close

Вход

Забыли?

вход по аккаунту

?

Патент BY4704

код для вставкиСкачать
ОПИСАНИЕ
ИЗОБРЕТЕНИЯ
К ПАТЕНТУ
РЕСПУБЛИКА БЕЛАРУСЬ
BY (11) 4704
(13)
C1
(51)
(12)
НАЦИОНАЛЬНЫЙ ЦЕНТР
ИНТЕЛЛЕКТУАЛЬНОЙ
СОБСТВЕННОСТИ
(54)
(19)
7
H 04L 9/00,
H 04L 9/16,
H 04L 9/26,
H 04L 9/30
СПОСОБ УПРАВЛЕНИЯ ДОСТУПОМ К СИСТЕМЕ СВЯЗИ
(21) Номер заявки: 970343
(22) 1997.06.25
(46) 2002.09.30
(71) Заявитель: Государственное проектное и
научно-исследовательское
предприятие
"ГИПРОСВЯЗЬ" (BY)
(72) Авторы: Воронов А.И.; Соколовский А.И.;
Царьков Б.В.; Шурупов С.И.; Язловецкий Я.С.
(BY)
(73) Патентообладатель: Государственное проектное
и
научно-исследовательское
предприятие
"ГИПРОСВЯЗЬ" (BY)
(56)
US 5056140 C, 1991, DE 4003386 C1, 1991, DE 3922642 A1, 1991, GB 2246457 A, 1992, US 5586260 A,
1996, GB 2229020 A, 1990, EP 0388700 A1, 1990.
(57)
1. Способ управления доступом к системе связи, включающий создание канала связи между селектором
доступа, связанным с информационной системой и запрашивающим доступ устройством, генерирование
сигнала, содержащего случайное число, каждый раз, когда устанавливается канал связи, передачу случайного числа к запрашивающему доступ устройству от селектора доступа, преобразование случайного числа в
зашифрованный идентификатор, сравнение идентифицируемых данных в селекторе доступа, отличающийся тем, что после передачи случайного числа незашифрованным от селектора доступа к запрашивающему
доступ устройству преобразование упомянутого случайного числа в зашифрованный идентификатор производится одновременно и независимо друг от друга в запрашивающем доступ устройстве и селекторе доступа
путем нелинейного функционального преобразования данного случайного числа с индивидуальным ключом,
заложенным идентичным в запрашивающем доступ устройстве и селекторе доступа, при этом в качестве
идентифицируемых данных служат результаты упомянутых нелинейных функциональных преобразований.
2. Способ по п. 1, отличающийся тем, что генерирование сигнала, содержащего случайное число, и передача его от селектора доступа к запрашивающему доступ устройству с осуществлением последующей
идентификации производится периодически в течение всего сеанса связи.
Фиг. 1
Изобретение относится к радиотехнике и связи и может быть использовано в системах связи для исключения доступа в них посторонних пользователей.
Известен способ управления доступом к системе связи (Патент США 4964163, МПК5 H 04L 9/00, 1990), в котором в имеющихся центральном и абонентских блоках системы двухсторонней связи зафиксирован распознавательный код. При передаче абонентским блоком кода запроса на соединение система принимает код
BY 4704 C1
задачи, который состоит из цифрового кода и операнда, содержащего инструкцию по обработке цифрового
кода. Система решает указанную задачу и выдает код ответа, соответствующий этому решению. Код ответа
передается к центральному блоку, который принимает запрос на установление соединения, генерирует указанную задачу, решает задачу для получения ожидаемого кода ответа и передает указанную задачу. После
приема кода ответа от абонентского блока центральный блок сравнивает полученный код с ожидаемым кодом.
Недостатком способа является громоздкий протокол обмена, требующий нескольких сеансов обмена
служебной информацией для принятия решения об идентификации абонентского блока. Кроме того, способ
не позволяет производить идентификацию абонентского блока во время работы абонента в системе связи.
Известен способ управления доступом к системе связи, основанный на персональной идентификации (Патент США 5023908, МПК5 H 04L 9/32, 1991), при котором в распоряжении пользователя имеется индивидуальное средство, способное формировать изменяющийся во времени непредсказуемый код. Этот код
смешивается с секретным персональным идентификационным номером (PIN) пользователя, в результате чего создается комбинированный код. Комбинированный код и несекретный код идентификации пользователя
передаются на центральную верификационную ЭВМ, где несекретный код идентификации используется для
отыскания указанных PIN и подходящего непредсказуемого кода для данного пользователя. PIN извлекается
из переданного комбинированного кода.
Этот PIN, отысканные в ЭВМ PIN и непредсказуемый код, а также оставшийся после извлечения PIN непредсказуемый код используются для проведения верификации.
Однако данный способ предполагает наличие верификационной ЭВМ, что удорожает систему, предполагает проведение большого числа сложных вычислений в несколько этапов, что приводит к увеличению времени верификации. Кроме того, способ не позволяет производить идентификацию пользователя во время
работы его в системе связи.
Известен также способ управления доступом к системе связи (WO 9428659, МПК5 H 04L 9/32, 1996), при
котором пользователь набирает номер удаленного аппарата и вводит свою информацию, затем им вводится
персональный идентификатор. После чего вся информация обрабатывается в центральном процессоре и
устройстве памяти для хранения персональных идентификаторов. После успешного выполнения транзакции или по команде схемы для повторной установки на 24 ч схема модификации изменяет соответствующие персональные идентификаторы в памяти.
