Область применения
Изобретение относится к способу проверки электронной идентичности пользователя во время удаленной электронной коммуникации между двумя сторонами по каналу скрытой передачи данных.
Уровень техники
Канал скрытой передачи данных используется для удаленного доступа пользователей или систем к защищенным ресурсам в информационных системах поставщика услуг. Защищенные ресурсы могут быть разного рода - например, конфиденциальная информация или информация для открытой публикации, которую могут изменять только авторизованные лица. Также возможны ситуации, связанные с выполнением действий или операций с использованием информационных и коммуникационных технологий, с передачей инструкций для выполнения на различных устройствах, с получением результатов измерений или других фактических данных или информации.
Безопасность канала данных при удаленном доступе является ограничивающим фактором уровня защиты защищенных ресурсов. Общий уровень безопасности защищенных ресурсов не может быть выше, чем безопасность канала передачи данных. Базовые правила безопасности гласят, что общий уровень безопасности системы определяется по уровню безопасности самого слабого элемента.
Безопасность канала передачи данных ограничивается аутентификацией, то есть надежной проверкой идентичности систем или пользователей относительно операторов или владельцев систем на обоих концах канала передачи данных.
Аутентификация, или установление электронной идентичности, обычно выполняется дистанционно до начала использования целевой электронной службы, то есть до создания канала скрытой передачи данных или в ходе процесса его создания, и до начала передачи любых данных по этому каналу.
Канал данных используется для защиты передаваемых данных в сценариях дистанционного доступа к целевой электронной службе в качестве меры защиты аутентифицированных пользователей от доступа к этой службе неаутентифицированных пользователей, в том числе злоумышленников.
Канал скрытой передачи защищается аутентифицированным секретным кодом, который известен только двум системам на обоих концах канала. При создании аутентифицированного секретного кода происходит проверка идентичности, то есть аутентификация пользователей относительно систем на обоих концах канала.
Известен также вариант, в котором канал передачи данных создается без аутентификации или с частичной аутентификацией, а затем используется для аутентификации пользователя, обращающегося к целевому приложению. В таком случае для канала используется неаутентифицированный секретный код, и канал не может считаться защищенным, поскольку он может быть использован злоумышленником. Для такого канала не выполняется полноценная аутентификация, и злоумышленник имеет возможность использовать в своих целях передаваемые данные, в том числе данные аутентификации пользователя, и затем с их помощью совершить атаку на целевое приложение.
Поэтому для полной защиты канала передачи данных и целевого приложения необходимо проводить аутентификацию дважды - для канала передачи данных и для целевого приложения, или же иным образом связать между собой канал передачи данных и целевое приложение.
Известны некоторые способы связи целевого приложения с каналом передачи данных (привязки каналов), предназначенные для повышения защищенности коммуникаций приложения, основанные на выполнении аутентификации канала передачи данных до или во время его создания в процессе аутентификации, выполняемой приложением.
Внешняя аутентификация для каналов данных в настоящее время не используется. Пользователи, для которых проводится аутентификация относительно системы, имеют определенные секретные коды (учетные данные), которые могут использовать напрямую для аутентификации, например в случае аутентификации по паролю, или для выполнения криптографической операции, необходимой для аутентификации, например в случае аутентификации с использованием инфраструктуры открытых ключей.
Целью изобретения является устранение слабой точки современных систем защиты электронных коммуникаций, т.е. недостаточной, нефункциональной, слабой или неудобной в использовании системы аутентификации скрытого канала, что позволит повысить надежность многих систем дистанционной коммуникации против взлома, даже с применением высококвалифицированных атак, а также существенно снизить риски, связанные с электронными коммуникациями.
Более того, целью предлагаемого изобретения является упрощение процесса использования внешней аутентификации путем упрощения передачи данных между внешней системой аутентификации и каналом передачи данных относительно целевого приложения, до односторонней передачи данных в любой момент времени. Это позволит использовать другие технологии для передачи данных, которые широко распространены, но не могут использоваться для более сложных способов передачи данных.
Сущность изобретения
Целью изобретения является способ аутентификации канала скрытой передачи данных, характеризуемый тем, что сначала между сторонами создается неаутентифицированный зашифрованный канал передачи данных с использованием неаутентифицированного общего секретного кода, полученного с использованием обычных криптографических способов, например через соглашение о ключе, гарантирующее существование только двух концов канала данных или временно созданной пары криптографических ключей.
Затем по этому неаутентифицированному каналу может быть (конфиденциально) передана информация, необходимая для аутентификации пользователя и канала передачи данных, например в виде URL-адреса внешней службы аутентификации, запроса, идентификатора аутентификации или сессии передачи данных.
