Автоматизированная информационная система идентификации и аутентификации пользователей

Авторы патента:

Автоматизированная информационная система идентификации и аутентификации пользователей относится к области информационных технологий, в частности к автоматическим информационным системам управления доступом для сферы предоставления государственных услуг населению в электронном виде.

В данной системе решена задача обеспечения и расширение возможностей доступа к государственным услугам в электронном виде и повышение безопасности информационного обмена за счет использования нескольких способов аутентификации и идентификации для каждого пользователя системы.

Эта задача решена тем, что автоматизированная информационная система идентификации и аутентификации пользователей, содержит хранилище учетных записей, предназначенное для хранения идентификационной информации о пользователях, необходимой для различных видов аутентификации и идентификации, предусмотренных в системе, связанное с центром сертификации пользователей, предназначенным для выпуска и сопровождения жизненного цикла криптографических ключей и сертификатов открытых ключей, а также для проверки статусов сертификатов открытых ключей при аутентификации, с подсистемой аутентификации должностных лиц, обеспечивающей аутентификацию должностных лиц в системе электронного документооборота по сертификатам открытых ключей, с подсистемой регистрации пользователей, предназначенной для сбора и обработки первичной информации о пользователях, необходимой для создания учетной записи, с подсистемой сопровождения жизненного цикла Универсальной электронной карты (УЭК), обеспечивающей информационный обмен между эмитентами при выпуске универсальных электронных карт и сопровождение их жизненного цикла, с подсистемой мобильной идентификации, обеспечивающей информационные процессы при осуществлении идентификации пользователя с использованием мобильного телефона.

Полезная модель относится к области информационных технологий, в частности к автоматическим информационным системам управления доступом для сферы предоставления государственных услуг населению в электронном виде.

Известны способ и система для аутентификации пользователя системы обработки данных, по патенту РФ на изобретение 2354066, H04L 29/00. Известен способ осуществления многофакторной строгой аутентификации держателя банковской карты с использованием мобильного телефона в среде мобильной связи при осуществлении межбанковских финансовых транзакций в международной платежной системе по протоколу спецификации 3-D SECURE и реализующая его система по патенту на изобретение 2301449, G06Q 20/00. Известны система, устройство и способ, предназначенные для аутентификации на основе SIM и для шифрования при доступе к беспроводной локальной сети по патенту РФ 2292648, Н04В 7/26, H04Q 7/22. Однако рассмотренные технические решения не обеспечивают сопровождение жизненного цикла универсальной электронной карты, первичную регистрацию пользователя в различных пунктах приема и поддержку нескольких видов аутентификации для одного пользователя в рамках одной системы.

Технической задачей, на решение которой направлена заявляемая полезная модель, является обеспечение и расширение возможностей доступа к государственным услугам в электронном виде и повышение безопасности информационного обмена за счет использования нескольких способов аутентификации и идентификации для каждого пользователя системы. Эта задача решена тем, что автоматизированная информационная система идентификации и аутентификации пользователей, содержит хранилище учетных записей, предназначенное для хранения идентификационной информации о пользователях, необходимой для различных видов аутентификации и идентификации, предусмотренных в системе, связанное с центром сертификации пользователей, предназначенным для выпуска и сопровождения жизненного цикла криптографических ключей и сертификатов открытых ключей, а также для проверки статусов сертификатов открытых ключей при аутентификации,

с подсистемой аутентификации должностных лиц, обеспечивающей аутентификацию должностных лиц в системе электронного документооборота по сертификатам открытых ключей,

с подсистемой регистрации пользователей, предназначенной для сбора и обработки первичной информации о пользователях, необходимой для создания учетной записи, выполненной с возможностью получения первичной информации о пользователе как из внешних информационных систем так и посредством собственных интерфейсов,

с подсистемой сопровождения жизненного цикла Универсальной электронной карты (УЭК), обеспечивающей информационный обмен между эмитентами при выпуске универсальных электронных карт и сопровождение их жизненного цикла, выполненной с возможностью

