RU2106014C1 - Information computer system - Google Patents

Abstract

FIELD: bank transaction systems, service systems. SUBSTANCE: device has computer, chip smart card, device for information transmission, encode-decoder, key generator, writing device, key storage, information access authorization system, user identification system, input-output unit, locking unit. Device provides possibility of user identification, local access to system resources, encoding and decoding data during transactions. Data are encoded and decoded using keys which are generated in periods. Information is stored on card and read from it using contactless method. EFFECT: increased reliability, increased functional capabilities, increased field of application. 1 dwg

Description

Изобретение относится к области радиоэлектроники и вычислительной техники и может использоваться при разработке систем проведения банковских операций, систем предоставления потребительских и медицинский услуг, индивидуальных банков данных и программных средств, систем контроля и сбора информации. The invention relates to the field of electronics and computer technology and can be used in the development of banking systems, consumer and medical services, individual data banks and software, monitoring and data collection systems.

Известен банковский аппарат, который осуществляет банковскую обработку, соответствующую введенным финансовым данным, содержащий устройство разрешения доступа, которое содержит считыватель данных, хранящихся на идентификационной карточке, память для пароля, считанного с идентификационной карточки, цифровую клавиатуру, с которой вводят последовательность цифр, соответствующую паролю, компаратор, который сравнивает код, введенный с цифровой клавиатуры с паролем, запомненным в памяти, триггер, который запоминает результат сравнения, вентильные элементы, через которые передают в обрабатывающий терминал результат сравнения и пароль, запомненный в памяти (заявка Японии N 2-46978, кл. G 06 F 15/30, 1990). A banking apparatus is known which carries out banking processing corresponding to the entered financial data, comprising an access authorization device that contains a reader of data stored on an identification card, a memory for a password read from an identification card, a numeric keypad with which a sequence of numbers corresponding to a password is entered, a comparator that compares the code entered from the numeric keypad with a password stored in memory, a trigger that remembers the result of the comparison, textile elements through which the comparison result and the password stored in the memory are transmitted to the processing terminal (Japanese Application No. 2-46978, CL G 06 F 15/30, 1990).

Недостатком данной системы является ее низкая защищенность из-за отсутствия механизма защиты информации при ее обработке. The disadvantage of this system is its low security due to the lack of a mechanism for protecting information during its processing.

Известна автоматическая кассовая система, которая содержит модуль для кодирования и декодирования данных на карточках клиентов и данных, передаваемых между модулем и удаленной вычислительной системой, устройство загрузки ключа, инструкции рабочего алгоритма которого содержатся в постоянной памяти, подключаемой к модулю для генерации основного ключа к цепи кодирования (заявка Великобритании N 0111381, кл.G 06 F 7/10, 1984 ). Known automatic cash system, which contains a module for encoding and decoding data on customer cards and data transmitted between the module and the remote computing system, a key loading device, the working algorithm of which is contained in read-only memory connected to the module to generate the main key to the encoding circuit (UK application N 0111381, CL G 06 F 7/10, 1984).

Данная система, обеспечивая определенный уровень защиты информации при ее обмене между вычислительной системой и карточкой пользователя, не имеет механизма идентификации пользователя, что снижает защищенность системы от доступа посторонних лиц к вычислительным и информационным ресурсам системы. This system, providing a certain level of information protection during its exchange between the computing system and the user’s card, does not have a user identification mechanism, which reduces the security of the system from unauthorized persons access to the computing and information resources of the system.

Наиболее близким решением к предлагаемой информационно-вычислительной системе является система с использованием карточек на интегральных схемах, содержащая вычислительную систему, карточку на интегральных схемах, устройство шифрования/дешифрования данных, устройство ввода/вывода, устройство идентификации пользователя и блокировочное устройство (заявка США N 4839504, кл.G 06 F 15/30, 1989). The closest solution to the proposed information and computing system is a system using cards on integrated circuits, containing a computer system, a card on integrated circuits, a data encryption / decryption device, an input / output device, a user identification device and a locking device (US application N 4839504, C. G 06 F 15/30, 1989).

