ITTO990480A1 - Dispositivo di idientificazione e sistema per l'inserimento di un numero di identificazione personale all'interno di tale dispositivo - Google Patents
Dispositivo di idientificazione e sistema per l'inserimento di un numero di identificazione personale all'interno di tale dispositivo Download PDFInfo
- Publication number
- ITTO990480A1 ITTO990480A1 IT99TO000480A ITTO990480A ITTO990480A1 IT TO990480 A1 ITTO990480 A1 IT TO990480A1 IT 99TO000480 A IT99TO000480 A IT 99TO000480A IT TO990480 A ITTO990480 A IT TO990480A IT TO990480 A1 ITTO990480 A1 IT TO990480A1
- Authority
- IT
- Italy
- Prior art keywords
- user
- personal identification
- pin
- string
- identification number
- Prior art date
Links
- 238000000034 method Methods 0.000 claims abstract description 50
- 230000008569 process Effects 0.000 claims abstract description 25
- 230000004913 activation Effects 0.000 claims abstract description 11
- 230000004044 response Effects 0.000 claims description 20
- 230000002441 reversible effect Effects 0.000 claims description 4
- 238000003860 storage Methods 0.000 claims description 4
- 241001441724 Tetraodontidae Species 0.000 claims description 3
- 230000008030 elimination Effects 0.000 claims description 2
- 238000003379 elimination reaction Methods 0.000 claims description 2
- 238000004519 manufacturing process Methods 0.000 claims description 2
- 238000012958 reprocessing Methods 0.000 claims description 2
- 238000012795 verification Methods 0.000 claims 2
- 239000000725 suspension Substances 0.000 claims 1
- 238000010586 diagram Methods 0.000 description 11
- 238000013475 authorization Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000009792 diffusion process Methods 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 238000003780 insertion Methods 0.000 description 1
- 230000037431 insertion Effects 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000011017 operating method Methods 0.000 description 1
- 238000003825 pressing Methods 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/34—User authentication involving the use of external additional devices, e.g. dongles or smart cards
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2107—File encryption
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Control Of Vending Devices And Auxiliary Devices For Vending Devices (AREA)
- Storage Device Security (AREA)
- Stored Programmes (AREA)
- Computer And Data Communications (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
- Non-Silver Salt Photosensitive Materials And Non-Silver Salt Photography (AREA)
- Vending Machines For Individual Products (AREA)
- Lock And Its Accessories (AREA)
Description
Descrizione dell'Invenzione Industriale avente per titolo:
"Dispositivo di identificazione e sistema per l'inserimento di un numero di identificazione personale all'interno di tale dispositivo e per l'autenticazione di un utente attraverso una procedura crittografica basandosi SU tale dispositivo"
DESCRIZIONE
La presente invenzione si riferisce ad un sistema per l'autenticazione di utenti in ambito architettura Internet basato su un dispositivo hardware collegato alla porta "Universal Serial Bus (USB) " di un elaboratore Client attraverso una procedura crittografica di tipo "Challenge Response". Inoltre, l'invenzione si riferisce ad un sistema hardware e software per 1'inserimento di un Numero di Identificazione Personale (PIN) all'interno del suddetto dispositivo di identificazione basato su porta USB al fine di impedire l'intercettazione dello stesso.
Con la diffusione sempre più massiccia della rete Internet e di altre reti di questo tipo, hanno assunto un particolare e fondamentale rilievo le problematiche della distribuzione controllata delle informazioni sulla rete, allo scopo di garantirne 1'inattaccabilità e la riservatezza, nonché di fornire l'accesso a particolari transazioni o informazioni soltanto a utenti autorizzati. Svariate soluzioni sono state finora proposte, a partire dalle cosiddette "chiavi hardware" di protezione da collegare agli elaboratori, fino a sistemi più o meno complessi di crittografia con vari tipi di chiavi software. Le soluzioni proposte o sono molto costose da implementare in termini di risorse di vario tipo, oppure non garantiscono una tutela completa delle informazioni da proteggere.
Scopo della presente invenzione è quello di risolvere i suddetti problemi della tecnica anteriore, fornendo un sistema hardware e software di costo ridotto, facile implementazione ed assoluta efficienza in termini di protezione. In particolare, il dispositivo hardware dell'invenzione è di semplice configurazione, ha le dimensioni di una chiave e, inserito nella porta USB di un computer, permette di riconoscere ed autenticare in maniera univoca l'utente di un'applicazione basata sulla rete e di intavolare con esso transazioni protette e crittografate sulla rete Internet stessa. L'univocità dell'autenticazione e la sicurezza delle transazioni sono basate sulle caratteristiche del dispositivo, dotato di un microprocessore implementato per funzioni di sicurezza, e su algoritmi di crittografia a chiave privata variabile nel tempo.
