Обработка закодированной информации
Изобретение относится к области обработки закодированной информации. Технический результат – эффективная защита персональных данных пользователя. Способ содержит этапы, на которых посредством портативного устройства получают элемент графической закодированной информации, который отображают на дисплее вычислительного устройства, декодируют закодированную информацию из элемента закодированной информации и передают первое сообщения на первый сервер, причем первое сообщение включает в себя декодированную информацию и первый идентификатор, идентифицирующий устройство или пользователя устройства, при этом декодированная информация включает в себя элемент идентификационной информации устройства, позволяющий идентифицировать вычислительное устройство, и посредством первого сервера принимают первое сообщение от устройства, устанавливают подлинность пользователя устройства, причем при установке подлинности пользователя используют первый идентификатор для определения, зарегистрирован ли пользователь первым сервером, в ответ на установление подлинности пользователя, авторизируют пользователя для доступа к службе и предоставляют службу пользователю через вычислительное устройство с использованием элемента идентификационной информации устройства или посылают второе сообщение второму серверу, причем второе сообщение включает в себя элемент идентификационной информации устройства и указывает, что пользователь авторизирован для доступа к службе, предоставляемой вторым сервером, при этом второй сервер отвечает на прием второго сообщения предоставлением службы пользователю через вычислительное устройство с использованием элемента идентификационной информации устройства. 10 н. и 32 з.п. ф-лы, 3 ил.
Область техники
Данное изобретение относится к обработке закодированной информации.
Уровень техники
Клонирование подлинности является все более и более распространенным явлением. Мошенники используют большое количество вариантов для нелегального извлечения персональной информации, такой как имена пользователя, пароли, дата рождения, адреса с целью клонирования идентичности. В одном таком механизме мошенник обеспечивает имитацию (клонирование) веб-сайта, который для доверчивого пользователя выглядит как оригинальный. Поверив в то, что веб-сайт является оригинальным, пользователь предоставляет персональную информацию, такую как регистрационное имя или подробности о кредитной карте, которую записывает мошенник. Более сложным подходом является атака типа "человек в промежутке", в которой мошенник обеспечивает клон веб-сайта и записывает персональную информацию, но и также пропускает персональную информацию реальному веб-сайту, который регистрирует пользователя как обычно. В этом случае, пользователь не замечает какой-либо разницы и мошенник может получить персональную информацию без привлечения внимания пользователя. Данное изобретение было сделано для предотвращения этих и других подобных типов активности мошенника.
Раскрытие изобретения
Согласно первому аспекту, данное описание описывает способ, содержащий этапы, на которых получают посредством устройства элемент закодированной информации, декодируют закодированную информацию из элемента закодированной информации, и передают первое сообщение на первое серверное устройство, при этом первое сообщение включает в себя декодированную информацию и первый идентификатор, идентифицирующий устройство или пользователя устройства, причем принимают посредством первого серверного устройства первое сообщение от устройства, используют первый идентификатор для установления подлинности пользователя устройства, и в ответ на установление подлинности пользователя выполняют действие на основе декодированной информации.
Закодированная информация может содержать третий идентификатор, причем третий идентификатор идентифицирует первый сервер, и первое сообщение может быть передано на первый сервер на основе третьего идентификатора.
Согласно второму аспекту, данное описание описывает способ, содержащий этапы, на которых получают посредством устройства элемент закодированной информации и передают первое сообщение на первый сервер, первое сообщение включает в себя элемент закодированной информации и первый идентификатор, идентифицирующий устройство или пользователя устройства, и посредством первого сервера принимают первое сообщение от устройства, декодируют закодированную информацию из элемента закодированной информации и используют первый идентификатор для установления подлинности пользователя устройства, и в ответ на установление подлинности пользователя выполняют действия на основе декодированной информации.
В первом или втором аспекте декодированная информация может содержать элемент информации проверки, а способ может дополнительно содержать этап, на котором сравнивают посредством первого сервера элемент информации проверки с эталонным элементом проверки, и при идентичности элемента информации проверки и эталонным элементом проверки выполняют действие на основе декодированной информации, а при отсутствии идентичности элемента информации проверки и эталонного элемента проверки прекращают выполнения способа до выполнения действия на основе декодированной информации.
Декодированная информация может включать в себя элемент идентификационной информации устройства, позволяющий идентифицировать вычислительное устройство, на, или вблизи которого обеспечен объект закодированной информации.
Выполнение действия может содержать этап, на котором посылают сигнал вычислительному устройству на основе элемента идентификационной информации устройства. Выполнение действия также может содержать этап, на котором разрешают пользователю доступ к службе, при этом сигнал содержит указание на разрешение пользователю доступа к службе.
Закодированная информация может содержать второй идентификатор, при этом второй идентификатор идентифицирует второе серверное устройство, и выполнение действия на основе декодированной информации может содержать этап, на котором посылают второе сообщение второму серверному устройству, причем второе сообщение включает в себя информацию авторизации, относящуюся к идентифицированному пользователю. Декодированная информация. может включать в себя элемент идентификационной информации устройства для обеспечения идентификации вычислительного устройства, на котором или вблизи которого обеспечен объект закодированной информации, причем второе сообщение может включать в себя элемент идентификационной информации устройства, а способ может дополнительно содержать этап, на котором отвечают посредством второго серверного устройства на прием второго сообщения тем, что посылают сигнал вычислительному устройству на основе элемента идентификационной информации устройства. Второе серверное устройство может ответить на прием второго сообщения разрешением пользователю доступа к службе, а сигнал может содержать указание на то, что данному пользователю разрешен доступ к службе.
Согласно третьему аспекту, в данном описании описана система, содержащая устройство, выполненное с возможностью получения элемента закодированной информации, для декодирования закодированной информации из элемента закодированной информации и передачи первого сообщения первому серверному устройству, причем первое сообщение включает в себя декодированную информацию и первый идентификатор, идентифицирующий устройство или пользователя устройства, а первое серверное устройство выполнено с возможностью приема первого сообщения от устройства, использования первого идентификатора для установления подлинности пользователя устройства и в ответ на установление подлинности пользователя выполнения действия на основе декодированной информации.
Согласно четвертому аспекту, в данном описании описана система, содержащая устройство, выполненное с возможностью получения элемента закодированной информации и передачу первого сообщения первому серверному устройству, причем первое сообщение включает в себя закодированную информацию и первый идентификатор, идентифицирующий устройство или пользователя устройства, а первое серверное устройство выполнено с возможностью приема первого сообщения от устройства, декодирования элемента закодированной информации, использования первого идентификатора для установления подлинности пользователя устройства и в ответ на установление подлинности пользователя выполнения действия на основе декодированной информации.
Устройство и первое серверное устройство, описанные выше, могут быть выполнены с использованием одного или более процессоров, работающих под управлением машиночитаемого кода, дополнительно хранящегося в одной или более памяти. Одна или более память может содержать один более энергонезависимых носителей информации.
В данном описании также описан способ, содержащий этапы, на которых получают посредством портативного устройства элемент графической закодированной информации, отображаемой на дисплее вычислительного устройства, декодируют закодированную информацию из элемента закодированной информации; и передают первое сообщение первому серверному устройству, причем первое сообщение включает в себя декодированную информацию и первый идентификатор, идентифицирующий устройство или пользователя устройства, причем декодированная информация включает в себя элемент идентификационной информации устройства, позволяющего идентифицировать вычислительное устройство, а посредством первого серверного устройства принимают первое сообщение, устанавливают подлинность пользователя устройства, причем при установлении подлинности пользователя используют первый идентификатор для определения, зарегистрирован ли пользователь в первом серверном устройстве, в ответ на установление подлинности пользователя авторизуют пользователя для доступа к службе и предоставляют службу пользователю через вычислительное устройство с использованием элемента идентификационной информации устройства, или отправляют второе сообщения второму серверному устройству, причем второе сообщение включает в себя элемент идентификационной информации устройства, указывающий, что пользователь авторизирован для доступа к службе, предоставляемой вторым серверным устройством, и отвечают посредством второго серверного устройства на прием второго сообщения предоставлением службы пользователю через вычислительное устройство, используя элемент идентификационной информации устройства.
В данном описании также описан способ, содержащий этапы, на которых посредством портативного устройства получают элемент графической закодированной информации, отображаемой на дисплее вычислительного устройства, и передают первое сообщение первому серверному устройству, причем первое сообщение включает в себя элемент закодированной информации и первый идентификатор, идентифицирующий устройство или пользователя устройства, и посредством первого серверного устройства принимают первое сообщение от устройства, декодируют закодированную информацию из элемента закодированной информации, при этом закодированная информация включает в себя элемент идентификационной информации устройства, позволяющий идентифицировать вычислительное устройство, устанавливает подлинность пользователя устройства, при этом при установке подлинности пользователя используют первый идентификатор для определения, зарегистрирован ли пользователь первым серверным устройством, в ответ на проверку установки подлинности пользователя, авторизируют пользователя для доступа к службе и предоставляют службу пользователю через вычислительное устройство с использованием элемента идентификационной информации устройства или посылают второе сообщение второму серверному устройству, причем второе сообщение включает в себя элемент идентификационной информации устройства и указывает, что пользователь авторизирован для доступа к службе, предоставляемой вторым серверным устройством, и отвечают посредством второго серверного устройства на прием второго сообщения предоставлением службы пользователю через вычислительное устройство с использованием элемента идентификационной информации устройства.