Недостатками данной системы являются: отсутствие возможности оперативной смены ключей шифрования/дешифрования информации и отсутствие возможности разграничения доступа пользователем к определенным ресурсам системы, что снижает защищенность системы и ограничивает ее функциональные возможности. Кроме того, наличие на корпусе карточки электрического соединителя, предназначенного для считывания и записи информации, и отсутствие герметичности приводят к снижению защищенности системы и невозможности ее применения в активных, пожаро- и взрывоопасных средах, а также в средах с повышенной влажностью. The disadvantages of this system are: the lack of the ability to quickly change the encryption / decryption keys of information and the lack of the ability to differentiate user access to certain system resources, which reduces the security of the system and limits its functionality. In addition, the presence on the card body of an electrical connector designed to read and write information, and the lack of tightness, reduce the security of the system and the inability to use it in active, fire and explosive atmospheres, as well as in environments with high humidity.

Целью изобретения является повышение защищенности системы и расширение ее функциональных возможностей и области применения. The aim of the invention is to increase the security of the system and expand its functionality and scope.

Данная цель достигается тем, что в информационно-вычислительную систему, содержащую вычислительную систему, имеющую по меньшей мере одну ЭВМ, карточку на интегральных схемах, имеющую по меньшей мере одну интегральную схему, содержащую запоминающее устройство для запоминания персонального идентификационного номера и данных для проведения операций, устройство шифрования/дешифрования данных, устройство идентификации пользователя, устройство ввода/вывода и блокировочное устройство, введено устройство бесконтактного обмена информацией, обеспечивающее электромагнитную связь с карточкой и через устройство шифрования/дешифрования данных двусторонней связью соединенное с ЭВМ, причем устройство шифрования/дешифрования данных подключено к устройству идентификации пользователя, соединенному с ЭВМ, с блокировочным устройством, блокирующим карточку в случае попытки несанкционированного доступа в систему, и двусторонней связью соединенное с устройством ввода/вывода, а также устройство генерирования ключей, устройство записи и устройство хранения ключей, последовательно подключенные к устройству шифрования/дешифрования данных, а также связанное с ЭВМ устройство разграничения доступа к информации, к которому подключено устройство шифрования/дешифрования данных, при этом карточка, в которой расположена интегральная схема, снабжена запоминающим устройством для запоминания мандата пользователя и установлена в жесткий герметичный корпус. This goal is achieved by the fact that in an information and computing system containing a computing system having at least one computer, an integrated circuit card having at least one integrated circuit containing a storage device for storing a personal identification number and data for conducting operations, data encryption / decryption device, user identification device, input / output device and locking device, contactless information exchange device introduced providing electromagnetic communication with the card and through a data encryption / decryption device with a two-way communication connected to a computer, the data encryption / decryption device connected to a user identification device connected to the computer with a locking device that locks the card in case of unauthorized access to the system, and two-way communication connected to the input / output device, as well as a key generation device, a recording device and a key storage device, in series connected to a data encryption / decryption device, as well as a computer-related access control device for information access to which a data encryption / decryption device is connected, the card in which the integrated circuit is located is equipped with a memory device for storing the user's mandate and is installed in a tight, airtight body.

На чертеже изображена структурная схема информационно-вычислительной системы. The drawing shows a structural diagram of a computer system.

Система содержит вычислительную систему 1, терминальное устройство 2 и карточку на интегральных схемах 3. Вычислительная система 1 включает в себя ЭВМ 4, устройство генерирования ключей 5 и устройство записи 6. Терминальное устройство 2 содержит устройство бесконтактного обмена информацией 7, устройство шифрования/дешифрования данных 8, устройство разграничения доступа к информации 9, устройство хранения ключей 10, устройство идентификации пользователя 11, устройство ввода/вывода 12 и блокировочное устройство 13. Устройство бесконтактного обмена информацией 7 имеет электромагнитную связь с карточкой 3 и соединено с устройством шифрования/дешифрования данных 8. Устройство разграничения доступа к информации 9 подключено к ЭВМ и к устройству шифрования/дешифрования данных 8, которое соединено с ЭВМ 4, с устройством генерации ключей 5 через последовательно соединенные устройство записи 6 и устройство хранения ключей 10 и с устройством идентификации пользователя 11, которое соединено с ЭВМ 4, с устройством ввода/вывода 12 и с блокировочным устройством 13, имеющим электромеханическую связь с карточкой 3. The system comprises a computing system 1, a terminal device 2, and an integrated circuit card 3. Computing system 1 includes a computer 4, a key generating device 5, and a recording device 6. The terminal device 2 comprises a contactless information exchange device 7, an encryption / decryption device 8 , a device for restricting access to information 9, a key storage device 10, a user identification device 11, an input / output device 12 and a locking device 13. A contactless exchange device on the information 7 has an electromagnetic connection with the card 3 and is connected to the data encryption / decryption device 8. The access control device for information 9 is connected to the computer and to the data encryption / decryption device 8, which is connected to the computer 4, with the key generation device 5 through sequentially connected to a recording device 6 and a key storage device 10 and with a user identification device 11, which is connected to a computer 4, with an input / output device 12 and with a locking device 13 having an electromechanical connection s with the card 3.

