RU2346396C2 - Маркер защиты - Google Patents

Маркер защиты Download PDF

Info

Publication number
RU2346396C2
RU2346396C2 RU2006109501/09A RU2006109501A RU2346396C2 RU 2346396 C2 RU2346396 C2 RU 2346396C2 RU 2006109501/09 A RU2006109501/09 A RU 2006109501/09A RU 2006109501 A RU2006109501 A RU 2006109501A RU 2346396 C2 RU2346396 C2 RU 2346396C2
Authority
RU
Russia
Prior art keywords
access token
host
time
value
public key
Prior art date
Application number
RU2006109501/09A
Other languages
English (en)
Other versions
RU2006109501A (ru
Inventor
Лидор АГАМ (IL)
Лидор АГАМ
Янки МАРГАЛИТ (IL)
Янки Маргалит
Дани МАРГАЛИТ (IL)
Дани МАРГАЛИТ
Original Assignee
Аладдин Нолидж Системз Лтд.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Аладдин Нолидж Системз Лтд. filed Critical Аладдин Нолидж Системз Лтд.
Publication of RU2006109501A publication Critical patent/RU2006109501A/ru
Application granted granted Critical
Publication of RU2346396C2 publication Critical patent/RU2346396C2/ru

Links

Images

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1016Devices or methods for securing the PIN and other transaction-data, e.g. by encryption
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/341Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/409Device specific authentication in transaction processing
    • G06Q20/4097Device specific authentication in transaction processing using mutual authentication between devices and transaction partners
    • G06Q20/40975Device specific authentication in transaction processing using mutual authentication between devices and transaction partners using encryption therefor
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1008Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1025Identification of user by a PIN code
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1025Identification of user by a PIN code
    • G07F7/1083Counting of PIN attempts

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Business, Economics & Management (AREA)
  • Engineering & Computer Science (AREA)
  • Accounting & Taxation (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • Theoretical Computer Science (AREA)
  • Finance (AREA)
  • Computer Security & Cryptography (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Storage Device Security (AREA)
  • Telephone Function (AREA)
  • Lock And Its Accessories (AREA)

Abstract

Изобретение относится к области защиты данных. Технический результат заключается в повышении уровня защиты аутентификации клиента. Сущность изобретения заключается в том, что маркер доступа содержит: механизм одноразового пароля для выполнения функциональных возможностей одноразового пароля; механизм с открытым ключом для выполнения функциональных возможностей с открытым ключом относительно функциональных возможностей одноразового пароля; и средство проводной связи с хостом для соединения маркера защиты с хостом и для обеспечения маркера защиты энергией, требуемой для использования, по меньшей мере, механизма с открытым ключом; посредством чего допускается выполнение функциональных возможностей одноразового пароля и/или функциональных возможностей с открытым ключом маркером защиты. 4 н. и 18 з.п. ф-лы, 4 ил.

