирования части всех последующих запросов, создаваемых для компьютера 2 0 банка.
Другие Интернет-услуги, такие как обмен акциями или обмен иностранной валюты
Пользователь входит на Интернет-портале банка в качестве нормального пользователя, причем в процессе входа запрашивается только ID пользователя (согласно 82, 84 на фиг. 7В) . После приема ID пользователя компьютер 2 0 банка связывается с системой 30 обеспечения безопасности, передавая ID пользователя и ID банковской системы. После проверки подлинности ID пользователя и ID системы система 30 обеспечения безопасности создает матрицу обеспечения безопасности и направляет ее обратно на компьютер 2 0 банка, который отображает эту матрицу пользователю 112 вместе с запросом на ввод одноразового кода. Используя матрицу обеспечения безопасности, пользователь 112 создает одноразовый код и вводит его в систему. Этот одноразовый код поступает обратно в компьютер 2 0 банка, который затем направляет этот одноразовый код, ID пользователя и ID банковской системы обратно в систему 30 обеспечения безопасности, где проверяется подлинность одноразового кода. Если его подлинность подтверждается, то создается ID сеанса,
который передается обратно на компьютер 2 0 банка, а затем возвращается обратно в Интернет-приложение 112 для формирования части всех последующих запросов, создаваемых для компьютера 2 0 банка.
БАНКОВСКИЕ АВТОМАТЫ (ATM)
Пользователь, как обычно, вводит карту ATM или кредитную карту в ATM 102а, 102Ь банка, после чего ATM передает ID пользователя и любую другую соответствующую информацию на компьютер 2 0 банка через сеть 116 банковских автоматов. Затем компьютер 20 банка связывается с системой 30 обеспечения безопасности, передавая ID пользователя и ID банковской системы. После подтверждения подлинности ID пользователя и ID системы система 30 обеспечения безопасности создает матрицу обеспечения безопасности и направляет ее обратно на компьютер 2 0 банка, который возвращает эту матрицу на ATM 102а, 102Ь для ее отображения пользователю. Используя матрицу обеспечения безопасности, пользователь 102а, 102Ь создает одноразовый код и вводит его с клавиатуры ATM. Этот одноразовый код поступает через сеть 116 банковских автоматов обратно в компьютер 2 0 банка, который затем направляет этот одноразовый код, ID пользователя и ID банковской системы обратно в систему 30 обеспечения безопасности, где проверяется подлинность одноразового кода. Если его подлинность подтверждается, то создается ID сеанса, который передается обратно на компьютер 20 банка для формирования части всех последующих запросов, создаваемых для компьютера 2 0 банка.
ТОЧКА ПРОДАЖ
Пользователь вводит/прокатывает карту ATM или кредитную карту через устройство 104 точки продаж фирмы-поставщика, после чего в обычном порядке вводится цена, а затем через сеть 114 банковских карт в компьютер 2 0 банка посылается соответствующая информация. Затем компьютер 2 0 банка связывается с системой 3 0 обеспечения безопасности, сообщая ID пользователя и ID банковской системы. После проверки подлинности ID пользователя и ID системы, система 30 обеспечения безопасности создает матрицу обеспечения безопасности и отправляет ее обратно на
компьютер 2 0 банка, который возвращает ее в устройство 104 точки продаж для отображения на экране, если это возможно, или для распечатки бумажного чека. Используя матрицу обеспечения безопасности, пользователь создает одноразовый код и вводит его с клавиатуры 104 точки продаж. Этот одноразовый код направляется на компьютер 2 0 банка, который переправляет этот одноразовый код, ID пользователя и ID банковской системы обратно в систему 30 обеспечения безопасности, где этот одноразовый код проверяется. Если подтверждается его правильность, создается ID сеанса, который направляется обратно в банковскую систему 20, где обрабатывается остальная часть транзакции обычным образом.