Данное описание также описывает систему для выполнения вышеописанных способов.
Данное описание также описывает машиночитаемый код, дополнительно сохраненный на энергонезависимом носителе информации, который, при его выполнении, вызывает выполнение компьютером любого из вышеописанных способов.
Краткое описание чертежей
Для более полного понимания примеров вариантов осуществления настоящего изобретения, ссылки будут сделаны в последующем описании в связке с сопроводительными чертежами, где:
фиг.1 является блок-схемой системы, в соответствии с которой могут быть реализованы варианты осуществления данного изобретения;
фиг.2 является схематичной иллюстрацией способа согласно вариантам осуществления настоящего изобретения; и
фиг.3 является схематичной иллюстрацией способа и системы согласно вариантам осуществления настоящего изобретения.
Осуществление изобретения
В чертежах и нижеследующем описании одинаковые номера ссылочных позиций относятся к одинаковым элементам.
Фиг.1 является блок-схемой системы, в соответствии с которой могут быть реализованы варианты осуществления данного изобретения.
Система 1 содержит вычислительное устройство 10, мобильное устройство 12, первый сервер 14 и второй сервер 16. Первый и второй сервер 14, 16 могут быть расположены в "облаке".
Мобильное устройство 12 осуществляет беспроводную связь с первым сервером 14. Беспроводную связь с первым сервером выполняют через приемопередатчик 124. Связь с первым сервером может выполнена через телефонную сеть или сеть передачи данных. Мобильное устройство 12 содержит контроллер 120 и одну или более память 122. Контроллер 120 содержит, по меньшей мере, один процессор 120А. Контроллер 120 также может содержать, по меньшей мере, одну специализированную интегральную схему (не показана). По меньшей мере, одна память 122 может содержать любой подходящий тип постоянного или съемного носителя информации, такого как, но этим не ограничено, ПЗУ, ОЗУ или ЭППЗУ. По меньшей мере, одна из памяти 122 хранит компьютерные команды 122А. Контроллер 120 осуществляет считывание компьютерных команд 122А и работает под управлением компьютерных команд 122А. Контроллер 120 осуществляет управление другими компонентами мобильного устройства 12.
Мобильное устройство 12 содержит средство 124 получения для получения элементов закодированной информации, которые являются внешними по отношению к мобильному устройство 12. Средство 124 получения может содержать камеру или сканнер для получения графической информации или другой тип средства, подходящий для получения элементов закодированной информации.
Мобильное устройство 12 также содержит интерфейс 126 пользователя для приема ввода от пользователя. Мобильное устройство 12 также может содержать дисплей 128. В данном примере интерфейс 126 пользователя и дисплей 128 выполнены как сенсорный экран. Однако должно быть оценено по достоинству, что интерфейс 126 пользователя может быть любого типа. Например, он может содержать одну или более аппаратных клавиш, шаровой манипулятор, сенсорную панель, колесо прокрутки и т.д.
Первый сервер 14 осуществляет связь с мобильным устройством 12. Первый сервер 14 также осуществляет связь со вторым сервером 16. Первый сервер 14 содержит контроллер 140 и одну или более память 142. Контролер 140 содержит, по меньшей мере, один процессор 140А. Контроллер 140 также может содержать, по меньшей мере, одну специализированную интегральную схему (не показана). По меньшей мере, одна память 142 может содержать любой подходящий тип постоянного или съемного носителя информации, такого как, но этим не ограничено, ПЗУ, ОЗУ или ЭППЗУ. По меньшей мере, одна из памяти 142 хранит компьютерные команды 142А. Контроллер 140 считывает компьютерные команды 142А и работает под их управлением.
Первый сервер 14 также содержит один или более приемопередатчиков 146 для связи с мобильным устройством 12 и вторым сервером 16. Связь между первым сервером 14 и вторым сервером 16 может быть выполнена любым подходящим способом.
Первый сервер 14 может быть расположен в одном местоположении и может содержать одно или более отдельных устройств или компьютеров. В качестве альтернативы, первый сервер 14 может быть распределен во множестве местоположений.
Второй сервер 16 осуществляет связь с вычислительным устройством 10 и первым сервером 14 любым подходящим способом. Второй сервер 16 содержит один или более приемопередатчиков 164 для связи с вычислительным устройством 10 и первым сервером 14. Второй сервер 16 содержит контроллер 160 и одну или более память 162. Контролер 160 содержит, по меньшей мере, один процессор 160А. Контроллер 160 также может содержать, по меньшей мере, одну специализированную интегральную схему (не показана). По меньшей мере, одна память 162 может содержать любой подходящий тип постоянного или съемного носителя информации, такого как, но этим не ограничено, ПЗУ, ОЗУ или ЭППЗУ. По меньшей мере, одна из памяти 162 хранит компьютерные команды 162А. Контроллер 160 считывает компьютерные команды 162А и работает под их управлением. Контроллер 160 также работает под управлением компьютерных команд 162А для управления другими компонентами второго сервера 16.
Второй сервер 16 может быть расположен в одном местоположении и может содержать одно или более отдельных устройств или компьютеров. В качестве альтернативы, второй сервер 16 может быть распределен во множестве местоположений.
Вычислительное устройство 10 осуществляет прием сигналов от второго сервера 16 через приемопередатчик 106 для интерпретации информации, содержащейся в них, и отображения ее на дисплее 104 для использования пользователем. Вычислительное устройство 10 может также содержать интерфейс 108 пользователя, такой как, но этим он не ограничен, мышь, сенсорную панель, клавиатуру, через который может быть принят ввод от пользователя. Вычислительное устройство 10 содержит контроллер 100 и одну или более память 102. Контролер 100 содержит, по меньшей мере, один процессор 100А. Контроллер 100 также может содержать, по меньшей мере, одну специализированную интегральную схему (не показана). По меньшей мере, одна память 102 может содержать любой подходящий тип постоянного или съемного носителя информации, такого как, но этим не ограничено, ПЗУ, ОЗУ или ЭППЗУ. По меньшей мере, одна из памяти 102 хранит компьютерные команды 102А. Контроллер 100 считывает компьютерные команды 102А и работает под их управлением. Контроллер 100 также работает под управлением компьютерных команд 102А для управления другими компонентами, такими как дисплей 104 и приемопередатчик 106.
Фиг.2 является схематичной иллюстрацией способа согласно первому варианту осуществления данного изобретения.
На этапе S2-1 второй сервер 16, который является примером веб-сервера, предоставляет вычислительному устройству 10 информацию. В данном примере информация является информацией веб-страницы. Получение информации веб-страницы может быть сделано в ответ от запроса компьютерного устройства 10 после приема компьютерным устройством 10 ввода от пользователя.
На этапе S2-2 вычислительное устройство 10 принимает и отображает информацию веб-страницы. В данном примере информация веб-страницы содержит страницу 110 "входа в систему". Станица 110 "входа в систему" позволяет пользователю предоставить подробные данные, в данном примере имя пользователя и пароль. Второй сервер 16 осуществляет проверку данной подробной информации и впоследствии позволяет получить пользователю доступ к службам и содержанию, предлагаемых на веб-странице.
Веб-страница содержит элемент 112 закодированной информации, содержащий закодированную информацию. В данном примере элементом 112 закодированной информации является графический объект (GO) (который изображен на фигурах как QR-код "быстрого ответа"). Должно быть оценено по достоинству, что вместо него могут быть использованы различные другие типы графической информации. Примерами таковых являются штриховые коды, фрактальные рисунки и движущиеся изображения.
GO 122 содержит элемент информации адреса GO. Элемент информации адреса GO содержит адрес вычислительного устройства 10 на котором, или посредством которого, отображают GO 112. Элемент информации адреса GO может содержать код, например числовой или алфавитно-цифровой, который идентифицирует маршрут или несколько маршрутов до устройства. Примерами таких кодов являются IP адрес, номер телефона, имя домена и Blackberry® PIN.
Согласно другим вариантам осуществления, элемент информации адреса GO может не содержать непосредственно информацию адреса, а вместо нее может содержать информацию, позволяющую определить адрес устройства, на котором отображают GO 112. Это может включать в себя примеры кода или числа, такой как, но этим не ограничены, аппаратный серийный номер, который может быть использован для определения из таблицы поиска маршрута к вычислительному устройству (например, IP адрес).
В данном примере, GO 112 также содержит элемент (SSID) идентификации второго сервера, позволяющий идентифицировать второй сервер 16. Элемент SSID информации может содержать адрес второго сервера 16. В качестве альтернативы, элемент SSID информации может содержать информацию, позволяющую определить приложению мобильного устройства 12 или первому серверу 14, например, из таблицы поиска.
