RO127706B1 - Metodă securizată de comunicaţie între dispozitive fixe şi mobile - Google Patents

Metodă securizată de comunicaţie între dispozitive fixe şi mobile Download PDF

Info

Publication number
RO127706B1
RO127706B1 ROA201001303A RO201001303A RO127706B1 RO 127706 B1 RO127706 B1 RO 127706B1 RO A201001303 A ROA201001303 A RO A201001303A RO 201001303 A RO201001303 A RO 201001303A RO 127706 B1 RO127706 B1 RO 127706B1
Authority
RO
Romania
Prior art keywords
communication
fingerprint
key
terminal
current
Prior art date
Application number
ROA201001303A
Other languages
English (en)
Other versions
RO127706A2 (ro
Inventor
Adina Aştilean
Silviu Folea
Camelia Avram
Mihai Hulea
Radu Florin Miron
Tiberiu Ştefan Leţia
Emilia Ciupan
Original Assignee
Universitatea Tehnică Din Cluj-Napoca
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Universitatea Tehnică Din Cluj-Napoca filed Critical Universitatea Tehnică Din Cluj-Napoca
Priority to ROA201001303A priority Critical patent/RO127706B1/ro
Publication of RO127706A2 publication Critical patent/RO127706A2/ro
Publication of RO127706B1 publication Critical patent/RO127706B1/ro

Links

Landscapes

  • Mobile Radio Communication Systems (AREA)

