WO2017151080A1 - Система персональной идентификации - Google Patents

Система персональной идентификации Download PDF

Info

Publication number
WO2017151080A1
WO2017151080A1 PCT/UA2016/000043 UA2016000043W WO2017151080A1 WO 2017151080 A1 WO2017151080 A1 WO 2017151080A1 UA 2016000043 W UA2016000043 W UA 2016000043W WO 2017151080 A1 WO2017151080 A1 WO 2017151080A1
Authority
WO
WIPO (PCT)
Prior art keywords
module
authentication
user
identification
client device
Prior art date
Application number
PCT/UA2016/000043
Other languages
English (en)
French (fr)
Inventor
Сэргий Валэрийовыч АРТЭМЭНКО
Original Assignee
Сэргий Валэрийовыч АРТЭМЭНКО
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Сэргий Валэрийовыч АРТЭМЭНКО filed Critical Сэргий Валэрийовыч АРТЭМЭНКО
Publication of WO2017151080A1 publication Critical patent/WO2017151080A1/ru

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/32User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards

Definitions

  • the invention relates to wireless communication systems, and more particularly to automatic user identification and authentication systems.
  • the device for identifying a person is known from the prior art (Patent RU 139246, IPC G06K9 / 62, G06K9 / 20, published April 10, 2014), which includes a server adapted for connecting via an integrated network to an identifiable client client device and adapted for connecting through an integrated network with the client device of the identifying client.
  • This device is used instead of various cards, for example, with microchips, the identified client uses its client device, mainly a cell phone such as a smartphone.
  • client device Through a combined network, a client device is connected to a remote server of the first authentication level containing the first user identification module and the database of the first authentication level.
  • the most logical example of such an action is the client entering his social network, activating a special button inside this social network, which provides a simple and quick way to connect to the database of the first level of identification.
  • Known portable password manager (patent US20040193925 A1), which can directly connect to a computer and run without preliminary configurations / settings or installing software on a given computer or a given system.
  • the invention allows you to configure portable devices, which can include USB or FireWire interfaces, flash memory, PDAs and cellular devices, perform automatic login to multiple recipients of the information system.
  • portable devices can include USB or FireWire interfaces, flash memory, PDAs and cellular devices, perform automatic login to multiple recipients of the information system.
  • a single device can manage multiple user profiles for more than one user, and multiple login profiles. Wired interfaces are used to connect to the computer, that is, sensitive data is transferred to the computer, which in turn can lead to a leak.
  • US8806198 B1 (IPC H04L29 / 06, publication date 08/12/2014) describes a method and system for communication between a network user device and a server.
  • a network user device that requests an electronic token (eTokep) from the first server.
  • the first server passes the token (eTokep), the signature key, and server time.
  • the network user device determines the signature using server time and the signature key, and transmits a data request to the second server.
  • the data request contains a signature.
  • the second server transmits data to the network user device.
  • the invention is intended to recognize a secure mobile device, and provide access to data in response to security.
  • third-party devices and servers are involved in the authentication process.
  • a technology that provides the user with a token containing metadata about the user device also has disadvantages. So, the information provided by the user to a reputational service for receiving a token, can be faked. Moreover, the token can be stolen from the computer of a legitimate user and used by attackers.
  • WO2015018249 A1 discloses a method and system for verifying a password identity using a dynamic token.
  • CN103427996 discloses a method and system for verifying an electronic identity marker.
  • EP2765529 A1 describes a method for authenticating a user of a peripheral device, a peripheral device, and a system for authenticating a user of a peripheral device. The method includes the following steps performed by the peripheral device, in which:
  • a portable authentication device which includes a processor, a storage medium, an interface for enabling communication with an external information processing system (IHS), for example, a computer or a telephone, the device includes executing instructions downloaded to the information transfer storage, for automatic authentication.
  • Built-in instructions include instructions for providing the user with storing authentication information, for example, an identifier and password, or the IP address of a web server.
  • the device may include one or more telephony interfaces, for example, RJ-11 connector (s) and one or more computer interfaces, for example, 115V connector (s).
  • a device for identifying and authenticating a remote user connecting to a service over a network which includes a cryptographic processor and at least one cryptographic key and storage means, additional processing means, and interface means to generate and transmit a unique authentication code as emulated keystrokes through the standard input tool of the client terminal.
  • Code can be transmitted only by the exact command of the user (Patent RU2469391, IPC G06F21 / 20, publ. 10.12.2012).
  • the disadvantages of this technical solution include the fact that during its implementation:
  • the proposed solution is designed to solve all three problems simultaneously and additionally automate other processes.
  • the technical result of the claimed invention is to increase information security, increase the protection of information from unauthorized access and provide automation of the process of identification and authentication of users.
  • the problem is solved by the fact that the proposed personal identification system, which includes:
  • a client device for performing an authentication sequence comprising an installed software module
  • a device for identifying and authenticating a remote client device further comprises a cryptographic module comprising a random number generator, an encryption module, a secure storage, and a multiplexer.
  • system further comprises a software module on network resources that implements auxiliary and additional functions as part of the access control process.
  • system further comprises a software package that implements the functions of collecting / storing / updating information and providing access to information necessary to support a simplified identification process.
  • device for identifying and authenticating a remote client device further comprises input devices: a camera and / or at least one biometric sensor and / or keyboard and / or IR transceiver and / or pointing input device.
  • a device for identifying and authenticating a remote client device further comprises information output devices: a screen and / or a sound signaling device and / or a light signaling device.
  • the device for identifying and authenticating a remote client device further comprises a repeater comparator.
  • EPROM programmable read-only memory
  • the device for identification and authentication can be equipped with a cryptographic module implemented in the form of a specialized chip based on the TPM specification (Trusted Platform Module), which will not allow the extraction of confidential data with physical access to the device (unlike smartphones and most computers). If it is possible to authenticate the user without transferring confidential data outside the device, this process will be used. If necessary, to transfer confidential data outside the device for identification and authentication, additional protection mechanisms will be automatically activated (for example, changing the password at a specified interval);
  • FIG. 1 is a layout of a system as a whole
  • FIG. 2 is a diagram of a personal user identification device
  • Fig.3 shows one of the scenarios of the system.
  • a personal identification system includes: a client device 100 for performing an authentication sequence with a software module 101; a device 300 for identifying and authenticating a remote client device 100 with a software module / mobile application 301, which is configured to exchange data via wireless protocols — Wi-Fi, Bluetooth, NFC, or others.
  • the system further comprises network resources 400, which implement access control functions with a software module 401, which implements auxiliary and additional functions as part of the access control process, and a software complex 501, which implements the functions of collecting / storing / updating information and providing access to information necessary to support a simplified identification process.
  • Data exchange in the system can be accomplished by any method of data transfer.
  • the system also includes a device 200 (with installed software 201), which is designed to connect devices 100 and 300, if it is impossible to establish a direct session communications between devices 100 and 300.
  • a device 200 (with installed software 201), which is designed to connect devices 100 and 300, if it is impossible to establish a direct session communications between devices 100 and 300.