Description

Область техники, к которой относится изобретение
Данное изобретение относится к области маркеров защиты. Более подробно изобретение касается маркера защиты, который допускает функциональные возможности OTP и PKI, и их комбинации.
Уровень техники
OTP, акроним одноразового пароля, относится в предшествующем уровне техники к паролю, который является допустимым только для единственного сеанса, т.е. отличается каждый раз, когда он требуется или генерируется. При использовании способов OTP пароли, которые были захвачены при подслушивании сети, фактически являются бесполезны. Поэтому OTP обычно используется в системах защиты, в которых пользователь должен быть аутентифицирован на сервере.
Например, RSA SecurID является мобильным устройством, которое генерирует псевдослучайную строку раз в минуту и отображает ее на встроенном дисплее. Всякий раз, когда пользователя просят ввести пароль в систему, он напечатает пароль, который представлен на дисплее маркера защиты RSA SecurID.
В обычном случае маркеры OTP работает следующим образом: одноразовый пароль отображается на встроенном дисплее на маркере. Пользователь должен предоставить хосту свой PIN (персональный идентификационный номер) и пароль, который отображен в этот момент на маркере OTP. Это обычно выполняется с помощью набора данных на клавиатуре, связанной с хостом. Другой проблемой относительно маркеров OTP является то, что они используют свой собственный источник энергии, т.е. батарею, которая создает некоторое неудобство, так как она должна заменяться время от времени.
Поскольку в текущих маркерах OTP один и тот же ключ используется и в маркере, и на сервере («симметричный ключ»), использование одного и того же ключа для более чем одного приложения опасно.
Другой разработанной технологией в области маркера защиты является технология маркера PKI (инфраструктура с открытым ключом), т.е. RSA и ECC (код с исправлением ошибок). Технология PKI основана на асимметричных ключах в отличие от того, как осуществлена технология OTP, т.е. основанная на симметричных ключах. Технология PKI допускает использование маркера не только как устройства аутентификации, но также и как механизма защиты, т.е. устройство, которое выполняет различные функциональные возможности, связанные с защитой типа кодирования, расшифровки, цифровой подписи и т.д.
В практическом аспекте PKI требует намного большей мощности обработки, чем OTP. Проблема становится чрезвычайно острой, когда мы имеем дело с ключами на 1024 бита и выше, например, с ключами на 2048 битов. Поэтому маркеры OTP могут быть легко осуществлены как мобильные устройства в отличие от маркеров PKI, которые обычно вставляются в другое устройство, через которое они связываются с внешним источником энергии.
В практическом аспекте приложения, которые используют маркеры OTP, являются очень ограниченными, и, следовательно, маркеры OTP используются главным образом для удаленного доступа, сетевого входа в систему и т.д. Технология маркеров PKI может использоваться для разнообразных реализаций, т.е. разнообразных схем аутентификации, обработки цифровых подписей, кодирования и декодирования, защищенной электронной почты и т.д.
Организация, которая уже использует маркеры OTP для своих целей и желает расширить использование с помощью добавления маркеров PKI, имеет дело с двумя главными проблемами: с точки зрения сервера есть проблемы доставки, подобные поддержке двух отдельных баз данных. С пользовательской точки зрения есть много неудобств, так как пользователь должен держать по меньшей мере два маркера, маркер OTP и маркер PKI.
Поэтому объектом данного изобретения является обеспечение маркера защиты, который поддерживает и технологию маркеров OTP, и технологию PKI, и их комбинации, получая, таким образом, функциональные возможности OTP и функциональные возможности PKI и их комбинацию.
Другим объектом данного изобретения является обеспечение маркера защиты, который достигает лучшего уровня защиты, чем уровень, обеспечиваемый каждой технологией отдельно.
Дополнительным объектом данного изобретения является обеспечение маркера защиты, который является более удобным для пользователя, чем маркер OTP и маркер PKI.
Еще одним дополнительным объектом данного изобретения является обеспечение системы защиты, которая допускает использование одной и той же базы данных ключей и для функциональных возможностей OTP, и для PKI.
Другие объекты и преимущества изобретения станут очевидными при дальнейшем ознакомлении с описанием.
При этом необходимо упомянуть, что, хотя SecurID поддерживается компанией RSA, предприятием, которое изобрело известный алгоритм с открытым ключом RSA, компания RSA не производит никакого маркера защиты, который использует открытые ключи для создания значений OTP, и при этом они не производят устройство, которое объединяет PKI технологию с технологией OTP в автономном режиме, т.е. отображают значение OTP на LCD (жидкокристаллическом дисплее), когда оно не связано с PC.
Раскрытие изобретения
В одном аспекте данное изобретение направлено на маркер защиты, содержащий: механизм одноразового пароля для выполнения функциональных возможностей одноразового пароля; механизм с открытым ключом для выполнения функциональных возможностей с открытым ключом по отношению к функциональным возможностям одноразового пароля; и средство проводной связи с хостом для того, чтобы соединить маркер защиты с хостом, и для того, чтобы обеспечить маркер защиты электропитанием, требуемым для того, чтобы использовать, по меньшей мере, механизм с открытым ключом; посредством чего допускается выполнение функциональных возможностей одноразового пароля и/или функциональные возможности инфраструктуры с открытым ключом маркера защиты.