GO 112 может также содержать элемент информации (FSID) идентификации первого сервера, позволяющий мобильному устройству 12 идентифицировать первый сервер 14, с которым связана GO 112. Элемент информации FSID может содержать адрес первого сервера 14 или, вместо этого, содержать элемент данных, например, код, позволяющий приложению (которое подробно описано ниже), сохраненный в мобильном устройстве 12 для извлечения адреса первого сервера 14 из памяти 122.
GO 112 может также содержать элемент информации проверки или элементы, позволяющие проверить графический объект для гарантии того, что он не был подделан.
Информация, требуемая для отображения GO 112, может быть сгенерирована вторым сервером 16. В качестве альтернативы, части информации, такие как элементы SSID и FSID информации, могут быть сгенерированы вторым сервером 16 или первым сервером 14, и другая информация, например, элемент информации адреса GO может быть сгенерирован вычислительным устройством 10. Элемент информации проверки или элементы могут быть сгенерированы вторым сервером 16 и в данном случае копии элемента проверки или элементов передают и сохраняют в памяти 142 первого сервера 14. В качестве альтернативы, элемент проверки или элементы могут быть сгенерированы первым сервером 14 и переданы вычислительному устройству 10 через второй сервер 16.
Согласно некоторым вариантам осуществления, GO 112 может быть отображен посредством компьютерного программного кода, встроенного в веб-страницу. В качестве альтернативы, GO 112 может быть отображен, например, во время процесса регистрации, посредством компьютерного программного кода, сохраненного в вычислительном устройстве 10. Компьютерный программный код, сохраненный в вычислительном устройстве 10 и который генерирует GO 112, может, при выполнении его контроллером 100, находится на прямой связи со вторым сервером 16. Компьютерный программный код может быть выполнен так, что GO 112 отображают только тогда, когда может быть установлена прямая связь со вторым сервером 16. Если невозможна прямая связь GO 112 не отображают, что не позволяет использовать доступ к службе. Компьютерная программа может определить, есть ли прямое соединение любым подходящим способом. Например, IP адрес второго сервера может быть закодирован в компьютерную программу и может быть использован для определения связи со вторым сервером 16. Если между вторым сервером 16 и вычислительным устройством 10 расположен промежуточный сервер, компьютерная программа распознает, что данный IP адрес сервера, с которым она связывается (например, промежуточного сервера) не является адресом, который она ожидала. Таким образом, компьютерная программа определяет, что она не связана со вторым сервером 16 и не отображает GO 112. В качестве альтернативы, компьютерная программа может отправить запрос второму серверу на метку, которая должна быть сохранена в памяти второго сервера 16. Промежуточный сервер не содержит такой метки в памяти и не может вернуть ее вычислительному устройству 10. Таким образом, вычислительное устройство 10 может определить, что оно не находится в прямой связи со вторым сервером 16. Аналогично, компьютерная программа может отравить запрос на доказательство работы процесса, который предположительно должен работать на втором сервере 16. Если процесс не запущен в компьютере, на который пришел запрос, компьютерная программа определяет, что не связи со вторым сервером 16. Должно быть оценено по достоинству, что любой подходящий способ, включающий в себя, например, объединение PKI, SSL или DNS, может быть использовано для данного определения.
На этапе S2-3 получают GO 112 мобильным устройством 12. Это может содержать в себе получение пользователем мобильного устройства 12 фотографии GO 112 камерой мобильного устройства 12. В качестве альтернативы, любой другой тип сканнера может быть использован для получения GO 112.
На этапе S2-4 приложение декодирует закодированную информацию из полученного GO 112. Приложение является специальной частью компьютерного кода 122А, сохраненного в памяти 122 устройства, который может декодировать GO 112 и выполнять последующие операции.
Приложение может быть сохранено в мобильном устройстве 12 предварительно, во время или после процесса регистрации между мобильным устройством 12 и первым сервером 14. В другом случае, пользователь мобильного устройства 12 должен зарегистрироваться на первом сервере 14, что позволяет пользователю использовать службы, предлагаемые первым севером 14.
Во время процесса регистрации первый сервер 14 может сохранить в памяти 142 элемент информации идентификации (UID) пользователя, относящийся к пользователю. Он может содержать, например, имя пользователя или номер пользователя. В качестве альтернативы, первый сервер 14 может хранить элемент идентификации (DID) устройства, относящийся к мобильному устройству 12. Данный элемент информации может содержать, например, номер телефона устройства, IP адрес устройства или код ID устройства, такой как серийный номер. Элемент информации DID или UID хранится в связке с информацией регистрации пользователя. Таким образом, элементы информации DID и UID пригодны для того, чтобы позволить идентифицировать пользователя первым сервером 14. Копия элемента информации или хранится в памяти 122 мобильного устройства 12.
На этапе S2-5, после декодирования полученного GO 112, приложение подготавливает и передает первое сообщение 214 (в данном примере, запрос на вход в систему) на первый сервер 14.
Первое сообщение 214 отправляют на первый сервер 14 с использованием адреса первого сервера 14. Приложение может быть выполнено с возможностью взаимодействия только с одним первым сервером 14 и, таким образом, кода получен GO 112, первое сообщение 214 отправляют на тот же первый сервер 14 с использованием адреса, хранящегося в памяти 122. В качестве альтернативы, в вариантах осуществления GO 112 включает в себя элемент информации FSID, это может быть использовано для отправки первого сообщения 214 (либо напрямую, когда элемент информации FSID содержит адрес элемента информации первого сервера, или не напрямую с использованием элемента FSID информации для получения адреса из памяти 122). В других альтернативных вариантах осуществления, первое сообщение 214 может быть отправлено на адрес, выбираемый пользователем из множества адресов, сохраненных в устройстве 12.
Первое сообщение 214 содержит первую часть информации, содержащую информацию DID или информацию UID. Первое сообщение 214 также содержит вторую часть информации, содержащую элемент информации адреса GO. Первое сообщение также может содержать элемент информации.
В вариантах осуществления, в которых элемент информации проверки представлен GO 112, приложение моет до подготовки и отправки первого сообщения 214 сверить элемент информации проверки с элементом опорной информации, принятого от первого сервера 14, для определения, является GO 112 ли подлинным. Если определено, что GO 112 не является подлинным, приложение предупреждает пользователя устройства 12. Если GO 112 является подлинным, приложение подготавливает и передает первое сообщение 214 на первый сервер 14. Опорная информация, с которой сравнивают объект проверки, может периодически обновляться после приема и обновления сообщения от первого сервера 14. Согласно альтернативным вариантам осуществления, приложение может не проверять элемент информации проверки, а вместо этого включать в себя в первое сообщение 214.
Перед подготовкой и отправкой первого сообщения, приложение может запросить ввод пользователем информации защиты через интерфейс 124 пользователя устройства 12, позволяя проверить подлинность пользователя. Информация защиты может содержать пин-код или пароль, замаскированный пин-код или пароль, единовременный код, который был отправлен пользователю, шаблон, полученный на устройстве, биометрическую информацию (такую как распознание лица или отпечатков пальцев) или любой другой подходящий механизм, с помощью которого можно проверить подлинность пользователя устройства.
Затем, на этапе S2-6, первый сервер 14 принимает первое сообщение 214 (запрос входа в систему) и использует информацию UID или DID для установки подлинности пользователя устройства 12. Установка подлинности пользователя содержит использование элемента информации UTD или DID для определения, зарегистрирован ли пользователь первым сервером 14. Таким образом, первый сервер 14 может проверить информацию UID или DID на сравнение с информацией, сохраненной в базе данных зарегистрированных пользователей для установки подлинности пользователя. Впоследствии, для установки подлинности пользователя первый сервер 14 переходит к этапу S2-7.
В вариантах осуществления, в которых первое сообщение 214 включает в себя информацию проверки, первый сервер 14 может перед этапом S2-6 либо этапом S2-7, проверить элемент информации проверки на сравнение с элементом опорной информации, сохраненным в памяти 142. Если не существует подлинности между элементом опорной и элементом информации проверки, первый сервер 14 переходит к подходящему этапу. Если подлинность отсутствует, первый сервер 14 отправляет сообщение мобильному устройству 12 для предупреждения пользователя, что GO 112 не является неподдельным и может впоследствии завершить способ.
На этапе S2-7 первый сервер 14 подготавливает и отправляет второе сообщение 216 на мобильное устройство 12. В данном примере, второе сообщение 216 содержит информацию права доступа, информирующее второй сервер 16 о подлинности пользователя и что пользователь имеет право доступа для доступа к службе, предоставляемую вторым сервером 16. Второе сообщение также содержит элемент информации адреса.
Второе сообщение 216 отправляют на основе элемента информации SSID либо напрямую, когда элемент информации SSID является адресом второго сервера 16, либо не напрямую, когда элемент информации SSID позволяет первому серверу 14 извлечь адрес второго сервера 16 из памяти 142.
На этапе S2-8 при приеме второго сообщения 216 второй сервер 16 выполняет действие. В данном примере, второй сервер 16 является веб-сервером и, таким образом, в ответ на получение информации права доступа, второй сервер 16 регистрирует пользователя в их счете и впоследствии использует элемент информации адреса GO для отправки сигнала, указывающий такое вычислительное устройство 10.
