Область техники, к которой относится изобретение
Настоящее изобретение относится к гибко подключаемому компьютерному устройству и к способам использования гибко подключаемых главных компьютеров (хост-компьютеров).
Уровень техники
Интерфейс универсальной шины последовательного обмена данными (шины USB) описан в технических требованиях, доступных с использованием сети Интернет по адресу: www.usb.org.
Технология быстрой проводной связи, также называемая как "технология Института инженеров по электротехнике и радиоэлектронике (США) (IEEE) 1394", является вариантом шины USB, который также обеспечивает гибкое подключение и описан в стандарте IEEE 1394.
Программное обеспечение USBHasp является программным продуктом и объектом защиты настоящего заявителя - фирмы Aladdin, заявленным в октябре 1997 г., который включает USB-ключ. Программное обеспечение USBHasp не управляет доступом пользователя к сети ЭВМ, а скорее препятствует взаимодействию между программным обеспечением и компьютерной системой, посредством активизации копии программного обеспечения только тогда, когда USB-ключ, соответствующий этой копии, вводится в компьютерную систему.
До сих пор в число устройств, которые взаимодействовали через шину USB, входили только компьютеры, клавиатура, монитор, принтер, мышь, устройства считывания с интеллектуальных карт и биометрические датчики.
Известные устройства для обеспечения автоматизированного обслуживания мобильной или стационарной совокупности пользователей обычно включают устройство считывания с интеллектуальных карт. Представители мобильной совокупности носят интеллектуальные карты, которые используются, чтобы взаимодействовать с устройством автоматизированного обслуживания через устройство считывания с интеллектуальных карт.
Специфический недостаток интеллектуальных карт - то, что они требуют устройства считывания с интеллектуальных карт, которое является относительно дорогостоящим. Управляющие компьютеры, которые оборудованы устройством считывания с интеллектуальных карт, являются небольшим подмножеством совокупности хост-компьютеров, поскольку добавление устройства считывания с интеллектуальных карт делает компьютер значительно более дорогим.
Немецкий патент DE 19631050 описывает интерфейсный преобразователь для универсальной шины последовательного обмена, имеющий модуль с процессором, который изменяет формат и протокол в такие, которые соответствуют системе с отличающейся шиной.
В сообщении, датированном 17 ноября 1998, фирма Rainbow Technologies, Inc., заявила ключи защиты программного обеспечения универсальной последовательной шины (USB), которые могут также использоваться в качестве управляющих устройств аутентификации или доступа. Если уникальный идентификатор присвоить каждому ключу шины USB, то для ключа обеспечивается возможность заменять или дополнять персональные пароли. Уникальный идентификатор ключа шины USB делает его полезным в качестве устройства защиты портативного компьютера, обеспечивая сдерживание кражи (информации). Другие применения ключей шины USB включают: управление доступом к Web-странице, маркер пользователя для доступа к виртуальной частной сети (ВЧС, VPN), замену маркеров генератора пароля и хранение удостоверений личности, сертификатов и лицензий.
В информационном выпуске, датированном 19 января 1999 г., фирма Rainbow Technologies, Inc., заявляет о новом семействе маркеров шины USB для виртуальных частных сетей, которые обеспечивают аутентификацию конечных пользователей для виртуальных частных сетей и разрешают оператору доступ к защищенному от несанкционированного доступа сетевому оборудованию. Признаки этих маркеров включают "средство защиты сети Интернет, настолько миниатюрное, что его можно повесить на брелок с ключами", и "персонализацию конечного пользователя". Маркеры позволяют пользователю хранить персональную информацию в его или ее кармане предпочтительнее, чем на жестком диске.
Новая "уникальная для индивидуума" модель маркеров шины USB была заявлена фирмой Rainbow Technologies, Inc. 15 марта 1999.
Раскрытие всех публикаций, упомянутых в технических требованиях и в публикациях, цитируемых в них, приведено здесь в качестве ссылки.
Сущность изобретения
Настоящее изобретение направлено на обеспечение усовершенствованного гибко подключаемого устройства и усовершенствованных способов для его использования.
Таким образом, в соответствии с предпочтительным вариантом воплощения настоящего изобретения обеспечивается способ взаимодействия пользователь - компьютер для использования совокупностью гибко подключаемых компьютерных систем и совокупностью мобильных пользователей, способ, включающий сохранение информации, характеризующей каждого мобильного пользователя, на блоке для подсоединения к гибко подключаемой компьютерной системе (ГПКС, FCCS), который носит этот мобильный пользователь, и подсоединение блока для подсоединения к ГПКС мобильного пользователя для подключения к одной из гибко подключаемых компьютерных систем и для использования информации, характеризующей мобильного пользователя, с целью выполнения, по меньшей мере, одной компьютерной операции.
Еще в соответствии с предпочтительным вариантом воплощения настоящего изобретения, по меньшей мере, одна компьютерная операция содержит аутентификацию.
Также в соответствии с другим предпочтительным вариантом воплощения настоящего изобретения обеспечивается устройство, имеющее блок для подсоединения к ГПКС, который носит мобильный пользователь, причем устройство, имеющее блок для подсоединения к ГПКС, включает в себя портативное устройство, которое соединяется с гибко подключаемой компьютерной системой и содержит память и информацию, характеризующую мобильного пользователя и сохраненную в памяти, с возможностью доступа для гибко подключаемой компьютерной системы.