I suddetti ed altri scopi e vantaggi dell'invenzione, quali risulteranno dal seguito della descrizione, vengono raggiunti con un dispositivo ed un processo di autenticazione utente come quelli descritti rispettivamente nelle rivendicazioni 1 e 6, ed un sistema ed un procedimento che utilizzano il suddetto dispositivo come quelli descritti rispettivamente nelle rivendicazioni 15 e 17. Forme di realizzazione preferite e varianti non banali della presente invenzione formano l'oggetto delle rivendicazioni dipendenti .
La presente invenzione verrà meglio descritta da alcune forme preferite di realizzazione, fornite a titolo esemplificativo e non limitativo, con riferimento ai disegni allegati, nei quali:
la Figura 1 è una vista in prospettiva di una realizzazione del dispositivo secondo la presente invenzione;
la Figura 2 è un diagramma a blocchi dell' architettura del sistema di inserimento di codici nel dispositivo dell' invenzione;
la Figura 3 è un diagramma a blocchi del procedimento reai zzato dall'architettura di Fig. 2;
la Figura 4 è un diagramma a blocchi che dettaglia una fase del procedimento di Fig. 3;
la Figura 5 è un diagramma a blocchi che dettaglia una fase del procedimento di Fig. 3;
la Figura 6 è un diagramma a blocchi del procedimento di funzionamento del dispositivo di Fig. 1;
la Figura 7 è un diagramma a blocchi che dettaglia una fase del procedimento di Fig. 6;
la Figura 8 è un diagramma a blocchi che dettaglia una fase del procedimento di Fig. 6;
la Figura 9 è un diagramma a blocchi che riepiloga le fasi dei procedimenti delle Fig. 7 e 8; e
la Figura 10 è un diagramma a blocchi che dettaglia una fase del procedimento di Fig. 6.
Facendo riferimento alla Fig. 1, il dispositivo 1 per l'autenticazione di un utente in ambito architettura Internet dell'invenzione comprende sostanzialmente una struttura di supporto 3 di forma allungata, preferibilmente in materiale plastico ed atta ad essere impugnata dall'utente ed inserita in una porta di un elaboratore Client (non illustrato), ad esempio la porta Universal Serial Bus (USB) di un personal computer. A tale scopo, il dispositivo 1 è dotato di un morsetto 5 per la connessione alla porta e di una circuìteria a microprocessore contenuta all'interno della struttura di supporto 3; la circuìteria è atta ad eseguire funzioni di sicurezza ed operare su algoritmi di crittografia. Infine, il dispositivo 1 dell'invenzione comprende mezzi di attivazione 7 (comunemente realizzati a forma di pulsante) supportati dalla struttura 3 ed atti a comandare la circuiteria a microprocessore per consentire l'abilitazione di un codice di autenticazione, come verrà descritto più avanti.
Nella forma di realizzazione attuale e preferita, il dispositivo 1 opera su algoritmi di crittografia a chiave privata variabile nel tempo. Grazie all'interfaccia standard e "plug&play" USB e ad una serie di librerie di interfacciamento di tipo ActiveX e Plug-In lato server e Client, il dispositivo 1 risulta essere efficace in termini non solo di sicurezza, ma anche di semplicità e trasparenza. Le sue caratteristiche lo rendono uno strumento efficace per la memorizzazione di parole chiave, certificati elettronici, firme digitali, funzioni di borsellino elettronico o per la memorizzazione e la protezione al suo interno di altre informazioni di interesse relative all'utente o al servizio utilizzato.
Con il dispositivo 1 dell'invenzione, chi abbia la necessità di proteggere e controllare l'accesso a pagine, servizi, banche dati o più in generale ad aree di siti Internet, dovrà semplicemente consegnare agli utenti autorizzati del proprio servizio Internet un dispositivo 1 adeguatamente inizializzato. L'utente dovrà quindi semplicemente inserire il dispositivo 1 nella porta USB del computer senza compiere alcuna operazione di installazione. L'applicazione server provvederà ad instaurare una comunicazione sicura con il dispositivo 1 al fine di autenticare l'utente. Il riconoscimento dell'utente avviene infatti in funzione di informazioni riservate all'interno del dispositivo unite ad una parola chiave utente. Una volta riconosciuto il Client e verificate le autorizzazioni dell'utente in questione, il dispositivo 1 provvede ad inviare le informazioni personalizzate e riservate all'utente, crittografando il contenuto con un algoritmo di tipo Blowfish a 256 bit, ad esempio, a chiave variabile nel tempo legata al valore segreto contenuto nel dispositivo 1. Le informazioni possono essere indifferentemente, ma non in modo limitativo, pagine HTML, informazioni di banche dati con interfaccia "web", form, aree di download, e simili. La transazione delle informazioni sulla rete viene effettuata crittografata sia da server a Client, sia viceversa.
