Способ и система для аутентификации пользователя системы обработки данных

Область техники, к которой относится изобретение

Настоящее изобретение, в общем, относится к области систем обработки данных и более конкретно к способам аутентификации пользователей систем обработки данных.

Предшествующий уровень техники

В настоящее время аутентификация (то есть удостоверение в подлинности) пользователей систем обработки данных в целях предоставления им права осуществлять доступ к заранее определенным услугам представляет собой ощутимую проблему.

В целях настоящего описания термин “услуга” следует понимать в широком смысле, так чтобы он охватывал любую возможную услугу, которую система обработки данных может предложить пользователю, включая простое осуществление логического входа в компьютер и/или в компьютерную сеть, соединение с внутренней сетью компании, общественной администрации, правительственного агентства и/или с Интернет, доступ к услуге обмена электронными сообщениями, доступ к Web-сайту, предлагающему, например, удаленные банковские услуги (инспектирование счетов и/или размещение депозитов), доступ к базам данных и т.п. (вышеперечисленное просто представляет собой не вполне исчерпывающий список того, что понимается под услугой в контексте настоящего описания).

В частности, защищенная аутентификация пользователей, которые запрашивают доступ к конкретным услугам, предлагаемым системой обработки данных, является важной всякий раз, когда эти услуги делают пользователям доступной конфиденциальную информацию, такую как, например, содержимое почтовых ящиков системы обмена электронными сообщениями или личная информация, относящаяся, например, к состоянию здоровья индивидуумов, или исследовательские проекты компании, при этом выше было перечислено лишь несколько примеров.

С проблемой аутентификации пользователей сталкиваются не только в таких крупномасштабных системах обработки данных, как Интернет (который, несмотря на его впечатляющий успех, является весьма незащищенным), но также и при более малом масштабе, например, в инфраструктурах обработки данных компаний среднего или малого размера, где доступ к конкретным услугам, таким как базы данных платежных ведомостей сотрудников, бухгалтерские реестры и т.п., должен предоставляться пользователям на выборочной основе.

Было предложено несколько способов аутентификации. Вероятно, наиболее широко распространенное решение в плане аутентификации основывается на обуславливании доступа к заранее определенным услугам предоставлением пользователем персональной информации идентификации, в типичном случае пары из имени пользователя и пароля.

Эта технология, также известная как статическая основывающаяся на пароле аутентификация, является чрезвычайно незащищенной, например, потому что пользователи, опасаясь забыть назначенные им имя пользователя и пароль, могут записать их, например, на бумаге, делая эти персональные идентификационные коды, которые вместо этого должны держаться в строгом секрете, потенциально доступными другим людям; помимо этого имя пользователя и пароль обычно перемещаются по системе обработки данных без всякого шифрования и таким образом могут быть в большей или меньшей степени жульническим путем перехвачены другими людьми, прослушивающими трафик данных.

В патенте США 6230002 В1 описан усовершенствованный способ, относящийся к аутентификации беспроводных хостов, ассоциированных с мобильными терминалами стандарта GSM (Глобальной Системы Мобильной Связи). Согласно данному способу пароль генерируется модулем идентификации абонента (SIM) мобильного терминала GSM, подключенного к беспроводному хосту, и сгенерированный пароль сообщается (через сеть GSM) аутентификационному серверу частной сети для получения доступа к ее защищенному сайту.

Некоторые из способов аутентификации, предложенных более недавно, происходят из сферы систем мобильной телефонной связи, в особенности GSM.

Во всех способах, относящихся к этому классу, используется аутентификация SIM, который включен в состав каждого мобильного телефона и который хранит информацию об абоненте услуги мобильной телефонной связи, в частности данные, используемые для разрешения мобильному телефону получать доступ к сети GSM.

К этому случаю относятся способ и система аутентификации, описанные в международной публикации WO 00/02406, в которых пользователь основывающейся на межсетевом протоколе (IP) сети (такой как Интернет), намеревающийся подсоединиться к этой IP-сети через его/ее терминал IP-сети (например, персональное цифровое информационное устройство - PDA), использует SIM, идентичный (или в высокой степени аналогичный) тому, что используется в его/ее мобильном телефоне GSM, для аутентификации в IP-сети, тем самым способ аутентификации существующей сети GSM используется для аутентификации в IP-сети.

Другие известные способы аутентификации используют защищенный аутентифицированный на основе SIM коммуникационный канал, формируемый сетью телефонной связи GSM, для распространения паролей пользователям, которые затем используют эти пароли, принимаемые на, например, их персональных мобильных телефонах, для доступа к услугам, предоставляемым по незащищенному каналу, такому как Интернет.

Пример данного типа способов известен из публикации патентной заявки США 2003/0061503 А1, описывающей способ аутентификации, согласно которому, когда неаутентифицируемое устройство, соответствующее пользователю, запрашивает услугу через незащищенную линию связи, такую как Интернет, либо локальную сеть (LAN) или беспроводную LAN (WLAN), во время регистрации на услугу пользователь идентифицирует защищенную линию связи, ассоциированную с ней, давая номер персонального мобильного телефона. Затем осуществляется обращение к мобильному телефону этого пользователя и ему/ей сообщается пароль (предпочтительно используемый лишь однократно); путем ввода этого пароля посредством неаутентифицируемого устройства пользователь уполномочивается на доступ к услуге.

По мнению заявителя, известные из уровня техники способы аутентификации, хотя и являются удовлетворительными во многих отношениях, тем не менее не гарантируют достаточный уровень защищенности аутентификации.

В частности, в системах, таких как соответствующие двум вышеописанным примерам, SIM, который используется для аутентификации намеченного пользователя услуг системы обработки данных, может быть утерян или жульническим образом отнят у законного владельца, и неуполномоченные индивидуумы могут таким образом получить доступ к услугам ограниченной эксплуатации.

Нечто подобное может иметь место в системах, основывающихся на распространении паролей через сеть GSM: также в этом случае терминал GSM, или даже только SIM, используемый для аутентификации пользовательского терминала GSM в сети GSM, может быть утерян или жульническим образом отнят у законного владельца, и неуполномоченные индивидуумы могут таким образом получить доступ к услугам ограниченного использования.

Сущность изобретения

По мнению заявителя, желателен более высокий уровень защищенности по сравнению с тем, что достигается при эксплуатации известных методик аутентификации. Таким образом, задачей настоящего изобретения является повышение защищенности по сравнению с известными способами аутентификации.

Заявителем обнаружено, что способ аутентификации, задействующий использование двух модулей идентификации абонента, позволяет достигать очень высокого уровня защищенности.

В частности, заявителем обнаружено, что уровень защищенности значительно повышается, если обеспечивается способ аутентификации, который содержит две фазы аутентификации, а именно основывающуюся на SIM аутентификацию терминала обработки данных пользователя, который запрашивает доступ к услугам ограниченного использования, и вторую фазу, соответствующую верификации идентификационных данных пользователя, выполняемой с использованием защищенной сети связи, такой как сеть мобильной связи.

В целях настоящего изобретения под основывающейся на SIM аутентификацией подразумевается любая аутентификация, задействующая обмен идентификационными данными, хранящимися в модуле идентификации абонента.

Согласно первому аспекту настоящего изобретения предлагается способ, характеризуемый в пункте 1 прилагаемой формулы изобретения и предназначенный для аутентификации терминала обработки данных пользователя для предоставления этому терминалу обработки данных доступа к выбранным услугам, предоставляемым системой обработки данных, причем пользователю обеспечен аутентифицируемый мобильный коммуникационный терминал, выполненный с возможностью использования в сети мобильной связи.

Резюмируя, способ включает в себя выполнение первой, основывающейся на SIM аутентификации терминала обработки данных пользователя в системе обработки данных на аутентификационном сервере обработки данных; этот этап содержит функциональное ассоциирование первого модуля идентификации абонента, выданного пользователю терминала обработки данных, с терминалом обработки данных этого пользователя.

Способ дополнительно содержит после выполнения аутентификации мобильного коммуникационного терминала пользователя в сети мобильной связи обуславливание результата аутентификации терминала обработки данных пользователя в системе обработки данных второй аутентификацией на основе информации идентификации, предоставляемой пользователю на мобильном коммуникационном терминале через сеть мобильной связи.