ПЕРСОНАЛЬНЫЙ КОМПЬЮТЕР ДЛЯ ОБСЛУЖИВАНИЯ КЛИЕНТОВ Попав в точку обслуживания клиентов в отделении банка, пользователь выполняет самоидентификацию, используя карты банкинга или любой другой способ корректной идентификации, который дает возможность сотруднику по работе с клиентами идентифицировать ID пользователя, и ввести его в портал 108 обслуживания клиентов. Персональный компьютер 108 для обслуживания клиентов отправляет ID пользователя в компьютер 2 0 банка. Далее компьютер 20 банка связывается с системой 30 обеспечения безопасности, используя ID пользователя и ID банковской системы. После проверки правильности ID пользователя и ID системы, система 30 обеспечения безопасности создает матрицу обеспечения безопасности и отправляет ее обратно на компьютер 20 банка, который возвращает ее на персональный компьютер 108 для обслуживания клиентов для отображения ее пользователю. Используя предусмотренное устройство ввода, пользователь создает одноразовый код и вводит его в персональный компьютер 108 для обслуживания клиентов. Этот одноразовый код направляется на компьютер 2 0 банка, который переправляет этот одноразовый код, ID пользователя и ID банковской системы обратно в систему 30 обеспечения безопасности, где этот одноразовый код проверяется. Если подтверждается его правильность, создается ID сеанса, который направляется обратно в банковскую систему 20, а затем на
персональный компьютер 108 для обслуживания клиентов для формирования части всех последующих запросов, выполняемых для компьютера банка.
ОФИСНЫЕ ПЕРСОНАЛЬНЫЕ КОМПЬЮТЕРЫ
Пользователь входит в корпоративную сеть посредством регистрации через нормальный портал 10 6; причем в процессе входа запрашивается для предъявления только ID пользователя. После предъявления ID пользователя компьютер банка связывается с системой 30 обеспечения безопасности, используя ID пользователя и ID банковской системы. После проверки подлинности ID пользователя и ID системы, система 30 обеспечения безопасности создает матрицу обеспечения безопасности и отправляет ее обратно на компьютер 20 банка, который отображает ее пользователю весте с запросом на ввод одноразового кода. Используя матрицу обеспечения безопасности, пользователь создает одноразовый код и вводит его в систему 106 офисных персональных компьютеров. Этот одноразовый код направляется на компьютер 2 0 банка, который переправляет этот одноразовый код, ID пользователя и ID банковской системы обратно в систему 30 обеспечения безопасности, где этот одноразовый код проверяется. Если подтверждается его правильность, создается ID сеанса, который направляется обратно в компьютер 2 0 банка, который переправляет его на офисный персональный компьютер 106 для формирования части всех последующих запросов, адресованных компьютеру 2 0 банка. ПОДДЕРЖКА ПОЛЬЗОВАТЕЛЯ В ПАНИЧЕСКОЙ СИТУАЦИИ В одном усовершенствованном варианте система обеспечения безопасности кроме того позволяет поддержать пользователя в панической ситуации. В этом варианте пользователь или владелец системы использует конкретное префиксное число или альтернативное ключевое слово вместо нормального ключевого слова для формирования одноразового кода из матрицы обеспечения безопасности. Когда система 30 обеспечения безопасности проверяет одноразовый код и определяет, что было использовано альтернативное ключевое слово, она запускает предупредительный сигнал о панической ситуации, который поступает в защищенную
систему 20. Это дает возможность защищенной системе 2 0 отреагировать таким образом, чтобы защитить клиента, находящегося в состоянии стресса, например, показывая ему существенно заниженный баланс для Интернет- или АТМ-систем 102а, 102Ь или, учитывая необходимость защиты клиента, обеспечивая безопасный доступ в бизнес-систему (на основе технологии "sandbox" (песочница)).
На фиг. 11 представлены описания структуры сообщений. Этими сообщениями являются сообщение 11 с запросом аутентификации, сообщение 12 с одноразовым кодом, сообщение 31 с матрицей обеспечения безопасности, сообщение 32 с результатом аутентификации и сообщение 33 о выполнении. Сообщение 11 с запросом аутентификации включает в себя уникальный ID пользователя и в некоторых вариантах обеспечения безопасности идентификатор (ID) системы, запрашивающей аутентификацию. Сообщение с одноразовым кодом включает в себя уникальный ID пользователя и в некоторых вариантах ID системы, запрашивающей аутентификацию, а также одноразовый код, введенный пользователем. Сообщение 31 с матрицей обеспечения безопасности включает в себя набор пар "ключ-значение", составленный в соответствии с предпочтениями 50 защищенной системы. Сообщение 32 с результатом аутентификации включает в себя в некоторых вариантах осуществления изобретения ID сеанса, индикацию о выполнении или индикацию об ошибке. Сообщение 33 о выполнении включает в себя уникальный ID пользователя и в некоторых вариантах осуществления изобретения - проверенный ID системы и ID сеанса.
