CZ2015474A3 - Způsob autentizace komunikace autentizačního zařízení a alespoň jednoho autentizačního serveru pomocí lokálního faktoru - Google Patents

Způsob autentizace komunikace autentizačního zařízení a alespoň jednoho autentizačního serveru pomocí lokálního faktoru Download PDF

Info

Publication number
CZ2015474A3
CZ2015474A3 CZ2015-474A CZ2015474A CZ2015474A3 CZ 2015474 A3 CZ2015474 A3 CZ 2015474A3 CZ 2015474 A CZ2015474 A CZ 2015474A CZ 2015474 A3 CZ2015474 A3 CZ 2015474A3
Authority
CZ
Czechia
Prior art keywords
authentication
reference information
local factor
authentication device
authentication server
Prior art date
Application number
CZ2015-474A
Other languages
English (en)
Inventor
Libor Neumann
Vlastimil KlĂ­ma
Original Assignee
Aducid S.R.O.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Aducid S.R.O. filed Critical Aducid S.R.O.
Priority to CZ2015-474A priority Critical patent/CZ2015474A3/cs
Priority to EP16745406.5A priority patent/EP3320664B1/en
Priority to CN201680032262.3A priority patent/CN107690789A/zh
Priority to US15/737,717 priority patent/US10771970B2/en
Priority to PCT/CZ2016/050022 priority patent/WO2017005230A1/en
Publication of CZ2015474A3 publication Critical patent/CZ2015474A3/cs

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0861Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan

Abstract

Způsob autentizace komunikace autentizačního zařízení a alespoň jednoho autentizačního serveru pomocí lokálního faktoru, přičemž se v iniciační autentizační transakci mezi autentizačním zařízením a autentizačním serverem vytvoří tajná informace sdílená autentizačním zařízením a autentizačním serverem, a z tajné informace sdílené autentizačním zařízením a autentizačním serverem se odvodí referenční informace, která se odvodí stejným způsobem z tajné informace na autentizačním zařízení i na autentizačním serveru. Autentizační zařízení vytvoří transformovanou referenční informaci kryptografickou transformací z referenční informace, přičemž jako vstup této kryptografické transformace se použije lokální faktor zvolený a zadaný uživatelem nebo získaný z nosiče nebo z okolního prostředí a přičemž na autentizačním zařízení se uloží pouze transformovaná referenční informace a na autentizačním serveru se uloží pouze referenční informace.

