RU2645597C2 - Способ аутентификации в канале скрытой передачи данных - Google Patents

Способ аутентификации в канале скрытой передачи данных Download PDF

Info

Publication number
RU2645597C2
RU2645597C2 RU2015150542A RU2015150542A RU2645597C2 RU 2645597 C2 RU2645597 C2 RU 2645597C2 RU 2015150542 A RU2015150542 A RU 2015150542A RU 2015150542 A RU2015150542 A RU 2015150542A RU 2645597 C2 RU2645597 C2 RU 2645597C2
Authority
RU
Russia
Prior art keywords
data
secret code
unauthenticated
shared secret
authentication
Prior art date
Application number
RU2015150542A
Other languages
English (en)
Other versions
RU2015150542A (ru
Inventor
Нойманн ЛИБОР
Original Assignee
АДУЦИД с.р.о.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by АДУЦИД с.р.о. filed Critical АДУЦИД с.р.о.
Publication of RU2015150542A publication Critical patent/RU2015150542A/ru
Application granted granted Critical
Publication of RU2645597C2 publication Critical patent/RU2645597C2/ru

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/061Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying further key derivation, e.g. deriving traffic keys from a pair-wise master key

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

Изобретение относится к технологиям сетевой связи. Технический результат заключается в повышении скорости передачи данных. Способ аутентификации канала скрытой передачи данных между двумя сторонами, характеризующийся тем, что сначала создается неаутентифицированный канал скрытой передачи данных с оконечным устройством канала передачи данных на первой стороне и оконечным устройством канала передачи данных на второй стороне и целевым приложением на первой стороне и целевым приложением на второй стороне, где оконечные устройства имеют в своем распоряжении неаутентифицированный общий секретный код, а затем на обеих сторонах канала передачи данных выполняется расчет производных данных с использованием неаутентифицированного общего секретного кода, которые передаются через внешние средства коммуникации за пределами канала передачи данных на две стороны внешней системы аутентификации, которая затем выполняет аутентификацию сторон, участвующих в коммуникации, в том числе аутентификацию канала передачи данных, при этом внешняя система аутентификации, представляющая собой систему, набор программ и устройств или электронную услугу, способна самостоятельно выполнять аутентификацию соответственно пользователей или систем. 14 з.п. ф-лы, 4 ил.

