RU2530691C1 - Method for protected remote access to information resources - Google Patents

Method for protected remote access to information resources Download PDF

Info

Publication number
RU2530691C1
RU2530691C1 RU2013113592/08A RU2013113592A RU2530691C1 RU 2530691 C1 RU2530691 C1 RU 2530691C1 RU 2013113592/08 A RU2013113592/08 A RU 2013113592/08A RU 2013113592 A RU2013113592 A RU 2013113592A RU 2530691 C1 RU2530691 C1 RU 2530691C1
Authority
RU
Russia
Prior art keywords
authentication
client
server
user
identifier
Prior art date
Application number
RU2013113592/08A
Other languages
Russian (ru)
Other versions
RU2013113592A (en
Inventor
Алексей Николаевич Цибуля
Дмитрий Евгеньевич Шугуров
Дмитрий Олегович Маркин
Дмитрий Дмитриевич Громей
Original Assignee
Государственное казенное образовательное учреждение высшего профессионального образования Академия Федеральной службы охраны Российской Федерации (Академия ФСО России)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Государственное казенное образовательное учреждение высшего профессионального образования Академия Федеральной службы охраны Российской Федерации (Академия ФСО России) filed Critical Государственное казенное образовательное учреждение высшего профессионального образования Академия Федеральной службы охраны Российской Федерации (Академия ФСО России)
Priority to RU2013113592/08A priority Critical patent/RU2530691C1/en
Application granted granted Critical
Publication of RU2013113592A publication Critical patent/RU2013113592A/en
Publication of RU2530691C1 publication Critical patent/RU2530691C1/en

Links

Images

Landscapes

  • Computer And Data Communications (AREA)

Abstract

FIELD: information technology.
SUBSTANCE: result is achieved due to preliminary check of a dynamic variable depending on accurate time and repeatability of identifiers of a client and a session without any preliminary use of convolution (hashing) functions to them with the suppression of incorrect requests for authentication in case of an error occurrence. After that, the convolution function is used, which provides, in case of no errors, authenticity of earlier checked authentication data, as well as a check of authenticity of an access subject based on identification data of a user. Reduction of computational complexity of a checking algorithm of an authentication sequence is determined by the fact that at reception of multiple incorrect requests for authentication, these requests are suppressed before the convolution (hashing) function is used, and therefore, considerable reduction of load on a system (device) takes place, which implements a checking algorithm of the authentication sequence at reception of incorrect requests for authentication.
EFFECT: reduction of computational complexity of a checking algorithm of the authentication sequence at reception of multiple incorrect requests for authentication, which in its turn improves resistance to attacks like service denial at processing of multiple and, as a rule, incorrect requests for the access provision.
2 dwg, 1 tbl

Description

Изобретение относится к области передачи цифровой информации, а именно к шифровальным устройствам секретной связи с ключевым распределением, и предназначено для установления защищенного удаленного доступа к информационным ресурсам на основе одношаговой аутентификации с симметричными ключами и защищенным взаимодействием.The invention relates to the field of transmission of digital information, namely, encryption devices for secret communication with a key distribution, and is intended to establish secure remote access to information resources based on one-step authentication with symmetric keys and secure interaction.

Известен способ "Защищенный канал с аутентификацией" (патент RU №2359416, МПК H04L 9/08, от 20 июня 2009 г.). Известный способ заключается в том, что существует первое одноранговое устройство, которое выбирает первый кратковременный секретный ключ х и вычисляет первый соответствующий кратковременный открытый ключ g x, который посылает второму одноранговому устройству. Второе одноранговое устройство вычисляет второй кратковременный открытый ключ g y аналогичным способом и кратковременный ключ (Keph) коллективного пользования, определяет хеш-значение для g y, Keph, Kperm и своего идентификатора, посылает g y и хеш-значение первому из одноранговых устройств. Первое одноранговое устройство вычисляет Keph, верифицирует хеш-значение и определяет хеш-значение для g x, Keph, Kperm и своего идентификатора, посылает его второму одноранговому устройству, чтобы оно верифицировало это хеш-значение. После этого оба одноранговых устройства получают сеансовый ключ с помощью хеширования Keph. Устройства могут затем использовать сеансовый ключ для установления защищенного канала с аутентификацией.The known method "Secure channel with authentication" (patent RU No. 2359416, IPC H04L 9/08, dated June 20, 2009). The known method is that there is a first peer device that selects the first short-term secret key x and calculates the first corresponding short-term public key g x , which is sent to the second peer device. The second peer device calculates the second short-term public key g y in the same way and the short-term public key (K eph ), determines the hash value for g y , K eph , K perm and its identifier, sends g y and the hash value to the first of the peer devices . The first peer device calculates K eph , verifies the hash value and determines the hash value for g x , K eph , K perm and its identifier, sends it to the second peer device to verify this hash value. After that, both peers receive a session key by hashing K eph . Devices can then use the session key to establish a secure channel with authentication.

При такой совокупности описанных элементов и связей известный способ обеспечивает защищенность и аутентичность канала связи. Однако недостатком данного способа является то, что для аутентификации и установления защищенного канала происходит интенсивный обмен данными между устройствами, при котором данные передаются по незащищенной сети не менее 5 раз, что повышает вероятность перехвата и требует сравнительно значительных затрат времени для аутентификации клиента и установления защищенного соединения. Таким образом, известный способ не обеспечивает достаточную доступность и аутентичность взаимодействующих сторон.With such a combination of the described elements and relationships, the known method provides security and authenticity of the communication channel. However, the disadvantage of this method is that for authentication and the establishment of a secure channel, there is an intensive exchange of data between devices, in which data is transmitted over an insecure network at least 5 times, which increases the likelihood of interception and requires a relatively significant amount of time to authenticate the client and establish a secure connection . Thus, the known method does not provide sufficient accessibility and authenticity of the interacting parties.

Известна "Система аутентификации на основе одноразовой проверки аутентификационной информации" (патент US 6,148,404, МПК G06F 11/00; H04L 9/00 от 14 ноября 2000 г.). Способ, реализованный в функционировании данной системы, основан на хранении аутентификацирующих данных клиента как на сервере, так и у клиента. На первом этапе клиент отправляет запрос на аутентификацию серверу. Затем получает от сервера ответ. После этого клиент формирует аутентификацирующую последовательность (Dn) путем шифрования хранящихся данных {Dn-1), используя свой секретный ключ (Ks), и отправляет ее серверу. Сервер расшифровывает полученные данные, используя открытый ключ (Kp) клиента, и соответственно аутентифицирует его. При следующем обращении (создании новой сессии) и сервер и клиент формируют новую (отличную от предыдущей) проверочную последовательность (Dn-1), которая будет использоваться для новой аутентификации и соответственно предоставления доступа клиента к защищаемым ресурсам сервера.The known "Authentication System based on a one-time verification of authentication information" (US patent 6,148,404, IPC G06F 11/00; H04L 9/00 dated November 14, 2000). The method implemented in the operation of this system is based on the storage of authentication data of the client both on the server and on the client. At the first stage, the client sends an authentication request to the server. Then it receives a response from the server. After that, the client generates an authentication sequence (D n ) by encrypting the stored data (D n-1 ) using its private key (K s ), and sends it to the server. The server decrypts the received data using the public key (K p ) of the client, and accordingly authenticates it. At the next call (creating a new session), both the server and the client form a new (different from the previous) verification sequence (D n-1 ), which will be used for new authentication and, accordingly, providing client access to the protected server resources.