После этого в оконечных системах на обоих концах канала создается криптографическая производная неаутентифицированного общего секретного кода канала передачи данных, например с помощью псевдослучайной криптографической функции с подписью общим секретным кодом. Способ получения производной гарантирует, что оба значения, полученные на обоих концах канала передачи данных, будут идентичными в случае идентичного общего секретного кода. Например, расчет может выполняться по обычным асимметричным псевдослучайным алгоритмам типа HASH или НМАС.
После этого, с использованием внешних средств коммуникации, за пределами канала передачи данных, между оконечными системами канала передаются данные, полученные на основе неаутентифицированного общего секретного кода, то есть по меньшей мере производная от неаутентифицированного общего секретного кода канала передачи данных или результаты расчетов по соответствующим входным данным внешней аутентификации (внешней службы или системы аутентификации).
Данные, полученные на основе неаутентифицированного общего секретного кода, могут быть производной неаутентифицированного общего секретного кода или измененной производной неаутентифицированного общего секретного кода, например полученной путем модификации с учетом дополнительных данных или производной, полученной на основе неаутентифицированного общего секретного кода и дополнительных данных, или производной, рассчитанной на основе неаутентифицированного общего секретного кода и дополнительных данных с последующей модификацией, например с использованием дополнительных данных. Модификация с использованием дополнительных данных может выполняться оконечными системами канала передачи данных или целевыми приложениями на обоих концах канала передачи данных, и/или на стороне системы аутентификации. Модификация может выполняться на обеих сторонах канала с использованием одного компонента или с использованием разных компонентов для разных сторон канала. Дополнительные данные могут создаваться оконечной системой канала передачи данных и/или целевым приложением, и/или на стороне внешней системы аутентификации. Создание дополнительных данных может выполняться на обеих сторонах канала с использованием одного компонента или с использованием разных компонентов для разных сторон канала.
После получения внешней службой аутентификации производных, полученных с использованием неаутентифицированного общего секретного кода на обоих концах канала передачи данных, внешняя служба аутентификации выполняет аутентификацию переданных производных, полученных с использованием неаутентифицированного общего секретного кода, обычно с использованием аутентификационного секретного кода пользователя или провайдера, доступного для внешней службы аутентификации. Все это выполняется таким образом, что гарантируется криптографически надежная корреляция между аутентификацией производных, полученных с использованием неаутентифицированного общего секретного кода, и аутентификацией пользователя относительно системы, например с использованием подписи или шифрования на основе секретного кода или других аутентификационных данных.
Внешняя система аутентификации представляет собой набор программ и устройств или электронную службу, которая может выполнять независимую аутентификацию пользователей относительно систем, а также другие операции, связанные с аутентификацией, в том числе аутентификацию производных данных, полученных с использованием неаутентифицированного секретного кода канала передачи данных, которая отделена от канала передачи данных и не использует этот канал для передачи информации.
Средства внешней коммуникации могут использовать, в том числе, технологии локальной коммуникации, например легко и интуитивно понятно используемые оптические коммуникации в виде сканирования и отображения QR-кодов, или технологии беспроводной коммуникации на коротких расстояниях, или локальных сетей, встроенных в устройства коммуникационных средств или других обычных средств, например внутренней сети провайдера услуг или внутренней защищенной сети провайдера облачной услуги относительно скрытой дистанционной коммуникации.
Аутентификация производных данных, полученных с использованием неаутентифицированного общего секретного кода, может выполняться с использованием внешней системы аутентификации, например основанной на сравнении производных, полученных с использованием производных данных, полученных с использованием неаутентифицированного общего секретного кода и аутентифицированного секретного кода пользователя и/или системы; или через внешнюю систему аутентификации с использованием временного ключа подписи, аутентифицируемого во время аутентификации пользователя и/или системы с использованием внешней системы аутентификации; или с использованием внешней системы аутентификации путем шифрования с использованием временного ключа подписи, аутентифицируемого во время аутентификации пользователя и/или системы с использованием внешней системы аутентификации; или с использованием внешней системы аутентификации путем сравнения производных, полученных на основании данных, полученных с использованием неаутентифицированного секретного кода и временного ключа подписи, аутентифицируемого во время аутентификации пользователя и/или системы с использованием внешней системы аутентификации; или с использованием внешней системы аутентификации таким образом, что внешняя система аутентификации использует производные данные, полученные с использованием неаутентифицированного секретного кода канала передачи данных для аутентификации пользователя, таким образом, который будет заменять передачу запроса при использовании протоколов аутентификации типа запрос-ответ.
Таким образом, канал передачи данных будет аутентифицированным относительно общего секретного кода, то есть будет существовать пользователь, аутентифицированный относительно систем на обоих концах внешней системы аутентификации, а также канала передачи данных.