Al fine di poter utilizzare il dispositivo 1 sopra descritto, è necessario dotarlo di un Numero di Identificazione Personale (PIN) univoco per utente. A tale scopo si è implementato un sistema la cui architettura è illustrata in Fig. 2, tale sistema essendo atto ad eseguire un procedimento come dettagliato nelle Figure da 3 a 5.
Con riferimento dapprima alla Fig. 2, l'architettura del sistema che consente l'utilizzo del dispositivo 1 comprende sostanzialmente un elaboratore dotato di una finestra grafica 10 che visualizza una cifra da 0 a 9. Tale finestra coopera con una libreria utente 12 (freccia A in Fig. 2), che è una libreria proprietaria che si occupa di gestire il dispositivo 1 e, attraverso un processo di identificazione 14 in essa contenuto, di controllare l'abilitazione del dispositivo 1 stesso.
La libreria utente 12 è collegata (freccia B in Fig. 2) con un device driver 16, che è anch'esso una libreria proprietaria che si occupa di gestire il dispositivo 1 a livello USB. Il device driver 16 è collegato (freccia C in Fig. 2) al dispositivo 1 che riceve comandi (freccia D in Fig. 2) dal pulsante 7. Secondo il flusso definito dalle frecce da A a D, nella libreria utente 12 viene generato un impulso di tick interno per cui, ad ogni tick, una cifra viene inviata sia alla finestra 10 per la visualizzazione, sia al dispositivo 1 tramite il device driver 16; il device driver 16 chiede al dispositivo 1 se esistono altre cifre e, in caso affermativo, prosegue l'elaborazione, mentre altrimenti avvisa la libreria utente 12 di interrompere il processo. Ad ogni pressione del pulsante 7, il dispositivo 1 memorizza la cifra attualmente fornitagli che è anche visualizzata dalla finestra 10.
Il funzionamento generale del sistema appena descritto è rappresentato sotto forma di diagramma a blocchi nelle Fig. da 3 a 5. Tale procedimento garantisce la massima sicurezza nell'inserimento del PIN per utilizzare il dispositivo 1. Il procedimento comprende innanzitutto, alla richiesta del codice PIN, l'attivazione (301) della finestra grafica 10 per la visualizzazione di una cifra attuale da 0 a 9.
Si ha quindi l'invio (303) di ogni cifra del codice PIN, tramite un processo inserito nelle librerie, sia alla finestra di visualizzazione 10 sia al dispositivo 1.
Al momento della pressione del pulsante 7, quindi, si ha la memorizzazione (305) di ogni cifra cerne appartenente al codice PIN; quindi il processo che invia la cifra sia alla finestra grafica 10, sia al dispositivo 1, interroga (307) ogni volta il dispositivo 1 per verificare se esistono altre cifre: in caso affermativo, il processo prosegue con l'invio temporizzato (309) delle altre cifre; altrimenti, esso si interrompe (311) e si ha la memorizzazione della chiave PIN finale per la convalida del dispositivo 1.
Ad un esame più dettagliato, il funzionamento della fase di memorizzazione del codice PIN (305) può essere suddiviso in due fasi principali, dove la prima si occupa della gestione della visualizzazione e dell'inoltro delle cifre al dispositivo 1, mentre la seconda si occupa della gestione del pulsante 7 del dispositivo 1 stesso.
In particolare, come illustrato in dettaglio in Fig. 4, la fase di visualizzazione e inoltro delle cifre al dispositivo 1, ha inizio in 401 e comprende le seguenti sotto-fasi:
creazione (403) della finestra 10 di visualizzazione delle cifre;
- interrogazione (405) se è stato raggiunto il limite delle cifre;
in caso di risposta affermativa, eliminazione (407) della finestra di visualizzazione 10; oppure
in caso di risposta negativa, invio (409) della cifra alla finestra grafica 10 ed al dispositivo 1; e
richiesta (411) al dispositivo 1 se è stato raggiunto il limite delle cifre per il codice PIN, con ritorno alla fase di interrogazione (405): in caso affermativo, il procedimento ha infine termine in 413. Con riferimento alla Fig. 5, invece, è indicato in dettaglio il diagramma di flusso della fase di gestione del pulsante 7 del dispositivo 1, che si può suddividere nelle seguenti sotto-fasi, a partire da quella iniziale in 501:
interrogazione (503) se è stato raggiunto il limite delle cifre;
in caso di risposta affermativa, termine (509) del procedimento; oppure
in caso di risposta negativa, verifica (505) se il pulsante 7 è stato premuto; in caso di risposta negativa, il procedimento resta in fase di attesa di una successiva pressione del pulsante 7; oppure in caso di risposta affermativa, si verificano la memorizzazione (507) dell'ultima cifra ricevuta ed il ritorno alla fase di interrogazione (503).
Dopo aver così definito il dispositivo 1 dell'invenzione ed il sistema ed il procedimento per memorizzare e convalidare il codice personale al suo interno, è possibile mettere in pratica il procedimento vero e proprio dell'invenzione per la gestione degli accessi a pagine e servizi riservati presenti sulla rete Internet.