На фиг. 12 показаны пользовательские предпочтения. Пользовательские предпочтения включают в себя параметр порядка, параметр сдвига, параметр обхода, параметр скачка, параметр маски и рандомизатор. В соответствии с параметром порядка линейная абстракция означает, что матрица содержит буквы ключей, представленные в линейном порядке от А до Z и от 0 до 9. Случайная абстракция означает, что матрица содержит буквы ключей, представленные в случайном порядке.
Параметр сдвига задает либо положительный, либо
отрицательный сдвиг. При положительном сдвиге к каждому значению, связанному с ключом, добавляется положительная величина. Суммирование выполняется по модулю 10, а для символов - по модулю 2 6, так что Z+1=A. При использовании отрицательного сдвига к каждому значению, связанному с ключом, добавляется отрицательная величина. Суммирование выполняется по модулю 10 для чисел и по модулю 2 6 для символов.
Параметр обхода задает либо положительное, либо отрицательное приращение. Положительное приращение означает, что к значению, связанному с ключом, добавляется заданная положительная величина, а затем она возрастает на заданную величину при следующем добавлении. Отрицательное приращение означает, что к значению, связанному с ключом, добавляется заданная отрицательная величина, а затем она возрастает на заданную величину при следующем добавлении. Опять же суммирование выполняется по модулю 10 для чисел и по модулю 2 6 для символов.
Параметр скачка задает либо четное, либо нечетное значение для скачка. Если для этого параметра задано нечетное значение (Odd), то к каждому значению, связанному с ключом, добавляется заданная величина скачка при нечетном индексе ключевого слова, и эта величина вычитается из каждого значения в случае четного индекса ключевого слова. Если для параметра скачка задано четное значение (Even), то упомянутая заданная величина вычитается из каждого значения, связанного с ключом, при нечетном индексе ключевого слова, и заданная величина добавляется к каждому значению при четном индексе ключевого слова. Суммирование или вычитание выполняется по модулю 10 для чисел и по модулю 2 6 для символов.
Параметр маски определяет, что заданный символ в одном или более индексах в ключевом слове не должен изменяться на другой параметр. Дополнительно, метка (#) кэширования на том или ином месте в ключевом слове представляет подстановочный символ, на место которого пользователь может ввести любое число или любой символ.
Рандомизатор может представлять собой букву или слово,
содержащее такое же количество символов, что и ключевое слово. Если рандомизатор представлен одной буквой, то его числовое значение из матрицы суммируется по модулю 10 с каждым числовым значением ключевого слова. Если рандомизатор представлен словом, то тогда значение каждой буквы в рандомизаторе-слове суммируется по модулю 10 с соответствующей буквой в ключевом слове.
На фиг. 13 показаны предпочтения защищенной системы. Эти предпочтения задают формат возврата, область определения ключа и область определения значения. Формат возврата может представлять собой формат XML, HTML, изображение или текст CSV. Область определения ключа определяет, что системе обеспечения безопасности следует формировать ключи матрицы обеспечения безопасности с использованием заданных символов. Область определения значения определяет, что защищенной системе следует формировать значения матрицы обеспечения безопасности с использованием заданных символов.
На фиг. 14 представлена блок-схема варианта осуществления настоящего изобретения. Эта блок-схема описывает этапы, которые выполняют клиентский интерфейс, защищенная система и система обеспечения безопасности для аутентификации пользователя, запрашивающего доступ в защищенную систему. На этапе 150 пользователь предоставляет системе обеспечения безопасности ключевое слово и свои предпочтения, а система обеспечения безопасности на этапе 152 принимает эти позиции и сохраняет их в устройстве постоянного хранения.