Description

Область применения
Изобретение относится к способу проверки электронной идентичности пользователя во время удаленной электронной коммуникации между двумя сторонами по каналу скрытой передачи данных.
Уровень техники
Канал скрытой передачи данных используется для удаленного доступа пользователей или систем к защищенным ресурсам в информационных системах поставщика услуг. Защищенные ресурсы могут быть разного рода - например, конфиденциальная информация или информация для открытой публикации, которую могут изменять только авторизованные лица. Также возможны ситуации, связанные с выполнением действий или операций с использованием информационных и коммуникационных технологий, с передачей инструкций для выполнения на различных устройствах, с получением результатов измерений или других фактических данных или информации.
Безопасность канала данных при удаленном доступе является ограничивающим фактором уровня защиты защищенных ресурсов. Общий уровень безопасности защищенных ресурсов не может быть выше, чем безопасность канала передачи данных. Базовые правила безопасности гласят, что общий уровень безопасности системы определяется по уровню безопасности самого слабого элемента.
Безопасность канала передачи данных ограничивается аутентификацией, то есть надежной проверкой идентичности систем или пользователей относительно операторов или владельцев систем на обоих концах канала передачи данных.
Аутентификация, или установление электронной идентичности, обычно выполняется дистанционно до начала использования целевой электронной службы, то есть до создания канала скрытой передачи данных или в ходе процесса его создания, и до начала передачи любых данных по этому каналу.
Канал данных используется для защиты передаваемых данных в сценариях дистанционного доступа к целевой электронной службе в качестве меры защиты аутентифицированных пользователей от доступа к этой службе неаутентифицированных пользователей, в том числе злоумышленников.
Канал скрытой передачи защищается аутентифицированным секретным кодом, который известен только двум системам на обоих концах канала. При создании аутентифицированного секретного кода происходит проверка идентичности, то есть аутентификация пользователей относительно систем на обоих концах канала.
Известен также вариант, в котором канал передачи данных создается без аутентификации или с частичной аутентификацией, а затем используется для аутентификации пользователя, обращающегося к целевому приложению. В таком случае для канала используется неаутентифицированный секретный код, и канал не может считаться защищенным, поскольку он может быть использован злоумышленником. Для такого канала не выполняется полноценная аутентификация, и злоумышленник имеет возможность использовать в своих целях передаваемые данные, в том числе данные аутентификации пользователя, и затем с их помощью совершить атаку на целевое приложение.
Поэтому для полной защиты канала передачи данных и целевого приложения необходимо проводить аутентификацию дважды - для канала передачи данных и для целевого приложения, или же иным образом связать между собой канал передачи данных и целевое приложение.
Известны некоторые способы связи целевого приложения с каналом передачи данных (привязки каналов), предназначенные для повышения защищенности коммуникаций приложения, основанные на выполнении аутентификации канала передачи данных до или во время его создания в процессе аутентификации, выполняемой приложением.
Внешняя аутентификация для каналов данных в настоящее время не используется. Пользователи, для которых проводится аутентификация относительно системы, имеют определенные секретные коды (учетные данные), которые могут использовать напрямую для аутентификации, например в случае аутентификации по паролю, или для выполнения криптографической операции, необходимой для аутентификации, например в случае аутентификации с использованием инфраструктуры открытых ключей.
Целью изобретения является устранение слабой точки современных систем защиты электронных коммуникаций, т.е. недостаточной, нефункциональной, слабой или неудобной в использовании системы аутентификации скрытого канала, что позволит повысить надежность многих систем дистанционной коммуникации против взлома, даже с применением высококвалифицированных атак, а также существенно снизить риски, связанные с электронными коммуникациями.
Более того, целью предлагаемого изобретения является упрощение процесса использования внешней аутентификации путем упрощения передачи данных между внешней системой аутентификации и каналом передачи данных относительно целевого приложения, до односторонней передачи данных в любой момент времени. Это позволит использовать другие технологии для передачи данных, которые широко распространены, но не могут использоваться для более сложных способов передачи данных.
Сущность изобретения
Целью изобретения является способ аутентификации канала скрытой передачи данных, характеризуемый тем, что сначала между сторонами создается неаутентифицированный зашифрованный канал передачи данных с использованием неаутентифицированного общего секретного кода, полученного с использованием обычных криптографических способов, например через соглашение о ключе, гарантирующее существование только двух концов канала данных или временно созданной пары криптографических ключей.
Затем по этому неаутентифицированному каналу может быть (конфиденциально) передана информация, необходимая для аутентификации пользователя и канала передачи данных, например в виде URL-адреса внешней службы аутентификации, запроса, идентификатора аутентификации или сессии передачи данных.
После этого в оконечных системах на обоих концах канала создается криптографическая производная неаутентифицированного общего секретного кода канала передачи данных, например с помощью псевдослучайной криптографической функции с подписью общим секретным кодом. Способ получения производной гарантирует, что оба значения, полученные на обоих концах канала передачи данных, будут идентичными в случае идентичного общего секретного кода. Например, расчет может выполняться по обычным асимметричным псевдослучайным алгоритмам типа HASH или НМАС.
После этого, с использованием внешних средств коммуникации, за пределами канала передачи данных, между оконечными системами канала передаются данные, полученные на основе неаутентифицированного общего секретного кода, то есть по меньшей мере производная от неаутентифицированного общего секретного кода канала передачи данных или результаты расчетов по соответствующим входным данным внешней аутентификации (внешней службы или системы аутентификации).
Данные, полученные на основе неаутентифицированного общего секретного кода, могут быть производной неаутентифицированного общего секретного кода или измененной производной неаутентифицированного общего секретного кода, например полученной путем модификации с учетом дополнительных данных или производной, полученной на основе неаутентифицированного общего секретного кода и дополнительных данных, или производной, рассчитанной на основе неаутентифицированного общего секретного кода и дополнительных данных с последующей модификацией, например с использованием дополнительных данных. Модификация с использованием дополнительных данных может выполняться оконечными системами канала передачи данных или целевыми приложениями на обоих концах канала передачи данных, и/или на стороне системы аутентификации. Модификация может выполняться на обеих сторонах канала с использованием одного компонента или с использованием разных компонентов для разных сторон канала. Дополнительные данные могут создаваться оконечной системой канала передачи данных и/или целевым приложением, и/или на стороне внешней системы аутентификации. Создание дополнительных данных может выполняться на обеих сторонах канала с использованием одного компонента или с использованием разных компонентов для разных сторон канала.
После получения внешней службой аутентификации производных, полученных с использованием неаутентифицированного общего секретного кода на обоих концах канала передачи данных, внешняя служба аутентификации выполняет аутентификацию переданных производных, полученных с использованием неаутентифицированного общего секретного кода, обычно с использованием аутентификационного секретного кода пользователя или провайдера, доступного для внешней службы аутентификации. Все это выполняется таким образом, что гарантируется криптографически надежная корреляция между аутентификацией производных, полученных с использованием неаутентифицированного общего секретного кода, и аутентификацией пользователя относительно системы, например с использованием подписи или шифрования на основе секретного кода или других аутентификационных данных.