  • Typical examples of such device 200 are a Wi-Fi access point or Wi-Fi router.
  • FIG. 2 shows a diagram of a personal user identification device.
  • a device for personal user identification 300 can be used:
  • a smartphone with the ability to communicate via one or more wireless protocols (Wi-Fi, Bluetooth, NFC, etc.) and a special mobile application installed;
  • Wi-Fi Wireless Fidelity
  • Bluetooth Wireless Fidelity
  • NFC Wireless Fidelity
  • special mobile application installed
  • a personal user identification device which is an integrated circuit board placed in a housing.
  • a device 300 for personal user identification is used.
  • This device is a microcomputer enclosed in a case that is comfortable to wear.
  • Dimensions (length / width) of the case can be no more than a standard credit card.
  • Thickness is from 5-7 mm to 0.7 mm.
  • Power is supplied by standard batteries or by battery.
  • the device does not involve the use of wired interfaces for power and / or data transmission.
  • the device 300 is a collection of modules interconnected.
  • the device may use more than one module 310. Using more than one module will provide protection against Chips with undocumented features. In this case, chips from various manufacturers are used in each module.
  • Module 310 consists of the following components:
  • SoC System on Chip
  • the factory software namely the executable code and data necessary for the operation of the device, is recorded in the permanent memory 313.
  • non-confidential auxiliary data is stored in open form, as well as confidential data in encrypted form, and in the presence of a cryptographic module 340, keys for encrypting confidential data are stored in the memory of the cryptographic module.
  • the microprocessor 311 via the bus communicates with:
  • the protection module of the system module for current and / or voltage 316 allows to increase the reliability of the device due to the inclusion of protective blocks in the inter-component electrical circuits. If more than one system module is used, then protection unit 316 Allows you to protect yourself and other components of the system module from malfunctions or harmful actions of other system modules.
  • the proposed device may further comprise a module 320 containing a set of optional components used to expand the functionality of the device 300.
  • Module 320 communicates directly with the system module 310 if a single module 310 is used. When using two or more modules 310, module 320 communicates with the repeater comparator 330.
  • the list of components may include but is not limited to the following components:
  • a repeater comparator 330 is used when two or more modules 310 are used in the device 300.
  • Repeater comparator 330 mediates between modules 310 and other system modules.
  • the tasks of the comparator-repeater 330 include the detection of differences in communications and, if differences are detected, an attempt to eliminate them. If it is impossible to eliminate the differences, the communication session is interrupted and all modules of the system are notified of the event.
  • the cryptographic module 340 is optionally used to increase the reliability of storage and transportation of important data.
  • Module 340 consists of the following components:
  • the data in the cryptographic module 340 comes from the comparator-repeater 330 (if implemented) or from the system module 310 to the encryption module 342 or to the multiplexer 344.
  • the encryption module 342 extracts data from the secure storage 343. Encodes the data using a random number generator 341 and transfers to multiplexer 344.
  • the electromagnetic protection module 370 is made in the form of a surface that shields and protects the device modules from an external electromagnetic field.
  • the antenna module 360 is a means of receiving and transmitting an electromagnetic signal with overload protection in the presence of a strong external magnetic field.
  • Communication module 350 is a communication chip over wireless communication protocols.
  • Data to be sent from device 300 is received from module 340 if it is implemented in the device and otherwise from module 330 (if implemented) or from module 310.
  • the communication module 350 transmits the incoming data to the repeater comparator
  • the device for personal user identification 300 is a portable wearable device that performs various functions related to:
  • the device 300 for identification and authentication of the remote client device 100 has built-in support for a number of wireless data exchange protocols, which, in turn, allows it to interact and perform its functions with such systems as:
  • control in which the subject of control is a device operating on one of the supported wireless data transfer protocols (such as NFC, RFID and others);
  • wireless communications such as Wi-Fi, Bluetooth, NFC and others
  • wireless communications such as Wi-Fi, Bluetooth, NFC, RFID and others
  • a wireless communication channel and / or an optical communication channel IR and others.
  • the interaction process of the user owning the device 300 is described in several scenarios, depending on which process the user needs to implement, also depends on the system if the process involves a system requiring a given level of security and the types of wireless communication channels used.
  • Example 1 User authentication on a network resource through a stationary computer 100 using Wi-Fi, on which the software module 101 is installed.
  • Wi-Fi Wireless Fidelity
  • authentication occurs automatically if the device 300 and the desktop computer 100 have established a connection
  • one wireless communication channel is not enough.
  • a secondary reliable data transmission channel is required (one unidirectional channel is sufficient). This communication channel is set by the user and looks like one of the options described below:
  • biometric confirmation from the owner of the device 300. This is done using the biometric sensors 323 on the device 300.
  • a communication session between the device 300 and the network resource is established and authentication is performed. After that, it is transferred to the computer browser information to identify the user with further requests from the browser.
  • authentication occurs automatically when the device 300 approaches the smartphone 100 at a distance of interaction via the NFC protocol (about 5 cm);
  • biometric confirmation from the owner 300. This is done using biometric sensors 323 on the device 300.
  • a connection can be initiated by the user by:
  • the program module 101 of the device 100 searches for the device 300 and attempts to connect.
  • the system module 310 of the device 300 analyzes the request and, depending on the conditions, confirms the connection or requests confirmation from the user. Also, the device 300 may require you to confirm the identity of the user by identifying the user by biometric parameters. Also, device 300 may require the installation of a secondary channel:
  • the device 300 may require additional actions described in the previous paragraph.
  • User Authentication in the “A” Service The user opens the “A” service in the browser of the client device 100.
  • the software module 101 if no connection is established with the device 300, establishes a connection.
  • information is transmitted to the system module 310 to the device 300 that the user has opened the “A” service page.
  • a request is analyzed to determine whether the current user is already authenticated or not.
  • the device 300 If the user is not authenticated or the “A” service is authenticated for another user and the device 300 contains a name / password (in the confidential data storage) for the “A” service, then the user authentication process in the “A” service is initiated.
  • the device 300 searches for the authentication algorithm for service “A” in its own algorithm store (in the electrically reprogrammed memory 314), then in the store on the client device 100. If the algorithm is not found, then the search is made in the general store of algorithms on the Internet or the corporate network. After the algorithm is found, the device 300 establishes a communication session with the service “A” and performs the authentication process according to the algorithm. In this case, the name / password is sent in encrypted form directly to the “A” service.
  • Service “A” returns a token that device 300 transmits to a browser through program module 301.
  • the browser uses this token as if it received this token directly from service “A” in the normal authentication mode.
  • the program module instructs the browser to reload the page or go to the page indicated by the device 300, and the user is authenticated in the “A” service.
  • Duplication of information to protect information in case of damage, loss and / or theft of the device is used on the duplicating devices 300.
  • To determine the device as a duplicating device it is necessary to initiate the process of creating a duplicating device on one of them and bring the two devices closer to ensure direct contact through infrared ports.
  • the second channel will be installed via wireless communication channels.
  • Two channels provide protection against a number of known attacks. After identifying devices as duplicate, synchronization will occur when two devices are within specified limits (for example, in the same room).

