Маркер защиты

Область техники, к которой относится изобретение

Данное изобретение относится к области маркеров защиты. Более подробно изобретение касается маркера защиты, который допускает функциональные возможности OTP и PKI, и их комбинации.

Уровень техники

OTP, акроним одноразового пароля, относится в предшествующем уровне техники к паролю, который является допустимым только для единственного сеанса, т.е. отличается каждый раз, когда он требуется или генерируется. При использовании способов OTP пароли, которые были захвачены при подслушивании сети, фактически являются бесполезны. Поэтому OTP обычно используется в системах защиты, в которых пользователь должен быть аутентифицирован на сервере.

Например, RSA SecurID является мобильным устройством, которое генерирует псевдослучайную строку раз в минуту и отображает ее на встроенном дисплее. Всякий раз, когда пользователя просят ввести пароль в систему, он напечатает пароль, который представлен на дисплее маркера защиты RSA SecurID.

В обычном случае маркеры OTP работает следующим образом: одноразовый пароль отображается на встроенном дисплее на маркере. Пользователь должен предоставить хосту свой PIN (персональный идентификационный номер) и пароль, который отображен в этот момент на маркере OTP. Это обычно выполняется с помощью набора данных на клавиатуре, связанной с хостом. Другой проблемой относительно маркеров OTP является то, что они используют свой собственный источник энергии, т.е. батарею, которая создает некоторое неудобство, так как она должна заменяться время от времени.

Поскольку в текущих маркерах OTP один и тот же ключ используется и в маркере, и на сервере («симметричный ключ»), использование одного и того же ключа для более чем одного приложения опасно.

Другой разработанной технологией в области маркера защиты является технология маркера PKI (инфраструктура с открытым ключом), т.е. RSA и ECC (код с исправлением ошибок). Технология PKI основана на асимметричных ключах в отличие от того, как осуществлена технология OTP, т.е. основанная на симметричных ключах. Технология PKI допускает использование маркера не только как устройства аутентификации, но также и как механизма защиты, т.е. устройство, которое выполняет различные функциональные возможности, связанные с защитой типа кодирования, расшифровки, цифровой подписи и т.д.

В практическом аспекте PKI требует намного большей мощности обработки, чем OTP. Проблема становится чрезвычайно острой, когда мы имеем дело с ключами на 1024 бита и выше, например, с ключами на 2048 битов. Поэтому маркеры OTP могут быть легко осуществлены как мобильные устройства в отличие от маркеров PKI, которые обычно вставляются в другое устройство, через которое они связываются с внешним источником энергии.

В практическом аспекте приложения, которые используют маркеры OTP, являются очень ограниченными, и, следовательно, маркеры OTP используются главным образом для удаленного доступа, сетевого входа в систему и т.д. Технология маркеров PKI может использоваться для разнообразных реализаций, т.е. разнообразных схем аутентификации, обработки цифровых подписей, кодирования и декодирования, защищенной электронной почты и т.д.

Организация, которая уже использует маркеры OTP для своих целей и желает расширить использование с помощью добавления маркеров PKI, имеет дело с двумя главными проблемами: с точки зрения сервера есть проблемы доставки, подобные поддержке двух отдельных баз данных. С пользовательской точки зрения есть много неудобств, так как пользователь должен держать по меньшей мере два маркера, маркер OTP и маркер PKI.

Поэтому объектом данного изобретения является обеспечение маркера защиты, который поддерживает и технологию маркеров OTP, и технологию PKI, и их комбинации, получая, таким образом, функциональные возможности OTP и функциональные возможности PKI и их комбинацию.

Другим объектом данного изобретения является обеспечение маркера защиты, который достигает лучшего уровня защиты, чем уровень, обеспечиваемый каждой технологией отдельно.

Дополнительным объектом данного изобретения является обеспечение маркера защиты, который является более удобным для пользователя, чем маркер OTP и маркер PKI.

Еще одним дополнительным объектом данного изобретения является обеспечение системы защиты, которая допускает использование одной и той же базы данных ключей и для функциональных возможностей OTP, и для PKI.

Другие объекты и преимущества изобретения станут очевидными при дальнейшем ознакомлении с описанием.

При этом необходимо упомянуть, что, хотя SecurID поддерживается компанией RSA, предприятием, которое изобрело известный алгоритм с открытым ключом RSA, компания RSA не производит никакого маркера защиты, который использует открытые ключи для создания значений OTP, и при этом они не производят устройство, которое объединяет PKI технологию с технологией OTP в автономном режиме, т.е. отображают значение OTP на LCD (жидкокристаллическом дисплее), когда оно не связано с PC.