Внешняя система аутентификации представляет собой набор программ и устройств или электронную службу, которая может выполнять независимую аутентификацию пользователей относительно систем, а также другие операции, связанные с аутентификацией, в том числе аутентификацию производных данных, полученных с использованием неаутентифицированного секретного кода канала передачи данных, которая отделена от канала передачи данных и не использует этот канал для передачи информации.
Средства внешней коммуникации могут использовать, в том числе, технологии локальной коммуникации, например легко и интуитивно понятно используемые оптические коммуникации в виде сканирования и отображения QR-кодов, или технологии беспроводной коммуникации на коротких расстояниях, или локальных сетей, встроенных в устройства коммуникационных средств или других обычных средств, например внутренней сети провайдера услуг или внутренней защищенной сети провайдера облачной услуги относительно скрытой дистанционной коммуникации.
Аутентификация производных данных, полученных с использованием неаутентифицированного общего секретного кода, может выполняться с использованием внешней системы аутентификации, например основанной на сравнении производных, полученных с использованием производных данных, полученных с использованием неаутентифицированного общего секретного кода и аутентифицированного секретного кода пользователя и/или системы; или через внешнюю систему аутентификации с использованием временного ключа подписи, аутентифицируемого во время аутентификации пользователя и/или системы с использованием внешней системы аутентификации; или с использованием внешней системы аутентификации путем шифрования с использованием временного ключа подписи, аутентифицируемого во время аутентификации пользователя и/или системы с использованием внешней системы аутентификации; или с использованием внешней системы аутентификации путем сравнения производных, полученных на основании данных, полученных с использованием неаутентифицированного секретного кода и временного ключа подписи, аутентифицируемого во время аутентификации пользователя и/или системы с использованием внешней системы аутентификации; или с использованием внешней системы аутентификации таким образом, что внешняя система аутентификации использует производные данные, полученные с использованием неаутентифицированного секретного кода канала передачи данных для аутентификации пользователя, таким образом, который будет заменять передачу запроса при использовании протоколов аутентификации типа запрос-ответ.
Таким образом, канал передачи данных будет аутентифицированным относительно общего секретного кода, то есть будет существовать пользователь, аутентифицированный относительно систем на обоих концах внешней системы аутентификации, а также канала передачи данных.
Результат аутентификации может впоследствии передать внешнюю аутентификацию (через систему/службу аутентификации) в целевое приложение, в том числе важную информацию об аутентифицированном пользователе или системе, а также о пользователе или системе на другом конце канала передачи данных.
Начиная с момента успешной аутентификации производных данных, полученных с использованием неаутентифицированного общего секретного кода канала передачи данных, канал считается аутентифицированным и становится каналом передачи скрытых аутентифицированных данных, который может использоваться целевым приложением для скрытой коммуникации с аутентифицированным пользователем целевого приложения.
Под пользователем понимается реальное физическое лицо, использующее электронное устройство, а также электронная система этого устройства.
Перечень изображений
Фиг. 1 - Схематическое изображение процесса аутентификации канала скрытой передачи данных 1 с использованием внешней аутентификации (внешней системы аутентификации 2) в соответствии с примером реализации изобретения №1.
Фиг. 2 - Схематическое изображение процесса аутентификации канала скрытой передачи данных 1 с использованием внешней аутентификации (внешней системы аутентификации 2) в соответствии с примером реализации изобретения №2.
Фиг. 3 - Схематическое изображение процесса аутентификации канала скрытой передачи данных 1 с использованием внешней аутентификации (внешней системы аутентификации 2) в соответствии с примером реализации изобретения №3.
Фиг. 4 - Схематическое изображение процесса аутентификации канала скрытой передачи данных 1 с использованием внешней аутентификации (внешней системы аутентификации 2) в соответствии с примером реализации изобретения №4.
Примеры реализации изобретения
Пример 1
Процесс аутентификации канала скрытой передачи данных может быть организован таким образом, при котором создается скрытый неаутентифицированный канал передачи данных 1 между сторонами A и B и доступна внешняя система аутентификации 2. Канал передачи данных 1 заканчивается с обеих сторон оконечными устройствами - 3 на стороне A и 4 на стороне B - канала передачи данных.
Стороны A и B канала передачи данных 1 и стороны A и B внешней системы аутентификации 2 могут осуществлять обмен данными через локальную или глобальную сеть, например через Интернет 10.
Оба оконечных устройства 3 и 4 канала передачи данных 1 располагают секретной информацией - общим секретным кодом 5, который был получен обычной процедурой создания неаутентифицированного общего секретного кода, например с помощью криптографического алгоритма соглашения о ключах. Общий секретный код 5 используется обычным образом на обоих оконечных устройствах 3 и 4 канала передачи данных 1 так, чтобы обеспечить защиту данных, передаваемых по каналу передачи данных 1. Но на данный момент еще не подтверждено, что данные поступают от правильного субъекта, а также что они достигают правильного субъекта, поскольку аутентификация еще не выполнялась.
Для проведения аутентификации канала передачи данных 1 используется внешняя система аутентификации 2 так, чтобы соответствующие оконечные устройства 3 и 4 канала передачи данных 1 вычисляли с использованием общего секретного кода 5 производную 6 от общего секретного кода 5 так, чтобы по запросу целевого приложения 7 на стороне A оконечное устройство 3 канала передачи данных 1 выполняло расчет производной 6 от общего секретного кода 5 для стороны A, а по запросу целевого приложения 8 на стороне B оконечное устройство 4 канала передачи данных 1 выполняло расчет производной 6 от общего секретного кода 5 для стороны B. Способ расчета гарантирует, что обе производные 6 от общего секретного кода 5, полученные на оконечных устройствах 3 и 4 канала передачи данных 1, будут иметь одинаковые значения при идентичном общем секретном коде 5. Например, расчет может выполняться по обычным асимметричным псевдослучайным алгоритмам типа HASH или НМАС.
Производная 6 от общего секретного кода 5 затем передается через внешний интерфейс 15 на внешнюю систему аутентификации 2, которая выполняет аутентификацию обеих сторон, выполняющих коммуникацию, в том числе аутентификацию производной 6 от общего секретного кода 5 канала передачи данных 1. Таким образом выполняется аутентификация канала передачи данных 1, связывающего стороны, выполняющие коммуникацию, и подтверждается факт передачи данных по каналу передачи данных 1 от правильного субъекта к правильному субъекту.
Производная 6 от общего секретного кода 5 передается на внешнюю систему аутентификации 2 таким образом, что оконечное устройство 3 канала передачи данных 1 на стороне A передает производную 6 от общего секретного кода 5 целевому приложению 7 на стороне A, по запросу которого выполнялся расчет производной 6 от общего секретного кода 5 на оконечном устройстве 3 канала передачи данных 1 на стороне A, а затем целевое приложение 7 на стороне A передает производную 6 от общего секретного кода 5 с использованием внешних средств коммуникации через внешний интерфейс 15 на сторону 11 внешней системы аутентификации 2 на стороне A. Аналогично оконечное устройство 4 канала передачи данных 1 на стороне B передает производную 6 от общего секретного кода 5 целевому приложению 8 на стороне B, по запросу которого выполнялся расчет производной 6 от общего секретного кода 5 на оконечном устройстве 4 канала передачи данных 1 на стороне B, а затем целевое приложение 8 на стороне B передает производную 6 от общего секретного кода 5 с использованием внешних средств коммуникации на сторону 12 внешней системы аутентификации 2 на стороне B.
