Способ идентификации онлайн-пользователя и его устройства Российский патент 2021 года по МПК G06F21/30 

Настоящее изобретение относится к области информационных технологий, а именно к способу идентификации онлайн-пользователя и его устройства с помощью уникальных аппаратных и абонентских идентификаторов, например, по номеру мобильного абонента цифровой сети с интеграцией служб для связи в стандартах GSM, UMTS и пр. (MSISDN) или по уникальному составному ключу идентификации пользователя и устройства (UCIK), который связан с MSISDN, в Онлайн-сервисах при нахождении устройства онлайн-пользователя в любой сети передачи данных после первичной идентификации онлайн-пользователя в мобильной сети оператора сотовой связи (ОСС).

Термины, используемые в тексте описания изобретения

1. Сотовая связь (сеть подвижной связи, мобильная сеть/связь) - один из видов непрерывной при перемещении абонента мобильной радиосвязи в одном и том же частотном диапазоне, в основе которого лежит сотовая сеть, общая зона покрытия которой делится на ячейки (соты), определяющиеся частично перекрывающимися зонами покрытия отдельных базовых станций (БС).

2. MSISDN (Mobile Subscriber Integrated Services Digital Number) - номер мобильного абонента цифровой сети с интеграцией служб для связи в стандартах GSM, UMTS и пр.

3. SIM-карта (Subscriber Identification Module) - идентификационный электронный модуль абонента, применяемый в мобильной связи. Может быть выполнен как отдельный компонент, вставляемый в устройство связи, или находится штатно в устройстве за счет его аппаратно-программных средств (электронная sim-карта).

4. ICCID (Integrated Circuit Card identifier) - уникальный серийный номер SIM-карты.

5. IMSI (International Mobile Subscriber Identity) – международный идентификатор мобильного абонента (индивидуальный номер абонента), ассоциированный с каждым пользователем мобильной связи стандарта GSM, UMTS или CDMA.

6. UHSI (Unique Hardware Subscriber Identifier) - уникальный аппаратный идентификатор пользователя, в том числе, но не ограничиваясь, - абонента сотовой связи. В качестве UHSI может выступать, в частности, но не ограничиваясь, IMSI или ICCID, а также сертификаты в приложениях, операционной системе или идентифицирующие ключи на внешних аппаратных средствах.

7. IMEI (International Mobile Equipment Identity) - международный идентификатор мобильного оборудования, обычно уникальный, используется для идентификации аппаратов GSM, WCDMA и IDEN, а также некоторых спутниковых устройств.

8. OCC (Оператор Сотовой Связи) - компания, предоставляющая услуги сотовой связи для сотовых аппаратов своих абонентов. ОСС может инфраструктурно быть представлена как технически и юридически раздельные провайдеры разных входящих в сотовую связь функций. Некоторые провайдеры могут параллельно осуществлять одни и те же функции ( в том числе, но не ограничиваясь, хранение реестра MSISDN, связок MSISDN, IMEI и IMSI, отправка скрытых и обычных SMS, определение местоположения абонентского оборудования), считаясь при этом составной частью ОСС.

9. UD (User’s Device, или пользовательское устройство) - любая произвольная программно-аппаратная среда пользователя (включая, но не ограничиваясь, удаленную виртуальную OS), обеспечивающая корректную работу заявляемого Способа идентификации онлайн-пользователя и его устройства (далее Способ) на стороне пользователя.

10. Хранилище - любой технически приемлемый для обеспечения функционирования описываемой схемы контейнер для записи/хранения/чтения/редактирования/удаления информации в UD. В том числе, но не ограничиваясь, cookie или storage браузера, внутренний кэш приложения.

11. Данные - поддающееся многократной интерпретации представление информации в формализованном виде, пригодном для передачи, связи или обработки, которыми оперируют информационные системы и их пользователи.

12. Метаданные - информация о другой информации, или данные, относящиеся к дополнительной информации о содержимом или объекте. Метаданные раскрывают сведения о признаках и свойствах, характеризующих какие-либо сущности, позволяющие автоматически искать и управлять ими в больших информационных потоках.

13. Сеть (Вычислительная сеть, Компьютерная сеть) - система, обеспечивающая обмен данными между вычислительными устройствами (компьютеры, серверы, маршрутизаторы и другое оборудование). Для передачи информации могут быть использованы различные среды. Примеры Сети - Интернет, Интранет.

14. Онлайн - состояние подключенности к Сети, позволяющее участвовать в ее функционировании.

15. Пользователь - лицо или организация, которое использует Сеть для выполнения конкретной функции.

16. Сервер (Server) - выделенный или специализированный компьютер для выполнения сервисного программного обеспечения.

17. Серверное программное обеспечение - программный компонент вычислительной системы, выполняющий сервисные (обслуживающие) функции по запросу клиента, предоставляя ему доступ к определённым ресурсам или услугам.

18. Клиент (Client) - аппаратный и/или программный компонент вычислительной системы, посылающий запросы серверу.

19. Прямой доступ к мобильной сети - непосредственное подключение онлайн-пользователя к сотовой сети без возможности изменения данных и метаданных.

20. Непрямой доступ к мобильной сети - доступ, технически осуществляемый таким образом, что допускает изменение передаваемых данных, например, раздаваемый с другого устройства, подключенного к мобильной связи (или через недопустимые аппаратные средства, например, но не только, внешние GSM-модемы).

21. Интернет - всемирная система объединённых компьютерных сетей для хранения, обработки и передачи информации. Упоминается как Всемирная сеть и Глобальная сеть, а также просто Сеть. На основе Интернета работает Всемирная паутина (World Wide Web, WWW) и множество других систем передачи данных.

22. Интранет - в отличие от Интернета, это внутренняя частная сеть организации или крупного государственного ведомства.

23. Веб (WEB) - система доступа к связанным между собой документам и файлам на различных компьютерах, подключённых к Сети.

24. Страница - любой набор данных в любом техническом выражении, позволяющий Приложению отобразить интерфейс и программный функционал, необходимые для корректной работы пользователя в Приложении, включая компоненты заявляемого Способа.

25. Сайт - любой программно-аппаратный комплекс, предоставляющий услуги или информацию (включая двусторонний обмен информацией) по технологии WEB или иной технологии в сети. Представляет собой одну или несколько логически связанных между собой страниц (чаще всего, веб-страниц); также место расположения контента сервера. Обычно сайт в Сети представляет собой массив связанных данных, имеющий уникальный адрес и воспринимаемый пользователем как единое целое. Сайт позволяет как отображать информацию, так и получать её от пользователя для дальнейшей обработки, следствием чего может быть изменение отображаемой информации.