получения информации о статусах жизненного цикла УЭК от внешних информационных систем эмитентов УЭК, хранения информации о статусах УЭК, выданных в пределах региона и передачи ее в общий сводный реестр УЭК активации и деакцивации аутентификации и идентификации по УЭК в хранилище учетных записей выданных на территории региона, связанной с подсистемой регистрации пользователей,

с подсистемой мобильной идентификации, обеспечивающей информационные процессы при осуществлении идентификации пользователя с использованием мобильного телефона, выполненной с возможностью

осуществления идентификации пользователя на основе инфраструктуры открытых ключей (PKI) с использованием криптографических ключей и сертификатов открытых ключей, записанных на SIM-карту мобильного телефона пользователя,

осуществления идентификации пользователя на основе использования одноразовых паролей, например one-time password, OTP.

В соответствии с п.2 формулы, подсистема регистрации пользователей включает в себя связанные между собой, блок ввода данных о пользователе, блок присвоения пользователю уникального идентификатора, связанный с хранилищем учетных записей, блок генерации вспомогательной идентификационной информации, связанный с хранилищем учетных записей, блок взаимодействия с внешними информационными системами.

В соответствии с п.3 формулы, подсистема сопровождения жизненного цикла универсальных электронных карт включает в себя блок взаимодействия с хранилищем учетных данных, связанный с реестром УЭК выданных на территории региона, связанным с блоком ввода данных о пользователе подсистемы регистрации пользователей, блок выгрузки сведений в общий сводный реестр УЭК, связанный с реестром УЭК, блок взаимодействия с внешними информационными системами (ИС), связанный с блоком ввода данных о пользователе, подсистемы регистрации пользователей.

В соответствии с п.4 формулы, подсистема мобильной идентификации содержит

блок генерации одноразовых паролей и номеров сессий, связанный с временным хранилищем одноразовых паролей и номеров сессий,

блок шифрования информационного обмена при мобильной идентификации, связанный с временным хранилищем одноразовых паролей и номеров сессий, блоком взаимодействия с АИС операторов мобильной связи и блоком проверки корректности ввода одноразового пароля или номера сессии пользователем,

блок взаимодействия с АИС операторов мобильной связи, предназначенный для передачи одноразовых паролей и номеров сессий в систему мобильного оператора для отправки этих данных в виде SMS, и связанный с блоком шифрования информационного обмена при мобильной идентификации,

временное хранилище одноразовых паролей и номеров сессий, связанное с блоком генерации одноразовых паролей и номеров сессий, блоком проверки корректности ввода одноразового пароля или номера сессии пользователем и блоком шифрования информационного обмена при мобильной идентификации,

блок проверки корректности ввода одноразового пароля или номера сессии пользователем, связанный с временным хранилищем одноразовых паролей и номеров сессий и блоком шифрования информационного обмена при мобильной идентификации,

блок проверки статуса сертификата, предназначенный для взаимодействия с Центром сертификации и для проверки статуса сертификата открытого ключа пользователя при попытке пройти мобильную аутентификацию и идентификацию на основе инфраструктуры открытых ключей (PKI).

Сущность технического решения пояснена чертежом, где на

Фиг.1 представлена общая схема системы идентификации и аутентификации с указанием взаимосвязи ее подсистем

Фиг.2 представлена развернутая схема системы идентификации и аутентификации с указанием состава и взаимосвязи входящих в подсистемы блоков.