Передача производной 6 от общего секретного кода 5 с использованием внешних средств коммуникации через внешний интерфейс 15 выполняется в обход канала передачи данных 1 обычным образом, например с использованием технологий беспроводной коммуникации на коротких расстояниях, оптической коммуникации, локальных сетей или других обычных средств, например внутренней сети провайдера услуг. Способ защиты передачи производной 6 от общего секретного кода 5 и способ использования внешней системы аутентификации 2 имеет такой уровень безопасности, чтобы гарантировать использование целевого приложения 7 и 8 на соответствующей стороне тем же пользователем, что и пользователь внешней системы аутентификации 2.
После этого результат аутентификации 13 передается целевому приложению вместе с другой важной информацией об аутентифицированном пользователе или системе на стороне A, а также о пользователе (или системе) на стороне B.
Пример 2
Может использоваться другой процесс аутентификации канала скрытой передачи данных, например таким образом, при котором сначала создается скрытый неаутентифицированный канал передачи данных 1 между сторонами A и B, например с использованием общедоступных механизмов шифрования передачи данных TLS по RFC 5246, в котором не используются возможности аутентификации, а также доступна внешняя система аутентификации 2. Канал передачи данных 1 завершается с обеих сторон оконечными устройствами канала передачи данных (3 на стороне A и 4 на стороне B). Оба оконечных устройства 3 и 4 канала передачи данных 1 располагают секретной информацией - общим секретным кодом, который был получен обычной процедурой создания неаутентифицированного общего секретного кода, например с помощью криптографического алгоритма соглашения о ключах. Общий секретный код 5 используется обычным образом на обоих оконечных устройствах 3 и 4 канала передачи данных 1 так, чтобы обеспечить защиту данных, передаваемых по каналу передачи данных 1. Но на данный момент еще не подтверждено, что данные поступают от правильного субъекта, а также что они достигают правильного субъекта, поскольку аутентификация еще не выполнялась.
Затем целевое приложение 7 на стороне A передает на оконечное устройство 3 канала передачи данных 1 на стороне A данные 9 целевого приложения, которые должны быть переданы в зашифрованном виде по каналу передачи данных 1 с использованием общего секретного кода 5, затем расшифрованы на оконечном устройстве 4 канала передачи данных на стороне B и переданы целевому приложению 8 на стороне B.
Переданные данные 9 целевого приложения могут содержать, например, техническую информацию для правильной работы внешней системы аутентификации 2, например сетевой адрес внешней системы аутентификации (стороны A 11), идентификатор аутентифицированной сессии или другую информацию, позволяющую повысить защищенность, например набор случайных данных с высоким уровнем энтропии.
Целевое приложение 7 на стороне A обрабатывает данные 9, предназначенные для передачи, а целевое приложение 8 на стороне B обрабатывает переданные данные 9 таким образом, что на каждой соответствующей стороне на основании этих данных вычисляются дополнительные данные 14. Способ их расчета гарантирует, что дополнительные данные 14, вычисленные обоими целевыми приложениями 7 и 8, будут иметь идентичные значения в случае правильной передачи и расшифровки данных 9.
После этого для аутентификации канала передачи данных 1 применяется внешняя система аутентификации 2 так, что соответствующие оконечные устройства 3 и 4 канала передачи данных 1 вычисляют с использованием общего секретного кода 5 и дополнительных данных 14 производную 6 от общего секретного кода 5. Вычисление выполняется таким образом, что по запросу целевого приложения 7 на стороне A и на основании переданных дополнительных данных 14, созданных целевым приложением 7 на стороне A, оконечное устройство 3 канала передачи данных на стороне A вычисляет производную 6 от общего секретного кода 5, а по запросу целевого приложения 8 на стороне B и на основании переданных дополнительных данных 14, созданных целевым приложением 8 на стороне B, оконечное устройство 4 канала передачи данных на стороне B вычисляет производную 6 от общего секретного кода 5. Способ получения гарантирует, что оба значения производной 6 от общего секретного кода 5, полученные оконечными устройствами 3 и 4 канала передачи данных, будут идентичными в случае идентичного входных данных. Например, расчет может выполняться по обычным асимметричным псевдослучайным алгоритмам типа HASH или НМАС, например по процедуре, описанной в RFC 5705 (Экспортеры материала ключей данных для безопасности на транспортном уровне (TLS)).
Затем производная 6 от общего секретного кода 5 передается через внешний интерфейс 15 на внешнюю систему аутентификации 2, которая выполняет аутентификацию сторон, выполняющих коммуникацию, в том числе аутентификацию производной 6 от общего секретного кода 5 канала передачи данных 1. Таким образом выполняется аутентификация канала передачи данных 1, связывающего стороны, выполняющие коммуникацию, и подтверждается факт передачи данных по каналу передачи данных от правильного источника к правильному субъекту.
Производная 6 от общего секретного кода передается на внешнюю систему аутентификации 2 таким образом, что оконечное устройство 3 канала передачи данных на стороне A передает производную 6 от общего секретного кода 5 целевому приложению 7 на стороне A, по запросу которого выполнялся расчет производной 6 от общего секретного кода 5 на оконечном устройстве 3 канала передачи данных 1 на стороне A, а затем целевое приложение 7 на стороне A передает производную 6 от общего секретного кода 5 с использованием внешних средств коммуникации через внешний интерфейс 15 внешней системе аутентификации 11 на стороне A. Аналогично оконечное устройство 4 канала передачи данных на стороне B передает производную 6 от общего секретного кода 5 целевому приложению 8 на стороне B, по запросу которого выполнялся расчет производной 6 от общего секретного кода 5 на оконечном устройстве 4 канала передачи данных на стороне B, а затем целевое приложение 8 на стороне B передает производную 6 от общего секретного кода 5 с использованием внешних средств коммуникации внешней системе аутентификации 12 на стороне B.
Передача производной 6 от общего секретного кода 5 с использованием внешних средств коммуникации через внешний интерфейс 15 выполняется в обход канала передачи данных 1 обычным образом, например с использованием технологий локальной коммуникации - простых и интуитивно понятно используемых оптических коммуникаций в виде сканирования и отображения QR-кодов, или встроенных в устройства коммуникационных средств, или внутренней защищенной сети провайдера облачной услуги относительно скрытой дистанционной коммуникации.
Пример 3
Может использоваться другой процесс аутентификации канала скрытой передачи данных, например таким образом, при котором так же, как в предыдущих описаниях, сначала создается скрытый неаутентифицированный канал передачи данных 1 между сторонами A и B, где оба оконечных устройства 3 и 4 канала передачи данных располагают неаутентифицированной секретной информацией - общим секретным кодом 5.
Затем целевое приложение 7 на стороне A передает на оконечное устройство 3 канала передачи данных 1 на стороне A данные 9 целевого приложения, которые должны быть переданы в зашифрованном виде по каналу передачи данных 1 и на основании которых на каждой стороне вычисляются дополнительные данные 16, как и в предыдущем примере с использованием дополнительных данных. Для проведения аутентификации канала передачи данных 1 используется внешняя система аутентификации 2 так, чтобы соответствующие оконечные устройства 3 и 4 канала передачи данных вычисляли с использованием общего секретного кода 5 производную 6 от общего секретного кода 5 так, чтобы по запросу целевого приложения 7 на стороне A оконечное устройство 3 канала передачи данных 1 выполняло расчет производной 6 от общего секретного кода 5 для стороны A, а по запросу целевого приложения 8 на стороне B оконечное устройство 4 канала передачи данных 1 выполняло расчет производной 6 от общего секретного кода 5 для стороны B.