Согласно варианту осуществления настоящего изобретения упомянутая вторая аутентификация содержит:

генерацию первого пароля на аутентификационном сервере обработки данных;

отправку первого пароля на мобильный коммуникационный терминал по сети мобильной связи;

проверку соответствия между первым паролем и зависящим от первого пароля вторым паролем, введенным на терминале обработки данных и предоставленным аутентификационному серверу обработки данных через систему обработки данных. Второй пароль может быть введен через терминал обработки данных пользователем или автоматически по приему первого пароля на мобильном коммуникационном терминале.

Предпочтительно первый пароль можно использовать ограниченное количество раз, в частности лишь один раз.

Согласно варианту осуществления настоящего изобретения пользователю выдается второй модуль идентификации абонента, приспособленный для использования в мобильном коммуникационном терминале пользователя для его аутентификации в сети мобильной связи. Второй модуль идентификации абонента может иметь фиксированное однозначное соответствие с первым модулем идентификации абонента, или первый модуль идентификации абонента может быть ассоциирован с идентификатором второго модуля идентификации абонента, в частности номером мобильного коммуникационного терминала.

Согласно варианту осуществления настоящего изобретения упомянутая информация идентификации посылается на мобильный коммуникационный терминал пользователя посредством сообщения службы коротких сообщений (SMS).

В частности, первый модуль идентификации абонента относится к типу, принятому в сети мобильной связи для аутентификации мобильных коммуникационных терминалов. Первая, основывающаяся на SIM аутентификация терминала обработки данных может таким образом содержать аутентификацию терминала обработки данных аутентификационным сервером системы обработки данных, причем аутентификационный сервер выступает в роли центра аутентификации оператора сети мобильной связи.

Согласно еще одному аспекту настоящего изобретения предоставляется способ, охарактеризованный в пункте 12 формулы изобретения, посредством которого выполняется аутентификация терминала обработки данных в системе обработки данных для получения доступа к выбранным услугам, предоставляемым системой обработки данных.

В частности, способ содержит:

взаимодействие с первым модулем идентификации абонента пользователя, функционально ассоциированным с терминалом обработки данных, и с аутентификационным сервером обработки данных в системе обработки данных для выполнения основывающейся на SIM аутентификации терминала обработки данных пользователя;

получение персональной информации идентификации, предоставляемой пользователю на мобильном коммуникационном терминале пользователя, аутентифицированном через сеть мобильной связи,

отправку упомянутой персональной информации аутентификации на аутентификационный сервер обработки данных для завершения аутентификации терминала обработки данных.

Первый модуль идентификации абонента может относиться к типу, принятому в сетях мобильной связи для аутентификации мобильных коммуникационных терминалов.

Способ может дополнительно содержать:

извлечение идентификационных данных SIM из первого модуля идентификации абонента;

передачу извлеченных идентификационных данных SIM аутентификационному серверу, причем аутентификационный сервер, по существу, выступает в роли центра аутентификации оператора сети мобильной связи;

прием от аутентификационного сервера SIM аутентификационных данных, соответствующих идентификационным данным SIM, и подачу идентификационных данных SIM на первый модуль идентификации абонента;

передачу аутентификационному серверу ответа, сформированного модулем идентификации абонента.

Также предложен способ, охарактеризованный в пункте 16 формулы изобретения, посредством которого аутентификационный сервер обработки данных аутентифицирует терминал обработки данных пользователя для предоставления этому терминалу обработки данных пользователя доступа к выбранным услугам, предоставляемым системой обработки данных.

Способ содержит:

прием запроса аутентификации терминала обработки данных, причем с терминалом обработки данных функционально ассоциирован первый модуль идентификации абонента;

выполнение основывающейся на SIM аутентификации терминала обработки данных на основе данных, ассоциированных с первым модулем идентификации абонента;

предоставление пользователю первой персональной информации идентификации посредством использования аутентифицируемого мобильного коммуникационного терминала пользователя, аутентифицированного в сети мобильной связи;

обуславливание результата аутентификации терминала обработки данных пользователя предписанным соответствием между первой персональной информацией идентификации, предоставленной пользователю, и второй персональной информацией идентификации, принятой от терминала обработки данных пользователя в ответ на предоставление первой персональной информации идентификации.

В частности, первый модуль идентификации абонента относится к типу, принятому в сетях мобильной связи для аутентификации мобильных коммуникационных терминалов, и аутентификационный сервер обработки данных, по существу, выступает в роли центра аутентификации оператора сети мобильной связи.

Способ может дополнительно содержать:

генерацию первого пароля на аутентификационном сервере обработки данных и отправку первого пароля по сети мобильной связи на мобильный коммуникационный терминал пользователя;

обуславливание результата аутентификации терминала обработки данных в системе обработки данных предписанным соответствием между первым паролем и зависящим от первого пароля вторым паролем, введенным на терминале обработки данных и предоставленным аутентификационному серверу обработки данных через систему обработки данных.

Кроме того, изобретение охватывает компьютерные программы, непосредственно загружаемые в рабочую память терминала обработки данных пользователя и аутентификационного сервера обработки данных для выполнения при их исполнении вышеописанных способов, а также компьютерные программные продукты, содержащие машиночитаемые носители данных, хранящие упомянутые компьютерные программы.

Согласно еще одному аспекту настоящего изобретения предоставляется система для аутентификации терминала обработки данных пользователя с целью предоставления этому терминалу обработки данных доступа к выбранным услугам, предоставляемым системой обработки данных. Пользователь имеет мобильный коммуникационный терминал, выполненный с возможностью использования после выполнения аутентификации, в сети мобильной связи (например, одной из сетей GSM, GPRS, UMTS).

Система содержит:

первый модуль идентификации абонента, выполненный с возможностью функционального ассоциирования с терминалом обработки данных;

аутентификационный сервер обработки данных, выполненный с возможностью осуществления первого этапа аутентификации на основе первого модуля идентификации абонента.

Аутентификационный сервер обработки данных дополнительно выполнен с возможностью осуществления второго процесса аутентификации на основе информации идентификации, предоставляемой пользователю на мобильном коммуникационном терминале через сеть мобильной связи.

В частности, первый модуль идентификации абонента относится к типу, принятому в сетях мобильной связи для аутентификации мобильных коммуникационных терминалов.

Согласно варианту осуществления настоящего изобретения пользователю выдается второй модуль идентификации абонента, подлежащий использованию в мобильном коммуникационном терминале для аутентификации мобильного коммуникационного терминала в сети мобильной связи.

Второй модуль идентификации абонента может находиться в фиксированном однозначном соответствии с первым модулем идентификации абонента или он может быть ассоциирован с идентификатором второго модуля идентификации абонента, в частности наборным номером мобильного коммуникационного терминала.

Первый модуль идентификации абонента предпочтительно ассоциирован с периферийным устройством компьютера, выполненным с возможностью подключения к компьютеру через порт подключения периферийных устройств компьютера.

Согласно еще одному аспекту настоящего изобретения предоставляется комплект защищенной аутентификации, охарактеризованный в прилагаемом пункте 23 формулы изобретения, для аутентификации терминала обработки данных пользователя в системе обработки данных с целью предоставления терминалу обработки данных доступа к выбранным услугам, обеспечиваемым системой обработки данных.

Упомянутый комплект содержит первый модуль идентификации абонента, в частности, относящийся к типу, принятому в сетях мобильной связи для аутентификации мобильных коммуникационных терминалов; периферийное устройство компьютера, с которым ассоциирован первый модуль идентификации абонента, являющееся функционально ассоциируемым с терминалом обработки данных пользователя; и второй модуль идентификации абонента, функционально ассоциируемый с мобильным коммуникационным терминалом пользователя для обеспечения возможности его соединения с сетью мобильной связи.

Упомянутый комплект может также включать в себя один из вышеуказанных компьютерных программных продуктов.

Перечень чертежей

Признаки и преимущества настоящего изобретения станут более понятны из следующего подробного описания некоторых вариантов его осуществления, представляемых в качестве неограничивающих примеров, при этом описание выполняется со ссылкой на прилагаемые чертежи, на которых:

Фиг.1 - схематичное представление иллюстративной системы обработки данных, в которой способ защищенной аутентификации пользователя, соответствующий варианту осуществления настоящего изобретения, реализуется выгодным образом.

Фиг.2 - схематичное представление посредством функциональных блоков, соответствующих пониманию упомянутого варианта осуществления изобретения, аутентификационного сервера и оператора сети GSM.

Фиг.3 - схематичное представление посредством функциональных блоков, содержимого рабочей памяти компьютера пользователя во время фазы аутентификации, выполняемой посредством реализации способа защищенной аутентификации согласно упомянутому варианту осуществления настоящего изобретения.