26. Инъекция кода - встраивание дополнительного программного кода в основной код страницы (как до загрузки страницы онлайн-пользователем, так и в процессе её загрузки - “на лету”), что позволяет расширить штатный функционал страницы, в частности, для реализации заявляемого в Способе функционала.

27. Браузер (веб-обозреватель) - прикладное программное обеспечение для просмотра страниц, содержания документов, компьютерных файлов и их каталогов; управления приложениями; а также для решения других задач. В Сети браузеры используют для запроса, обработки, манипулирования и отображения содержания сайтов, обмена файлами с серверами, а также для непосредственного просмотра содержания файлов графических форматов (gif, jpeg, png, svg), аудио-видео форматов (mp3, mpeg), текстовых форматов (pdf, djvu) и других файлов.

28. Cookie - небольшой фрагмент данных, отправленный сервером и хранимый на компьютере пользователя. Приложение (обычно веб-браузер) всякий раз при попытке открыть страницу соответствующего сайта пересылает этот фрагмент данных серверу в составе запроса.

29. Протокол передачи данных (далее - протокол) - набор соглашений интерфейса логического уровня, которые определяют обмен данными между различными программами. Эти соглашения задают единообразный способ передачи сообщений и обработки ошибок при взаимодействии программного обеспечения разнесённой в пространстве аппаратуры, соединённой тем или иным интерфейсом.

30. Безопасный протокол - протокол, обеспечивающий невозможность фальсификации третьими сторонами передаваемых данных.

31. HTTP (HyperText Transfer Protocol - протокол передачи гипертекста) - протокол прикладного уровня передачи произвольных данных. Основой HTTP является технология «клиент-сервер». Является недостаточно защищенным, так как позволяет промежуточным узлам связи добавлять в момент передачи в передаваемые данные свою информацию, не отличимую для клиента от первоначально переданной сервером.

32. IS (Identification Service) – Сервис Идентификации, обеспечивающий точную идентификацию клиента. Все серверные и клиентские программно-аппаратные составляющие IS по необходимости, но не обязательно, могут быть частично или полностью представлены программно-аппаратными решениями контрагентов. В частности, функции определения MSISDN, инъекции кода (в том числе, но не ограничиваясь, кода клиентского модуля) в http-данные, отправки скрытых и обычных SMS, проверки типа доступа пользователя к Сети (прямой или розданный другим онлайн-пользователем, получаемый через внешний или через внутренний GSM-модем), могут (но не обязательно) выполняться компонентами, созданными и/или размещенными в инфраструктуре ОСС или иных программно-аппаратных инфраструктурах третьих сторон. Все серверные составляющие IS могут частично и/или полностью находиться в инфраструктурном периметре контрагентов на любом типе серверного размещения (в том числе, но не ограничиваясь, на одиночном физическом, виртуальном, связанных физических или виртуальных серверах, или облачных решениях). Все клиентские программные составляющие IS могут быть или предустановлены в UD, или загружаться туда с серверной части IS. Взаимодействие серверных и клиентских частей, а также их обмен данными с третьим сторонами происходит по безопасному протоколу (за исключением случаев, требующих небезопасного протокола). Условием приемлемости для серверного и клиентского кода является возможность технического воспроизведения всех описанных в Способе шагов при условии соблюдения правил безопасности по эксплуатации UD. IS включает в себя:

а. клиентский модуль (Client Module - CM) - программный код на пользовательской стороне, отдельно предварительно встраиваемый (или загружаемый с сервера IS) в исполняемый код Онлайн-сервиса, не влияющий на основной функционал Онлайн-сервиса, но добавляющий функционал по идентификации онлайн-пользователя. CM может обновляться “на лету” как на страницах сайтов, так и в Приложении в процессе их работы.

b. серверный модуль (Server Module - SM) - программный код на серверной стороне для выполнения функций обработки данных и необходимого обмена данными между всеми составляющими инфраструктуры реализации Способа.

33. WebView - компонент операционной системы, позволяющий встраивать и просматривать веб-страницы в Приложении (в том числе, но не ограничиваясь, платформами iOS, Android и Windows Phone).

34. Онлайн-сервис - стороннее программно-аппаратное решение по продаже/предоставлению информации/товаров/услуг по Сети. Варианты реализации:

a. Партнерский сайт (PtS) - сайт, входящий в программу IS и разместивший у себя на страницах CM любым технически приемлемым способом.

b. Непартнерский Сайт (NPtS) - сайт, не входящий в программу IS и не разместивший у себя на страницах CM технически приемлемым способом.

c. Приложение (APP) - Программное Обеспечение для UD, приемлемо реализованное для участия в описываемом способе (в том числе, но не ограничиваясь, мобильное Приложение, выполненное, в частности, но не только, по технологии нативного кода, SDK-кода с разработкой в IDE, а также PWA и/или аналогичной WEB-технологии, в частности, но не обязательно, с применением WebView компонентов). Приложение может являться также встроенной функцией или компонентом Операционной Системы устройства.

d. WebView Приложение - Приложение, имеющее возможность отображать в пределах своего основного кода страницы, созданные по WEB технологии без передачи их для отображения во внешний браузер.

35. NUDID (Native Unique Device Identifier) - собственный аппаратный идентификатор устройства, предоставленный производителем устройства и хранимый на нем за счет штатных аппаратно-программных средств устройства (например, IMEI).

36. SUDID (Service Unique Device Identifier) - уникальный идентификатор устройства в SM, связанный на серверной стороне IS с собственным аппаратным идентификатором устройства пользователя (NUDID) и (по необходимости) с другими требуемыми данными пользователя, включая идентификаторы в других источниках данных и системах учета пользователя.

37. UID (Unique User Identifier) - уникальный идентификатор пользователя в SM, связанный на серверной стороне IS с MSISDN и другими необходимыми данными пользователя, включая идентификаторы (включая, но не ограничиваясь, СНИЛС, ИНН, номер социального страхования, аккаунты Социальных сетей и т.д.) в других источниках данных и системах учета пользователя.