Также в соответствии с другим предпочтительным вариантом воплощения настоящего изобретения обеспечиваются устройства, имеющие блок для подсоединения к ГПКС, для ношения соответствующей совокупностью мобильных пользователей, причем совокупность устройств, имеющих блок для подсоединения к ГПКС, включает в себя множество разнообразных портативных устройств, каждое из которых совместимо с гибко подключаемой компьютерной системой и содержит память и информацию, характеризующую каждого мобильного пользователя из совокупности мобильных пользователей и сохраненную, с возможностью доступа для гибко подключаемой компьютерной системы, в памяти устройства, имеющего блок для подсоединения к ГПКС, которое должно носиться мобильным пользователем.
Дополнительно в соответствии с другим предпочтительным вариантом воплощения настоящего изобретения обеспечивается устройство, имеющее блок для подсоединения к ГПКС, включающее соединительный элемент, выполненный с возможностью соединения с гибко подключаемой компьютерной системой, и память, подключенную и расположенную рядом с соединительным элементом, чтобы таким образом сформировать портативный блок для подсоединения карманного размера, в котором память доступна для гибко подключаемой компьютерной системы через соединительный элемент.
Также в соответствии с другим предпочтительным вариантом воплощения настоящего изобретения обеспечивается устройство, имеющее блок для подсоединения к ГПКС, включающее соединительный элемент, выполненный с возможностью соединения с гибко подключаемой компьютерной системой, и центральный процессор, подключенный и расположенный рядом с соединительным элементом, чтобы таким образом сформировать портативный блок для подсоединения карманного размера, в котором центральный процессор осуществляет передачу данных к гибко подключаемой компьютерной системе через соединительный элемент.
Еще в соответствии с предпочтительным вариантом воплощения настоящего изобретения устройство, имеющее блок для подсоединения к ГПКС, также содержит центральный процессор, подключенный и расположенный рядом с соединительным элементом, чтобы таким образом сформировать портативный блок для подсоединения карманного размера, в котором центральный процессор осуществляет передачу данных к гибко подключаемой компьютерной системе через соединительный элемент.
Кроме того, в соответствии с предпочтительным вариантом воплощения настоящего изобретения, по меньшей мере, одна компьютерная операция содержит проверку цифровой сигнатуры и/или управление доступом к компьютерным сетям.
Еще в соответствии с предпочтительным вариантом воплощения настоящего изобретения информация, характеризующая каждого мобильного пользователя, содержит засекреченную информацию, не сохраняемую в компьютерной системе, чтобы таким образом повысить конфиденциальность.
Также в соответствии с другим предпочтительным вариантом воплощения настоящего изобретения обеспечивается способ взаимодействия пользователь - компьютер для использования совокупностью гибко подключаемых компьютерных систем и совокупностью мобильных пользователей, способ, включающий:
сохранение конфиденциальной информации, не сохраненной гибко подключаемой компьютерной системой, на блоке для подсоединения к ГПКС, который должен носиться мобильным пользователем из совокупности мобильных пользователей, и
подсоединение блока для подсоединения к ГПКС, принадлежащего мобильному пользователю, для подключения к одной из гибко подключаемых компьютерных систем и для использования конфиденциальной информации с целью выполнения, по меньшей мере, одной компьютерной операции, чтобы таким образом повысить конфиденциальность.
Предпочтительно устройство также включает микропроцессор, выполненный с возможностью приема обмена информацией по шине USB от интерфейса шины USB, для того, чтобы выполнять вычисления согласно этой информации и передавать результаты вычислений в модуль хранения данных для сохранения, и/или для шифрования, и/или для аутентификации, и/или для управления доступом.
Термин "порт шины USB" относится к порту, предназначенному для подключения периферийных устройств к компьютеру, который компонуется согласно стандарту передачи сигналов по шине USB, как описано в технических требованиях на шину USB, доступных посредством сети Интернет по адресу www.usb.org.
Термин "блок для подсоединения к USB", или "USB-ключ", или "аппаратный USB-ключ" относится к аппаратному устройству, схема которого сопрягается с портом шины USB для того, чтобы выполнить различные функции.
Термин "интеллектуальная карта" относится к обычной пластиковой карточке, в которую внедрена микросхема, которая взаимодействует со считывающим устройством, таким образом позволяя мобильному владельцу интеллектуальной карты взаимодействовать с машиной, в которой установлено устройство считывания с интеллектуальных карт, обычно с любой из сети машин этого типа.
Также в соответствии с предпочтительным вариантом воплощения настоящего изобретения обеспечивается электронный аппаратный ключ, который предпочтительно соединяется с гибким соединением, обеспечивающим порт, такой как порт шины USB любой компьютерной системы, например, персонального компьютера, портативной ЭВМ, миниатюрного компьютера или периферийного устройства. Электронный аппаратный ключ предпочтительно не требует никакого дополнительного считывающего оборудования. Аппаратный ключ может аутентифицировать информацию, и/или в нем можно сохранять пароли или электронные сертификаты; причем аппаратный ключ может иметь размеры ключа от квартиры.
Предпочтительно, когда аппаратный ключ вставляется в порт, обеспечивающий гибкое подключение, происходит надежно защищенный процесс "аутентификации по двум факторам" (т.е. "Что у Вас есть?" плюс "что Вы знаете?"), в котором: (а) электронный аппаратный ключ "считывается" управляющим программно-совместимым компьютером (РСС) или сетью и (б) пользователь вводит его или ее персональный пароль для аутентификации.
Подходящие прикладные программы для электронного аппаратного ключа включают аутентификацию для частной виртуальной сети, внешней сети и торговли с использованием электронных сетей.
Настоящее изобретение также пытается обеспечить усовершенствованное устройство с USB-шиной и усовершенствованные способы для его использования.