Come già visto, il sistema che consente tale procedimento è costituito, preferibilmente ma non in modo limitativo, da un elaboratore centrale server (non illustrato) che memorizza e gestisce gli utenti autorizzati, collegato ad una serie di elaboratori locali Client (non illustrati) dotati del dispositivo 1 dell'invenzione. La procedura dettagliata è realizzata comunemente tramite programmi presenti sugli elaboratori sia server, sia client, ed è illustrata nelle Fig. da 7 a 10 della descrizione.
In particolare, con riferimento alla Fig. 6, il procedimento per l'autenticazione di un utente in ambito architettura Internet comprende le seguenti macro-fasi:
associazione (601) di un dispositivo di identificazione 1 ad un utente; identificazione (603) dell'utente tramite il dispositivo 1; e
crittografia (605) delle informazioni inviate/ricevute dall'utente.
In particolare, come illustrato in Fig. 7, la fase di associazione (601) del dispositivo 1 ad un utente comprende le seguenti sotto-fasi:
descrizione (701) dell'utente; generazione (703) di un Tokenld basandosi sui dati di descrizione dell'utente; esecuzione (705) di una prima fase di scrambling sicuro non reversibile (preferibilmente di tipo MD5) del Tokenld dopo colloquio (709) con l'elaboratore server per la gestione delle parole chiave; creazione (706) di un primo Numero di Identificazione Personale (PIN) dal primo scrambling (705);
esecuzione (707) di una seconda fase di scrambling sicuro non reversibile (preferibilmente di tipo MD5 3DES) del Tokenld dopo colloquio (709) con 1'elaboratore server per le parole chiave; creazione (708) di un secondo Numero di Identificazione Personale (PIN2) dal secondo scrambling (705), ove il secondo Numero di Identificazione Personale (PIN2) è diverso dal primo Numero di Identificazione Personale (PIN); associazione all'utente di una stringa di identificazione formata dal Tokenld, dal primo Numero di Identificazione Personale (PIN) e dal secondo Numero di Identificazione Personale (PIN2); e memorizzazione di tale stringa di identificazione completa nel dispositivo 1 e del solo Tokenld in una banca dati sull'elaboratore server.
Con riferimento ora alla Fig. 8 in particolare ed alla Fig. 9 come vista di assieme delle due fasi illustrate nelle Fig. 7 e 8, viene presentata in dettaglio la fase di identificazione (603) dell'utente tramite il dispositivo 1; essa comprende le seguenti sotto-fasi:
in caso di accesso dell'utente a pagine Web della rete in cui deve essere effettuato un controllo degli accessi, l'elaboratore server invia (801) all'elaboratore client una stringa di tipo "Server Challenge" sempre differente; la stringa è associata al primo Numero di Identificazione. Personale (da 706) e viene elaborata dal client per poter dare una risposta al server. A questo proposito, il procedimento prosegue con le fasi di:
esecuzione (803) di una fase di hashing (preferibilmente di tipo MD5) sulla stringa "Server Challenge" e sul primo Numero di Identificazione Personale, con produzione (805) di una stringa di testo;
utilizzo (807) del secondo Numero di Identificazione Personale (PIN2) (da 708) come chiave di crittatura di una crittografia (809) (preferibilmente di tipo 3DES) sulla stringa di testo;
generazione (811, 813) di una stringa comprendente il Tokenld ed una Response Client ed invio di tale stringa all'elaboratore server;
confronto (fase 901 in Fig. 9) sul server della stringa ricevuta con la Response Client generata sul lato server attraverso la rielaborazione del primo e secondo Numero di Identificazione Personale (PIN, PIN2); e
in caso di risposta positiva a tale confronto (901), indicazione (fase 903 in Fig. 9), dell'esistenza di un codice di identificazione corretto; oppure
in caso di risposta negativa a tale confronto (901), indicazione (fase 905 in Fig. 9), dell'esistenza di un codice di identificazione non corretto o contraffatto.
Infine, con riferimento alla Fig. 10, la fase di crittografia delle informazioni (605) comprende le seguenti sotto-fasi, eseguite dall'elaboratore server:
generazione (1000) di una chiave di crittatura dalla precedente fase di crittografia (809) utilizzando come ingresso la stringa di Server Challenge ed il primo ed il secondo Numero di Identificazione Personale (PIN, PIN2);
ricezione (1003) di una pagina dalla rete; crittografia (1001) (preferibilmente di tipo Blowfish) della pagina ricevuta tramite la chiave di crittatura generata; e invio (1005) della pagina crittografata all'elaboratore client, il quale, una volta ricevute le pagine crittografate, è in grado di decrittarle e riprodurle in chiaro, poiché è a conoscenza sia della stringa di Server Challenge sia dei Numeri di Identificazione Personale (PIN, PIN2). Si sono descritte alcune forme di attuazione dell'invenzione, ma naturalmente esse sono suscettibili di ulteriori modifiche e varianti nell'ambito della medesima idea inventiva. Ad esempio, saranno possibili molte varianti costruttive del dispositivo 1, sia dal punto di vista delle connessioni a porte di elaboratore esterne, sia dal punto di vista della circuiteria interna per realizzare le funzionalità descritte. Inoltre, i vari procedimenti dell'invenzione potranno essere applicati a dispositivi di autenticazione di vario tipo, ed i sistemi per realizzare i procedimenti descritti potranno essere implementati secondo varie configurazioni di connessione a reti di vario tipo.