Во втором аспекте данное изобретение направлено на маркер защиты OTP для того, чтобы надежно обеспечить одноразовое (т.е. в реальном масштабе времени, значение счетчика, список случайных чисел, и т.д.) значение системе хоста, где маркер защиты OTP содержит: средство для генерации указанного одноразового значения; механизм PKI для выполнения функциональных возможностей с открытым ключом относительно указанного одноразового значения; и средство связи с указанным хостом для того, чтобы обеспечивать указанное зашифрованное одноразовое значение указанному хосту.
В третьем аспекте данное изобретение направлено на систему защиты, содержащую: один или более маркеров защиты, каждый из которых содержит: механизм одноразового пароля для того, чтобы выполнить функциональные возможности одноразового пароля; механизм с открытым ключом для того, чтобы выполнить функциональные возможности системы с открытым ключом относительно функциональных возможностей одноразового пароля; и средство проводной связи с хостом для соединения маркера защиты с хостом и для того, чтобы обеспечить маркер защиты электропитанием, требуемым для использования, по меньшей мере, механизма с открытым ключом. Система содержит систему хоста, содержащую: механизм одноразового пароля, соответствующий механизму одноразового пароля маркеров защиты, для выполнения функциональных возможностей одноразового пароля; механизм с открытым ключом, соответствующий механизму с открытым ключом маркеров защиты, для выполнения функциональных возможностей системы с открытым ключом; средство связи, соответствующее средству связи маркеров защиты, для поддержки связи с маркерами защиты и для обеспечения маркеру электропитания, требуемого для использования, по меньшей мере, механизма маркера защиты с открытым ключом.
В четвертом аспекте данное изобретение направлено на способ для аутентификации клиента системой хоста, содержащий: на стороне клиента: (a) генерацию первого одноразового значения; (b) выполнение функциональных возможностей с открытым ключом относительно одноразового значения; (c) обеспечение значения системе хоста. На стороне системы хоста: (d) выполнение функциональных возможностей с открытым ключом, которые соответствуют функциональным возможностям системы с открытым ключом, выполненным на шаге (b) с обеспечением значения; (e) генерацию второго одноразового значения существенно тем же самым способом, каким сгенерировано первое одноразовое значение; аутентификация клиента при соответствии второго значения первому значению; посредством чего получается лучший уровень защиты аутентификации клиента.
Краткое описание чертежей
Данное изобретение может быть лучше понято вместе со следующими чертежами:
Фиг.1 схематично иллюстрирует процесс аутентификации, выполняемый маркером OTP, согласно предшествующему уровню техники.
Фиг.2 схематично иллюстрирует процесс аутентификации, выполняемый маркером OTP, согласно предпочтительному варианту осуществления изобретения.
Фиг.3 схематично иллюстрирует систему защиты согласно одному варианту осуществления изобретения.
Фиг.4 визуально иллюстрирует маркер защиты согласно предпочтительному варианту осуществления изобретения.
Осуществление изобретения
Фиг.1 схематично иллюстрирует процесс аутентификации, выполняемый маркером OTP, согласно предшествующему уровню техники.
На стороне маркера: одноразовое значение 51 (проиллюстрированное часами в режиме реального времени) и симметричный ключ 52 используются процессом 53 для генерации одноразового пароля 54. Одноразовый пароль 54 отображается на дисплее, встроенном в маркер. Одноразовый пароль передается к хосту с помощью набора его содержимого на средстве ввода, т.е. вспомогательной клавиатуре, связанной с хостом.
На стороне хоста: одноразовое значение 61 (которое должно соответствовать одноразовому значению 51) и симметричный ключ 62 (который должен быть тем же самым, что и ключ 52) используются процессом 63 (который должен быть тем же самым, что и процесс 53) для генерации одноразового пароля 64. Если сгенерированный одноразовый пароль 64 соответствует одноразовому паролю 54, который был сгенерирован маркером, то аутентификация считается положительной.
Фиг.2 схематично иллюстрирует процесс аутентификации, выполняемый маркером OTP, согласно предпочтительному варианту осуществления изобретения.
На стороне маркера: одноразовое значение 51 (проиллюстрированное часами в режиме реального времени) шифруется модулем 56 PKI с асимметричным ключом 55, генерируя зашифрованное одноразовое значение 57, которое предоставляется хосту.
На стороне хоста: одноразовое значение 57, которое было получено от маркера, расшифровывается асимметричным ключом 65 (который соответствует асимметричному ключу 55) модулем 66 PKI, приводя в результате к одноразовому паролю 67. Если одноразовый пароль 67 соответствует ожидаемому значению, то аутентификация считается положительной.