Таким образом, в соответствии с другим предпочтительным вариантом воплощения, обеспечивается: устройство USB-ключа для взаимодействия с главным компьютером (хост-компьютером) шины USB через порт шины USB; причем устройство USB-ключа включает в себя портативное устройство, скомпонованное таким образом, чтобы вставляться в порт шины USB; причем портативное устройство включает в себя интерфейс шины USB, передающий информацию по шине USB к- и из- хост-компьютера с USB; транслятор (преобразователь) протокола, функционирующий для преобразования информации шины USB из протокола обмена по шине USB в протокол обмена интеллектуальной карты, например, в протокол обмена международной организации по стандартизации по стандарту IS07816 и из протокола обмена интеллектуальной карты в протокол обмена по шине USB; и микросхему интеллектуальной карты, функционирующую таким образом, чтобы выполнять по меньшей мере одну функцию интеллектуальной карты, такую, как аутентификация, шифрование, управление доступом и защищенная память.
Также в соответствии с другим предпочтительным вариантом воплощения настоящего изобретения обеспечивается: устройство USB-ключа с возможностями хранения данных; при этом устройство USB-ключа включает в себя портативное устройство, такое как печатная плата (РСВ), скомпонованное таким образом, чтобы вставляться в порт шины USB; это портативное устройство включает в себя интерфейс шины USB, передающий информацию по шине USB к- и из- хост-компьютера с портом USB; и блок хранения данных, сохраняющий информацию, полученную из информации, передаваемой по шине USB.
Краткое описание чертежей
В дальнейшем изобретение поясняется описанием конкретных вариантов его воплощения со ссылками на сопровождающие чертежи, на которых:
фиг.1 изображает упрощенную блок-схему устройства, имеющего блок для подсоединения к USB, включающего в себя центральный процессор и память, выполненную не по стандарту ISO7816, причем это USB-устройство сконструировано и функционирует в соответствии с предпочтительным вариантом воплощения настоящего изобретения,
фиг.2 изображает упрощенную блок-схему устройства, имеющего блок для подсоединения к USB, включающего центральный процессор и память, выполненную по стандарту ISO7816, причем это USB-устройство сконструировано и функционирует в соответствии с предпочтительным вариантом воплощения настоящего изобретения,
фиг.3 изображает блок для подсоединения к ГПКС в разобранном виде, сконструированный и функционирующий в соответствии с предпочтительным вариантом воплощения настоящего изобретения и реализующий устройство, имеющее блок для подсоединения к USB, изображенное на фиг.1,
фиг.4 изображает блок для подсоединения к ГПКС в разобранном виде, сконструированный и функционирующий в соответствии с предпочтительным вариантом воплощения настоящего изобретения и реализующий устройство, имеющее блок для подсоединения к USB, изображенное на фиг.2, и
фиг.5А-5Б наглядно иллюстрируют способ взаимодействия пользователь - компьютер в соответствии с предпочтительным вариантом воплощения настоящего изобретения, предназначенный для использования совокупностью гибко подключаемых компьютерных систем и совокупностью мобильных пользователей.
Подробное описание предпочтительных вариантов воплощения
Фиг.1 изображает упрощенную блок-схему гибко подключаемого устройства, имеющего блок для подсоединения к USB, включающего центральный процессор и память, выполненную не по стандарту IS07816, причем это USB-устройство сконструировано и функционирует в соответствии с предпочтительным вариантом воплощения настоящего изобретения.
Специфическим признаком устройства, имеющего блок для подсоединения к USB, по фиг.1 является то, что оно имеет возможность хранения данных и, таким образом, аналогичен памяти интеллектуальной карты.
Устройство 10, имеющее блок для подсоединения к USB, содержит: печатную плату 25, которая включает микропроцессор или центральный процессор 30, например, микропроцессор Motorola 6805, микросхему Cypress или Intel 8051; устройство 40 интерфейса с USB; память 50, содержащую микропрограммное обеспечение, обслуживающее программируемый микропроцессор 30; запоминающее устройство 60 с произвольной выборкой (ЗУПВ), имеющее размер памяти, достаточный, чтобы обеспечить возможность предполагаемых вычислений, относящихся к микропроцессору 30; и память 70 данных пользователя, которая сохраняет данные пользователя. Некоторые или все элементы устройства 40 интерфейса USB, памяти 50, содержащей микропрограммное обеспечение, и запоминающего устройства 60 с произвольной выборкой (ЗУПВ) могут находиться внутри центрального процессора 30.
Устройство 40 интерфейса USB и память 50, содержащая микропрограммное обеспечение, могут быть интегрированы внутри микропроцессора 30.
Память, содержащая микропрограммное обеспечение, может быть любого подходящего типа, например, постоянным запоминающим устройством ПЗУ (ROM), стираемым программируемым ПЗУ (EPROM), электрически стираемым программируемым ПЗУ (EEPROM) или флэш-памятью, но не ограничивается ими.
Память 70 данных пользователя обычно не включает память, выполненную по стандарту IS07816-3 и может, например, содержать любой из следующих типов памяти: I2C, XI2C, проводная шина 2/3, флэш-память.
Как показано, устройство 10, имеющее блок для подсоединения к USB, скомпоновано таким образом, чтобы взаимодействовать с любым хост-компьютером 20 с шиной (портом) USB, например, таким как персональный компьютер или компьютер фирмы Macintosh, имеющим порт шины USB, но не ограничиваясь ими. Взаимодействие хост-компьютер - ключ регулируется в соответствии с протоколом обмена шины USB, например, таким как протокол обмена для шины USB, описанный в технических условиях на USB, доступных в сети Интернет по адресу www.usb.org. Пакеты данных шины USB проходят между хост-компьютером 20 с шиной USB и микросхемой 40 интерфейса шины USB.