Abstract

Изобретение относится к области защиты информации и направлено на повышение защиты информации от несанкционированного доступа. Система персональной идентификации включает: клиентское устройство, содержащее установленный программный модуль; устройство для идентификации и аутентификации удаленного клиентского устройства, которое содержит: не менее одного системного модуля, состоящего из процессора, оперативной памяти, электрически перепрограммированной памяти для хранения конфиденциальных данных, программируемого постоянного запоминающего устройства с изначально установленным программным обеспечением; модуль электромагнитной защиты устройства; модуль антенны; модуль связи; блок защиты системного модуля по току и/или напряжению и блок ввода/вывода.

Description

Система персональной идентификации
Изобретение относится к системам беспроводной связи, более конкретно к системам автоматической идентификации и аутентификации пользователя.
Из уровня техники известно устройство идентификации личности (Патент RU 139246, МПК G06K9/62, G06K9/20, опубл. 10.04.2014 г.), включающее в себя сервер, адаптированный для соединения посредством объединенной сети с клиентским устройством идентифицируемого клиента и адаптированный для соединения посредством объединенной сети с клиентским устройством идентифицирующего клиента. Данное устройство используют вместо различных карточек, например, с микрочипами, идентифицируемый клиент использует свое клиентское устройство, преимущественно сотовый телефон типа смартфон. Посредством объединенной сети происходит соединение клиентского устройства с удаленным сервером первого уровня идентификации содержащим первый модуль идентификации пользователя и базу данных первого уровня идентификации. Наиболее логичным примером такого действия служит вход клиента в свою социальную сеть, активация специальной кнопки внутри данной социальной сети, которая обеспечивает простой и быстрый способ соединения с базой данных первого уровня идентификации.
Известен портативный менеджер паролей (патент US20040193925 А1), который может напрямую соединятся с компьютером и запускаться без предварительных конфигураций/настроек или установки программного обеспечения на заданный компьютер или заданную систему. Изобретение позволяет настраивать портативные устройства, которые могут включать USB или FireWire интерфейсы, флэш-память, КПК и сотовые устройства, выполнять автоматический вход нескольким адресатам информационной системы. Одно устройство может управлять несколькими пользовательскими профилями для более чем одного пользователя, и несколькими учетными профилями для входа в систему. Для соединения с компьютером используются проводные интерфейсы, то есть конфиденциальные данные передаются на компьютер, что в свое очередь может привести к утечке.
Также из уровня техники известны способы и системы многофакторной аутентификации. Например, в патенте US8132235 В2 (МПК H04L29/06, H04L9/32, G06F15/173, дата публикации 06.03.2012) описаны способ, система и компьютерный программный продукт для обеспечения контроля доступа в виртуальное мировое пространство с помощью электронного маркера.
В патенте US8806198 В1 (МПК H04L29/06, дата публикации 12.08.2014) описаны метод и система для связи между сетевым пользовательским устройством и сервером. Сетевое пользовательское устройство, которое запрашивает электронный маркер (еТокеп) от первого сервера. Первый сервер передает маркер (еТокеп), ключ подписи и серверное время. Сетевое пользовательское устройство определяет подпись, используя серверное время и ключ подписи, и передает запрос на данные второму серверу. Запрос на данные содержит подпись. Второй сервер передает данные сетевому пользовательскому устройству. Изобретение предназначено для распознавания безопасного мобильного устройства, и предоставления доступа к данным в ответ на безопасность. В данных решениях в процесс аутентификации вовлечены сторонние устройства и сервера. Технология, предоставляющая пользователю токен, содержащий метаданные о пользовательском устройстве, также имеет недостатки. Так, информация, предоставляемая пользователем в репутационный сервис для получения токена, может быть подделана. Более того, токен может быть украден с компьютера легитимного пользователя и использоваться злоумышленниками.
В заявке WO2015018249 А1 раскрыты способ и система верификации идентичности пароля с помощью динамического маркера. В патенте CN103427996 раскрыты метод и система для верификации электронного маркера идентичности.
В заявке ЕР2765529 А1 описаны способ аутентификации пользователя периферийного устройства, периферийной устройство и система для аутентификации пользователя периферийного устройства. Способ включает в себя следующие, выполняемые периферийным устройством этапы, на которых:
принимают запрос логического входа от пользователя; отправляют службе социальных сетей запрос аутентификации учетной записи пользователя в службе социальных сетей; принимают от службы социальных сетей информацию учетной записи пользователя в службе социальных сетей; определяют на основе информации учетной записи пользователя в службе социальных сетей, разрешено ли пользователю осуществлять доступ к периферийному устройству; и в случае, если в результате этого определения на основе информации учетной записи пользователя в службе социальных сетей определено, что пользователю разрешено осуществить доступ к периферийному устройству, обеспечивают пользователю доступ к периферийному устройству.
В заявке US 20110314539 описан метод блокировки устройства (мобильного телефона, автомобиля) с предустановленным ПО. Устройство разблокируется/блокируется, если в зоне приема встроенного в устройство трансивера находится/отсутствует специальный токен. Также блокировка может осуществляться по таймеру (если токен не находится заданное время в зоне приема). Токен имеет миниатюрные размеры и может обходиться без источников питания (например, пассивные RFID-метки). Само устройство может также использовать систему двухфакторной аутентификации, дополнительно запрашивая пароль или пин-код.