Description

Invenția se referă la o metodă securizată de comunicație între dispozitive fixe și mobile, pe baza amprentelor digitale, în vederea accesului la Internei Banking, ATM, într-o zonă cu acces limitat sau la o componentă software. De asemenea, metoda poate fi utilizată și numai în scopul identificării personale, la distanță, a utilizatorilor.
Este cunoscută invenția KR 20010039815 A, care prezintă un sistem și o metodă de criptare, utilizate în transmiterea de date. Acestea presupun existența unor mijloace hardware și software atât la emisie, cât și la recepție, și parcurgerea unor etape precise. într-o primă fază, care se derulează la partea transmițătoare, se rețin, în memoria unui dispozitiv de memorare, amprentele persoanelor autorizate să acceseze sistemul, mai precis, caracteristicile amprentelorîntr-o formă criptată. La folosirea sistemului, se citește amprenta utilizatorului, se extrag caracteristicile acesteia și se compară cu cele stocate anterior în memoria dispozitivului de memorare. Dacă există o corespondență între amprenta citită și una dintre amprentele memorate anterior, atunci se generează o cheie de criptare Y, care va servi la criptarea unui mesaj introdus de utilizator de la o tastatură sau selectat dintr-o listă de mesaje afișate pe un display. în continuare, se decriptează caracteristicile amprentelor memorate anterior și criptate cu un algoritm general, se compară cu caracteristicile amprentei examinate și, pe baza comparației, se determină un scor care este apoi folosit la generarea unei a doua chei de criptareX. Cheia X este folosită în continuare la criptarea caracteristicilor amprentei examinate. Mesajul transmis părții receptoare este format din ID-ul utilizatorului a cărui amprentă a fost citită, din caracteristicile amprentei citite, criptată cu cheia X, și din mesajul propriu-zis, introdus de utilizator, criptat cu ajutorul cheii Y. La partea receptoare, mesajul recepționat este prelucrat și analizat după aceeași logică, dar parcursă în sens invers.
Sistemul și metoda, descrise în brevetul KR 20010039815 A, prezintă mai multe dezavantaje, unul dintre cele mai importante fiind acela că necesită transportul prealabil al unor informații inițiale de la emisie la recepție, sub formă înregistrată. Sistemul necesită o multitudine de dispozitive hardware și software, plasate atât la emițător, cât și la receptor; dispozitivele părții transmițătoare par a fi plasate într-o locație fixă.
De asemenea, metoda descrisă în brevetul KR 20010039815 A nu beneficiază de o fundamentare matematică corespunzătoare, probabilitatea de a genera aceeași cheie de două ori nefiind suficient studiată.
Problema tehnică, pe care o rezolvă invenția, este realizarea unei comunicații securizate între dispozitive fixe și mobile.
Metoda securizată de comunicație, conform invenției, presupune transmiterea-receptarea unui mesaj criptat, folosind un algoritm de criptare cu cheie simetrică și cu durată de viață limitată. Metoda de generare a cheii simetrice se bazează pe un algoritm de tipul Diffie-Hellman și utilizează informațiile rezultate din citirea amprentei digitale a participanților la sesiunea de comunicație (minuțiile) și pe cele referitoare la pozițiile acestora. Autentificarea se realizează conform unui protocol, care implică, pe lângă cele două informații enumerate mai sus (amprenta digitală și poziția utilizatorului), codurile de identitate ale entităților implicate în procesul de comunicație, precum și numărul sesiunii de comunicație între utilizatorii implicați. Acesta modifică cele două coduri de identitate, conform unui algoritm prestabilit.
Metoda de securizare a comunicației între dispozitive fixe și mobile, conform invenției, prezintă următoarele avantaje:
- generarea automată a unei chei unice pe sesiune, aceeași la emisie și recepție, fără a necesita, sub nicio formă, transportul prealabil și riscant al unor date înregistrate. Volumul necesar de date memorate este mic;
RO 127706 Β1
- metoda se bazează pe o combinație formată nu numai din elemente de unicitate 1 caracteristice persoanei (amprenta), ci și din elemente de unicitate generate prin aplicarea unor funcții cunoscute (SHA), ale căror proprietăți au fost riguros stabilite; 3
- pentru realizarea comunicației, nu este neapărat necesar ca utilizatorul să dispună de un calculator sau de un telefon mobil, fiind suficient un dispozitiv hardware mobil, special 5 realizat și prevăzut cu o unitate de procesare și capacitate de memorie. Dispozitivul se caracterizează prin costuri, dimensiuni și consum de putere reduse, și este prevăzut cu 7 posibilități de comunicație radio, bazate pe tehnologii larg răspândite (Wi-Fi, Bluetooth, GPRS); 9