Description

Způsob autentizace komunikace autentizačního zařízení a alespoň jednoho autentizačního serveru pomocí lokálního faktoru
Oblast techniky
Vynález spadá do oblasti bezpečnosti informačních a komunikačních technologií.
Vynález se týká ochrany prostředků zejména zařízení používaných k autentizaci při lokální či vzdálené elektronické komunikaci proti zneužití neoprávněnou osobou.
Dosavadní stav techniky
Existují způsoby používané k bezpečnému navazování chráněné elektronické komunikace (autentizace) za použití autentizačních zařízení, která komunikují s autentizačními servery, a která zajišťují různou úroveň bezpečnosti, tedy různou úroveň odolnosti proti zneužití neoprávněnou osobou.
Mezi významná rizika zneužití autentizačních prostředků používaných při elektronické komunikaci patří neoprávněné získání samotných prostředků a jejich použití neoprávněnou osobou místo oprávněné osoby.
Předkládaný vynález si klade za cíl vytvořit takový způsob autentizace komunikace těchto autentizačních zařízení s autentizačními servery, který nedovolí útočníkovi získat autentizační informaci uživatele (lokální faktor) ani při získání autentizačních prostředků či dat z nich.
Podstata vynálezu
Předkládaný vynález poskytuje způsob autentizace komunikace autentizačního zařízení a autentizačního serveru pomocí lokálního faktoru zvoleného uživatelem.
K inicializaci lokální faktoru dojde v iniciační autentizační transakci, přičemž se vytvoří tajná informace sdílená autentizačním zařízením a autentizačním serverem, a z této tajné informace sdílené autentizačním zařízením a autentizačním serverem se odvodí referenční informace, která se odvodí stejným způsobem samostatně z tajné informace na autentizačním zařízení i na autentizačním serveru, a autentizační zařízení vytvoří kryptografickou transformací z referenční informace transformovanou referenční informaci, přičemž jako vstup této krypto grafické transformace se použije lokální faktor zvolený a zadaný uživatelem nebo získaný z nosiče nebo z okolního prostředí a přičemž na autentizačním zařízení se uloží pouze transformovaná referenční informace a na autentizačním serveru se uloží pouze referenční informace. Kryptografická transformace je obousměrná.
V každé další autentizační transakci s použitím inicializovaného lokálního faktoru (tj. založeného výše popsaným způsobem) pak autentizační zařízení získá od uživatele, z nosiče nebo z okolního prostředí lokální faktor, v autentizačním zařízení se odvodí referenční informace z uložené transformované referenční informace kryptografickou transformací (inverzní ke kryptografické transformaci použité při vytváření transformované referenční informace) s pomocí získaného lokálního faktoru jako vstupu kryptografické transformace transformované referenční informace, a tato získaná referenční informace se předá bezpečným způsobem, s výhodou s využitím sdílené autentizované náhodné informace, na autentizační server, kde se vyhodnotí s použitím referenční informace uložené na autentizačním serveru.
V jednom provedení se referenční informace z autentizačního zařízení na autentizační server předá v zašifrované formě, přičemž k zašifrování se použije sdílená autentizovaná náhodná informace platná pouze pro danou autentizační transakci. V jednom provedení se bezpečný přenos může provést šifrováním, takže autentizační server může od autentizačního zařízení obdrženou zašifrovanou referenční informaci dešifrovat a vyhodnotit s pomocí uložené referenční informace. V jiném provedení se bezpečný přenos může provést tak, že se na referenční informaci a sdílenou autentizovanou náhodnou informaci na autentizačním zařízení aplikuje jednosměrná kryptografická transformace a výstup této transformace se přenese na autentizační server, a stejná jednosměrná kryptografická transformace se použije na autentizačním serveru na referenční informaci uloženou na autentizačním serveru a na sdílenou autentizovanou náhodnou informaci, a na autentizačním serveru se oba výsledky porovnají.
Při změně lokálního faktoru z původního lokálního faktoru na nový lokální faktor se tato změna provede tak, že se v autentizačním zařízení zpracuje uživatelem zadaný nebo z nosiče či z okolního prostředí získaný původní lokální faktor tak, že se použije jako vstup (inverzní) kryptografické transformace aplikované na transformovanou referenční informaci pro získání referenční informace, a dále se uživatelem zadaný nebo z nosiče či z okolního prostředí získaný nový lokální faktor zpracuje v autentizačním zařízení tak, že se použije jako vstup kryptografické transformace aplikované na referenční informaci pro získání nové transformované referenční informace, přičemž autentizační zařízení v průběhu provádění změny provede ověření správnosti uživatelem zadaného nebo z nosiče či z okolního prostředí získaného původního lokálního faktoru s autentizačním serverem. Takto může zůstat referenční informace uložená na serveru stejná, bez ohledu na změnu lokálního faktoru.
Autentizační zařízení je zařízení, které uživatel používá pro autentizaci a autentizovanou komunikaci se serverem. Může jím být například počítač, mobilní telefon, tablet, chytré hodinky, čipová karta, apod.
Autentizační server je server, s nímž komunikuje autentizační zařízení, může to být například server poskytovatele služeb.
Lokální faktor je tajná informace, jejímž držitelem je uživatel. Může mít podobu informace, kterou autentizační zařízení získá přímo od uživatele (heslo, PIN, sejmutí obrazu obličeje, otisku prstu, gesta, apod.), nebo informace uložené na nosiči (např. kartě, čipu, náramku, chytrých hodinkách), nebo informace, kterou autentizační zařízení získá z okolního prostředí (informace z Wi-Fi sítě, sejmutí QR kódu, rozpoznání bezdrátové platební karty apod.). Podoba lokálního faktoru může záviset také na technologii, kterou je autentizační zařízení schopné využívat (např. klávesnice, obrázková klávesnice, fotoaparát, čtečka čipů, NFC, Bluetooth, USB).