Фиг.4 - схематичное представление посредством упрощенных блок-схем последовательностей операций функционирования различных элементов, которые совместно работают для реализации способа защищенной аутентификации согласно упомянутому варианту осуществления настоящего изобретения.

Подробное описание изобретения

Со ссылкой на чертежи, чисто иллюстративный и ни в коей мере не ограничивающий сценарий, согласно которому соответствующий варианту осуществления настоящего изобретения способ защищенной аутентификации пользователя может быть реализован, показан на фиг.1. Распределенная система обработки данных, по всем материалам заявки обозначаемая ссылочным номером 100, содержит частную локальную компьютерную сеть 105, например локальную сеть (LAN), в частности, но не в ограничительном смысле, сеть Ethernet, городскую сеть (MAN) или глобальную сеть (WAN), образующую вычислительную инфраструктуру организации, например предприятия или агентства общественной администрации, при этом конкретный тип локальной компьютерной сети 105 абсолютно не важен для целей настоящего изобретения.

В наиболее общих понятиях, частная локальная компьютерная сеть 105 содержит один или более компьютеров-серверов 110, показанных на чертеже, которые предоставляют конкретные услуги множеству компьютеров-клиентов, таких как компьютеры-клиенты 115a и 115b, показанные на чертеже, причем различные компьютеры подсоединены к инфраструктуре 120 обмена данным, посредством чего эти различные компьютеры могут сообщаться между собой. Возможности по обработке данных различных компьютеров частной локальной сети 105 могут варьироваться в значительной степени: сетевые компьютеры-клиенты 115a, 115b являются, например, персональными компьютерами, в частности переносными компьютерами, такими как ноутбуки, или рабочими станциями, эксплуатируемыми персоналом организации, например, служащими для выполнения соответствующих обязанностей; компьютер-сервер 110 может быть надлежащим образом сконфигурированным персональным компьютером, рабочей станцией или даже большой ЭВМ (мейнфреймом). Услуги, предоставляемые компьютером-сервером 110 компьютерам-клиентам 115a, 115b, могут включать в себя хранение электронных файлов (файловый сервер), услуги прикладного программного обеспечения (сервер приложений), услуги управления базами данных (сервер баз данных), услуги обмена электронными сообщениями (электронная почта) и любые другие возможные услуги; хотя конкретный тип услуги или услуг, предоставляемых компьютером(ами)-сервером(ами) частной локальной сети 105, не является существенным для настоящего изобретения, в дальнейшем, исключительно в качестве примера, будет предполагаться, что компьютер-сервер 110 выступает в роли почтового сервера для частной локальной сети 105.

Частная локальная сеть 105 также содержит шлюз 125, например модем/маршрутизатор ISDN (цифровой сети связи с комплексными услугами) или XDSL (цифровой абонентской линии), сопрягающий частную локальную сеть 105 с точкой доступа 130а к внешней компьютерной сети 135; в дальнейшем будет предполагаться, что внешняя компьютерная сеть 135 является открытой сетью, в частности Интернет (и таким образом, по существу, незащищенной сетью), хотя это не следует трактовать в ограничительном смысле в отношении настоящего изобретения; таким образом, точка доступа 130а является, например, поставщиком услуг соединения с Интернет (ISP).

Компьютер 140 удаленного пользователя, например переносной компьютер, также соединен (выполнен с возможностью соединения) с Интернет 135 через точку доступа 130b, которая может совпадать с точкой доступа (ISP) 130а или, в более общем случае, она может быть другой точкой доступа, расположенной в другой географической области, либо эти две точки доступа 103а и 103b могут быть разными точками присутствия (РОР) одного и того же ISP. С этой целью компьютер использует, например, модем (например, модем ISDN) и коммутируемое соединение, либо модем XDSL и соединение XDSL с точкой доступа 130b, либо соединение беспроводной LAN (WLAN) с точкой доступа 130b (такое как соединение Wi-Fi (верность беспроводной передачи информации), вид доступа к Интернет, который становится все более популярным в таких местах, как гостиницы и аэропорты).

Удаленный пользователь ПОЛЬЗОВАТЕЛЬа компьютера 140 является, например, служащим предприятия-владельца частной локальной сети 105 и желает осуществить доступ к частной локальной сети своего работодателя и использовать услуги, предоставляемые ее компьютером(ами)-сервером(ами) 110, из удаленного местоположения, то есть не будучи непосредственно подсоединенным к локальной сети 105, через внешнюю (открытую) сеть 135; описанная ситуация может иметь место, например, когда находящийся вне офиса служащий, будучи в командировке или даже в отпуске, желает осуществить доступ к почтовому серверу 110 предприятия для проверки персонального почтового ящика электронной почты на предмет, возможно, поступивших новых, важных сообщений.

Предполагается, что для доступа к частной локальной сети 105, в частности к почтовому серверу 110, удаленному пользователю требуется аутентифицировать себя во избежание мошеннического доступа к частным почтовым ящикам электронной почты. Частную локальную сеть 105 таким образом можно рассматривать как сайт с защищенным доступом в пределах Интернет. Следует указать, что это просто является примером и способ аутентификации, который будет описан далее, имеет весьма общую применимость; в этом отношении удаленный пользователь ПОЛЬЗОВАТЕЛЬа может быть любым уполномоченным (авторизованным) пользователем услуг, предоставляемых частной локальной сетью, таким как заказчик владельца частной локальной сети 105, желающий, например, инспектировать состояние размещенных заказов на приобретение.

Согласно варианту осуществления настоящего изобретения в целях аутентификации удаленный пользователь ПОЛЬЗОВАТЕЛЬа оснащен парой идентификационных модулей абонента, в частности, но не в ограничительном смысле, модулями идентификации абонента (SIM) типа, используемого в целях аутентификации в сотовых цифровых телефонных системах (DCS) или общедоступных наземных сетях мобильной связи (PLMN), таких как широко распространенные сотовые сети телефонной связи Глобальной Системы Мобильной Связи (GSM), или их известные расширения, такие как сети с общей службой пакетной радиопередачи (GPRS) (которая фактически является подсетью сети GSM), либо сети Универсальной Системы Мобильных Телекоммуникаций (UMTS) (широкополосной сотовой системы связи третьего поколения) или основывающаяся на спутниковой связи сеть мобильной связи.

Как известно из уровня техники, обычно SIM имеет форму карточки (размера кредитной карточки или меньшего размера, в зависимости от масштаба миниатюризации терминала пользователя) со встроенными компонентами интегральной схемы, в частности, хранящими персональные данные, которые поддерживают аутентификацию SIM, а также шифрование и дешифрование. По меньшей мере, к настоящему моменту использование SIM (и основывающейся на SIM процедуры аутентификации) для идентификации связанного с ним мобильного терминала оказалось надежным путем для недопущения использования данного терминала другими устройствами вместо себя, тем самым обеспечивая защищенный аутентифицированный доступ к, например, счету, соответствующему этому конкретному пользователю.

Первый SIM SIMa из пары модулей SIM пользователя функционально связан (с возможностью отсоединения) с компьютером 140 удаленного пользователя; например, первый SIM SIMa встроен в периферийное устройство компьютера, которое может быть в рабочем состоянии подключено к компьютеру 140, так чтобы быть функционально доступным с его стороны, например аппаратный ключ 145, подключаемый к порту (в явном виде на фиг.1 не показан) компьютера 140, например его порту универсальной последовательной шины (USB) или порту стандарта Международной ассоциации производителей плат памяти для персональных компьютеров (PCMCIA), либо посредством периферийного устройства типа считывателя смарт-карт, которое выполнено с возможностью взаимодействия с SIM, либо первый SIM SIMa может быть встроен в карту памяти, которая затем может быть функционально подключена к компьютеру 140 посредством считывателя карт памяти. Следует отметить, что конкретный путь, которым первый SIM SIMa функционально связывается с компьютером 140, не является ограничением настоящего изобретения, и в общем достаточно того, что первый SIM SIMa функционально связан с компьютером 140 (образом, подходящим для обеспечения возможности обмена данными между компьютером 140 и SIM SIMa) посредством любого типа устройства-адаптера/считывателя, подключенного к компьютеру через любой тип периферийного порта.