Система идентификации и аутентификации содержит (фиг.1) Хранилище 1 учетных записей, хранящее уникальный идентификатор пользователя для связи с подсистемой регистрации пользователей, номер сертификата открытого ключа для связи с подсистемами мобильной идентификации, аутентификации должностных лиц и центром сертификации, идентификатор УЭК для связи с подсистемой сопровождения жизненного цикла Универсальной электронной карты (УЭК), номер SIM-карты и логин пользователя мобильной идентификации для связи с подсистемой мобильной идентификации,

подсистему 2 регистрации пользователей, связанную с хранилищем 1, подсистему 3 аутентификации должностных лиц исполнительных органов государственной власти, связанную с хранилищем учетных записей 1, центр 4 сертификации пользователей, подсистему 5 сопровождения жизненного цикла универсальной электронной карты (УЭК), связанную с хранилищем учетных записей 1, подсистему 6 мобильной идентификации, связанную с хранилищем учетных записей 1 и с центром сертификации пользователей 4.

Подсистема 2 регистрации пользователей включает в себя (фиг.2), связанные между собой, блок ввода данных о пользователе 7, блок присвоения пользователю уникального идентификатора 8, связанный с хранилищем 1, блок генерации вспомогательной идентификационной информации 9,связанный с хранилищем 1, блок взаимодействия с внешними информационными системами 10.

Подсистема 3 аутентификации должностных лиц (фиг.2), включает в себя блок проверки статуса сертификата 11, связанный с хранилищем 1.

Центр сертификации пользователей 4 (фиг.2) включает в себя блок генерации ключей и сопровождения жизненного цикла сертификата открытого ключа 12, связанный с реестром выданных сертификатов 13, связанный с блоком проверки статуса сертификата 14.

Подсистема 5 (фиг.2) сопровождения жизненного цикла УЭК включает в себя блок 15 взаимодействия с хранилищем 1, связанный с реестром УЭК выданных на территории региона 16, связанным с блоком ввода 7 данных о пользователе подсистемы 2, блок выгрузки сведений в общий сводный реестр УЭК 17, связанный с реестром УЭК 16, блок взаимодействия с внешними информационными системами 18, связанный с блоком ввода данных о пользователе 7 подсистемы 2.

Подсистема 6 (фиг.2) мобильной идентификации включает в себя блок проверки статуса сертификата 19, связанный с блоком проверки статуса сертификата 14 центра сертификации пользователей 4, блок взаимодействия с автоматизированными информационными системами (АИС) операторов мобильной связи 20, связанный с блоком шифрования информационного обмена 21, блок генерации одноразовых паролей и номеров сессий 22, блок проверки корректности ввода одноразового пароля (OTP) и номеров сессий пользователем 23, связанный с блоком шифрования информационного обмена 21 и с временным хранилищем одноразовых паролей и номеров сессий 24, связанным с блоком генерации одноразовых паролей 22 и с блоком шифрования информационного обмена 21.

При этом Хранилище учетных записей 1 реализовано в виде базы данных с хранимыми процедурами, размещенной на сервере системы идентификации и аутентификации. Подсистема сопровождения жизненного цикла универсальной электронной карты 5 реализована в виде базы данных с хранимыми процедурами, размещенной на отдельном сервере и интегрированной с общим сводным реестром УЭК для выгрузки сведений, при этом общий сводный реестр УЭК представляет собой отдельную информационную систему, внешнюю по отношению к системе идентификации и аутентификации. Подсистема аутентификации должностных лиц исполнительных органов государственной власти 3 реализована в виде программных приложений, установленных на ЭВМ соответствующих должностных лиц, и взаимодействующих с Удостоверяющим центром исполнительных органов государственной власти, размещенным на отдельном сервере и представляющим собой отдельную информационную систему, внешнюю по отношению к системе идентификации и аутентификации. Подсистема регистрации пользователей 2 реализована в виде веб-приложения, размещенного на отдельном сервере, к которому соответствующие организации и лица имеют доступ по Интернету. Центр сертификации пользователей 4 реализован в виде базы данных с программного обеспечения, размещенного на отдельном сервере, и интегрированного с Хранилищем учетных записей 1 и Подсистемой мобильной идентификации 6. Подсистема мобильной идентификации реализована в виде базы данных и программного обеспечения, размещенного на отдельном сервере, а также в виде программных приложений, установленных на мобильные телефоны пользователей.