Раскрытие изобретения

В одном аспекте данное изобретение направлено на маркер защиты, содержащий: механизм одноразового пароля для выполнения функциональных возможностей одноразового пароля; механизм с открытым ключом для выполнения функциональных возможностей с открытым ключом по отношению к функциональным возможностям одноразового пароля; и средство проводной связи с хостом для того, чтобы соединить маркер защиты с хостом, и для того, чтобы обеспечить маркер защиты электропитанием, требуемым для того, чтобы использовать, по меньшей мере, механизм с открытым ключом; посредством чего допускается выполнение функциональных возможностей одноразового пароля и/или функциональные возможности инфраструктуры с открытым ключом маркера защиты.

Во втором аспекте данное изобретение направлено на маркер защиты OTP для того, чтобы надежно обеспечить одноразовое (т.е. в реальном масштабе времени, значение счетчика, список случайных чисел, и т.д.) значение системе хоста, где маркер защиты OTP содержит: средство для генерации указанного одноразового значения; механизм PKI для выполнения функциональных возможностей с открытым ключом относительно указанного одноразового значения; и средство связи с указанным хостом для того, чтобы обеспечивать указанное зашифрованное одноразовое значение указанному хосту.

В третьем аспекте данное изобретение направлено на систему защиты, содержащую: один или более маркеров защиты, каждый из которых содержит: механизм одноразового пароля для того, чтобы выполнить функциональные возможности одноразового пароля; механизм с открытым ключом для того, чтобы выполнить функциональные возможности системы с открытым ключом относительно функциональных возможностей одноразового пароля; и средство проводной связи с хостом для соединения маркера защиты с хостом и для того, чтобы обеспечить маркер защиты электропитанием, требуемым для использования, по меньшей мере, механизма с открытым ключом. Система содержит систему хоста, содержащую: механизм одноразового пароля, соответствующий механизму одноразового пароля маркеров защиты, для выполнения функциональных возможностей одноразового пароля; механизм с открытым ключом, соответствующий механизму с открытым ключом маркеров защиты, для выполнения функциональных возможностей системы с открытым ключом; средство связи, соответствующее средству связи маркеров защиты, для поддержки связи с маркерами защиты и для обеспечения маркеру электропитания, требуемого для использования, по меньшей мере, механизма маркера защиты с открытым ключом.

В четвертом аспекте данное изобретение направлено на способ для аутентификации клиента системой хоста, содержащий: на стороне клиента: (a) генерацию первого одноразового значения; (b) выполнение функциональных возможностей с открытым ключом относительно одноразового значения; (c) обеспечение значения системе хоста. На стороне системы хоста: (d) выполнение функциональных возможностей с открытым ключом, которые соответствуют функциональным возможностям системы с открытым ключом, выполненным на шаге (b) с обеспечением значения; (e) генерацию второго одноразового значения существенно тем же самым способом, каким сгенерировано первое одноразовое значение; аутентификация клиента при соответствии второго значения первому значению; посредством чего получается лучший уровень защиты аутентификации клиента.

Краткое описание чертежей

Данное изобретение может быть лучше понято вместе со следующими чертежами:

Фиг.1 схематично иллюстрирует процесс аутентификации, выполняемый маркером OTP, согласно предшествующему уровню техники.

Фиг.2 схематично иллюстрирует процесс аутентификации, выполняемый маркером OTP, согласно предпочтительному варианту осуществления изобретения.

Фиг.3 схематично иллюстрирует систему защиты согласно одному варианту осуществления изобретения.

Фиг.4 визуально иллюстрирует маркер защиты согласно предпочтительному варианту осуществления изобретения.

Осуществление изобретения

Фиг.1 схематично иллюстрирует процесс аутентификации, выполняемый маркером OTP, согласно предшествующему уровню техники.

На стороне маркера: одноразовое значение 51 (проиллюстрированное часами в режиме реального времени) и симметричный ключ 52 используются процессом 53 для генерации одноразового пароля 54. Одноразовый пароль 54 отображается на дисплее, встроенном в маркер. Одноразовый пароль передается к хосту с помощью набора его содержимого на средстве ввода, т.е. вспомогательной клавиатуре, связанной с хостом.