Каждый пакет данных обычно включает следующие составляющие:
а. USB-Заголовок;
б. Данные, которые нужно сохранять/считывать с памяти 70 данных пользователя плюс дополнительную информацию, требуемую в соответствии с протоколами микросхемы 70 памяти, например, такие как адрес для сохранения/считывания данных, размер данных, которые необходимо сохранять/считывать, а также информацию о контрольной сумме контроля циклическим избыточным кодом (CRC), но не ограничиваясь ими;
в. Служебная пост-информация USB.
Поток данных обычно содержит следующее:
Микросхема 40 интерфейса USB принимает пакеты данных USB от хост-компьютера 20 с шиной USB, анализирует данные и подает проанализированные данные в микропроцессор 30. Микропроцессор 30 записывает данные на или считывает данные из памяти 50, содержащей микропрограммное обеспечение, запоминающего устройства с произвольной выборкой ЗУПВ 60 и памяти 70 данных пользователя, используя протокол обмена каждой памяти.
В процессе операции считывания микропроцессор 30 передает данные в микросхему 40 интерфейса USB, которая преобразует данные в формат пакета данных шины USB и передает их к хост-компьютеру 20.
Фиг.2 изображает упрощенную блок-схему устройства, имеющего блок для подсоединения к USB, сконструированного и функционирующего в соответствии с предпочтительным вариантом воплощения настоящего изобретения, которое является моноблочным устройством считывания с интеллектуальных карт, и микросхема интеллектуальной карты предпочтительно обеспечивает и возможности защищенного хранения, и криптографические возможности. Устройство, имеющее блок для подсоединения к USB, фиг.2, включает как центральный процессор, так и память 170 микросхемы интеллектуальной карты (ICC), обычно микросхемы, работающей на основе протокола обмена IS07816 (Т=0/1), поддерживающей связь с центральным процессором 130 посредством использования протокола обмена IS07816-3. Устройство, показанное на фиг.2, подобно устройству фиг.1, за исключением того, что не обеспечивается никакой памяти 70 данных отдельного пользователя. Размер оперативной памяти ЗУПВ 160 обычно составляет по меньшей мере 262 байта, для того чтобы поддерживать протоколы обмена IS07816-3, Т=0 или Т=1.
Каждый пакет данных обычно включает следующие составляющие:
а. Заголовок шины USB.
б. Пакет данных протокола обмена IS07816-3, Т=0/1.
в. Служебная пост-информация USB.
Микросхема 140 интерфейса USB принимает пакеты данных шины USB от хост-компьютера 120 с шиной USB, анализирует данные и подает проанализированные данные в микропроцессор 130. Микросхема 140 интерфейса USB анализирует данные и подает их в микропроцессор 30. Данные, которые обычно содержат сформатированный по протоколу IS07816-3 Т=0/1 пакет, передаются микропроцессором к интеллектуальной карте 170 согласно протоколу IS07816-3. Микропроцессор 130 получает ответ из интеллектуальной карты 160 и передает данные в микросхему 140 интерфейса USB. Микросхема 40 интерфейса USB преобразует данные в формат пакета данных шины USB и передает их к хост-компьютеру 120.
Особым преимуществом варианта воплощения фиг.2 является то, что обеспечивается функциональность интеллектуальной карты, и при этом нет необходимости специализированного устройства считывания, поскольку блок 110 для подсоединения непосредственно соединяется с гнездом шины USB в хост-компьютере 120.
Описанное здесь изобретение, в частности, полезно для компьютеризованных систем, обслуживающих организации, которые обрабатывают точную информацию, например, для банков, страховых компаний, бухгалтеров и других коммерческих организаций, а также профессиональных организаций, таких как медицинские или юридические организации.
Известные компьютерные системы включают компьютер (содержащий системную плату) и, по меньшей мере, одно периферийное устройство. Компьютер имеет ряд различных портов, которые соответственно согласуются с портами различных периферийных устройств. Каждый порт обычно может совмещаться только с какими-то определенными периферийными устройствами, а не с другими периферийными устройствами. Например, клавиатура не может быть связана с компьютером через порт принтера компьютера.
В компьютерных системах уровня техники, называемых здесь также "гибко подключаемыми компьютерными системами", компьютер и периферийные устройства включают, по меньшей мере, один идентичный порт, имея согласующиеся порты на любом другом компьютере и любом другом периферийном устройстве, такие, что любое периферийное устройство может быть по выбору связано с любым компьютером или с любым другим периферийным устройством. Также периферийное устройство может быть подключено к компьютеру не непосредственно, как в известных системах, но предпочтительнее через другое периферийное устройство. Вообще говоря, всегда имеется порт, доступный на одном или нескольких связанных периферийных устройствах в существующей компьютерной системе, так что другое периферийное устройство может быть, вообще говоря, всегда подключено к существующей компьютерной системе.
Примером гибко подключаемой компьютерной системы является система с шиной USB (USB - универсальная последовательная шина), в которой компьютер и каждое периферийное устройство включают порт шины USB. Другой пример гибко подключаемых компьютерных систем - недавно рассмотренная система быстрой проводной связи.
"Блок для подсоединения к USB" является портативным устройством, которое соединяется с системой с шиной USB и, в противоположность периферийным устройствам, которые содержат механические элементы, обычно содержит только память и/или центральный процессор и, следовательно, обычно имеет карманный размер. В более общем смысле, блок для подсоединения к USB - это пример блока для подсоединения, который может быть подключен к гибко подключаемой системе ГПКС.