Claims (21)
- RIVENDICAZIONI 1. Dispositivo (1) per l'autenticazione di un utente in ambito architettura Internet, caratterizzato dal fatto di comprendere: una struttura di supporto (3); un morsetto (5) per la connessione ad una porta di un elaboratore; una circuiteria a microprocessore contenuta all'interno di detta struttura di supporto (3), detta circuiteria essendo atta ad eseguire funzioni di sicurezza ed operando su algoritmi di crittografia; e mezzi di attivazione (7) supportati da detta struttuta (3) ed atti a comandare detta circuiteria a microprocessore per consentire l'abilitazione in essa di un codice di autenticazione.
- 2. Dispositivo (1) secondo la rivendicazione 1, caratterizzato dal fatto che detto morsetto (5) è atto a collegarsi ad una porta di tipo Universal Serial Bus (USB) di un personal computer.
- 3. Dispositivo (1) secondo la rivendicazione 1, caratterizzato dal fatto che detti mezzi di attivazione (7) sono costituiti da un pulsante.
- 4. Dispositivo (1) secondo la rivendicazione 1, caratterizzato dal fatto che detti algoritmi di crittografia eseguiti da detta circuiteria a microprocessore sono a chiave privata variabile nel tempo.
- 5. Dispositivo (1) secondo la rivendicazione 3, caratterizzato dal fatto che detti algoritmi di crittografia sono di tipo "Challenge Response".
- 6. Procedimento per l'autenticazione di un utente in ambito architettura Internet, caratterizzato dal fatto di comprendere le seguenti fasi: associazione (601) di un dispositivo di identificazione (1) ad un utente; identificazione (603) di detto utente tramite detto dispositivo (1); e crittografia (605) delle informazioni inviate/ricevute da detto utente.
- 7. Procedimento secondo la rivendicazione 6, caratterizzato dal fatto che detto dispositivo (1) è il dispositivo secondo una qualsiasi delle rivendicazioni da 1 a 5.
- 8. Procedimento secondo la rivendicazione 6, caratterizzato dal fatto che detta fase di associazione (601) comprende le seguenti sottofasi: descrizione (701) di detto utente; generazione (703) di un Tokenld basandosi sui dati di descrizione di detto utente; esecuzione (705) di una prima fase di scrambling sicuro non reversibile di detto Tokenld dopo colloquio (709) con un elaboratore server di parole chiave; creazione (706) di un primo Numero di Identificazione Personale (PIN) da detto primo scrambling (705); esecuzione (707) di una seconda fase di scrambling sicuro non reversibile di detto Tokenld dopo colloquio (709) con un elaboratore server di parole chiave, detto secondo scrambling (707) essendo diverso da detto primo scrambling (705); creazione (708) di un secondo Numero di Identificazione Personale (PIN2) da detto secondo scrambling (705), detto secondo Numero di Identificazione Personale (PIN2) essendo diverso da detto primo Numero di Identificazione Personale (PIN); associazione a detto utente di una stringa di identificazione formata da detto Tokenld, detto primo Numero di Identificazione Personale (PIN) e detto secondo Numero di Identificazione Personale {PIN2); e memorizzazione di detta stringa di identificazione completa in detto dispositivo (1) e di detto Tokenld in una banca dati su detto elaboratore server.
- 9. Procedimento secondo la rivendicazione 8, caratterizzato che detto primo scrambling (705) è di tipo MD5 e detto secondo scrambling (707) è di tipo MD5 3DES.
- 10. Procedimento secondo una qualsiasi delle rivendicazioni da 6 a 9, caratterizzato dal fatto che detta fase di identificazione (603) comprende le seguenti sotto-fasi: in caso di accesso di detto utente a pagine di detta rete in cui deve essere effettuato un controllo degli accessi, invio (801) da parte dell'elaboratore server di una stringa di tipo "Server Challenge", detta stringa essendo associata a detto primo Numero di Identificazione Personale; esecuzione (803) di una fase di hashing su detta stringa "Server Challenge" e detto primo Numero di Identificazione Personale, con produzione (805) di una stringa di testo; utilizzo (807) di detto secondo Numero di Identificazione Personale (PIN2) come chiave di crittatura di una crittografia (809) su detta stringa di testo; generazione (811, 813) di una stringa comprendente detto Tokenld ed una Response Client ed invio di detta stringa a detto elaboratore server; confronto (901) di detta stringa di Response Client ricevuta con la Response Client generata sul lato server attraverso la rielaborazione di detti primo e secondo Numero di Identificazione Personale (PIN, PIN2); e in caso di risposta positiva a detta fase di confronto (901), indicazione (903) dell'esistenza di un codice di identificazione corretto; oppure in caso di risposta negativa a detta fase di confronto (901), indicazione (905) dell'esistenza di un codice di identi fica z ione non corretto o contraffatto .