На стороне хоста: одноразовое значение 61 (которое должно соответствовать одноразовому значению 51) и симметричный ключ 62 (который должен быть тем же самым, что и ключ 52) используются процессом 63 (который должен быть тем же самым, что и процесс 53) для генерации одноразового пароля 64. Если сгенерированный одноразовый пароль 64 соответствует одноразовому паролю 54, который был сгенерирован маркером, то аутентификация считается положительной.

Фиг.2 схематично иллюстрирует процесс аутентификации, выполняемый маркером OTP, согласно предпочтительному варианту осуществления изобретения.

На стороне маркера: одноразовое значение 51 (проиллюстрированное часами в режиме реального времени) шифруется модулем 56 PKI с асимметричным ключом 55, генерируя зашифрованное одноразовое значение 57, которое предоставляется хосту.

На стороне хоста: одноразовое значение 57, которое было получено от маркера, расшифровывается асимметричным ключом 65 (который соответствует асимметричному ключу 55) модулем 66 PKI, приводя в результате к одноразовому паролю 67. Если одноразовый пароль 67 соответствует ожидаемому значению, то аутентификация считается положительной.

Специалисты в данной области техники оценят, что в дополнение к способу аутентификации, описанному здесь, могут быть другие способы аутентификации, которые комбинируют OTP и PKI. Способ, описанный здесь, является только примером разнообразия возможностей, открытых при объединении технологии OTP с технологией PKI. Например, вместо того чтобы шифровать и расшифровывать одноразовое значение, как описано на фиг.2, цифровую подпись (или цифровой сертификат) можно добавить к одноразовому значению 57 даже без использования шифрования. Таким образом, модуль 56 выполняет некоторую связанную с PKI активность вместе с защитой одноразового значения, и модуль 66 выполняет некоторую связанную с PKI активность, которая соответствует связанной с PKI активностью модуля 56.

Необходимо отметить, что предоставленное значение не обязательно эквивалентно ожидаемому значению, но должно соответствовать ожидаемому значению. Например, если одноразовое значение является реальным временем и если различие между значением 57 и значением 67 меньше чем, например, одна минута, то аутентификацию можно счесть положительной. Необходимо также отметить, что часы маркера могут не быть настроены точно на часы хоста, и поэтому небольшое различие между временем хоста и временем, обеспеченным маркером, должно быть учтено.

Другим одноразовым механизмом, известным в данной области техники, является счетчик. Каждый раз, когда пароль предоставлен, значение счетчика увеличивается на одну или другую предопределенную часть, не обязательно линейно. Конечно, для этой цели может быть осуществлен другой одноразовый механизм, например, список случайных чисел.

Механизм счетчика может быть осуществлен кнопкой, установленной на маркере. Каждый раз нажатие пользователя на кнопку увеличивает счетчик, и новое одноразовое значение генерируется и отображается на дисплее. Поскольку пользователь может нажать кнопку неумышленно, значение счетчика маркера, и значение счетчика на хосте могут быть не равны, а только соответствовать, т.е. они имеют различие не больше чем, например, 10. Таким образом, хост проверяет не только текущее значение счетчика, но также и следующих 10 значений, которые будут сгенерированы.

Согласно предпочтительному варианту осуществления изобретения ключ 55 является открытым ключом хоста, в то время как ключ 65 является соответствующим секретным ключом. Согласно другому предпочтительному варианту осуществления изобретения ключ 55 является секретным ключом маркера, в то время как ключ 65 является соответствующим открытым ключом.

Очевидно, что могут использоваться более сложные схемы шифрования/расшифровки. Например, шифруя одноразовое значение симметричным ключом, а затем шифруя результат секретным ключом.

Фиг.3 схематично иллюстрирует систему защиты, согласно одному варианту осуществления изобретения. Маркер 10 OTP/PKI (клиент) связан с системой 20 хоста (сервер) проводной связью 30.

Маркер 10 содержит:

- модуль 11 управления для выполнения функциональных возможностей PKI и OTP и для контролирования/управления функционирование маркера. Модуль управления может быть воплощен как центральный процессор, память и соответствующее программное обеспечение;

- один или более ключей 12 для функциональных возможностей OTP/PKI;

- генератор 13 одноразовых значений, например, часы в режиме реального времени, счетчик или другой элемент, который изменяется каждый раз при обращении к нему (например, список случайных чисел) для генерации одноразового значения;

- проводной интерфейс 14 связи для поддержки связи с хостом 20;

- дисплей 15 для отображения одноразовых паролей;

- источник питания 16, например, батарея, для обеспечения электропитания для использования маркера.