Второй SIM SIMb вставлен (с возможностью извлечения) в мобильный телефон/коммуникационный терминал 150 пользователя, такой как мобильный телефон, приспособленный для использования в сети мобильной связи (например, PLMN) 155, такой как сотовая сеть телефонной связи GSM, сеть GPRS или сеть UMTS, эксплуатируемая оператором 160 сети GSM (или GPRS, или UMTS).

Согласно варианту осуществления настоящего изобретения существует однозначное соответствие между первым и вторым модулями SIM SIMa и SIMb, а также между этими двумя модулями SIM и пользователем ПОЛЬЗОВАТЕЛЬа, в том смысле, что орган, выдающий эти два модуля SIM, обычно, но вовсе не обязательно, оператор GSM, не только рассматривает каждый из этих двух модулей SIM как ассоциированный с этим конкретным пользователем-абонентом ПОЛЬЗОВАТЕЛЬа, но дополнительно два модуля SIMa и SIMb рассматриваются как ассоциированные друг с другом. Следует указать, что хотя согласно описываемому здесь варианту осуществления настоящего изобретения рассматривается единственный оператор 160 сети GSM, это не следует считать ограничением настоящего изобретения: различные операторы сети GSM (или GPRS, или UMTS) могут сотрудничать при предоставлении услуги защищенной аутентификации пользователя, при условии, что гарантирована вышеупомянутая ассоциация между двумя модулями SIM и между парой модулей SIM и пользователем.

В более общем случае достаточно, чтобы поддерживалась (в некотором типе базы данных, управляемой, например, оператором сети GSM) взаимосвязь между данными первого SIM SIMa и идентификационными данными (например, телефонным номером), позволяющими достичь мобильного коммуникационного терминала пользователя, который связан со вторым SIM SIMb.

Также на чертеже показан аутентификационный компьютер-сервер 165 (в более общем случае, аутентификационная система обработки данных, содержащая, например, сеть компьютеров), осуществляющий управление (по меньшей мере, частично) двухэтапной процедурой аутентификации пользователя на основе двух модулей SIM SIMa и SIMb, которая подробно описывается в дальнейшем. В наиболее общих понятиях, аутентификационный компьютер-сервер 165 соединен с Интернет 135 и согласно иллюстрируемому примеру является частью оператора 160 сети GSM (в каковом случае услуга аутентификации является одной из услуг, предоставляемых оператором сети GSM), хотя в общем аутентификационный компьютер-сервер 165 не является необходимой частью оператора 160 сети GSM, достаточно того, чтобы он осуществлял с ним связь (по защищенной линии связи, такой как, например, виртуальная частная сеть (VPN)).

Фиг.2 схематически иллюстрирует, в терминах функциональных блоков, для надлежащего понимания процедуры аутентификации согласно описываемой здесь процедуре аутентификации, оператора 160 сети GSM и аутентификационного компьютера-сервера 165.

Аутентификационный компьютер-сервер 165 выполнен с возможностью осуществления основывающейся на SIM аутентификации удаленного компьютера 140. Как описано во вводной части настоящего описания, основывающийся на SIM механизм аутентификации терминала обработки данных пользователя, такого как удаленный компьютер 140, как таковой известен, и пример структуры, позволяющей реализовать такой механизм, приведен в ранее цитированной международной публикации WO 00/02406. Не вдаваясь в специфические подробности, аутентификационный компьютер-сервер 165 содержит аутентификационный сервер 200, который соединен как с Интернет, так и (через защищенное соединение 205) с сервером-посредником (прокси-сервером) 210, имеющим доступ к центру 215 аутентификации оператора 160 сети GSM, причем центр 215 аутентификации, в свою очередь, соединен с реестром местоположения собственных абонентов (HLR) оператора 160 сети GSM. Защищенное соединение 205 гарантируется, например, тем фактом, что аутентификационный сервер 200 размещается вблизи прокси-сервера 210. Центр 215 аутентификации представляет собой центр аутентификации сети GSM, который обычно отвечает за выполнение стандартных процедур аутентификации мобильных коммуникационных терминалов (мобильных телефонов), оснащенных SIM, таких как мобильный телефон 150, который желает соединиться с сетью 155 GSM. Прокси-сервер 210 обеспечивает возможность соединения между аутентификационным сервером 200 и сетью GSM, и, в частности, он маршрутизирует трафик между аутентификационным сервером 200 и центром 215 аутентификации GSM; прокси-сервер 210 выступает в роли виртуального реестра местоположения посещающих абонентов (VLR), не отличающийся для HLR оператора сети GSM от любого другого VLR сети GSM. Обмен 220 данными между прокси-сервером 210 и центром 215 аутентификации GSM может осуществляться по сети согласно сигнализации стандарта SS7, используемой оператором сети GSM. С аутентификационным сервером 200 ассоциирована база 225 данных, используемая для хранения аутентификационных данных пользователя во время процедуры аутентификации.

Аутентификационный компьютер-сервер 165 также включает в себя сервер 230 ассоциирования SIM, который в соединении с базой 235 данных пар SIM, в которой хранится информация о парах модулей SIM, таких как пара модулей SIM SIMa и SIMb (или, проще говоря, идентификационные данные, например, номер мобильного телефона, соответствующий второму SIM SIMb, который ассоциирован с первым SIM SIMa), выполнен с возможностью идентификации одного SIM из заданной пары SIM, например второго SIM SIMb (или соответствующего ему номера мобильного телефона) на основе предоставляемой аутентификационным сервером 200 информации, идентифицирующей другой SIM из пары, первый SIM SIMa согласно рассматриваемому примеру. Сервер 230 ассоциирования SIMa осуществляет связь с агентом 235 генерации паролей, генерирующим пароли (предпочтительно однократно используемые), подлежащие отправке по сети 155 GSM на мобильный телефон 150 пользователя, например, в форме сообщения службы коротких сообщений (SMS), подготавливаемого агентом-компоновщиком 245 SMS. Сообщение доставляется намеченному получателю центром 250 услуги обмена сообщениями оператора 160 сети GSM, например SMS-центром или центром услуги обмена мультимедийными сообщениями (MMS), для распространения текстовых или мультимедийных сообщений на терминалы абонентов сети 155 GSM. Альтернативно, пароли могут посылаться в форме MMS, либо они могут сообщаться пользователю посредством телефонных вызовов, например, с использованием голосового синтезатора. Агент 255 сравнения паролей предусмотрен для сравнения паролей, сгенерированных агентом 240 генерации паролей, с соответствующими ответными паролями, введенными пользователями и принятыми через Интернет 135, например, посредством аутентификационного сервера 200.

Следует отметить, что, по меньшей мере, некоторые из описанных выше функциональных блоков аутентификационного компьютера-сервера 165 могут быть реализованы и обычно реализуются в качестве комбинации аппаратного и программного обеспечения или даже полностью в качестве программного обеспечения.

Фиг.3 - упрощенное представление содержимого рабочей памяти 300 (например, ОЗУ) удаленного компьютера 140 во время процесса аутентификации. Программный модуль 305 графического интерфейса пользователя (GUI) обеспечивает возможность простого взаимодействия пользователя ПОЛЬЗОВАТЕЛЬа с компьютером 140 через обычные периферийные устройства ввода/вывода компьютера, которые схематически показаны как блок 310 и включают в себя монитор, клавиатуру и координатно-указательное устройство. Программный модуль 315 USB-драйвера обеспечивает возможность взаимодействия с периферийными устройствами USB, в рассматриваемом примере USB-ключом 145 со встроенным в него первым SIM SIMa. Программный модуль 320 драйвера модема обеспечивает возможность осуществления связи с модемом 325 (например, ISDN или XDSL), используемым для соединения с точкой 130b доступа; модуль драйвера модема управляет низкоуровневыми деталями связи. Программный модуль 330 связи с Интернет управляет, напротив, высокоуровневыми деталями связи через Интернет, например деталями, относящимися к межсетевому протоколу (IP). Блок 335 схематически показывает программное приложение, исполняющееся на компьютере 140, которое, как предполагается, запрашивает услуги у защищенного сайта, предоставляющего выборочный доступ к упомянутым услугам, обуславливаемый предварительной аутентификацией пользователя; например, приложение 335 представляет собой программное обеспечение клиента электронной почты (например, Outlook или Outlook Express от компании Microsoft, Eudora, LotusNotes), которое пользователь ПОЛЬЗОВАТЕЛЬа компьютера 140 запустил для доступа к персональному почтовому ящику электронной почты, который содержится на почтовом сервере 110. Блок 340, напротив, схематически иллюстрирует клиентское программное приложение аутентификации, которое вызывается на компьютере 140, например, в ответ на запрос аутентификации от почтового сервера 110, с целью управления той частью процедуры аутентификации, которая является локальной для компьютера 140, что в деталях описывается в дальнейшем. Схематически, клиент 340 аутентификации содержит агент 345 осуществления диалога с SIM в USB-ключе 145, и модуль 350 извлечения и направления пароля для извлечения, например, введенного пользователем пароля, введенного, например, посредством клавиатуры, и направления введенного пароля на модуль 330 связи с целью отправки пароля на аутентификационный компьютер-сервер 165 через Интернет 135.