Недостатком данного способа является то, что пользователю предлагается помнить и вводить перед сеансом связи персональный идентификатор. Этот идентификатор может быть определен при подключении к
абонентской линии, что позволит несанкционированному пользователю иметь доступ в систему связи. Кроме того, способ не позволяет производить идентификацию пользователя во время его работы в системе связи.
Наиболее близким по технической сущности является способ управления доступом к системе связи (Патент
США 50556140, МПК5 H 04L 9/00, 1991), в котором для ограничения доступа к источнику информации со
стороны внешних устройств, содержащих удаленный терминал с хранимыми у него данными идентификации, создается канал связи между селектором доступа, связанным с источником информации, и устройством,
запрашивающим доступ. Случайное число (сигнал) генерируется и зашифровывается селектором доступа
каждый раз, когда устанавливается канал связи. Зашифрованное случайное число передается к устройству, пославшему запрос доступа, и затем дешифрируется в удаленном терминале. Это число после дешифрации используется как ключ при шифровании данных идентификации терминала и устройства, запросившего
доступ. Зашифрованный идентификатор передается от терминала к селектору доступа, где расшифровывается с использованием указанного случайного числа в качестве ключа и сравнивается с элементами идентификационных данных, извлекаемых селектором из специального ЗУ, и соответствующими данными
пользователей, доступ которых санкционирован. Доступ разрешается, если расшифрованные данные согласуются с одним из указанных элементов данных идентификации.
Недостатком способа является то, что имеется возможность любым санкционированным терминалом
подключаться к линиям других санкционированных абонентов и иметь доступ в систему связи без ведома
последних за счет того, что сравнение в селекторе доступа производится со списком санкционированных
абонентов. Кроме того, способ не позволяет производить идентификацию абонентского терминала во время
работы абонента в системе связи.
В основу изобретения положена задача создания способа управления доступом к системе связи, в котором за счет того, что сравнение идентифицируемой величины в селекторе доступа производится с величиной, сформированной исключительно для данного запрашивающего доступ устройства, при осуществлении
периодической идентификации данных в течение всего сеанса связи, обеспечивается повышение надежности
ограничения несанкционированного доступа к системе связи.
Существо изобретения заключается в том, что в способе управления доступом к системе связи, включающем создание канала связи между селектором доступа, связанным с информационной системой, и запрашивающим доступ устройством, генерирование сигнала, содержащего случайное число, каждый раз при
2
BY 4704 C1
установлении связи, передачу случайного числа к запрашивающему доступ устройству от селектора доступа,
преобразование случайного числа в зашифрованный идентификатор, сравнение идентифицируемых данных
в селекторе доступа, после передачи случайного числа незашифрованным от селектора доступа к запрашивающему доступ устройству, преобразование упомянутого случайного числа в зашифрованный идентификатор производится одновременно и независимо друг от друга в запрашивающем доступ устройстве и
селекторе доступа путем нелинейного функционального преобразования данного случайного числа с индивидуальным ключом, заложенным идентичным в запрашивающем доступ устройстве и селекторе доступа,
при этом в качестве идентифицируемых данных служат результаты упомянутых нелинейных, функциональных преобразований.
Кроме того, генерирование сигнала, содержащего случайное число, и передача его от селектора доступа к
запрашивающему доступ устройству с последующей идентификацией данных производится периодически в
течение всего сеанса связи.
На фиг. 1 представлена структурная схема осуществления способа управления доступом к системе связи.
На фиг. 2 представлена структурная схема селектора доступа для одной абонентской линии.
Способ заключается в следующем.
При поступлении в селектор доступа 1 сигнала запроса на обслуживание со стороны запрашивающего
доступ устройства (ЗДУ) 2 к информационной системе создается канал связи между селектором доступа 1,
связанным с информационной системой, и запрашивающим доступ устройством 2. Селектор доступа 1 генерирует сигнал, содержащий случайное число, и передает его к запрашивающему доступ устройству 2 в незашифрованном виде. Запрашивающее доступ устройство 2 принимает это число. Затем селектор доступа 1 и
запрашивающее доступ устройство 2 независимо друг от друга каждый внутри себя считывают из соответствующих областей памяти идентичные индивидуальные ключи, заложенные в них, и инструкции по дальнейшему преобразованию незашифрованного случайного числа и индивидуального ключа.
Затем производится нелинейное функциональное преобразование незашифрованного случайного числа и
индивидуального ключа в зашифрованный идентификатор. Запрашивающее доступ устройство 2 передает в
селектор доступа 1 результат этого преобразования в виде зашифрованного идентификатора. Селектор доступа 1 принимает это сообщение и производит сравнение идентифицируемых данных, в качестве которых
служат результаты нелинейных функциональных преобразований.