Согласно предпочтительному варианту осуществления изобретения, по меньшей мере, ключи 12 могут быть сохранены в пределах смарт-карты 17, которая обеспечивает относительно высокий уровень защиты. Как правило, смарт-карты являются также процессорным модулем вместе с памятью, и поэтому они могут выполнять другие функциональные возможности, например, функциональные возможности модуля 11 управления, PKI, и т.д.

Хост 20 содержит:

- модуль 21 управления для выполнения функциональных возможностей PKI/OTP. Функциональные возможности модуля 21 управления могут быть выполнены как часть операционной системы хоста 20, приложения, выполняемого на хосте 20, и т.д.;

- базу 22 данных для сохранения ключей, пользовательских идентификаторов авторизованных пользователей и т.д., вместе с OTP/PKI;

- генератор 23 одноразовых значений, например, часы в режиме реального времени, счетчик, список случайных чисел или другой элемент, который предоставляет различное значение каждый раз, когда к нему обращаются, соответствующий генератору 13 одноразового значения маркера 10;

- интерфейс 24 проводной связи, соответствующий проводной связи 14 маркера 10.

Фиг.4 визуально иллюстрирует маркер защиты согласно предпочтительному варианту осуществления изобретения. Дисплей 19 маркера 10 отображает одноразовый пароль подобно предшествующему уровню техники. Традиционным способом обеспечить одноразовый пароль является набор отображенного значения на средстве ввода хоста 20, например, вспомогательной клавиатуре. Согласно предпочтительному варианту осуществления данного изобретения вместо того, чтобы набирать пароль, пользователь вставляет соединитель 18 (например, разъем USB) в соответствующее гнездо хоста, и маркер взаимодействует с хостом через канал 30 связи (проводной или беспроводный), для того чтобы обеспечить одноразовый пароль.

Специалисты в данной области техники оценят, что изобретение может быть воплощено в других формах и другими путями без потери объема изобретения. Варианты осуществления, описанные здесь, нужно считать иллюстративными, а не ограничивающими объем изобретения.

1. Маркер доступа для достижения лучшего уровня защиты, содержащий:

механизм одноразового пароля для того, чтобы выполнять функциональные возможности одноразового пароля;

механизм с открытым ключом, соединенный с механизмом одноразового пароля, для того, чтобы выполнять функциональные возможности с открытым ключом относительно функциональных возможностей одноразового пароля; и

средство проводной связи с хостом, в котором средство связи соединено с механизмом одноразового пароля для того, чтобы соединять маркер доступа с хостом и для того, чтобы обеспечить маркеру доступа электропитание, требуемое для функционирования по меньшей мере механизма с открытым ключом.

2. Маркер доступа по п.1, который также содержит дисплей для отображения одноразового пароля и/или любой другой информации.

3. Маркер доступа по п.1, который также содержит микросхему смарт-карты для безопасного хранения ключей и для выполнения связанных с защитой функциональных возможностей.

4. Маркер доступа по п.1, в котором механизм одноразового пароля содержит средство для генерации одноразового значения, причем средство выбрано из группы, содержащей: часы в реальном масштабе времени и счетчик.

5. Маркер доступа по п.1, в котором средство связи выбрано из группы, содержащей: дисплей для отображения пароля и затем обеспечения ручным способом отображенного значения хосту, средство проводной связи с хостом, средство беспроводной связи с хостом.

6. Маркер доступа по п.5, в котором средство проводной связи также содержит предоставление электропитания для обеспечения электропитания маркеру доступа.

7. Маркер доступа по п.5, который также содержит перезаряжаемый источник питания, который заряжается энергией, предоставляемой через средство связи для обеспечения энергией для функционирования маркера доступа, не связанного в это время с хостом.

8. Маркер доступа с одноразовым паролем (OTP) для надежного обеспечения одноразового значение системе хоста, где маркер доступа с одноразовым паролем (OTP) содержит:

средство для генерации одноразового значения;

механизм PKI (инфрастуктура с открытыми ключами), соединенный со средством для генерации одноразового значения, для выполнения функциональных возможностей с открытым ключом относительно одноразового значения; и

средство связи с хостом, в котором средство соединено с механизмом PKI для обеспечения зашифрованного одноразового значения хосту.

