Способ аутентификации объекта

Авторы патента:

H04L9/32 - со средствами для установления личности или полномочий пользователя системы (вычислительные системы G06F; безмонетные или подобные автоматы для карт с опознавательным кодом или для кредитных карт G07F 7/08)

Владельцы патента RU 2416169:

Российская Федерация, от имени которой выступает Государственная корпорация по атомной энергии "Росатом" (RU)
Федеральное государственное унитарное предприятие "Российский федеральный ядерный центр - Всероссийский научно-исследовательский институт экспериментальной физики" (ФГУП "РФЯЦ - ВНИИЭФ") (RU)

Изобретение относится к вычислительной технике, а именно к средствам обеспечения безопасности информации. Техническим результатом является повышение криптостойкости и расширение функциональных возможностей. Технический результат достигается тем, что предварительно в первый и второй блоки обработки данных вносят соответственно первые и вторые данные, во второй блок обработки данных дополнительно вносят признак объекта, затем производят выработку первой битовой последовательности в первом блоке обработки данных и ее передачу во второй блок обработки данных, в котором производят выработку второй битовой последовательности из первой битовой последовательности, вторых данных и признака объекта посредством первого алгоритма преобразования и ее передачу в первый блок обработки данных, в котором производят выработку результата аутентификации второго блока обработки данных из первой и второй битовых последовательностей и первых данных посредством второго алгоритма преобразования, дополнительно в первом блоке обработки данных осуществляют выработку третьей битовой последовательности посредством третьего алгоритма преобразования, выработку четвертой битовой последовательности и их передачу во второй блок обработки данных. 1 ил.

Изобретение относится к вычислительной технике, в частности к средствам обеспечения безопасности информации.

Известен способ аутентификации (см. патент РФ №2236760, МПК: H04L 9/32, G07F 7/12, «Способ и устройство для взаимной аутентификации двух блоков обработки данных», Кузнецов Ю.Д., бюл.27, опубл. 27.09.2004), включающий следующие этапы: выработка первой битовой последовательности в первом блоке обработки данных, передача первой битовой последовательности во второй блок обработки данных, выработка второй битовой последовательности и третьей битовой последовательности из первой битовой последовательности и первых данных посредством первого алгоритма шифрования во втором блоке обработки данных, передача второй битовой последовательности в первый блок обработки данных; выработка первого результата аутентификации и четвертой битовой последовательности из первой битовой последовательности, второй битовой последовательности и вторых данных посредством второго алгоритма шифрования в первом блоке обработки данных, выработка пятой битовой последовательности из четвертой битовой последовательности и третьих данных посредством третьего алгоритма шифрования в первом блоке обработки данных, передача пятой битовой последовательности к второму блоку обработки данных, выработка второго результата аутентификации из третьей битовой последовательности, пятой битовой последовательности и четвертых данных посредством четвертого алгоритма шифрования во втором блоке обработки данных. Указанный способ взят в качестве наиболее близкого аналога заявляемого изобретения.

Недостатками наиболее близкого аналога являются его низкая криптостойкость, обусловленная невозможностью санкционированного изменения параметров аутентификации объекта при их компрометации, и невозможность получения индивидуальных характеристик объекта, что необходимо при аутентификации конкретных объектов при управлении группами однородных объектов, объединяемых общим алгоритмом преобразования и конфиденциальными данными.

Технический результат, на достижение которого направлено заявляемое изобретение, заключается в повышении криптостойкости способа аутентификации объектов системы управления и расширении его функциональных возможностей.

Для достижения технического результата способ аутентификации объекта, заключающийся в том, что предварительно в первый и второй блоки обработки данных вносят соответственно первые и вторые данные, затем производят выработку первой битовой последовательности в первом блоке обработки данных и ее передачу во второй блок обработки данных, в котором производят выработку второй битовой последовательности из первой битовой последовательности и вторых данных посредством первого алгоритма преобразования и ее передачу в первый блок обработки данных, в котором производят выработку результата аутентификации из первой и второй битовых последовательностей и первых данных посредством второго алгоритма преобразования, дополнен процедурой встраивания во вторую битовую последовательность признака объекта, который дополнительно вносят во второй блок обработки данных, дополнительно в первом блоке обработки данных осуществляют выработку третьей битовой последовательности посредством третьего алгоритма преобразования, выработку четвертой битовой последовательности и их передачу во второй блок обработки данных.