На этапе 154 пользователь запрашивает авторизацию на клиентском интерфейсе, который на этапе 156 отправляет этот запрос в защищенную систему. На этапе 158 защищенная система принимает этот запрос аутентификации и направляет его вместе с ID системы в систему обеспечения безопасности, которая принимает этот запрос аутентификации на этапе 160. Затем система обеспечения безопасности на этапе 162 создает матрицу обеспечения безопасности и отправляет эту матрицу в защищенную систему на этапе 164а или 164Ь. На этапе 164а защищенная система направляет эту матрицу на клиентский интерфейс, который
ее принимает на этапе 166. На этапе 164Ь защищенная система осуществляет построение пользовательского представления матрицы обеспечения безопасности и отправляет его на клиентский интерфейс, который принимает эту матрицу на этапе 166.
На этапе 166 пользователь также создает одноразовый код, используя матрицу обеспечения безопасности, свое ключевое слово и свои предпочтения и вводит этот одноразовый код в клиентский интерфейс на этапе 168. Затем клиентский интерфейс посылает указанный одноразовый код в защищенную систему на этапе 17 0, которая принимает указанный одноразовый код на этапе 172 и направляет его вместе с ID пользователя и ID системы в систему обеспечения безопасности, которая принимает указанное на этапе 174. На этом этапе система обеспечения безопасности проверяет указанный одноразовый код, используя матрицу обеспечения безопасности, посланную ранее, пользовательское ключевое слово и пользовательские предпочтения. На этапе 17 6 система обеспечения безопасности посылает результаты аутентификации в защищенную систему вместе с ID сеанса, если результат аутентификации был успешен. На этапе 17 8 защищенная система направляет этот результат на клиентский интерфейс. Отдельно, на этапе 182 система обеспечения безопасности посылает сообщение о выполнении или невыполнении аутентификации в систему обеспечения безопасности, которая принимает указанное сообщение на этапе 184.
На фиг. 15 показана блок-схема варианта осуществления изобретения для создания и отправки одноразового кода. На этапе 190 матрица обеспечения безопасности отображается на клиентском интерфейсе. Эта матрица может быть представлена в алфавитном порядке или в случайном порядке в зависимости от того, какой порядок задан в пользовательских предпочтениях. На этапе 192 пользователь создает одноразовый код, используя упомянутое ключевое слово, матрицу обеспечения безопасности и пользовательские предпочтения, которые определяют, следует ли использовать сдвиги, обходы, скачки и маски либо любую их комбинацию для формирования одноразового кода. На этапе 194 пользователь вводит этот одноразовый код в клиентский
интерфейс, с тем чтобы его можно было переслать в защищенную систему.
Хотя настоящее изобретение было достаточно подробно описано со ссылками на конкретные предпочтительные версии его осуществления, возможны и другие версии. Таким образом, существо и объем прилагаемой формулы изобретения не следует ограничивать описанием приведенных здесь предпочтительных версий осуществления изобретения.
ФОРМУЛА ИЗОБРЕТЕНИЯ
1. Способ для проверки аутентичности пользователя для доступа в защищенную систему, причем способ содержит:
прием от пользователя запроса аутентификации;
создание матрицы обеспечения безопасности на основе ID пользователя и данных о пользовательских предпочтениях, и отправку упомянутой матрицы пользователю;
прием от пользователя одноразового кода в ответ на матрицу обеспечения безопасности;
проверку одноразового кода на основе матрицы обеспечения безопасности, ID пользователя, по меньшей мере одного пользовательского ключевого слова и данных о пользовательских предпочтениях;
после проверки одноразового кода, отправку пользователю результата аутентификации, упомянутый результат аутентификации основан на одноразовом коде, матрице обеспечения безопасности, ID пользователя, пользовательском ключевом слове и пользовательских предпочтениях; и
отправку сообщения о выполнении или невыполнении, отличного от результата аутентификации, в защищенную систему на основе результата аутентификации.
2. Способ по п. 1, в котором пользовательское ключевое слово сохраняется в зашифрованном виде.