На этапе S2-9 вычислительное устройство отображает принятую информацию, которая указывает, что пользователь теперь зарегистрирован на веб-сайте.
Согласно некоторым вариантам осуществления, этап S2-6, в котором первый сервер 14 устанавливает подлинность пользователя, может включать в себя дополнительные этапы для проверки подлинности пользователя. В вариантах осуществления, в которых мобильное устройство 12 является мобильным телефоном, эти этапы могут включать в себя первый сервер 14, отвечающий на принятое первое сообщение 214, инициирующий голосовой вызов с мобильным устройством 12. Во время голосового вызова у пользователя запрашивают предоставление информации, с помощью которого проверяют его подлинность. Информация может содержать номер пин, отправляемый через, или произнесение пароля или любую другую информацию, позволяющую проверить и установить подлинность пользователя. Информацию от пользователя может быть сравнена с информацией, хранящейся в памяти 142 первого сервера 14, и связана с пользователем. Голосовое сообщение может управляться с использованием, человеческого агента или их комбинации. В вариантах осуществления, в которых мобильное устройство 12 не имеет телефонных возможностей, этапы могут управляться с использованием сообщений, таких как мгновенные сообщения, отправляемые с использованием протокола интернет.
Фиг.3 отображает альтернативную систем, в которой может реализовано изобретение и иллюстрирует способ согласно данному изобретению.
Пример на фиг.3 аналогичен таковым на фиг.1 и 2, но отличается тем, что не включает в себя второй сервер 16. Таким образом, система содержит вычислительное устройство 10, мобильное устройство 12 и первый сервер 14.
В системе 3 на фиг.3, первый сервер 14 является веб-сервером и работает для предоставления информации веб-страницы компьютерному устройству 10 для отображения потребления пользователя.
Далее будет описан способ согласно настоящему изобретению со ссылкой на фиг.3.
На этапе S3-1 первый сервер 14 обеспечивает вычислительное устройство 10 информацией веб-страницы. Обеспечение информацией веб-страницы может быть сделано в ответ на запрос, принятый от компьютерного устройства 10 после получением компьютерным устройством 10 ввода от пользователя.
На этапе S3-2 вычислительное устройство 10 принимает и отображает информацию веб-страницы. В данном примере, информация содержит страницу 110 "Входа в систему". Страница 110 "Входа в систему" описана со ссылкой на фиг.1 и 2 и содержит элемент 312 закодированной информации, который в данном примере является графическим объектом (GO), в частности кодом "быстрого отклика" (QR).
GO 312 содержит элемент информации адреса GO. Элемент информации адреса GO содержит адрес компьютерного устройства 10 на котором или посредством которого отображают GO 312. Элемент информации адреса GO может содержать код, например, числовой код или алфавитно-цифровой код, который идентифицирует маршрут или некоторое количество маршрутов до вычислительного устройства 10. Примерами таких кодов являются адрес IP, телефонный номер, имя домена и Blackberry® PIN.
Согласно другим вариантам осуществления, элемент информации адреса GO может не содержать непосредственно информацию об адресе, но может вместо ее содержать информацию, позволяющую определить адрес устройства, на котором или посредством которого отображают GO 312. Это может включать в себя, например, код или число, например, но этим ограничено, аппаратный серийный номер, которые могут быть использованы для определения маршрута до вычислительного устройства (например, адреса IP) из справочной таблицы.
GO 312 может также содержать элемент информации (FSED) идентификации первого сервера, позволяющий мобильному устройству идентифицировать первый сервер 14, с которым связан GO 312. Элемент информации FSID может содержать адрес первого сервера 14 или вместо этого может содержать элемент данных, который позволяет приложению, сохраненному на мобильном устройстве 12, извлечь адрес первого сервера 14 из памяти 122.
GO 312 может также содержать элемент информации проверки, позволяющий проверить графический объект для гарантирования того, что он не является подделкой.
Информация, требуемая для отображения GO 312, может быть полностью сгенерирована первым сервером 14. В качестве альтернативы, часть информации, такая как элементы информации SSID и FSID, может быть сгенерированы первым сервером 14, а другая информация, например, элемент информации GO, может быть сгенерирована вычислительным устройством 10. Элемент или элементы информации проверки генерируют первым сервером 14 и копия элемента или элементов информации проверки содержится в памяти 142 первого сервера 14.
Согласно некоторым вариантам осуществления, GO 312 может быть отображен компьютерным программным кодом, встроенным в веб-страницу. В качестве альтернативы, GO 312 может быть отображен компьютерным программным кодом, сохраненным в вычислительном устройстве 10, например, во время процесса регистрации. Компьютерный программный код, сохраненный в вычислительном устройстве 10 и который генерирует, может, при выполнении контроллером 20, иметь прямую связь с первым сервером 14. Компьютерный программный код может быть выполнен так, что GO 312 отображают только тогда, может быть установлена прямая связь с первым сервером 14. Это может быть определено любым подходящим способом, например, как это описано со ссылкой на фиг.2 в отношении второго сервера 16.
На этапе S3-3, GO 312 получают мобильным устройством 12. Это может быть привлечение пользователя устройства 12 получение фотографии GO 312 камерой устройства 12. В качестве альтернативы, любой другой тип сканера может быть использован для получения GO 312.
На этапе S3-4, приложение декодирует закодированную информацию из полученного GO 312. Приложение является специализированной частью компьютерного кода 112А, сохраненного в памяти 112, которая может декодировать GO 312 и выполнять последующие операции.
Приложение может быть сохранено в мобильном устройстве 12 до, во время или после процесса регистрации между мобильным устройство 112 и первым сервером 14. В любом случае, пользователь устройства 112 должен зарегистрироваться первым сервером 14, позволяя пользователю использовать службы, предлагаемые первым сервером 14. Регистрация первым сервером является такой, как это описано со ссылкой на фиг.2.
На этапе S3-5, после декодирования GO 312, приложение подготавливает и передает первое сообщение 314 на первый сервер 14.
Первое сообщение 314 отправляют на первый сервер 314, используя адрес первого сервера 14. Приложение может быть выполнено с возможностью взаимодействия только одним первым сервером 14 и, таким образом, когда GO 312 получено, первое сообщение 314 отправляют на тот же первый сервер 14 с использованием адреса? сохраненного в памяти 122. В качестве альтернативы, в вариантах осуществления, в которых GO 112 включает в себя элемент информации FSID, это может быть использовано для отправки первого сообщения 314 (либо напрямую, когда элемент информации FSID содержит адрес элемента информации первого сервера, или не напрямую с использованием элемента FSID информации для получения адреса из памяти 122). В других альтернативных вариантах осуществления, первое сообщение 314 может быть отправлено на адрес, выбираемый пользователем из множества адресов, сохраненных в устройстве 12.
Первое сообщение 314 содержит часть первой информации, содержащую элемент информации DID или элемент информации UID. Первое сообщение 314 также содержит часть второй информации, содержащую элемент информации адреса GO.
Первое сообщение может также содержать элемент информации проверки. В качестве альтернативы, приложение может, перед подготовкой и отправкой первого сообщения 314, проверить элемент информации проверки в отношении элемента опорной информации, принятого от первого сервера 14 для определения, является ли GO 312 подлинным. Если определено, что GO не является подлинным, приложение может предупредить пользователя устройства 12. Если определено, что GO является подлинным, приложение подготавливает и передает первое сообщение 314 на первый сервер 14.
Перед подготовкой и отправкой первого сообщения 314, приложение может запросить информацию защиты, обеспечиваемую пользователем через интерфейс 124 пользователя, таким образом, позволяя проверить подлинность пользователя. Информация защиты может содержать пин или пароль, замаскированный пин или пароль, единовременный код, который был отправлен пользователю, шаблон, полученный на устройстве, биометрическую информацию (такая как распознание лица или отпечатков пальцев) или любой другой подходящий механизм, с помощью которого можно проверить подлинность пользователя устройства.
Затем, на этапе S3-6, первый сервер 14 принимает первое сообщение 314 и использует элемент информации IUD или DID для установки подлинности пользователя устройства 12. Установка подлинности пользователя содержит используемый элемент информации IUD или DID для определения, является пользователь зарегистрированным первым сервером 14. Таким образом, первый сервер 14 может проверить информацию UID или DID в отношении информации, сохраненной в базе данных зарегистрированных пользователей, для установки подлинности пользователя. После установки подлинности пользователя, первый сервер 14 переходит к этапу S3-7.
В вариантах осуществления, в которых первое сообщение 314 включает в себя элемент информации проверки, первый сервер 14 может, перед либо этапом S3-6, либо этапом S3-7, проверить элемент информации проверки в отношении элемента опорной информации, сохраненной в памяти 142. Если существует идентичности между элементом опорной информации и элементом информации проверки, первый сервер 14 переходит к этапу S3-6 или S3-7 как подходящему. Если идентичности не существует, первый сервер 14 может отправить сообщение мобильному устройству 12 для предупреждения пользователя, что GO 312 не является истинным и может завершить способ.