Работа системы происходит следующим образом. В подсистеме регистрацией пользователей 2 осуществляют регистрацию пользователя в системе, при этом данные о пользователе вводят в систему идентификации и аутентификации либо с использованием блока ввода данных о пользователе 7, либо в интерфейсе внешней информационной системы, после чего эти данные попадут в систему идентификации и аутентификации посредством блока взаимодействия с внешними информационными системами 10. После того, как данные о новом пользователе введены, осуществляется присвоение пользователю уникального идентификатора в системе при помощи блока присвоения пользователю уникального идентификатора 8. В случае необходимости, осуществляется генерация для пользователя вспомогательной идентификационной информации (логина, пароля, ПИН-кода) при помощи блока генерации вспомогательной идентификационной информации 9. После того, как названные операции по регистрации пользователя проведены, введенная и сгенерированная информация о нем попадает в Хранилище учетных записей 1, и для пользователя создается учетная запись.

В системе идентификации и аутентификации предусмотрено использование следующих видов идентификации и аутентификации:

- по паре логин/пароль;

- мобильная идентификация на основе PKI;

- мобильная идентификация на основе OTP (одноразовый пароль);

- с использованием Универсальной электронной карты (УЭК);

- по сертификату открытого ключа.

Центр сертификации пользователей 4 предназначен для выпуска и сопровождения жизненного цикла сертификатов открытых ключей, используемых при мобильной идентификации на основе PKI. Блок генерации ключей и сопровождения жизненного цикла сертификата открытого ключа 12 осуществляет генерацию ключей пары в соответствии с выбранным криптографическим алгоритмом, выпуск сертификата открытого ключа, а также передачу информации о статусах его жизненного цикла в Реестр выданных сертификатов 13. Информация о выпущенном сертификате открытого ключа, содержащаяся в Реестре выданных сертификатов 13, передается оттуда в Хранилище учетных записей 1. При попытке идентификации по сертификату открытого ключа, осуществляется взаимодействия блока проверки статуса сертификата 14 подсистемы Центр сертификации пользователей 4 с блоком проверки статуса сертификата 19 подсистемы мобильной идентификации 6.

Мобильная идентификация на основе PKI и на основе OTP осуществляется с использованием Хранилища учетных записей 1, подсистемы мобильной идентификации 6 и центра сертификации пользователей 4.

При попытке пользователя идентифицироваться с использованием мобильной идентификации на основе PKI блок проверки статуса сертификата 19 подсистемы мобильной идентификации 6 обращается к блоку проверки статуса сертификата 14 центра сертификации пользователей 4 для проверки статуса пользовательского сертификата открытого ключа. Если сертификат является действующим, в подсистеме мобильной идентификации 6 в блоке генерации одноразовых паролей и номеров сессий 22 осуществляется генерация номера сессии. Генерация номера сессии осуществляется с использованием сведений о пользователе из Хранилища учетных записей 1, на основе его взаимодействия с блоком генерации одноразовых паролей и номеров сессий 22. Данный номер из блока генерации одноразовых паролей и номеров сессий 22 попадает во временное хранилище одноразовых паролей и номеров сессий 24, затем осуществляется шифрование номера сессий при помощи блока шифрования информационного обмена 21 и передача данного номера на мобильный телефон пользователя посредством блока взаимодействия с АИС операторов мобильной связи 20. Пользователь вводит полученный на мобильный телефон номер сессии, после чего данный номер при помощи блока проверки корректности ввода OTP и номера сессии пользователем 23 сверяется с тем номером сессии, который сохранен во временном хранилище одноразовых паролей и номеров сессий 24. В случае корректности ввода, пользователь получает доступ в систему.