38. UCIK (Unique Composite Identification Key) - уникальный составной ключ идентификации пользователя и устройства, включающий в себя SUDID и UID, служащий для однозначного определения Онлайн-сервисом пользователя и его устройства. UCIK может быть разовым - работающим в течение одной сессии и без записи/обновления в хранилище UD, а также многоразовым (обычный тип) - с записью/обновлением в хранилище UD.

39. UIKF (User's Identification Key Fingerprint) - отпечаток UCIK, генерируемый в IS и позволяющий однозначно отличить пользователя на стороне Онлайн-сервиса, но не идентифицировать в IS. UIKF может быть разовым - работающим в течение одной сессии и без записи/обновления в хранилище UD, а также многоразовым (обычный тип) - с записью/обновлением в хранилище UD.

40. Сессия – сеанс взаимодействия CM и SM в пределах открытия и закрытия приложения (включая браузер).

41. Скрытое SMS-сообщение - данное сообщение не выводится в интерфейсе мобильного устройства и пользователь его не видит.

42. UCC (Unique Confirmation Code) - уникальный код подтверждения, генерируемый и высылаемый из SM на устройство пользователя и отправляемый пользователем обратно для верификации совершения пользователем определенной операции или данных (в данном случае - определения MSISDN пользователя).

В Сетях существует большое количество Онлайн-сервисов, предоставляющих онлайн-пользователям различные услуги. Для того, чтобы воспользоваться этими услугами, онлайн-пользователь в большинстве случаев должен пройти процедуру идентификации и аутентификации в этих Онлайн-сервисах.

Существуют различные способы идентификации онлайн-пользователей, например, запись и чтение куки-файлов, отслеживание IP-адреса и тому подобное. Такие непрямые способы относительно ненавязчивы, но они недостаточно точны.

Для получения доступа к специальной информации или проведения финансовых или иных важных транзакций необходимо более точное распознавание онлайн-пользователя. Онлайн-пользователь должен зарегистрироваться в Онлайн-сервисе, сообщить о себе достоверную информацию, указать уникальный личный идентификатор. При повторных обращениях к этому Онлайн-сервису онлайн-пользователь должен пройти аутентификацию, при которой Онлайн-сервисы обычно запрашивают пароль, ПИН-код или тому подобное. Улучшенные способы аутентификации используют биометрические данные, такие как отпечатки пальцев, характеристики радужной оболочки глаза и тому подобное. Такие способы идентификации требуют от пользователя специфического аппаратного обеспечения, затрат времени на регистрацию и обновление информации в Онлайн-сервисах, обеспечения сохранности паролей, а от Онлайн-сервиса требуют определенных затрат для хранения данных пользователей и обеспечения конфиденциальности этих данных.

Владельцам пользовательских устройств доступ к информационным ресурсам предоставляется средствами их устройств, и безопасность информации, хранящейся на устройствах, или доступ к которой получают с их помощью, является важным вопросом. Операторы мобильной связи хранят информацию о своих абонентах и идентификаторах, присвоенных аппаратному обеспечению их устройств, и имеют возможность с необходимой точностью идентифицировать каждого онлайн-пользователя в случае выхода пользователя в сеть посредством мобильной связи.

Из уровня техники известен Способ идентификации устройства и пользователя по данным cookies, согласно патенту RU2607990 с приоритетом от 09.12.2015. Способ заключается в том, что предварительно создают базу идентификаторов зарегистрированных в информационной системе устройств на основании хранимых на устройствах данных cookies, формируют идентификатор устройства на стороне клиента при подключении устройства к информационной системе, отправляют сформированный идентификатор устройства со стороны клиента на сторону сервера, сравнивают на стороне сервера полученный идентификатор с идентификаторами зарегистрированных устройств, вычисляют для каждой пары сравниваемых идентификаторов устройств степень корреляции, принимают решение об инцидентности идентифицируемого устройства одному из зарегистрированных устройств, создают на предварительном этапе базу идентификаторов зарегистрированных пользователей, сопоставляют каждому зарегистрированному устройству список допущенных к работе на нем пользователей из числа зарегистрированных пользователей, после принятия решения об инцидентности идентифицируемого устройства одному из зарегистрированных устройств формируют идентификатор пользователя на стороне клиента, отправляют сформированный идентификатор пользователя со стороны клиента на сторону сервера, сравнивают на стороне сервера полученный идентификатор с идентификаторами зарегистрированных пользователей, вычисляют для каждой пары сравниваемых идентификаторов пользователей степень корреляции, принимают решение о соответствии пользователя одному из зарегистрированных, определяют допуск пользователя к работе на идентифицируемом устройстве. Недостатком данного способа является то, что он направлен на решение одной определенной задачи - это идентификация пользователя из числа различных пользователей в случае многопользовательской эксплуатации одного устройства. Способ не решает проблему идентификации пользователя мобильного Интернета и используемого им устройства в различных веб-сайтах, т.к. не предусматривает привязки к системе идентификации мобильного оператора (IMEI сотового устройства, IMSI SIM-карты), поэтому всегда есть вероятность того, что аппаратный идентификатор будет не уникален.

Известен Способ идентификации мобильного пользователя третьими лицами на основе карты модуля идентификации абонента (SIM-карта) и связанных с устройством параметров, доступных в телекоммуникационных сетях, по патенту GB 2573262 с приоритетом от 08.03.2018. Способ состоит из этапов: - Мобильный пользователь пытается взаимодействовать с Приложением или получить доступ к веб-сайту, разработчик Приложения/веб-сайта передает запрос мобильного идентификатора внешнему серверу IPification; Сервер IPification передает до шести запросов мобильного ID в виде вызовов API на сервер оператора мобильной связи, при этом каждый запрос мобильного ID основан на одном из следующих входных параметров, связанных с SIM-картой/устройством: IMSI, ICCID, IMEI, MSISDN, частный IP и общественный IP; - Сервер оператора мобильной связи передает мобильные идентификаторы обратно на сервер IPification; при этом каждый из мобильных идентификаторов генерируется в ответ на один из запросов мобильного ID, отправленных на сервер оператора мобильной связи в качестве входных параметров, и при этом каждый идентификатор мобильной связи является уникальным буквенно-цифровым идентификатором пользователя, являющегося абонентом услуг мобильной связи, предоставляемых оператором мобильной связи; - Сервер IPification проверяет, идентичны ли все идентификаторы мобильных устройств, полученные от сервера оператора мобильной связи, и в зависимости от результата проверки реагирует двумя альтернативными способами: Если результат проверки положительный, сервер IPification предоставляет единый мобильный идентификатор пользователя разработчику Приложения/веб-сайта, тем самым аутентифицируя мобильного пользователя и позволяя ему взаимодействовать с Приложением или получать доступ к веб-сайту; - Если результат проверки отрицательный, сервер IPification предоставляет разработчику Приложения/веб-сайта информацию о неудачной аутентификации пользователя, и в результате пользователю не разрешается взаимодействовать с Приложением или получать доступ к веб-сайту. Недостатком данного способа является использование его только для мобильного Интернета, что значительно сужает возможности пользователя в реальных обстоятельствах, например, когда доступ к Сети возможен только через беспроводную компьютерную сеть WiFi.