Специалисты в данной области техники оценят, что в дополнение к способу аутентификации, описанному здесь, могут быть другие способы аутентификации, которые комбинируют OTP и PKI. Способ, описанный здесь, является только примером разнообразия возможностей, открытых при объединении технологии OTP с технологией PKI. Например, вместо того чтобы шифровать и расшифровывать одноразовое значение, как описано на фиг.2, цифровую подпись (или цифровой сертификат) можно добавить к одноразовому значению 57 даже без использования шифрования. Таким образом, модуль 56 выполняет некоторую связанную с PKI активность вместе с защитой одноразового значения, и модуль 66 выполняет некоторую связанную с PKI активность, которая соответствует связанной с PKI активностью модуля 56.
Необходимо отметить, что предоставленное значение не обязательно эквивалентно ожидаемому значению, но должно соответствовать ожидаемому значению. Например, если одноразовое значение является реальным временем и если различие между значением 57 и значением 67 меньше чем, например, одна минута, то аутентификацию можно счесть положительной. Необходимо также отметить, что часы маркера могут не быть настроены точно на часы хоста, и поэтому небольшое различие между временем хоста и временем, обеспеченным маркером, должно быть учтено.
Другим одноразовым механизмом, известным в данной области техники, является счетчик. Каждый раз, когда пароль предоставлен, значение счетчика увеличивается на одну или другую предопределенную часть, не обязательно линейно. Конечно, для этой цели может быть осуществлен другой одноразовый механизм, например, список случайных чисел.
Механизм счетчика может быть осуществлен кнопкой, установленной на маркере. Каждый раз нажатие пользователя на кнопку увеличивает счетчик, и новое одноразовое значение генерируется и отображается на дисплее. Поскольку пользователь может нажать кнопку неумышленно, значение счетчика маркера, и значение счетчика на хосте могут быть не равны, а только соответствовать, т.е. они имеют различие не больше чем, например, 10. Таким образом, хост проверяет не только текущее значение счетчика, но также и следующих 10 значений, которые будут сгенерированы.
Согласно предпочтительному варианту осуществления изобретения ключ 55 является открытым ключом хоста, в то время как ключ 65 является соответствующим секретным ключом. Согласно другому предпочтительному варианту осуществления изобретения ключ 55 является секретным ключом маркера, в то время как ключ 65 является соответствующим открытым ключом.
Очевидно, что могут использоваться более сложные схемы шифрования/расшифровки. Например, шифруя одноразовое значение симметричным ключом, а затем шифруя результат секретным ключом.
Фиг.3 схематично иллюстрирует систему защиты, согласно одному варианту осуществления изобретения. Маркер 10 OTP/PKI (клиент) связан с системой 20 хоста (сервер) проводной связью 30.
Маркер 10 содержит:
- модуль 11 управления для выполнения функциональных возможностей PKI и OTP и для контролирования/управления функционирование маркера. Модуль управления может быть воплощен как центральный процессор, память и соответствующее программное обеспечение;
- один или более ключей 12 для функциональных возможностей OTP/PKI;
- генератор 13 одноразовых значений, например, часы в режиме реального времени, счетчик или другой элемент, который изменяется каждый раз при обращении к нему (например, список случайных чисел) для генерации одноразового значения;
- проводной интерфейс 14 связи для поддержки связи с хостом 20;
- дисплей 15 для отображения одноразовых паролей;
- источник питания 16, например, батарея, для обеспечения электропитания для использования маркера.
Согласно предпочтительному варианту осуществления изобретения, по меньшей мере, ключи 12 могут быть сохранены в пределах смарт-карты 17, которая обеспечивает относительно высокий уровень защиты. Как правило, смарт-карты являются также процессорным модулем вместе с памятью, и поэтому они могут выполнять другие функциональные возможности, например, функциональные возможности модуля 11 управления, PKI, и т.д.
Хост 20 содержит:
- модуль 21 управления для выполнения функциональных возможностей PKI/OTP. Функциональные возможности модуля 21 управления могут быть выполнены как часть операционной системы хоста 20, приложения, выполняемого на хосте 20, и т.д.;
- базу 22 данных для сохранения ключей, пользовательских идентификаторов авторизованных пользователей и т.д., вместе с OTP/PKI;
- генератор 23 одноразовых значений, например, часы в режиме реального времени, счетчик, список случайных чисел или другой элемент, который предоставляет различное значение каждый раз, когда к нему обращаются, соответствующий генератору 13 одноразового значения маркера 10;
- интерфейс 24 проводной связи, соответствующий проводной связи 14 маркера 10.
Фиг.4 визуально иллюстрирует маркер защиты согласно предпочтительному варианту осуществления изобретения. Дисплей 19 маркера 10 отображает одноразовый пароль подобно предшествующему уровню техники. Традиционным способом обеспечить одноразовый пароль является набор отображенного значения на средстве ввода хоста 20, например, вспомогательной клавиатуре. Согласно предпочтительному варианту осуществления данного изобретения вместо того, чтобы набирать пароль, пользователь вставляет соединитель 18 (например, разъем USB) в соответствующее гнездо хоста, и маркер взаимодействует с хостом через канал 30 связи (проводной или беспроводный), для того чтобы обеспечить одноразовый пароль.
Специалисты в данной области техники оценят, что изобретение может быть воплощено в других формах и другими путями без потери объема изобретения. Варианты осуществления, описанные здесь, нужно считать иллюстративными, а не ограничивающими объем изобретения.