После этого целевые приложения 7 и 8 на сторонах A и B выполняют модификацию производной 6 от общего секретного кода 5 с использованием дополнительных данных 16 и передают измененную производную 6 от общего секретного кода 5 на внешнюю систему аутентификации 11 и 12 на сторонах A и B. Модификация производной 6 может выполняться с использованием обычных математических алгоритмов. Например, можно использовать обычные асимметричные псевдослучайные алгоритмы типа HASH или НМАС или конкатенацию.
Выбранный способ расчетов гарантирует, что оба значения измененной производной 6 от общего секретного кода 5, полученные целевым приложением 7 на стороне A и целевым приложением 8 на стороне B с использованием исходной производной 6 от общего секретного кода 5 и дополнительных данных 16, будут идентичными в случае идентичных входных данных.
Для аутентификации канала передачи данных используется измененная производная 6 от общего секретного кода 5, аналогично процессам из предыдущих примеров.
Пример 4
Может использоваться другой процесс аутентификации канала скрытой передачи данных, например таким образом, при котором так же, как в предыдущих описаниях, сначала создается скрытый неаутентифицированный канал передачи данных 1 между сторонами A и B, где оба оконечных устройства 3 и 4 канала передачи данных 1 располагают секретной информацией - общим секретным кодом 5.
Затем внешняя система аутентификации 11 на стороне A выполняет подготовку дополнительных данных 16, которые используются как часть технической информации для правильной работы внешней системы аутентификации 2. Это может быть сетевой адрес внешней системы аутентификации 11 на стороне A, идентификатор аутентифицированной сессии или другая информация, позволяющая повысить защищенность, например набор случайных данных с высоким уровнем энтропии.
Дополнительные данные 16 передаются от внешней системы аутентификации 11 на стороне A через внешний интерфейс 15 на стороне A целевому приложению 7 на стороне A, которое передает их, возможно с дополнением или модификацией, оконечному устройству 3 канала передачи данных 1 на стороне A в виде данных 9 целевого приложения, которые должны быть переданы в зашифрованной форме через канал передачи данных 1 с использованием общего секретного кода 5, затем расшифрованы на оконечном устройстве 4 канала передачи данных 1 на стороне B и переданы целевому приложению 8 на стороне B.
Целевое приложение 8 на стороне B обрабатывает переданные данные таким образом, что на основании этих данных вычисляются дополнительные данные 16. Можно использовать любые общеизвестные математические алгоритмы, применение которых гарантирует, что оба значения дополнительных данных 16, то есть дополнительные данные 16, вычисленные внешней системой аутентификации 11 на стороне A, и дополнительные данные 16, вычисленные целевым приложением 8 на стороне B, будут иметь идентичные значения в случае правильной передачи и расшифровки информации.
Затем для проведения аутентификации канала передачи данных 1 используется внешняя система аутентификации 2 так, чтобы по запросу целевого приложения 7 на стороне A оконечное устройство 3 канала передачи данных выполняло расчет производной 6 от общего секретного кода 5 для стороны A, которая передается без изменений через внешний интерфейс 15 на внешнюю систему аутентификации 11 на стороне A. Внешняя система аутентификации 11 на стороне A выполняет модификацию производной 6 от общего секретного кода 5 с использованием дополнительных данных 16, вычисленных ранее внешней системой аутентификации 11 на стороне A, и передает ее целевому приложению 7 на стороне A.
По запросу целевого приложения 8 на стороне B оконечное устройство 4 канала передачи данных 1 выполняет расчет производной 6 от общего секретного кода 5 для стороны В. Производная передается целевому приложению 8 на стороне B, которое выполняет модификацию производной 6 от общего секретного кода 5 с использованием дополнительных данных 16 и передает модифицированную производную 6 от общего секретного кода 5 через внешний интерфейс 15 на внешнюю систему аутентификации 12 на стороне B.
Выбранный способ расчетов гарантирует, что значение измененной производной 6 от общего секретного кода 5, полученное целевым приложением 8 на стороне B с использованием исходной производной 6 от общего секретного кода 5 и дополнительных данных 16, будет иметь такое же значение, как и результат модификаций на внешней системе аутентификации 11 на стороне A, если все входные данные будут идентичными.
Для аутентификации канала передачи данных используется измененная производная 6 от общего секретного кода 5, аналогично процессам из предыдущих примеров.
Пример 5
Может использоваться другой процесс аутентификации канала скрытой передачи данных 1, например таким образом, при котором оконечное устройство 3 канала передачи данных 1 на стороне A является составной частью целевого приложения 7 на стороне A, а соответственно оконечное устройство 4 канала передачи данных 1 на стороне B является составной частью целевого приложения 8 на стороне B. Соответствующая передача данных в этом примере выполняется внутри целевых приложений аналогично тому, как описано в предыдущих примерах.
Пример 6
Процесс аутентификации переданных данных, полученных с использованием неаутентифицированного общего секретного кода 5 канала передачи данных 1, может выполняться с использованием внешней системы аутентификации 2, например, следующим образом:
- с использованием криптографической подписи аутентифицированным секретным кодом переданных данных, полученных с использованием неаутентифицированного общего секретного кода 5 канала данных 1;
- с использованием шифрования аутентифицированным секретным кодом переданных данных, полученных с использованием неаутентифицированного общего секретного кода 5 канала данных 1;
- по производной, вычисляемой с использованием данных, полученных с использованием неаутентифицированного общего секретного кода 5 канала передачи данных 1 и аутентифицированного секретного кода, используемого внешней системой аутентификации 2 для аутентификации пользователя. Таким образом, гарантируется криптографическая связь между аутентификацией пользователя и аутентификацией канала передачи данных.
Пример 7
Процесс аутентификации переданных данных, полученных с использованием неаутентифицированного общего секретного кода канала передачи данных может выполняться с использованием внешней системы аутентификации 2, например, следующим образом:
- с использованием криптографической подписи временным аутентифицированным секретным кодом переданных данных, полученных с использованием неаутентифицированного общего секретного кода 5 канала данных 1;
- с использованием шифрования временным аутентифицированным секретным кодом переданных данных, полученных с использованием неаутентифицированного общего секретного кода 5 канала данных 1;
- по производной, вычисляемой с использованием данных, полученных с использованием неаутентифицированного общего секретного кода 5 канала передачи данных 1 и временного аутентифицированного секретного кода, используемого внешней системой аутентификации 2 для аутентификации пользователя. Таким образом, гарантируется криптографическая связь между аутентификацией пользователя и аутентификацией канала передачи данных.
Пример 8
И наконец, аутентификация производных данных, полученных с использованием неаутентифицированного общего секретного кода 5 канала передачи данных 1, может выполняться с использованием внешней системы аутентификации 2 таким образом, что производные данные, полученные с использованием неаутентифицированного общего секретного кода 5 канала передачи данных 1, используются внешней системой аутентификации 2 для аутентификации пользователя таким образом, который будет заменять передачу запроса при использовании протоколов аутентификации типа запрос-ответ. Таким образом, гарантируется криптографическая связь между аутентификацией пользователя и аутентификацией канала передачи данных.
Промышленное применение
Данное изобретение может быть использовано в любом сценарии, где требуется аутентификация канала скрытой передачи данных.