Наиболее близким аналогом заявленного изобретения является известный Способ и устройство транс-браузерного логина для мобильного терминала по патенту US2015220234 с приоритетом от 06.08.2015. Способ включает в себя создание папки с фрагментом данных (сookie) в модуле памяти мобильного устройства, генерирующего cookie путем корреляции адресов различных веб-сайтов с регистрационным именем и паролем абонента, соответствующим различным веб-сайтам, и международным идентификатором мобильного устройства (IMEI). Сервер веб-сайта хранит номер IMEI мобильного устройства под регистрационным именем, соответствующим абоненту. При обращении к веб-сайту браузер мобильного устройства проверяет, существует ли cookie веб-сайта в папке cookie. Если файл cookie веб-сайта существует в папке cookie, файл cookie отправляется на сервер веб-сайта, сервер веб-сайта считывает номер IMEI мобильного устройства из cookie, ищет соответствующее регистрационное имя и возвращает веб-страницу браузеру, для входа на веб-сайт с этим регистрационным именем. Основным недостатком данного изобретения является то, что оно по сути является способом идентификации устройства, а не пользователя. В нем идет речь только об идентификации по идентификатору или номеру IMEI мобильного устройства и нет идентификации по номеру мобильного абонента цифровой сети с интеграцией служб для связи в стандартах GSM, UMTS и пр. (MSISDN) или по уникальному составному ключу идентификации пользователя и устройства (UCIK). Так же недостатком данного способа является то, что он решает проблему запоминания учетных данных – регистрационного имени и пароля для авторизации, но не решает проблему автоматической идентификации пользователя посредством мобильного оператора. Поскольку файл cookie генерируют путем корреляции адресов различных веб-сайтов с регистрационным именем и паролем абонента, то пользователь должен заранее зарегистрироваться на всех выбранных веб-сайтах, что создает неудобство для пользователя. Идентификация мобильного устройства только с помощью IMEI и идентификатора мобильного абонента (IMSI) без участия оператора сотовой связи не является однозначной и не обеспечивает безопасного доступа к Интернет-ресурсам. Не предусмотрена возможность обращения к веб-сайтам через любого Интернет-провайдера.

Предлагаемое изобретение решает техническую проблему по устранению указанных недостатков, а именно освобождает онлайн-пользователя от регистрации на большом количестве онлайн-сервисов, обеспечивает надежную идентификацию онлайн-пользователя в Сети с привязкой к Сервису Идентификации, установленному средствами Сервиса Идентификации, например, на мобильном устройстве пользователя, обеспечивает единожды идентифицированному онлайн-пользователю доступ к Онлайн-сервисам через любую сеть передачи данных, включая WiFi, предоставляет механизм идентификации для более широкого круга устройств, например, компьютеров со встроенным GSM-модулем, Сетей и контрагентов, а не только веб-сайтов, работающих по другим принципам участников Сети.

Технический результат изобретения заключается в  повышении надежности идентификации онлайн-пользователя, например, владельца мобильного устройства (телефона, смартфона и других устройств), в Сети и обеспечение безопасности доступа к информационным ресурсам и платежным системам за счет определения и подтверждения Сервисом Идентификации, например, установленным оператором сотовой связи (ОСС), уникального идентификатора пользователя и его устройства при каждом обращении онлайн-пользователя к онлайн-сервисам.

Технический результат реализуется за счет следующих этапов осуществления способа идентификации онлайн-пользователя и его устройства. Онлайн-пользователь со своего устройства обращается к онлайн-сервису в Сеть по сети оператора сотовой связи либо запускает приложение, установленное на его устройстве, и в хранилище его устройства создается запись, содержащая сведения о пользователе и его устройстве. Затем запись в хранилище устройства сравнивается с информацией о пользователе и его устройстве, хранящейся на сервере. Отличие описываемого в данном патенте Способа заключается в том, что на сервере устанавливают серверный модуль, который формирует уникальный идентификатор онлайн-пользователя и его устройства, основанный на нефальсифицируемых аппаратных и абонентских идентификаторах пользователя: номер мобильного абонента цифровой сети с интеграцией служб для связи в стандартах GSM, UMTS и пр. (MSISDN), уникальный идентификатор устройства в сервисе идентификации, связанный на серверной стороне сервиса идентификации с собственным аппаратным идентификатором устройства пользователя (SUDID) и уникальный аппаратный идентификатор абонента провайдера связи (UHSI). Затем записывают уникальный идентификатор онлайн-пользователя и его устройства в хранилище на сервере, также записывают уникальный идентификатор пользователя и его устройства в хранилище на устройстве пользователя. Далее добавляют клиентский модуль с функционалом по идентификации к исполняемому коду онлайн-сервиса. В дальнейшем при повторном обращении к онлайн-сервису, требующему идентификации онлайн-пользователя в Сети, осуществляют идентификацию пользователя и его устройства с помощью серверного и клиентского модулей, сверяющих текущий идентификатор онлайн-пользователя и его устройства с идентификатором, хранящимся на сервере, проверяют соответствие аппаратных и абонентских идентификаторов онлайн-пользователя MSISDN, SUDID и UHSI с помощью команды/сообщения актуализации этих данных. При этом серверный модуль определяет собственный аппаратный идентификатор устройства (NUDID), уникальный аппаратный идентификатор пользователя (UHSI) и номер мобильного абонента цифровой сети (MSISDN) пользователя, генерирует уникальный идентификатор пользователя в серверном модуле (UID), уникальный идентификатор устройства в серверном модуле (SUDID), уникальный составной ключ идентификации пользователя и устройства (UCIK) и отпечаток UCIK (UIKF), при этом серверный модуль добавляет клиентский модуль в поток http-данных пользователя, обновляет у себя связку UHSI и MSISDN, и серверный модуль передает UCIK и UIKF в клиентский модуль, который записывает/обновляет их в хранилище. Причем при реализации онлайн-сервиса на непартнерском сайте (NPtS) клиентский модуль с функционалом по идентификации добавляют в поток данных, передающихся по протоколу http, в момент обращения онлайн-пользователя к онлайн-сервису, а при реализации онлайн-сервиса на партнерском сайте (PtS) клиентский модуль с функционалом по идентификации размещают на страницах онлайн-сервиса до обращения онлайн-пользователя. При обращении к онлайн-сервису по сети оператора сотовой связи через Приложение (APP) клиентский модуль с функционалом по идентификации интегрируют в Приложение и проверяют валидность идентификации через команду/сообщение актуализации аппаратных данных клиента. При обращении к онлайн-сервису и невозможности автоматически корректно идентифицировать онлайн-пользователя последний подтверждает свою личность в ручном режиме.