При такой совокупности описанных элементов и связей данный аналог, в отличие от предлагаемого способа, обладает следующими недостатками. Во-первых, вероятность перехвата и задержки аутентифицирующего пакета в прототипе выше, чем у предлагаемого способа, поскольку в предлагаемом способе предложено использовать временную синхронизацию между клиентом и сервером, чего нет в прототипе. Во-вторых, из-за того, что в прототипе используется взаимное хранение некоторой аутентифицирующей последовательности (Dn-1), то в случае перехвата нарушителем пакета аутентификации и блокировании доступа легальному клиенту, нарушитель использует данный пакет аутентифицирующей последовательности для доступа, и в этом случае нарушитель будет аутентифицирован сервером как "легальный клиент". При этом повторное получение легальным клиентом доступа к серверу будет невозможно, поскольку значение (Dn) на сервере будет измененным и отлично от значения (Dn) у клиента, вследствие того, что доступ первоначально получит нарушитель, а не клиент, то произойдет рассинхронизация хранимых аутентифицирующих последовательностей вследствие ложной аутентификации. В-третьих, использование несимметричной криптосистемы в прототипе приводит к большей уязвимости для атак типа "отказ в обслуживании", т.е. блокирование доступа к серверу путем генерации нарушителем ложных заявок на обслуживание. Это обусловлено более высокой вычислительной сложностью алгоритмов расшифрования в несимметричной криптосистеме по сравнению с симметричной в случаях, когда необходимо осуществлять расшифрование значительного потока запросов на аутентификацию с некорректными параметрами.With such a combination of the described elements and relationships, this analogue, in contrast to the proposed method, has the following disadvantages. Firstly, the probability of interception and delay of the authenticating packet in the prototype is higher than that of the proposed method, since the proposed method proposes to use time synchronization between the client and the server, which is not in the prototype. Secondly, due to the fact that the prototype uses the mutual storage of some authentication sequence (D n-1 ), in the case of an intruder intercepting an authentication packet and blocking access to a legal client, the violator uses this authentication sequence packet for access, and in this In this case, the intruder will be authenticated by the server as a “legal client”. In this case, re-obtaining by the legal client access to the server will be impossible, since the value (D n ) on the server will be changed and different from the value (D n ) on the client, due to the fact that the intruder will get access and not the client, then the stored data will be out of sync authentication sequences due to false authentication. Thirdly, the use of an asymmetric cryptosystem in the prototype leads to greater vulnerability to denial of service attacks, i.e. blocking access to the server by the generation of false requests for service by the intruder. This is due to the higher computational complexity of decryption algorithms in an asymmetric cryptosystem compared to symmetric in cases when it is necessary to decrypt a significant stream of authentication requests with incorrect parameters.

Известны "Способ и система аутентификации пользователей" (патент US 7,865,937 В1, МПК H04L 9/32 от 04 января 2011 г.). Данный способ реализует одношаговый подход при осуществлении аутентификации, уменьшающий риск перехвата аутентифицирующей информации, осуществляет контроль повторяемости вводимых при аутентификации данных, определяет состояние коммуникационного устройства, осуществляющего запрос на аутентификацию, передает запрос о биометрической аутентификации от сервера к системе аутентификации при условии, что состояние устройства зарегистрировано. Кроме того, данный способ позволяет проверить коммуникационное устройство на основе аутентифицирующей биометрической информации о пользователе, генерировать и хранить одноразовые ключевые фразы в системе аутентификации, предоставлять пользователю доступ к защищенным ресурсам при вводе им ключевой фразы, хранящейся в системе.Known "Method and user authentication system" (US patent 7,865,937 B1, IPC H04L 9/32 from January 4, 2011). This method implements a one-step approach to authentication, reducing the risk of interception of authentication information, monitors the repeatability of data entered during authentication, determines the status of the communication device that performs the authentication request, transmits a request for biometric authentication from the server to the authentication system, provided that the device status is registered . In addition, this method allows you to check the communication device based on authentication biometric information about the user, generate and store one-time key phrases in the authentication system, provide the user with access to protected resources when they enter the passphrase stored in the system.

При такой совокупности описанных элементов и связей данный аналог, в отличие от предлагаемого способа, обладает следующими недостатками. Во-первых, системы аутентификации, использующие биометрическую информацию о пользователе, обладают более высокими показателями ошибок 1-го и 2-го рода, что затрудняет их использование в широком круге прикладных задач, связанных с гарантированным обеспечением практической защищенности информации. Во-вторых, отсутствие криптографической защиты аутентифицирующих данных приводит к невозможности использования данного способа для работы в системах с информацией, имеющей статус ограниченной, конфиденциальной или более высокого уровня секретности. В-третьих, использование одноразовых ключевых фраз в известном способе также не предполагает защиты передаваемых по среде передачи сигнала информации, что приводит к угрозе несанкционированного доступа к ней и раскрытия ее содержания.With such a combination of the described elements and relationships, this analogue, in contrast to the proposed method, has the following disadvantages. Firstly, authentication systems that use biometric information about the user have higher error rates of the 1st and 2nd kind, which makes it difficult to use them in a wide range of applied tasks related to guaranteed practical security of information. Secondly, the lack of cryptographic protection of authentication data makes it impossible to use this method to work in systems with information that has the status of limited, confidential or a higher level of secrecy. Thirdly, the use of one-time key phrases in the known method also does not imply the protection of information transmitted through the signal transmission medium, which leads to the threat of unauthorized access to it and disclosure of its contents.

Наиболее близким по своей технической сущности и выполняемым функциям аналогом (прототипом) к заявляемому является "Способ и устройство для выполнения расширенной аутентификации на основе времени" (патент US 7,363,494 В2, МПК H04L 9/00, Н04К 1/00, G06F 7/04, G06F 17/30 от 22 апреля 2008 г.). В данном прототипе предложен способ аутентификации пользователей за счет формирования аутентифицирующей последовательности на основе идентификационных данных пользователя Р и устройства (системы) V, секретной последовательности К, динамической, зависимой от времени переменной Т и переменной, характеризующей количество предыдущих запросов на аутентификацию за конкретный интервал времени N. Целью данного прототипа являлось создание способа, повышающего устойчивость к атакам, путем формирования множества различных запросов аутентификации за конкретный промежуток времени за счет использования времени как динамической составляющей при формировании аутентифицирующей последовательности.The closest in its technical essence and functions performed analogue (prototype) to the claimed one is the "Method and device for performing advanced authentication based on time" (US patent 7,363,494 B2, IPC H04L 9/00, H04K 1/00, G06F 7/04, G06F 17/30 dated April 22, 2008). This prototype proposes a method of authenticating users by generating an authentication sequence based on the identification data of user P and device (system) V, secret sequence K, a dynamic, time-dependent variable T and a variable characterizing the number of previous authentication requests for a specific time interval N The purpose of this prototype was to create a method that increases resistance to attacks by generating many different authentication requests. for a specific period of time due to the use of time as a dynamic component in the formation of the authenticating sequence.