При попытке пользователя идентифицироваться с использованием мобильной идентификации на основе OTP блок проверки статуса сертификата не используется, поскольку не используются криптографические ключи и сертификаты открытых ключей. При попытке пользователя идентифицироваться для него в подсистеме мобильной идентификации 6 в блоке генерации одноразовых паролей и номеров сессий 22 осуществляется генерация одноразового пароля. Генерация одноразового пароля осуществляется с использованием сведений о пользователе из Хранилища учетных записей 1, на основе его взаимодействия с блоком генерации одноразовых паролей и номеров сессий 22. Данный одноразовый пароль из блока генерации одноразовых паролей и номеров сессий 22 попадает во временное хранилище одноразовых паролей и номеров сессий 24, затем осуществляется шифрование одноразового пароля при помощи блока шифрования информационного обмена 21 и передача данного пароля на мобильный телефон пользователя посредством блока взаимодействия с АИС операторов мобильной связи 20. Пользователь вводит полученный на мобильный телефон одноразовый пароль, после чего данный пароль при помощи блока проверки корректности ввода OTP и номера сессии пользователем 23 сверяется с тем паролем, который сохранен во временном хранилище одноразовых паролей и номеров сессий 24. В случае корректности ввода, пользователь получает доступ в систему.

Подсистема сопровождение жизненного цикла УЭК 5 предназначена для отслеживания статусов жизненного цикла УЭК и корректировки соответствующих прав доступа по УЭК в системе аутентификации и идентификации. Первичная информация для выпуска УЭК попадает в Реестр УЭК, выданных на территории региона 16, и в блок взаимодействия с внешними ИС (эмитентов и др.) 18 через блок ввода данных о пользователе 7 подсистемы регистрации пользователей 2. Информация о статусах жизненного цикла УЭК попадает в подсистему через блок взаимодействия с внешними ИС (эмитентов и др.) 18, а затем данная информация попадает в Хранилище учетных записей 1 посредством блока взаимодействия с Хранилищем учетных записей 15 и в Реестр УЭК, выданных на территории региона 16. Также информация о статусах жизненного цикла УЭК периодически выгружается в общий сводный Реестр УЭК посредством блока выгрузки сведений в общий сводный Реестр УЭК 17.

При попытке должностного лица идентифицироваться по сертификату открытого ключа, выданного Удостоверяющим центром исполнительных органов государственной власти (УЦ ИОГВ), блок проверки статуса сертификата в УЦ ИОГВ осуществляет запрос к УЦ и, в случае если сертификат является действующим, должностное лицо получает доступ в систему.

Таким образом показано, что расширены возможности доступа к государственным услугам в электронном виде, обеспечен доступ к ним, а за счет использования нескольких способов аутентификации и идентификации для каждого пользователя системы повышена безопасности информационного обмена.

1. Автоматизированная информационная система идентификации и аутентификации пользователей, содержащая хранилище учетных записей, предназначенное для хранения идентификационной информации о пользователях, необходимой для различных видов аутентификации и идентификации, предусмотренных в системе, связанное с центром сертификации пользователей, предназначенным для выпуска и сопровождения жизненного цикла криптографических ключей и сертификатов открытых ключей, а также для проверки статусов сертификатов открытых ключей при аутентификации, с подсистемой аутентификации должностных лиц, обеспечивающей аутентификацию должностных лиц в системе электронного документооборота по сертификатам открытых ключей, с подсистемой регистрации пользователей, предназначенной для сбора и обработки первичной информации о пользователях, необходимой для создания учетной записи, выполненной с возможностью получения первичной информации о пользователе как из внешних информационных систем, так и посредством собственных интерфейсов, с подсистемой сопровождения жизненного цикла Универсальной электронной карты (УЭК), обеспечивающей информационный обмен между эмитентами при выпуске универсальных электронных карт и сопровождение их жизненного цикла, выполненной с возможностью получения информации о статусах жизненного цикла УЭК от внешних информационных систем эмитентов УЭК, хранения информации о статусах УЭК, выданных в пределах региона и передачи ее в общий сводный реестр УЭК активации и деакцивации аутентификации и идентификации по УЭК в хранилище учетных записей, выданных на территории региона, связанной с подсистемой регистрации пользователей, с подсистемой мобильной идентификации, обеспечивающей информационные процессы при осуществлении идентификации пользователя с использованием мобильного телефона, выполненной с возможностью осуществления идентификации пользователя на основе инфраструктуры открытых ключей (PKI) с использованием криптографических ключей и сертификатов открытых ключей, записанных на SIM-карту мобильного телефона пользователя, осуществления идентификации пользователя на основе использования одноразовых паролей (one-time password, OTP).