Из документа US8689308 В2 известно портативное устройство аутентификации, которое включает в себя процессор, носитель данных, интерфейс для предоставления возможности связи с системой внешней обработки информации (IHS), например, компьютер или телефон, устройство включает исполняющие инструкции загруженные в хранилище передачи информации, для автоматической аутентификации. Встроенные инструкции включают в себя инструкции для предоставления пользователю для хранения информации аутентификации, например, идентификатора и пароля, или IP-адреса веб-сервера. Устройство может включать в себя один или более интерфейс телефонии, например, RJ-11 разъем(ы) и один или более компьютерные интерфейсы, например, 115В-разъем(ы). Данное техническое решение имеет следующие недостатки:
- необходимо физическое проводное подключение по крайней мере к какому либо одному из устройств;
- аутентификационные данные передаются в компьютер - тем самым подвергая эти данные компрометации на этапе передачи и/или на этапе хранения данных в компьютере;
- уязвимо к атакам при подключении устройства к ложному компьютеру или MITM атакам.
Также известно устройство для идентификации и аутентификации удаленного пользователя, подключающегося к службе по сети, которое включает в себя криптографический процессор и, по меньшей мере, один криптографический ключ и средство хранения, дополнительное средство обработки и интерфейсное средство, чтобы сформировать и передать уникальный код аутентификации как эмулированные нажатия клавиш через стандартное средство ввода клиентского терминала. Код может быть передан только по точной команде пользователя (Патент RU2469391, МПК G06F21/20, опубл. 10.12.2012). К недостаткам данного технического решения следует отнести то, что при его реализации:
- требуется физическое проводное подключение к терминалу (при невозможности подключения - идентификация невозможна);
- требуется изменение/расширение процесса аутентификации на стороне защищаемого ресурса;
- подвержена MITM атакам как на стороне терминала (в виде кейлогеров) так и на сетевом уровне;
- аутентификация производится только на ресурсах обладающих web- интерфейсом.
Известные с предшествующего уровня техники различные модификации процесса аутентификации пользователя в различных Интерент-сервисах, происходящие в браузере путем ввода имени пользователя и пароля, могут быть нацелены на усиление защиты информации от неавторизованного доступа (например, мультифакторная аутентификация) или на упрощения этого процесса (например, хранение паролей на клиентских устройствах или в Интернете). Как правило усиление защиты приводит к усложнению процесса, а упрощение процесса приводит к ослаблению защиты. Попытки добиться одновременно усиления защиты и упрощения процесса приводят к деанонимизации пользователя, что позволяет третьим лицам следить за действиями пользователей (например, аутентификация через учетную запись Facebook, Google).
Предложенное решение призвано решить все три проблемы одновременно и дополнительно автоматизировать иные процессы.
Техническим результатом заявленного изобретения является повышение информационной безопасности, повышении защиты информации от неавторизованного доступа и обеспечение автоматизации процесса идентификации и аутентификации пользователей. Поставленная задача решается тем, что предложена система персональной идентификации, которая включает в себя:
клиентское устройство для выполнения последовательности аутентификации, содержащее установленный программный модуль;
устройство для идентификации и аутентификации удаленного клиентского устройства, содержащее программный модуль или мобильное приложение, присоединяющее к службе по сети, выполненное с возможностью обмена данными по беспроводным протоколам, и содержащее взаимосвязанные модули: не менее один системный модуль, состоящий из микропроцессора, оперативной памяти, электрически перепрограммированной памяти, содержащий хранилище конфиденциальных данных, программируемого постоянного запоминающего устройства, содержащего область с изначально установленным программным обеспечением; модуль электромагнитной защиты устройства; модуль антенны; модуль связи; блок защиты системного модуля по току и/или напряжению и блок ввода/вывода.
В другом варианте осуществления изобретения устройство для идентификации и аутентификации удаленного клиентского устройства дополнительно содержит криптографический модуль, содержащий генератор случайных чисел, модуль шифрования, защищенное хранилище и мультиплексор.
В другом варианте осуществления система дополнительно содержит программный модуль на сетевых ресурсах, реализующий вспомогательные и дополнительные функции в рамках процесса контроля доступа.
В другом варианте осуществления система дополнительно содержит программный комплекс реализующий функции сбора/хранения/обновления информации и предоставления доступа к информации необходимой для поддержки упрощенного процесса идентификации. В еще одном другом варианте осуществления изобретения устройство для идентификации и аутентификации удаленного клиентского устройства дополнительно содержит устройства ввода информации: камеру и/или не менее один биометрический датчик и/или клавиатуру и/или ИК- приемопепедатчик и/или указательное устройство ввода.
В еще одном другом варианте осуществления изобретения устройство для идентификации и аутентификации удаленного клиентского устройства дополнительно содержит устройства вывода информации: экран и/или звуковой сигнализатор и/или световой сигнализатор.
В еще одном другом варианте осуществления изобретения устройство для идентификации и аутентификации удаленного клиентского устройства дополнительно содержит компаратор-повторитель.
Преимуществами, предложенного технического решения, является то, что:
- конфиденциальные данные (имена, пароли и другое) хранятся исключительно на устройстве в хранилище конфиденциальных данных и нигде более (в отличие от других решений, когда конфиденциальные данные хранятся на различных устройствах и в Интернете);
- так как, конфигурация устройства для идентификации и аутентификации после его изготовления не позволяет устанавливать не него никакое другое программное обеспечение, то конфиденциальные данные не могут быть извлечены путем установки вредоносного ПО (в отличии от смартфонов и компьютеров);