При такой совокупности описанных элементов и связей данный аналог, в отличие от предлагаемого способа обладает недостатком - сравнительно высокой вычислительной сложностью алгоритма проверки аутентифицирующей последовательности, приводящей к низкой устойчивости к атакам типа "отказ в обслуживании" при обработке множественных некорректных запросов на предоставление доступа. Это происходит по нескольким причинам. Во-первых, в рассматриваемом прототипе на аутентифицирующей стороне (устройстве или службе, осуществляющем аутентификацию) проверка полученных от пользователя или устройства, запрашивающего доступ, данных осуществляется после применения используемой функции свертки проверяемых данных (например, функции хеширования или шифрования). Во-вторых, контроль метки времени (переменной, формирующей динамическую составляющую запроса аутентификации), идентификатора пользователя и повторных запросов на аутентификацию также осуществляется после формирования оригинальной аутентифицирующей последовательности на приемной стороне и сравнения ее с принятой последовательностью из канала связи. В совокупности данные факторы и приводят к высокой вычислительной сложности алгоритма проверки аутентифицирующей последовательности вследствие предварительного обязательного применения используемой функции свертки, сложность которой, как правило, значительно выше, чем сложность операции простого сравнения, особенно в защищенном варианте с применением криптографических средств защиты (например, функции хеширования или шифрования).With such a combination of the described elements and connections, this analogue, in contrast to the proposed method, has a drawback - the relatively high computational complexity of the authentication sequence verification algorithm, which leads to low resistance to denial of service attacks when processing multiple incorrect access requests. This happens for several reasons. Firstly, in the prototype in question, on the authenticating side (device or service that performs authentication), the data received from the user or device requesting access is checked after the used function of convolution of the verified data is used (for example, the hash or encryption function). Secondly, the control of the time stamp (the variable forming the dynamic component of the authentication request), the user ID and repeated authentication requests are also controlled after the formation of the original authentication sequence at the receiving side and its comparison with the received sequence from the communication channel. Taken together, these factors lead to high computational complexity of the authentication sequence verification algorithm due to the preliminary mandatory use of the convolution function, the complexity of which, as a rule, is significantly higher than the complexity of a simple comparison operation, especially in the protected version using cryptographic means of protection (for example, functions hashing or encryption).

Задачей изобретения является создание способа защищенного удаленного доступа к информационным ресурсам, позволяющего уменьшить вычислительную сложность при проверке аутентифицирующей последовательности за счет предварительной проверки меток времени, повторяемости идентификаторов клиента и сессии без предварительного применения функций свертки (например, криптографической функции хеширования или шифрования) с отбрасыванием некорректных запросов на аутентификацию, в случае возникновения ошибок, и последующего применения функции свертки, в случае отсутствия ошибок, обеспечивающей подлинность проверенных ранее аутентифицирующих данных, а также проверку аутентичности субъекта доступа на основе идентифицирующих данных.The objective of the invention is to provide a method of secure remote access to information resources, which reduces computational complexity when checking the authentication sequence by pre-checking timestamps, repeatability of client and session identifiers without first using convolution functions (for example, a cryptographic hash or encryption function) with rejection of incorrect requests authentication, in case of errors, and subsequent use of the function convolution, in the absence of errors, ensuring the authenticity of the scanned data before authenticating and verifying the authenticity of the subject access on the basis of identification data.

Эта задача решается тем, что в способе защищенного удаленного доступа к информационным ресурсам клиентом формируется запрос на аутентификацию из данных, полученных путем применения функции свертки к динамической переменной, зависимой от временных периодов, и идентификатору пользователя, и данных, полученных путем применения функции свертки на основе секретного ключа к сгенерированной переменной - идентификатору сессии и идентификатору пользователя, и затем сформированный пакет с запросом отправляется серверу, на сервере после применения функции свертки к идентификатору пользователя и сгенерированной переменной - идентификатору сессии проверяют уникальность идентификатора сессии и пользователя, на основе хранящихся на сервере данных со значениями функции свертки от идентификаторов пользователя и динамической переменной, зависимой от временных периодов, проверяют актуальность и достоверность идентификатора пользователя, отличающийся тем, что дополнительно при формировании запроса на аутентификацию клиентом в него записываются значения идентификатора сессии клиента и динамической переменной, зависимой от точного времени без применения к ним функции свертки; после получения из канала связи запроса на аутентификацию на сервере проверяют динамическую переменную, зависимую от точного времени, и уникальность идентификатора сессии клиента, после чего на основе полученного значения функции свертки от идентификатора пользователя и динамической переменной находят идентификатор пользователя и соответствующий ему секретный ключ, на основе найденного секретного ключа и используемого алгоритма функции свертки получают блок со значением функции свертки от идентификатора пользователя и идентификатора сессии пользователя, который сверяют с полученными ранее значениями, и, если значения совпали, то клиенту доступ разрешается.This problem is solved by the fact that in the method of secure remote access to information resources, the client generates an authentication request from the data obtained by applying the convolution function to a dynamic variable depending on time periods and the user identifier and data obtained by applying the convolution function based on the secret key to the generated variable - session ID and user ID, and then the generated packet with the request is sent to the server, on the server after accepting The convolution function to the user identifier and the generated variable — the session identifier — verify the uniqueness of the session identifier and user, based on the data stored on the server with the values of the convolution function from user identifiers and a dynamic variable depending on time periods, check the relevance and validity of the user identifier, that, in addition, when generating a request for authentication by the client, the session identifier values are written to it client and a dynamic variable that depends on the exact time without applying the convolution function to them; after receiving a request for authentication from the communication channel on the server, check the dynamic variable, which depends on the exact time, and the uniqueness of the client session identifier, after which, based on the obtained value of the convolution function, the user identifier and dynamic variable find the user identifier and the corresponding secret key based on the found secret key and the convolution function algorithm used, receive a block with the value of the convolution function from the user identifier and identifier the torus of the user’s session, which is checked against the values obtained earlier, and if the values match, then the client is allowed access.