Lokální faktor může využívat různé technologie a tím ovlivnit uživatelské vlastnosti i bezpečnostní parametry lokálního faktoru. Technické prostředky autentizačního zařízení musí podporovat příslušnou technologii lokálního faktoru, aby mohl být lokální faktor s pomocí příslušného autentizačního zařízení používán. Musí se jednat o technické prostředky zaručující, že ověření lokálního faktoru probíhá lokálně, tedy na malou vzdálenost. Lokální komunikace (komunikace na malou vzdálenost) je taková komunikace, která vylučuje, že komunikující subjekty sdělí informaci třetí osobě nebo že tato komunikace bude odposlechnuta.
Technologie lokálního faktoru může případně používat další technické prostředky kromě technických prostředků autentizačního zařízení. Může jít například o zařízení, které uživatel běžně osobně používá k jiným účelům a stále nebo velmi často je nosí s sebou. Např. elektronické hodinky využívající BlueTooth komunikaci, sportovní elektronický náramek nebo jinou „oblékatelnou“ elektroniku využívající BlueTooth komunikaci, elektronické identifikační doklady používající NFC komunikaci jako je elektronický pas či předplacená elektronická jízdenka používající NFC kompatibilní čip, NFC kompatibilní platební karta, atp.
Iniciační autentizační transakce je transakce, při níž uživatel zvolí lokální faktor, tedy jeho technologii i hodnotu. Iniciační autentizační transakci lze také nazvat založením lokálního faktoru.
Referenční informace je informace vytvořená v průběhu iniciační autentizační transakce, která není nijak odvozena od lokálního faktoru, nesouvisí s ním. Je odvozena z náhodně generovaného tajné informace sdílené autentizačním zařízením a autentizačním serverem při iniciační autentizační transakci. Referenční informace je uložena na autentizačním serveru, není uložena na autentizačním zařízení.
Transformovaná referenční informace je produkt obousměrné krypto grafické transformace provedené s referenční informací v autentizačním zařízení a s lokálním faktorem jako vstupem kryptografické transformace. Transformovaná referenční informace však není odvozena od lokálního faktoru, ani z ní nelze zjistit lokální faktor. Transformovaná referenční informace je uložena na autentizačním zařízení a nepřenáší se na autentizační server. Lze použít jakoukoliv kryptografickou transformaci, ke které existuje inverzní kryptografická transformace, a lokální faktor je jedním z vstupů, které kryptografická transformace používá.
Autentizační transakce je transakce zahrnující primární autentizaci a autentizaci pomocí lokálního faktoru.
Tajná informace je sdílená autentizačním zařízením a autentizačním serverem, vytváří se v průběhu iniciační autentizační transakce a může to být jakákoliv náhodná nebo pseudonáhodná informace. V iniciační transakci slouží jako zdroj referenční informace.
Sdílená autentizovaná náhodná informace se vytváří v průběhu autentizačních transakcí následujících po iniciační autentizační transakci, je sdílená autentizačním zařízením a autentizačním serverem, a může sloužit jako vstup kryptografické transformace aplikované na referenční informaci pro zvýšení bezpečnosti jejího přenosu. Tato krypto grafická transformace může být jednosměrná (např. funkce hash) nebo obousměrná (např. šifrování a dešifrování). Je výhodné, když je sdílená autentizovaná náhodná informace platná vždy jen pro danou transakci.
Tajnou informací sdílenou autentizačním zařízením a autentizačním serverem a/nebo sdílenou autentizovanou náhodou informací může být ve výhodném provedení sekundami autentizační tajemství (SAS) vytvořené v rámci primární autentizace.
Primární autentizace je první krok každé autentizační transakce, kdy se autentizační zařízení a autentizační server vzájemně autentizují (např. pomocí veřejných a privátních klíčů). V průběhu primární autentizace se vytvoří sekundární autentizační tajemství, což je autentizovaná informace sdílená autentizačním zařízením a autentizačním serverem, která je s výhodou platná pouze pro aktuální autentizační transakci. Primární autentizace také vytvoří zabezpečený komunikační kanál, kterým pak probíhá další komunikace mezi autentizačním zařízením a autentizačním serverem v průběhu dané autentizační transakce.
Způsob podle vynálezu dovoluje založení lokálního faktoru a jeho používání v dalších autentizačních transakcích bez potřeby toho, aby byl na autentizačním zařízení nebo na autentizačním serveru uložen lokální faktor nebo jakákoliv informace, z níž lze lokální faktor získat (například produkt kryptografické transformace aplikované na lokální faktor). To výrazně zvyšuje bezpečnost autentizace proti útoku zaměřenému na získání lokálního faktoru, protože ani když útočník získá referenční informaci ze serveru nebo transformovanou referenční informaci z autentizačního zařízení, tyto informace neobsahují žádnou informaci vedoucí k lokálnímu faktoru nebo umožňující získat lokální faktor. Lokální faktor zadaný na autentizačním zařízení při autentizační transakci se nikam nepřenáší a po ukončení transakce, případně po předem definované době, se zapomene.
Lokální faktor je vstup používaný obousměrnou kryptografickou transformací na autentizačním zařízením při odvozování (šifrování) transformované referenční informace z referenční informace a naopak při odvozování (dešifrování) referenční informace z transformované referenční informace. Bez získání lokálního faktoru autentizačním zařízením, tj. bez jeho zadání uživatelem nebo získání z okolního prostředí či z nosiče v průběhu autentizační transakce, nedokáže krypto grafická transformace správně odvodit (např. dešifrovat) z transformované referenční informace referenční informaci.