Claims (16)

1. Способ аутентификации канала скрытой передачи данных между двумя сторонами (А и В), характеризующийся тем, что сначала создается неаутентифицированный канал скрытой передачи данных (1) с оконечным устройством (3) канала передачи данных (1) на первой стороне (А) и оконечным устройством (4) канала передачи данных (1) на второй стороне (В) и целевым приложением (7) на первой стороне (А) и целевым приложением (8) на второй стороне (В), где оконечные устройства (3) и (4) имеют в своем распоряжении неаутентифицированный общий секретный код (5), а затем на обеих сторонах (А и В) канала передачи данных (1) выполняется расчет производных данных с использованием неаутентифицированного общего секретного кода (5), которые передаются через внешние средства коммуникации за пределами канала передачи данных (1) на две стороны (11 и 12) внешней системы аутентификации (2), которая затем выполняет аутентификацию сторон (А и В), участвующих в коммуникации, в том числе аутентификацию канала передачи данных (1), при этом внешняя система аутентификации, представляющая собой систему, набор программ и устройств или электронную услугу, способна самостоятельно выполнять аутентификацию соответственно пользователей или систем.
2. Способ по п. 1, характеризующийся тем, что данные, вычисляемые с использованием неаутентифицированного общего секретного кода (5), получаются таким образом, что оконечные устройства (3) и (4) вычисляют производную (6) от неаутентифицированного общего секретного кода (5) или оконечные устройства (3) и (4) вычисляют производную (6) от неаутентифицированного общего секретного кода (5) и дополнительных данных (14); также возможна дополнительная модификация производной (6) с использованием вспомогательных данных (16).
3. Способ по п. 2, характеризующийся тем, что модификация производной (6) от неаутентифицированного общего секретного кода (5) выполняется независимо на обеих сторонах (А и В) по меньшей мере одним из компонентов следующей группы: оконечные устройства (3) и (4) канала передачи данных (1), целевые приложения (7) и (8), стороны (11) и (12) внешней системы аутентификации (2).
4. Способ по п. 2, характеризующийся тем, что дополнительные данные (14) и/или дополнительные данные (16) вычисляются независимо на обеих сторонах (А и В) по меньшей мере одним из компонентов следующей группы: оконечные устройства (3) и
(4) канала передачи данных (1), целевые приложения (7) и (8), стороны (11) и (12) внешней системы аутентификации (2).
5. Способ по п. 2, характеризующийся тем, что производные данные, вычисляемые с использованием неаутентифицированного общего секретного кода (5), получаются таким образом, что оконечные устройства (3) и (4) выполняют расчет производной (6) от неаутентифицированного общего секретного кода (5).
6. Способ по п. 2, характеризующийся тем, что производные данные, вычисляемые с использованием неаутентифицированного общего секретного кода (5), получаются таким образом, что оконечные устройства (3) и (4) выполняют расчет производной (6) от неаутентифицированного общего секретного кода (5) и дополнительных данных (14).
7. Способ по п. 2, характеризующийся тем, что производные данные, вычисляемые с использованием неаутентифицированного общего секретного кода (5), получаются таким образом, что оконечные устройства (3) и (4) выполняют расчет производной (6) от неаутентифицированного общего секретного кода (5), а целевые приложения (7) и (8) затем модифицируют производную (6) с использованием вспомогательных данных (16).
8. Способ по п. 2, характеризующийся тем, что производные данные, вычисляемые с использованием неаутентифицированного общего секретного кода (5), получаются таким образом, что оконечные устройства (3) и (4) выполняют расчет производной (6) от неаутентифицированного общего секретного кода (5) и дополнительных данных (14), а целевые приложения (7) и (8) затем модифицируют производную (6) с использованием вспомогательных данных (16).
9. Способ по п. 1, характеризующийся тем, что аутентификация производных данных, вычисляемых с использованием неаутентифицированного общего секретного кода (5), выполняется на внешней системе аутентификации (2) с использованием криптографической подписи с помощью аутентифицированного ключа подписи пользователя и/или системы.
10. Способ по п. 1, характеризующийся тем, что аутентификация производных данных, вычисляемых с использованием неаутентифицированного общего секретного кода (5), выполняется на внешней системе аутентификации (2) путем шифрования с использованием аутентифицированного ключа подписи пользователя и/или системы.
11. Способ по п. 1, характеризующийся тем, что аутентификация производных данных, вычисляемых с использованием неаутентифицированного общего секретного кода (5), выполняется на внешней системе аутентификации (2) путем сравнения производных, вычисленных с использованием неаутентифицированного общего секретного кода (5) и аутентифицированного секретного кода пользователя и/или системы.
12. Способ по п. 1, характеризующийся тем, что аутентификация производных данных, вычисляемых с использованием неаутентифицированного общего секретного кода (5), выполняется на внешней системе аутентификации (2) с использованием криптографической подписи с помощью временного аутентифицированного ключа подписи пользователя и/или системы с использованием внешней системы аутентификации (2).
13. Способ по п. 1, характеризующийся тем, что аутентификация производных данных, вычисляемых с использованием неаутентифицированного общего секретного кода (5), выполняется на внешней системе аутентификации (2) путем шифрования с использованием временного ключа шифрования, аутентифицированного во время аутентификации пользователя и/или системы с использованием внешней системы аутентификации (2).
14. Способ по п. 1, характеризующийся тем, что аутентификация производных данных, вычисляемых с использованием неаутентифицированного общего секретного кода (5), выполняется на внешней системе аутентификации (2) путем сравнения производных, вычисленных с использованием неаутентифицированного общего секретного кода (5) и временного аутентифицированного секретного кода пользователя и/или системы с использованием внешней системы аутентификации (2).
15. Способ по п. 1, характеризующийся тем, что аутентификация производных данных, вычисляемых с использованием неаутентифицированного общего секретного кода (5), выполняется на внешней системе аутентификации (2) таким образом, что переданные производные данные, полученные с использованием неаутентифицированного общего секретного кода (5) канала передачи данных (1), будут использоваться внешней системой аутентификации (2) для аутентификации пользователя таким образом, который будет заменять передачу запроса при использовании протоколов аутентификации типа запрос-ответ.
RU2015150542A 2013-05-22 2014-05-21 Способ аутентификации в канале скрытой передачи данных RU2645597C2 (ru)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CZ2013-373A CZ2013373A3 (cs) 2013-05-22 2013-05-22 Způsob autentizace bezpečného datového kanálu
CZPV2013-373 2013-05-22
PCT/CZ2014/000058 WO2014187436A1 (en) 2013-05-22 2014-05-21 Secured data channel authentication implying a shared secret