Таким образом, формирование уникального идентификатора онлайн-пользователя и его устройства на установленном серверном модуле, сохранение его в хранилище сервера и в хранилище устройства пользователя, добавление клиентского модуля с функционалом по идентификации к исполняемому коду онлайн-сервиса и дальнейшего сравнения и подтверждения уникального идентификатора пользователя и его устройства с помощью серверного и клиентского модулей позволяет с большой точностью идентифицировать онлайн-пользователя в Сети. Кроме того, единожды идентифицированному таким образом онлайн-пользователю по сети оператора сотовой связи (ОСС) обеспечивается беспрепятственный доступ при каждом обращении онлайн-пользователя к онлайн-сервисам. Проверка соответствия аппаратных и абонентских идентификаторов пользователя MSISDN, SUDID и UHSI обеспечивается механизмом специального сообщения или команды, что исключает возможность другому пользователю воспользоваться обращением к Сети и совершить, например, покупку, т.к. специальное сообщение не подтвердит уникальный идентификатор онлайн-пользователя и его устройства. В результате повышается безопасность доступа к информационным ресурсам и платежным системам. Следовательно, всей совокупностью указанных этапов осуществления способа реализуется указанный технический результат, заключающийся в повышении надежности идентификации онлайн-пользователя в Сети и обеспечении безопасности доступа к информационным ресурсам и платежным системам.

Изобретение осуществляется следующим образом:

43. Пользователь выходит в Сеть, выполняя любое из трех действий:

a. открывает браузер и запрашивает страницу,

i. с Непартнерского сайта, не входящего в программу сервиса идентификации онлайн-пользователя (IS) и не разместившего у себя на страницах клиентский модуль (CM),

ii. с Партнерского сайта, входящего в программу сервиса идентификации онлайн-пользователя (IS) и разместившего у себя на страницах клиентский модуль (CM).

b. запускает Приложение, загружающее данные через WebView (ВебВью - компонент операционной системы, позволяющий встраивать и просматривать веб-страницы в Приложении).

i. с Непартнерского сайта без CM,

ii. с Партнерского сайта с CM.

c. запускает Приложение, в которое интегрирован специальный плагин CM.

44. Для прохождения данных через мобильную сеть оператора сотовой связи (ОСС) серверный модуль (SM) определяет, прямой ли доступ в Сеть у пользователя. Если непрямой - происходит переход к шагам, когда уникального составного ключа идентификации пользователя и устройства (UСIK) в хранилище нет, в случае прохождения данных не через мобильную сеть ОСС (см. ниже пункт 3.b.ii). Если прямой - переход к шагам, описанным в дальнейших подпунктах этого пункта.

a. для Непартнерских сайтов без CM по http-протоколу в браузере или WebView-приложении:

i. Пользователь запрашивает любую страницу из пользовательского устройства (UD) через SM.

ii. SM определяет собственный аппаратный идентификатор устройства (NUDID), уникальный аппаратный идентификатор пользователя (UHSI) и номер мобильного абонента цифровой сети (MSISDN) пользователя, генерирует по необходимости уникальный идентификатор пользователя в SM (UID), уникальный идентификатор устройства в SM (SUDID), UCIK и отпечаток UCIK (UIKF). SM добавляет “на лету” CM в поток http-данных пользователя, обновляет у себя по необходимости связку UHSI и MSISDN. SM передает UCIK и UIKF в CM.

iii. UCIK и UIKF записывается/обновляется в хранилище.

b. по безопасному протоколу в браузере или WebView-приложении для Партнерских сайтов с CM:

i. Пользователь загружает на UD страницу с CM,

ii. CM запрашивает UCIK у SM или передает UCIK, который уже есть в хранилище, в SM.

iii. SM определяет NUDID, UHSI и MSISDN, генерирует по необходимости UID, SUDID, UCIK и UIKF, обновляет у себя по необходимости связку UHSI и MSISDN, отдает UCIK, UIKF и MSISDN (по необходимости) в ответе в CM.

iv. CM записывает/обновляет UCIK и UIKF в хранилище.

v. Онлайн-сервис получает UIKF или UIKF и MSISDN (по необходимости) от CM и/или SM.

c. для прохождения данных по безопасному протоколу из Приложения с интегрированным CM:

i. Пользователь запускает Приложение с интегрированным CM.

ii. CM отправляет запрос в SM для получения UCIK.

iii. SM определяет NUDID, UHSI и MSISDN, генерирует по необходимости UID, SUDID, UCIK и UIKF, обновляет у себя по необходимости связку UHSI и MSISDN, отдает UCIK, UIKF и MSISDN (по необходимости) в ответе в CM.

iv. CM записывает/обновляет UCIK и UIKF в хранилище.

v. Онлайн-сервис получает UIKF или UIKF и MSISDN (по необходимости) от CM и/или SM.

45. Для прохождения данных по безопасному протоколу не через мобильную сеть ОСС в браузере или WebView-приложении на странице Партнерского сайта, а также в Приложении с интегрированным CM.

a. Пользователь открывает в браузере Партнерский сайт с CM, WebView-приложение с подгрузкой страницы с CM или Приложение с интегрированным CM.

b. CM проверяет наличие UCIK в хранилище и:

i. если UCIK в хранилище есть, то

46. Происходит запрос от CM к SM с передачей UCIK.