Claims (22)

1. Маркер доступа для достижения лучшего уровня защиты, содержащий:
механизм одноразового пароля для того, чтобы выполнять функциональные возможности одноразового пароля;
механизм с открытым ключом, соединенный с механизмом одноразового пароля, для того, чтобы выполнять функциональные возможности с открытым ключом относительно функциональных возможностей одноразового пароля; и
средство проводной связи с хостом, в котором средство связи соединено с механизмом одноразового пароля для того, чтобы соединять маркер доступа с хостом и для того, чтобы обеспечить маркеру доступа электропитание, требуемое для функционирования по меньшей мере механизма с открытым ключом.
2. Маркер доступа по п.1, который также содержит дисплей для отображения одноразового пароля и/или любой другой информации.
3. Маркер доступа по п.1, который также содержит микросхему смарт-карты для безопасного хранения ключей и для выполнения связанных с защитой функциональных возможностей.
4. Маркер доступа по п.1, в котором механизм одноразового пароля содержит средство для генерации одноразового значения, причем средство выбрано из группы, содержащей: часы в реальном масштабе времени и счетчик.
5. Маркер доступа по п.1, в котором средство связи выбрано из группы, содержащей: дисплей для отображения пароля и затем обеспечения ручным способом отображенного значения хосту, средство проводной связи с хостом, средство беспроводной связи с хостом.
6. Маркер доступа по п.5, в котором средство проводной связи также содержит предоставление электропитания для обеспечения электропитания маркеру доступа.
7. Маркер доступа по п.5, который также содержит перезаряжаемый источник питания, который заряжается энергией, предоставляемой через средство связи для обеспечения энергией для функционирования маркера доступа, не связанного в это время с хостом.
8. Маркер доступа с одноразовым паролем (OTP) для надежного обеспечения одноразового значение системе хоста, где маркер доступа с одноразовым паролем (OTP) содержит:
средство для генерации одноразового значения;
механизм PKI (инфрастуктура с открытыми ключами), соединенный со средством для генерации одноразового значения, для выполнения функциональных возможностей с открытым ключом относительно одноразового значения; и
средство связи с хостом, в котором средство соединено с механизмом PKI для обеспечения зашифрованного одноразового значения хосту.
9. Маркер доступа с одноразовым паролем (OTP) по п.8, в котором функциональные возможности с открытым ключом по отношению к одноразовому значению выбраны из группы, содержащей: шифрование одноразового значения посредством функциональных возможностей открытого ключа, и цифровую подпись одноразового пароля.
10. Маркер доступа с одноразовым паролем (OTP) по п.8, который также содержит дисплей для отображения зашифрованного одноразового значения и другой информации.
11. Маркер доступа с одноразовым паролем (OTP) по п.8, который также содержит микросхему смарт-карты для выполнения функциональных возможностей, связанных с защитой.
12. Маркер доступа с одноразовым паролем (OTP) по п.8, в котором одноразовое значение выбрано из группы, содержащей: реальное время, значение счетчика и группу случайных чисел.
13. Маркер доступа с одноразовым паролем (OTP) по п.8, в котором средство связи выбрано из группы, содержащей: дисплей для отображения пароля и затем обеспечения ручным способом отображенного значения хосту, средство проводной связи с хостом, средство беспроводной связи с хостом.
14. Маркер доступа с одноразовым паролем (OTP) по п.11, в котором средство проводной связи также содержит предоставление электропитания для обеспечения электропитания маркеру доступа.
15. Маркер доступа с одноразовым паролем (OTP) по п.8, который также содержит перезаряжаемый источник энергии, заряжаемый энергией, предоставляемой средством связи, для обеспечения энергии для работы маркера доступа в то время, как он не связан с хостом.
16. Система защиты, содержащая:
по меньшей мере один маркер доступа, содержащий: механизм одноразового пароля для выполнения функциональных возможностей одноразового пароля; механизм с открытым ключом для выполнения функциональных возможностей с открытым ключом относительно одноразового пароля; и средство проводной связи с хостом для соединения маркера доступа с хостом и для обеспечения маркера доступа электропитанием, требуемым для работы по меньшей мере механизма с открытым ключом;
систему хоста, содержащую: механизм одноразового пароля, соответствующий механизму одноразового пароля, по меньшей мере, одного маркера доступа для выполнения функциональных возможностей одноразового пароля; механизм с открытым ключом, соответствующий механизму с открытым ключом, по меньшей мере, одного маркера доступа для выполнения функциональных возможностей с открытым ключом; средство связи, соответствующее средству связи, по меньшей мере, одного маркера доступа для связи с, по меньшей мере, одним маркером доступа и для обеспечения маркеру электропитания, требуемого для использования по меньшей мере механизма с открытым ключом маркера доступа.
17. Система по п.16, в которой средство связи выбрано из группы, содержащей: дисплей, встроенный в каждый из, по меньшей мере, один маркер доступа для отображения пароля и затем отображения ручным способом значения указанному хосту, средство проводной связи, через которые указанный один, по меньшей мере, маркер доступа может быть обеспечен электропитанием, требуемым для выполнения операций с открытым ключом.
18. Система по п.16, в которой каждый, по меньшей мере, один маркер доступа содержит перезаряжаемый источник питания, который заряжается через электропитание, обеспеченное средством связи, для обеспечения энергией для работы с, по меньшей мере, одним процессором, в это время не связанным с хостом, допуская, таким образом, работу маркера доступа без внешнего электропитания.
19. Способ для аутентификации клиента системой хоста, способ содержит этапы, на которых:
на стороне указанного клиента:
(a) генерируют первое одноразовое значение;
(b) выполняют функциональные возможности с открытым ключом относительно одноразового значения;
(c) обеспечивают указанное значение системе хоста; на стороне системы хоста:
(d) выполняют функциональные возможности с открытым ключом, которые соответствуют функциональным возможностям с открытым ключом, выполненным на шаге (b) с предоставленным значением;
(e) генерируют второе одноразовое значение преимущественно тем же самым способом, которым сгенерировано первое одноразовое значение;
аутентифицируют клиента при соответствии второго значения первому значению;
посредством чего получают лучший уровень защиты аутентификации клиента.
20. Способ по п.19, в котором функциональные возможности с открытым ключом относительно одноразового значения выбраны из группы, содержащей: шифрование одноразового значения и цифровую подпись одноразового значения.
21. Способ по п.19, в котором клиент является маркером доступа.
22. Способ по п.19, в котором обеспечение зашифрованного значения хосту выполняется членом группы, содержащей: отображение зашифрованного значения на стороне клиента и затем обеспечения ручным способом отображенного значения хосту, средство проводной связи между клиентом и хостом, средство беспроводной связи между клиентом и хостом.
RU2006109501/09A 2003-08-27 2004-07-13 Маркер защиты RU2346396C2 (ru)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US10/649,169 US20050050330A1 (en) 2003-08-27 2003-08-27 Security token
US10/649,169 2003-08-27