На этапе S3-7, первый сервер 14, после установки подлинности пользователя, выполняет действие. В данном пример, если первый сервер 14 является веб-сервером, первый сервер 14 осуществляет вход в систему пользователя в его учетную запись. Первый сервер 14 использует элемент информации GO для отправки сигнала, указывающий это на вычислительное устройство. В данном примере, информация GO содержит адрес вычислительного устройства 10, и. таким образом, первый сервер 144 передает информацию, указывающую пользователя, вошедшего в свою учетную запись, на вычислительное устройство 10.
На этапе S3-9, вычислительное устройство 10 отображает принятую информацию, которая указывает, что пользователь вошел на веб-страницу.
Согласно некоторым вариантам осуществления, этап S3-6, на котором первый сервер 14 устанавливает подлинность пользователя, может включать дополнительные этапы для проверки подлинности пользователя. Эти этапы могут быть такими, которые описаны выше со ссылкой на этап S2-6 на фиг.2.
В вариантах осуществления на фиг.2 и 3, GO 112, GO 312 отображают в сочетании с полями, в которые могут быть введены имя пользователя и пароль. Однако должно быть оценено по достоинству, что GO 112, GO 312 могут быть альтернативно отображены вместо полей имени пользователя и пароля. Также, хотя в вариантах осуществления, описанных со ссылками на фиг.2 и фиг.3, GO 112, GO 312 используют вместо имени пользователя и пароля для входа пользователя на веб-страницу, должно быть понятно, что могут быть GO 112, GO 312 использованы в с сочетании с обычной процедурой входа в систему с использованием полей имени пользователя и пароля. Это добавляет дополнительный уровень безопасности и для веб-сервера, и для пользователя.
Должно быть понятно, что изобретение может быть реализовано системами, отличающимися о таковых, описанных выше. Такие варианты осуществления вкратце описаны ниже. Несмотря на то, что они описаны вкратце, должно быть понятно, что операции могут быть по существу такими же, как и те, что описаны выше и могут включать в себя некоторые или все такие же этапы и признаки.
Согласно одному альтернативному варианту осуществления, изобретение может быть реализовано в системе безопасности здания. В таком варианте осуществления, вычислительное устройство 10 может содержать электронный дверной замок. Элементы 112, 312 закодированной информации, такой как, описано выше, могут быть отображены на табло в географической близости к электронному дверному замку. В качестве альтернативы, GO 112, GO 312 могут быть предусмотрены на электронном дисплее в географической близости к электронному дверному замку. В таких вариантах осуществления, элемент закодированной может периодически обновляться после приема сигналов от первого сервера 14 (или второго сервера 16, если система является такой, какая показана на фиг.2). GO 112, GO 312 включают в себя информацию адреса GO, позволяющую идентифицировать электронный дверной замок. Элемент 112, 312 закодированной информации может также включать в себя элемент информации FSID, как это было описано выше. При подходе к двери, пользователь использует свое мобильное устройство 12 для получения и декодирования элемента 112, 312 закодированной информацию. Впоследствии, возможное последующее успешное предоставление информации защиты пользователем на мобильное устройство, первое сообщение 214, 314 (включающее в себя объект информации адреса GO и элементы информации DID или UID) отправляют на первый сервер 14. В данном примере, первое сообщение 214, 314 содержит запрос входа. В ответ на прием запроса входа 214, 314, первый сервер 14 устанавливает подлинность пользователя с использованием элементов информации DED или UTD. Далее, если система не содержит второй сервер 16, первый сервер 14 передает сигнал на электронный дверной замок (используя элемент информации GO), разрешая электронному дверному замку открыться, позволяя, таким образом, пользователю пройти через дверь. В качестве альтернативы, если система содержит второй сервер 16, первый сервер 14 передает второе сообщение 216 (включающее в себя информацию права доступа, указывающую, что пользователь имеет право доступа для входа в дверь) на второй сервер 16, который в ответ отправляет сигнал электронному дверному замку (используя элемент информации GO), разрешающий открытие электронного дверного замка.
Согласно другому альтернативному варианту осуществления, изобретение может быть реализовано так, чтобы сделать возможным для пользователя оплатить свои товары на кассовом устройстве. В данном варианте осуществления, вычислительное устройство 10 является кассовым устройством. Как только товары, подлежащие покупке, отсканированы кассовым устройством, кассовое устройство 10 создает и отображает элемент 112, 312 закодированной информации, в данном примере GO. GO 122, 312 содержат элемент информации адреса GO (как было описано выше), который позволяет идентифицировать кассовое устройство, и общую цену к оплате. GO может также содержать элемент информации, идентифицирующий (или идентификацию приложения) банковское учреждение, которому будут оплачены денежные суммы. Возможно, последующее предоставление пользователем информации защиты мобильному устройству 12, приложение на мобильном устройстве 12 передает первое сообщение 214, 314 (запрос оплаты) на первый сервер 14. Запрос оплаты 214, 314 включает в себя элемент информации адреса GO, элемент информации DID или UID, информацию о стоимости и элемент информации, идентифицирующий банковское учреждение получателя. Подлинность пользователя устанавливает первый сервер 14 с использованием элемента информации DID или UID. В ответ на установку подлинности пользователя, первый сервер 14, который, например, может быть связан с банковским учреждением, разрешает платеж с учетной записи пользователя банковскому учреждению получателя на величину, идентифицируемого информацией о стоимости. Далее, если система не содержит второго сервера 16, первый сервер 14 передает (используя элемент информации адреса GO) на кассовое устройство сигнал, указывающий, что баланс был оплачен. В качестве альтернативы, если система содержит второй сервер 16, первый сервер 14 передает второе сообщение 216 (указывающее, что пользователь авторизирован на совершение платежа) на второй сервер 16 (который может быть связан с банковским учреждением получателя), который в ответ передает сигнал на кассовое устройство (используя элемент информации адреса GO), указывающий, что баланс был оплачен.
Согласно другому альтернативному варианту осуществления, изобретение может быть реализовано в системе ATM. В данном варианте осуществления, вычислительное устройство 10 является ATM. Пользователь запрашивает выведение количества денег из ATM. В ответ на это, ATM создает и отображает элемент 112, 312 закодированной информации, в данном примере GO. GO 112, GO 312 содержат элемент информации адреса GO, позволяющий идентифицировать ATM и величину вывода. GO 112 может также содержать элемент информации SSID. При последующем предоставление пользователем информации защиты, например, пин и т.д. мобильному устройству 12, приложение мобильного устройства 12 передает первое сообщение 214 (запрос вывода) на первый сервер 14. Запрос 214 вывода включает в себя элемент информации адреса GO, элемент информации UID или DID, идентифицирующий устройство или пользователя, информацию величины вывода и, если пригоден, элемент информации SSID. Подлинность пользователя устанавливает первый сервер 14 с использованием элемента информации HID или DID, и в ответ на установку подлинности пользователя, первый сервер 14, который в данном, примере связан с банковским учреждением, разрешает вывод и дебетует учетную запись пользователя на величину, указанную в информации величины вывода. Далее, если система не содержит второго сервера 16, первый сервер 14 передают (с использованием элемента информации адреса GO) сигнал на ATM на авторизирование ATM на выдачу запрошенного количества. В качестве альтернативы, если система содержит второй сервер 16, первый сервер 14 передает (используя элемент информации SSID) второе сообщение 216 на второй сервер 16 (который связан с банковским учреждением, который владеет ATM, если оно не является тем же, что и банковское учреждение пользователя) который отвечает передачей сигнал на ATM, разрешающий ATV вывод запрошенного количества.
Согласно другому альтернативному варианту осуществления, изобретение может быть реализовано в среде магазина самообслуживания. В данном варианте осуществления, элемент 112 закодированной информации, в данном примере GO, может быть предусмотрен на контекстной метке продаваемого товара. Пользователь получает, используя свое мобильное устройство 12. В данном варианте осуществления, GO 112, GO 312 элемент информации адреса GO, позволяющий идентифицировать (как было описано выше) контекстную метку, и, стоимость товара. GO 112, GO 312 также может содержать элемент информации, идентифицирующий (или позволяющий идентификацию приложением) банковское учреждение, которому будут уплачены денежные суммы. Возможно, при последующем предоставлением пользователем информации защиты мобильному устройству 12, приложение мобильного устройства 12 передает первое сообщение 214 (запрос покупки) элемент информации адреса GO, элемент информации UID или DID и информацию стоимости первому серверу. Подлинность пользователя затем устанавливает первый сервер 14, используя UID или DID, и в ответ на установку подлинности пользователя, первый сервер 14 разрешает платеж на величину, идентифицируемую информацией стоимости. Затем, первый сервер 14 передает второе сообщение 216 на второй сервер 16, который может системой безопасности магазина. Второе сообщение 216 содержит элемент информации адреса GO и информацию права доступа, указывающие, что товар был оплачен. В ответ на прием второго сообщения 216, второй сервер использует элемент информации адреса GO для передачи сигнала на контекстную метку, чтобы деактивировать ее, так что тревога не будет активирована, когда пользователь пытается покинуть магазин.