Způsob podle vynálezu dále dovoluje autentizovat komunikaci s dalším autentizačním serverem stejným lokálním faktorem (tedy založit stejný lokální faktor na dalším autentizačním serveru), v iniciační autentizační transakci s tímto dalším autentizačním serverem se nejprve vytvoří tajná informace sdílená pouze autentizačním zařízením a dalším autentizačním serverem, přičemž se z této tajné informace odvodí referenční informace (protože tato tajná informace je pseudonáhodná, a tedy jiná než byla v iniciační transakci sjakýmkoliv předchozím autentizačním serverem, kde byl předtím stejný lokální faktor zakládán, je i vytvořená referenční informace pro každý autentizační server jiná), která se předá mezi tímto dalším autentizačním serverem a autentizačním zařízením, a autentizační zařízení vytvoří transformovanou referenční informaci obousměrnou kryptografickou transformací z referenční informace s pomocí lokálního faktoru, zadaného uživatelem nebo získaného z nosiče nebo z okolního prostředí, jako vstupu kryptografické transformace, přičemž před dokončením autentizace se autentizační zařízení spojí s alespoň jedním autentizačním serverem, kde je již lokální faktor založen, a s tímto autentizačním serverem ověří, že byl zadán či získán z nosiče nebo z okolního prostředí správný lokální faktor. Pokud nebyl zadán či získán správný lokální faktor, autentizační transakce s dalším autentizačním serverem se nedokončí a lokální faktor se na tomto dalším autentizačním serveru nezaloží. Pokud byl zadán či získán správný lokální faktor, autentizační transakce s dalším autentizačním serverem se dokončí a lokální faktor se na tomto dalším autentizačním serveru založí a je možno lokální faktor používat pro další autentizační transakce s tímto dalším serverem.
Lze provádět i sjednocení více lokálních faktorů najeden lokální faktor. To se provádí tehdy, když uživatel má založených více lokálních faktorů, například na různých autentizačních serverech, a chce je nahradit jedním z nich. V takovém případě se v autentizačním zařízení zadají nebo z nosiče nebo z okolního prostředí získají všechny lokální faktory, které mají být sjednoceny, přičemž autentizační zařízení provede ověření každého lokálního faktoru s alespoň jedním autentizačním serverem, na němž je tento lokální faktor založen, a potom se každý nahrazovaný lokální faktor zpracuje tak, že se použije jako vstup kryptografické transformace aplikované na transformovanou referenční informaci pro získání referenční informace, a to pro všechny autentizační servery, pro které je nahrazovaný lokální faktor platný, a dále se lokální faktor, který má nahradit ostatní lokální faktory, zpracuje v autentizačním zařízení tak, že se použije jako vstup kryptografické transformace aplikované na referenční informaci pro získání nové transformované referenční informace, a to pro všechny autentizační servery. Takto může zůstat referenční informace uložená na serveru stejná, bez ohledu na změnu lokálního faktoru způsobenou sjednocením.
Zásadním znakem předkládaného vynálezu jsou tedy způsob založení (inicializace) lokálního faktoru a způsob dalších autentizaci s tímto lokálním faktorem, které zajištují to, že žádné autentizační zařízení ani autentizační server nemá uloženou žádnou informaci, která by byla odvozena od lokálního faktoru. Tedy ani při získání všech informací uložených na těchto zařízeních a serverech není možno zjistit lokální faktor. Lokální faktor má tedy plně ve své moci pouze uživatel. Při založení lokálního faktoru i autentizaci se lokální faktor používá jako jeden ze vstupů kryptografické transformace pro vytvoření transformované referenční informace a inverzní kryptografické transformace pro získání referenční informace z transformované referenční informace.
Využitím způsobu podle vynálezu je také umožněno to, že jeden uživatel má pro více autentizačních serverů jeden lokální faktor. Přitom, protože referenční informace je pro každý autentizační server generována nezávisle, je na každém autentizačním serveru jiná referenční informace. To je umožněno tím, že referenční informace je nezávislá na lokálním faktoru. Lokální faktor je pro více autentizačních serverů (například poskytovatelů služeb) z pohledu uživatele stále stejný, ale z pohledu autentizačního serveru je autentizační referenční informace pro každý server zcela jiná, tedy také informace, které se pri autentizaci předávají, jsou zcela odlišné pro každý server.
Příklady provedení vynálezu
Založení (inicializace) lokálního faktoru
Lokální faktor je zakládán v inicializační autentizační transakci. V rámci této transakce se při provedení primární autentizace vytvoří tajná informace sdílená autentizačním zařízením a autentizačním serverem, kterou je sekundární autentizační tajemství. Uživatel je vyzván, aby sejmul nebo zadal lokální faktor, součástí tohoto zadání může být i volba technologie lokálního faktoru. Z tajné informace sdílené autentizačním zařízením a autentizačním serverem se na autentizačním zařízení například jednosměrnou kryptografíckou transformací odvodí referenční informace.
Lokální faktor a referenční informace, odvozená z tajné informace sdílené autentizačním zařízením a autentizačním serverem, se použije jako vstup kryptografické transformace, tj. referenční informace se zašifruje pomocí zadaného lokálního faktoru. Výsledek této kryptografické transformace, jímž je transformovaná referenční informace, se uloží na autentizačním zařízení a nepřenáší se jinam. Na autentizačním zařízení se referenční informace ani lokální faktor neukládá.
Na autentizačním serveru se stejným způsobem jako na autentizačním zařízení odvodí referenční informace z tajné informace sdílené autentizačním zařízením a autentizačním serverem (v tomto příkladu sekundárního autentizačního tajemství). Tato referenční informace se na autentizačním serveru uloží a nepřenáší se jinam.
