Способ аутентификации объекта


 


Владельцы патента RU 2416169:

Российская Федерация, от имени которой выступает Государственная корпорация по атомной энергии "Росатом" (RU)
Федеральное государственное унитарное предприятие "Российский федеральный ядерный центр - Всероссийский научно-исследовательский институт экспериментальной физики" (ФГУП "РФЯЦ - ВНИИЭФ") (RU)

Изобретение относится к вычислительной технике, а именно к средствам обеспечения безопасности информации. Техническим результатом является повышение криптостойкости и расширение функциональных возможностей. Технический результат достигается тем, что предварительно в первый и второй блоки обработки данных вносят соответственно первые и вторые данные, во второй блок обработки данных дополнительно вносят признак объекта, затем производят выработку первой битовой последовательности в первом блоке обработки данных и ее передачу во второй блок обработки данных, в котором производят выработку второй битовой последовательности из первой битовой последовательности, вторых данных и признака объекта посредством первого алгоритма преобразования и ее передачу в первый блок обработки данных, в котором производят выработку результата аутентификации второго блока обработки данных из первой и второй битовых последовательностей и первых данных посредством второго алгоритма преобразования, дополнительно в первом блоке обработки данных осуществляют выработку третьей битовой последовательности посредством третьего алгоритма преобразования, выработку четвертой битовой последовательности и их передачу во второй блок обработки данных. 1 ил.

 

Изобретение относится к вычислительной технике, в частности к средствам обеспечения безопасности информации.

Известен способ аутентификации (см. патент РФ №2236760, МПК: H04L 9/32, G07F 7/12, «Способ и устройство для взаимной аутентификации двух блоков обработки данных», Кузнецов Ю.Д., бюл.27, опубл. 27.09.2004), включающий следующие этапы: выработка первой битовой последовательности в первом блоке обработки данных, передача первой битовой последовательности во второй блок обработки данных, выработка второй битовой последовательности и третьей битовой последовательности из первой битовой последовательности и первых данных посредством первого алгоритма шифрования во втором блоке обработки данных, передача второй битовой последовательности в первый блок обработки данных; выработка первого результата аутентификации и четвертой битовой последовательности из первой битовой последовательности, второй битовой последовательности и вторых данных посредством второго алгоритма шифрования в первом блоке обработки данных, выработка пятой битовой последовательности из четвертой битовой последовательности и третьих данных посредством третьего алгоритма шифрования в первом блоке обработки данных, передача пятой битовой последовательности к второму блоку обработки данных, выработка второго результата аутентификации из третьей битовой последовательности, пятой битовой последовательности и четвертых данных посредством четвертого алгоритма шифрования во втором блоке обработки данных. Указанный способ взят в качестве наиболее близкого аналога заявляемого изобретения.

Недостатками наиболее близкого аналога являются его низкая криптостойкость, обусловленная невозможностью санкционированного изменения параметров аутентификации объекта при их компрометации, и невозможность получения индивидуальных характеристик объекта, что необходимо при аутентификации конкретных объектов при управлении группами однородных объектов, объединяемых общим алгоритмом преобразования и конфиденциальными данными.

Технический результат, на достижение которого направлено заявляемое изобретение, заключается в повышении криптостойкости способа аутентификации объектов системы управления и расширении его функциональных возможностей.

Для достижения технического результата способ аутентификации объекта, заключающийся в том, что предварительно в первый и второй блоки обработки данных вносят соответственно первые и вторые данные, затем производят выработку первой битовой последовательности в первом блоке обработки данных и ее передачу во второй блок обработки данных, в котором производят выработку второй битовой последовательности из первой битовой последовательности и вторых данных посредством первого алгоритма преобразования и ее передачу в первый блок обработки данных, в котором производят выработку результата аутентификации из первой и второй битовых последовательностей и первых данных посредством второго алгоритма преобразования, дополнен процедурой встраивания во вторую битовую последовательность признака объекта, который дополнительно вносят во второй блок обработки данных, дополнительно в первом блоке обработки данных осуществляют выработку третьей битовой последовательности посредством третьего алгоритма преобразования, выработку четвертой битовой последовательности и их передачу во второй блок обработки данных.

Указанная совокупность существенных признаков позволяет повысить криптостойкость способа аутентификации за счет возможности санкционированной смены данных объекта аутентификации и замены его индивидуального признака, и расширить функциональные возможности способа за счет возможности получения индивидуальных характеристик объекта, что необходимо при аутентификации конкретных объектов при управлении группами однородных объектов, объединяемых общим алгоритмом преобразования и конфиденциальными данными.

На чертеже представлена схема способа аутентификации, соответствующего изобретению, с возможностью смены конфиденциальных данных во втором блоке обработки данных.

На чертеже представлена система, содержащая первый блок 1 обработки данных и второй блок 2 обработки данных. При этом некоторые этапы способа выполняются в первом блоке 1 обработки данных, а другие этапы обработки данных - во втором блоке 2 обработки данных. Способ начинается с выработки первой битовой последовательности B1, которая в первом блоке 1 обработки данных в данном варианте вырабатывается с помощью генератора ZG случайных чисел. Первая битовая последовательность B1 передается от первого блока 1 обработки данных ко второму блоку 2 обработки данных, и во втором блоке 2 обработки данных с помощью первого алгоритма A1 преобразования вырабатывается вторая битовая последовательность B2 из первой битовой последовательности B1, вторых данных D2 и признака объекта (ПО).

В случае первого алгоритма преобразования A1 речь может идти об одном из известных из предшествующего уровня техники алгоритмов, таких как DES, RSA. В случае вторых данных D2 речь идет, например, о секретном ключе и/или о других данных, необходимых для вычисления второй битовой последовательности B2.