3. Способ по п. 1, в котором создание матрицы обеспечения безопасности на основе ID пользователя и данных о пользовательских предпочтениях включает в себя создание случайным образом упорядоченной матрицы обеспечения безопасности, как задано данными о пользовательских предпочтениях.
4. Способ по п. 1, в котором создание матрицы обеспечения безопасности на основе ID пользователя и данных о пользовательских предпочтениях включает в себя создание упорядоченной в алфавитном порядке матрицы обеспечения безопасности, как задано данными о пользовательских предпочтениях.
5. Способ по п. 1,
в котором запрос аутентификации включает в себя ID системы; и
в котором создание матрицы основано на данных о пользовательских предпочтениях, ID пользователя и ID системы.
6. Способ по п. 1, в котором этап создания матрицы
обеспечения безопасности на основе ID пользователя и данных о
пользовательских предпочтениях включает в себя построение
пользовательского представления матрицы обеспечения
безопасности.
7. Способ по п. 1,
в котором упомянутая система имеет данные о предпочтениях системы; и
в котором этап создания матрицы обеспечения безопасности основан на ID пользователя, данных о пользовательских предпочтениях и данных о предпочтениях системы.
8. Способ по п. 1, в котором этап создания матрицы обеспечения безопасности включает в себя создание матрицы, которая отличается от любой ранее созданной матрицы.
9. Способ по п. 1, в котором результат аутентификации включает в себя ID сеанса, который должен быть использован защищенной системой.
10. Способ по п. 1, в котором этап приема одноразового кода включает в себя прием ID пользователя и ID системы.
11. Способ по п. 1,
в котором пользовательское ключевое слово состоит из множества символов; и
в котором матрица обеспечения безопасности отображает каждый символ ключевого слова на соответствующее число.
12. Способ по п. 11 в котором данные о пользовательских предпочтениях включают в себя указание на формирование одноразового кода путем модификации каждого числа, на которое отображается символ пользовательского ключевого слова, с использованием сдвига.
13. Способ по п. 11 в котором данные о пользовательских предпочтениях включают в себя указание на формирование одноразового кода путем модификации каждого числа, на которое
12.
отображается символ пользовательского ключевого слова, с использованием обхода.
14. Способ по п. 11 в котором данные о пользовательских предпочтениях включают в себя указание на формирование одноразового кода путем модификации каждого числа, на которое отображается символ пользовательского ключевого слова, с использованием скачка.
15. Способ по п. 11 в котором данные о пользовательских предпочтениях включают в себя указание на формирование одноразового кода путем модификации каждого числа, на которое отображается символ пользовательского ключевого слова, с использованием маски.
16. Способ по п. 11 в котором данные о пользовательских предпочтениях включают в себя указание на формирование одноразового кода путем модификации каждого числа, на которое отображается символ пользовательского ключевого слова, с использованием выбранной пользователем буквы.
17. Способ по п. 11 в котором данные о пользовательских предпочтениях включают в себя указание на формирование одноразового кода путем модификации каждого числа, на которое отображается символ пользовательского ключевого слова, с использованием выбранного пользователем слова, имеющего размер, равный ключевому слову.
18. Способ по п. 1,
в котором этап приема от пользователя одноразового кода в ответ на матрицу обеспечения безопасности включает в себя создание одноразового кода на основе альтернативного ключевого слова;
в котором проверка одноразового кода включает в себя проверку одноразового кода на основе альтернативного ключевого слова; и
в котором отправка сообщения о выполнении или невыполнении включает в себя указание защищенной системе о наличии панической ситуации, с тем чтобы защищенная система обеспечила защиту пользователя.