Несмотря на то, что в вышеописанных вариантах осуществления элемент 112, 312 закодированной информации был описан как графический объект, должно быть понятно, что вместо него может быть тип элемента закодированной информации. Они могут включать в себя, например, элемент закодированной информации аудио, который генерирует вычислительное устройство 20 и записывает и декодирует мобильное устройство 12. Другие типы элемента закодированной информации включают в себя элементы радиочастотной закодированной информации.
В некоторых вариантах осуществления, элемент 112, 132 закодированной информации может содержать последовательность чисел, букв иди символов. В таких вариантах осуществления, устройство 12 может получить элемент закодированной информации как результат ручного набора пользователем последовательности в устройстве, используя интерфейс 126 пользователя. В других альтернативных вариантах осуществления, элемент закодированной информации может быть получен через проводное соединение между устройством 12 и вычислительным устройством 10.
В некоторых вариантах осуществления, элемент 112, 132 закодированной информации может меняться периодически, например, обновлением элемента проверки. В таких вариантах осуществления, когда элемент проверки не создан тем же объектом, который ответственен за его проверку, элемент проверки передают объекту проверки каждый раз, когда он обновляется.
В вариантах осуществления, описанных выше, объект 112, 312 закодированной информации декодируют устройством перед отправкой первого сообщения 214 на первый сервер 14. Однако в альтернативных вариантах осуществления, элемент 112, 312 закодированной информации может быть передано первое сообщение 214 для декодирования первым сервером 14. В таких вариантах осуществления, устройство 12 имеет предварительно сохраненный адрес первого сервера. Приложение может быть выполнено с возможностью отправки первого сообщения 214, когда каждый раз получают элемент 112, 312 закодированной информации. В качестве альтернативы, пользователь может выбрать адрес, на который будет отправлено первое сообщение 214, из множества адресов, сохраненных в устройстве 12. В этих вариантах осуществления, в которых первое сообщение включает в себя элемент закодированной информации, должно быть оценено по достоинству, что, когда элемент закодированной информации включает в себя элемент проверки, это будет проверено первым сервером 14, а не устройством 12.
На фиг.2 и 3 мобильное устройство 12 изображено как мобильный телефон. Одно должно быть оценено по достоинству, что любой другой тип устройства, содержащий средство 124 получения для получения элемента закодированной информации одним или более вышеупомянутых способом. Средство 124 получения может содержать, например, физический интерфейс для приема от компьютерного устройства элемента закодированной информации в форме компьютерного электрического сигнала, РЧ трансивер для приема РЧ элемента закодированной информации как РЧ сигнала, или аудио приемник для получения слышимых элементов закодированных данных.
Мобильное устройство 12, изображено на фиг.1 как один блок. Однако должно быть оценено по достоинству, что оно может содержать множество отдельных блоков, например, веб-камеру и портативный переносной компьютер.
Изобретение предлагает новый и изобретательный способ обеспечения безопасного доступа к службам. Обеспечение элементом закодированной информации возможность промежуточной атаки. Изобретение в частности эффективно в вариантов осуществления, в которых компьютерный программный код для генерирования элемента закодированной информации сохранен на вычислительном устройстве 10 и выполнены так, что элемент закодированной информации обеспечивается только (т.е. отображается, выдается, выводится и т.д.), когда установлена прямая связь с приложением, работающим на веб-сервере 14, 16. Это потому, что если промежуточный сервер расположен между вычислительным устройством 10 и веб-сервером 14, 16 для перехвата связи между ими двумя, прямая связь между компьютерным программным кодом, работающим на вычислительном устройстве 10 и приложением, не может быть установлена, не может быть установлена, и таким образом, элемент закодированной информации не будет предоставлен. Таким образом, пользователь не может получить доступ к службе и, таким образом, не может разгласить чувствительную информацию мошеннику, управляющего промежуточным сервером.
Использование элемента проверки, с помощью которого первый сервер может проверить элемент закодированных данных, который может меняться периодически, уменьшает шанс мошенникам на способность клонирования элемента закодированной информации, следовательно, клонирование службы для извлечения информации нелегально от пользователя. Более того, использование механизма согласно изобретению уменьшает количество персональной информации (например, имена пользователей и пароли), которая требуется для входа в вычислительное устройство 10, безопасность которого может быть скомпрометирована присутствием вирусов и т.п.
Изобретение также позволяет срочный процесс входа в систему, так как у пользователя нет необходимости тратить время на ввод информации о пароле и имени пользователя. Аналогично, изобретение может убрать необходимость для пользователя необходимость запоминания множества паролей для множества служб и т.д.
В некоторых вариантах осуществления изобретения, в которых необходимо получить элемент закодированной информации и необходимо ввести пароль, вводится дополнительный уровень безопасности так что система является безопасной для пользователей.
Изобретение также позволяет применить поярусную силу аутентификации на основе риска, значения транзакции и/или профиля пользователю. Например, для некоторых веб-сайтов, просто находящихся во владении мобильного устройства 12 и получающие элемент закодированных данных, может быть достаточно позволить пользователю доступ к службам, обеспечивающих веб-сайтом. Для других реализаций, таких оплата и реализация банковских операций, применяют более обширный набор факторов идентификации (например, владение устройством и пароль). Если устройство 12 потеряно или украдено, поставщик сетевых услуг (если устройство является мобильным телефоном) может заблокировать устройство, предотвращая, для вора или нашедшего устройство, возможность использования устройства и приложения, сохраненного в нем, для доступа пользовательским веб-сайтам и службам, на которые он подписан. В качестве альтернативы, связаться с владельцем или обслуживающим лицом первого устройства службы, чтобы дать ему инструкции для гарантирования, что любые запросы от потерянного или украденного устройства запрещены. Новое устройство впоследствии может быть связано с пользовательской регистрацией на пером сервере 14.
В некоторых вариантах осуществления изобретения, может быть разрешено пользователю зарегистрировать свои устройства на первом сервере 14, если они заключают месячный контракт с поставщиком сети мобильного телефона. Такие контракты (в противоположность так называемому тарифу плати пока идешь) заключают в себе процесс строгой идентификации, включающий в себя предоставление пользователем подтверждения адреса, банковские операции и т.д. Следовательно, для служб, для которых защита является важной, например, банковские операции и т.п., возможна только регистрация для входа в систему посредством элемента закодированной информации, если пользователь оплатил месячный контракт и его подлинность известна с большей уверенностью.
Преимущества защиты достигаются использованием отдельного устройства (например, мобильного устройства 12, а не вычислительного устройства 10, с которого бы осуществлялся доступ к службе) для связи с сервером 14, который выполнен с возможностью установки подлинности пользователя (см. этап S2-6 и S3-6 на фиг.2 и фиг.3 соответственно). Выполняя процесс аутентификации таким способ "незамедлительно", сложность системы увеличивается. Для мошенника существенно более сложнее и затратнее обнаружить, перехватить или скомпрометировать множество каналов связи (частот) и/или сервер усложняется. Таким образом, система более безопасна.
Следует понимать, что вышеприведенные варианты осуществления не ограничены. Другие вариации и модификации будут очевидны специалистам в данной области техники при прочтении настоящей заявки. Более того, изобретение в настоящей заявке должно пониматься как включающее в себя любые новые признаки или новые комбинации признаком, подробно или полностью раскрыты здесь или их обобщение и во время отстаивания настоящей заявки или любой заявки, получаемой из них, новые пункты формулы изобретения могут быть сформулированы для охвата таких признаков и/или комбинации таких признаков.
1. Способ обработки закодированной информации с участием первого сервера, второго сервера, портативного устройства и вычислительного устройства, содержащий этапы, на которых:
генерируют элемент информации проверки для включения в элемент закодированной информации, при этом элемент опорной информации проверки хранится на первом сервере, и элемент закодированной информации, содержащий элемент информации проверки, доступен для получения и декодирования портативным устройством;
при этом посредством портативного устройства:
получают элемент закодированной информации;
декодируют закодированную информацию из элемента закодированной информации; и
передают первое сообщение на первый сервер, причем первое сообщение включает в себя декодированную информацию и первый идентификатор, идентифицирующий портативное устройство или пользователя портативного устройства, причем декодированная информация включает в себя информацию для определения элемента идентификационной информации устройства для обеспечения идентификации вычислительного устройства; а
посредством первого сервера:
принимают первое сообщение от портативного устройства;
устанавливают подлинность пользователя устройства, при этом при установлении подлинности пользователя используют первый идентификатор для определения, зарегистрирован ли пользователь первым сервером;
в ответ на установление подлинности пользователя авторизируют пользователя для доступа к службе; и
посылают второе сообщение на второй сервер, причем второе сообщение включает в себя указанный элемент идентификационной информации устройства и указывает, что пользователь авторизирован для доступа к указанной службе, предоставляемой вторым сервером, при этом второй сервер отвечает на прием второго сообщения предоставлением указанной службы пользователю через указанное вычислительное устройство с использованием элемента идентификационной информации устройства.
