Спосіб захисту даних доступу користувача системи

Спосіб захисту даних доступу користувача системи, який відрізняється тим, що системою генерують дані доступу користувача до системи, системою передають ідентифікатори користувачу додатком до генеральної угоди, Ідентифікатори поодинці пропускають через функцію хешування, вихідні значення ідентифікаторів складають, складене вихідне значення пропускають через Інший (або той же) алгоритм функції хешування, систе Корисна модель відноситься до області інформаційних систем в електронній комерції типу В2В, В2С і може бути використана при організації системи безпеки в інформаційних електронних системах. В основу корисної моделі поставлена задача розробки способу захисту ідентифікаторів доступу користувача системи при можливому несанкціонованому доступу до бази даних облікових записів користувачів Застосування такого способу приведе до гарантованого доступу до системи, яка захищається, тільки власником ідентифікаторів (власних ідентифікаторів, які згенерувались та були передані користувачу при укладанні генеральної угоди на підставі сертифікату користувача, виданого уповноваженою організацією). Поставлена задача досягається тим, що в способі захисту даних доступу користувача системи, який характеризується тим, що системою генерують дані доступу користувача до системи, системою передають ідентифікатори користувачу додатком до генеральної угоди, ідентифікатори поодинці пропускають через функцію хешування, вихідні значення ідентифікаторів складають, складене вихідне значення пропускають через інший (або той же) алгоритм функції хешування, системою обчислюють результат, значення ре мою обчислюють результат, значення результату присвоюють обліковому запису користувача у системі, видаляють початкові ідентифікатори, не зберігаючи їх у системі, для доступу до системи користувачі запитують перехід у захищений режим передачі даних, користувач і система встановлюють захищений режим, користувач передає ідентифікатори до системи, ідентифікатори поодинці пропускають через функцію хешування, вихідні значення ідентифікаторів складають, складене вихідне значення пропускають через інший алгоритм функції хешування, системою порівнюють обчислений результат зі значенням, збереженим та привласненим обліковому запису поточного користувача системи, системою дозволяють або не дозволяють доступ. зультату присвоюють обліковому запису користувача у системі, видаляють початкові ідентифікатори, не зберігаючи їх у системі, для доступу до системи користувачі запитують перехід у захищений режим передачі даних, користувач І система встановлюють захищений режим, користувач передає ідентифікатори до системи, ідентифікатори поодинці пропускають через функцію хешування, вихідні значення ідентифікаторів складають, складене вихідне значення пропускають через інший алгоритм функції' хешування, системою порівнюють обчислений результат зі значенням, збереженим та привласненим обліковому запису поточного користувача системи, системою дозволяють або не дозволяють доступ. Система з користувачем укладають генеральну угоду за предметом використання цієї системи. Генеральна угода укладається на підставі електронних сертифікатів, які були затверджені уповноваженою організацією, що їх емітує На підставі генеральної угоди користувач наділяється власними ідентифікаторами для доступу до системи. З цього часу, ці ідентифікатори існують тільки в одному екземплярі і тільки у сторони користувача як додаток до генеральної угоди. Суть корисної моделі пояснюється схемою на якій зображено логічні операції обчислення даних t CO ю о 9534 - мати властивість однобічності: для кожного хешованого (а)', (Ь)',...,(п)' повинно бути практично неможливо обчислити а, Ь,...п, для яких 1 1 H(a)=(a)\ H(b)=(b) ,...,H(n)-(n) ; - мати властивість сильного опору колізіям: а * т , для яких Н(а)-Н(т). Для обчислення даних використовуються алгоритми функцій, які видають на виході значення нефіксованої довжини, щоб виключити можливість парадоксу "задачі про дні народження". Доступ користувачем до системи здійснюється після запиту переходу та безпосередньо переходу у захищений режим (на рівні захищеного протоколу передачі даних), щоб ідентифікатори, які передаються до серверу системи не були перехоплені злочинцем. Після прийняття даних від користувача (ідентифікаторів доступу), сервер робить ті ж логічні операції', що при реєстрації у системі (див схему); обчислене кінцеве значення порівнюють зі значенням, збереженим та привласненим обліковому запису користувача у системі: якщо значення розпізнається коректним, система дозволяє доступ, якщо ні - відкидає запит. доступу Ідентифікатори генеруються системою таким чином, щоб результат був стійкий у відношенні перебору всіх можливих варіантів (наприклад, генеруються генератором псевдовипадкових чисел). Позначимо ці ідентифікатори перемінними: а, Ь,...,п. Ці перемінні поодинці пропускають через функцію хешування з використанням секретного ключа системи (несиметричного, для неможливості повторного запуску функції у зворотному напрямку), потім вихідні значення перемінних складають та знову пропускають через інший алгоритм хеш-функції, та обчислюють їх значення Це кінцеве значення присвоюють обліковому запису користувача, а вхідні дані (перемінні) автоматично видаляють Функція хешування - функція, що пропускає вхідні дані, відображає блок даних змінної довжини або повідомлення відносно фіксованої довжини, зване хеш-кодом. У цьому випадку, до функції хешування встановлюють наступні вимоги: - бути прийнятою до перемінних (a, b п) будь-якої довжини; ВНУТРІШНІЙ КЛЮЧ a J (а)' Г хеш r І ВНУТРІШНІЙ КЛЮЧ b (b)' Г хеш L ... > L Г складання: ВНУТРІШНІЙ КЛЮЧ Г хеш —> —> ВНУТРІШНІЙ КІІЮЧ n _J V Г хеш > (n)' >f [~ ВНУ1ТІШНІЙ КЛЮЧ —і Г хеш >1 КІНЦЕВІ ДАНІ (ЗНАЧЕННЯ) Комп'ютерна верстка Л Литвиненко Підписне Тираж 26 прим. Міністерство освіти і науки України Державний департамент інтелектуальної власності, вул. Урицького, 45, м Київ, МСП, 03680, Україна ДП "Український інститут промислової власності", вул. Глазунова, 1, м К и ї в - 4 2 , 01601