Pokud je to potřeba, ověření, že konkrétní lokální faktor přísluší oprávněnému uživateli, lze provést při nebo po inicializaci lokálního faktoru například organizačními prostředky, tj. např. pomocí ověření lokálního faktoru uživatelem v přítomnosti jiné důvěryhodné osoby.
Ověření lokálního faktoru v další autentizační transakci
V každé další autentizační transakci, kde uživatel musí prokázat znalost nebo vlastnictví lokálního faktoru za účelem ověření držení autentizačního zařízení oprávněným uživatelem, se postupuje následujícím způsobem. Autentizační zařízení před nebo po provedení primární autentizace s autentizačním serverem vyzve uživatele, aby zadal nebo sejmul lokální faktor. V průběhu primární autentizace nebo po ní se vytvoří sdílená autentizovaná náhodná informace. Sdílená autentizovaná náhodná informace je vždy platná pouze pro jednu autentizační transakci.
Autentizační zařízení vytvoří z transformované referenční informace, kterou má uloženu, inverzní kryptografíckou transformací s použitím lokálního faktoru referenční informaci, tedy například dešifruje transformovanou referenční informaci pomocí uživatelem zadaného nebo sejmutého lokálního faktoru za získání referenční informace. Na tuto získanou referenční informaci potom autentizační zařízení aplikuje jednosměrnou kryptografíckou transformaci s použitím sdílené autentizované náhodné informace, a výsledek, odvozenou autentizační informaci, potom předá na autentizační server.
Autentizační server po případné kontrole integrity přenesených informací vypočte pomocí stejné jednosměrné kryptografické transformace jako autentizační zařízení hodnotu odvozené autentizační informace s využitím referenční informace a sdílené autentizované náhodné informace. Porovnáním hodnoty odvozené autentizační informace vytvořené a předané autentizačním zařízením a odvozené autentizační informace vytvořené autentizačním serverem vyhodnotí autentizační server shodu ověřovaného lokálního faktoru s lokálním faktorem založeným při iniciační autentizační transakci.
Založení lokálního faktoru pro dalšího poskytovatele služeb
V iniciační autentizační transakci s dalším autentizačním serverem lze založit z pohledu uživatele stejný lokální faktor i pro autentizaci k dalšímu serveru. V rámci této iniciační autentizační transakce se při zakládání (inicializaci) lokálního faktoru na dalším serveru nejprve po zadání lokálního faktoru do autentizačního zařízení ověří shoda uživatelem zadaného lokálního faktoru s lokálním faktorem založeným již dříve pro autentizaci k jinému serveru. Ověření se provede tak, že autentizační zařízení vytvoří zabezpečený komunikační kanál s autentizačním serverem, na němž již byl lokální faktor dříve založen, a proběhne ověření lokálního faktoru, jak je popsáno výše. V případě pozitivního výsledku ověření se z tajné informace sdílené autentizačním zařízením a autentizačním serverem odvodí kryptografickou transformací referenční informace.
Lokální faktor a referenční informace, odvozená z tajné informace sdílené autentizačním zařízením a autentizačním serverem, se použijí jako vstup krypto grafické transformace, se referenční informace zašifruje pomocí lokálního faktoru. Výsledek této kryptografické transformace, jímž je transformovaná referenční informace, se uloží na autentizačním zařízení a nepřenáší se jinam. Na autentizačním zařízení se neukládá referenční informace.
Na autentizačním serveru se stejným způsobem jako na autentizačním zařízení odvodí referenční informace z tajné informace sdílené autentizačním zařízením a autentizačním serverem. Tato referenční informace se na autentizačním serveru uloží a nepřenáší se jinam.
Protože tajná informace vytvořená v rámci inicializační transakce s každým autentizačním serverem je jiná, znamená to, že referenční informace a transformovaná referenční informace jsou pro každý autentizační server jiné.
Změna lokálního faktoru
Uživatel na autentizačním zařízení zadá původní lokální faktor i nový lokální faktor (u zadání nového lokálního faktoru může případně vybrat i jeho technologii). Autentizační zařízení ověří správnost zadaného původního lokálního faktoru s alespoň jedním autentizačním serverem, na němž je lokální faktor založen (postup viz výše - Ověření lokálního faktoru). V případě kladného výsledku ověření autentizační zařízení dešifruje transformovanou referenční informaci pro každý autentizační server s pomocí původního lokálního faktoru za získání referenční informace pro každý autentizační server, a vytvoří novou transformovanou referenční informaci pro každý autentizační server odvozenou z příslušné referenční informace kryptografickou transformací s použitím nového lokálního faktoru jako vstupu. Protože tímto postupem se nezmění samotná referenční informace, není potřeba provádět žádnou změnu na autentizačních serverech.
Sjednocení lokálních faktorů
Uživatel má založeno několik různých lokálních faktorů pro různé poskytovatele služeb. Pro sjednocení lokálních faktorů na jediný lokální faktor pro všechny poskytovatele služeb nejprve uživatel zadá všechny lokální faktory, a každý z nich se ověří s autentizačním serverem, na němž je založen (postup viz výše - Ověření lokálního faktoru). V případě úspěšného ověření všech lokálních faktorů potom autentizační zařízení dešifruje transformovanou referenční informaci pro každý autentizační server s pomocí příslušného lokálního faktoru pro tento autentizační server za získání referenční informace pro každý autentizační server, a vytvoří novou příslušnou transformovanou referenční informaci pro každý autentizační server odvozenou z příslušné referenční informace kryptografickou transformací s použitím toho lokálního faktoru, který má být jediným lokálním faktorem po sjednocení lokálních faktorů. Protože tímto postupem se nezmění samotná referenční informace, není potřeba provádět žádnou změnu na autentizačních serverech.