Указанная совокупность существенных признаков позволяет повысить криптостойкость способа аутентификации за счет возможности санкционированной смены данных объекта аутентификации и замены его индивидуального признака, и расширить функциональные возможности способа за счет возможности получения индивидуальных характеристик объекта, что необходимо при аутентификации конкретных объектов при управлении группами однородных объектов, объединяемых общим алгоритмом преобразования и конфиденциальными данными.

На чертеже представлена схема способа аутентификации, соответствующего изобретению, с возможностью смены конфиденциальных данных во втором блоке обработки данных.

На чертеже представлена система, содержащая первый блок 1 обработки данных и второй блок 2 обработки данных. При этом некоторые этапы способа выполняются в первом блоке 1 обработки данных, а другие этапы обработки данных - во втором блоке 2 обработки данных. Способ начинается с выработки первой битовой последовательности B1, которая в первом блоке 1 обработки данных в данном варианте вырабатывается с помощью генератора ZG случайных чисел. Первая битовая последовательность B1 передается от первого блока 1 обработки данных ко второму блоку 2 обработки данных, и во втором блоке 2 обработки данных с помощью первого алгоритма A1 преобразования вырабатывается вторая битовая последовательность B2 из первой битовой последовательности B1, вторых данных D2 и признака объекта (ПО).

В случае первого алгоритма преобразования A1 речь может идти об одном из известных из предшествующего уровня техники алгоритмов, таких как DES, RSA. В случае вторых данных D2 речь идет, например, о секретном ключе и/или о других данных, необходимых для вычисления второй битовой последовательности B2.

Затем вторая битовая последовательность B2 передается от второго блока 2 обработки данных к первому блоку 1 обработки данных. В первом блоке 1 обработки данных вырабатывается результат аутентификации R=ПО как результат аутентификации второго блока 2 обработки данных первым блоком 1 обработки данных (чтение индивидуального идентификатора ПО) из первой битовой последовательности B1, второй битовой последовательности B2 и первых данных D1 помощью второго алгоритма преобразования A2. Второй алгоритм преобразования А2 выбирается в соответствии с применяемыми алгоритмами преобразования, зарекомендовавшими себя как надежные, это такие как DES, RSA или методы с нулевым знанием, причем эти способы сохраняют свою надежность. Тем самым соответствующий изобретению способ достигает уровня тех же стандартов защищенности, которые обеспечиваются способами, известными из предшествующего уровня техники.

В первом блоке обработки данных вырабатываются и передаются во второй блок обработки данных третья (с помощью третьего алгоритма преобразования A3) и четвертая (с помощью генератора ZG случайных чисел) битовые последовательности для санкционированной замены данных D2 и признака объекта ПО соответственно. Такой подход позволяет повысить криптостойкость способа за счет своевременной смены конфиденциальных данных, обеспечения невозможности использования старой и скомпрометированной информации (Dl, D2 и ПО) для аутентификации объекта и формирования детерминированного алгоритма для перебора, который бы гарантировал несанкционированную аутентификацию объекта за ограниченное число попыток.

Реализация данного способа позволяет расширить функциональные возможности путем обеспечения возможности индивидуального управления объектами внутри группы однородных объектов в зависимости от признака объекта, при этом возможна гибкая настройка алгоритма управления в зависимости от состава объектов в группе, что позволяет создавать универсальные многофункциональные системы управления, подстраивающиеся под структуру и состав динамически изменяющихся управляемых объектов.

Таким образом, способ обеспечивает повышение криптостойкости путем возможности смены конфиденциальной информации при ее компрометации и расширение функциональных возможностей путем реализации алгоритма аутентификации объекта в группе однородных объектов по индивидуальным признакам, присущим только этому объекту.

Изготовлен лабораторный макет устройства, реализующего данный способ аутентификации, испытания которого подтвердили осуществимость и практическую ценность заявляемого способа.

Способ аутентификации объекта, заключающийся в том, что предварительно в первый и второй блоки обработки данных вносят соответственно первые и вторые данные, затем производят выработку первой битовой последовательности в первом блоке обработки данных и ее передачу во второй блок обработки данных, в котором производят выработку второй битовой последовательности из первой битовой последовательности и вторых данных посредством первого алгоритма преобразования и ее передачу в первый блок обработки данных, в котором производят выработку результата аутентификации второго блока обработки данных из первой и второй битовых последовательностей и первых данных посредством второго алгоритма преобразования, отличающийся тем, что предварительно во второй блок обработки данных дополнительно вносят признак объекта, который используют при формировании второй битовой последовательности, дополнительно в первом блоке обработки данных осуществляют выработку третьей битовой последовательности посредством третьего алгоритма преобразования, выработку четвертой битовой последовательности и их передачу во второй блок обработки данных.