Результат аутентификации может впоследствии передать внешнюю аутентификацию (через систему/службу аутентификации) в целевое приложение, в том числе важную информацию об аутентифицированном пользователе или системе, а также о пользователе или системе на другом конце канала передачи данных.
Начиная с момента успешной аутентификации производных данных, полученных с использованием неаутентифицированного общего секретного кода канала передачи данных, канал считается аутентифицированным и становится каналом передачи скрытых аутентифицированных данных, который может использоваться целевым приложением для скрытой коммуникации с аутентифицированным пользователем целевого приложения.
Под пользователем понимается реальное физическое лицо, использующее электронное устройство, а также электронная система этого устройства.
Перечень изображений
Фиг. 1 - Схематическое изображение процесса аутентификации канала скрытой передачи данных 1 с использованием внешней аутентификации (внешней системы аутентификации 2) в соответствии с примером реализации изобретения №1.
Фиг. 2 - Схематическое изображение процесса аутентификации канала скрытой передачи данных 1 с использованием внешней аутентификации (внешней системы аутентификации 2) в соответствии с примером реализации изобретения №2.
Фиг. 3 - Схематическое изображение процесса аутентификации канала скрытой передачи данных 1 с использованием внешней аутентификации (внешней системы аутентификации 2) в соответствии с примером реализации изобретения №3.
Фиг. 4 - Схематическое изображение процесса аутентификации канала скрытой передачи данных 1 с использованием внешней аутентификации (внешней системы аутентификации 2) в соответствии с примером реализации изобретения №4.
Примеры реализации изобретения
Пример 1
Процесс аутентификации канала скрытой передачи данных может быть организован таким образом, при котором создается скрытый неаутентифицированный канал передачи данных 1 между сторонами A и B и доступна внешняя система аутентификации 2. Канал передачи данных 1 заканчивается с обеих сторон оконечными устройствами - 3 на стороне A и 4 на стороне B - канала передачи данных.
Стороны A и B канала передачи данных 1 и стороны A и B внешней системы аутентификации 2 могут осуществлять обмен данными через локальную или глобальную сеть, например через Интернет 10.
Оба оконечных устройства 3 и 4 канала передачи данных 1 располагают секретной информацией - общим секретным кодом 5, который был получен обычной процедурой создания неаутентифицированного общего секретного кода, например с помощью криптографического алгоритма соглашения о ключах. Общий секретный код 5 используется обычным образом на обоих оконечных устройствах 3 и 4 канала передачи данных 1 так, чтобы обеспечить защиту данных, передаваемых по каналу передачи данных 1. Но на данный момент еще не подтверждено, что данные поступают от правильного субъекта, а также что они достигают правильного субъекта, поскольку аутентификация еще не выполнялась.
Для проведения аутентификации канала передачи данных 1 используется внешняя система аутентификации 2 так, чтобы соответствующие оконечные устройства 3 и 4 канала передачи данных 1 вычисляли с использованием общего секретного кода 5 производную 6 от общего секретного кода 5 так, чтобы по запросу целевого приложения 7 на стороне A оконечное устройство 3 канала передачи данных 1 выполняло расчет производной 6 от общего секретного кода 5 для стороны A, а по запросу целевого приложения 8 на стороне B оконечное устройство 4 канала передачи данных 1 выполняло расчет производной 6 от общего секретного кода 5 для стороны B. Способ расчета гарантирует, что обе производные 6 от общего секретного кода 5, полученные на оконечных устройствах 3 и 4 канала передачи данных 1, будут иметь одинаковые значения при идентичном общем секретном коде 5. Например, расчет может выполняться по обычным асимметричным псевдослучайным алгоритмам типа HASH или НМАС.
Производная 6 от общего секретного кода 5 затем передается через внешний интерфейс 15 на внешнюю систему аутентификации 2, которая выполняет аутентификацию обеих сторон, выполняющих коммуникацию, в том числе аутентификацию производной 6 от общего секретного кода 5 канала передачи данных 1. Таким образом выполняется аутентификация канала передачи данных 1, связывающего стороны, выполняющие коммуникацию, и подтверждается факт передачи данных по каналу передачи данных 1 от правильного субъекта к правильному субъекту.