Claims (7)

  1. PATENTOVÉ NÁROKY
    1. Způsob autentizace komunikace autentizačního zařízení a alespoň jednoho autentizačního serveru pomocí lokálního faktoru, přičemž se v iniciační autentizační transakci mezi autentizačním zařízením a autentizačním serverem vytvoří tajná informace sdílená autentizačním zařízením a autentizačním serverem, vyznačující se tím, že se z tajné informace sdílené autentizačním zařízením a autentizačním serverem odvodí referenční informace, která se odvodí stejným způsobem z tajné informace na autentizačním zařízení i na autentizačním serveru, a autentizační zařízení vytvoří transformovanou referenční informaci krypto grafickou transformací z referenční informace, přičemž jako vstup této kryptografické transformace se použije lokální faktor zvolený a zadaný uživatelem nebo získaný z nosiče nebo z okolního prostředí a přičemž na autentizačním zařízení se uloží pouze transformovaná referenční informace a na autentizačním serveru se uloží pouze referenční informace.
  2. 2. Způsob podle nároku 1, vyznačující se tím, že v každé další autentizační transakci s použitím inicializovaného lokálního faktoru autentizační zařízení získá od uživatele, z nosiče nebo z okolního prostředí lokální faktor, v autentizačním zařízení se odvodí z uložené transformované referenční informace kryptografickou transformací s pomocí získaného lokálního faktoru jako vstupu inverzní kryptografické transformace referenční informace, a tato získaná referenční informace se předá na autentizační server, kde se vyhodnotí s použitím referenční informace uložené na autentizačním serveru.
  3. 3. Způsob podle nároku 2, vyznačující se tím, že referenční informace se z autentizačního zařízení na autentizační server předá v zašifrované formě, přičemž k zašifrování se použije sdílená autentizovaná náhodná informace, s výhodou platná pouze pro danou autentizační transakci.
  4. 4. Způsob podle nároku 2, vyznačující se tím, že referenční informace se z autentizačního zařízení na autentizační server předá ve formě produktu jednosměrné kryptografické transformace, s výhodou s použitím sdílené autentizované náhodné informace jako vstupu kryptografické transformace, výhodněji s použitím sdílené autentizované náhodné informace platné pouze pro danou autentizační transakci jako vstupu kryptografické transformace.
  5. 5. Způsob podle kteréhokoliv z předcházejících nároků, vyznačený tím, že při změně lokálního faktoru z původního lokálního faktoru na nový lokální faktor se tato změna provede tak, že se v autentizačním zařízení zpracuje uživatelem zadaný nebo z nosiče či z okolního prostředí získaný původní lokální faktor tak, že se použije jako vstup inverzní krypto grafické transformace aplikované na transformovanou referenční informaci pro získání referenční informace, a dále se uživatelem zadaný nebo z nosiče či z okolního prostředí získaný nový lokální faktor zpracuje v autentizačním zařízení tak, že se použije jako vstup kryptografické transformace aplikované na referenční informaci pro získání nové transformované referenční informace, přičemž autentizační zařízení v průběhu provádění změny provede ověření správnosti uživatelem zadaného nebo z nosiče či z okolního prostředí získaného původního lokálního faktoru s autentizačním serverem.
  6. 6. Způsob podle kteréhokoliv z předcházejících nároků, vyznačený tím, že se iniciuje autentizace komunikace autentizačního zařízení s dalším autentizačním serverem stejným lokálním faktorem tak, že v iniciační autentizační transakci s tímto dalším autentizačním serverem se nejprve vytvoří tajná informace sdílená pouze autentizačním zařízením a tímto dalším autentizačním serverem, přičemž se z této tajné informace odvodí referenční informace, a autentizační zařízení vytvoří transformovanou referenční informaci kryptografickou transformací z referenční informace s pomocí lokálního faktoru, zadaného uživatelem nebo získaného z nosiče nebo z okolního prostředí, jako vstupu, přičemž před dokončením autentizace se autentizační zařízení spojí s alespoň jedním autentizačním serverem, kde je již lokální faktor založen, a s tímto autentizačním serverem ověří, že byl zadán či získán z nosiče nebo z okolního prostředí správný lokální faktor.
  7. 7. Způsob podle kteréhokoliv z předcházejících nároků, vyznačený tím, že se provede sjednocení více lokálních faktorů najeden lokální faktor tak, že se v autentizačním zařízení zadají nebo z nosiče nebo z okolního prostředí získají všechny lokální faktory, které mají být sjednoceny, přičemž autentizační zařízení provede ověření každého lokálního faktoru s alespoň jedním autentizačním serverem, na němž je tento lokální faktor založen, a potom se každý nahrazovaný lokální faktor zpracuje tak, že se použije jako vstup inverzní kryptografické transformace aplikované na transformovanou referenční informaci pro získání referenční informace, a to pro všechny autentizační servery, pro ktere je nahrazovaný lokální faktor platný, a dále se lokální faktor, který má nahradit ostatní lokální faktory, zpracuje v autentizačním zařízení tak, že se použije jako vstup kryptografické transformace aplikované na referenční informaci pro získání na nové transformované referenční informace, a to pro všechny autentizační servery.
CZ2015-474A 2015-07-07 2015-07-07 Způsob autentizace komunikace autentizačního zařízení a alespoň jednoho autentizačního serveru pomocí lokálního faktoru CZ2015474A3 (cs)