19. Система обеспечения безопасности для проверки
аутентичности пользователя для доступа в защищенную систему, причем система обеспечения безопасности содержит:
компьютер для обеспечения безопасности, который запрограммирован
для сохранения пользовательского ключевого слова и данных о пользовательских предпочтениях,
для приема от пользователя запроса аутентификации, включающего в себя ID пользователя, для доступа в защищенную систему и для создания матрицы обеспечения безопасности в ответ на упомянутый запрос аутентификации на основе сохраненных данных о пользовательских предпочтениях и ID пользователя,
для отправки матрицы обеспечения безопасности пользователю и приема от пользователя одноразового кода,
для проверки одноразового кода с использованием созданной матрицы обеспечения безопасности, пользовательского ключевого слова и данных о пользовательских предпочтениях, и отправки пользователю результата аутентификации на основе упомянутой проверки, и
для отправки сообщения о выполнении или невыполнении, отличного от результата аутентификации, в защищенную систему на основе результата аутентификации; и
клиентский интерфейс, который дает пользователю возможность передавать в систему обеспечения безопасности запрос аутентификации для доступа в защищенную систему, принимает и отображает матрицу обеспечения безопасности, и дает пользователю возможность отправить одноразовый код в систему обеспечения безопасности.
20. Система обеспечения безопасности по п. 19, при этом
система обеспечения безопасности принимает запрос
аутентификации через защищенную систему.
21. Система обеспечения безопасности по п. 19, при этом система обеспечения безопасности отправляет матрицу обеспечения безопасности пользователю через защищенную систему.
22. Система обеспечения безопасности по п. 19,
при этом система обеспечения безопасности отправляет матрицу обеспечения безопасности в защищенную систему; и
при этом защищенная система создает пользовательское представление матрицы обеспечения безопасности и отправляет его пользователю.
23. Система обеспечения безопасности по п. 19, при этом система обеспечения безопасности принимает одноразовый код через защищенную систему.
24. Система обеспечения безопасности по п. 19, при этом система обеспечения безопасности отправляет результат аутентификации через защищенную систему.
25. Система обеспечения безопасности по п. 19, в которой клиентский интерфейс является браузером, который функционирует на клиентской компьютерной системе.
26. Система обеспечения безопасности по п. 19, в которой клиентский интерфейс является банковским автоматом (ATM).
27. Система обеспечения безопасности по п. 19, в которой клиентский интерфейс является терминалом точки продаж.
28. Система обеспечения безопасности по п. 19, в которой клиентский интерфейс является браузером компьютерной системы, управляемой представителем клиента той системы, в которую запрашивается доступ.
По доверенности
1/16
520692
без
ч о
л ш о
со ГО Q. О X
ч О
ч о
¦В-
16НТ
тер'
л ш о
со ГО Q. О X
Ч О
о о
о го
if)
• <*
<
см.
СМ 00 СО 00 со
II II II II II
m m 5. m m О О С-5 О О
+ + + + +
II II II II II
<шиош
со со со
ч о
л ш о
го о. о
ч О
о о
см.
<
о со ю со
ф с о ф ю о
см.
см со
ч о
ю о
<
<
CD l_
Гп 1
Внутренний сервер обеспечения безопасности
ФИГ.7А
Е ш со Е ш
со Е ш
CD с
а> о.
со со
I- СМ -
у сг> -. со
.с со О) о
Ч- т-
CD СО "О
О т-
-О со аз о
N СО =^ г-X со
-*-1
5 ю со см о
со сг см
CL LO
о оо
=г со
о; с; Ф н со ш о
л о
g, Q со > Е ^_ х
о о
СО X
со >
ф 3" 2 со ш
л ш о
Ф Ш О
3" 2 со ш
3 со ф с; ф н со ш о
л с; о
Ф Ч Ф Ш Ш
Ч О
л ш о
со СО Q. О X
Ч О
СО со
i- ^
s ю
f I
х О
ф S
? I
со О
со го~
-я х
со о
ф п
0. У
с; Ф н со ш о
о со со ф
3 со
ю ^
о s
О > о. ф ш о
X |_ О. Ф Ш Ч О
со о
со ф о
У о
с; ю со
о ч о
N о ч
< н о
с; ш Ф
Ф с; ш со н о ч ф
ш л со
Q-ф Ш О
ючо
сть
<
со"
ема
так
со"
Ф Ш О
V о
2 о
о н
2 N
О II х
X L
со <
о; Q.
ш Ф
" S
¦ s
о; Q.
s [=
х со
ф х
со ш
х ^.
Э- Q-СО m
со со
s н
Ф со со
Н О)
I л
-° А
со о
ГО~ 2"
X Ф
s о.