Производная 6 от общего секретного кода 5 передается на внешнюю систему аутентификации 2 таким образом, что оконечное устройство 3 канала передачи данных 1 на стороне A передает производную 6 от общего секретного кода 5 целевому приложению 7 на стороне A, по запросу которого выполнялся расчет производной 6 от общего секретного кода 5 на оконечном устройстве 3 канала передачи данных 1 на стороне A, а затем целевое приложение 7 на стороне A передает производную 6 от общего секретного кода 5 с использованием внешних средств коммуникации через внешний интерфейс 15 на сторону 11 внешней системы аутентификации 2 на стороне A. Аналогично оконечное устройство 4 канала передачи данных 1 на стороне B передает производную 6 от общего секретного кода 5 целевому приложению 8 на стороне B, по запросу которого выполнялся расчет производной 6 от общего секретного кода 5 на оконечном устройстве 4 канала передачи данных 1 на стороне B, а затем целевое приложение 8 на стороне B передает производную 6 от общего секретного кода 5 с использованием внешних средств коммуникации на сторону 12 внешней системы аутентификации 2 на стороне B.
Передача производной 6 от общего секретного кода 5 с использованием внешних средств коммуникации через внешний интерфейс 15 выполняется в обход канала передачи данных 1 обычным образом, например с использованием технологий беспроводной коммуникации на коротких расстояниях, оптической коммуникации, локальных сетей или других обычных средств, например внутренней сети провайдера услуг. Способ защиты передачи производной 6 от общего секретного кода 5 и способ использования внешней системы аутентификации 2 имеет такой уровень безопасности, чтобы гарантировать использование целевого приложения 7 и 8 на соответствующей стороне тем же пользователем, что и пользователь внешней системы аутентификации 2.
После этого результат аутентификации 13 передается целевому приложению вместе с другой важной информацией об аутентифицированном пользователе или системе на стороне A, а также о пользователе (или системе) на стороне B.
Пример 2
Может использоваться другой процесс аутентификации канала скрытой передачи данных, например таким образом, при котором сначала создается скрытый неаутентифицированный канал передачи данных 1 между сторонами A и B, например с использованием общедоступных механизмов шифрования передачи данных TLS по RFC 5246, в котором не используются возможности аутентификации, а также доступна внешняя система аутентификации 2. Канал передачи данных 1 завершается с обеих сторон оконечными устройствами канала передачи данных (3 на стороне A и 4 на стороне B). Оба оконечных устройства 3 и 4 канала передачи данных 1 располагают секретной информацией - общим секретным кодом, который был получен обычной процедурой создания неаутентифицированного общего секретного кода, например с помощью криптографического алгоритма соглашения о ключах. Общий секретный код 5 используется обычным образом на обоих оконечных устройствах 3 и 4 канала передачи данных 1 так, чтобы обеспечить защиту данных, передаваемых по каналу передачи данных 1. Но на данный момент еще не подтверждено, что данные поступают от правильного субъекта, а также что они достигают правильного субъекта, поскольку аутентификация еще не выполнялась.
Затем целевое приложение 7 на стороне A передает на оконечное устройство 3 канала передачи данных 1 на стороне A данные 9 целевого приложения, которые должны быть переданы в зашифрованном виде по каналу передачи данных 1 с использованием общего секретного кода 5, затем расшифрованы на оконечном устройстве 4 канала передачи данных на стороне B и переданы целевому приложению 8 на стороне B.
Переданные данные 9 целевого приложения могут содержать, например, техническую информацию для правильной работы внешней системы аутентификации 2, например сетевой адрес внешней системы аутентификации (стороны A 11), идентификатор аутентифицированной сессии или другую информацию, позволяющую повысить защищенность, например набор случайных данных с высоким уровнем энтропии.
Целевое приложение 7 на стороне A обрабатывает данные 9, предназначенные для передачи, а целевое приложение 8 на стороне B обрабатывает переданные данные 9 таким образом, что на каждой соответствующей стороне на основании этих данных вычисляются дополнительные данные 14. Способ их расчета гарантирует, что дополнительные данные 14, вычисленные обоими целевыми приложениями 7 и 8, будут иметь идентичные значения в случае правильной передачи и расшифровки данных 9.
После этого для аутентификации канала передачи данных 1 применяется внешняя система аутентификации 2 так, что соответствующие оконечные устройства 3 и 4 канала передачи данных 1 вычисляют с использованием общего секретного кода 5 и дополнительных данных 14 производную 6 от общего секретного кода 5. Вычисление выполняется таким образом, что по запросу целевого приложения 7 на стороне A и на основании переданных дополнительных данных 14, созданных целевым приложением 7 на стороне A, оконечное устройство 3 канала передачи данных на стороне A вычисляет производную 6 от общего секретного кода 5, а по запросу целевого приложения 8 на стороне B и на основании переданных дополнительных данных 14, созданных целевым приложением 8 на стороне B, оконечное устройство 4 канала передачи данных на стороне B вычисляет производную 6 от общего секретного кода 5. Способ получения гарантирует, что оба значения производной 6 от общего секретного кода 5, полученные оконечными устройствами 3 и 4 канала передачи данных, будут идентичными в случае идентичного входных данных. Например, расчет может выполняться по обычным асимметричным псевдослучайным алгоритмам типа HASH или НМАС, например по процедуре, описанной в RFC 5705 (Экспортеры материала ключей данных для безопасности на транспортном уровне (TLS)).