Перечисленная новая совокупность существенных признаков позволяет уменьшить вычислительную сложность алгоритма проверки аутентифицирующей последовательности (Шнайер, Брюс. Прикладная криптография, 2-е издание. ISBN 0-471-11709-9) за счет предварительной проверки динамической переменной, зависимой от точного времени (IEEE 1588-2002, "Standard for a Precision Clock Synchronization Protocol for Networked Measurement and Control Systems"), и повторяемости идентификаторов клиента и сессии без предварительного применения функций свертки (хеширования) на основе секретного ключа с отбрасыванием некорректных запросов на аутентификацию в случае возникновения ошибок. В случае успешной проверки осуществляется последующее применение функции свертки, обеспечивающей подлинность проверенных ранее аутентифицирующих данных, а также проверку аутентичности субъекта доступа на основе идентифицирующих данных пользователя. Данная функция свертки может быть реализована, например, на основе криптосистемы с симметричными ключами (Шнайер, Брюс. Прикладная криптография, 2-е издание. ISBN 0-471-11709-9). Уменьшение вычислительной сложности алгоритма проверки аутентифицирующей последовательности обусловлено тем, что при приеме множественных некорректных запросов на аутентификацию данный запросы отбрасываются прежде, чем будет применена функция свертки (хеширования), и таким образом значительно снижается нагрузка на систему (устройство), реализующее алгоритм проверки аутентифицирующей последовательности, при приеме некорректных запросов на аутентификацию.The listed new set of essential features reduces the computational complexity of the authentication sequence verification algorithm (Schneier, Bruce. Applied cryptography, 2nd edition. ISBN 0-471-11709-9) by preliminary checking the dynamic variable depending on the exact time (IEEE 1588- 2002, "Standard for a Precision Clock Synchronization Protocol for Networked Measurement and Control Systems"), and the recurrence of client and session identifiers without first using the convolution (hashing) functions based on a secret key with non-corr. authentication requests in case of errors. In case of successful verification, the subsequent use of the convolution function is carried out, which ensures the authenticity of the previously authenticated authentication data, as well as the authentication of the access subject on the basis of the user identification data. This convolution function can be implemented, for example, on the basis of a cryptosystem with symmetric keys (Schneier, Bruce. Applied cryptography, 2nd edition. ISBN 0-471-11709-9). The computational complexity of the authentication sequence verification algorithm is reduced due to the fact that upon receiving multiple incorrect authentication requests, these requests are discarded before the convolution (hashing) function is applied, and thus the load on the system (device) that implements the authentication sequence verification algorithm is significantly reduced, when receiving invalid authentication requests.

Проведенный анализ уровня техники позволил установить, что аналоги, характеризующиеся совокупностью признаков, тождественных всем признакам заявленного технического решения, отсутствуют, что указывает на соответствие изобретения условию патентоспособности "новизна".The analysis of the prior art made it possible to establish that analogues that are characterized by a combination of features that are identical to all the features of the claimed technical solution are absent, which indicates compliance of the invention with the condition of patentability "novelty".

Результаты поиска известных решений в данной и смежных областях техники с целью выявления признаков, совпадающих с отличительными от прототипа признаками заявленного объекта, показали, что они не следуют явным образом из уровня техники. Из уровня техники также не выявлена известность влияния предусматриваемых существенными признаками заявленного изобретения преобразований на достижение указанного технического результата. Следовательно, заявленное изобретение соответствует условию патентоспособности "изобретательский уровень".Search results for known solutions in this and related fields of technology in order to identify features that match the distinctive features of the claimed object from the prototype showed that they do not follow explicitly from the prior art. The prior art also did not reveal the popularity of the impact provided by the essential features of the claimed invention, the transformations on the achievement of the specified technical result. Therefore, the claimed invention meets the condition of patentability "inventive step".

Промышленная применимость заявляемого способа обусловлена тем, что предлагаемое техническое решение может быть реализовано как с помощью современной элементной базы с соответствующим программным обеспечением, так и в виде программных модулей.The industrial applicability of the proposed method is due to the fact that the proposed technical solution can be implemented using modern hardware with the appropriate software, or in the form of software modules.

Заявленный способ поясняется чертежами, на которых показаны:The claimed method is illustrated by drawings, which show:

фиг.1 - блок-схема функционирования способа защищенного удаленного доступа к информационным ресурсам;figure 1 - block diagram of the functioning of the method of secure remote access to information resources;

фиг.2 - форматы пакетов передаваемых данных между клиентом и сервером в процессе аутентификации.figure 2 - packet formats of the transmitted data between the client and server in the authentication process.

Для решения задачи аутентификации клиента согласно блоку 11 на фигуре 1 используется аутентифицирующий пакет - запрос пользователя на установление сессии, представленный на фигуре 2, с идентификатором пакета аутентификации, идентификатором типа функции свертки (например, алгоритма хеширования или шифрования), идентификатором сессии клиента, меткой времени, хешем (сверткой) от идентификатора пользователя и даты, хешем (сверткой) от идентификатора пользователя и идентификатора сессии клиента и сессионным ключом. Данный пакет формируется на передающей стороне - клиенте, запрашивающим разрешение на доступ (например, к информационному ресурсу или приложению).To solve the client authentication task according to block 11 in figure 1, an authentication packet is used - the user request to establish a session, presented in figure 2, with an authentication packet identifier, an identifier for a convolution function type (for example, a hashing or encryption algorithm), a client session identifier, a timestamp , hash (convolution) from user identifier and date, hash (convolution) from user identifier and client session identifier and session key. This package is formed on the transmitting side - the client, requesting permission for access (for example, to an information resource or application).

Получив пакет аутентификации, в блоке 12 фигуры 1 сервер сверяет поддерживаемые типы функций свертки (например, алгоритмов хеширования и шифрования) с предъявляемыми в пакете. Если функции поддерживаются, то процесс аутентификации продолжается, в противном случае, на принимающей стороне (сервере) формируется и записывается отчет об ошибке, вырабатываются заданные правилами политики безопасности воздействия на неверный запрос на аутентификацию и формируется сигнал о вероятной атаке.Having received the authentication packet, in block 12 of figure 1, the server checks the supported types of convolution functions (for example, hashing and encryption algorithms) with those presented in the packet. If the functions are supported, then the authentication process continues, otherwise, an error report is generated and recorded on the receiving side (server), the actions specified by the rules of the security policy for the invalid authentication request are generated, and a signal about a likely attack is generated.

В блоке 13 фигуры 1 происходит проверка актуальности метки времени, характеризующей точное время, синхронизированное между клиентом и сервером. На данном этапе фактически происходит проверка актуальности предоставляемой запрашиваемой стороной информации. В случае успешной проверки метки времени актуальность предоставляемой информации считается доказанной и процесс аутентификации продолжается, в противном случае, на принимающей стороне (сервере) формируется и записывается отчет об ошибке, вырабатывается заданное правилами политики безопасности воздействие на неверный запрос на аутентификацию и формируется сигнал о вероятной атаке.In block 13 of figure 1, the relevance of the time stamp characterizing the exact time synchronized between the client and server is checked. At this stage, the actuality of the information provided by the requested party is actually checked. In case of successful verification of the timestamp, the relevance of the information provided is considered proven and the authentication process continues, otherwise, an error report is generated and recorded on the receiving side (server), the effect of the authentication request specified by the rules of the security policy is generated, and a signal about a likely attack is generated .