- 11. Procedimento secondo la rivendicazione 10, caratterizzato dal fatto che detto hashing è di tipo MD5 e detta crittografia (809) è di tipo 3DES.
- 12. Procedimento secondo una qualsiasi delle rivendicazioni da 6 a 11, caratterizzato dal fatto che detta fase di crittografia (605) comprende le seguenti sotto-fasi, eseguite da detto elaboratore server: generazione (1000) di una chiave di crittatura da detta fase di crittografia (809) utilizzando come ingresso detta stringa di Server Challenge e detti primo e secondo Numero di Identificazione Personale (PIN, PIN2); ricezione (1003) di una pagina di detta rete ; crittografia (1001) di detta pagina ricevuta tramite detta chiave di crittatura generata; e invio (1005) di detta pagina crittografata a detto elaboratore client, detto elaboratore client essendo in grado di eseguire la decrittazione di detta pagina crittografata sulla base di detta stringa Server Challenge e detti primo e secondo Numero di Identificazione Personale (PIN, PIN2) ad esso noti.
- 13. Procedimento secondo la rivendicazione 12, caratterizzato dal fatto che detta crittografia (1001) è di tipo Blowfish.
- 14. Sistema per l'autenticazione di un utente in ambito architettura Internet, caratterizzato dal fatto di comprendere: almeno un elaboratore centrale server di gestione collegato in rete; almeno un elaboratore locale Client o collegato in rete; almeno un dispositivo di autenticazione (1) secondo una qualsiasi delle rivendicazioni da 1 a 5 collegato a detto almeno un elaboratore locale Client; e un programma di controllo atto a realizzare il procedimento secondo una qualsiasi delle rivendicazioni da 6 a 13.
- 15. Sistema per l'inserimento di un codice di un Numero di Identificazione Personale (PIN) all'interno di un dispositivo di identificazione (1) al fine di impedire l'intercettazione di detto dispositivo (1), caratterizzato dal fatto di comprendere, collegato a detto dispositivo (1}, un elaboratore contenente: almeno una libreria utente (12) per la gestione di detto dispositivo (1), detta libreria utente (12) essendo dotata di un processo di identificazione (14) atto a controllare l'abilitazione di detto dispositivo (1); almeno un device driver (16) collegato a detta libreria utente (12), detto device driver (16) essendo una libreria che gestisce detto dispositivo (1) a livello porta di connessione; ed almeno una finestra (10) collegata a detta libreria utente (12) per visualizzare detto codice PIN cifra per cifra.
- 16. Sistema secondo la rivendicazione 15, caratterizzato dal fatto che detto dispositivo (1) è il dispositivo secondo una qualsiasi delle rivendicazioni da 1 a 5.
- 17. Procedimento per l'inserimento di un codice di un Numero di Identificazione Personale (PIN) all'interno di un dispositivo di identificazione (1) al fine di impedire l'intercettazione di detto dispositivo (1), caratterizzato dal fatto dì comprendere le seguenti fasi: alla richiesta di detto codice PIN, attivazione (301) di una finestra grafica (10) per la visualizzazione di una cifra attuale da 0 a 9; invio (303) di ogni cifra di detto codice PIN sia alla finestra di visualizzazione (10) sia al dispositivo (1); in caso dì azionamento di mezzi di attivazione (7) di detto dispositivo (1), memorizzazione (305) di ogni cifra come appartenente a detto codice PIN; interrogazione (307) di detto dispositivo (1) per controllare se esistono altre cifre; in caso di risposta affermativa a detta fase di interrogazione (307), invio temporizzato (309) delle altre cifre; oppure in caso di risposta negativa a detta fase di interrogazione (307), interruzione (311) del procedimento e memorizzazione della chiave PIN finale per la convalida di detto dispositivo (1).
- 18. Procedimento secondo la rivendicazione 17, caratterizzato dal fatto che detta fase di memorizzazione del codice PIN (305) comprende le seguenti fasi: visualizzazione e inoltro delle cifre a detto dispositivo (1); e gestione dei mezzi di attivazione (7) di detto dispositivo (1).