Как можно видеть, все программные модули заранее установлены в компьютер 140 и при вызове функционируют поверх операционной системы компьютера, которая в явном виде не показана на чертеже. В частности, программное обеспечение 340 клиента аутентификации, которое может быть установлено либо с физического носителя, такого как дискета, CD-ROM или DVD-ROM, либо путем загрузки его с подходящего файлового сервера (например, посредством сеанса протокола передачи файлов (FTP)), может в некоторых случаях принимать форму встраиваемого модуля для уже существующего запрашивающего услуги приложения 335, например встраиваемого модуля для почтового клиента, такого как Microsoft Outlook, Microsoft Outlook Express, Eudora, LotusNotes, или для браузера, такого как Microsoft Internet Explorer или Netscape Communicator.

Далее соответствующая варианту осуществления настоящего изобретения иллюстративная процедура аутентификации будет описана с помощью блок-схем последовательностей операций по фиг.4, рассматривая излагаемый в настоящее время сценарий.

Предположим, что пользователь ПОЛЬЗОВАТЕЛЬа из местоположения, удаленного относительно частной локальной сети 105 работодателя, желает соединиться с почтовым сервером 110 для проверки персонального электронного почтового ящика. Пользователь ПОЛЬЗОВАТЕЛЬа устанавливает соединение с Интернет 135 (через точку доступа 130b), затем запускает клиент 335 электронной почты, который пытается осуществить доступ к почтовому серверу в частной локальной сети 105 (защищенному сайту - этап 401 на фиг.4). Почтовый сервер 110 принимает запрос доступа (этап 403) и перед предоставлением доступа удаленному компьютеру 140, а точнее исполняющемуся в нем клиенту 335 электронной почты), начинает процедуру аутентификации посредством выдачи запроса аутентификации на компьютер 140. Затем почтовый сервер 110 ожидает подтверждение аутентификации (этап 405), которое должно быть принято от аутентификационного компьютера-сервера 165.

Процедура аутентификации состоит из двух фаз аутентификации: первая фаза аутентификации обеспечивает основывающуюся на SIM аутентификацию компьютера 140, выполняемую на основе способа аутентификации, выполняемого в сети 155 GSM для аутентификации мобильных телефонов пользователей. После аутентификации компьютера 140 вторая фаза аутентификации обеспечивает аутентификацию (персональную идентификацию или распознавание) пользователя ПОЛЬЗОВАТЕЛЬа компьютера 140.

Для понимания деталей основывающейся на SIM процедуры аутентификации компьютера 140 будет полезным сделать краткий обзор того, как обычно выполняется аутентификация мобильных телефонов в сети GSM.

Когда мобильный телефон пользователя, например мобильный телефон 150 пользователя ПОЛЬЗОВАТЕЛЬа, пытается соединиться с сетью GSM, такой как сеть 155 GSM, центр 215 аутентификации оператора 160 сети GSM запрашивает мобильный телефон 150 предоставить соответствующий международный опознавательный код абонента мобильной связи (IMSI), который представляет собой девятибайтовый идентификационный код, хранящийся в SIM SIMb мобильного телефона. В ответ мобильный телефон 150 предоставляет оператору 160 сети GSM запрошенный идентификационный код IMSI. Центр 215 аутентификации использует принятый код IMSI для генерации так называемого триплета аутентификации, составленного из “опознавательного запроса”, “подписанного ответа” и ключа шифрования; опознавательный запрос представляет собой шестнадцатибайтовое случайное значение, ключ шифрования представляет собой специфический для конкретного соединения ключ шифрования, используемый в сети 155 GSM, а подписанный ответ (в дальнейшем называемый просто ответом) представляет собой четырехбайтовое значение, которое выводится из опознавательного запроса, используя специфический ключ шифрования. Центр 215 аутентификации затем посылает опознавательный запрос на мобильный телефон 150; на основе опознавательного запроса, принятого от центра 215 аутентификации, SIM SIMb телефона генерирует ответ и ключ шифрования: ключ сохраняется в SIM SIMb, в то время как ответ передается обратно в центр 215 аутентификации. Центр 215 аутентификации сравнивает принятый ответ с локально сгенерированным ответом (подписанным ответом, сгенерированным в процессе генерирования), и если эти два ответа совпадают, аутентификация SIM SIMb завершается успешно.

Возвращаясь обратно к фиг.4, удаленный компьютер 140 принимает запрос аутентификации от почтового сервера (этап 409); это приводит к активации клиента 340 аутентификации, например, посредством скрипта, включенного в Web-страницу, загруженную в удаленный компьютер 140, когда этот компьютер обращается к почтовому серверу 110, и соединение удаленного компьютера 140 с почтовым сервером подлежит переадресации к аутентификационному серверу 200 в аутентификационном компьютере-сервере 165; таким образом удаленный компьютер 140 контактирует с аутентификационным сервером 200 и предоставляет ему свой IP-адрес, запрашивая аутентификационный сервер 200 защищенным образом аутентифицировать пользователя ПОЛЬЗОВАТЕЛЬа (и дать подтверждение аутентификации почтовому серверу 110) (этап 411). Аутентификационный сервер 200 принимает запрос аутентификации от компьютера 140 совместно с его IP-адресом, который будет использоваться для идентификации компьютера 140 для почтового сервера (этап 413).

Основывающаяся на SIM аутентификация компьютера 140 (первая фаза процедуры аутентификации) аналогична ранее изложенной аутентификации мобильного телефона 150 для соединения с сетью 155 GSM, за исключением того, что в этом случае данные частично переносятся через Интернет 135 (в более общем случае, открытую компьютерную сеть), а не только через сеть 155 GSM.

Аутентификационный сервер 200 выдает (этап 415) на компьютер 140 запрос на идентификационные данные первого SIM SIMa аутентификационной пары SIM, а именно SIM, функционально связанного с компьютером 140. Клиент 340 аутентификации принимает этот запрос, а затем осуществляет доступ к первому SIM SIMa, встроенному в USB-ключ 145, для чтения из него идентификационных данных, таких как IMSI (этап 417). Если клиент 340 аутентификации не может найти какой-либо SIM, присоединенный к компьютеру 140, может быть сгенерировано сообщение пользователю ПОЛЬЗОВАТЕЛЬа, запрашивающее подключить несущее SIM периферийное устройство к компьютеру 140 или вставить первый SIM SIMa в подходящий считыватель. Клиент 340 аутентификации затем посылает идентификационные данные, считанные с первого SIM SIMa, на аутентификационный сервер (этап 419).

Для аутентификации первого SIM SIMa аутентификационный сервер 200 представляет идентификационные данные первого SIM, принятые от компьютера 140, центру 215 аутентификации GSM, относящемуся к оператору 160 GSM (этап 421). С этой целью виртуальный VLR используется для установления соединения между аутентификаицонным сервером 200 и центром 215 аутентификации GSM. Аутентификационный сервер 200 посылает виртуальному VLR 210 сообщение запроса аутентификации, содержащее принятые от компьютера 140 идентификационные данные (IMSI) первого SIM SIMa, подлежащего аутентификации. Виртуальный VLR 210 посылает в центр 215 аутентификации GSM надлежащим образом отформатированное запросное сообщение (например, сообщение, соответствующее протоколу прикладной части мобильной связи (МАР)) для запрашивания центра 215 аутентификации GSM выдать триплет аутентификации. Центр 215 аутентификации GSM принимает это запросное сообщение, содержащее IMSI первого SIM SIMa, и отвечает генерацией (этап 423) триплета аутентификации, полностью аналогичного используемым для регистрации мобильных телефонов в сети 155 GSM и составленного из опознавательного запроса, ответа и ключа шифрования, и отправкой этого триплета аутентификации (этап 425) в виртуальный VLR 210 в аутентификационном компьютере-сервере 165. Триплет аутентификации посылается виртуальным VLR 210 на аутентификационный сервер 200, который сохраняет триплет аутентификации (этап 427) и с этого момента функционирует в отношении первого SIM SIMa точно так же, как функционировал бы центр 215 аутентификации GSM в отношении подлежащего аутентификации мобильного телефона. Опознавательный запрос посылается через Интернет 135 на компьютер 140 (этап 427), на котором клиент 340 аутентификации направляет принятый опознавательный запрос на первый SIM SIMa (этап 429).