Похожие патенты:

Интерфейс для удостоверений // 2408144

Изобретение относится к системам передачи цифровой информации, а именно к системам, используемым для подтверждения личности (аутентификации) человека. .

Защищенные загрузка и хранение данных в устройстве обработки данных // 2408071

Изобретение относится к способам защиты загрузки данных в устройство обработки данных. .

Защита целостности потокового контента // 2405199

Изобретение относится к способу передачи по меньшей мере одного потока контента в электронное устройство, использующее цифровое управление правами (DRM). .

Система и способ управления учетными записями в службе мгновенного обмена сообщениями // 2402882

Способ и средство управления потоками данных защищенных распределенных информационных систем в сети шифрованной связи // 2402881

Изобретение относится к области обеспечения информационной безопасности, а именно к способу и средству управления потоками данных в защищенных распределенных информационных системах, построенных с использованием сетей шифрованной связи, с целью предотвращения несанкционированного доступа пользователей к сетевым информационным ресурсам и сервисам посредством распределенного контроля устанавливаемых сетевых соединений.

Система, устройство, способ и компьютерный программный продукт для совместного использования цифровой информации // 2402068

Способ формирования и проверки подлинности электронной цифровой подписи, заверяющей электронный документ // 2401513

Изобретение относится к области электросвязи, а именно к области криптографических устройств и способов проверки электронной цифровой подписи (ЭЦП). .

Способ адаптивного параметрического управления безопасностью информационных систем и система для его осуществления // 2399091

Изобретение относится к вычислительной технике, а именно к информационным системам, и может быть использовано для управления безопасностью информационных систем. .

Система, устройство и способ для аутентификации конечного пользователя // 2395911

Изобретение относится к области аутентификации в сетях передачи данных. .

Способ предоставления доступа к зашифрованному контенту одной из множества абонентских систем, устройство для предоставления доступа к зашифрованному контенту и способ формирования пакетов защищенного контента // 2395166

Изобретение относится к способу предоставления доступа к зашифрованному контенту. .

Контролируемая система связи // 2417534

Изобретение относится к информационным сетям, в частности к системам и способам, которые предоставляют пользователям контролируемую среду связи, включающую в себя различные уровни конфиденциальности и/или защиты, которые позволяют пользователю обмениваться данными с другими пользователями на различных уровнях конфиденциальности или защиты одновременно

Способ передачи объекта права при управлении цифровыми правами // 2419225

Изобретение относится к способу передачи объекта прав между устройствами в системе управления цифровыми правами

Способ и устройство для взаимной аутентификации // 2420896

Изобретение относится к беспроводной связи, а именно к системам и способам взаимной аутентификации

Маркеры безопасности, включающие в себя отображаемые утверждения // 2421789

Изобретение относится к системам для предоставления цифровой идентификационной информации

Скрытие временных опознавателей пользовательской аппаратуры // 2427103

Изобретение относится к беспроводным сетям связи для предоставления услуг связи

Инфраструктура верификации биометрических учетных данных // 2434340

Изобретение относится к сетевым технологиям, а именно к устройствам и способам биометрической сетевой идентификации

Способ доверенного сетевого соединения для совершенствования защиты // 2437230

Изобретение относится к области сетевой защиты, а именно к способу доверенного сетевого соединения (TNC) для совершенствования защиты

Способ защиты ключей и вычислительное устройство // 2438166

Изобретение относится к защите электронных ключей (паролей) и, в частности, к способу защиты ключей с этапом подтверждения ключа, который выполняется аппаратным обеспечением компьютера

Управляемое политиками делегирование учетных данных для единой регистрации в сети и защищенного доступа к сетевым ресурсам // 2439692

Изобретение относится к вычислительной технике, а именно к управляемому политиками делегированию учетных данных для единой регистрации в сети и защищенного доступа к приложениям, ресурсам и/или услугам в сетевом вычислительном окружении

Способ осуществления транзакции между двумя серверами с предварительной проверкой достоверности посредством двух мобильных телефонов // 2439702

Изобретение относится к области транзакций, производимых между двумя серверами, соединенными между собой через сети связи любого рода, в частности между двумя серверами, соединенными между собой через интернет