Publications (2)

Publication Number Publication Date
RU2006109501A RU2006109501A (ru) 2007-10-20
RU2346396C2 true RU2346396C2 (ru) 2009-02-10

Family

ID=34216886

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2006109501/09A RU2346396C2 (ru) 2003-08-27 2004-07-13 Маркер защиты

Country Status (6)

Country Link
US (1) US20050050330A1 (ru)
EP (1) EP1658695A2 (ru)
JP (1) JP2007503646A (ru)
CN (1) CN1864364A (ru)
RU (1) RU2346396C2 (ru)
WO (1) WO2005022288A2 (ru)

Families Citing this family (66)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7762470B2 (en) 2003-11-17 2010-07-27 Dpd Patent Trust Ltd. RFID token with multiple interface controller
US7597250B2 (en) 2003-11-17 2009-10-06 Dpd Patent Trust Ltd. RFID reader with multiple interfaces
US8612757B2 (en) * 2003-12-30 2013-12-17 Entrust, Inc. Method and apparatus for securely providing identification information using translucent identification member
US9281945B2 (en) 2003-12-30 2016-03-08 Entrust, Inc. Offline methods for authentication in a client/server authentication system
US8060915B2 (en) 2003-12-30 2011-11-15 Entrust, Inc. Method and apparatus for providing electronic message authentication
US8230486B2 (en) * 2003-12-30 2012-07-24 Entrust, Inc. Method and apparatus for providing mutual authentication between a sending unit and a recipient
US8966579B2 (en) * 2003-12-30 2015-02-24 Entrust, Inc. Method and apparatus for providing authentication between a sending unit and a recipient based on challenge usage data
US9191215B2 (en) * 2003-12-30 2015-11-17 Entrust, Inc. Method and apparatus for providing authentication using policy-controlled authentication articles and techniques
US20050154923A1 (en) * 2004-01-09 2005-07-14 Simon Lok Single use secure token appliance
US10140596B2 (en) * 2004-07-16 2018-11-27 Bryan S. M. Chua Third party authentication of an electronic transaction
FR2874295B1 (fr) * 2004-08-10 2006-11-24 Jean Luc Leleu Procede d'authentification securisee pour la mise en oeuvre de services sur un reseau de transmission de donnees
US20060136739A1 (en) * 2004-12-18 2006-06-22 Christian Brock Method and apparatus for generating one-time password on hand-held mobile device
US8423788B2 (en) * 2005-02-07 2013-04-16 Sandisk Technologies Inc. Secure memory card with life cycle phases
US8108691B2 (en) * 2005-02-07 2012-01-31 Sandisk Technologies Inc. Methods used in a secure memory card with life cycle phases
US8321686B2 (en) * 2005-02-07 2012-11-27 Sandisk Technologies Inc. Secure memory card with life cycle phases
US8266441B2 (en) * 2005-04-22 2012-09-11 Bank Of America Corporation One-time password credit/debit card
US7840993B2 (en) * 2005-05-04 2010-11-23 Tricipher, Inc. Protecting one-time-passwords against man-in-the-middle attacks
US7748031B2 (en) 2005-07-08 2010-06-29 Sandisk Corporation Mass storage device with automated credentials loading
KR100752393B1 (ko) 2005-07-22 2007-08-28 주식회사 엘립시스 개인용 인증토큰 및 인증방법
US8181232B2 (en) * 2005-07-29 2012-05-15 Citicorp Development Center, Inc. Methods and systems for secure user authentication
US8127142B2 (en) * 2005-09-09 2012-02-28 University Of South Florida Method of authenticating a user on a network
US7536540B2 (en) * 2005-09-14 2009-05-19 Sandisk Corporation Method of hardware driver integrity check of memory card controller firmware
US20070061597A1 (en) * 2005-09-14 2007-03-15 Micky Holtzman Secure yet flexible system architecture for secure devices with flash mass storage memory
US9768963B2 (en) 2005-12-09 2017-09-19 Citicorp Credit Services, Inc. (Usa) Methods and systems for secure user authentication
US7904946B1 (en) 2005-12-09 2011-03-08 Citicorp Development Center, Inc. Methods and systems for secure user authentication
US9002750B1 (en) 2005-12-09 2015-04-07 Citicorp Credit Services, Inc. (Usa) Methods and systems for secure user authentication
US9258124B2 (en) * 2006-04-21 2016-02-09 Symantec Corporation Time and event based one time password
US20080072058A1 (en) * 2006-08-24 2008-03-20 Yoram Cedar Methods in a reader for one time password generating device