Priority Applications (5)

Application Number Priority Date Filing Date Title
CZ2015-474A CZ2015474A3 (cs) 2015-07-07 2015-07-07 Způsob autentizace komunikace autentizačního zařízení a alespoň jednoho autentizačního serveru pomocí lokálního faktoru
EP16745406.5A EP3320664B1 (en) 2015-07-07 2016-07-06 Method of authenticating communication of an authentication device and at least one authentication server using local factor
CN201680032262.3A CN107690789A (zh) 2015-07-07 2016-07-06 使用本地因子对认证设备与至少一个认证服务器的通信进行认证的方法
US15/737,717 US10771970B2 (en) 2015-07-07 2016-07-06 Method of authenticating communication of an authentication device and at least one authentication server using local factor
PCT/CZ2016/050022 WO2017005230A1 (en) 2015-07-07 2016-07-06 Method of authenticating communication of an authentication device and at least one authentication server using local factor

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CZ2015-474A CZ2015474A3 (cs) 2015-07-07 2015-07-07 Způsob autentizace komunikace autentizačního zařízení a alespoň jednoho autentizačního serveru pomocí lokálního faktoru

Publications (1)

Publication Number Publication Date
CZ2015474A3 true CZ2015474A3 (cs) 2017-02-08

Family

ID=56557426

Family Applications (1)

Application Number Title Priority Date Filing Date
CZ2015-474A CZ2015474A3 (cs) 2015-07-07 2015-07-07 Způsob autentizace komunikace autentizačního zařízení a alespoň jednoho autentizačního serveru pomocí lokálního faktoru

Country Status (5)

Country Link
US (1) US10771970B2 (cs)
EP (1) EP3320664B1 (cs)
CN (1) CN107690789A (cs)
CZ (1) CZ2015474A3 (cs)
WO (1) WO2017005230A1 (cs)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CZ308225B6 (cs) * 2018-02-19 2020-03-11 Aducid S.R.O. Autentizační systém a způsob autentizace s použitím osobních autentizačních předmětů

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CZ2015474A3 (cs) * 2015-07-07 2017-02-08 Aducid S.R.O. Způsob autentizace komunikace autentizačního zařízení a alespoň jednoho autentizačního serveru pomocí lokálního faktoru