В блоке 14 фигуры 1 происходит сравнение полученного значения свертки (хеша) от идентификатора пользователя и даты с хранящимся значением свертки в базе. При этом формирования хеша на принимающей стороне (сервере) не происходит. Если предоставленное значение хеша находится в базе, то в блоке 15 фигуры 1 находят и определяют идентификатор пользователя и соответствующий ему секретный ключ. Если значения в базе найдены, то процесс аутентификации продолжается, в противном случае, на принимающей стороне (сервере) формируется и записывается отчет об ошибке, вырабатывается заданное правилами политики безопасности воздействие на неверный запрос на аутентификацию и формируется сигнал о вероятной атаке.In block 14 of figure 1, the obtained convolution (hash) value from the user ID and date is compared with the stored convolution value in the database. In this case, the hash formation on the receiving side (server) does not occur. If the provided hash value is in the database, then in block 15 of figure 1, the user identifier and the corresponding secret key are found and determined. If the values are found in the database, the authentication process continues, otherwise, an error report is generated and recorded on the receiving side (server), the effect specified on the rules of the security policy on the invalid authentication request is generated, and a signal about a likely attack is generated.

В блоке 17 фигуры 1 происходит проверка повторов предоставляемых идентификатора пользователя и идентификатора сессии соединения. Если повторы выявлены, то формируется и записывается отчет об ошибке, вырабатывается заданное правилами политики безопасности воздействие на неверный запрос на аутентификацию и формируется сигнал о вероятной атаке. Если повторов нет, то процесс аутентификации продолжается.In block 17 of figure 1, the repetition of the provided user identifier and connection session identifier is checked. If repetitions are detected, an error report is generated and recorded, the effect specified by the rules of the security policy on the invalid authentication request is generated, and a signal about a likely attack is generated. If there are no retries, the authentication process continues.

Далее, в блоке 18 фигуры 1 происходит расшифрование блока с хешем от идентификатора пользователя и идентификатора сессии клиента.Next, in block 18 of figure 1, the block is decrypted with a hash from the user identifier and client session identifier.

На основе полученного в блоке 15 фигуры 1 идентификатора пользователя и идентификатора сессии из принятого пакета запроса в блоке 19 фигуры 1 на сервере формируется свертка (хеш), которая в блоке 20 фигуры 1 сверяется со сверткой (хешем), полученной из канала связи. Если значения совпадают, то клиент является аутентифицированным. В противном случае, на принимающей стороне (сервере) формируется и записывается отчет об ошибке, вырабатывается заданное правилами политики безопасности воздействие на неверный запрос на аутентификацию и формируется сигнал о вероятной атаке.Based on the user ID and session identifier received in block 15 of figure 1, from the received request packet in block 19 of figure 1, a convolution (hash) is generated on the server, which in block 20 of figure 1 is verified with the convolution (hash) received from the communication channel. If the values match, then the client is authenticated. Otherwise, an error report is generated and written on the receiving side (server), the effect specified on the rules of the security policy is generated on an invalid authentication request, and a signal is generated about a likely attack.

После осуществления успешной аутентификации в блоке 21 фигуры 1 полученный сессионный ключ клиента сохраняется на сервере в базе. И, далее, в блоке 22 фигуры 1 формируется и отправляется клиенту пакет с подтверждением успешной аутентификации и зашифрованном на сессионном ключе клиента сессионным ключом сервера.After successful authentication in block 21 of figure 1, the received client session key is stored on the server in the database. And, further, in block 22 of figure 1, a packet is generated and sent to the client with confirmation of successful authentication and the server session key encrypted on the client's session key.

В каждом случае, когда возникает ошибка или предоставленные клиентом данные не совпадают с имеющимися в базе, в блоке 23 фигуры 1 формируется и записывается отчет об ошибке, вырабатывается заданное правилами политики безопасности воздействие на неверный запрос на аутентификацию и формируется сигнал о вероятной атаке. В случае неверной аутентификации сервер в блоке 23 фигуры 1 отвечает пакетом ошибки - ответом сервера на запрос установления сессии с неверной аутентификацией, представленном на фигуре 2, в котором содержатся: идентификатор ошибки, идентификатор пакета, код ошибки, метка времени сервера и список поддерживаемых алгоритмов хеширования и шифрования.In each case, when an error occurs or the data provided by the client does not coincide with the data in the database, an error report is generated and recorded in block 23 of figure 1, the effect specified by the security policy rules on the invalid authentication request is generated, and a signal of a likely attack is generated. In case of incorrect authentication, the server in block 23 of figure 1 responds with an error packet - the server responds to a session authentication request with the authentication that is presented in figure 2, which contains: error identifier, packet identifier, error code, server timestamp, and a list of supported hashing algorithms and encryption.

Аутентификация может быть неверной в следующих случаях:Authentication may be incorrect in the following cases:

- отсутствие или несовпадение метки времени с системным временем сервера;- absence or mismatch of the timestamp with the system time of the server;

- отсутствие или несовпадение используемых типов алгоритмов хеширования и\или шифрования;- the absence or mismatch of the used types of hashing and / or encryption algorithms;

- отсутствие или несовпадение хеш-функции от идентификатора пользователя и даты;- absence or mismatch of the hash function from the user ID and date;

- отсутствие или несовпадение хеш-функции от идентификатора пользователя и идентификатора сессии клиента;- absence or mismatch of the hash function from the user identifier and client session identifier;

- невозможность расшифрования одного из полей пакета;- the inability to decrypt one of the package fields;

- других ошибок в формате пакета.- other errors in the package format.

В случае успешной аутентификации сервер в блоке 22 фигуры 1 отвечает клиенту пакетом с данными об успешной аутентификацией, представленном на фигуре 2, с идентификатором пакета, поддерживаемыми алгоритмами хеширования и шифрования, меткой времени, идентификатором сессии сервера и сессионным ключом. После получения данного пакета клиент использует сессионный ключ сервера для начала обмена защищенными информационными пакетами, в то время как сервер использует сессионный ключ клиента для шифрования информационных пакетов. Формат пакета передачи защищенных данных представлен на фигуре 2 и содержит идентификатор соединения, размер поля данных в блоках, размер инкапсулированных в данных, очередной сессионный ключ, поле данных, поле выравнивания и поле контроля целостности.In case of successful authentication, the server in block 22 of figure 1 responds to the client with a packet with successful authentication data presented in figure 2, with the packet identifier, supported hashing and encryption algorithms, timestamp, server session identifier and session key. After receiving this package, the client uses the server's session key to start exchanging secure information packets, while the server uses the client's session key to encrypt information packets. The format of the secure data transmission packet is shown in Figure 2 and contains the connection identifier, the size of the data field in blocks, the size of the encapsulated data, the next session key, the data field, the alignment field, and the integrity control field.