ЭВМ 4 предназначена для проведения операций с данными, хранящимися на карточке 3 и может быть выполнена в виде высокопроизводительной ПЭВМ. Computer 4 is intended for operations with data stored on card 3 and can be made in the form of a high-performance PC.

Карточка 3 предназначена для хранения данных, необходимых для идентификации пользователя, разграничения доступа пользователем к ресурсам системы и проведения операций. Конструктивно карточка 3 имеет жесткий герметичный корпус, в котором расположены интегральные схемы, имеющие запоминающее устройство для запоминания персонального идентификационного номера (ПИН), данных для проведения операций, мандата пользователя и плоские катушки, имеющие электрическую связь с интегральными схемами и обеспечивающие подачу питания и обмена информационными сигналами с устройством бесконтактного обмена информацией 7. Card 3 is intended for storing data necessary for user identification, delimiting user access to system resources and conducting operations. Structurally, the card 3 has a rigid sealed enclosure in which integrated circuits are located that have a memory for storing a personal identification number (PIN), data for operations, a user mandate, and flat coils that are electrically connected to integrated circuits and provide power and exchange information signals with a contactless information exchange device 7.

Устройство бесконтактного обмена информацией 7 предназначено для подачи питания в карточку 3 и обмена информационными сигналами с ней. Конструктивно устройство 7 имеет катушки, обеспечивающие электромагнитную связь с катушками, расположенными в карточке 3, и прорезь для ввода карточки пользователя. The contactless information exchange device 7 is designed to supply power to the card 3 and exchange information signals with it. Structurally, the device 7 has coils that provide electromagnetic coupling with the coils located in card 3 and a slot for inserting a user card.

Устройство шифрования/дешифрования данных 8 предназначено для кодирования и декодирования информации при ее обмене между ЭВМ 4 и карточкой 3. Кодирование и декодирование информации осуществляется с помощью ключа, хранящегося в устройстве хранения ключей 10, на основе известных методов криптографии. The data encryption / decryption device 8 is intended for encoding and decoding information during its exchange between the computer 4 and the card 3. The encoding and decoding of information is carried out using the key stored in the key storage device 10, based on known cryptography methods.

Устройство генерирования ключей 5 предназначено для генерирования ключей, кодирования и декодирования информации с периодичностью, соответствующей заданной степени защиты информации, определяемой назначением системы. The key generating device 5 is intended for generating keys, encoding and decoding information with a frequency corresponding to a given degree of information security, determined by the purpose of the system.

Устройство записи 6 предназначено для записи ключей, сгенерированных в устройстве 5, в устройство хранения ключей 10, имеющее энергонезависимую память для хранения ключей. The recording device 6 is intended for recording keys generated in the device 5 into a key storage device 10 having a non-volatile memory for storing keys.

Устройство разграничения доступа к информации 9 предназначено для обеспечения локального доступа пользователя к информационным и вычислительным ресурсам системы путем сравнения кода, соответствующего мандату пользователя, который записан в карточку 3, с кодом, соответствующим разрешению доступа пользователя к определенным ресурсам системы. Конструктивно устройство 9 имеет память для хранения кодов доступа, сравнивающую схему (компаратор) и элемент памяти (триггер) для запоминания результатов сравнения. The device for restricting access to information 9 is intended to provide local user access to information and computing resources of the system by comparing the code corresponding to the user’s credential, which is recorded on card 3, with the code corresponding to allowing user access to certain system resources. Structurally, the device 9 has a memory for storing access codes comparing a circuit (comparator) and a memory element (trigger) for storing the results of the comparison.

Устройство идентификации пользователя 11 предназначено для идентификации пользователя путем сравнения кода, соответствующего ПИН, который записан в карточку пользователя 3, с кодом пароля вводимого с помощью устройства ввода/вывода 12. Конструктивно устройство 11 имеет память для хранения кода, соответствующего ПИН, сравнивающую схему (компаратор) и элемент памяти (триггер) для запоминания результатов сравнения. The user identification device 11 is intended to identify the user by comparing the code corresponding to the PIN that is recorded on the user card 3 with the password code entered using the input / output device 12. Structurally, the device 11 has a memory for storing the code corresponding to the PIN comparing the circuit (comparator ) and a memory element (trigger) for storing the comparison results.