2. Способ обработки закодированной информации с участием первого сервера, второго сервера, портативного устройства и вычислительного устройства, содержащий этапы, на которых:
генерируют элемент информации проверки для включения в элемент закодированной информации, при этом элемент опорной информации проверки хранится на первом сервере, и элемент закодированной информации, содержащий элемент информации проверки, доступен для получения портативным устройством;
при этом посредством портативного устройства:
получают элемент закодированной информации; и
передают первое сообщение на первый сервер, причем первое сообщение включает в себя элемент закодированной информации и первый идентификатор, идентифицирующий портативное устройство или пользователя портативного устройства; а
посредством первого сервера:
принимают первое сообщение от портативного устройства;
декодируют закодированную информацию из элемента закодированной информации, причем декодированная информация включает в себя информацию для определения элемента идентификационной информации устройства для обеспечения идентификации вычислительного устройства;
устанавливают подлинность пользователя портативного устройства, причем при установлении подлинности пользователя используют первый идентификатор для определения, зарегистрирован ли пользователь первым сервером;
в ответ на установление подлинности пользователя авторизируют пользователя для доступа к службе; и
посылают второе сообщение на второй сервер, причем второе сообщение включает в себя указанный элемент идентификационной информации устройства и указывает, что пользователь авторизирован для доступа к указанной службе, предоставляемой вторым сервером, при этом второй сервер отвечает на прием второго сообщения предоставлением указанной службы пользователю через указанное вычислительное устройство с использованием элемента идентификационной информации устройства.
3. Способ по п. 1 или 2, дополнительно содержащий этапы, на которых посредством первого сервера:
сравнивают элемент информации проверки, включенный в первое сообщение, и эталонный элемент проверки;
при наличии идентичности между элементом информации проверки и эталонным элементом проверки посылают указанное второе сообщение на второй сервер; а
при отсутствии идентичности между элементом информации проверки и эталонным элементом проверки прекращают выполнение способа до этапа посылки второго сообщения второму серверу.
4. Способ по п. 1 или 2, в котором посылают второе сообщение на второй сервер, при этом закодированная информация содержит информацию для определения второго идентификатора, идентифицирующего второй сервер.
5. Способ по п. 1, в котором закодированная информация содержит третий идентификатор, при этом третий идентификатор идентифицирует первый сервер, причем первое сообщение передают на первый сервер на основе третьего идентификатора.
6. Способ по п. 1 или 2, дополнительно содержащий этапы, на которых: посредством портативного устройства:
перед передачей первого сообщения принимают ввод от пользователя; сравнивают принятый ввод от пользователя с сохраненным эталонным вводом; и передают первое сообщение при наличии идентичности между принятым вводом от пользователя и сохраненным эталонным вводом от пользователя.
7. Способ по п. 1 или 2, в котором на этапе установления подлинности пользователя портативного устройства:
инициируют канал связи с портативным устройством на основе первого идентификатора;
принимают предоставленную пользователем информацию от портативного устройства через канал связи;
сравнивают предоставленную пользователем информацию с сохраненной эталонной предоставленной пользователем информацией; и
проверяют и тем самым устанавливают подлинность пользователя при определении наличия идентичности между принятой предоставленной пользователем информацией и эталонной предоставленной пользователем информацией.
8. Система обработки закодированной информации с участием первого сервера, второго сервера, портативного устройства и вычислительного устройства, характеризующаяся тем, что выполнена с возможностью
генерирования элемента информации проверки для включения в элемент закодированной информации, при этом элемент опорной информации проверки хранится на первом сервере, и элемент закодированной информации, содержащий элемент информации проверки, доступен для получения и декодирования портативным устройством;
при этом система содержит:
портативное устройство, выполненное с возможностью: получения элемента закодированной информации;
декодирования закодированной информации из элемента закодированной информации; и
передачи первого сообщения на первый сервер, причем первое сообщение включает в себя декодированную информацию и первый идентификатор, идентифицирующий портативное устройство или пользователя портативного устройства, при этом декодированная информация включает в себя информацию для определения элемента идентификационной информации устройства для обеспечения идентификации вычислительного устройства; и
первый сервер, выполненный с возможностью:
приема первого сообщения от портативного устройства;
установления подлинности пользователя портативного устройства, причем установление подлинности пользователя содержит использование первого идентификатора для определения, зарегистрирован ли пользователь первым сервером;
в ответ на установление подлинности пользователя авторизации пользователя для доступа к службе; и
отправки второго сообщения на второй сервер, причем второе сообщение включает в себя указанный элемент идентификационной информации устройства и указывает, что пользователь авторизирован для доступа службе, предоставляемой вторым сервером, при этом система дополнительно содержит указанный второй сервер, выполненный с возможностью ответа на прием второго сообщения предоставлением пользователю указанной службы через указанное вычислительное устройство с использованием указанного элемента идентификационной информации устройства.
9. Система обработки закодированной информации с участием первого сервера, второго сервера, портативного устройства и вычислительного устройства, характеризующаяся тем, что выполнена с возможностью
генерирования элемента информации проверки для включения в элемент закодированной информации, при этом элемент опорной информации проверки хранится на первом сервере, и элемент закодированной информации, содержащий элемент информации проверки, доступен для получения портативным устройством;
при этом система содержит:
портативное устройство, выполненное с возможностью: получения элемента закодированной информации; и
передачи первого сообщения на первый сервер, причем первое сообщение включает в себя элемент закодированной информации и первый идентификатор, идентифицирующий портативное устройство или пользователя портативного устройства; и
первый сервер, выполненный с возможностью:
приема первого сообщения от портативного устройства;
декодирования закодированной информации из элемента закодированной информации, причем декодированная информация включает в себя информацию для определения элемента идентификационной информации устройства для обеспечения идентификации вычислительного устройства;
установления подлинности пользователя, причем установление подлинности пользователя содержит использование первого идентификатора для определения, зарегистрирован ли пользователь первым сервером;
в ответ на установление подлинности пользователя авторизации пользователя для доступа к службе; и
отправки второго сообщения на второй сервер, причем второе сообщение включает в себя указанный элемент идентификационной информации устройства и указывает, что пользователь авторизирован для доступа службе, предоставляемой вторым сервером, при этом система дополнительно содержит указанный второй сервер, выполненный с возможностью ответа на прием второго сообщения предоставлением указанной службы пользователю через указанное вычислительное устройство с использованием указанного элемента идентификационной информации устройства.
10. Система по п. 8 или 9, в которой декодированная информация содержит элемент информации проверки, при этом первый сервер выполнен с возможностью:
сравнения элемента информации проверки и эталонного элемента проверки;
при наличии идентичности между элементом информации проверки и эталонным элементом проверки предоставления указанной службы пользователю через указанное вычислительное устройство с использованием указанного элемента идентификационной информации устройства; а
при отсутствии идентичности между элементом информации проверки и эталонным элементом проверки прекращения выполнения действий системой до действия на основе декодированной информации.
11. Система по п. 8 или 9, в которой закодированная информация содержит второй идентификатор, идентифицирующий второй сервер.
12. Система по п. 8, в которой закодированная информация содержит третий идентификатор, идентифицирующий первый сервер, при этом портативное устройство выполнено с возможностью передачи первого сообщения на первый сервер на основе третьего идентификатора.
13. Система по п. 8 или 9, в которой портативное устройство выполнено с возможностью:
приема ввода от пользователя перед передачей первого сообщения; сравнения принятого ввода от пользователя с сохраненным эталонным вводом; и передачи первого сообщения при определении наличия идентичности между принятым вводом от пользователя и сохраненным эталонным вводом от пользователя.
14. Система по п. 8 или 9, в которой первый сервер при установлении подлинности пользователя устройства выполнен с возможностью:
инициирования канала связи с портативным устройством на основе первого идентификатора;
приема предоставляемой пользователем информации от портативного устройства через канал связи;
сравнения принимаемой предоставляемой пользователем информации с сохраненной эталонной предоставленной пользователем информацией; и
проверки и тем самым установления подлинности пользователя при определении наличия идентичности между принимаемой предоставляемой пользователем информацией и эталонной предоставленной пользователем информацией.
15. Энергонезависимый носитель информации, содержащий машиночитаемый код, который при выполнении первым сервером вызывает выполнение первым сервером способа по любому из пп. 1-7.
16. Способ обработки закодированной информации с участием первого сервера, второго сервера и портативного устройства, содержащий этапы, на которых:
генерируют элемент информации проверки для включения в элемент закодированной информации, при этом элемент опорной информации проверки хранится на первом сервере, и элемент закодированной информации, содержащий элемент информации проверки, доступен для получения и декодирования портативным устройством;
при этом посредством портативного устройства:
получают элемент закодированной информации;
декодируют закодированную информацию из элемента закодированной информации; и
передают первое сообщение на первый сервер, причем первое сообщение включает в себя декодированную информацию и первый идентификатор, идентифицирующий портативное устройство или пользователя портативного устройства; а
посредством первого сервера:
принимают первое сообщение от портативного устройства;
устанавливают подлинность пользователя устройства, при этом при установлении подлинности пользователя используют первый идентификатор для определения, зарегистрирован ли пользователь первым сервером;
в ответ на установление подлинности пользователя авторизируют пользователя для доступа к службе; и
посылают второе сообщение на второй сервер, указывающее, что пользователь авторизирован для доступа к указанной службе, предоставляемой вторым сервером, при этом второй сервер отвечает на прием второго сообщения предоставлением указанной службы пользователю через указанное портативное устройство или через первый сервер на указанное портативное устройство.
