RU118499U1 - Устройство для безопасного доступа к web-ресурсам (варианты) - Google Patents

Устройство для безопасного доступа к web-ресурсам (варианты) Download PDF

Info

Publication number
RU118499U1
RU118499U1 RU2011153808/08U RU2011153808U RU118499U1 RU 118499 U1 RU118499 U1 RU 118499U1 RU 2011153808/08 U RU2011153808/08 U RU 2011153808/08U RU 2011153808 U RU2011153808 U RU 2011153808U RU 118499 U1 RU118499 U1 RU 118499U1
Authority
RU
Russia
Prior art keywords
server
user
terminal
mobile phone
internet
Prior art date
Application number
RU2011153808/08U
Other languages
English (en)
Inventor
Виталий Сергеевич Ляпер
Александр Олегович Меньшенин
Мария Сергеевна Панфилова
Original Assignee
Открытое акционерное общество "МегаФон"
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Открытое акционерное общество "МегаФон" filed Critical Открытое акционерное общество "МегаФон"
Priority to RU2011153808/08U priority Critical patent/RU118499U1/ru
Application granted granted Critical
Publication of RU118499U1 publication Critical patent/RU118499U1/ru

Links

Landscapes

  • Telephone Function (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

1. Устройство для безопасного доступа к WEB-ресурсам, содержащее подключенный к сотовой сети, содержащей подключенный к сети Интернет SMS-центр, мобильный телефон пользователя и подключенные к сети Интернет терминал пользователя, сервер с защищенной информацией и сервер аутентификации, при этом терминал пользователя соединен с сервером с защищенной информацией, а сервер аутентификации имеет модуль генерации одноразового токенкода путем вычисления хэш-функции, соединен с сервером с защищенной информацией, с SMS-центром для передачи сгенерированного токенкода на мобильный телефон пользователя и не соединен непосредственно с терминалом пользователя. ! 2. Устройство для безопасного доступа к WEB-ресурсам, содержащее мобильный телефон пользователя с SIM-картой с установленным апплетом для генерации токенкода путем вычисления хэш-функции, и подключенные к сети Интернет терминал пользователя, сервер с защищенной информацией и сервер аутентификации, при этом терминал пользователя соединен с сервером с защищенной информацией, а сервер с защищенной информацией помимо этого соединен с сервером аутентификации, который имеет счетчик генераций для верификации сгенерированного в мобильном телефоне токенкода.