- упрощение процесса регистрации/аутентификации/смены пароля/и другое в предложенной системе достигается автоматизацией этих процессов. В связи с тем, что эти процессы для системы как правило единообразны для всех пользователей системы, то существует возможность описать все процессы с помощью алгоритма взаимодействия с сервисом системы на уровне протокола прикладного уровня связи (например, HTTP/HTTPS - без необходимости использования браузера). Для хранения алгоритмов используется выделенный ресурс (например, общедоступный сервер или облачное хранилище данных (в Интернете или корпоративной сети) доступный одновременно многим пользователем. Таким образом, единожды определив алгоритмы для одного ресурса достигается автоматизация типичных операций для всех других пользователей этого ресурса;
использование в устройстве программируемого постоянного запоминающего устройства (ППЗУ) для хранения специального ПО, не позволяет после изготовления устройства устанавливать не него никакое другое ПО и также конфиденциальные данные не могут быть извлечены путем установки вредоносного ПО (в отличии от смартфонов и компьютеров). В данном случае оригинальное ПО записывается в устройство единожды на этапе производства. ПО не содержит алгоритмов, которые бы позволили бы изменить или перезаписать оригинальное ПО по команде извне;
- кроме того, устройство для идентификации и аутентификации может быть снабжено криптографическим модулем, реализованным в виде специализированного чипа, основанного на спецификации ТРМ (Trusted Platform Module), который не позволит извлечь конфиденциальные данные при наличии физического доступа к устройству (в отличии от смартфонов и большинства компьютеров). При наличии возможности произвести аутентификацию пользователя, не передавая конфиденциальные данные за пределы устройства именно этот процесс и будет использован. При необходимости передать конфиденциальные данные за пределы устройства для идентификации и аутентификации автоматически будут задействованы дополнительные механизмы защиты (например, смена пароля через заданный интервал);
- повышение анонимность достигается тем, что устройство для идентификации и аутентификации не содержит каких-либо уникальных идентификаторов, которые позволили бы однозначно отнести различные учетные записи к одному и тому же пользователю. Так в этом случае отпадает необходимость в использовании аутентификации третей стороны (например, Facebook, Google).
Для более полного понимания данного раскрытия далее будет сделана ссылка на следующее краткое описание, которое следует рассматривать совместно с приложенными чертежами и подробным описанием изобретения, в котором одинаковые номера ссылочных позиций представляют одинаковые элементы, при этом:
Фиг. 1 представляет собой схему размещения системы в целом;
Фиг. 2 представляет собой схему устройства персональной идентификации пользователя;
на Фиг.З показано один из вариантов сценариев работы системы.
Как показано на Фиг.1, система персональной идентификации включает в себя: клиентское устройство 100 для выполнения последовательности аутентификации с программным модулем 101; устройство 300 для идентификации и аутентификации удаленного клиентского устройства 100 с программным модулем/мобильным приложением 301, которое выполненное с возможностью обмена данными по беспроводным протоколам - Wi-Fi, Bluetooth, NFC или другие. Также система дополнительно содержит сетевые ресурсы 400, которые реализуют функции контроля доступа с программным модулем 401, который реализует вспомогательные и дополнительные функции в рамках процесса контроля доступа, и программный комплекс 501, который реализует функции сбора/хранения/обновления информации и предоставления доступа к информации необходимой для поддержки упрощенного процесса идентификации. Обмен данными в системе может совершатся любым способом передачи данных.
Также система включает устройство 200 (с установленным программным обеспечением 201), которое предназначено для соединения устройств 100 и 300, в случае невозможности установления прямого сеанса связи между устройствами 100 и 300. Типичные примеры подобного устройства 200 - это точка доступа Wi-Fi или Wi -Fi маршрутизатор.
На Фиг. 2 показана схема устройства персональной идентификации пользователя.
В качестве устройства персональной идентификации пользователя 300 могут быть использованы:
смартфон с возможностью связи по одному или нескольким протоколам беспроводной связи (Wi-Fi, Bluetooth, NFC и т. п.) и установленным специальным мобильным приложением;
или устройство персональной идентификации пользователя, которое представляет собой плату с интегральными схемами помещенную в корпус.
Ниже приводится описание наилучшего варианта реализации изобретения, в котором использовано устройство 300 персональной идентификации пользователя. Данное устройство является микрокомпьютером, заключенным в корпус, удобный для ношения. Габариты (длина/ширина) корпуса могут быть не больше стандартной кредитной карточки. Толщина от 5-7 мм до 0,7 мм. Питание осуществляется от стандартных батарей или от аккумулятора.
Устройство не предполагает использования проводных интерфейсов для питания и/или для передачи данных.
В наиболее простой конфигурации представляет собой микрокомпьютер со стандартной архитектурой. Для усиления защиты в архитектуру могут вносится дополнения и изменения, указанные а пунктах формулы. Один из примеров с дополненной и измененной архитектурой представлен в данном описании.
Устройство 300 представляет собой совокупность модулей связанных между собой.
Системный модуль 310. В устройстве возможно использование более одного модуля 310. Использование более одного модуля обеспечит защиту от внедренных в чипы недокументированных возможностей. В данном случае в каждом модуле используются чипы различных производителей.
Модуль 310 состоит из компонентов:
- микропроцессора 311;
- оперативной памяти 312;
- электрически перепрограммированной памятью 314;
- постоянной памяти (программируемого постоянного запоминающего устройства и содержащего область с первоначально установленным программным обеспечением) 313;