Когда первый SIM SIMa принимает опознавательный запрос, он генерирует ключ шифрования и ответ (этап 431); ключ шифрования сохраняется в первом SIM SIMa или клиенте 340 аутентификации (например, этот ключ должен использоваться для шифрования связи с защищенным сайтом через Интернет в будущем), а сгенерированный ответ посылается в обратном направлении клиентом 340 аутентификации на аутентификационный сервер 200 (этап 433).

Когда аутентификационный сервер 200 принимает от клиента 340 аутентификации ответ, сгенерированный первым SIM SIMa (этап 435), принятый ответ сравнивается с ответом, скомпонованным в триплете аутентификации (этап 437). Если эти ответы не совпадают (выходная ветвь “НЕТ” этапа 439 ветвления), аутентификационный сервер 200 информирует защищенный сайт 110 (используя IP-адрес удаленного компьютера) о том, что аутентификация первого уровня завершилась неудачно (этап 441); если сервер 110 частной сети принимает такое сообщение (этап 443, выходная ветвь “ДА”), он отказывает компьютеру 140 пользователя (идентифицируемому соответствующим IP-адресом) в доступе к услугам (этап 445).

Если же, напротив, эти два ответа совпадают (выходная ветвь “ДА” этапа 439 ветвления), сервер 230 ассоциирования SIM в аутентификационном компьютере-сервере 165 извлекает из базы 235 данных пар SIM информацию идентификации второго SIM SIMb пользователя, который ассоциирован с первым SIM SIMa пользователя (этап 447); например, идентифицируется номер мобильного телефона, соответствующий второму SIM SIMb, так чтобы обеспечить возможность обращения к пользователю посредством мобильного телефона 150 пользователя. Агент 240 генерации паролей затем генерирует пароль, подлежащий отправке удаленному пользователю ПОЛЬЗОВАТЕЛЬа через персональный мобильный телефон (этап 449). Компоновщик 245 SMS-сообщений затем составляет SMS-сообщение, подлежащее отправке на мобильный телефон пользователя ПОЛЬЗОВАТЕЛЬа и содержащее сгенерированный пароль, и посылает это сообщение на мобильный телефон 150 пользователя (этап 451); центр 240 SMS оператора 160 GSM доставляет данное SMS-сообщение на мобильный телефон 150 пользователя (этап 453).

Параллельно с этим клиент 340 аутентификации вызывает отображение сообщения приглашения пользователю ПОЛЬЗОВАТЕЛЬа компьютера 140 для предложения ему/ей ввести пароль, принятый через персональный мобильный телефон 150 (этап 455). При условии, что мобильный телефон 150 пользователя был предварительно зарегистрирован в сети GSM (обычным путем, изложенным выше), SMS-сообщение от аутентификационного компьютера-сервера 165 с паролем, подлежащим использованию для завершения процедуры аутентификации, принимается на мобильном телефоне 150 пользователя. Согласно варианту осуществления настоящего изобретения SMS-сообщение шифруется для повышения уровня защищенности.

Когда пользователь ПОЛЬЗОВАТЕЛЬа принимает пароль, он/она вводит пароль в компьютер 140 и клиент 340 аутентификации подтверждает введенный пароль и посылает его на аутентификационный сервер 200 через Интернет (этап 457). Следует отметить, что не является строго необходимым, чтобы пароль, введенный пользователем, совпадал с паролем, принятым на мобильном телефоне: на самом деле пользователь может быть оснащен устройством скремблирования (например, таблицей транскодирования), посредством которого для любого принятого пароля может быть получен скремблированный пароль.

Пароль принимается на аутентификационном сервере 200 (этап 459), и он сравнивается агентом 255 сравнения паролей с местным паролем (этап 461). Если эти два пароля не совпадают (выходная ветвь “НЕТ” этапа 463 ветвления), аутентификационный сервер 200 информирует сервер 110 защищенного сайта о том, что аутентификация второго уровня завершилась неудачно (этап 465); если сервер 110 принимает такое сообщение (этап 467, выходная ветвь “ДА”), он отказывает компьютеру 140 пользователя в доступе к услугам (этап 469). Если, напротив, эта два ответа совпадают (выходная ветвь “ДА” этапа 463 ветвления), аутентификация пользователя ПОЛЬЗОВАТЕЛЬа считается успешной и аутентификационный сервер 200 информирует сервер 110 защищенного сайта о том, что пользователь ПОЛЬЗОВАТЕЛЬа, уникально идентифицируемый конкретным IP-адресом, был успешно аутентифицирован (этап 471). Для предотвращения какого-либо мошенничества это подтверждение аутентификации аутентификационного сервера 200 для защищенного сайта 110 может быть сообщено через защищенное соединение 170 (представленное штрих-пунктиром) или зашифровано; например, виртуальная частная сеть (VPN) может быть установлена между сервером защищенного сайта, запрашивающим аутентификацию, и аутентификационным сервером.

Когда сервер 110 защищенного сайта принимает такое подтверждение, он предоставляет доступ к услугам (этап 473), позволяя, например, клиенту 335 электронной почты осуществить доступ к персональному почтовому ящику пользователя ПОЛЬЗОВАТЕЛЬа. С этого момента аутентифицированный пользователь ПОЛЬЗОВАТЕЛЬа может использовать услуги, предлагаемые сервером 110.

Следует отметить, что вместо использования IP-адреса удаленного компьютера 140 в качестве пути идентификации компьютера на защищенном сайте и аутентификационном сервере (решение, которое может в некоторых случаях привести к некоторым проблемам, как, например, в случае, когда компьютер 140 соединяется с Интернет, проходя через прокси-сервер, или, в общем, всякий раз, когда соединение осуществляется через некоторое устройство, фильтрующее IP-адреса), могут быть задействованы другие решения, основывающиеся, например, на обмене идентификационными данными более высокого уровня по отношению к уровню IP, например, прикладного уровня.

Следует понимать, что описанная выше процедура аутентификации основывается на двухэтапном процессе аутентификации: первой, основывающейся на SIM, процедуре аутентификации для аутентификации удаленного компьютера 140 и второй процедуре аутентификации, также основывающейся на аутентификации SIM (аутентификации мобильного телефона пользователя для соединения с сетью GSM), посредством которой гарантируется подлинность пользователя (для получения доступа пользователь-мошенник вынужден будет не только завладеть первым SIM SIMa, но также и вторым SIM SIMb, вероятность чего считается весьма низкой). Также пароль (предпочтительно однократно используемый), необходимый для завершения аутентификации, сообщается пользователю по аутентифицированной и защищенной линии связи, такой как сеть GSM; для еще более высокого уровня защищенности может быть обеспечено шифрование пароля. Помимо этого, код в виде персонального идентификационного номера (PIN) может быть запрошен для пользователя для получения доступа к первому SIM SIMa, ассоциированному с компьютером 140, для еще большего повышения защищенности.

Согласно вышесказанному, для центра аутентификации GSM, служащего в качестве основы при аутентификации первого SIM SIMa, нет необходимости быть тем же самым центром аутентификации, который аутентифицирует второй SIM SIMb, при условии, что между этими двумя модулями SIM гарантирована взаимосвязь.

Для повышения уровня защищенности транзакций данные, которыми осуществляется обмен между компьютером 140 и сервером 110 защищенного сайта, после того, как аутентификация завершена и доступ к желаемым услугам предоставлен, могут быть зашифрованы, например, используя тот же самый ключ шифрования, что был сгенерирован первым SIM SIMa.

Заявитель считает целесообразным отметить, что двухэтапный способ защищенной аутентификации согласно настоящему изобретению имеет весьма широкое применение, не ограничиваясь рассмотренным здесь иллюстративным сценарием. Например, данный способ можно использовать не только для аутентификации удаленного пользователя, осуществляющего доступ к частной локальной сети 105 через Интернет, но даже через прямое, коммутируемое соединение с частной локальной сетью.