Description

Группа полезных моделей относится к области устройств для двухфакторной аутентификации с применением одноразового пароля, используемой при осуществлении доступа к защищаемым WEB-ресурсам.
Одноразовые пароли (ОТР - One - Time Password) уже давно получили широкое распространение как надежное и удобное средство для реализации процедур аутентификации, см. например WO 03/017125 A1.
Одноразовый пароль обычно представляет собой сгенерированную последовательность символов, так называемый токенкод, (в целях удобства зачастую просто цифровая последовательность), которая периодически меняется и имеет достаточно короткое время жизни, т.е. по прошествии некоторого временного отрезка, когда комбинация сменится, предыдущая будет уже непригодна для аутентификации. Алгоритм, по которому токенкод генерируется, синхронизирован с сервером таким образом, что для проверки подлинности кода проверяющей стороне не нужна никакая дополнительная информация. Принцип работы такого токенкода основан на вычислении односторонней функции от времени и секретного значения, и в случае компрометации токенкода его становится невозможно использовать через несколько минут после генерации.
Поскольку изначально предполагается, что одноразовые пароли главным образом используются для аутентификации пользователей, и, по возможности, должны быть всегда «под рукой», то для их реализаций выдвигается ряд требований, при соблюдении которых они становятся удобным и надежным средством аутентификации.
- ОТР-токен должен иметь простой и понятный интерфейс, как для пользователя, который будет читать значение токенкода и вводить его при аутентификации, так и для сервера, который будет производить ресинхронизацию токена, когда это понадобится.
- Алгоритмы, используемые для генерации токенкода должны удовлетворять требованиям невозможности получить по токенкоду защищенную информацию, например, инициализирующий вектор. Кроме того, все криптографические операции должны выполняться внутри защищенной среды, предоставляя наружу только уже готовый к использованию результат. Инициализация токена и его ресинхронизация в свою очередь должны использовать безопасные соединения для передачи инициализирующей информации, зная которую взломщик может имитировать работу токена.
- Требование мобильности токена подразумевает возможность его реализации на базе различных форм-факторов (брелки, телефоны, SIM-карты), включая «виртуальный» - токен через SMS.
Недостатком существующих решений является то, что они либо неоправданно дороги и не выгодны для массового использования (хардверные токены), либо обладают невысоким уровнем безопасности (программные реализации, в частности, мидлеты для мобильных телефонов).
Задача, на решение которой направлены предлагаемые полезные модели, заключается в обеспечении возможности мобильного и безопасного доступа к защищаемым WEB-ресурсам, не требуя наличия у пользователя никаких дополнительных считывающих устройств или хардверных токенов, только мобильный телефон (в одном из вариантов исполнения даже в автономном режиме) который большинство людей всегда имеют при себе. При этом важной особенностью предлагаемых решений является возможность вычисления хэш-функции на основе ГОСТ 34.11-94 для генерации одноразовых паролей, что позволяет сертифицировать ее для использования в составе государственных порталов и/или сервисов федеральной значимости.
Описываемые решения поясняются схемами, на которых:
Фиг.1 - Схема аутентификации с доставкой токенкода по SMS;
Фиг.2 - Схема аутентификации с использованием SIM - апплета.
Первый вариант предложенного решения характеризуется тем, что устройство для безопасного доступа к WEB-ресурсам содержит подключенный к сотовой сети, содержащей подключенный к сети Интернет SMS-центр, мобильный телефон пользователя и подключенные к сети Интернет терминал пользователя, сервер с защищенной информацией и сервер аутентификации, при этом терминал пользователя соединен с сервером с защищенной информацией, а сервер аутентификации имеет модуль генерации одноразового токенкода путем вычисления хэш-функции, соединен с сервером с защищенной информацией, с SMS-центром для передачи сгенерированного токенкода на мобильный телефон пользователя и не соединен непосредственно с терминалом пользователя.
Работа представленного устройства осуществляется следующим образом. При соединении терминала пользователя с сервером с защищенной информацией, последний посылает на сервер аутентификации запрос аутентификации пользователя. Сервер аутентификации генерирует токенкод на основании уникального для каждого пользователя начального вектора (Seed) и текущего времени и пересылает его через SMS-центр на мобильный телефон пользователя. Доставка токенкода пользователю осуществляется в течение 6-8 секунд. Сгенерированный таким образом токенкод имеет ограниченный срок жизни и должен быть использован пользователем в течение определенного отрезка времени. Полученный токенкод пользователь посредством своего терминала пересылает на сервер с защищенной информацией и, после верификации переданного токенкода сервером аутентификации получает доступ к защищаемым ресурсам.
Второй вариан предложенного решения предусматривает возможность аутентификации без подключения мобильного телефона пользователя к сотовой сети и характеризуется тем, что устройство для безопасного доступа к WEB-ресурсам содержит мобильный телефон пользователя с SIM-картой с установленным апплетом для генерации токенкода путем вычисления хэш-функции, и подключенные к сети Интернет терминал пользователя, сервер с защищенной информацией и сервер аутентификации, при этом терминал пользователя соединен с сервером с защищенной информацией, а сервер с защищенной информацией помимо этого соединен с сервером аутентификации, который имеет счетчик генераций для верификации сгенерированного в мобильном телефоне токенкода.
При работе данного устройства, апплет, установленный в защищенной области SIM-карты, генерирует токенкод на основании уникального начального вектора (Seed) и текущего значения счетчика (Counter). Seed генерируется на стороне сервера и передается в апплет в момент его активации в зашифрованном виде при помощи специальной APDU-команды. Counter - счетчик генераций, значение которого увеличивается на стороне клиента (в SIM-апплете) после каждой генерации токенкода и на стороне сервера аутентификации после каждой успешной аутентификации пользователя. После того, как токенкод сгенерирован, он передается от пользовательского терминала к серверу с защищенной информацией и, после верификации токенкода сервером аутентификации, пользователь получает доступ к защищаемым ресурсам.
Процесс проверки токенкода на стороне сервера осуществляется следующим образом. Сервер генерирует свой токенкод на основании Seed пользователя, который ему известен, и своего значения счетчика. Если значения сгенерированного и полученного токенкодов совпадают, то аутентификация считается успешной. При данной схеме возможна рассинхронизация значений счетчиков на сервере и на апплете. Пользователь может сгенерировать токенкод и не воспользоваться им по какой-либо причине. В таком случае при последующей генерации значение счетчика у пользователя может оказаться больше, чем на сервере. Для корректной обработки такой ситуации на сервере вводится понятие «окна» (сервер генерирует несколько токенкодов вперед, проверяя, «не убежал ли» счетчик пользователя), позволяющее ресинхронизировть счетчики.
Генерация токенкода на SIM-апплете занимает около 20 секунд в силу ограниченности ресурсов SIM-карты, но токенкод допускает отложенное использование, т.е. не имеет временных рамок.
Предложенные варианты устройства являются удобным и надежным средством в решенях, обеспечивающих защиту размещенной на защищаемом WEB-портале информации.