17. Способ обработки закодированной информации с участием первого сервера, второго сервера и портативного устройства, содержащий этапы, на которых:
генерируют элемент информации проверки для включения в элемент закодированной информации, при этом элемент опорной информации проверки хранится на первом сервере, и элемент закодированной информации, содержащий элемент информации проверки, доступен для получения портативным устройством;
при этом посредством портативного устройства:
получают элемент закодированной информации; и
передают первое сообщение на первый сервер, причем первое сообщение включает в себя элемент закодированной информации и первый идентификатор, идентифицирующий портативное устройство или пользователя портативного устройства; а
посредством первого сервера:
принимают первое сообщение от портативного устройства;
декодируют закодированную информацию из элемента закодированной информации;
устанавливают подлинность пользователя устройства, при этом при установлении подлинности пользователя используют первый идентификатор для определения, зарегистрирован ли пользователь первым сервером;
в ответ на установление подлинности пользователя авторизируют пользователя для доступа к службе; и
посылают второе сообщение на второй сервер, указывающее, что пользователь авторизирован для доступа к указанной службе, предоставляемой вторым сервером, при этом второй сервер отвечает на прием второго сообщения предоставлением указанной службы пользователю через указанное портативное устройство или через первый сервер на указанное портативное устройство.
18. Способ по любому из пп. 1, 2, 16 и 17, в котором элемент закодированной информации отображают в виде последовательности чисел, букв или символов, при этом способ содержит этап, на котором
посредством портативного устройства:
получают, перед передачей первого сообщения, элемент закодированной информации в результате ручного впечатывания пользователем упомянутой последовательности в портативное устройство с использованием интерфейса пользователя.
19. Способ по любому из пп. 1, 2, 16 и 17, в котором декодированная информация включает в себя информацию для определения элемента информации идентификации устройства для обеспечения идентификации вычислительного устройства, на котором, посредством которого или вблизи которого предоставлен элемент закодированной информации.
20. Способ по любому из пп. 1, 2, 16 и 17, в котором первое сообщение представляет собой запрос оплаты, при этом способ дополнительно содержит этап, на котором первый сервер в ответ на прием уведомления от второго сервера использует информацию, содержащуюся либо в первом, либо во втором сообщении, для авторизации оплаты получателю со счета пользователя.
21. Способ по любому из пп. 1, 2, 16 и 17, в котором первое сообщение представляет собой запрос оплаты, при этом способ дополнительно содержит этап, на котором второй сервер использует информацию, содержащуюся во втором сообщении, для авторизации оплаты получателю со счета пользователя.
22. Способ по любому из пп. 1, 2, 16 и 17, в котором элемент закодированной информации снабжен контекстной меткой продаваемого товара для обеспечения покупки товара пользователем.
23. Способ по любому из пп. 1, 2, 16 и 17, в котором вычислительное устройство содержит электронный дверной замок для обеспечения доступа пользователя в помещение, или здание, или в защищенное хранилище.
24. Способ по любому из пп. 1, 2, 16 и 17, в котором вычислительное устройство содержит кассовое устройство, такое как система пункта продажи, для обеспечения оплаты товаров покупателем.
25. Способ по любому из пп. 1, 2, 16 и 17, в котором вычислительное устройство содержит систему ATM для обеспечения доступа пользователя к службам и получения денег.
26. Способ по любому из пп. 1, 2, 16 и 17, в котором закодированную информацию предоставляют в виде элемента графической закодированной информации.
27. Способ по любому из пп. 1, 2, 16 и 17, в котором закодированную информацию предоставляют в виде элемента закодированной слышимой информации.
28. Способ по любому из пп. 1, 2, 16 и 17, в котором закодированную информацию предоставляют в виде элемента закодированной радиочастотной информации.
29. Система обработки закодированной информации с участием первого сервера, второго сервера и портативного устройства, характеризующаяся тем, что выполнена с возможностью
генерирования элемента информации проверки для включения в элемент закодированной информации, при этом элемент опорной информации проверки хранится на первом сервере, и элемент закодированной информации, содержащий элемент информации проверки, доступен для получения и декодирования портативным устройством;
при этом система содержит:
портативное устройство, выполненное с возможностью: получения элемента закодированной информации;
декодирования закодированной информации из элемента закодированной информации; и
передачи первого сообщения на первый сервер, причем первое сообщение включает в себя декодированную информацию и первый идентификатор, идентифицирующий портативное устройство или пользователя портативного устройства; и
первый сервер, выполненный с возможностью: приема первого сообщения от портативного устройства;
установления подлинности пользователя портативного устройства, причем установление подлинности пользователя содержит использование первого идентификатора для определения, зарегистрирован ли пользователь первым сервером;
в ответ на установление подлинности пользователя авторизации пользователя для доступа к службе; и
отправки второго сообщения на второй сервер, указывающего, что пользователь авторизирован для доступа службе, предоставляемой вторым сервером, при этом система дополнительно содержит указанный второй сервер, выполненный с возможностью ответа на прием второго сообщения предоставлением пользователю указанной службы через указанное портативное устройство или через первый сервер на портативное устройство.
30. Система обработки закодированной информации с участием первого сервера, второго сервера и портативного устройства, характеризующаяся тем, что выполнена с возможностью
генерирования элемента информации проверки для включения в элемент закодированной информации, при этом элемент опорной информации проверки хранится на первом сервере, и элемент закодированной информации, содержащий элемент информации проверки, доступен для получения портативным устройством;
при этом система содержит:
портативное устройство, выполненное с возможностью: получения элемента закодированной информации; и
передачи первого сообщения на первый сервер, причем первое сообщение включает в себя элемент закодированной информации и первый идентификатор, идентифицирующий портативное устройство или пользователя портативного устройства; и
первый сервер, выполненный с возможностью: приема первого сообщения от портативного устройства;
декодирования закодированной информации из элемента закодированной информации;
установления подлинности пользователя портативного устройства, причем установление подлинности пользователя содержит использование первого идентификатора для определения, зарегистрирован ли пользователь первым сервером;
в ответ на установление подлинности пользователя авторизации пользователя для доступа к службе; и
отправки второго сообщения на второй сервер, указывающего, что пользователь авторизирован для доступа службе, предоставляемой вторым сервером, при этом система дополнительно содержит указанный второй сервер, выполненный с возможностью ответа на прием второго сообщения предоставлением пользователю указанной службы через указанное портативное устройство или через первый сервер на портативное устройство.
31. Система по любому из пп. 8, 9, 29 и 30, в которой элемент закодированной информации отображается в виде последовательности чисел, букв или символов, при этом
портативное устройство выполнено с возможностью:
получения, перед передачей первого сообщения, элемента закодированной информации в результате ручного впечатывания пользователем упомянутой последовательности в портативное устройство с использованием интерфейса пользователя.
32. Система по любому из пп. 8, 9, 29 и 30, в которой декодированная информация включает в себя информацию для определения элемента информации идентификации устройства для обеспечения идентификации вычислительного устройства, на котором, посредством которого или вблизи которого предоставлен элемент закодированной информации.
33. Система по любому из пп. 8, 9, 29 и 30, в которой первое сообщение представляет собой запрос оплаты, при этом
первый сервер выполнен с возможностью в ответ на прием уведомления от второго сервера использования информации, содержащейся либо в первом, либо во втором сообщении, для авторизации оплаты получателю со счета пользователя.
34. Система по любому из пп. 8, 9, 29 и 30, в которой первое сообщение представляет собой запрос оплаты, при этом второй сервер выполнен с возможностью использования информации, содержащейся во втором сообщении, для авторизации оплаты получателю со счета пользователя.
35. Система по любому из пп. 8, 9, 29 и 30, в которой элемент закодированной информации снабжен контекстной меткой продаваемого товара для обеспечения покупки товара пользователем.
36. Система по любому из пп. 8, 9, 29 и 30, в которой вычислительное устройство содержит электронный дверной замок для обеспечения доступа пользователя в помещение, или здание, или в защищенное хранилище.
37. Система по любому из пп. 8, 9, 29 и 30, в которой вычислительное устройство содержит кассовое устройство, такое как система пункта продажи, для обеспечения оплаты товаров покупателем.
38. Система по любому из пп. 8, 9, 29 и 30, в которой вычислительное устройство содержит систему ATM для обеспечения доступа пользователя к услугам, к службам и получения денег.
39. Система по любому из пп. 8, 9, 29 и 30, в которой закодированная информация предоставлена в виде элемента графической закодированной информации.
40. Система по любому из пп. 8, 9, 29 и 30, в которой закодированная информация предоставлена в виде элемента закодированной слышимой информации.
41. Система по любому из пп. 8, 9, 29 и 30, в которой закодированная информация предоставлена в виде элемента закодированной радиочастотной информации.
42. Энергонезависимый носитель информации, содержащий машиночитаемый код, который при выполнении первым сервером вызывает выполнение первым сервером способа по любому из пп. 16-28.