- dispozitivul hardware, utilizat la citirea amprentei, la generarea cheii de criptare și la criptarea informațiilor de transmis, este mobil, cu precizarea că utilizarea acestuia trebuie 11 să se facă în perimetrul unor locații prestabilite;
- terminalul mobil (aflat la partea transmițătoare) nu trebuie să dispună de o bază de 13 date care să stocheze informațiile folosite la compararea cu amprenta citită. Această bază de date este stocată la nivelul unui server de aplicație distribuit; 15
- includerea informației, privind poziția actuală și poziția anterioară a utilizatorilor, printre informațiile care fac obiectul verificării înaintea autorizării accesului, sporește 17 securitatea comunicației.
Se dă, în continuare, un exemplu de realizare a invenției, în legătură cu fig. 1...3, care 19 reprezintă:
- fig. 1, arhitectura hardware a sistemului de acces securizat; 21
- fig. 2, arhitectura software a sistemului de acces securizat;
- fig. 3, schema de generare a cheii unice pe sesiune. 23
Sistemul de acces securizat permite comunicația între dispozitive mobile (subsistem emițător) și dispozitive fixe (subsistem receptor) sau între dispozitive fixe (adică între emițător 25 fix și receptor fix). Un subsistem emițător 1 are în componența sa un cititor de amprentă FPS (Finger Prinț Sensor), prevăzut cu unitate de memorare și procesare, cu posibilitate de 27 comunicare utilizând tehnologiile Bluetooth, Wi-Fi (la distanță mică) sau GPRS (la distanță mare), un dispozitiv GPS (Global Positioning System) care comunică cu senzorul de 29 amprentă FPS și un terminal mobil MT (de exemplu, un telefon mobil sau un PDA) care are înglobată tehnologie GPRS, sau un PC, prin intermediul acestui ultim dispozitiv (MT sau PC), 31 realizându-se, de regulă, conectarea la subsistemul receptor 2. Conectarea unui subsistem emițător 1, cu subsistemul receptor 2, se poate realiza într-un punct de acces 4, cu ajutorul 33 tehnologiei de comunicație fără fir sau într-un nod de comunicație 3, prin intermediul unei legături fizice (cu fir). Subsistemul receptor 2 constă într-un server de aplicație distribuit Sx, 35 x= 1, 2, ..., m, conectat la Intemet, serverele componente Sx, x= 1, 2, ..., m fiind fixe.
Metoda de securizare, conform invenției, este implementată pe un dispozitiv hardware, 37 mobil, FPS, special realizat, prevăzut cu o unitate de procesare și capacitate de memorie. Dispozitivul FPS este prevăzut cu posibilități de comunicație radio, bazate pe tehnologii larg 39 răspândite (Wi-Fi, Bluetooth, GPRS). Nu este necesară, în mod obligatoriu, existența suplimentară a unui PC sau a unui telefon mobil, dispozitivul putând funcționa și independent. 41
Operațiile destinate procesării locale a amprentelor au loc la nivelul dispozitivului FPS și sunt urmate de transmiterea informațiilor esențiale (amprentele, locația și codul de 43 identificare) către un server de aplicație distribuit. Validarea datelor și accesul sunt posibile numai în locații având poziții predefinite, care pot fi determinate folosind GPS-ul în exteriorul 45 clădirilor, respectiv, cu ajutorul tehnologiei Wi-Fi, în interiorul clădirilor. Transmiterea securizată a informațiilor între entitățile implicate se poate face utilizând tehnologii de comunicație fără 47 fir (Wi-Fi, Bluetooth sau GPRS) sau cu fir.
RO 127706 Β1 în cazul subsistemului emițător 1, cheia de criptare unică pe sesiune se generează la nivelul dispozitivului FPS, fără a necesita transportul prealabil și riscant al unor date înregistrate.
Inițializarea sesiunii de comunicație pe canalul securizat și prelucrarea datelor în vederea autorizării accesului la informație se realizează folosind un server de aplicație, la nivelul căruia sunt verificate amprentele, locația și codurile de identificare. Acestea sunt stocate într-un sistem distribuit de baze de date.
Comunicația cu fir este utilizată doar între PC-uri, prin intermediul unor noduri de comunicație. Terminalele mobile MT și calculatoarele PC comunică cu senzorul de amprentă FPS și cu receptorul GPS, folosind tehnologie Bluetooth B sau Wi-Fi (W).
Conform fig. 2, aplicația software, care rulează pe terminalul mobil (calculator sau telefon mobil), conține funcțiile prezentate în continuare, împreună cu rolurile acestora:
- FPSFunction - realizează interfața cu senzorul de amprentare;
- GPSReader - citește periodic datele de la receptorul GPS;
- Bluetoothlnterface - comunicația cu senzorul de amprentare și receptorul GPS se face folosind tehnologia Bluetooth. Această interfață interpretează datele din formatul Bluetooth și le convertește într-un format utilizat mai departe;