US20080052524A1 (en) * 2006-08-24 2008-02-28 Yoram Cedar Reader for one time password generating device
KR100875952B1 (ko) * 2006-09-22 2008-12-26 소프트픽셀(주) 전자카드 및 그 제조방법
WO2008053279A1 (en) * 2006-11-01 2008-05-08 Danske Bank A/S Logging on a user device to a server
US9251637B2 (en) * 2006-11-15 2016-02-02 Bank Of America Corporation Method and apparatus for using at least a portion of a one-time password as a dynamic card verification value
GB0624582D0 (en) 2006-12-08 2007-01-17 Visible Computing Ltd USB autorun devices
JP4724107B2 (ja) * 2006-12-21 2011-07-13 レノボ・シンガポール・プライベート・リミテッド リムーバブル・デバイスを用いたユーザの認証方法およびコンピュータ
US8423794B2 (en) * 2006-12-28 2013-04-16 Sandisk Technologies Inc. Method and apparatus for upgrading a memory card that has security mechanisms for preventing copying of secure content and applications
EP2034458A3 (en) * 2007-03-09 2009-09-02 ActivIdentity, Inc. One-time passwords
US8002193B2 (en) 2007-03-12 2011-08-23 Visa U.S.A. Inc. Payment card dynamically receiving power from external source
JP4936967B2 (ja) * 2007-04-13 2012-05-23 株式会社東芝 通信端末装置、情報管理システムおよび情報管理方法
US7930554B2 (en) * 2007-05-31 2011-04-19 Vasco Data Security,Inc. Remote authentication and transaction signatures
US8667285B2 (en) 2007-05-31 2014-03-04 Vasco Data Security, Inc. Remote authentication and transaction signatures
EP2073176A1 (fr) * 2007-12-20 2009-06-24 Gemalto SA Système électronique portable avec contrôle d'une consommation d'énergie d'un élément du système
KR20080012389A (ko) * 2008-01-17 2008-02-11 임병렬 전자상거래에서 거래 최종 확인 시스템 및 방법
CN102548467A (zh) * 2008-07-18 2012-07-04 生命扫描有限公司 分析物测量和管理装置及相关方法
EP2335176A1 (en) * 2008-08-20 2011-06-22 Wherepro, LLC Data packet generator for generating passcodes
JP5423123B2 (ja) * 2009-04-23 2014-02-19 大日本印刷株式会社 ユーザ認証システム,方法,スクラッチ媒体及びスクラッチ媒体の製造方法
JP2010257422A (ja) * 2009-04-28 2010-11-11 Dainippon Printing Co Ltd カード型ワンタイムパスワード生成器及び初期発行方法
US20100319058A1 (en) * 2009-06-16 2010-12-16 Chia-Hong Chen Method using electronic chip for authentication and configuring one time password
JP5589471B2 (ja) * 2010-03-19 2014-09-17 大日本印刷株式会社 ロイヤリティ管理システム,ロイヤリティ管理方法及びトークン
US8683562B2 (en) * 2011-02-03 2014-03-25 Imprivata, Inc. Secure authentication using one-time passwords
US9396325B2 (en) 2011-03-21 2016-07-19 Mocana Corporation Provisioning an app on a device and implementing a keystore
US20140040622A1 (en) * 2011-03-21 2014-02-06 Mocana Corporation Secure unlocking and recovery of a locked wrapped app on a mobile device
CN102739403A (zh) * 2012-06-19 2012-10-17 深圳市文鼎创数据科技有限公司 动态令牌的身份认证方法及装置
JP2014026476A (ja) * 2012-07-27 2014-02-06 Dainippon Printing Co Ltd 回収収容体およびそれを用いた認証システム
EP2763370B1 (en) 2013-01-31 2016-12-21 Nxp B.V. Security token and service access system
WO2014141263A1 (en) * 2013-03-13 2014-09-18 Biothent Security Ltd. Asymmetric otp authentication system
EP2782074B1 (en) * 2013-03-19 2019-06-26 Nxp B.V. Control system with security token and control method
WO2015004528A2 (en) * 2013-07-08 2015-01-15 Assa Abloy Ab One-time-password generated on reader device using key read from personal security device
GB2519825B (en) * 2013-10-29 2021-06-30 Cryptomathic Ltd Secure mobile user interface
US20180095500A1 (en) * 2016-09-30 2018-04-05 Intel Corporation Tap-to-dock
US10387632B2 (en) 2017-05-17 2019-08-20 Bank Of America Corporation System for provisioning and allowing secure access to a virtual credential
US10574650B2 (en) 2017-05-17 2020-02-25 Bank Of America Corporation System for electronic authentication with live user determination
US10318957B2 (en) 2017-10-23 2019-06-11 Capital One Services, Llc Customer identification verification process
US11469903B2 (en) * 2019-02-28 2022-10-11 Microsoft Technology Licensing, Llc Autonomous signing management operations for a key distribution service
US11483147B2 (en) 2020-01-23 2022-10-25 Bank Of America Corporation Intelligent encryption based on user and data properties
US11102005B2 (en) 2020-01-23 2021-08-24 Bank Of America Corporation Intelligent decryption based on user and data profiling
US11425143B2 (en) 2020-01-23 2022-08-23 Bank Of America Corporation Sleeper keys