- блока ввода/вывода 315.
Два и более компонентов могут входить в единый чип (SoC - System on
Chip).
В постоянную память 313 записано заводское программное обеспечение, а именно исполняемый код и данные необходимые для работы устройства.
В электрически перепрограммируемой памяти 314 хранятся в открытом виде не конфиденциальные вспомогательные данные, а так же конфиденциальные данные в зашифрованном виде, а при наличии криптографического модуля 340 - ключи для шифрования конфиденциальных данных хранятся в памяти криптографического модуля.
Микропроцессор 311 посредством шины коммуницирует с:
- оперативной памятью 312;
- электрически перепрограммированной памятью 314;
- постоянной памятью (программируемого постоянного запоминающего устройства и содержащего область с первоначально установленным программным обеспечением) 313;
- блоком ввода/вывода 315.
Блок защиты системного модуля по току и/или напряжению 316 позволяет увеличить надежность устройства за счет включения в межкомпонентные электрические цепи защитных блоков. В случае если используется более чем один системный модуль, то блок защиты 316 позволяет защитить себя и другие компоненты системного модуля от неисправностей или вредных действий других системных модулей.
Предложенное устройство дополнительно может содержать модуль 320, содержащий совокупность опциональных компонентов, используемых для расширения функциональности устройства 300. Модуль 320 коммуницирует с системным модулем 310 напрямую в случае если используется единственный модуль 310. При использовании двух и более модулей 310 модуль 320 коммуницирует с компаратором-повторителем 330. Список компонентов может включать перечисленные ниже компоненты, но не ограничен ними:
-дисплей 321;
- клавиатура и/или устройство реагирующее на прикосновения 322;
- биометрические датчик(и) 323;
- модуль управления питанием 324;
- звуковую сигнализацию 325;
- инфракрасный приеме-передатчик 326.
Компаратор-повторитель 330 используется в случае, когда в устройстве 300 используется два или более модулей 310.
Компаратор-повторитель 330 является посредником между модулями 310 и другими модулями системы. В задачи компаратора-повторителя 330 входит обнаружение различий в коммуникациях и при обнаружении различий попытка их устранений. При невозможности устранения различий производится прерывание сеанса связи и уведомление всех модулей системы о возникшем событии.
Криптографический модуль 340 используется опционально для повышения надежности хранения и транспортировки важных данных.
Модуль 340 состоит из компонентов:
- генератор случайных чисел 341;
- модуля шифрования 342;
- защищенного хранилища 343;
- мультиплексора 344. Данные в криптографический модуль 340 поступают из компаратор- повторителя 330 (если реализован) или из системного модуля 310 в модуль шифрования 342 или в мультиплексор 344. Модуль шифрования 342 извлекает данные из защищенного хранилища 343. Кодирует данные с помощью генератора случайных чисел 341 и передает в мультиплексор 344.
При такой архитектуре важные данные никогда не будут переданы в системный(е) модуль(и) 310 и будут передаваться по каналам связи в зашифрованном виде.
Модуль электромагнитной защиты 370 выполнен в виде поверхности, экранирующей и защищает модули устройства от внешнего электромагнитного поля.
Модуль антенны 360 представляет собой средство приема и передачи электромагнитного сигнала с защитой от перегрузок при наличии сильного внешнего магнитного поля.
Модуль связи 350 представляет собой чип связи по беспроводным протоколам связи.
Данные, которые необходимо отправить из устройства 300, принимаются от модуля 340, если он реализован в устройстве и в противном случае от модуля 330 (если реализован) или от модуля 310.
Входящие данные модуль связи 350 передает в компаратор-повторитель
330 (если реализован) или в системный модуль 310.
Как было уже сказано, устройство персональной идентификации пользователя 300 представляет собой носимое компактное устройство выполняющие различные функции, связанные с:
- анонимной (не раскрывается личности пользователя) аутентификаций; не анонимной (подтверждается личность пользователя) аутентификаций;
- защищенным хранением данных;
- защищенной передачей данных; - защитой от перехвата хранимых и передаваемых данных;
- защитой от повреждения/утери/кражи устройства;
- мониторингом уровня угроз текущего окружения.
Устройство 300 для идентификации и аутентификации удаленного клиентского устройства 100 имеет встроенную поддержку ряда беспроводных протоколов обмена данным, что, в свою очередь, позволяет ему взаимодействовать и выполнять свои функции с такими системами как:
- стационарные системы контроля доступа в которых предметом контроля выступает устройство, работающее по одному из поддерживаемых беспроводных протоколов передачи данных (таких как NFC, RFID и другие);
- портативные системы контроля в которых предметом контроля выступает устройство, работающее по одному из поддерживаемых беспроводных протоколов передачи данных (таких как NFC, RFID и другие);
- стационарными и мобильными компьютерами оборудованными средствами беспроводной связи (таких как Wi-Fi, Bluetooth, NFC и другие);
- мобильными телефонами, планшетами, микрокомпьютерами и другими устройствами оборудованными средствами беспроводной связи (таких как Wi-Fi, Bluetooth, NFC и другие);
- с сетевыми устройствами оборудованными средствами беспроводной связи (таких как Wi-Fi, Bluetooth, NFC, RFID и другие);
- с другими устройствами 300 по беспроводному каналу связи и/или оптическому каналу связи (ИК и другие).
Процесс взаимодействия пользователя, владеющего устройством 300 описывается несколькими сценариями в зависимости от того какой процесс необходимо реализовать пользователю, зависит также от системы если в процессе участвует система требующая заданного уровня безопасности и от типов используемых беспроводных каналов связи.
Ниже описаны примеры типичных сценариев использования системы:
Пример 1 Аутентификация пользователя на сетевом ресурсе через стационарный компьютер 100 с использованием Wi-Fi, на который установлен программный модуль 101. При открытии браузера и переходе на сетевой ресурс требующий аутентификации в зависимости от запрашиваемого уровня безопасности может быть выполнена одна из последовательностей:
- при минимальных требованиях к безопасности аутентификация происходит автоматически если устройство 300 и стационарный компьютер 100 установили соединение;
- при повышении требований безопасности в некоторых случаях для установки соединения одного беспроводного канала связи недостаточно. В этом случае на начальной стадии установки требуется вторичный надежный канал передачи данных (достаточно одного однонаправленного канала). Этот канал связи устанавливается пользователем и выглядит как один из описанных ниже вариантов:
- физически сблизить устройство с экраном компьютера 100 таким образов предоставив возможность камере устройства 300 прочитать информацию с экрана компьютера 100, как показано на Фиг. 3;
- ввести в устройство 300 код отображаемый на экране компьютера 100;
- ввести на компьютере 100 код отображаемый на экране устройства 300.
Это необходимо для того, чтобы однозначно сопоставить 300 с конкретным компьютером 100. Два канала обеспечивают защиту от ряда известных атак;
при более высоких требованиях возможно использовать биометрическое подтверждение от владельца устройства 300. Это производится с помощью биометрических датчиков 323 на устройстве 300.
После того, как все требования безопасности будут удовлетворены производится установка сеанса связи устройства 300 с сетевым ресурсом и производится аутентификация. После этого в браузер компьютера передается информация для идентификации пользователя при дальнейших запросах со стороны браузера.
Пример 2
Аутентификация пользователя на сетевом ресурсе через смартфон 100, на который установлен программный модуль 101, с использованием NFC. При открытии браузера на смартфоне 100 и переходе на сетевой ресурс требующий аутентификации в зависимости от запрашиваемого уровня безопасности может быть выполнена одна из последовательностей:
- при минимальных требованиях к безопасности аутентификация происходит автоматически при сближении устройства 300 с смартфоном 100 на расстояние взаимодействия по протоколу NFC (около 5см);
- при более высоких требованиях возможно требование использовать биометрическое подтверждение от владельца 300. Это производится с помощью биометрических датчиков 323 на устройстве 300.
Пример 3
Установка соединения может быть инициирована пользователем путем:
- открытием в браузере клиентского устройства 100 Интернет-сервиса. В этом случае программный модуль 101 устройства 100 выполняет поиск устройства 300 и выполняет попытку соединения. В этом случае системный модуль 310 устройства 300 анализирует запрос и в зависимости от условий подтверждает соединение или запрашивает подтверждение у пользователя. Так же устройство 300 может потребовать подтвердить личность пользователя путем идентификации пользователя по биометрическим параметрам. Так же устройство 300 может потребовать установку вторичного канала:
- выполнением команды устройств 300 (по инициативе пользователя) на установку соединения с клиентским устройством 100. В этом случае устройство 300 может потребовать дополнительные действия, описанные в предыдущем пункте. Аутентификация пользователя в сервисе «А». Пользователь открывает в браузере клиентского устройства 100 сервис «А». Программный модуль 101, если не установлено соединение с устройством 300, выполняет установление соединения. После установки соединения в системный модуль 310 устройстве 300 передается информация о том, что пользователь открыл страницу сервиса «А». В системном модуле 310 устройства 300 выполняется анализ запроса на предмет того аутентифицирован текущий уже пользователь или нет. Если пользователь не аутентифицирован или сервис «А» аутентифицирован для иного пользователя и устройство 300 содержит имя/пароль (в хранилище конфиденциальных данных) для сервиса «А», то инициируется процесс аутентификации пользователя в сервисе «А». Устройство 300 выполняет поиск алгоритма аутентификации для сервиса «А» в собственном хранилище алгоритмов (в электрически перепрограммированной памяти 314), затем в хранилище на клиентском устройстве 100. Если алгоритм не найден, то выполняется поиск в общем хранилище алгоритмов в Интернете или корпоративной сети. После того, как алгоритм найден устройство 300 устанавливает сеанс связи с сервисом «А» и выполняет процесс аутентификации согласно алгоритму. В этом случае имя/пароль отправляются в зашифрованном виде непосредственно сервису «А». Сервис «А» возвращает токен, который устройство 300 передает браузеру через программный модуль 301. Браузер использует этот токен, как если бы он получил этот токен непосредственно от сервиса «А» в обычном режиме аутентификации. На последнем этапе программный модуль дает команду браузеру перезагрузить страницу или перейти на указанную устройством 300 страницу, и пользователь оказывается аутентифицирован в сервисе «А».
Пример 4
Дублирование информации для защиты информации при повреждении, утери и/или кражи устройства. Для обеспечения защиты информации от утери применяется механизм дублирования информации на дублирующих устройствах 300. Для определения устройства как дублирующего необходимо инициировать процесс создания дублирующего устройства на одном из них и сблизить два устройства для обеспечения установления прямого контакта через ИК порты.
Второй канал будет установлен через беспроводные каналы связи. Два канала обеспечивают защиту от ряда известных атак. После определения устройств как дублирующие синхронизация будет происходит, когда два устройства будут находится в заданных пределах (например, в одной комнате).
В то время как несколько вариантов осуществления были представлены настоящем описании, следует понимать, что раскрытые системы и способы могут быть воплощены во множестве других конкретных форм, без выхода за пределы сущности или объема настоящего изобретения, определенного формулой изобретения. Настоящие примеры следует рассматривать как иллюстративные, а не ограничительные, и изобретение не следует ограничивать представленными здесь деталями.