- Autentification - modulul realizează verificarea și identificarea locală a amprentei;
- Security - informațiile transmise către/dinspre server sunt criptate/decriptate folosind mai mulți algoritmi de criptare, în funcție de nivelul de securitate impus;
- GPRSComm / WiFiLAN - în funcție de tipul de acces la Internet, informația este structurată pe pachete de date (GSM sau LAN).
Terminalele mobile MT sau/și serverul sunt inițializate cu amprentele martor ale partenerilor de dialog, date de senzorul FPS și pozițiile lor furnizate de receptorul GPS sau determinate prin tehnologia Wi-Fi.
Protocolul de autentificare și asigurare a confidențialității informațiilor transmise între dispozitive fixe și mobile se bazează pe execuția următorului algoritm de pe un terminal mobil MT sau de pe server, ce execută:
- autentificarea utilizatorului terminalului prin citirea amprentei și compararea acesteia cu amprenta martor, de care trebuie să difere cu mai puțin decât o valoare specificată;
- citirea poziției curente a terminalului;
- crearea cheii parțiale de criptare K' din amprenta curentă și poziția curentă.
- transmiterea cheii K’, partenerului de dialog;
- recepționarea cheii parțiale de criptare similare, K, de la partenerul de dialog.
- calculul cheii de criptare K din cheile parțiale K' și K;
- criptarea cu ajutorul cheii K și transmiterea spre partenerul de dialog a informațiilor cuprinse în amprenta curentă, poziția curentă, poziția anterioară și identificatorul sesiunii;
- recepționarea, de la partenerul de dialog, a unui mesaj criptat cu ajutorul cheii K, ce conține informațiile cuprinse în amprenta curentă, poziția curentă, poziția anterioară și identificatorul sesiunii;
- extragerea, prin decriptare, din mesajul primit, a informațiilor cuprinse în amprenta curentă a partenerului de dialog, a poziției sale curente și anterioare;
- compararea amprentei curente a partenerului de dialog cu cea martor, corespunzătoare. Se refuză dialogul, dacă diferența dintre amprenta transmisă a partenerului și cea martor corespunzătoare diferă cu mai mult decât o valoare specificată, sau poziția anterioară nu coincide cu cea stocată în terminalul curent;
- actualizarea pozițiilor celor două perechi de terminale mobile;
- desfășurarea sesiunii de comunicație în mod criptat;
- închiderea sesiunii de lucru.
RO 127706 Β1
Generarea cheii unice pe sesiune și transmiterea acesteia între utilizatori, conform 1 fig. 3, se bazează pe algoritmul Diffie-Hellman, modificat, noutatea constând în modul în care se generează exponenții cheii secrete. Caracteristicile distinctive ale acestor exponenți se 3 datorează caracteristicilor diferite ale amprentei, respectiv, minuțiilor, precum și aplicării funcțiilor Hash, în scopul prelucrării minuțiilor. Chiar și în cazul aceleiași persoane, citirea 5 succesivă a aceleiași amprente prezintă modificări, datorită poziționării diferite a degetului pe cititorul de amprente. 7
Suplimentar, aplicarea funcțiilor SHA asupra șirului de biți, care reprezintă un număr de minuții, va conduce la reprezentări binare sensibil diferite, pentru fiecare citire de amprentă. 9 Aceste șiruri de biți vor fi partajate și transmise bidirecțional între cele două terminale (emițător - receptor), pentru a genera cheia secretă. 11
Generarea cheii private K, din algoritmul de autentificare și asigurarea confidențialității informațiilor prezentate mai sus se realizează parcurgând următorii pași:13
- se concatenează șirul de biți care reprezintă minuțiile cu șirul de biți care reprezintă poziția utilizatorului;15
- se aplică un algoritm de tipul Secure Hash Algorithm (SHA) șirului de biți;
- se segmentează șirul de caractere rezultate în urma aplicării funcției SHA, în scopul17 efectuării operațiilor ulterioare; subșirurile obținute la cele două terminale sunt notate cu ty (undei reprezintă numărul terminalului, iar j ia valori de la 1 până la valoarea corespunzătoare 19 numărului de subșiruri);
- se alege un număr prim, notat cu b în fig. 3;21
- se alege un număr prim, suficient de mare, p;
- terminalul 1 calculează valorile u1 = mod p;23
- terminalul 1 transmite, utilizatorului 2, valorile b, p și u1;
- terminalul 2 calculează valorile u2 = b‘2j, mod p;25
- terminalul 2 transmite, utilizatorului 1, valorile u2;
- ambii utilizatori calculează aceleași componente ale cheii secrete K<27
Kj = b^*^, mod p, pentru j = 1, 2,...n;
- utilizând componentele K, și o relație de compunere prestabilită, la cele două 29 terminale, se calculează aceeași cheie secretă K';
- în scopul obținerii unei chei finale K, de lungime precizată, se aplică o funcție SHA, 31 cheii secrete K'.
RO 127706 Β1