с; i=
Ф со
со i
в: * со со
Ф 3" со
Ф О
с; Ф
о. н О
_пСМ с; 1 ф pQ
н _ ON
s и
^ф ф
ф S S
о о- (r) ос 3 1= СО (0
0 X Q.
^ (tm) °г
о > > с з-ю о 2 со > s
SH 2
О. s О ф ф
о m ? ° ф Р
со ш о; I- оо" ш со '
°(tm) <°
О) |
Ф5С> Г
со о: о"
X Ф S со S Н
^ s °
Р о_ о [= х
со л х с;
. Ф
^ Ф со о
со ш о ч ф
Ж о. о 2 Ф ¦=
S g Ф
т ° s
2 к 5
m Р со
со"ф о
х х s
т ^ s с; Е s
ф Л X
COCO s со ш о с; о
о ш ф
-О F
ф ф
о с; о с о со о.
о с; о с о со о.
ф СО
? Р
о го
ф н
о; Z
с; л
ш ш
со s
о со"
Ч ш
со о
х с;
s о
с; о ф m ш ф
ключ
вого
н ф
жен
ном
аспо
|ЛОЖ
о с
НИЯ,
рас
X СО > s
итае
ется
со"
ф ^ ч о
0 т
_D ф
с; о
Ф ю
1 I
с; л
о н
S -°
с; о с о
СО vo
ш о с; о о о
а §
о. ч о ю
m со ф
о Я
СО ^
О- ф
о: Ч
о х
н s
? I
CD _D
о; о.
со 2
о о
со *
ф ч
ф о; с; ш со I-о ч ф о. с
с; о ш
ч н
ч о;
л ш ф о
Q. О
н о
о" ш о
о со с; ю о
Ц о
ф о ш ф т 2
л н со ч со
2 Ц
ф н со ш о
^ о
-О [Z
о й
ю оо
со ч Ф о
2 > s
5 л
^ со
о; о
о со
н со
Ф о; о
й- ^ 1
2 ? Ч
;? о; о
о CN к
[= Ю о
о IS CD Ф II со
-й>
Ф О 3" I I С
СО Q. s-
11°
2 но
о; Ф со с;
s о " о;
х о s х
Ф с; S Ф
с; о о S
Ф s 4S
Чп Ja
Ч> m го ¦=
Рг Ф °"Ф
ш -
-Ч ; О
s 5 х о ="= х н со со со
ф со т
со _ X о э
о 2? о gfe.
Ф х'5 ст ^ Р
х ЧСО ° Ф ^
о СКХ
о о
S- I- о
S Ф н
ft о; т
со с; -
^ со s
о -е-
s о; s
ч й ^
§ ° 5 а
" 1=
S со о н
- ф со о т о-
" s "
о. со s
o-s 2-
со х ?
5 Щ J
s j- со > s со О-
о. о
соЦ
Ь" 2 ^ о ?о ^
Ф Ф с;
о со ш со н о; ф о,^
о |_ о
_-соО л
i8|
I ^-
: И
о. ч > s о
s S х
4 со со Ф ^ о
о с; о с Ч Ф О.
*f 5
°Ч^
PI'S
I- S ф
т о; J 2 с; 2 с Ч с о;
> s о о;
ю 1^
ч о
н о ^ ф н
5 > ф
5 ^ к
о -о сц
i= с; m
s°o:
2 ОГМ
л со
_ о
^ со о. о
ч о
j- <"CD
h- 2Q ф Ц Ml
со 2Ш
ю °
^ х
ш СО ф
л m s
^ 2 S
Ф 9-о-
н s ,=
СО со со
g 5х Ф §co° §
со о. н о ю со со о. н о ю со
с; о со ч о
л с; Ф
о с; о со Ч о
л с; Ф
о. н О
с х
н ?
СО СО
=г о.
О- о.
л s ф ^
ф X ф
1Г о со
Е о О ф с; Ф ч Ф о.
ч ш
о ч
о; о. о IZ
о; о. о со Ч О со ч О
Ч О X
ю О ч о
ю О о со О
о со
о о.
ч о
X н
со со
0_ "
о ч
со о.