Смена сессионных ключей может происходить относительно предъявляемых требований к симметричным ключам автоматически или на основе управляющего пакета. Формат управляющего пакета представлен на фигуре 2. Управляющий пакет служит для завершения сессии или других служебных команд и содержит идентификатор соединения, команду инкапсуляции, данные для инкапсулируемой команды и очередной сессионный ключ.Session keys can be changed relative to the requirements for symmetric keys automatically or based on a control package. The format of the control packet is shown in Figure 2. The control packet serves to end a session or other service commands and contains the connection identifier, encapsulation command, data for the encapsulated command and the next session key.

Особенностью предлагаемого способа является:A feature of the proposed method is:

- последовательная проверка идентификационных данных клиента и актуальности предоставляемых данных без применения функций свертки (например, хеширования или расшифрования);- Consistent verification of customer identification data and the relevance of the data provided without the use of convolution functions (for example, hashing or decryption);

- использование времени как части защищенной последовательности и приобретение ей свойства устаревания;- the use of time as part of a protected sequence and the acquisition of obsolescence properties;

- односторонняя одношаговая аутентификация;- one-way one-step authentication;

- контроль неповторяемости идентификаторов пользователя и сессии;- control of non-repeatability of user and session identifiers;

- возможность прозрачной смены сессионных ключей во время информационного взаимодействия.- the ability to transparently change session keys during information interaction.

Осуществление заявленного способа может быть реализовано в качестве клиент-серверного программного обеспечения, реализующего установление защищенного соединения, функционирующего на сеансовом уровне модели OSI. Данное программное обеспечение может использовать криптографические методы защиты информации для обеспечения аутентификации и организации защищенного соединения для последующего информационного обмена.The implementation of the claimed method can be implemented as client-server software that implements the establishment of a secure connection that operates at the session level of the OSI model. This software can use cryptographic methods of information security to provide authentication and organize a secure connection for subsequent information exchange.

В процессе установления сессии должны решаться следующие задачи:In the process of establishing a session, the following tasks should be addressed:

1. Формирование защищенной аутентифицирующей последовательности.1. The formation of a secure authentication sequence.

2. Согласование криптографических алгоритмов, которые будут использоваться при аутентификации и защищенном информационном обмене.2. Coordination of cryptographic algorithms that will be used for authentication and secure information exchange.

3. Контроль неповторяемости идентификаторов пользователя и сессии.3. Control of non-repeatability of user and session identifiers.

4. Генерация сессионных ключей клиента и сервера для криптозащиты информационного обмена.4. Generation of session keys for the client and server for cryptographic information exchange.

5. Установление защищенной сессии5. Establish a secure session

Эффективность использования предлагаемого способа обеспечивается его ориентацией на сеансовый уровень модели OS, на котором достигается более высокое быстродействие и независимость от высокоуровневых протоколов (например, таких как HTTP, FTP, POP3, SMTP и др.).The effectiveness of using the proposed method is ensured by its orientation to the session level of the OS model, at which higher speed and independence from high-level protocols (for example, such as HTTP, FTP, POP3, SMTP, etc.) are achieved.

Согласно особенностям предлагаемого способа различают серверную часть, которую возможно устанавливать или на сервер (аутентификации) информационных ресурсов или на шлюз сети, и клиентскую, которую устанавливают на каждый пользовательский терминал. Серверная часть обеспечивает взаимодействие с любым прикладным сервером от имени соответствующего этому серверу клиента. Клиентская часть предназначена для прозрачной инкапсуляции запросов на аутентификацию со стороны клиента и передачи их прикладному серверу.According to the features of the proposed method, the server part is distinguished, which can be installed either on the server (authentication) of information resources or on the network gateway, and the client, which is installed on each user terminal. The server part provides interaction with any application server on behalf of the client corresponding to this server. The client part is designed to transparently encapsulate authentication requests from the client and transfer them to the application server.

Правила доступа могут запрещать или разрешать соединения с выделенными ресурсами компьютерной сети в зависимости от полномочий конкретного пользователя. Действие правил доступа может зависеть и от других параметров, например от метода аутентификации, времени суток и т.д.Access rules may prohibit or allow connections to the allocated resources of a computer network, depending on the credentials of a particular user. The effect of access rules may also depend on other parameters, for example, on the authentication method, time of day, etc.

Наиболее распространенными реализациями серверного программного обеспечения являются Apache, Nginx и IIS. При этом серверы Apache и IIS по функциональному назначению являются серверами с высокой функциональностью и интеграцией с элементами многозвенной архитектуры веб-приложений, а сервер Nginx предназначен как высокопроизводительный сервер с обработкой запросов в асинхронном режиме и реализован для различных платформ. Асинхронная обработка запросов важна, так как, несмотря на издержки, способна обеспечивать более высокую производительность при высоких нагрузках.The most common server software implementations are Apache, Nginx, and IIS. At the same time, the Apache and IIS servers for their intended purpose are servers with high functionality and integration with elements of a multi-tier architecture of web applications, and the Nginx server is designed as a high-performance server with request processing in asynchronous mode and is implemented for various platforms. Asynchronous request processing is important because, despite the costs, it is able to provide higher performance at high loads.

Критерием оценки эффективности разработанного способа будем считать выигрыш по количеству обработанных запросов на аутентификацию в единицу времени по сравнению с прототипом. Оптимальным способом оценки данного критерия в ходе эксперимента и получения значений оцениваемых параметров для рассматриваемой системы является метод нагрузочного испытания. Данный метод позволяет практически оценить время отклика на запрос и число обрабатываемых запросов.The criterion for evaluating the effectiveness of the developed method will be considered the gain in the number of processed authentication requests per unit time in comparison with the prototype. The optimal way to evaluate this criterion during the experiment and obtain the values of the estimated parameters for the system under consideration is the load test method. This method allows you to practically evaluate the response time to the request and the number of processed requests.

Для обеспечения высокой точности экспериментальной оценки может быть использовано программное обеспечение OfflineExplorer.OfflineExplorer software can be used to ensure high accuracy of experimental estimates.

В качестве средств моделирования нагрузки может быть использовано программное обеспечение ApacheJMeter, поскольку оно поддерживает анализируемые способы и предоставляет необходимые методы моделирования нагрузки и обладает возможностями распределенного использования, а также отвечает требованиям надежности и эффективности работы.ApacheJMeter software can be used as a load modeling tool, because it supports the analyzed methods and provides the necessary load modeling methods and has the capabilities of distributed use, and also meets the requirements of reliability and operational efficiency.

Для построения модели нагрузки предлагается выбрать две искусственные и одну естественную модель. Искусственные модели построены для оценки значений показателя времени отклика на запрос и основаны на циклическом запросе главной страницы сайта и последовательном запросе всех информационных объектов сайта. Задержка между запросами - случайная величина с экспоненциальным распределением. Естественная модель была построена путем объединения результатов трекинга запросов пяти различных клиентов. Для естественных моделей были созданы планы выполнения с экспоненциальным наращиванием числа пользователей и запросов. Для искусственных моделей были созданы планы с экспоненциальным наращиванием числа клиентов и фиксированным их числом.To build a load model, it is proposed to choose two artificial and one natural model. Artificial models are built to evaluate the values of the response time to the request and are based on a cyclic request on the main page of the site and a sequential request of all the information objects of the site. The delay between requests is a random variable with an exponential distribution. The natural model was built by combining the results of tracking requests from five different customers. For natural models, execution plans were created with an exponential increase in the number of users and queries. For artificial models, plans were created with an exponential increase in the number of customers and their fixed number.