Устройство ввода/вывода 12 предназначено для ввода пароля с помощью клавиатуры и вывода результатов идентификации пользователя на экран. The input / output device 12 is designed to enter a password using the keyboard and display the results of user identification on the screen.

Блокировочное устройство 13 предназначено для "ареста" карточки путем ее фиксации в терминальном устройстве в случае попыток несанкционированного доступа в систему и может быть выполнено в виде электромеханической защелки. The locking device 13 is designed to "arrest" the card by fixing it in the terminal device in the event of unauthorized access to the system and can be made in the form of an electromechanical latch.

Система работает следующим образом. При включении системы происходит загрузка ЭВМ 4 и подача питания на устройства системы (источники питания не показаны). При этом начинает работать устройство генерирования ключей 5, на выходе которого генерируется ключ, который записывается в устройство хранения ключей 10 с помощью устройства записи 6. The system operates as follows. When the system is turned on, the computer 4 is loaded and power is supplied to the system devices (power sources are not shown). In this case, the key generating device 5 begins to work, the output of which generates a key that is recorded in the key storage device 10 using the recording device 6.

На первом шаге при вводе карточки 3 в прорезь терминального устройства 2 с карточки 3 с помощью устройства бесконтактного обмена информацией 7 считывается информационный сигнал, соответствующий ПИН, который затем кодируется в устройстве шифрования/дешифрования данных 8 на основе ключа, записанного в устройстве хранения ключей 10, и поступает в устройство идентификации пользователя 11. Затем пользователь вводит пароль с помощью клавиатуры устройства ввода/вывода 12 и в устройство идентификации пользователя 11 поступает код, соответствующий введенному паролю. В случае совпадения кодов, поступающих на устройство идентификации пользователя, оно формирует сигнал разрешения доступа пользователя, поступающий на ЭВМ 4. В противном случае устройство идентификации пользователя 11 формирует сигнал, поступающий на блокировочное устройство 13. При этом срабатывает блокировочное устройство 13 и происходит "арест" карточки 3. Результаты идентификации пользователя отображаются на экране устройства ввода/вывода 12. In the first step, when the card 3 is inserted into the slot of the terminal device 2, the information signal corresponding to the PIN is read from the card 3 using the contactless information exchange device 7, which is then encoded in the data encryption / decryption device 8 based on the key recorded in the key storage device 10, and enters the user identification device 11. Then the user enters the password using the keyboard of the input / output device 12 and the code corresponding to the user identification device 11 Keeping password. In case of coincidence of the codes received by the user identification device, it generates a user access permission signal received by the computer 4. Otherwise, the user identification device 11 generates a signal arriving at the locking device 13. The locking device 13 is triggered and an “arrest” occurs cards 3. The results of user identification are displayed on the screen of the input / output device 12.

На втором шаге с карточки 3 считывается информационный сигнал, соответствующий мандату пользователя, который кодируется в устройстве шифрования/дешифрования данных 8 и поступает в устройство разграничения доступа к информации 9. Устройство разграничения доступа к информации 9 производит сравнение кода, соответствующего мандату пользователя, с кодом, хранящимся в памяти устройства. В случае совпадения указанных кодов устройство разграничения доступа к информации 9 формирует сигнал разрешения доступа пользователя к ресурсам системы, соответствующим мандату пользователя, который поступает на ЭВМ 4. В противном случае устройство разграничения доступа к информации 9 формирует сигнал, поступающий на ЭВМ 4 для отключения терминального устройства 2. In the second step, an information signal corresponding to the user’s mandate is read from the card 3, which is encoded in the data encryption / decryption device 8 and fed to the information access control device 9. The information access control device 9 compares the code corresponding to the user’s mandate with the code stored in the device’s memory. In case of coincidence of the indicated codes, the device for restricting access to information 9 generates a signal for authorizing user access to system resources corresponding to the user’s mandate, which is received by computer 4. Otherwise, the device for restricting access to information 9 generates a signal arriving at computer 4 to turn off the terminal device 2.