- 19. Procedimento secondo la rivendicazione 18, caratterizzato dal fatto che detta fase di visualizzazione e inoltro delle cifre a detto dispositivo (1) comprende le seguenti sottofasi: creazione (403) di una finestra (10) di visualizzazione delle cifre; interrogazione (405) se è stato raggiunto il limite delle cifre; in caso di risposta affermativa a detta fase di interrogazione (405), eliminazione (407) di detta finestra di visualizzazione ( 10) ; oppure in caso di risposta negativa a detta fase di interrogazione (405), invio (409) della cifra a detta finestra grafica (10) ed a detto dispositivo (1); e richiesta (411) a detto dispositivo (1) se è stato raggiunto il limite delle cifre per il codice PIN, con ritorno a detta fase di interrogazione (405).
- 20. Procedimento secondo la rivendicazione 18, caratterizzato dal fatto che detta fase di gestione dei mezzi di attivazione (7) di detto dispositivo (1) comprende le seguenti sottofasi: interrogazione (503) se è stato raggiunto il limite delle cifre; in caso di risposta affermativa a detta fase di interrogazione (503), termine (509) di detto procedimento; oppure in caso di risposta negativa a detta fase di interrogazione (503), verifica (505) se detti mezzi di attivazione (7) sono azionati; in caso di risposta negativa a detta fase di verifica (505), sospensione della procedura che resta in fase di attesa; oppure in caso di risposta affermativa a detta fase dì verifica (505), memorizzazione (507) dell'ultima cifra ricevuta e ritorno a detta fase di interrogazione (503).
- 21. Procedimento secondo la rivendicazione 17, caratterizzato dal fatto che detto dispositivo (1) è il dispositivo secondo una qualsiasi delle rivendicazioni da 1 a 5.
Priority Applications (7)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| IT1999TO000480A IT1308078B1 (it) | 1999-06-08 | 1999-06-08 | Dispositivo di idientificazione e sistema per l'inserimento di unnumero di identificazione personale all'interno di tale dispositivo |
| EP00935480A EP1188104B1 (en) | 1999-06-08 | 2000-05-25 | Identification device for authenticating a user |
| AT00935480T ATE237151T1 (de) | 1999-06-08 | 2000-05-25 | Identifizierungsvorrichtung zur authentifizierung eines anwenders |
| ES00935480T ES2194733T3 (es) | 1999-06-08 | 2000-05-25 | Dispositivo de identificacion para autenticar un usuario. |
| DE60002071T DE60002071T2 (de) | 1999-06-08 | 2000-05-25 | Identifizierungsvorrichtung zur authentifizierung eines anwenders |
| PCT/IT2000/000216 WO2000075755A1 (en) | 1999-06-08 | 2000-05-25 | Identification device for authenticating a user |
| AU51017/00A AU5101700A (en) | 1999-06-08 | 2000-05-25 | Identification device for authenticating a user |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| IT1999TO000480A IT1308078B1 (it) | 1999-06-08 | 1999-06-08 | Dispositivo di idientificazione e sistema per l'inserimento di unnumero di identificazione personale all'interno di tale dispositivo |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| ITTO990480A1 true ITTO990480A1 (it) | 1999-09-08 |
| IT1308078B1 IT1308078B1 (it) | 2001-11-29 |
Family
ID=11417868
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| IT1999TO000480A IT1308078B1 (it) | 1999-06-08 | 1999-06-08 | Dispositivo di idientificazione e sistema per l'inserimento di unnumero di identificazione personale all'interno di tale dispositivo |
Country Status (7)
| Country | Link |
|---|---|
| EP (1) | EP1188104B1 (it) |
| AT (1) | ATE237151T1 (it) |
| AU (1) | AU5101700A (it) |
| DE (1) | DE60002071T2 (it) |
| ES (1) | ES2194733T3 (it) |
| IT (1) | IT1308078B1 (it) |
| WO (1) | WO2000075755A1 (it) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2001096990A3 (en) * | 2000-06-15 | 2002-04-04 | Rainbow Technologies B V | Usb-compliant personal key using a smartcard processor and a smartcard reader emulator |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7269844B2 (en) | 1999-01-15 | 2007-09-11 | Safenet, Inc. | Secure IR communication between a keypad and a token |
| US6848045B2 (en) | 1999-01-15 | 2005-01-25 | Rainbow Technologies, Inc. | Integrated USB connector for personal token |
| US7895443B2 (en) | 2002-11-05 | 2011-02-22 | Safenet, Inc. | Secure authentication using hardware token and computer fingerprint |
| FR2848311B1 (fr) * | 2002-12-04 | 2005-08-26 | France Telecom | Procede et dispositif de telechargement de donnees numeriques vers une memoire eloignee |
| US7519989B2 (en) | 2003-07-17 | 2009-04-14 | Av Thenex Inc. | Token device that generates and displays one-time passwords and that couples to a computer for inputting or receiving data for generating and outputting one-time passwords and other functions |
