RU118499U1 - Устройство для безопасного доступа к web-ресурсам (варианты) - Google Patents
Устройство для безопасного доступа к web-ресурсам (варианты) Download PDFInfo
- Publication number
- RU118499U1 RU118499U1 RU2011153808/08U RU2011153808U RU118499U1 RU 118499 U1 RU118499 U1 RU 118499U1 RU 2011153808/08 U RU2011153808/08 U RU 2011153808/08U RU 2011153808 U RU2011153808 U RU 2011153808U RU 118499 U1 RU118499 U1 RU 118499U1
- Authority
- RU
- Russia
- Prior art keywords
- server
- user
- terminal
- mobile phone
- internet
- Prior art date
Links
Landscapes
- Telephone Function (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
1. Устройство для безопасного доступа к WEB-ресурсам, содержащее подключенный к сотовой сети, содержащей подключенный к сети Интернет SMS-центр, мобильный телефон пользователя и подключенные к сети Интернет терминал пользователя, сервер с защищенной информацией и сервер аутентификации, при этом терминал пользователя соединен с сервером с защищенной информацией, а сервер аутентификации имеет модуль генерации одноразового токенкода путем вычисления хэш-функции, соединен с сервером с защищенной информацией, с SMS-центром для передачи сгенерированного токенкода на мобильный телефон пользователя и не соединен непосредственно с терминалом пользователя. ! 2. Устройство для безопасного доступа к WEB-ресурсам, содержащее мобильный телефон пользователя с SIM-картой с установленным апплетом для генерации токенкода путем вычисления хэш-функции, и подключенные к сети Интернет терминал пользователя, сервер с защищенной информацией и сервер аутентификации, при этом терминал пользователя соединен с сервером с защищенной информацией, а сервер с защищенной информацией помимо этого соединен с сервером аутентификации, который имеет счетчик генераций для верификации сгенерированного в мобильном телефоне токенкода.
Description
Группа полезных моделей относится к области устройств для двухфакторной аутентификации с применением одноразового пароля, используемой при осуществлении доступа к защищаемым WEB-ресурсам.
Одноразовые пароли (ОТР - One - Time Password) уже давно получили широкое распространение как надежное и удобное средство для реализации процедур аутентификации, см. например WO 03/017125 A1.
Одноразовый пароль обычно представляет собой сгенерированную последовательность символов, так называемый токенкод, (в целях удобства зачастую просто цифровая последовательность), которая периодически меняется и имеет достаточно короткое время жизни, т.е. по прошествии некоторого временного отрезка, когда комбинация сменится, предыдущая будет уже непригодна для аутентификации. Алгоритм, по которому токенкод генерируется, синхронизирован с сервером таким образом, что для проверки подлинности кода проверяющей стороне не нужна никакая дополнительная информация. Принцип работы такого токенкода основан на вычислении односторонней функции от времени и секретного значения, и в случае компрометации токенкода его становится невозможно использовать через несколько минут после генерации.
Поскольку изначально предполагается, что одноразовые пароли главным образом используются для аутентификации пользователей, и, по возможности, должны быть всегда «под рукой», то для их реализаций выдвигается ряд требований, при соблюдении которых они становятся удобным и надежным средством аутентификации.
- ОТР-токен должен иметь простой и понятный интерфейс, как для пользователя, который будет читать значение токенкода и вводить его при аутентификации, так и для сервера, который будет производить ресинхронизацию токена, когда это понадобится.
- Алгоритмы, используемые для генерации токенкода должны удовлетворять требованиям невозможности получить по токенкоду защищенную информацию, например, инициализирующий вектор. Кроме того, все криптографические операции должны выполняться внутри защищенной среды, предоставляя наружу только уже готовый к использованию результат. Инициализация токена и его ресинхронизация в свою очередь должны использовать безопасные соединения для передачи инициализирующей информации, зная которую взломщик может имитировать работу токена.
- Требование мобильности токена подразумевает возможность его реализации на базе различных форм-факторов (брелки, телефоны, SIM-карты), включая «виртуальный» - токен через SMS.
Недостатком существующих решений является то, что они либо неоправданно дороги и не выгодны для массового использования (хардверные токены), либо обладают невысоким уровнем безопасности (программные реализации, в частности, мидлеты для мобильных телефонов).