Publications (2)

Publication Number Publication Date
RU2015150542A RU2015150542A (ru) 2017-06-27
RU2645597C2 true RU2645597C2 (ru) 2018-02-21

Family

ID=51211457

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2015150542A RU2645597C2 (ru) 2013-05-22 2014-05-21 Способ аутентификации в канале скрытой передачи данных

Country Status (9)

Country Link
US (1) US10091189B2 (ru)
EP (1) EP3000216B1 (ru)
JP (1) JP2016522637A (ru)
KR (1) KR20160013135A (ru)
CN (1) CN105612728B (ru)
BR (1) BR112015028638A2 (ru)
CZ (1) CZ2013373A3 (ru)
RU (1) RU2645597C2 (ru)
WO (1) WO2014187436A1 (ru)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CZ2013373A3 (cs) 2013-05-22 2014-12-03 Anect A.S. Způsob autentizace bezpečného datového kanálu
CZ309308B6 (cs) 2013-07-12 2022-08-17 Aducid S.R.O. Způsob zadávání tajné informace do elektronických digitálních zařízení
CZ2015472A3 (cs) 2015-07-07 2017-02-08 Aducid S.R.O. Způsob navazování chráněné elektronické komunikace, bezpečného přenášení a zpracování informací mezi třemi a více subjekty
JP2018023029A (ja) * 2016-08-04 2018-02-08 株式会社 エヌティーアイ 通信システム、通信用クライアント、通信用サーバ、通信方法、プログラム
CZ2016832A3 (cs) * 2016-12-23 2018-02-07 Aducid S.R.O. Způsob vícefaktorové autentizace
CZ2020271A3 (cs) 2020-05-14 2021-11-24 Aducid S.R.O. Programový systém a způsob autentizace
CZ2021366A3 (cs) 2021-08-04 2023-02-15 Aducid S.R.O. Systém a způsob pro řízený přístup k cílové aplikaci