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100213188B1 (ko) * 1996-10-05 1999-08-02 윤종용 사용자 인증 장치 및 방법
US6292897B1 (en) * 1997-11-03 2001-09-18 International Business Machines Corporation Undeniable certificates for digital signature verification
US20020002678A1 (en) * 1998-08-14 2002-01-03 Stanley T. Chow Internet authentication technology
FI115098B (fi) * 2000-12-27 2005-02-28 Nokia Corp Todentaminen dataviestinnässä
US7373515B2 (en) * 2001-10-09 2008-05-13 Wireless Key Identification Systems, Inc. Multi-factor authentication system
US7886345B2 (en) * 2004-07-02 2011-02-08 Emc Corporation Password-protection module
BRPI0514505A (pt) * 2004-08-18 2008-06-10 Mastecard Internat Inc método e sistema para autorizar uma transação
AU2012200393B2 (en) * 2004-08-18 2015-04-02 Mastercard International Incorporated Method and system for authorizing a transaction using a dynamic authorization code
US8280982B2 (en) * 2006-05-24 2012-10-02 Time Warner Cable Inc. Personal content server apparatus and methods
CN103370688B (zh) * 2010-07-29 2016-11-09 尼尔默尔·朱萨尼 一种由简单用户密码生成多因素个性化服务器强密钥的系统及其方法
TR201810238T4 (tr) * 2012-08-03 2018-08-27 Onespan Int Gmbh Bir mobil kimlik doğrulama uygulaması kullanarak kullanıcıya uygun kimlik doğrulama yöntemi ve aparatı.
CN103825727A (zh) * 2012-11-19 2014-05-28 厦门雅迅网络股份有限公司 一种随机密钥的生成方法
CZ309308B6 (cs) * 2013-07-12 2022-08-17 Aducid S.R.O. Způsob zadávání tajné informace do elektronických digitálních zařízení
US9641335B2 (en) * 2013-09-16 2017-05-02 Axis Ab Distribution of user credentials
CN103701598B (zh) * 2013-12-05 2017-07-11 武汉信安珞珈科技有限公司 一种基于sm2签名算法的复核签名方法和数字签名设备
CZ2015474A3 (cs) * 2015-07-07 2017-02-08 Aducid S.R.O. Způsob autentizace komunikace autentizačního zařízení a alespoň jednoho autentizačního serveru pomocí lokálního faktoru

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CZ308225B6 (cs) * 2018-02-19 2020-03-11 Aducid S.R.O. Autentizační systém a způsob autentizace s použitím osobních autentizačních předmětů

Also Published As

Publication number Publication date
EP3320664B1 (en) 2021-05-26
EP3320664A1 (en) 2018-05-16
WO2017005230A1 (en) 2017-01-12
US10771970B2 (en) 2020-09-08
US20180198615A1 (en) 2018-07-12
CN107690789A (zh) 2018-02-13

Similar Documents

Publication Publication Date Title
US10681025B2 (en) Systems and methods for securely managing biometric data
CN107409049B (zh) 用于保护移动应用的方法和装置
US8930700B2 (en) Remote device secure data file storage system and method
US10523441B2 (en) Authentication of access request of a device and protecting confidential information
US20160104154A1 (en) Securing host card emulation credentials
CZ306210B6 (cs) Způsob přiřazení alespoň dvou autentizačních zařízení k účtu jednoho uživatele pomocí autentizačního serveru
CN104321777B (zh) 生成公共标识以验证携带识别对象的个人的方法
US10771441B2 (en) Method of securing authentication in electronic communication
US10511438B2 (en) Method, system and apparatus using forward-secure cryptography for passcode verification
KR101520722B1 (ko) 사용자 인증 방법, 서버 및 사용자 단말
CN111512608A (zh) 基于可信执行环境的认证协议
KR20180013710A (ko) 공개키 기반의 서비스 인증 방법 및 시스템
CN108768941B (zh) 一种远程解锁安全设备的方法及装置
KR101856530B1 (ko) 사용자 인지 기반 암호화 프로토콜을 제공하는 암호화 시스템 및 이를 이용하는 온라인 결제 처리 방법, 보안 장치 및 거래 승인 서버
EP3320664B1 (en) Method of authenticating communication of an authentication device and at least one authentication server using local factor
KR102053993B1 (ko) 인증서를 이용한 사용자 인증 방법
KR20200013494A (ko) 사용자가 소지한 금융 카드 기반 본인 인증 시스템 및 방법
KR20160037520A (ko) 생체 인식 기반의 통합 인증 시스템 및 방법
JP6723422B1 (ja) 認証システム
KR102561689B1 (ko) 생체 정보 등록 장치 및 방법, 생체 인증 장치 및 방법
KR20160087592A (ko) 다채널 전자 거래 및 사용자 인증 시스템 그리고 그 방법
KR101705293B1 (ko) 비밀스런 인증데이터 관리가 필요 없는 인증시스템 및 방법
KR20140007628A (ko) 모바일 계좌이체 검증처리 방법
KR101804845B1 (ko) 무선단말기에서의 otp인증방법