о. о
> <
о ф ч
ш ш
ф со 3" со о. ш
о ш
о о
о со
ф ю
ф с о ф ю о
X о;
о с; ш
со ш о о.
о. о
¦в-
ф о. ф с
ф ч
ш ш
ф со 3" со о. ш
о ш
о о
о со
ф ю
о ф ю о
о. н со
го"
ш со н о о о
S Ф
н о;
°. ^
О ф
х ч
СО о_
ф ф
ф к т 5.
о. о
° - &
-й х
=г s
Iго
т =г
g со
2 о.
н °
Ф -е-
' I
Ф <о
ю о
о: m
s ф
? го
Ф ^ ю
о о:
н ^
о О
го ш о с; о
о о
о го
ф ю
о ф ю о
о. н го
ф го
ф о.
о. о
¦в-
о о
о го
ф ю
ф с о ф ю о
о. о
¦в-
го о. о ю
о о
о ш ф
с; о
го о. ю о >
С/) О
N О Ч ГО
О N СП
о. о о
о ч ч:
< °
X О
ф О го о. ш
со О
о. о
е го о. ш
о. о
е о. о
е го о. ш
о ш
о. о
ГО ш Е с; Ю ф
ч ф о.
о со с; ю
ф с; Ф ч ф о.
150
I Начало J
152
I Юльзователь предоставляет системе обеспечения безопасности ключевое слово и свои пользовательские предпочтения
Система обеспечения безопасности получает и сохраняет ключевое слово и пользовательские предпочтения. Ключевое слово шифруется
154
Пользователь выполняет запрос аутентификации с клиентского интерфейса
Клиентский интерфейс отправляет запрос аутентификации в защищенную
систему
Запрос аутентификации " ID пользователя
-156
158
Защищенная система нап равляет запрос аутентифи кации в систему обеспечения безопасности
^ Конец ^
160
Система обеспечения безопасности получает запрос аутентификации
Пользователь получает матрицу на клиентском интерфейсе
"V"
166
Пользователь создает одноразовый код, используя матрицу обеспечения безопасности, пользовательские предпочтения и ключевое слово, и вводит одноразовый код в клиентский интерфейс
164а \-164b
Система обеспечения безопасности создает матрицу обеспечения безопасности и отправляет ее обратно в защищенную систему
162
Защищенная система формирует пользовательское представление матрицы
обеспечения безопасности "
и посылает:его на клиентский
интерфейс
172
Защищенная система вносит Ю пользователя и Ю системы вместе с одноразовым кодом
174
Клиентский интерфейс посылает одноразовый код в защищенную систему
Защищенная система направляет одноразовый код в систему обеспечения безопасности
Система обеспечения безопасности проверяет одноразовый код, используя матрицу обеспечения безопасности, ключевое слово и пользовательские предпочтения
170
Клиентский интерфейс получает результат аутентификации
Результат аутентификации может включать в себя Ю сеанса
176
г . ,Д_
Система обеспечения безопасности посылает результат аутентификации на клиентский интерфейс через защищенную систему
Защищенная система получает независимое сообщение
ФИГ.14 ( Конец ^ 1
Система обеспечения безопасности посылает в защищенную систему независимое сообщение
182
Начало
190
Отображение матрицы обеспечения безопасности на клиентском интерфейсе в соответствии с
пользовательскими предпочтениями
Матрица может отображаться в
алфавитном порядке или случайном порядке
192 _Х
Кодирование пользовательского ключевого
слова в ответ на матрицу обеспечения безопасности и пользовательскими
предпочтениями для создания одноразового кода
Пользовательские предпочтения включают в себя сдвиг, обход, скачок и маски для изменения ключевого слова
194
Ввод одноразового кода в клиентский интерфейс и передача в защищенную систему
Конец
ФИГ.15
2/16
2/16
3/16
3/16
7/16
7/16
8/16
8/16
8/16
8/16
9/16
9/16
11/16
12/16
12/16
13/16
13/16
14/16
15/16
180
14/16
15/16
180
14/16
15/16
180
14/16
15/16
180
16/16
15/16
180
16/16
15/16
180
|