Задача, на решение которой направлены предлагаемые полезные модели, заключается в обеспечении возможности мобильного и безопасного доступа к защищаемым WEB-ресурсам, не требуя наличия у пользователя никаких дополнительных считывающих устройств или хардверных токенов, только мобильный телефон (в одном из вариантов исполнения даже в автономном режиме) который большинство людей всегда имеют при себе. При этом важной особенностью предлагаемых решений является возможность вычисления хэш-функции на основе ГОСТ 34.11-94 для генерации одноразовых паролей, что позволяет сертифицировать ее для использования в составе государственных порталов и/или сервисов федеральной значимости.
Описываемые решения поясняются схемами, на которых:
Фиг.1 - Схема аутентификации с доставкой токенкода по SMS;
Фиг.2 - Схема аутентификации с использованием SIM - апплета.
Первый вариант предложенного решения характеризуется тем, что устройство для безопасного доступа к WEB-ресурсам содержит подключенный к сотовой сети, содержащей подключенный к сети Интернет SMS-центр, мобильный телефон пользователя и подключенные к сети Интернет терминал пользователя, сервер с защищенной информацией и сервер аутентификации, при этом терминал пользователя соединен с сервером с защищенной информацией, а сервер аутентификации имеет модуль генерации одноразового токенкода путем вычисления хэш-функции, соединен с сервером с защищенной информацией, с SMS-центром для передачи сгенерированного токенкода на мобильный телефон пользователя и не соединен непосредственно с терминалом пользователя.
Работа представленного устройства осуществляется следующим образом. При соединении терминала пользователя с сервером с защищенной информацией, последний посылает на сервер аутентификации запрос аутентификации пользователя. Сервер аутентификации генерирует токенкод на основании уникального для каждого пользователя начального вектора (Seed) и текущего времени и пересылает его через SMS-центр на мобильный телефон пользователя. Доставка токенкода пользователю осуществляется в течение 6-8 секунд. Сгенерированный таким образом токенкод имеет ограниченный срок жизни и должен быть использован пользователем в течение определенного отрезка времени. Полученный токенкод пользователь посредством своего терминала пересылает на сервер с защищенной информацией и, после верификации переданного токенкода сервером аутентификации получает доступ к защищаемым ресурсам.
Второй вариан предложенного решения предусматривает возможность аутентификации без подключения мобильного телефона пользователя к сотовой сети и характеризуется тем, что устройство для безопасного доступа к WEB-ресурсам содержит мобильный телефон пользователя с SIM-картой с установленным апплетом для генерации токенкода путем вычисления хэш-функции, и подключенные к сети Интернет терминал пользователя, сервер с защищенной информацией и сервер аутентификации, при этом терминал пользователя соединен с сервером с защищенной информацией, а сервер с защищенной информацией помимо этого соединен с сервером аутентификации, который имеет счетчик генераций для верификации сгенерированного в мобильном телефоне токенкода.
При работе данного устройства, апплет, установленный в защищенной области SIM-карты, генерирует токенкод на основании уникального начального вектора (Seed) и текущего значения счетчика (Counter). Seed генерируется на стороне сервера и передается в апплет в момент его активации в зашифрованном виде при помощи специальной APDU-команды. Counter - счетчик генераций, значение которого увеличивается на стороне клиента (в SIM-апплете) после каждой генерации токенкода и на стороне сервера аутентификации после каждой успешной аутентификации пользователя. После того, как токенкод сгенерирован, он передается от пользовательского терминала к серверу с защищенной информацией и, после верификации токенкода сервером аутентификации, пользователь получает доступ к защищаемым ресурсам.
Процесс проверки токенкода на стороне сервера осуществляется следующим образом. Сервер генерирует свой токенкод на основании Seed пользователя, который ему известен, и своего значения счетчика. Если значения сгенерированного и полученного токенкодов совпадают, то аутентификация считается успешной. При данной схеме возможна рассинхронизация значений счетчиков на сервере и на апплете. Пользователь может сгенерировать токенкод и не воспользоваться им по какой-либо причине. В таком случае при последующей генерации значение счетчика у пользователя может оказаться больше, чем на сервере. Для корректной обработки такой ситуации на сервере вводится понятие «окна» (сервер генерирует несколько токенкодов вперед, проверяя, «не убежал ли» счетчик пользователя), позволяющее ресинхронизировть счетчики.
Генерация токенкода на SIM-апплете занимает около 20 секунд в силу ограниченности ресурсов SIM-карты, но токенкод допускает отложенное использование, т.е. не имеет временных рамок.