Затем производная 6 от общего секретного кода 5 передается через внешний интерфейс 15 на внешнюю систему аутентификации 2, которая выполняет аутентификацию сторон, выполняющих коммуникацию, в том числе аутентификацию производной 6 от общего секретного кода 5 канала передачи данных 1. Таким образом выполняется аутентификация канала передачи данных 1, связывающего стороны, выполняющие коммуникацию, и подтверждается факт передачи данных по каналу передачи данных от правильного источника к правильному субъекту.
Производная 6 от общего секретного кода передается на внешнюю систему аутентификации 2 таким образом, что оконечное устройство 3 канала передачи данных на стороне A передает производную 6 от общего секретного кода 5 целевому приложению 7 на стороне A, по запросу которого выполнялся расчет производной 6 от общего секретного кода 5 на оконечном устройстве 3 канала передачи данных 1 на стороне A, а затем целевое приложение 7 на стороне A передает производную 6 от общего секретного кода 5 с использованием внешних средств коммуникации через внешний интерфейс 15 внешней системе аутентификации 11 на стороне A. Аналогично оконечное устройство 4 канала передачи данных на стороне B передает производную 6 от общего секретного кода 5 целевому приложению 8 на стороне B, по запросу которого выполнялся расчет производной 6 от общего секретного кода 5 на оконечном устройстве 4 канала передачи данных на стороне B, а затем целевое приложение 8 на стороне B передает производную 6 от общего секретного кода 5 с использованием внешних средств коммуникации внешней системе аутентификации 12 на стороне B.
Передача производной 6 от общего секретного кода 5 с использованием внешних средств коммуникации через внешний интерфейс 15 выполняется в обход канала передачи данных 1 обычным образом, например с использованием технологий локальной коммуникации - простых и интуитивно понятно используемых оптических коммуникаций в виде сканирования и отображения QR-кодов, или встроенных в устройства коммуникационных средств, или внутренней защищенной сети провайдера облачной услуги относительно скрытой дистанционной коммуникации.
Пример 3
Может использоваться другой процесс аутентификации канала скрытой передачи данных, например таким образом, при котором так же, как в предыдущих описаниях, сначала создается скрытый неаутентифицированный канал передачи данных 1 между сторонами A и B, где оба оконечных устройства 3 и 4 канала передачи данных располагают неаутентифицированной секретной информацией - общим секретным кодом 5.
Затем целевое приложение 7 на стороне A передает на оконечное устройство 3 канала передачи данных 1 на стороне A данные 9 целевого приложения, которые должны быть переданы в зашифрованном виде по каналу передачи данных 1 и на основании которых на каждой стороне вычисляются дополнительные данные 16, как и в предыдущем примере с использованием дополнительных данных. Для проведения аутентификации канала передачи данных 1 используется внешняя система аутентификации 2 так, чтобы соответствующие оконечные устройства 3 и 4 канала передачи данных вычисляли с использованием общего секретного кода 5 производную 6 от общего секретного кода 5 так, чтобы по запросу целевого приложения 7 на стороне A оконечное устройство 3 канала передачи данных 1 выполняло расчет производной 6 от общего секретного кода 5 для стороны A, а по запросу целевого приложения 8 на стороне B оконечное устройство 4 канала передачи данных 1 выполняло расчет производной 6 от общего секретного кода 5 для стороны B.
После этого целевые приложения 7 и 8 на сторонах A и B выполняют модификацию производной 6 от общего секретного кода 5 с использованием дополнительных данных 16 и передают измененную производную 6 от общего секретного кода 5 на внешнюю систему аутентификации 11 и 12 на сторонах A и B. Модификация производной 6 может выполняться с использованием обычных математических алгоритмов. Например, можно использовать обычные асимметричные псевдослучайные алгоритмы типа HASH или НМАС или конкатенацию.
Выбранный способ расчетов гарантирует, что оба значения измененной производной 6 от общего секретного кода 5, полученные целевым приложением 7 на стороне A и целевым приложением 8 на стороне B с использованием исходной производной 6 от общего секретного кода 5 и дополнительных данных 16, будут идентичными в случае идентичных входных данных.
Для аутентификации канала передачи данных используется измененная производная 6 от общего секретного кода 5, аналогично процессам из предыдущих примеров.