Способ защищенной аутентификации согласно настоящему изобретению можно использовать даже в случае, если доступ к частной локальной сети не осуществляется через незащищенную открытую сеть, такую как Интернет, но когда компьютер пользователя находится в пределах сети 105 или подсоединен к ней непосредственно, так что обычный логический вход пользователя становится защищенным: в этом случае внешняя сеть может быть задействована просто с целью осуществления связи с аутентификационным компьютером-сервером 165. Эта ситуация схематически изображена на фиг.1, на которой ссылочное обозначение ПОЛЬЗОВАТЕЛЬb обозначает локального пользователя частной локальной сети 105, например служащего предприятия-владельца частной локальной сети, который желает осуществить логический вход в сеть через один из ее компьютеров, например компьютер-клиент 100а, с целью использования услуг, сделанных доступными системой обработки данных предприятия (причем среди этих услуг может быть включено обеспечение возможности соединения с Интернет 135). Также как и удаленный пользователь ПОЛЬЗОВАТЕЛЬа, ПОЛЬЗОВАТЕЛЬb также обеспечивается парой модулей SIM: первым SIM (встроенным, например, в USB-ключ, приспособленный для считывания компьютером 110а) для основывающейся на SIM аутентификации компьютера, открывающего сеанс, и вторым SIM, подлежащим использованию в обычном мобильном телефоне пользователя, для приема через сеть мобильной телефонной связи пароля от аутентификационного сервера-компьютера 165.

Также следует заметить, что хотя согласно рассмотренному здесь сценарию аутентификационный компьютер-сервер находился за пределами среды обработки данных, запрашивающей аутентификацию, и, в частности, был частью оператора сети GSM, это не следует рассматривать как ограничение настоящего изобретения; так, аутентификационный компьютер-сервер или система компьютеров может быть частью системы обработки данных, например, предприятия, реализующего способ защищенной аутентификации согласно настоящему изобретению.

Способ аутентификации согласно настоящему изобретению особенно приспособлен для обеспечения высокой степени защищенности при транзакциях, осуществляемых служащими предприятия или правительственного агентства. Таким образом, способ аутентификации согласно настоящему изобретению обеспечивает подходящий путь управления безопасностью предприятия или агентства в связи с его персоналом.

Однако данное применение способа аутентификации не является ограничивающим; например, данный способ может быть использован для аутентификации посетителей Интернет-сайтов электронной торговли.

Следует также отметить, что хотя в описанном выше иллюстративном варианте осуществления (одноразовый) пароль принимается пользователем на персональном мобильном телефоне и пользователь должен вводить этот пароль лично в компьютер 140, это не следует рассматривать как ограничение настоящего изобретения; ничто на самом деле не мешает обеспечить автоматический ввод принятого через сеть GSM пароля в компьютер, например, посредством рабочего подключения мобильного телефона 150 пользователя к компьютеру 140 пользователя, например, посредством соединения Bluetooth или аналогичного соединения.

В заключение настоящее изобретение было раскрыто и описано здесь посредством нескольких вариантов осуществления, и были изложены некоторые альтернативы, однако специалистам в данной области техники должно быть очевидно, что некоторые изменения в отношении описанных вариантов осуществления, а также другие варианты осуществления настоящего изобретения возможны, не выходя за рамки его объема, определяемого приложенной формулой изобретения.

1. Способ аутентификации терминала (140, 115а) обработки данных пользователя (ПОЛЬЗОВАТЕЛЬа, ПОЛЬЗОВАТЕЛЬb) для предоставления этому терминалу обработки данных доступа к выбранным услугам, предоставляемым системой (100, 105) обработки данных, причем пользователь обеспечивается аутентифицируемым мобильным коммуникационным терминалом (150), выполненным с возможностью использования в сети мобильной связи (155), при этом способ содержит этапы, на которых
выполняют первую, основывающуюся на модуле идентификации абонента (SIM), аутентификацию терминала обработки данных пользователя в системе обработки данных на аутентификационном сервере обработки данных, причем при данном выполнении первой, основывающейся на SIM аутентификации функционально ассоциируют с терминалом обработки данных пользователя первый модуль идентификации абонента (SIMa), выданный пользователю терминала обработки данных,
аутентифицируют мобильный коммуникационный терминал в сети мобильной связи, используя второй модуль идентификации абонента (SIMb), выданный пользователю, при этом первый модуль идентификации абонента ассоциирован с информацией идентификации второго модуля идентификации абонента,
используя упомянутую ассоциацию между первым модулем идентификации абонента и вторым модулем идентификации абонента на основе упомянутой информации идентификации второго модуля идентификации абонента, предоставляют персональную информацию идентификации пользователю на мобильном терминале через сеть мобильной связи, и
выполняют вторую аутентификацию, которая основывается на персональной информации идентификации, предоставляемой пользователю на мобильном коммуникационном терминале через сеть мобильной связи, при этом терминал обработки данных положительно аутентифицируют на предмет предоставления ему доступа к выбранным услугам при условии, что как первая, основывающаяся на SIM, аутентификация, так и вторая аутентификация успешны.

2. Способ по п.1, в котором вторая аутентификация содержит этапы, на которых
генерируют первый пароль на аутентификационном сервере обработки данных,
посылают первый пароль на мобильный коммуникационный терминал через сеть мобильной связи,
проверяют соответствие между первым паролем и зависящим от первого пароля вторым паролем, введенным пользователем на терминале обработки данных и предоставленным аутентификационному серверу обработки данных через систему обработки данных.

3. Способ по п.2, в котором второй пароль вводится пользователем посредством терминала обработки данных.

4. Способ по п.2, в котором второй пароль вводится автоматически при приеме первого пароля на мобильном коммуникационном терминале пользователя.

5. Способ по пп.2, 3 или 4, в котором первый пароль можно использовать ограниченное количество раз, в частности, только один раз.

6. Способ по п.1, в котором второй модуль идентификации абонента имеет фиксированное однозначное соответствие с первым модулем идентификации абонента.

7. Способ по п.1, в котором первый модуль идентификации абонента ассоциирован с идентификатором второго модуля идентификации абонента, в частности, номером мобильного коммуникационного терминала.

8. Способ по любому одному из пп.1-4, в котором упомянутую информацию идентификации посылают на мобильный коммуникационный терминал пользователя посредством сообщения службы коротких сообщений (SMS).

9. Способ по любому одному из пп.1-4, в котором первый модуль идентификации абонента относится к типу, принятому в сетях мобильной связи для аутентификации мобильных коммуникационных терминалов.

10. Способ по п.9, в котором выполнение первой, основывающейся на SIM аутентификации терминала обработки данных содержит этап, на котором, после того, как первый модуль идентификации абонента аутентифицирован аутентификационным сервером (200) системы обработки данных, этот аутентификационный сервер (200), по существу, выступает в роли центра (215) аутентификации оператора (160) сети мобильной связи.

11. Способ аутентификации терминала (140) обработки данных в системе обработки данных для предоставления ему доступа к выбранным услугам, предоставляемым системой (100, 105) обработки данных, при этом способ содержит этапы, на которых
взаимодействуют (417, 419, 429, 431, 433) с первым модулем идентификации абонента (SIMa), функционально ассоциированным с терминалом обработки данных, и с аутентификационным сервером обработки данных в системе обработки данных для выполнения основывающейся на SIM аутентификации терминала обработки данных пользователя,
получают (455) персональную информацию идентификации, предоставляемую пользователю на мобильном коммуникационном терминале пользователя, аутентифицированном через сеть (155) мобильной связи, используя второй модуль идентификации абонента (SIMb), выданный пользователю, при этом первый модуль идентификации абонента ассоциирован с информацией идентификации второго модуля идентификации абонента, причем упомянутая персональная информация идентификации предоставляется пользователю с использованием упомянутой ассоциации между первым модулем идентификации абонента и вторым модулем идентификации абонента на основе упомянутой информации идентификации, и
посылают (457) эту персональную информацию идентификации на аутентификационный сервер обработки данных для завершения аутентификации терминала обработки данных и предоставления ему доступа к выбранным услугам.

12. Способ по п.11, в котором первый модуль идентификации абонента относится к типу, принятому в сетях мобильной связи для аутентификации мобильных коммуникационных терминалов.