Затем вторая битовая последовательность B2 передается от второго блока 2 обработки данных к первому блоку 1 обработки данных. В первом блоке 1 обработки данных вырабатывается результат аутентификации R=ПО как результат аутентификации второго блока 2 обработки данных первым блоком 1 обработки данных (чтение индивидуального идентификатора ПО) из первой битовой последовательности B1, второй битовой последовательности B2 и первых данных D1 помощью второго алгоритма преобразования A2. Второй алгоритм преобразования А2 выбирается в соответствии с применяемыми алгоритмами преобразования, зарекомендовавшими себя как надежные, это такие как DES, RSA или методы с нулевым знанием, причем эти способы сохраняют свою надежность. Тем самым соответствующий изобретению способ достигает уровня тех же стандартов защищенности, которые обеспечиваются способами, известными из предшествующего уровня техники.

В первом блоке обработки данных вырабатываются и передаются во второй блок обработки данных третья (с помощью третьего алгоритма преобразования A3) и четвертая (с помощью генератора ZG случайных чисел) битовые последовательности для санкционированной замены данных D2 и признака объекта ПО соответственно. Такой подход позволяет повысить криптостойкость способа за счет своевременной смены конфиденциальных данных, обеспечения невозможности использования старой и скомпрометированной информации (Dl, D2 и ПО) для аутентификации объекта и формирования детерминированного алгоритма для перебора, который бы гарантировал несанкционированную аутентификацию объекта за ограниченное число попыток.

Реализация данного способа позволяет расширить функциональные возможности путем обеспечения возможности индивидуального управления объектами внутри группы однородных объектов в зависимости от признака объекта, при этом возможна гибкая настройка алгоритма управления в зависимости от состава объектов в группе, что позволяет создавать универсальные многофункциональные системы управления, подстраивающиеся под структуру и состав динамически изменяющихся управляемых объектов.

Таким образом, способ обеспечивает повышение криптостойкости путем возможности смены конфиденциальной информации при ее компрометации и расширение функциональных возможностей путем реализации алгоритма аутентификации объекта в группе однородных объектов по индивидуальным признакам, присущим только этому объекту.

Изготовлен лабораторный макет устройства, реализующего данный способ аутентификации, испытания которого подтвердили осуществимость и практическую ценность заявляемого способа.

Способ аутентификации объекта, заключающийся в том, что предварительно в первый и второй блоки обработки данных вносят соответственно первые и вторые данные, затем производят выработку первой битовой последовательности в первом блоке обработки данных и ее передачу во второй блок обработки данных, в котором производят выработку второй битовой последовательности из первой битовой последовательности и вторых данных посредством первого алгоритма преобразования и ее передачу в первый блок обработки данных, в котором производят выработку результата аутентификации второго блока обработки данных из первой и второй битовых последовательностей и первых данных посредством второго алгоритма преобразования, отличающийся тем, что предварительно во второй блок обработки данных дополнительно вносят признак объекта, который используют при формировании второй битовой последовательности, дополнительно в первом блоке обработки данных осуществляют выработку третьей битовой последовательности посредством третьего алгоритма преобразования, выработку четвертой битовой последовательности и их передачу во второй блок обработки данных.



 

Похожие патенты:

Изобретение относится к системам передачи цифровой информации, а именно к системам, используемым для подтверждения личности (аутентификации) человека. .

Изобретение относится к способам защиты загрузки данных в устройство обработки данных. .

Изобретение относится к способу передачи по меньшей мере одного потока контента в электронное устройство, использующее цифровое управление правами (DRM). .

Изобретение относится к области обеспечения информационной безопасности, а именно к способу и средству управления потоками данных в защищенных распределенных информационных системах, построенных с использованием сетей шифрованной связи, с целью предотвращения несанкционированного доступа пользователей к сетевым информационным ресурсам и сервисам посредством распределенного контроля устанавливаемых сетевых соединений.

Изобретение относится к области электросвязи, а именно к области криптографических устройств и способов проверки электронной цифровой подписи (ЭЦП). .

Изобретение относится к вычислительной технике, а именно к информационным системам, и может быть использовано для управления безопасностью информационных систем. .

Изобретение относится к области аутентификации в сетях передачи данных. .

Изобретение относится к информационным сетям, в частности к системам и способам, которые предоставляют пользователям контролируемую среду связи, включающую в себя различные уровни конфиденциальности и/или защиты, которые позволяют пользователю обмениваться данными с другими пользователями на различных уровнях конфиденциальности или защиты одновременно

Изобретение относится к способу передачи объекта прав между устройствами в системе управления цифровыми правами

Изобретение относится к беспроводной связи, а именно к системам и способам взаимной аутентификации

Изобретение относится к системам для предоставления цифровой идентификационной информации

Изобретение относится к беспроводным сетям связи для предоставления услуг связи

Изобретение относится к сетевым технологиям, а именно к устройствам и способам биометрической сетевой идентификации

Изобретение относится к области сетевой защиты, а именно к способу доверенного сетевого соединения (TNC) для совершенствования защиты

Изобретение относится к защите электронных ключей (паролей) и, в частности, к способу защиты ключей с этапом подтверждения ключа, который выполняется аппаратным обеспечением компьютера

Изобретение относится к вычислительной технике, а именно к управляемому политиками делегированию учетных данных для единой регистрации в сети и защищенного доступа к приложениям, ресурсам и/или услугам в сетевом вычислительном окружении

Изобретение относится к области транзакций, производимых между двумя серверами, соединенными между собой через сети связи любого рода, в частности между двумя серверами, соединенными между собой через интернет
Наверх