Claims

Формула
1. Система персональной идентификации, которая включает:
клиентское устройство для выполнения последовательности аутентификации, содержащее установленный программный модуль;
устройство для идентификации и аутентификации удаленного клиентского устройства, содержащее программный модуль или мобильное приложение, присоединяющее к службе по сети, выполненное с возможностью обмена данными по беспроводным протоколам, и содержащее взаимосвязанные модули: не менее один системный модуль, состоящий из микропроцессора, оперативной памяти, электрически перепрограммированной памяти, содержащий хранилище конфиденциальных данных, программируемого постоянного запоминающего устройства, содержащего область с изначально установленным программным обеспечением; модуль электромагнитной защиты устройства; модуль антенны; модуль связи; блок защиты системного модуля по току и/или напряжению и блок ввода/вывода.
2. Система по п.1, отличающаяся тем, что устройство для идентификации и аутентификации дополнительно содержит криптографический модуль, содержащий генератор случайных чисел, модуль шифрования, защищенное хранилище и мультиплексор.
3. Система по п.1, отличающаяся тем, что дополнительно содержит программный модуль на сетевых ресурсах, реализующий вспомогательные и дополнительные функции в рамках процесса контроля доступа.
4. Система по п.1, отличающаяся тем, что дополнительно содержит программный комплекс реализующий функции сбора/хранения/обновления информации и предоставления доступа к информации необходимой для поддержки упрощенного процесса идентификации.
5. Система по п.1, отличающаяся тем, что устройство для идентификации и аутентификации удаленного клиентского устройства дополнительно содержит устройства ввода информации: камеру и/или не менее один биометрический датчик и/или клавиатуру и/или ИК- приемопередатчик и/или указательное устройство ввода.
6. Система по п.1, отличающаяся тем, что устройство для идентификации и аутентификации удаленного клиентского устройства дополнительно содержит устройства вывода информации: экран и/или звуковой сигнализатор и/или световой сигнализатор.
7. Система по п.1, отличающаяся тем, что устройство для идентификации и аутентификации удаленного клиентского устройства дополнительно содержит компаратор-повторитель.
PCT/UA2016/000043 2016-03-03 2016-04-13 Система персональной идентификации WO2017151080A1 (ru)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
UA201602093 2016-03-03
UAA201602093 2016-03-03

Publications (1)

Publication Number Publication Date
WO2017151080A1 true WO2017151080A1 (ru) 2017-09-08

Family

ID=59743106

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/UA2016/000043 WO2017151080A1 (ru) 2016-03-03 2016-04-13 Система персональной идентификации

Country Status (1)

Country Link
WO (1) WO2017151080A1 (ru)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7937590B2 (en) * 2001-09-14 2011-05-03 Stmicroelectronics S.A. Secure identification with biometric data
WO2013093038A2 (fr) * 2011-12-23 2013-06-27 Thales Dispositif de protection electromagnetique apte a proteger une liaison hyperfrequences entre un connecteur et un element hyperfrequences
US8689308B2 (en) * 2008-09-30 2014-04-01 At&T Intellectual Property I, L. P. Portable authentication device
US20140177116A1 (en) * 2012-12-25 2014-06-26 Hon Hai Precision Industry Co., Ltd. Power-off protection system and method
US9049010B2 (en) * 2007-01-22 2015-06-02 Spyrus, Inc. Portable data encryption device with configurable security functionality and method for file encryption

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7937590B2 (en) * 2001-09-14 2011-05-03 Stmicroelectronics S.A. Secure identification with biometric data
US9049010B2 (en) * 2007-01-22 2015-06-02 Spyrus, Inc. Portable data encryption device with configurable security functionality and method for file encryption
US8689308B2 (en) * 2008-09-30 2014-04-01 At&T Intellectual Property I, L. P. Portable authentication device
WO2013093038A2 (fr) * 2011-12-23 2013-06-27 Thales Dispositif de protection electromagnetique apte a proteger une liaison hyperfrequences entre un connecteur et un element hyperfrequences
US20140177116A1 (en) * 2012-12-25 2014-06-26 Hon Hai Precision Industry Co., Ltd. Power-off protection system and method

Similar Documents

Publication Publication Date Title
US10740481B2 (en) Security systems and methods with identity management for access to restricted access locations
KR101959492B1 (ko) 모바일 디바이스에서의 사용자 인증 및 인간 의도 검증을 위한 방법 및 장치
CA2968051C (en) Systems and methods for authentication using multiple devices
US11252142B2 (en) Single sign on (SSO) using continuous authentication
US10165440B2 (en) Method and apparatus for remote portable wireless device authentication
EP2937805B1 (en) Proximity authentication system
US9032493B2 (en) Connecting mobile devices, internet-connected vehicles, and cloud services
JP5862969B2 (ja) モバイルネットワーク接続システム、及びモバイルネットワーク接続方法
EP3198789A1 (en) Securely pairing computing devices
KR20160097323A (ko) Nfc 인증 메커니즘
EP3566160B1 (en) Method for authenticating a user and corresponding device, first and second servers and system
Aravindhan et al. One time password: A survey
RU2583710C2 (ru) Система и способ обеспечения конфиденциальности информации, используемой во время операций аутентификации и авторизации, при использовании доверенного устройства
CN105325021B (zh) 用于远程便携式无线设备认证的方法和装置
KR102081875B1 (ko) 사용자와 모바일 단말기 및 추가 인스턴스 간의 보안 상호 작용을 위한 방법
Igor et al. Security Software Green Head for Mobile Devices Providing Comprehensive Protection from Malware and Illegal Activities of Cyber Criminals.
WO2016030832A1 (en) Method and system for mobile data and communication security
WO2017151080A1 (ru) Система персональной идентификации
US20150319180A1 (en) Method, device and system for accessing a server
JP2018113504A (ja) セキュアエレメント、uimカード、認証方法、及び認証プログラム
EP2645275A1 (en) Method, device and system for accessing a service

Legal Events

Date Code Title Description
NENP Non-entry into the national phase

Ref country code: DE

121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 16892836

Country of ref document: EP

Kind code of ref document: A1

32PN Ep: public notification in the ep bulletin as address of the adressee cannot be established

Free format text: NOTING OF LOSS OF RIGHTS PURSUANT TO RULE 112(1) EPC (EPO FORM 1205A DATED 11/01/2019)

122 Ep: pct application non-entry in european phase

Ref document number: 16892836

Country of ref document: EP

Kind code of ref document: A1