Пример 4
Может использоваться другой процесс аутентификации канала скрытой передачи данных, например таким образом, при котором так же, как в предыдущих описаниях, сначала создается скрытый неаутентифицированный канал передачи данных 1 между сторонами A и B, где оба оконечных устройства 3 и 4 канала передачи данных 1 располагают секретной информацией - общим секретным кодом 5.
Затем внешняя система аутентификации 11 на стороне A выполняет подготовку дополнительных данных 16, которые используются как часть технической информации для правильной работы внешней системы аутентификации 2. Это может быть сетевой адрес внешней системы аутентификации 11 на стороне A, идентификатор аутентифицированной сессии или другая информация, позволяющая повысить защищенность, например набор случайных данных с высоким уровнем энтропии.
Дополнительные данные 16 передаются от внешней системы аутентификации 11 на стороне A через внешний интерфейс 15 на стороне A целевому приложению 7 на стороне A, которое передает их, возможно с дополнением или модификацией, оконечному устройству 3 канала передачи данных 1 на стороне A в виде данных 9 целевого приложения, которые должны быть переданы в зашифрованной форме через канал передачи данных 1 с использованием общего секретного кода 5, затем расшифрованы на оконечном устройстве 4 канала передачи данных 1 на стороне B и переданы целевому приложению 8 на стороне B.
Целевое приложение 8 на стороне B обрабатывает переданные данные таким образом, что на основании этих данных вычисляются дополнительные данные 16. Можно использовать любые общеизвестные математические алгоритмы, применение которых гарантирует, что оба значения дополнительных данных 16, то есть дополнительные данные 16, вычисленные внешней системой аутентификации 11 на стороне A, и дополнительные данные 16, вычисленные целевым приложением 8 на стороне B, будут иметь идентичные значения в случае правильной передачи и расшифровки информации.
Затем для проведения аутентификации канала передачи данных 1 используется внешняя система аутентификации 2 так, чтобы по запросу целевого приложения 7 на стороне A оконечное устройство 3 канала передачи данных выполняло расчет производной 6 от общего секретного кода 5 для стороны A, которая передается без изменений через внешний интерфейс 15 на внешнюю систему аутентификации 11 на стороне A. Внешняя система аутентификации 11 на стороне A выполняет модификацию производной 6 от общего секретного кода 5 с использованием дополнительных данных 16, вычисленных ранее внешней системой аутентификации 11 на стороне A, и передает ее целевому приложению 7 на стороне A.
По запросу целевого приложения 8 на стороне B оконечное устройство 4 канала передачи данных 1 выполняет расчет производной 6 от общего секретного кода 5 для стороны В. Производная передается целевому приложению 8 на стороне B, которое выполняет модификацию производной 6 от общего секретного кода 5 с использованием дополнительных данных 16 и передает модифицированную производную 6 от общего секретного кода 5 через внешний интерфейс 15 на внешнюю систему аутентификации 12 на стороне B.
Выбранный способ расчетов гарантирует, что значение измененной производной 6 от общего секретного кода 5, полученное целевым приложением 8 на стороне B с использованием исходной производной 6 от общего секретного кода 5 и дополнительных данных 16, будет иметь такое же значение, как и результат модификаций на внешней системе аутентификации 11 на стороне A, если все входные данные будут идентичными.
Для аутентификации канала передачи данных используется измененная производная 6 от общего секретного кода 5, аналогично процессам из предыдущих примеров.
Пример 5
Может использоваться другой процесс аутентификации канала скрытой передачи данных 1, например таким образом, при котором оконечное устройство 3 канала передачи данных 1 на стороне A является составной частью целевого приложения 7 на стороне A, а соответственно оконечное устройство 4 канала передачи данных 1 на стороне B является составной частью целевого приложения 8 на стороне B. Соответствующая передача данных в этом примере выполняется внутри целевых приложений аналогично тому, как описано в предыдущих примерах.
Пример 6
Процесс аутентификации переданных данных, полученных с использованием неаутентифицированного общего секретного кода 5 канала передачи данных 1, может выполняться с использованием внешней системы аутентификации 2, например, следующим образом:
- с использованием криптографической подписи аутентифицированным секретным кодом переданных данных, полученных с использованием неаутентифицированного общего секретного кода 5 канала данных 1;
- с использованием шифрования аутентифицированным секретным кодом переданных данных, полученных с использованием неаутентифицированного общего секретного кода 5 канала данных 1;
- по производной, вычисляемой с использованием данных, полученных с использованием неаутентифицированного общего секретного кода 5 канала передачи данных 1 и аутентифицированного секретного кода, используемого внешней системой аутентификации 2 для аутентификации пользователя. Таким образом, гарантируется криптографическая связь между аутентификацией пользователя и аутентификацией канала передачи данных.