Claims (2)

1. Устройство для безопасного доступа к WEB-ресурсам, содержащее подключенный к сотовой сети, содержащей подключенный к сети Интернет SMS-центр, мобильный телефон пользователя и подключенные к сети Интернет терминал пользователя, сервер с защищенной информацией и сервер аутентификации, при этом терминал пользователя соединен с сервером с защищенной информацией, а сервер аутентификации имеет модуль генерации одноразового токенкода путем вычисления хэш-функции, соединен с сервером с защищенной информацией, с SMS-центром для передачи сгенерированного токенкода на мобильный телефон пользователя и не соединен непосредственно с терминалом пользователя.
2. Устройство для безопасного доступа к WEB-ресурсам, содержащее мобильный телефон пользователя с SIM-картой с установленным апплетом для генерации токенкода путем вычисления хэш-функции, и подключенные к сети Интернет терминал пользователя, сервер с защищенной информацией и сервер аутентификации, при этом терминал пользователя соединен с сервером с защищенной информацией, а сервер с защищенной информацией помимо этого соединен с сервером аутентификации, который имеет счетчик генераций для верификации сгенерированного в мобильном телефоне токенкода.
Figure 00000001
RU2011153808/08U 2011-12-28 2011-12-28 Устройство для безопасного доступа к web-ресурсам (варианты) RU118499U1 (ru)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2011153808/08U RU118499U1 (ru) 2011-12-28 2011-12-28 Устройство для безопасного доступа к web-ресурсам (варианты)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2011153808/08U RU118499U1 (ru) 2011-12-28 2011-12-28 Устройство для безопасного доступа к web-ресурсам (варианты)

Publications (1)

Publication Number Publication Date
RU118499U1 true RU118499U1 (ru) 2012-07-20

Family

ID=46847962

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2011153808/08U RU118499U1 (ru) 2011-12-28 2011-12-28 Устройство для безопасного доступа к web-ресурсам (варианты)

Country Status (1)

Country Link
RU (1) RU118499U1 (ru)

Similar Documents

Publication Publication Date Title
US11258777B2 (en) Method for carrying out a two-factor authentication
TWI749061B (zh) 區塊鏈身份系統
CN107409049B (zh) 用于保护移动应用的方法和装置
CN106533687B (zh) 一种身份认证方法和设备
CN105024819B (zh) 一种基于移动终端的多因子认证方法及系统
US8769289B1 (en) Authentication of a user accessing a protected resource using multi-channel protocol
CN111615105B (zh) 信息提供、获取方法、装置及终端
WO2012042775A1 (ja) 生体認証システム、通信端末装置、生体認証装置、および生体認証方法
CN101257489A (zh) 一种保护账号安全的方法
US10147092B2 (en) System and method for signing and authenticating secure transactions through a communications network
Jarecki et al. Two-factor authentication with end-to-end password security
CN103415008A (zh) 一种加密通信方法和加密通信系统
CN101577917A (zh) 一种安全的基于手机的动态密码验证方法
US20160381011A1 (en) Network security method and network security system
CN104125064B (zh) 一种动态密码认证方法、客户端及认证系统
CN104717063A (zh) 移动终端的软件安全防护方法
CN104468099A (zh) 基于cpk的动态口令生成和验证方法及装置
CN103401686B (zh) 一种用户互联网身份认证系统及其应用方法
WO2010128451A2 (en) Methods of robust multi-factor authentication and authorization and systems thereof
Khan et al. Offline OTP based solution for secure internet banking access
CN104077179A (zh) 一种面向Web浏览器的本地API调用方法
KR101243101B1 (ko) 스마트폰에서 음성정보를 이용한 일회용 패스워드 기반 사용자 인증 시스템
Pampori et al. Securely eradicating cellular dependency for e-banking applications
CN107784712A (zh) 一种车联网嵌入式系统车辆电话控制密码校验的方法
RU118499U1 (ru) Устройство для безопасного доступа к web-ресурсам (варианты)

Legal Events

Date Code Title Description
MM1K Utility model has become invalid (non-payment of fees)

Effective date: 20121229

NF1K Reinstatement of utility model

Effective date: 20140610