Термин «блок для подсоединения к ГПКС» используется здесь для обозначения портативного устройства, которое соединяется с гибко подключаемой компьютерной системой и, в противоположность периферийным устройствам, которые содержат механические элементы, обычно содержит только память и/или центральный процессор, и, следовательно, обычно имеет карманный размер. Понятно, что поскольку каждое периферийное устройство, подключенное к гибко подключаемой компьютерной системе, обычно имеет по меньшей мере один порт, следовательно, гибко подключаемая компьютерная система любой конфигурации обычно имеет по меньшей мере один незанятый порт, доступный для взаимодействия с блоком для подсоединения к ГПКС. Оба типа аппаратных ключей, аппаратные USB-ключи и аппаратные ключи Rainbow - это примеры блоков для подсоединения к ГПКС.
Обычно каждый из множества модулей компьютерной системы (компьютер и одно или более периферийных устройств), формирующих компьютерную систему, имеет по меньшей мере два идентичных гнезда разъемов, и они соединяются между собой посредством кабелей, имеющих на концах разъемы со штырьками. В этом варианте воплощения блок для подсоединения к ГПКС может содержать разъем со штырьками. Однако понятно, что для согласования модулей компьютерной системы и блока для подсоединения к ГПКС согласно настоящему изобретению может использоваться любая подходящая схема соединения.
Известным использованием блоков для подсоединения к ГПКС является их использование вместе с программным обеспечением, имеющим возможность распознавания блоком для подсоединения. Продаваемое на рынке программное обеспечение фирм Aladdin и Rainbow функционирует, если только к системе хост-компьютера, в которой находится конкретная программная копия, подключен блок для подсоединения к ГПКС, который распознается этой программной копией. Блоки для подсоединения от фирм Aladdin и Rainbow не используются для аутентификации.
Компьютерные системы часто используются для того, чтобы принимать информацию, характеризующую мобильного пользователя, который является одним из совокупности мобильных пользователей, и обрабатывать эту информацию. Такая информация может содержать информацию аутентификации идентичности пользователя, банковскую информацию, информацию прав доступа и т.д. Традиционно эта информация сохраняется на интеллектуальной карте, которую носит пользователь, и представляется им в компьютерную систему. Однако это требует, чтобы компьютерная система была оборудована устройством считывания с интеллектуальных карт, специальной частью оборудования, предназначенной для считывания с интеллектуальных карт.
Согласно предпочтительному варианту воплощения настоящего изобретения информация, характеризующая мобильного пользователя, сохраняется на блоке для подсоединения к ГПКС. Специфические преимущества этого варианта воплощения настоящего изобретения состоят в том, что пользователь легко переносит информацию на носителе карманных размеров, так что любая гибко подключаемая компьютерная система любой конфигурации обычно способна взаимодействовать с пользователем через блок для подсоединения ГПКС, и что компьютеру не требуется никакого специализированного оборудования, чтобы осуществить взаимодействие.
Фиг.3 изображает в разобранном виде блок для подсоединения к ГПКС, сконструированный и функционирующий в соответствии с предпочтительным вариантом воплощения настоящего изобретения и применяющий устройство USB-ключа, показанное на фиг.1. Как видно, блок для подсоединения к ГПКС, показанный на фиг.3, содержит корпус, обычно сформированный из двух защелкивающихся вместе плоских покровных элементов 200 и 210, между которыми находится USB-соединитель 220 и печатная плата 25 фиг.1. USB-соединитель 220 может, например, содержать устройство, имеющее блок для подсоединения к USB, PLUG SMT <ACN-0213>, продаваемое компанией Aska Technologies Inc., №15, Alley 22, Lane 266, Fu Teh, 1st Rd., Hsl Chin, Taipei Shien, Taiwan (Тайвань). Печатная плата 25 несет на себе элементы 30, 40, 50, 60 и 70, показанные на фиг.1. Микропрограммное управление памятью 240 может находиться в контроллере 230 интерфейса USB.
Фиг.4 изображает в разобранном виде блок для подсоединения к ГПКС, сконструированный и функционирующий в соответствии с предпочтительным вариантом воплощения настоящего изобретения и реализующий устройство USB-ключа, показанное на фиг.2. Как видно, блок для подсоединения к ГПКС по фиг.4 содержит корпус, обычно сформированный из двух защелкивающихся вместе плоских покровных элементов 200 и 210, между которыми находится USB-соединитель 220 и печатная плата 125. Печатная плата 125 несет на себе элементы 130, 140, 150, 160 и 170, показанные на фиг.2. Микропрограммное управление микросхемой 250 интеллектуальной карты может находиться в контроллере 230 интерфейса USB.
Функциональные возможности интеллектуальной карты, которые предпочтительно обеспечиваются блоком для подсоединения к ГПКС согласно настоящему изобретению, включают в себя:
1. Управление доступом к компьютерным сетям:
интеллектуальная карта или блок для подсоединения содержит информацию идентификации, аутентификации сети и на этой основе разрешает доступ. Аутентификация может быть основана на запросах "что Вы имеете", "кто Вы", т.е. биометрической информации, а также "что Вы знаете" (например, пароль).
2. Цифровые сигнатуры или сертификаты для проверки или аутентификации идентичности отправителя документа.
3. Хранение конфиденциальной информации, например, медицинской информации. Интеллектуальная карта или блок для подсоединения может сохранять конфиденциальную информацию и взаимодействовать с сетью, которая не сохраняет конфиденциальную информацию.
Фиг.5А-5Б наглядно иллюстрируют способ взаимодействия пользователь - компьютер в соответствии с предпочтительным вариантом воплощения настоящего изобретения, для использования совокупностью гибко подключаемых компьютерных систем 300 и совокупностью мобильных пользователей. Информация, характеризующая каждого мобильного пользователя, например, имя и идентификатор, загружается в память блока 310 для подсоединения к ГПКС, который должен носить этот мобильный пользователь, обычно через контроллер интерфейса USB, такого, как модуль 230 на фиг.3.