На третьем шаге в случае поступления в ЭВМ 4 разрешающих сигналов с устройства идентификации пользователя 11 и с устройства разграничения доступа к информации 9 происходит обмен информацией между карточкой 3 и ЭВМ 4 через устройство шифрования/дешифрования данных 8, причем система выполняет только те операции, которые соответствуют коду, хранящемуся в памяти устройства разграничения доступа к информации 9. In the third step, in the case of receipt of enabling signals from the user identification device 11 and the information access control device 9 to the computer 4, information is exchanged between the card 3 and the computer 4 through the data encryption / decryption device 8, and the system performs only those operations that correspond to the code stored in the memory of the device for restricting access to information 9.

Во время работы системы смена ключей кодирования и декодирования информации происходит за счет устройства генерации ключей 5, на выходе которого генерируются ключи с периодичностью, соответствующей заданной степени защиты информации, определяемой назначением системы. Смена ключей происходит также при обнаружении попыток несанкционированного доступа в систему. During the operation of the system, the keys for encoding and decoding information are changed due to the key generation device 5, at the output of which the keys are generated with a frequency corresponding to a given degree of information security, determined by the purpose of the system. A key change also occurs when attempts are made to unauthorized access to the system.

Введение новых признаков в систему приводит к появлению у нее следующих новых свойств. The introduction of new features into the system leads to the appearance of the following new properties.

1. Возможности смены ключей шифрования и дешифрования информации с определенной периодичностью, соответствующей заданной степени защиты, определяемой назначением системы. 1. The possibility of changing the encryption keys and decryption of information with a certain frequency, corresponding to a given degree of protection, determined by the purpose of the system.

2. Возможности обеспечения локального доступа пользователя к информационным и вычислительным ресурсам системы. 2. Possibilities for providing local user access to information and computing resources of the system.

3. Более высокой и эффективной степени защиты информации, хранящейся в карточке пользователя. 3. Higher and more effective degree of protection of information stored in the user's card.

4. Высоких эксплуатационно-технических характеристик карточки пользователя. 4. High performance card user.

5. Универсальности работы системы. 5. The universality of the system.

6. Возможности работы системы в активных, пожаро- и взрывоопасных средах, а также в средах с повышенной влажностью. 6. The capabilities of the system in active, fire and explosive environments, as well as in environments with high humidity.

Таким образом, появление новых свойств приводит к повышению защищенности системы, расширению ее функциональных возможностей и области применения. Thus, the emergence of new properties leads to increased security of the system, the expansion of its functionality and scope.

Claims (1)

Информационно-вычислительная система, содержащая вычислительную систему, имеющую по меньшей мере одну ЭВМ, карточку на интегральных схемах, имеющую по меньшей мере одну интегральную схему, содержащую запоминающее устройство для запоминания персонального идентификационного номера и данных для проведения операций, устройство шифрования/дешифрования данных, устройство идентификации пользователя, устройство ввода/вывода и блокировочное устройство, отличающаяся тем, что в нее введены устройство бесконтактного обмена информацией, обеспечивающее электромагнитную связь с карточкой и через устройство шифрования/дешифрования данных двусторонней связью соединенное с ЭВМ, причем устройство шифрования/дешифрования данных подключено к устройству идентификации пользователя, соединенному с ЭВМ, с блокировочным устройством, блокирующим карточку в случае попытки несанкционированного доступа в систему, и двусторонней связью соединенному с устройством ввода/вывода, а также устройство генерирования ключей, устройство записи и устройство хранения ключей, последовательно подключенные к устройству шифрования/дешифрования данных, а также связанное с ЭВМ устройство разграничения доступа к информации, к которому подключено устройство шифрования/дешифрования данных, при этом карточка на интегральных схемах снабжена запоминающим устройством для запоминания мандата пользователя и установлена в жесткий герметичный корпус. An information-computing system comprising a computing system having at least one computer, an integrated circuit card having at least one integrated circuit, comprising a memory device for storing a personal identification number and data for conducting operations, an encryption / decryption device for data, a device user identification, an input / output device and a locking device, characterized in that a contactless information exchange device is inserted into it, providing The current electromagnetic connection with the card and through the data encryption / decryption device is connected to the computer by a two-way communication, the data encryption / decryption device being connected to a user identification device connected to the computer, with a locking device that locks the card in case of unauthorized access to the system, and two-way connected to the input / output device, as well as a key generating device, a recording device and a key storage device, sequentially li ne to the encryption / decryption device, and connected with the computer device to the access control information, that is connected to the encryption apparatus / decryption of data, wherein the integrated circuit card is provided with a memory for storing user credentials and installed in the hard sealed enclosure.