Проведение эксперимента было организовано на базе сервера HPProLiantDL380 G7 в штатной комплектации рабочей станцией, связанной через коммутатор HP 281al-24G посредством GigaByte Ethernet соединения. Рабочая станция - на базе процессора Intel i3 560 3,33 ГГц и 8 Гб оперативной памяти. На сервере под управлением гипервизора ESXi 5.0 развернуты две виртуальные машины OpenSUSE 12.1 с программным обеспечением ApacheJMeter. На рабочей станции под управлением OpenSUSE 12.1 был развернут сервер Nginx актуальной на момент проведения эксперимента версии 1.1.14. Развертывание тестируемого серверного программного обеспечения на аппаратной платформе с меньшей производительностью было выполнено с целью компенсации низкой производительности средства тестирования и исключения влияния со стороны сетевого соединения.The experiment was organized on the basis of the HPProLiantDL380 G7 server as standard equipment with a workstation connected via an HP 281al-24G switch via a GigaByte Ethernet connection. Workstation - based on the Intel i3 560 3.33 GHz processor and 8 GB of RAM. On the server running the ESXi 5.0 hypervisor, two OpenSUSE 12.1 virtual machines with ApacheJMeter software are deployed. On a workstation running OpenSUSE 12.1, the Nginx server that was current at the time of the experiment version 1.1.14 was deployed. Deployment of the tested server software on a hardware platform with lower performance was performed in order to compensate for the low performance of the testing tool and to eliminate the influence of the network connection.

Для обеспечения высокой точности эксперимент автоматически циклически повторялся по достижению среднего арифметического от всех результатов эксперимента изменения при каждом последующим эксперименте отклонения, не превышающего 0,1 процента. В результате эксперимента были выявлены результаты, представленные в таблице 1. Число запросов взято как наибольшее число успешно обработанных запросов за единицу времени при пиковой нагрузке. В соответствии с условиями эксперимента пиковое число обрабатываемых запросов достигалось при полной загрузке процессора рабочей станции.To ensure high accuracy, the experiment was automatically cyclically repeated to achieve the average change arithmetic from all experimental results for each subsequent experiment, the deviation not exceeding 0.1 percent. As a result of the experiment, the results presented in Table 1 were revealed. The number of requests was taken as the largest number of successfully processed requests per unit time at peak load. In accordance with the conditions of the experiment, the peak number of processed requests was achieved when the processor of the workstation was fully loaded.

Таблица 1Table 1 Результаты экспериментаExperiment Results Исследуемый объектObject under investigation Среднее время откликаAverage response time Число обрабатываемых запросовThe number of processed requests при приеме некорректных запросов, мсupon receipt of incorrect requests, ms при приеме корректных запросов, мсupon receipt of correct requests, ms при приеме некорректных запросов, запрос/сwhen receiving incorrect requests, request / s при приеме корректных запросов, запрос/сwhen receiving correct requests, request / s Незащищенный доступ (протокол HTTP)Unsecured Access (HTTP) 10,41 мс10.41 ms 14,88 мс14.88 ms 8558,28558.2 5987,35987.3 ПрототипPrototype 76,66 мс76.66 ms 78,49 мс78.49 ms 4755,54755.5 4644,74644.7 Предлагаемый способThe proposed method 48,86 мс48.86 ms 84,23 мс84.23 ms 7461,47461.4 4328,24328,2

Как видно из таблицы результатов эксперимента, число обрабатываемых запросов в единицу времени в предлагаемом способе превышает аналогичные показатели для прототипа, а среднее время отклика, соответственно, меньше, в случае приема некорректных запросов на аутентификацию.As can be seen from the table of experimental results, the number of processed requests per unit time in the proposed method exceeds the same indicators for the prototype, and the average response time, respectively, is shorter if incorrect authentication requests are received.

Уменьшение вычислительной сложности (Галиев Ш.И. Математическая логика и теория алгоритмов: Учебное пособие / Галиев Ш.И. - Казанский Технический Университет им. А.Н. Туполева, 2002 г., с.221-234) при проверке аутентифицирующей последовательности происходит за счет предварительной проверки меток времени, повторяемости идентификаторов клиента и сессии без предварительного применения функций свертки с отбрасывания некорректных запросов на аутентификацию, в случае возникновения ошибок, и последующего применения функции свертки, в случае отсутствия ошибок, обеспечивающей подлинность проверенных ранее аутентифицирующих данных, а также проверку аутентичности субъекта доступа на основе идентифицирующих данных.A decrease in computational complexity (Galiev Sh.I. Mathematical logic and theory of algorithms: a Training manual / Galiev Sh.I. - Kazan Technical University named after AN Tupolev, 2002, p.221-234) when checking the authentication sequence by pre-checking timestamps, the repeatability of client and session identifiers without first using convolution functions, discarding invalid authentication requests in case of errors, and then applying the convolution function if there are no an error that ensures the authenticity of previously verified authentication data, as well as verification of the authenticity of the access subject on the basis of identifying data.

Claims (1)

Способ защищенного удаленного доступа к информационным ресурсам, заключающийся в том, что клиентом формируется запрос на аутентификацию из данных, полученных путем применения функции свертки к динамической переменной, зависимой от временных периодов, и идентификатору пользователя, и данных, полученных путем применения функции свертки на основе секретного ключа к сгенерированной переменной - идентификатору сессии и идентификатору пользователя, и затем сформированный пакет с запросом отправляется серверу, на сервере после применения функции свертки к идентификатору пользователя и сгенерированной переменной - идентификатору сессии проверяют уникальность идентификатора сессии и пользователя, на основе хранящихся на сервере данных со значениями функции свертки от идентификаторов пользователя и динамической переменной, зависимой от временных периодов, проверяют актуальность и достоверность идентификатора пользователя, отличающийся тем, что дополнительно при формировании запроса на аутентификацию клиентом в него записываются значения идентификатора сессии клиента и динамической переменной, зависимой от точного времени без применения к ним функции свертки; после получения из канала связи запроса на аутентификацию на сервере проверяют динамическую переменную, зависимую от точного времени, и уникальность идентификатора сессии клиента, после чего на основе полученного значения функции свертки от идентификатора пользователя и динамической переменной находят идентификатор пользователя и соответствующий ему секретный ключ, на основе найденного секретного ключа и используемого алгоритма функции свертки получают блок со значением функции свертки от идентификатора пользователя и идентификатора сессии пользователя, который сверяют с полученными ранее значениями, и, если значения совпали, то клиенту доступ разрешается. A method of secure remote access to information resources, namely, that the client generates an authentication request from the data obtained by applying the convolution function to a dynamic variable depending on time periods and the user ID, and data obtained by applying the convolution function based on the secret the key to the generated variable - session identifier and user identifier, and then the generated packet with the request is sent to the server, on the server after application the convolution options for the user identifier and the generated variable — the session identifier — verify the uniqueness of the session identifier and user, based on the data stored on the server with the values of the convolution function from user identifiers and a dynamic variable depending on time periods, check the relevance and reliability of the user identifier, characterized in that in addition, when generating a request for authentication by the client, the client session identifier values are written to it This dynamic variable, dependent on the exact time without applying the convolution function to them; after receiving a request for authentication from the communication channel on the server, check the dynamic variable, which depends on the exact time, and the uniqueness of the client session identifier, after which, based on the obtained value of the convolution function, the user identifier and dynamic variable find the user identifier and the corresponding secret key based on the found secret key and the convolution function algorithm used, receive a block with the value of the convolution function from the user identifier and identifier the torus of the user’s session, which is checked against the values obtained earlier, and if the values match, then the client is allowed access.
RU2013113592/08A 2013-03-26 2013-03-26 Method for protected remote access to information resources RU2530691C1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2013113592/08A RU2530691C1 (en) 2013-03-26 2013-03-26 Method for protected remote access to information resources