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050120213A1 (en) * 2003-12-01 2005-06-02 Cisco Technology, Inc. System and method for provisioning and authenticating via a network
US20070136800A1 (en) * 2005-12-13 2007-06-14 Microsoft Corporation Two-way authentication using a combined code
US20090288143A1 (en) * 2008-05-16 2009-11-19 Sun Microsystems, Inc. Multi-factor password-authenticated key exchange
US20100042838A1 (en) * 2008-08-12 2010-02-18 Texas Instruments Incorporated Public Key Out-of-Band Transfer for Mutual Authentication

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7386878B2 (en) * 2002-08-14 2008-06-10 Microsoft Corporation Authenticating peer-to-peer connections
JP4430915B2 (ja) * 2003-10-09 2010-03-10 日本電信電話株式会社 タグ装置、個人認証装置、リーダー装置、タグ認証方法及びプログラム
US7761710B2 (en) * 2005-04-05 2010-07-20 Mcafee, Inc. Captive portal system and method for use in peer-to-peer networks
JP4978166B2 (ja) * 2006-11-21 2012-07-18 ソニー株式会社 発券管理システム,提供サーバ及び利用管理サーバ
JP4963425B2 (ja) * 2007-02-23 2012-06-27 日本電信電話株式会社 セッション鍵共有システム、第三者機関装置、要求側装置、および応答側装置
RU2367007C2 (ru) * 2007-08-30 2009-09-10 Станислав Антонович Осмоловский Способ передачи и комплексной защиты информации
US8260883B2 (en) * 2009-04-01 2012-09-04 Wimm Labs, Inc. File sharing between devices
JP2012060366A (ja) * 2010-09-08 2012-03-22 Nec Corp 通信システム、通信方法、およびコンピュータ・プログラム
JP5889525B2 (ja) * 2010-12-21 2016-03-22 パナソニックIpマネジメント株式会社 認証システム
CZ2013373A3 (cs) 2013-05-22 2014-12-03 Anect A.S. Způsob autentizace bezpečného datového kanálu

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050120213A1 (en) * 2003-12-01 2005-06-02 Cisco Technology, Inc. System and method for provisioning and authenticating via a network
US20070136800A1 (en) * 2005-12-13 2007-06-14 Microsoft Corporation Two-way authentication using a combined code
US20090288143A1 (en) * 2008-05-16 2009-11-19 Sun Microsystems, Inc. Multi-factor password-authenticated key exchange
US20100042838A1 (en) * 2008-08-12 2010-02-18 Texas Instruments Incorporated Public Key Out-of-Band Transfer for Mutual Authentication

Also Published As

Publication number Publication date
BR112015028638A2 (pt) 2017-07-25
EP3000216B1 (en) 2018-01-31
US10091189B2 (en) 2018-10-02
CZ2013373A3 (cs) 2014-12-03
JP2016522637A (ja) 2016-07-28
WO2014187436A1 (en) 2014-11-27
US20160119317A1 (en) 2016-04-28
KR20160013135A (ko) 2016-02-03
CN105612728B (zh) 2019-04-23
RU2015150542A (ru) 2017-06-27
CN105612728A (zh) 2016-05-25
EP3000216A1 (en) 2016-03-30

Similar Documents

Publication Publication Date Title
RU2645597C2 (ru) Способ аутентификации в канале скрытой передачи данных
US9326142B2 (en) Cryptographic key generation
CN109729523B (zh) 一种终端联网认证的方法和装置
Saxena et al. Authentication protocol for an IoT-enabled LTE network
CN108418691A (zh) 基于sgx的动态网络身份认证方法
CN103415008A (zh) 一种加密通信方法和加密通信***
CN106850207B (zh) 无ca的身份认证方法和***
US20110179478A1 (en) Method for secure transmission of sensitive data utilizing network communications and for one time passcode and multi-factor authentication
JP2012530311A5 (ru)
KR20150092719A (ko) 증명서 생성 디바이스 및 방법
Tanveer et al. RUAM-IoD: A robust user authentication mechanism for the Internet of Drones
CN114765534B (zh) 基于国密标识密码算法的私钥分发***和方法
JP2022528815A (ja) ユーザデバイスと車両との接続を認証するためのシステムおよび方法
KR102219086B1 (ko) 드론(Unnamed Aerial vehicle)시스템을 위한 HMAC기반의 송신원 인증 및 비밀키 공유 방법 및 시스템
CN109922022A (zh) 物联网通信方法、平台、终端和***
Coruh et al. Hybrid secure authentication and key exchange scheme for M2M home networks
US20190379655A1 (en) Data communication system
CN106209384A (zh) 使用安全机制的客户终端与充电装置的通信认证方法
Kaur et al. Cryptanalysis and enhancement of an authentication protocol for secure multimedia communications in IoT-enabled wireless sensor networks
Sinha et al. A Secure Three-Party Authenticated Key Exchange Protocol for Social Networks.
KR101451163B1 (ko) 무선 네트워크 접속 인증 방법 및 그 시스템
Ashraf et al. Robust and lightweight remote user authentication mechanism for next-generation IoT-based smart home
JP2008217497A (ja) 無線通信システム通信装置および無線通信方法
Weber et al. How to Prevent Misuse of IoTAG?
US10530583B2 (en) Method for putting a first device in secure communication with a second device