Claims (6)

  1. Revendicări
    1. Metodă securizată de comunicație între dispozitive fixe și mobile, pentru transmiterea-receptarea unui mesaj criptat, folosind un algoritm de criptare cu cheie simetrică și cu durată de viață limitată, caracterizată prin aceea că:
    - se citesc amprentele celor doi utilizatori, care comunică cu un dispozitiv mobil FPS de citire a amprentei;
    - se extrag minuțiile amprentelor;
    - se citesc coordonatele GPS sau, în locații interioare, se utilizează tehnologia Wi-Fi, pentru precizarea pozițiilor utilizatorilor;
    - se generează cheia privată, folosind datele achiziționate;
    - se realizează autentificarea conform unui protocol care implică amprenta digitală și poziția utilizatorului, codurile de identitate ale entităților implicate în procesul de comunicație, precum și numărul sesiunii de comunicație între utilizatorii implicați, protocolul modificând cele două coduri de identitate, conform unui algoritm prestabilit, cheia de criptare fiind unică, pentru fiecare sesiune.
  2. 2. Metodă securizată de comunicație între dispozitive fixe și mobile, conform revendicării 1, caracterizată prin aceea că generarea cheii secrete de criptare, unice pe sesiune, se realizează astfel:
    - se concatenează șirul de biți care reprezintă minuțiile cu șirul de biți care reprezintă poziția utilizatorului;
    - se aplică un algoritm de tipul Secure Hash Algorithm (SHA) șirului de biți;
    - se segmentează șirul de caractere rezultate în urma aplicării funcției SHA, în scopul efectuării operațiilor ulterioare; subșirurile obținute la cele două terminale sunt notate cu ty (unde i reprezintă numărul terminalului, iar j ia valori de la 1 până la valoarea corespunzătoare numărului de subșiruri);
    - se alege un număr prim, notat cu b;
    - se alege un număr prim, suficient de mare, p;
    - terminalul 1 calculează valorile u.j = b/, mod p;
    - terminalul 1 transmite, utilizatorului 2, valorile b, p și u1;
    - terminalul 2 calculează valorile, u2 = b‘2j, mod p;
    - terminalul 2 transmite, utilizatorului 1, valorile u2;
    - ambii utilizatori calculează aceleași componente ale cheii secrete K/
    Kj = b/*/, mod p, pentru j = 1, 2,...n;
    - utilizând componentele K, și o relație de compunere prestabilită, la cele două terminale, se calculează aceeași cheie secretă K';
    - în scopul obținerii unei chei finale K, de lungime precizată, se aplică o funcție SHA cheii secrete K'.
  3. 3. Metodă securizată de comunicație între dispozitive fixe și mobile, conform revendicărilor 1 și 2, caracterizată prin aceea că utilizează un protocol de autentificare și asigurare a confidențialității informațiilor transmise între dispozitive fixe și mobile, care se bazează pe un algoritm ce se execută pe un terminal mobil MT sau pe un server, astfel:
    i) autentificarea utilizatorului terminalului prin citirea amprentei și compararea acesteia cu amprenta martor, de care trebuie să difere cu mai puțin decât o valoare specificată;
    ii) citirea poziției curente a terminalului;
    iii) crearea cheii parțiale de criptare K' din amprenta curentă și poziția curentă;
    iv) transmiterea cheii K partenerului de dialog;
    v) recepționarea cheii parțiale de criptare similare, K, de la partenerul de dialog;
    RO 127706 Β1 vi) calculul cheii de criptare K din cheile parțiale K' și K; 1 vii) criptarea cu ajutorul cheii Kși transmiterea, spre partenerul de dialog, a informațiilor cuprinse în amprenta curentă, poziția curentă, poziția anterioară și identificatorul sesiunii; 3 viii) recepționarea, de la partenerul de dialog, a unui mesaj criptat, cu ajutorul cheii
    K ce conține informațiile cuprinse în amprenta curentă, poziția curentă, poziția anterioară și 5 identificatorul sesiunii;
    ix) extragerea, prin decriptare, din mesajul primit, a informațiilor cuprinse în amprenta 7 curentă a partenerului de dialog, a poziției sale curente și anterioare;
    x) compararea amprentei curente a partenerului de dialog cu cea martor 9 corespunzătoare, se refuză dialogul dacă diferența dintre amprenta transmisă a partenerului și cea martor corespunzătoare diferă cu mai mult decât o valoare specificată sau poziția 11 anterioară nu coincide cu cea stocată în terminalul curent;
    xi) actualizarea pozițiilor celor două perechi de terminale mobile;13 xii) desfășurarea sesiunii de comunicație în mod criptat;
    xiii) închiderea sesiunii de lucru.15
  4. 4. Metodă securizată de comunicație între dispozitive fixe și mobile, conform revendicărilor 1,2 și 3, caracterizată prin aceea că cheia de criptare, unică pe sesiune, se gene-17 rează la nivelul subsistemului emițător (1), de către dispozitivul mobil (FPS), prin intermediul unităților de procesare și memorare, cu care acesta este prevăzut.19
  5. 5. Metodă securizată de comunicație între dispozitive fixe și mobile, conform revendicării 1, caracterizată prin aceea că, în cadrul informațiilorde autentificare, se include 21 și poziția actuală și poziția anterioară a utilizatorului, poziție în jurul căreia se acceptă schimbul de informații.23
  6. 6. Metodă securizată de comunicație între dispozitive fixe și mobile, conform revendicării 1, caracterizată prin aceea că, la închiderea sesiunii de comunicație, valabilitatea 25 cheii de criptare expiră.
ROA201001303A 2010-12-09 2010-12-09 Metodă securizată de comunicaţie între dispozitive fixe şi mobile RO127706B1 (ro)