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2013113592/08A RU2530691C1 (en) 2013-03-26 2013-03-26 Method for protected remote access to information resources

Publications (2)

Publication Number Publication Date
RU2013113592A RU2013113592A (en) 2014-10-10
RU2530691C1 true RU2530691C1 (en) 2014-10-10

Family

ID=53379659

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2013113592/08A RU2530691C1 (en) 2013-03-26 2013-03-26 Method for protected remote access to information resources

Country Status (1)

Country Link
RU (1) RU2530691C1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2667713C2 (en) * 2013-09-17 2018-09-24 МАЙКРОСОФТ ТЕКНОЛОДЖИ ЛАЙСЕНСИНГ, ЭлЭлСи Virtual machine manager facilitated selective code integrity enforcement

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014165431A1 (en) 2013-04-05 2014-10-09 Antique Books, Inc. Method and system providing a picture password proof of knowledge
WO2015164476A2 (en) 2014-04-22 2015-10-29 Antique Books, Inc. Method and system of providing a picture password for relatively smaller displays
US9323435B2 (en) 2014-04-22 2016-04-26 Robert H. Thibadeau, SR. Method and system of providing a picture password for relatively smaller displays
WO2015187713A1 (en) 2014-06-02 2015-12-10 Antique Books, Inc. Advanced proof of knowledge authentication
WO2015187729A1 (en) * 2014-06-02 2015-12-10 Antique Books, Inc. Device and server for password pre-verification at client using truncated hash
US9497186B2 (en) 2014-08-11 2016-11-15 Antique Books, Inc. Methods and systems for securing proofs of knowledge for privacy
WO2016191376A1 (en) 2015-05-22 2016-12-01 Antique Books, Inc. Initial provisioning through shared proofs of knowledge and crowdsourced identification
EP3785398B1 (en) * 2018-04-26 2022-04-20 SECLOUS GmbH Methods for multi-factor access control in anonymous systems

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6148404A (en) * 1997-05-28 2000-11-14 Nihon Unisys, Ltd. Authentication system using authentication information valid one-time
EP1701510A2 (en) * 2005-03-08 2006-09-13 R. Brent Johnson Secure remote access to non-public private web servers
US7363494B2 (en) * 2001-12-04 2008-04-22 Rsa Security Inc. Method and apparatus for performing enhanced time-based authentication
RU2359416C2 (en) * 2004-10-29 2009-06-20 Томсон Лайсенсинг Secured channel with authentication
US7865937B1 (en) * 2009-08-05 2011-01-04 Daon Holdings Limited Methods and systems for authenticating users

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6148404A (en) * 1997-05-28 2000-11-14 Nihon Unisys, Ltd. Authentication system using authentication information valid one-time
US7363494B2 (en) * 2001-12-04 2008-04-22 Rsa Security Inc. Method and apparatus for performing enhanced time-based authentication
RU2359416C2 (en) * 2004-10-29 2009-06-20 Томсон Лайсенсинг Secured channel with authentication
EP1701510A2 (en) * 2005-03-08 2006-09-13 R. Brent Johnson Secure remote access to non-public private web servers
US7865937B1 (en) * 2009-08-05 2011-01-04 Daon Holdings Limited Methods and systems for authenticating users

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2667713C2 (en) * 2013-09-17 2018-09-24 МАЙКРОСОФТ ТЕКНОЛОДЖИ ЛАЙСЕНСИНГ, ЭлЭлСи Virtual machine manager facilitated selective code integrity enforcement
US10198572B2 (en) 2013-09-17 2019-02-05 Microsoft Technology Licensing, Llc Virtual machine manager facilitated selective code integrity enforcement

Also Published As

Publication number Publication date
RU2013113592A (en) 2014-10-10

Similar Documents

Publication Publication Date Title
RU2530691C1 (en) Method for protected remote access to information resources
US11088853B2 (en) Methods and systems for PKI-based authentication
CN107040513B (en) Trusted access authentication processing method, user terminal and server
CN109347835A (en) Information transferring method, client, server and computer readable storage medium
US11018866B2 (en) Dynamic second factor authentication for cookie-based authentication
EP1913728B1 (en) Total exchange session security
KR20210134655A (en) Security systems and related methods
EP1359491A1 (en) Methods for remotely changing a communications password
US10158636B2 (en) Method for setting up a secure end-to-end communication between a user terminal and a connected object
Sani et al. Xyreum: A high-performance and scalable blockchain for iiot security and privacy
CN111030814A (en) Key negotiation method and device
US9398024B2 (en) System and method for reliably authenticating an appliance
Dua et al. Replay attack prevention in Kerberos authentication protocol using triple password
CN111800378A (en) Login authentication method, device, system and storage medium
Yerlikaya et al. Authentication and authorization mechanism on message queue telemetry transport protocol
CN115766119A (en) Communication method, communication apparatus, communication system, and storage medium
Huang et al. A secure communication over wireless environments by using a data connection core
JP5614465B2 (en) Encryption communication device, proxy server, encryption communication device program, and proxy server program
Aiash A formal analysis of authentication protocols for mobile devices in next generation networks
EP2753043B1 (en) Reverse authorized syn cookie
CN114095229B (en) Method, device and system for constructing data transmission protocol of energy internet
Li et al. Physical unclonable function based identity management for IoT with blockchain
Dikii Authentication algorithm for internet of things networks based on MQTT protocol
KR20140110118A (en) A Defence Mechanism against Cookie Replay Attack in Single Sign-On of Web Application
Gharib et al. SCC5G: A PQC-based Architecture for Highly Secure Critical Communication over Cellular Network in Zero-Trust Environment

Legal Events

Date Code Title Description
MM4A The patent is invalid due to non-payment of fees

Effective date: 20150327