47. SM по UCIK определяет NUDID и MSISDN, которые были зарегистрированы при последнем определении MSISDN пользователя.

48. SM отправляет команду/сообщение, например, но не ограничиваясь, скрытую SMS, на устройство пользователя,

a. в случае доставки сообщения SM получает актуальные данные по NUDID и MSISDN, после чего происходит переход к дальнейшим шагам (пункт 3.b.i.4).

b. в случае недоставки команды/сообщения происходит переход к шагам, когда UCIK в хранилище нет (см. ниже пункт 3.b.ii).

49. SM сравнивает старые и новые значения NUDID и MSISDN (по хранимым в SM данным и полученным в результате актуализации через команду/сообщение), после чего возможно два варианта сценария:

a. если NUDID и MSISDN совпадают, то SM возвращает статус успешной идентификации в CM.

b. если NUDID и/или MSISDN не совпадают, то SM генерирует по необходимости новые SUDID, UID, UCIK и UIKF, обновляет у себя по необходимости связку UHSI и MSISDN, возвращает в CM новый UCIK, UIKF, MSISDN (по необходимости) и статус успешной идентификации.

c. CM записывает/обновляет UCIK и UIKF в хранилище.

50. Онлайн-сервис получает UIKF или UIKF и MSISDN (по необходимости) от CM и/или SM.

i. если UCIK в хранилище нет, то:

51. CM показывает форму для ввода пользователем MSISDN, пользователь отправляет через форму на SM свой MSISDN, вследствие чего форма меняется и показывает поля для ввода уникальный код подтверждения (UCC).

52. SM генерирует и отправляет UCC на UD код для подтверждения, включая, но не ограничиваясь, SMS, нотификациями в Приложение или сообщениями в мессенджер.

53. Пользователь вводит в форме UCC, который отправляется в SM.

54. SM проверяет валидность UCC, и в случае его валидности отдает в CM ответ со статусом валидности кода, генерирует по необходимости UID, SUDID, разовый UCIK и разовый UIKF и отправляет в CM только разовый UIKF пользователя с указанием для CM не записывать UIKF в хранилище. Пользователь получает идентификацию по его MSISDN на время сессии.

55. Онлайн-сервис получает разовый UIKF и MSISDN (по необходимости) от CM и/или SM.

1. Пример 1.

Способ идентификации онлайн-пользователя и его устройства при запросе пользователя к Непартнерскому сайту (NPtS) при прямом доступе по мобильной сети Оператора сотовой связи (ОСС) по HTTP-протоколу из браузера или WebView-приложения осуществляется в следующей последовательности согласно схеме на Фиг.1:

a. Запрос из браузера или WebView-приложения (WebView - компонент операционной системы, позволяющий встраивать и просматривать веб-страницы в Приложении) на пользовательском устройстве (User’s Device - UD) к NPtS, не входящему в программу Сервиса Идентификации (IS) и не разместившего у себя на страницах Клиентский Модуль (CM) через Серверный Модуль (SM), в том числе, но не ограничиваясь, посредством технологий проксирования, DPI и кэширования.

b. Передача запроса на получение страницы от SM к Онлайн-сервису.

c. Получение страницы в любом техническом виде, в том числе, но не ограничиваясь, IP-пакеты, html код и т.д., в SM от Онлайн-сервиса.

d. SM определяет собственный аппаратный идентификатор устройства (NUDID), уникальный аппаратный идентификатор пользователя (UHSI) и номер мобильного абонента цифровой сети (MSISDN) пользователя, генерирует по необходимости уникальный идентификатор пользователя в SM (UID), уникальный идентификатор устройства в SM (SUDID), UCIK и отпечаток UCIK (UIKF). SM добавляет “на лету” CM в поток http-данных пользователя, обновляет у себя по необходимости связку UHSI и MSISDN. SM передает UCIK и UIKF в CM, который записывает/обновляет их в хранилище.

Таким образом, идентификация онлайн-пользователя и его устройства при обращении к Непартнерскому сайту была произведена с абсолютной точностью, благодаря сравнению и подтверждению уникального идентификатора пользователя и его устройства с помощью серверного и клиентского модулей, что обеспечивает безопасный доступ к информационным ресурсам.

2. Пример 2.

Способ идентификации онлайн-пользователя и его устройства при запросе пользователя к Партнерскому (PtS) сайту при прямом доступе (непрямой доступ см. Пример 6) по мобильной сети Оператора по безопасному протоколу из браузера или WebView-приложения осуществляется в следующей последовательности согласно схеме на Фиг.1:

a. Запрос к Партнерскому сайту из браузера/WebView-приложения для получения страницы на UD.

b. Получение в UD страницы от Онлайн-сервиса.

c. Запрос на получение CM со страницы к SM.

d. Загрузка CM в страницу от SM.

e. Запрос от CM к SM для получения UCIK.

f. SM определяет NUDID, UHSI и MSISDN, генерирует по необходимости UID, SUDID, UCIK и UIKF, обновляет у себя по необходимости связку UHSI и MSISDN, отдает UCIK, UIKF и MSISDN (по необходимости) в ответе в CM. CM записывает/обновляет UCIK и UIKF в хранилище.

j. Онлайн-сервис получает UIKF или UIKF и MSISDN (по необходимости) от CM.

Таким образом, идентификация онлайн-пользователя и его устройства при обращении к Партнерскому сайту была произведена с абсолютной точностью, благодаря сравнению и подтверждению уникального идентификатора пользователя и его устройства с помощью серверного и клиентского модулей, что обеспечивает безопасный доступ к информационным ресурсам.

3. Пример 3.

Способ идентификации онлайн-пользователя и его устройства при запросе пользователя к любому Онлайн-сервису при прямом доступе (непрямой доступ см. Пример 7) по мобильной сети Оператора по любому протоколу из Приложения со встроенным Клиентским Модулем осуществляется в следующей последовательности согласно схеме на Фиг.1:

a. Запрос от CM к SM для получения UCIK.

b. SM определяет NUDID, UHSI и MSISDN, генерирует по необходимости UID, SUDID, UCIK и UIKF, обновляет у себя по необходимости связку UHSI и MSISDN, отдает UCIK, UIKF и MSISDN (по необходимости) в ответе в CM. CM записывает/обновляет UCIK и UIKF в хранилище.

c. Онлайн-сервис получает UIKF или UIKF и MSISDN (по необходимости) от CM.