2. Автоматизированная информационная система по п.1, отличающаяся тем, что подсистема регистрации пользователей включает в себя связанные между собой блок ввода данных о пользователе, блок присвоения пользователю уникального идентификатора, связанный с хранилищем учетных записей, блок генерации вспомогательной идентификационной информации, связанный с хранилищем учетных записей, блок взаимодействия с внешними информационными системами.

3. Автоматизированная информационная система по п.2, отличающаяся тем, что подсистема сопровождения жизненного цикла универсальных электронных карт включает в себя блок взаимодействия с хранилищем учетных данных, связанный с реестром УЭК выданных на территории региона, связанным с блоком ввода данных о пользователе подсистемы регистрации пользователей, блок выгрузки сведений в общий сводный реестр УЭК, связанный с реестром УЭК, блок взаимодействия с внешними информационными системами (ИС), связанный с блоком ввода данных о пользователе, подсистемы регистрации пользователей.

4. Автоматизированная информационная система по п.2, отличающаяся тем, что подсистема мобильной идентификации содержит блок генерации одноразовых паролей и номеров сессий, связанный с временным хранилищем одноразовых паролей и номеров сессий, блок шифрования информационного обмена при мобильной идентификации, связанный с временным хранилищем одноразовых паролей и номеров сессий, блоком взаимодействия с АИС операторов мобильной связи и блоком проверки корректности ввода одноразового пароля или номера сессии пользователем, блок взаимодействия с АИС операторов мобильной связи, предназначенный для передачи одноразовых паролей и номеров сессий в систему мобильного оператора для отправки этих данных в виде SMS, и связанный с блоком шифрования информационного обмена при мобильной идентификации, временное хранилище одноразовых паролей и номеров сессий, связанное с блоком генерации одноразовых паролей и номеров сессий, блоком проверки корректности ввода одноразового пароля или номера сессии пользователем и блоком шифрования информационного обмена при мобильной идентификации, блок проверки корректности ввода одноразового пароля или номера сессии пользователем, связанный с временным хранилищем одноразовых паролей и номеров сессий и блоком шифрования информационного обмена при мобильной идентификации, блок проверки статуса сертификата, предназначенный для взаимодействия с Центром сертификации и для проверки статуса сертификата открытого ключа пользователя при попытке пройти мобильную аутентификацию и идентификацию на основе инфраструктуры открытых ключей (PKI).

Автоматизированная система электронного документооборота закрытого контура ведомственного сегмента министерства обороны // 92213

Автоматизированная система передачи данных государственной автоматизированной системы "выборы" // 94034

Интегрированная автоматизированная информационно-аналитическая система для комплексного управления промышленным предприятием // 64791

Сотовый телефон // 68824

Информационная система // 15141

Система автоматизированного функционально-технического управления в режиме реального времени инфраструктурой инженерной безопасности несущих конструкций уникальных жилых и общественных зданий // 123187

Съемный носитель информации // 102139

Организация программы автоматизированной системы электронного документооборота гас выборы // 63565

Изобретение относится к вычислительной технике, в частности, к автоматизированной системе электронного документооборота ГАС «Выборы» Техническим результатом является повышение быстродействия системы путем локализации поиска адресов картотеки дел по идентификаторам дел, находящихся в делопроизводстве