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100213188B1 (ko) * 1996-10-05 1999-08-02 윤종용 사용자 인증 장치 및 방법
US5953422A (en) * 1996-12-31 1999-09-14 Compaq Computer Corporation Secure two-piece user authentication in a computer network
US6173400B1 (en) * 1998-07-31 2001-01-09 Sun Microsystems, Inc. Methods and systems for establishing a shared secret using an authentication token
US6668322B1 (en) * 1999-08-05 2003-12-23 Sun Microsystems, Inc. Access management system and method employing secure credentials
US7085931B1 (en) * 1999-09-03 2006-08-01 Secure Computing Corporation Virtual smart card system and method
EP1570442A2 (en) * 2002-11-27 2005-09-07 RSA Security Inc. Identity authentication system and method
US7519989B2 (en) * 2003-07-17 2009-04-14 Av Thenex Inc. Token device that generates and displays one-time passwords and that couples to a computer for inputting or receiving data for generating and outputting one-time passwords and other functions

Also Published As

Publication number Publication date
WO2005022288A3 (en) 2005-05-19
EP1658695A2 (en) 2006-05-24
JP2007503646A (ja) 2007-02-22
US20050050330A1 (en) 2005-03-03
CN1864364A (zh) 2006-11-15
RU2006109501A (ru) 2007-10-20
WO2005022288A2 (en) 2005-03-10

Similar Documents

Publication Publication Date Title
RU2346396C2 (ru) Маркер защиты
US9305156B2 (en) Integrity protected smart card transaction
US8850218B2 (en) OTP generation using a camouflaged key
KR100876003B1 (ko) 생체정보를 이용하는 사용자 인증방법
ES2363268T3 (es) Dispositivo de almacenamiento masivo con carga automática de credenciales.
US10148648B1 (en) Virtual smart card to perform security-critical operations
US20130198519A1 (en) Strong authentication token with visual output of pki signatures
JP2004506361A (ja) デバイスの検証ステータスを提供することによる電子通信におけるエンティティ認証
US20050182971A1 (en) Multi-purpose user authentication device
KR20030074483A (ko) 서비스 제공자 장치로부터 네트워크를 통하여 서비스이용자 장치에 서비스를 제공하는 서비스 제공 시스템
JPWO2008117550A1 (ja) ソフトウェアicカードシステム、管理サーバ、端末、サービス提供サーバ、サービス提供方法及びプログラム
US20100241850A1 (en) Handheld multiple role electronic authenticator and its service system
KR20100096090A (ko) 이동식 스마트카드 기반 인증
US20120124378A1 (en) Method for personal identity authentication utilizing a personal cryptographic device
TWI476629B (zh) Data security and security systems and methods
KR101271464B1 (ko) 이중 인증 시스템의 비밀키 암호화 방법
JPH10149103A (ja) 認証方法及び認証システム
KR101394147B1 (ko) 모바일에서 안전하게 인증서를 사용하는 방법
KR20100136119A (ko) 사용자 매체와 연동하는 오티피 제공 방법 및 시스템과 이를 위한 휴대폰 및 기록매체
KR20180105324A (ko) 공인인증서 비밀번호를 관리하는 방법 및 애플리케이션
KR20100120835A (ko) 보안 입력 장치 및 이를 이용한 보안 방법
KR20040082585A (ko) 휴대용 단말기를 이용한 사용자 인증 방법
KR20100136142A (ko) 사용자 매체와 연동하는 복수 인증 방식의 오티피 출력 방법 및 시스템과 이를 위한 휴대폰 및 기록매체
KR20100136136A (ko) 사용자 매체와 연동하는 씨드 조합 방식의 오티피 출력 방법 및 시스템과 이를 위한 기록매체

Legal Events

Date Code Title Description
PD4A Correction of name of patent owner
MM4A The patent is invalid due to non-payment of fees

Effective date: 20130714