Priority Applications (1)

Application Number Priority Date Filing Date Title
ROA201001303A RO127706B1 (ro) 2010-12-09 2010-12-09 Metodă securizată de comunicaţie între dispozitive fixe şi mobile

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
ROA201001303A RO127706B1 (ro) 2010-12-09 2010-12-09 Metodă securizată de comunicaţie între dispozitive fixe şi mobile

Publications (2)

Publication Number Publication Date
RO127706A2 RO127706A2 (ro) 2012-07-30
RO127706B1 true RO127706B1 (ro) 2014-09-30

Family

ID=46576036

Family Applications (1)

Application Number Title Priority Date Filing Date
ROA201001303A RO127706B1 (ro) 2010-12-09 2010-12-09 Metodă securizată de comunicaţie între dispozitive fixe şi mobile

Country Status (1)

Country Link
RO (1) RO127706B1 (ro)

Also Published As

Publication number Publication date
RO127706A2 (ro) 2012-07-30

Similar Documents

Publication Publication Date Title
US10681025B2 (en) Systems and methods for securely managing biometric data
CN108667608B (zh) 数据密钥的保护方法、装置和系统
KR101095239B1 (ko) 보안 통신
JP5429675B2 (ja) 事前共有キーによる匿名認証方法、リード・ライト機、及び事前共有キーによる匿名双方向認証システム
ES2254131T3 (es) Proteccion de datos biometricos via muestreo dependiente de clave.
US7716483B2 (en) Method for establishing a communication between two devices
US8746363B2 (en) System for conducting remote biometric operations
CN113691502B (zh) 通信方法、装置、网关服务器、客户端及存储介质
US10650373B2 (en) Method and apparatus for validating a transaction between a plurality of machines
US20140093144A1 (en) More-Secure Hardware Token
US20110302420A1 (en) System and method for authenticated and privacy preserving biometric identification systems
US20100293376A1 (en) Method for authenticating a clent mobile terminal with a remote server
US20110041046A1 (en) Apparatus and method for protecting rfid data
WO2019077406A1 (en) Privacy preserving tag
CN103124269A (zh) 云环境下基于动态口令与生物特征的双向身份认证方法
CN104092663A (zh) 一种加密通信方法和加密通信系统
CN106161224B (zh) 数据交换方法、装置及设备
CN109961276A (zh) 数字货币钱包、交易方法、交易系统和计算机存储介质
Giri et al. A novel and efficient session spanning biometric and password based three-factor authentication protocol for consumer usb mass storage devices
Zhang et al. Security architecture on the trusting internet of things
CN107423647A (zh) 一种面向智能家居的rfid委托认证方法
CN111769952B (zh) 一种区块链传感器的数据处理系统
CN112437101A (zh) 一种计算机安全登陆的方法
RO127706B1 (ro) Metodă securizată de comunicaţie între dispozitive fixe şi mobile
Cao et al. A lightweight key distribution scheme for secure D2D communication