9. Маркер доступа с одноразовым паролем (OTP) по п.8, в котором функциональные возможности с открытым ключом по отношению к одноразовому значению выбраны из группы, содержащей: шифрование одноразового значения посредством функциональных возможностей открытого ключа, и цифровую подпись одноразового пароля.

10. Маркер доступа с одноразовым паролем (OTP) по п.8, который также содержит дисплей для отображения зашифрованного одноразового значения и другой информации.

11. Маркер доступа с одноразовым паролем (OTP) по п.8, который также содержит микросхему смарт-карты для выполнения функциональных возможностей, связанных с защитой.

12. Маркер доступа с одноразовым паролем (OTP) по п.8, в котором одноразовое значение выбрано из группы, содержащей: реальное время, значение счетчика и группу случайных чисел.

13. Маркер доступа с одноразовым паролем (OTP) по п.8, в котором средство связи выбрано из группы, содержащей: дисплей для отображения пароля и затем обеспечения ручным способом отображенного значения хосту, средство проводной связи с хостом, средство беспроводной связи с хостом.

14. Маркер доступа с одноразовым паролем (OTP) по п.11, в котором средство проводной связи также содержит предоставление электропитания для обеспечения электропитания маркеру доступа.

15. Маркер доступа с одноразовым паролем (OTP) по п.8, который также содержит перезаряжаемый источник энергии, заряжаемый энергией, предоставляемой средством связи, для обеспечения энергии для работы маркера доступа в то время, как он не связан с хостом.

16. Система защиты, содержащая:

по меньшей мере один маркер доступа, содержащий: механизм одноразового пароля для выполнения функциональных возможностей одноразового пароля; механизм с открытым ключом для выполнения функциональных возможностей с открытым ключом относительно одноразового пароля; и средство проводной связи с хостом для соединения маркера доступа с хостом и для обеспечения маркера доступа электропитанием, требуемым для работы по меньшей мере механизма с открытым ключом;

систему хоста, содержащую: механизм одноразового пароля, соответствующий механизму одноразового пароля, по меньшей мере, одного маркера доступа для выполнения функциональных возможностей одноразового пароля; механизм с открытым ключом, соответствующий механизму с открытым ключом, по меньшей мере, одного маркера доступа для выполнения функциональных возможностей с открытым ключом; средство связи, соответствующее средству связи, по меньшей мере, одного маркера доступа для связи с, по меньшей мере, одним маркером доступа и для обеспечения маркеру электропитания, требуемого для использования по меньшей мере механизма с открытым ключом маркера доступа.

17. Система по п.16, в которой средство связи выбрано из группы, содержащей: дисплей, встроенный в каждый из, по меньшей мере, один маркер доступа для отображения пароля и затем отображения ручным способом значения указанному хосту, средство проводной связи, через которые указанный один, по меньшей мере, маркер доступа может быть обеспечен электропитанием, требуемым для выполнения операций с открытым ключом.

18. Система по п.16, в которой каждый, по меньшей мере, один маркер доступа содержит перезаряжаемый источник питания, который заряжается через электропитание, обеспеченное средством связи, для обеспечения энергией для работы с, по меньшей мере, одним процессором, в это время не связанным с хостом, допуская, таким образом, работу маркера доступа без внешнего электропитания.

19. Способ для аутентификации клиента системой хоста, способ содержит этапы, на которых:

на стороне указанного клиента:

(a) генерируют первое одноразовое значение;

(b) выполняют функциональные возможности с открытым ключом относительно одноразового значения;

(c) обеспечивают указанное значение системе хоста; на стороне системы хоста:

(d) выполняют функциональные возможности с открытым ключом, которые соответствуют функциональным возможностям с открытым ключом, выполненным на шаге (b) с предоставленным значением;

(e) генерируют второе одноразовое значение преимущественно тем же самым способом, которым сгенерировано первое одноразовое значение;

аутентифицируют клиента при соответствии второго значения первому значению;

посредством чего получают лучший уровень защиты аутентификации клиента.

20. Способ по п.19, в котором функциональные возможности с открытым ключом относительно одноразового значения выбраны из группы, содержащей: шифрование одноразового значения и цифровую подпись одноразового значения.

21. Способ по п.19, в котором клиент является маркером доступа.

22. Способ по п.19, в котором обеспечение зашифрованного значения хосту выполняется членом группы, содержащей: отображение зашифрованного значения на стороне клиента и затем обеспечения ручным способом отображенного значения хосту, средство проводной связи между клиентом и хостом, средство беспроводной связи между клиентом и хостом.