Таким образом, идентификация онлайн-пользователя и его устройства при обращении к Онлайн-сервису по мобильной сети Оператора по любому протоколу из приложения со встроенным Клиентским Модулем была произведена с абсолютной точностью, благодаря сравнению и подтверждению уникального идентификатора пользователя и его устройства с помощью серверного и клиентского модулей, что обеспечивает безопасный доступ к информационным ресурсам.

4. Пример 4.

Способ идентификации онлайн-пользователя и его устройства при запросе пользователя из браузера или WebView-приложения к Партнерскому сайту по безопасному протоколу и не по мобильной сети ОСС, с присутствующим в хранилище UCIK (иначе см. Пример 6) и успешной автоматической верификацией MSISDN онлайн-пользователя через команду/сообщение (иначе см. Пример 6) осуществляется в следующей последовательности согласно схеме на Фиг.1:

a. Запрос к Партнерскому сайту из браузера/WebView-приложения для получения страницы на UD.

b. Получение в UD страницы от Онлайн-сервиса.

c. Запрос на получение CM со страницы к SM.

d. Загрузка CM в страницу от SM.

e. Запрос от CM к SM с передачей UCIK из хранилища.

f. SM по UCIK определяет MSISDN и отправляет команду/сообщение (например, но не ограничиваясь, скрытую SMS) на устройство онлайн-пользователя.

j. Устройство сообщает в SM о получении команды/сообщения.

h. SM сравнивает старые и новые значения NUDID и MSISDN (по хранимым в SM данным и полученным в результате актуализации через команду/сообщение), после чего возможно два варианта сценария:

i. если NUDID и MSISDN совпадают, то SM возвращает статус успешной идентификации в CM,

ii. если NUDID и/или MSISDN не совпадают, то SM генерирует по необходимости новые SUDID, UID, UCIK и UIKF, обновляет у себя по необходимости связку UHSI и MSISDN, возвращает в CM новый UCIK, UIKF, MSISDN (по необходимости) и статус успешной идентификации. CM записывает/обновляет UCIK и UIKF в хранилище.

g. Онлайн-сервис получает UIKF или UIKF и MSISDN (по необходимости) от CM.

Таким образом, идентификация онлайн-пользователя и его устройства при обращении к Партнерскому сайту при запросе пользователя из браузера или WebView-приложения к Партнерскому сайту по любому протоколу и каналу связи была произведена с абсолютной точностью, благодаря сравнению и подтверждению уникального идентификатора пользователя и его устройства с помощью серверного и клиентского модулей, что обеспечивает безопасный доступ к информационным ресурсам.

5. Пример 5.

Способ идентификации онлайн-пользователя и его устройства при запросе пользователя из Приложения со встроенным Клиентским Модулем к Онлайн-сервису по безопасному протоколу и не по мобильной сети Оператора, с присутствующим в хранилище UCIK (иначе см. Пример 7) и успешной автоматической верификацией MSISDN онлайн-пользователя через команду/сообщение (иначе см. Пример 7) осуществляется в следующей последовательности согласно схеме на Фиг.1:

a. Запрос от CM к SM с передачей UCIK из хранилища.

b. SM по UCIK определяет MSISDN и отправляет команду/сообщение (например, но не ограничиваясь, скрытую SMS) на устройство онлайн-пользователя.

c. Устройство сообщает в SM о получении команды/сообщения.

d. SM сравнивает старые и новые значения NUDID и MSISDN (по хранимым в SM данным и полученным в результате актуализации через команду/сообщение), после чего возможно два варианта сценария:

i. если NUDID и MSISDN совпадают, то SM возвращает статус успешной идентификации в CM,

ii. если NUDID и/или MSISDN не совпадают, то SM генерирует по необходимости новые SUDID, UID, UCIK и UIKF, обновляет у себя по необходимости связку UHSI и MSISDN, возвращает в CM новый UCIK, UIKF, MSISDN (по необходимости) и статус успешной идентификации. CM записывает/обновляет UCIK и UIKF в хранилище.

e. Онлайн-сервис получает UIKF или UIKF и MSISDN (по необходимости) от CM.

Таким образом, идентификация онлайн-пользователя и его устройства при обращении к Онлайн-сервису при запросе пользователя из Приложения со встроенным Клиентским Модулем к Онлайн-сервису по любому протоколу и каналу связи, была произведена с абсолютной точностью, благодаря сравнению и подтверждению уникального идентификатора пользователя и его устройства с помощью серверного и клиентского модулей, что обеспечивает безопасный доступ к информационным ресурсам.

6. Пример 6.

Способ идентификации онлайн-пользователя и его устройства при запросе пользователя из браузера или WebView-приложения к Партнерскому сайту по безопасному протоколу и не по мобильной сети ОСС при отсутствующем UCIK в UD и/или невозможности автоматической верификации MSISDN - с ручной верификацией MSISDN онлайн-пользователя - осуществляется в следующей последовательности согласно схеме на Фиг.1:

a. Запрос к Партнерскому сайту из браузера/WebView-приложения для получения страницы на UD.

b. Получение в UD страницы от Онлайн-сервиса.

c. Запрос на получение CM со страницы к SM.

d. Загрузка CM в страницу от SM.

e. Запрос к SM из CM со страницы Партнерского сайта в браузере/WebView-приложении для получения формы с полями для ввода MSISDN.

f. Получение на UD от SM формы с полями для ввода MSISDN.

g. Передача MSISDN через форму от UD в SM. Изменение формы для показа поля ввода UCC (Unique Confirmation Code - уникальный код подтверждения).

h. Генерация кода подтверждения в SM и его отправка в UD (в том числе, но не ограничиваясь, через SMS, нотификацию в Приложении или сообщение в мессенджер).

i. Передача UCC (вводом пользователя или автоматическим считыванием из Приложения) в SM.

j. SM проверяет валидность UCC, и в случае его валидности отдает в CM ответ со статусом валидности кода генерирует по необходимости UID, SUDID, разовый UCIK и разовый UIKF и отправляет в CM только разовый UIKF пользователя с указанием для CM не записывать UIKF в хранилище. Пользователь получает идентификацию по его MSISDN на время сессии.

k. Онлайн-сервис получает разовый UIKF и MSISDN (по необходимости) от CM.

Таким образом, идентификация онлайн-пользователя и его устройства при обращении к Партнерскому сайту по любому протоколу и каналу связи с ручной верификацией MSISDN онлайн-пользователя была произведена с абсолютной точностью, благодаря сравнению и подтверждению уникального идентификатора пользователя и его устройства с помощью серверного и клиентского модулей, что обеспечивает безопасный доступ к информационным ресурсам.