Пример 7
Процесс аутентификации переданных данных, полученных с использованием неаутентифицированного общего секретного кода канала передачи данных может выполняться с использованием внешней системы аутентификации 2, например, следующим образом:
- с использованием криптографической подписи временным аутентифицированным секретным кодом переданных данных, полученных с использованием неаутентифицированного общего секретного кода 5 канала данных 1;
- с использованием шифрования временным аутентифицированным секретным кодом переданных данных, полученных с использованием неаутентифицированного общего секретного кода 5 канала данных 1;
- по производной, вычисляемой с использованием данных, полученных с использованием неаутентифицированного общего секретного кода 5 канала передачи данных 1 и временного аутентифицированного секретного кода, используемого внешней системой аутентификации 2 для аутентификации пользователя. Таким образом, гарантируется криптографическая связь между аутентификацией пользователя и аутентификацией канала передачи данных.
Пример 8
И наконец, аутентификация производных данных, полученных с использованием неаутентифицированного общего секретного кода 5 канала передачи данных 1, может выполняться с использованием внешней системы аутентификации 2 таким образом, что производные данные, полученные с использованием неаутентифицированного общего секретного кода 5 канала передачи данных 1, используются внешней системой аутентификации 2 для аутентификации пользователя таким образом, который будет заменять передачу запроса при использовании протоколов аутентификации типа запрос-ответ. Таким образом, гарантируется криптографическая связь между аутентификацией пользователя и аутентификацией канала передачи данных.
Промышленное применение
Данное изобретение может быть использовано в любом сценарии, где требуется аутентификация канала скрытой передачи данных.
Изобретение относится к технологиям сетевой связи. Технический результат заключается в повышении скорости передачи данных. Способ аутентификации канала скрытой передачи данных между двумя сторонами, характеризующийся тем, что сначала создается неаутентифицированный канал скрытой передачи данных с оконечным устройством канала передачи данных на первой стороне и оконечным устройством канала передачи данных на второй стороне и целевым приложением на первой стороне и целевым приложением на второй стороне, где оконечные устройства имеют в своем распоряжении неаутентифицированный общий секретный код, а затем на обеих сторонах канала передачи данных выполняется расчет производных данных с использованием неаутентифицированного общего секретного кода, которые передаются через внешние средства коммуникации за пределами канала передачи данных на две стороны внешней системы аутентификации, которая затем выполняет аутентификацию сторон, участвующих в коммуникации, в том числе аутентификацию канала передачи данных, при этом внешняя система аутентификации, представляющая собой систему, набор программ и устройств или электронную услугу, способна самостоятельно выполнять аутентификацию соответственно пользователей или систем. 14 з.п. ф-лы, 4 ил.
1. Способ аутентификации канала скрытой передачи данных между двумя сторонами (А и В), характеризующийся тем, что сначала создается неаутентифицированный канал скрытой передачи данных (1) с оконечным устройством (3) канала передачи данных (1) на первой стороне (А) и оконечным устройством (4) канала передачи данных (1) на второй стороне (В) и целевым приложением (7) на первой стороне (А) и целевым приложением (8) на второй стороне (В), где оконечные устройства (3) и (4) имеют в своем распоряжении неаутентифицированный общий секретный код (5), а затем на обеих сторонах (А и В) канала передачи данных (1) выполняется расчет производных данных с использованием неаутентифицированного общего секретного кода (5), которые передаются через внешние средства коммуникации за пределами канала передачи данных (1) на две стороны (11 и 12) внешней системы аутентификации (2), которая затем выполняет аутентификацию сторон (А и В), участвующих в коммуникации, в том числе аутентификацию канала передачи данных (1), при этом внешняя система аутентификации, представляющая собой систему, набор программ и устройств или электронную услугу, способна самостоятельно выполнять аутентификацию соответственно пользователей или систем.
2. Способ по п. 1, характеризующийся тем, что данные, вычисляемые с использованием неаутентифицированного общего секретного кода (5), получаются таким образом, что оконечные устройства (3) и (4) вычисляют производную (6) от неаутентифицированного общего секретного кода (5) или оконечные устройства (3) и (4) вычисляют производную (6) от неаутентифицированного общего секретного кода (5) и дополнительных данных (14); также возможна дополнительная модификация производной (6) с использованием вспомогательных данных (16).
3. Способ по п. 2, характеризующийся тем, что модификация производной (6) от неаутентифицированного общего секретного кода (5) выполняется независимо на обеих сторонах (А и В) по меньшей мере одним из компонентов следующей группы: оконечные устройства (3) и (4) канала передачи данных (1), целевые приложения (7) и (8), стороны (11) и (12) внешней системы аутентификации (2).