Блок для подсоединения затем может быть подсоединен к одной из гибко подключаемых компьютерных систем, и информация, характеризующая мобильного пользователя, используется для того, чтобы выполнить по меньшей мере одну компьютерную операцию, обычно содержащую стандартные функциональные возможности интеллектуальной карты, например, аутентификацию.
Ниже описаны характерные особенности предпочтительного варианта воплощения настоящего изобретения:
а. Необходимость в расширенной аутентификации пользователя.
* Аутентификация - основа для любой системы защиты информации. Способность опознавать локальных и удаленных пользователей является критической проблемой для любой сети, типа локальная сеть (LAN)/интрасеть, многопользовательской среды.
б. Необходимость в шифровании и конфиденциальности.
* Шифрование и конфиденциальность содержания сообщения становится важной проблемой и для корпораций, и для отдельных пользователей.
в. Необходимость безопасности пароля и предъявления пароля.
* Защита пароля и управление пользовательским паролем - ключевые проблемы для пользователей корпоративных сетей. Пароли представляют собой единственную наиболее важную защиту, касающуюся любой компьютерной среды.
В настоящее время существует потребность в аппаратных ключах защиты, основанных на аппаратном обеспечении персонального компьютера.
* Ключ предъявления пароля (Sign-On-Key, SOK) - аппаратный ключ, основанный на аппаратном обеспечении, который органично интегрируется с операционной системой и приложениями для того, чтобы обеспечить:
* ключ аутентификации пользователя
* основу для системы шифрования
* лучшую защиту предъявления пароля и расширенное управление паролем пользователя
* защиту программного обеспечения. Аутентификация - 3 базисных элемента:
* Что Вы знаете --> Пароль
* Что Вы имеете --> Ключ предъявления пароля
* Кто Вы --> например, биометрические характеристики
* Предположение: два из вышеупомянутых трех элементов обеспечивают "достаточно хорошую" защиту.
Шифрование
* Необходимость шифровать данные, файлы, диски и поток информации очевидна.
Аппаратный ключ на основе аппаратного обеспечения с криптографическими возможностями может расширить защиту и является простым в использовании.
Предъявление пароля - где используются пароли?
* Вход в вашу операционную систему
* Вход в вашу компьютерную сеть (локальную, удаленную)
* Вход в сеть Интернет/сервисной компании сети Интернет
* Вход в защищенные Web страницы
* Вход в прикладные программы программного обеспечения коллективной работы/связи
* Вход в другие прикладные программы, защищенные чувствительным паролем
* Программный продукт MS Office и другие защищенные файлы
* Защита начальной загрузки персонального компьютера (пароль Bios)
Предъявление пароля - главные риски защищенности доступа
Процесс предъявления пароля
Ключ предъявления пароля является аппаратным ключом защиты аппаратных средств, привязываемых пользователем к требующимся прикладным программам. Установленный однажды ключ предъявления пароля становится частью процесса входа (регистрации). Ключ предъявления пароля обеспечивает пользователя многочисленными степенями защиты и другими функциональными выгодами.
Что может делать ключ предъявления пароля для пользователя?
* Защита предъявления пароля
- расширенная защита и аутентификация. В дополнение к паролю пользователя требуется ключ предъявления пароля.
- Простота предъявления пароля
- упрощается процесс входа (регистрации) и устраняется необходимость в пароле. Ключ предъявления пароля заменяет пароль.
- Многократная автоматическая проверка пароля
- периодически проверять ключ предъявления пароля.
- Однократное предъявления пароля
- один ключ предъявления пароля заменяет несколько паролей для нескольких прикладных программ.
Мобильность и удаленные вычисления
- ключ предъявления пароля опознает удаленных пользователей
- ключ предъявления пароля может использоваться как носитель защищенных данных
- средство устрашения воров мобильных персональных компьютеров.
Аппаратный ключ защиты общего назначения
- шифрование файлов и данных
- аутентификация
- держатель ключа аутентификации
Различные опции ключа предъявления пароля
- В качестве ключей предъявления пароля может функционировать несколько аппаратных устройств:
- Ключ предъявления пароля на основе USB - маленький ключ, который подключается к новому стандартному порту шины USB. Порты шины USB становятся новым стандартом возможности подключения для персональных компьютеров и компьютеров типа Macintosh.
* Ключ предъявления пароля с интеллектуальной картой (ИК) - ключ предъявления пароля на основе интеллектуальной карты. Может использоваться с любым стандартным приводом интеллектуальной карты. Пользовательские спецификации (USP) и преимущества ключа предъявления пароля.
* Простой, интуитивно понятный, легкий в использовании, привлекательный аппаратный ключ
* Регистр состояния (IS) ключа является регистром состояния аппаратного ключа
* Низкая цена
* Высокая степень защиты
* Большие функциональные возможности
• память внутри аппаратного ключа - управление мощностью
• автоматическая многократная проверка пароля
• возможности подключения многих аппаратных ключей маркеров
* Решение агентов
Архитектура ключа предъявления пароля системы
Система с полностью запрограммированным ППЗУ
Агенты предъявления пароля
* Агент предъявления пароля является программным интерфейсом между ключом предъявления пароля и приложением.
* Предъявление пароля при начальной загрузке является специальным интерфейсом для пароля начальной загрузки персонального компьютера.
* Агенты могут быть предусмотрены для:
операционных систем OS/NetWare, например, Windows NT, 95/98, Зх, Novell, Unix
* программного обеспечения коллективной работы/почты - например, программных продуктов Lotus Notes, Outlook, Eudora - программные приложения для предпринимательства - например, программные продукты SAP, Baan, МК, Оракул, Magic Web-броузеров, например, программные продукты Explorer, Navigator.