При положительном исходе результата сравнения абонент имеет возможность осуществить доступ к информационной системе. В этом случае, через заданный интервал времени, например, 10-20 с, повторно осуществляется генерирование сигнала в виде нового случайного числа, которое передается от селектора
доступа 1 к запрашивающему доступ устройству 2 с последующими преобразованиями. Таким образом запрашивающее доступ устройство подтверждает свои полномочия на работу в информационной системе.
Этот процесс повторяется многократно в течение всего периода связи.
Все операции осуществляются вне полосы частот, выделенной для работы абонента.
В случае отрицательного исхода результата сравнения селектор доступа 1 вырабатывает новое случайное
число и инициирует вышеприведенный процесс обмена с запрашивающим доступ устройством 2.
Если в течение m-кратной повторной передачи от запрашивающего доступ устройства 2 ни разу не было
получено правильного ответа, то селектор доступа 1 вырабатывает сигнал, который отключает запрашивающее доступ устройство 2 от информационной системы.
По завершению сеанса обмена система переводится в исходное состояние.
Способ реализован для случая управления доступом к ресурсам автоматической телефонной станции
АТС по телефонным абонентским линиям связи, где АТС выступает в роли информационной системы.
Запрашивающее доступ устройство (ЗДУ) 2 подключено в разрыв абонентской телефонной линии перед
оконечным абонентским устройством (ОАУ). Селектор доступа 1, включающий ключ 4, процессор управления с оперативным запоминающим устройством 5, блок ключевой информации 6, блок датчиков 7, устройство
сопряжения 8, физический источник шума 9 (фиг. 2), размещается в помещении АТС перед кроссовым оборудованием.
Оборудование обслуживания (ОО) 3 связано с селектором доступа 1.
Селектор доступа обслуживает "n" запрашивающих доступ устройств по соответствующим абонентским
линиям.
В исходном состоянии, когда пользователь не работает по абонентской линии, питание на запрашивающее доступ устройство 2 не подается и оконечное абонентское устройство через селектор доступа 1 и запрашивающее доступ устройство 2 оказывается подключенным к оборудованию АТС. Это позволяет абоненту
принимать входящие вызовы, а обслуживающему персоналу при необходимости производить измерения со
стороны АТС.
При попытке абонента осуществить доступ к АТС для организации исходящего соединения запрашивающее доступ устройство 2 начинает питаться от абонентской линии, а процессор управления 5 селектора
доступа 1 (фиг. 2) обращается к физическому источнику шума 9, формирует случайное число и через устройство сопряжения 8 передает его незашифрованным по абонентской линии к запрашивающему доступ
устройству 2. Упомянутое устройство принимает это число. Затем селектор доступа 1 и запрашивающее дос3
BY 4704 C1
туп устройство 2 каждый внутри себя автономно друг от друга считывают индивидуальный ключ и инструкцию по дальнейшему преобразованию случайного числа и ключа. При этом процессор управления 5 селектора доступа 1 производит считывание указанных величин из блока ключевой информации 6 (фиг. 2). Затем,
в соответствии с этой инструкцией, производится нелинейное функциональное преобразование незашифрованного случайного числа и ключевой информации. Результат этого преобразования в виде зашифрованного
идентификатора передается запрашивающим доступ устройством 2 по абонентской линии к селектору доступа 1. Селектор доступа 1 через устройство сопряжения 8 принимает это сообщение и сравнивает его со
своим результатом. При положительном исходе результата сравнения селектор доступа 1 подтверждает полномочия абонента осуществить доступ к АТС (ключ 4 не разрывает абонентскую линию). При отрицательном исходе результата сравнения селектор доступа 1 вырабатывает новое случайное число и производит
повторный сеанс обмена с запрашивающим доступ устройством 2. Если в течение m-кратного повторного
обмена ни разу не было получено правильного ответа, то процессор управления 5 селектора доступа 1 вырабатывает сигнал "отбой", который кратковременно (около 1 с) размыкает ключ 4. АТС воспринимает этот
сигнал и в абонентскую линию от АТС выдается "Ответ станции", который через селектор доступа 1 и запрашивающее доступ устройство 2 принимается оконечным абонентским оборудованием.
Приведенный выше процесс обмена между селектором доступа 1 и запрашивающим доступ устройством
2 при положительном исходе результата сравнения идентифицируемых данных периодически повторяется
(каждый раз с генерацией нового случайного числа) в ходе всего сеанса связи, вне полосы частот, выделенной для работы абонента, получившего доступ к АТС, что также существенно повышает надежность управления доступом к системе связи за счет того, что даже при случайном определении несанкционированным
пользователем результата нелинейного функционального преобразования в первом сеансе идентификации
перед началом работы в системе связи он не сможет подтверждать свои полномочия периодически.
Фиг. 2
Национальный центр интеллектуальной собственности.
220072, г. Минск, проспект Ф. Скорины, 66.
4
Документ
Категория
Без категории
Просмотров
0
Размер файла
147 Кб
Теги
by4704, патент
1/--страниц
Пожаловаться на содержимое документа