4. Способ по п. 2, характеризующийся тем, что дополнительные данные (14) и/или дополнительные данные (16) вычисляются независимо на обеих сторонах (А и В) по меньшей мере одним из компонентов следующей группы: оконечные устройства (3) и
(4) канала передачи данных (1), целевые приложения (7) и (8), стороны (11) и (12) внешней системы аутентификации (2).
5. Способ по п. 2, характеризующийся тем, что производные данные, вычисляемые с использованием неаутентифицированного общего секретного кода (5), получаются таким образом, что оконечные устройства (3) и (4) выполняют расчет производной (6) от неаутентифицированного общего секретного кода (5).
6. Способ по п. 2, характеризующийся тем, что производные данные, вычисляемые с использованием неаутентифицированного общего секретного кода (5), получаются таким образом, что оконечные устройства (3) и (4) выполняют расчет производной (6) от неаутентифицированного общего секретного кода (5) и дополнительных данных (14).
7. Способ по п. 2, характеризующийся тем, что производные данные, вычисляемые с использованием неаутентифицированного общего секретного кода (5), получаются таким образом, что оконечные устройства (3) и (4) выполняют расчет производной (6) от неаутентифицированного общего секретного кода (5), а целевые приложения (7) и (8) затем модифицируют производную (6) с использованием вспомогательных данных (16).
8. Способ по п. 2, характеризующийся тем, что производные данные, вычисляемые с использованием неаутентифицированного общего секретного кода (5), получаются таким образом, что оконечные устройства (3) и (4) выполняют расчет производной (6) от неаутентифицированного общего секретного кода (5) и дополнительных данных (14), а целевые приложения (7) и (8) затем модифицируют производную (6) с использованием вспомогательных данных (16).
9. Способ по п. 1, характеризующийся тем, что аутентификация производных данных, вычисляемых с использованием неаутентифицированного общего секретного кода (5), выполняется на внешней системе аутентификации (2) с использованием криптографической подписи с помощью аутентифицированного ключа подписи пользователя и/или системы.
10. Способ по п. 1, характеризующийся тем, что аутентификация производных данных, вычисляемых с использованием неаутентифицированного общего секретного кода (5), выполняется на внешней системе аутентификации (2) путем шифрования с использованием аутентифицированного ключа подписи пользователя и/или системы.
11. Способ по п. 1, характеризующийся тем, что аутентификация производных данных, вычисляемых с использованием неаутентифицированного общего секретного кода (5), выполняется на внешней системе аутентификации (2) путем сравнения производных, вычисленных с использованием неаутентифицированного общего секретного кода (5) и аутентифицированного секретного кода пользователя и/или системы.
12. Способ по п. 1, характеризующийся тем, что аутентификация производных данных, вычисляемых с использованием неаутентифицированного общего секретного кода (5), выполняется на внешней системе аутентификации (2) с использованием криптографической подписи с помощью временного аутентифицированного ключа подписи пользователя и/или системы с использованием внешней системы аутентификации (2).
13. Способ по п. 1, характеризующийся тем, что аутентификация производных данных, вычисляемых с использованием неаутентифицированного общего секретного кода (5), выполняется на внешней системе аутентификации (2) путем шифрования с использованием временного ключа шифрования, аутентифицированного во время аутентификации пользователя и/или системы с использованием внешней системы аутентификации (2).
14. Способ по п. 1, характеризующийся тем, что аутентификация производных данных, вычисляемых с использованием неаутентифицированного общего секретного кода (5), выполняется на внешней системе аутентификации (2) путем сравнения производных, вычисленных с использованием неаутентифицированного общего секретного кода (5) и временного аутентифицированного секретного кода пользователя и/или системы с использованием внешней системы аутентификации (2).
15. Способ по п. 1, характеризующийся тем, что аутентификация производных данных, вычисляемых с использованием неаутентифицированного общего секретного кода (5), выполняется на внешней системе аутентификации (2) таким образом, что переданные производные данные, полученные с использованием неаутентифицированного общего секретного кода (5) канала передачи данных (1), будут использоваться внешней системой аутентификации (2) для аутентификации пользователя таким образом, который будет заменять передачу запроса при использовании протоколов аутентификации типа запрос-ответ.
Колосоуборка | 1923 |
|
SU2009A1 |
Приспособление для суммирования отрезков прямых линий | 1923 |
|
SU2010A1 |
Пресс для выдавливания из деревянных дисков заготовок для ниточных катушек | 1923 |
|
SU2007A1 |
Способ обработки целлюлозных материалов, с целью тонкого измельчения или переведения в коллоидальный раствор | 1923 |
|
SU2005A1 |
Авторы
Даты
2018-02-21—Публикация
2014-05-21—Подача