Предложенные варианты устройства являются удобным и надежным средством в решенях, обеспечивающих защиту размещенной на защищаемом WEB-портале информации.
Claims (2)
1. Устройство для безопасного доступа к WEB-ресурсам, содержащее подключенный к сотовой сети, содержащей подключенный к сети Интернет SMS-центр, мобильный телефон пользователя и подключенные к сети Интернет терминал пользователя, сервер с защищенной информацией и сервер аутентификации, при этом терминал пользователя соединен с сервером с защищенной информацией, а сервер аутентификации имеет модуль генерации одноразового токенкода путем вычисления хэш-функции, соединен с сервером с защищенной информацией, с SMS-центром для передачи сгенерированного токенкода на мобильный телефон пользователя и не соединен непосредственно с терминалом пользователя.
2. Устройство для безопасного доступа к WEB-ресурсам, содержащее мобильный телефон пользователя с SIM-картой с установленным апплетом для генерации токенкода путем вычисления хэш-функции, и подключенные к сети Интернет терминал пользователя, сервер с защищенной информацией и сервер аутентификации, при этом терминал пользователя соединен с сервером с защищенной информацией, а сервер с защищенной информацией помимо этого соединен с сервером аутентификации, который имеет счетчик генераций для верификации сгенерированного в мобильном телефоне токенкода.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2011153808/08U RU118499U1 (ru) | 2011-12-28 | 2011-12-28 | Устройство для безопасного доступа к web-ресурсам (варианты) |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2011153808/08U RU118499U1 (ru) | 2011-12-28 | 2011-12-28 | Устройство для безопасного доступа к web-ресурсам (варианты) |
Publications (1)
Publication Number | Publication Date |
---|---|
RU118499U1 true RU118499U1 (ru) | 2012-07-20 |
Family
ID=46847962
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
RU2011153808/08U RU118499U1 (ru) | 2011-12-28 | 2011-12-28 | Устройство для безопасного доступа к web-ресурсам (варианты) |
Country Status (1)
Country | Link |
---|---|
RU (1) | RU118499U1 (ru) |
-
2011
- 2011-12-28 RU RU2011153808/08U patent/RU118499U1/ru active IP Right Revival
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11258777B2 (en) | Method for carrying out a two-factor authentication | |
TWI749061B (zh) | 區塊鏈身份系統 | |
CN107409049B (zh) | 用于保护移动应用的方法和装置 | |
CN106533687B (zh) | 一种身份认证方法和设备 | |
CN105024819B (zh) | 一种基于移动终端的多因子认证方法及系统 | |
US8769289B1 (en) | Authentication of a user accessing a protected resource using multi-channel protocol | |
CN111615105B (zh) | 信息提供、获取方法、装置及终端 | |
WO2012042775A1 (ja) | 生体認証システム、通信端末装置、生体認証装置、および生体認証方法 | |
CN101257489A (zh) | 一种保护账号安全的方法 | |
US10147092B2 (en) | System and method for signing and authenticating secure transactions through a communications network | |
Jarecki et al. | Two-factor authentication with end-to-end password security | |
CN103415008A (zh) | 一种加密通信方法和加密通信系统 | |
CN101577917A (zh) | 一种安全的基于手机的动态密码验证方法 | |
US20160381011A1 (en) | Network security method and network security system | |
CN104125064B (zh) | 一种动态密码认证方法、客户端及认证系统 | |
CN104717063A (zh) | 移动终端的软件安全防护方法 | |
CN104468099A (zh) | 基于cpk的动态口令生成和验证方法及装置 | |
CN103401686B (zh) | 一种用户互联网身份认证系统及其应用方法 | |
WO2010128451A2 (en) | Methods of robust multi-factor authentication and authorization and systems thereof | |
Khan et al. | Offline OTP based solution for secure internet banking access | |
CN104077179A (zh) | 一种面向Web浏览器的本地API调用方法 | |
KR101243101B1 (ko) | 스마트폰에서 음성정보를 이용한 일회용 패스워드 기반 사용자 인증 시스템 | |
Pampori et al. | Securely eradicating cellular dependency for e-banking applications | |
CN107784712A (zh) | 一种车联网嵌入式系统车辆电话控制密码校验的方法 | |
RU118499U1 (ru) | Устройство для безопасного доступа к web-ресурсам (варианты) |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
MM1K | Utility model has become invalid (non-payment of fees) |
Effective date: 20121229 |
|
NF1K | Reinstatement of utility model |
Effective date: 20140610 |