| US7597250B2 (en) | 2003-11-17 | 2009-10-06 | Dpd Patent Trust Ltd. | RFID reader with multiple interfaces |
| US7213766B2 (en) | 2003-11-17 | 2007-05-08 | Dpd Patent Trust Ltd | Multi-interface compact personal token apparatus and methods of use |
| US7762470B2 (en) | 2003-11-17 | 2010-07-27 | Dpd Patent Trust Ltd. | RFID token with multiple interface controller |
| FR2919974B1 (fr) * | 2007-08-08 | 2010-02-26 | Fidalis | Systeme d'information et procede d'identification par un serveur d'application d'un utilisateur |
| GB2468890A (en) * | 2009-03-26 | 2010-09-29 | John Christopher Birkett | Software and USB key for user authentication during credit and debit card transactions on a computer. |
| CN104134294B (zh) * | 2014-07-18 | 2016-04-06 | 浪潮软件集团有限公司 | 一种基于营业厅自助终端的授权认证方法 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5060263A (en) * | 1988-03-09 | 1991-10-22 | Enigma Logic, Inc. | Computer access control system and method |
| US5778071A (en) * | 1994-07-12 | 1998-07-07 | Information Resource Engineering, Inc. | Pocket encrypting and authenticating communications device |
| US7272723B1 (en) * | 1999-01-15 | 2007-09-18 | Safenet, Inc. | USB-compliant personal key with integral input and output devices |
-
1999
- 1999-06-08 IT IT1999TO000480A patent/IT1308078B1/it active
-
2000
- 2000-05-25 AT AT00935480T patent/ATE237151T1/de not_active IP Right Cessation
- 2000-05-25 DE DE60002071T patent/DE60002071T2/de not_active Expired - Lifetime
- 2000-05-25 EP EP00935480A patent/EP1188104B1/en not_active Expired - Lifetime
- 2000-05-25 WO PCT/IT2000/000216 patent/WO2000075755A1/en active IP Right Grant
- 2000-05-25 ES ES00935480T patent/ES2194733T3/es not_active Expired - Lifetime
- 2000-05-25 AU AU51017/00A patent/AU5101700A/en not_active Abandoned
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2001096990A3 (en) * | 2000-06-15 | 2002-04-04 | Rainbow Technologies B V | Usb-compliant personal key using a smartcard processor and a smartcard reader emulator |
Also Published As
| Publication number | Publication date |
|---|---|
| AU5101700A (en) | 2000-12-28 |
| DE60002071T2 (de) | 2003-12-11 |
| WO2000075755A1 (en) | 2000-12-14 |
| EP1188104B1 (en) | 2003-04-09 |
| ES2194733T3 (es) | 2003-12-01 |
| DE60002071D1 (de) | 2003-05-15 |
| IT1308078B1 (it) | 2001-11-29 |
| EP1188104A1 (en) | 2002-03-20 |
| ATE237151T1 (de) | 2003-04-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109951489B (zh) | 一种数字身份认证方法、设备、装置、系统及存储介质 | |
| US10187211B2 (en) | Verification of password using a keyboard with a secure password entry mode | |
| US6044154A (en) | Remote generated, device identifier key for use with a dual-key reflexive encryption security system | |
| US5636280A (en) | Dual key reflexive encryption security system | |
| US7302703B2 (en) | Hardware token self enrollment process | |
| US6138239A (en) | Method and system for authenticating and utilizing secure resources in a computer system | |
| CN108809659B (zh) | 动态口令的生成、验证方法及系统、动态口令系统 | |
| US20180144114A1 (en) | Securing Blockchain Transactions Against Cyberattacks | |
| EP2158717B1 (en) | Remote authentication and transaction signatures | |
| CN100495430C (zh) | 生物体认证装置、终端装置及自动交易装置 | |
| TW518489B (en) | Data processing system for application to access by accreditation | |
| US8572392B2 (en) | Access authentication method, information processing unit, and computer product | |
| EP1349034B1 (en) | Service providing system in which services are provided from service provider apparatus to service user apparatus via network | |
| US7366904B2 (en) | Method for modifying validity of a certificate using biometric information in public key infrastructure-based authentication system | |
| EP1379930B1 (en) | Security method for transferring shared keys | |
| US20200028679A1 (en) | Public-private key pair protected password manager | |
| US11949785B1 (en) | Biometric authenticated biometric enrollment | |
| JPH11282982A (ja) | 利用者カード、通信端末機、通信サーバ、通信システム、および、通信システムの利用者認証方法 | |
| US8316437B2 (en) | Method for protecting the access to an electronic object connected to a computer | |
| CN100589390C (zh) | 一种认证方法和认证系统 | |
| US20070136589A1 (en) | Identification and authentication system and method | |
| ITTO990480A1 (it) | Dispositivo di idientificazione e sistema per l'inserimento di un numero di identificazione personale all'interno di tale dispositivo | |
| US20100005519A1 (en) | System and method for authenticating one-time virtual secret information | |
| EP1252560B1 (en) | Hardware token self enrollment process | |
| US20240187223A1 (en) | Biometric authenticated biometric enrollment |