13. Способ по п.12, дополнительно содержащий этапы, на которых
извлекают (417) идентификационные данные SIM из первого модуля идентификации абонента (SIMa),
передают извлеченные идентификационные данные SIM на аутентификационный сервер, при этом аутентификационный сервер, по существу, выступает в роли центра (215) аутентификации оператора (160) сети мобильной связи,
принимают от аутентификационного сервера данные аутентификации SIM, соответствующие идентификационным данным SIM, и подают данные аутентификации SIM на первый модуль идентификации абонента,
передают на аутентификационный сервер ответ, сгенерированный первым модулем идентификации абонента.

14. Способ аутентификации терминала (140) обработки данных пользователя в системе (100) обработки данных посредством аутентификационного сервера (165) обработки данных для предоставления этому терминалу обработки данных доступа к выбранным услугам, предоставляемым системой (100, 105) обработки данных, при этом способ содержит этапы, на которых
принимают (413) запрос аутентификации терминала обработки данных, при этом с терминалом обработки данных функционально ассоциирован первый модуль идентификации абонента (SIMa),
выполняют основывающуюся на SIM аутентификацию терминала обработки данных на основе данных, ассоциированных с первым модулем идентификации абонента,
предоставляют (447, 449, 451) пользователю первую персональную информацию идентификации посредством использования мобильного коммуникационного терминала (150) пользователя, аутентифицированного в сети (155) мобильной связи, используя второй модуль идентификации абонента (SIMb), выданный пользователю, при этом первый модуль идентификации абонента ассоциирован с информацией идентификации второго модуля идентификации абонента, причем упомянутая персональная информация идентификации предоставляется пользователю с использованием упомянутой ассоциации между первым модулем идентификации абонента и вторым модулем идентификации абонента на основе упомянутой информации идентификации второго модуля идентификации абонента,
обуславливают (459, 461, 463) результат аутентификации терминала обработки данных пользователя для предоставления ему доступа к выбранным услугам упомянутой основывающейся на SIM аутентификацией и предписанным соответствием между первой персональной информацией идентификации, предоставленной пользователю, и второй персональной информацией идентификации, принятой от терминала обработки данных пользователя в ответ на предоставление первой персональной информации идентификации.

15. Способ по п.14, в котором первый модуль идентификации абонента относится к типу, принятому в сетях мобильной связи для аутентификации мобильных коммуникационных терминалов, при этом аутентификационный сервер обработки данных, по существу, выступает в роли (415, 421, 427, 435, 437, 439) центра (215) аутентификации оператора (160) сети мобильной связи.

16. Способ по п.15, дополнительно содержащий этапы, на которых
генерируют на аутентификационном сервере обработки данных первый пароль и посылают первый пароль через сеть мобильной связи на мобильный коммуникационный терминал пользователя,
обуславливают результат аутентификации терминала обработки данных в системе обработки данных предписанным соответствием между первым паролем и зависящим от первого пароля вторым паролем, введенным на терминале обработки данных и предоставленным аутентификационному серверу обработки данных через систему обработки данных.

17. Машиночитаемый носитель в терминале обработки данных, содержащий компьютерную программу, которая при ее исполнении предписывает терминалу обработки выполнять аутентификацию терминала обработки данных в системе обработки данных для предоставления ему доступа к выбранным услугам, предоставляемым системой обработки данных, посредством
взаимодействия с первым модулем идентификации абонента (SIMa), функционально ассоциированным с терминалом обработки данных, и с аутентификационным сервером обработки данных в системе обработки данных для выполнения основывающейся на SIM аутентификации терминала обработки данных пользователя,
получения персональной информации идентификации, предоставляемой пользователю на мобильном коммуникационном терминале пользователя, аутентифицированном через сеть (155) мобильной связи, используя второй модуль идентификации абонента (SIMb), выданный пользователю, при этом первый модуль идентификации абонента ассоциирован с информацией идентификации второго модуля идентификации абонента, причем упомянутая персональная информация идентификации предоставляется пользователю с использованием упомянутой ассоциации между первым модулем идентификации абонента и вторым модулем идентификации абонента на основе упомянутой информации идентификации, и
посылки этой персональной информации идентификации на аутентификационный сервер обработки данных для завершения аутентификации терминала обработки данных и предоставления ему доступа к выбранным услугам.

18. Машиночитаемый носитель в аутентификационном сервере обработки данных, содержащий компьютерную программу, которая при ее исполнении предписывает аутентификационному серверу обработки данных выполнять аутентификацию терминала обработки данных пользователя в системе обработки данных для предоставления этому терминалу обработки данных доступа к выбранным услугам, предоставляемым системой обработки данных, посредством
приема запроса аутентификации терминала обработки данных, при этом с терминалом обработки данных функционально ассоциирован первый модуль идентификации абонента (SIMa),
выполнения основывающейся на SIM аутентификации терминала обработки данных на основе данных, ассоциированных с первым модулем идентификации абонента,
предоставления пользователю первой персональной информации идентификации посредством использования мобильного коммуникационного терминала пользователя, аутентифицированного в сети мобильной связи, используя второй модуль идентификации абонента (SIMb), выданный пользователю, при этом первый модуль идентификации абонента ассоциирован с информацией идентификации второго модуля идентификации абонента, причем упомянутая персональная информация идентификации предоставляется пользователю с использованием упомянутой ассоциации между первым модулем идентификации абонента и вторым модулем идентификации абонента на основе упомянутой информации идентификации второго модуля идентификации абонента,
обуславливания результата аутентификации терминала обработки данных пользователя для предоставления ему доступа к выбранным услугам упомянутой основывающейся на SIM аутентификацией и предписанным соответствием между первой персональной информацией идентификации, предоставленной пользователю, и второй персональной информацией идентификации, принятой от терминала обработки данных пользователя в ответ на предоставление первой персональной информации идентификации.

19. Система, предназначенная для аутентификации терминала (140, 115а) обработки данных пользователя (ПОЛЬЗОВАТЕЛЬа, ПОЛЬЗОВАТЕЛЬb) в системе обработки данных с целью предоставления этому терминалу обработки данных доступа к выбранным услугам, предоставляемым системой (105) обработки данных, при этом пользователь имеет аутентифицируемый мобильный коммуникационный терминал (150), приспособленный для использования в сети (155) мобильной связи, при этом система содержит:
первый модуль идентификации абонента (SIMa), выполненный с возможностью функционального ассоциирования (145) с терминалом обработки данных,
аутентификационный сервер (165) обработки данных, выполненный с возможностью осуществлять первый этап аутентификации на основе первого модуля идентификации абонента,
при этом аутентификационный сервер обработки данных дополнительно выполнен с возможностью (230-245):
осуществлять второй этап аутентификации на основе персональной информации идентификации, предоставляемой пользователю на мобильном коммуникационном терминале через сеть мобильной связи, используя второй модуль идентификации абонента (SIMb), ассоциированный с информацией идентификации второго модуля идентификации абонента, причем упомянутая персональная информация идентификации предоставляется пользователю с использованием упомянутой ассоциации между первым модулем идентификации абонента и вторым модулем идентификации абонента на основе упомянутой информации идентификации, и
предоставлять терминалу обработки данных доступ к выбранным услугам при условии, что первый этап аутентификации и второй этап аутентификации успешны.

20. Система по п.19, в которой первый модуль идентификации абонента относится к типу, принятому в сетях мобильной связи для аутентификации мобильных коммуникационных терминалов.

21. Система по п.20, в которой второй модуль идентификации абонента (SIMb) подлежит использованию в мобильном коммуникационном терминале для аутентификации мобильного коммуникационного терминала в сети (155) мобильной связи.

22. Система по п.21, в которой второй модуль идентификации абонента находится в фиксированном однозначном соответствии с первым модулем идентификации абонента.

23. Система по п.21, в которой второй модуль идентификации абонента ассоциирован с идентификатором второго модуля идентификации абонента, в частности, номером мобильного коммуникационного терминала.

24. Система по любому одному из пп.19-23, в которой первый модуль идентификации абонента ассоциирован с устройством (145), выполненным с возможностью подключения к компьютеру через порт подключения периферийных устройств компьютера.

25. Система по любому одному из пп.19-23, в которой сеть мобильной связи является одной из сети GSM (глобальной системы мобильной связи), сети GPRS (общей службы пакетной радиопередачи) и сети UMTS (универсальной системы мобильных телекоммуникаций).

26. Система по п.24, в которой сеть мобильной связи является одной из сети GSM (глобальной системы мобильной связи), сети GPRS (общей службы пакетной радиопередачи) и сети UMTS (универсальной системы мобильных телекоммуникаций).