Наиболее тривиальный агент - программный продукт Windows NT.
* наиболее тривиальный агент заменит сеанс предъявления пароля Windows
* при этом пользователи могут усилить:
• сверхзащищенность предъявления пароля Windows
• упрощение предъявления пароля Windows (ключ предъявления пароля заменяет пароль)
Ключ предъявления пароля - агент/система Web-броузеров
* Ключ предъявления пароля может использоваться в качестве аутентификационного аппаратного ключа, чтобы контролировать доступ к защищенным Web-страницам.
* Поставщики web-информации должны аутентифицировать, организовывать и обеспечивать ее доступ к их заказчикам.
Интерфейс прикладной программы ИПП, (API) ключа предъявления пароля (комплект разработки программного обеспечения КРПО (SDK).
• Интерфейс прикладной программы ключа предъявления пароля представляет собой уровень интерфейса между ключом предъявления пароля и прикладными программами третьей участвующей стороны.
- Этот интерфейс ИПП может быть опубликован и открыт для использования с помощью сертифицированных поставщиков, компаний, защищающих от несанкционированного доступа, и компаний SSO.
- Интерфейс прикладной программы ИПП ключа предъявления пароля будет также обеспечивать шифрование и обслуживание запоминающих устройств защищенной памяти.
- Интерфейс прикладной программы ИПП ключа предъявления пароля может быть выполнен на основе или совместимым со стандартом шифрования с открытым ключом PKCS≠11.
Процесс предъявления пароля (нет коммуникационного адаптера)
- Установка
- пользователь устанавливает агентов для требуемых прикладных программ
- пользователь определяет параметры предъявления пароля для каждой прикладной программы
- пользователь сохраняет информацию предъявления пароля в ключе предъявления пароля
Предъявление пароля
- запускается прикладная программа
- прикладная программа выходит на свой диалог предъявления пароля
- прикладная программа устанавливает связь с ключом предъявления пароля
разрешение предъявления пароля предоставляется на основе ключа предъявления пароля
Ключ предъявления пароля как носитель защищенного доступа
В дополнение к уникальному идентификатору ключа, ключ предъявления пароля будет содержать персональный защищенный участок памяти.
* Этот участок памяти может использоваться для сохранения уязвимой информации и сертификатов.
* Ключи идентификатора программных продуктов, такие, как файл идентификатора программного продукта Lotus Notes или ключи очень надежной программы шифрования (PGP) могут быть сохранены в этой памяти.
* Таким образом, ключ предъявления пароля может использоваться, чтобы увеличить защищенность доступа к мобильной вычислительной технике. Идентификаторы файлов сохраняются в ключе предъявления пароля вместо диска.
Ключ предъявления пароля - генератор шифрования и шифрование ключа предъявления пароля.
* Ключ предъявления пароля может использоваться как устройство шифрования.
* Может быть обеспечен интерфейс прикладной программы шифрования, например, исполнение ключа предъявления пароля, на 100% совместимого с интеллектуальной картой.
* Шифрование ключа предъявления пароля осуществляется утилитой шифрования данных/файла/жесткого диска, основанной на ключе предъявления пароля.
Комплект инструментальных средств сертификации ключа предъявления пароля.
Ключ предъявления пароля может использовать стандарты шифрования с открытым ключом PKCS≠11 и Х509 и сохранять сертификаты и/или цифровые идентификаторы. Ключ предъявления пароля содержит:
* Аппаратный USB-ключ предъявления пароля
* HASP (программный продукт защиты)
* Аппаратную блокировку
* Исходные функциональные возможности ключа предъявления пароля (уникальный идентификатор, персональная защищенная память)
* Кабель расширения USB-ключа предъявления пароля
* Аппаратный ключ интеллектуальной карты ключа предъявления пароля
* Интерфейс прикладной программы ИПП (API), ключа предъявления пароля (совместимый со стандартом шифрования с открытым ключом PKCS≠11).
* предоставление прав на совместимость/линию связи
* Агент Windows NT
* Агент программных продуктов Navigator и/или Explorer (S/Mime).
* Ключ и криптографирование (Бета-версия)
* Защищенная программа предохранения экрана
* Исходная товарная упаковка
* Ключевыми моментами являются быстрое распространение шины USB и доступность программного продукта Windows 98/NT.
* В США, Германии и Израиле все новые поставляемые персональные компьютеры оборудуются шиной USB.
Сегмент рынка на ранней стадии развития. Программные продукты Динамика защиты, ActivCard и Vasco управляют рынком услуг с первым поколением аппаратных ключей, основанных на времени, аппаратных ключей, основанных на одноразовом пароле или вызове.
Продавцы программных продуктов защиты будут стараться расширить свой рынок, вместе с тем используя второе поколение интегрированных предложенных для продажи интеллектуальных карт, которые будут поддерживать криптографию, запоминание цифровой сигнатуры и действия обработки.
Шина USB: лучшее подключение.
- Почти неограниченное расширение порта.
- Не требуется никаких расширительных карт для новых периферийных устройств,
- никакой установки запросов на прерывание, прямых доступов к памяти и т.д.
- Один тип подключения (блок для подсоединения и порт)
- разнообразие периферийных устройств
- никакой работы вслепую
- простая установка, только подключить и запустить.
Шина USE: лучшее подключение.