7. Пример 7.

Способ идентификации онлайн-пользователя и его устройства при запросе пользователя из Приложения со встроенным Клиентским Модулем к Онлайн-сервису по безопасному протоколу и не по мобильной сети ОСС при отсутствующем UCIK в UD и/или невозможности автоматической верификации MSISDN - с ручной верификацией MSISDN онлайн-пользователя - осуществляется в следующей последовательности согласно схеме на Фиг.1:

a. Запрос к SM из Приложения со встроенным CM для получения формы с полями для ввода MSISDN.

b. Получение на UD от SM формы с полями для ввода MSISDN.

c. Передача MSISDN через форму от UD в SM. Изменение формы для показа поля ввода UCC (Unique Confirmation Code - уникальный код подтверждения).

d. Генерация кода подтверждения в SM и его отправка в UD (в том числе, но не ограничиваясь, через SMS, нотификацию в Приложении или сообщение в мессенджер).

e. Передача UCC (вводом пользователя или автоматическим считыванием из Приложения) в SM.

f. SM проверяет валидность UCC, и в случае его валидности отдает в CM ответ со статусом валидности кода генерирует по необходимости UID, SUDID, разовый UCIK и разовый UIKF и отправляет в CM только разовый UIKF пользователя с указанием для CM не записывать UIKF в хранилище. Пользователь получает идентификацию по его MSISDN на время сессии.

g. Онлайн-сервис получает разовый UIKF и MSISDN (по необходимости) от CM.

Таким образом, идентификация онлайн-пользователя и его устройства при обращении к Онлайн-сервису по любому протоколу и каналу связи с ручной верификацией MSISDN онлайн-пользователя была произведена с абсолютной точностью, благодаря сравнению и подтверждению уникального идентификатора пользователя и его устройства с помощью серверного и клиентского модулей, что обеспечивает безопасный доступ к информационным ресурсам.

Изобретение относится к области информационных технологий. Технический результат - повышение надежности идентификации онлайн-пользователя в сети и обеспечение безопасности доступа к информационным ресурсам. Для этого предложен способ идентификации онлайн-пользователя и его устройства, включающий первичное обращение онлайн-пользователя к Онлайн-сервису в Сеть, создание записей в хранилище устройства, содержащих сведения о пользователе и его устройстве, сравнение информации, затем устанавливают на сервере серверный модуль, который формирует уникальный идентификатор онлайн-пользователя и его устройства, основанный на идентификаторах пользователя - MSISDN, SUDID и UHSI, записывают уникальный идентификатор, добавляют клиентский модуль с функционалом по идентификации к исполняемому коду Онлайн-сервиса; при повторном обращении осуществляют идентификацию пользователя и его устройства с помощью модулей, проверяют соответствие аппаратных и абонентских идентификаторов с помощью команды/сообщения актуализации этих данных, сверяют текущий идентификатор с идентификатором, хранящимся на сервере. 4 з.п. ф-лы, 7 пр., 1 ил.

1. Способ идентификации онлайн-пользователя и его устройства, включающий первичное обращение онлайн-пользователя к Онлайн-сервису в Сеть со своего устройства по сети оператора сотовой связи, создание записей в хранилище устройства, содержащих сведения о пользователе и его устройстве, сравнение информации, записанной в хранилище, с информацией о пользователе и его устройстве, хранящейся на сервере, отличающийся тем, что устанавливают на сервере серверный модуль, который формирует уникальный идентификатор онлайн-пользователя и его устройства, основанный на нефальсифицируемых аппаратных и абонентских идентификаторах пользователя - номер мобильного абонента цифровой сети с интеграцией служб для связи (MSISDN), уникальный идентификатор устройства в серверном модуле (SUDID), уникальный аппаратный идентификатор пользователя (UHSI), записывают уникальный идентификатор онлайн-пользователя и его устройства в хранилище на сервере, записывают уникальный идентификатор онлайн-пользователя и его устройства в хранилище на устройстве пользователя, добавляют клиентский модуль с функционалом по идентификации к исполняемому коду Онлайн-сервиса; при повторном обращении к Онлайн-сервису, требующему идентификации онлайн-пользователя в Сети, осуществляют идентификацию пользователя и его устройства с помощью серверного и клиентского модулей, проверяют соответствие аппаратных и абонентских идентификаторов онлайн-пользователя MSISDN, SUDID и UHSI с помощью команды/сообщения актуализации этих данных, сверяют текущий идентификатор онлайн-пользователя и его устройства с идентификатором, хранящимся на сервере; при этом серверный модуль определяет собственный аппаратный идентификатор устройства (NUDID), уникальный аппаратный идентификатор пользователя (UHSI) и номер мобильного абонента цифровой сети (MSISDN) пользователя, генерирует уникальный идентификатор пользователя в серверном модуле (UID), уникальный идентификатор устройства в серверном модуле (SUDID), уникальный составной ключ идентификации пользователя и устройства (UCIK) и отпечаток UCIK (UIKF), при этом серверный модуль добавляет клиентский модуль в поток http-данных пользователя, обновляет у себя связку UHSI и MSISDN, и серверный модуль передает UCIK и UIKF в клиентский модуль, который записывает/обновляет их в хранилище.

2. Способ по п.1, отличающийся тем, что при реализации Онлайн-сервиса на Непартнерском сайте (NPtS) клиентский модуль (CM) с функционалом по идентификации добавляют в поток данных, передающихся по протоколу http, при обращении онлайн-пользователя к Онлайн-сервису.

3. Способ по п.1, отличающийся тем, что при реализации Онлайн-сервиса на Партнерском сайте (PtS) клиентский модуль с функционалом по идентификации размещают на страницах Онлайн-сервиса до обращения онлайн-пользователя.

4. Способ по п.1, отличающийся тем, что при обращении к Онлайн-сервису по сети оператора сотовой связи через Приложение (APP) клиентский модуль с функционалом по идентификации интегрируют в Приложение и проверяют валидность идентификации через команду/сообщение актуализации аппаратных данных клиента.

5. Способ по п.1, отличающийся тем, что при обращении к Онлайн-сервису и невозможности автоматически корректно идентифицировать онлайн-пользователя последний подтверждает свою личность в ручном режиме.