- Для быстродействия, мультимедийных приложений необходимы адреса
- 12 Мбит/сек, данные в асинхронном режиме (большой объем) и синхронном режиме Isoch (реального времени)
- цифровая звукозапись стереофонического качества
- высокая скорость передачи видео кадров (с уплотнением)
- высокая латентность прикладных программ (ускорение - обратная связь)
Для многих новых периферийных устройств не нужны блоки питания
- шина USB выдает ток до 500 мА
Значительно улучшается опыт работы пользователя персонального компьютера
- меньшее количество возвратов и возросший коммерческий потенциал.
Понятно, что шина USB - только один пример стандарта гибкой связи, и настоящее изобретение не должно быть ограничено шиной USB.
Понятно, что компоненты программного обеспечения настоящего изобретения при желании могут быть выполнены в виде ПЗУ (постоянного запоминающего устройства). Компоненты программного обеспечения, вообще говоря, могут при желании быть встроены в аппаратные средства, используя стандартные методы.
Понятно, что различные отличительные признаки изобретения, которые для ясности описаны в контексте отдельных вариантов воплощений, также могут быть обеспечены в комбинации в отдельном варианте воплощения. Наоборот, различные отличительные признаки изобретения, которые, для краткости, описаны в контексте единого варианта воплощения, также могут быть обеспечены по отдельности или в любой подходящей подкомбинации.
Специалистам должно быть понятно, что настоящее изобретение не ограничивается вышеописанными частными примерами и объем патентной защиты настоящего изобретения определяется только следующей формулой изобретения.
название | год | авторы | номер документа |
---|---|---|---|
СПОСОБ, СИСТЕМА И УСТРОЙСТВО ДЛЯ ПРОВЕРКИ ДОСТОВЕРНОСТИ ПРОЦЕССА ТРАНЗАКЦИИ | 2013 |
|
RU2644132C2 |
УСТРОЙСТВО ЗАЩИТЫ ИНФОРМАЦИИ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА ДЛЯ КОМПЬЮТЕРОВ ИНФОРМАЦИОННО-ВЫЧИСЛИТЕЛЬНЫХ СИСТЕМ | 2006 |
|
RU2321055C2 |
ЗАЩИТНЫЙ(Е) КОД(Ы) УСТРОЙСТВА, ИМЕЮЩЕГО ПО МЕНЬШЕЙ МЕРЕ ОДИН SIM | 2013 |
|
RU2641456C2 |
УСТРОЙСТВО СОЗДАНИЯ ДОВЕРЕННОЙ СРЕДЫ ДЛЯ КОМПЬЮТЕРОВ ИНФОРМАЦИОННО-ВЫЧИСЛИТЕЛЬНЫХ СИСТЕМ | 2013 |
|
RU2538329C1 |
Компьютерная система с удаленным управлением сервером и устройством создания доверенной среды и способ реализации удаленного управления | 2016 |
|
RU2633098C1 |
УСТРОЙСТВО СОЗДАНИЯ ДОВЕРЕННОЙ СРЕДЫ ДЛЯ КОМПЬЮТЕРОВ СПЕЦИАЛЬНОГО НАЗНАЧЕНИЯ | 2014 |
|
RU2569577C1 |
СЧИТЫВАЕМЫЙ КОМПЬЮТЕРОМ НОСИТЕЛЬ С МИКРОПРОЦЕССОРОМ ДЛЯ УПРАВЛЕНИЯ СЧИТЫВАНИЕМ И КОМПЬЮТЕР, ПРИСПОСОБЛЕННЫЙ ДЛЯ УСТАНОВЛЕНИЯ СВЯЗИ С ТАКИМ НОСИТЕЛЕМ | 1999 |
|
RU2249261C2 |
МОБИЛЬНОЕ ПЛАТЕЖНОЕ УСТРОЙСТВО, СПОСОБ ПРЕДОТВРАЩЕНИЯ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА К ПЛАТЕЖНОМУ ПРИЛОЖЕНИЮ И ЭЛЕМЕНТ ПАМЯТИ ДАННЫХ | 2009 |
|
RU2538330C2 |
КОНФИГУРИРОВАНИЕ ПАРАМЕТРОВ СЕТЕВОЙ НАСТРОЙКИ УСТРОЙСТВ ТОНКИХ КЛИЕНТОВ, ИСПОЛЬЗУЯ ПЕРЕНОСНЫЕ НОСИТЕЛИ ДАННЫХ | 2004 |
|
RU2357282C2 |
Компьютерная система с удаленным управлением сервером и устройством создания доверенной среды | 2017 |
|
RU2690782C2 |
Изобретение относится к гибко подключаемому компьютерному устройству и к способам взаимодействия гибко подключаемых компьютерных систем с главным компьютером (хост-компьютером). Техническим результатом является улучшение защиты доступа в компьютерную систему. Способ взаимодействия пользователь - компьютер для использования совокупностью гибко подключаемых компьютерных систем (ГПКС) и совокупностью мобильных пользователей заключается в сохранении информации, характеризующей каждого мобильного пользователя, на блоке для подключения к ГПКС, соединение блока для подключения с портом универсальной шины одной из ГПКС и использование информации, характеризующего мобильного пользователя, с целью выполнения, по меньшей мере, одной компьютерной операции. Также заявлены варианты выполнения блоков для подключения к ГПКС. 9 н. и 35 з.п. ф-лы, 5 ил.
Приоритет по пунктам:
СПОСОБ ОБЕСПЕЧЕНИЯ ДОСТУПА К ОБЪЕКТАМ В ОПЕРАЦИОННОЙ СИСТЕМЕ МСВС | 1999 |
|
RU2134931C1 |
Дорожная спиртовая кухня | 1918 |
|
SU98A1 |
US 5781723 А, 14.07.1998 | |||
US 4985921 А, 15.01.1991. |
Авторы
Даты
2005-12-27—Публикация
1999-10-25—Подача