RU2017106105A

RU2017106105A - Способы безопасного генерирования криптограмм

Info

Publication number: RU2017106105A
Application number: RU2017106105A
Authority: RU
Inventors: СЭН Эрик ЛЕ; Джеймс ГОРДОН; Роопеш ДЖОШИ
Original assignee: Виза Интернэшнл Сервис Ассосиэйшн
Priority date: 2014-08-29
Filing date: 2015-08-31
Publication date: 2018-10-01
Also published as: US10389533B2; US11588637B2; US20230231715A1; RU2710897C2; AU2022224799A1; US9813245B2; CN111756533B; AU2021203815A1; CN106797311B; US11032075B2; US20210258162A1; AU2015308608A1; CN106797311A; US20160065370A1; BR112017002747A2; AU2022224799B2; AU2019240671A1; US12021987B2; WO2016033610A1; AU2021203815B2

Claims

1. Осуществляемый с помощью компьютера способ, включающий:

определение пользовательским устройством пары кратковременных ключей, содержащей кратковременный открытый ключ и кратковременный закрытый ключ;

отправку пользовательским устройством сообщения с запросом предоставления, содержащего кратковременный открытый ключ, на компьютер сервера предоставления;

прием пользовательским устройством сообщения с ответом предоставления, содержащего зашифрованные удостоверяющие данные, от компьютера сервера предоставления;

определение пользовательским устройством ответного совместно используемого секретного ключа с помощью кратковременного закрытого ключа и статического открытого ключа сервера;

расшифровку пользовательским устройством зашифрованных удостоверяющих данных с помощью ответного совместно используемого секретного ключа для определения удостоверяющих данных;

получение параметров формирования ключа из удостоверяющих данных; и

формирование первого криптограммного ключа из ответного совместно используемого секретного ключа с помощью параметров формирования ключа, при этом первый криптограммный ключ используют для генерирования первой криптограммы для использования в первой защищенной связи с компьютером проверяющего подлинность сервера.

2. Осуществляемый с помощью компьютера способ по п. 1, в котором удостоверяющие данные содержат ключ ограниченного использования, используемый пользовательским устройством для формирования первого криптограммного ключа, при этом компьютер проверяющего подлинность сервера имеет доступ к ключу ограниченного использования.

3. Осуществляемый с помощью компьютера способ по п. 1, дополнительно включающий:

генерирование пользовательским устройством запросного совместно используемого секретного ключа с помощью кратковременного закрытого ключа и статического открытого ключа сервера; и

шифрование пользовательским устройством данных запроса с помощью запросного совместно используемого секретного ключа для получения зашифрованных данных запроса, при этом сообщение с запросом предоставления содержит зашифрованные данные запроса.

4. Осуществляемый с помощью компьютера способ по п. 1, в котором ответный совместно используемый секретный ключ определяют с помощью заблокированного ключа, который формируют из статического открытого ключа сервера, используя при этом статический открытый ключ сервера для определения ответного совместно используемого секретного ключа, и при этом сообщение с ответом предоставления также содержит заблокированный ключ.

5. Осуществляемый с помощью компьютера способ по п. 1, в котором ответный совместно используемый секретный ключ определяют без заблокированного ключа, при этом удостоверяющие данные содержат криптографический объект nonce, и при этом первый криптограммный ключ дополнительно формируют с помощью криптографического объекта nonce.

6. Осуществляемый с помощью компьютера способ по п. 1, дополнительно включающий:

обновление пользовательским устройством ответного совместно используемого секретного ключа для определения обновленного совместно используемого секретного ключа с помощью параметров обновления, при этом удостоверяющие данные содержат параметры обновления;

формирование пользовательским устройством второго криптограммного ключа с помощью обновленного совместно используемого секретного ключа и параметров формирования ключа;

генерирование пользовательским устройством второй криптограммы с помощью второго криптограммного ключа; и

осуществление пользовательским устройством второй защищенной связи с компьютером проверяющего подлинность сервера с помощью второй криптограммы.

7. Осуществляемый с помощью компьютера способ по п. 6, дополнительно включающий:

генерирование пользовательским устройством новых совместно используемых секретных ключей для каждого из множества новых защищенных сеансов связи, при этом каждый новый совместно используемый секретный ключ генерируют с помощью предыдущего совместно используемого секретного ключа и параметров обновления;

формирование пользовательским устройством новых криптограммных ключей с помощью новых совместно используемых секретных ключей и параметров формирования ключей;

генерирование пользовательским устройством новых криптограмм с помощью нового криптограммного ключа; и

осуществление пользовательским устройством новых защищенных сеансов связи с компьютером проверяющего подлинность сервера с помощью новых криптограмм.

8. Осуществляемый с помощью компьютера способ по п. 6, в котором вторую криптограмму дополнительно генерируют с помощью данных на основе параметров формирования криптограммы, содержащихся в удостоверяющих данных, и при этом вторая защищенная связь представляет собой запрос авторизации, при этом вторая криптограмма аутентифицирует по меньшей мере один элемент запроса авторизации.

9. Осуществляемый с помощью компьютера способ по п. 6, в котором при генерировании обновленного криптограммного ключа используют параметры формирования ключа, содержащиеся в удостоверяющих данных.

10. Осуществляемый с помощью компьютера способ по п. 1, дополнительно включающий:

прием пользовательским устройством первых регистрационных данных;

шифрование пользовательским устройством первых регистрационных данных с помощью первого криптограммного ключа для генерирования первой криптограммы, при этом первая криптограмма представляет собой криптограмму регистрации; и

отправку пользовательским устройством криптограммы регистрации на компьютер сервера регистрации, при этом компьютер сервера регистрации аутентифицирует пользовательское устройство с помощью криптограммы регистрации.

11. Осуществляемый с помощью компьютера способ по п. 10, дополнительно включающий:

сохранение пользовательским устройством ответного совместно используемого секретного ключа, и при этом отправка криптограммы регистрации на компьютер сервера включает шифрование криптограммы регистрации с помощью ответного совместно используемого секретного ключа.

12. Осуществляемый с помощью компьютера способ по п. 10, дополнительно включающий:

прием пользовательским устройством вторых регистрационных данных;

генерирование пользовательским устройством второй пары кратковременных ключей, содержащей второй кратковременный открытый ключ и второй кратковременный закрытый ключ;

отправку пользовательским устройством на компьютер сервера регистрации сообщения с запросом обновления, содержащего криптограмму регистрации и второй кратковременный открытый ключ;

прием пользовательским устройством сообщения с ответом обновления, содержащего вторые параметры формирования ключа;

формирование пользовательским устройством второго криптограммного ключа с помощью вторых параметров формирования ключа;

генерирование пользовательским устройством второй криптограммы регистрации с помощью второго криптограммного ключа и вторых регистрационных данных; и

отправку пользовательским устройством второй криптограммы регистрации на компьютер сервера, при этом вторая криптограмма регистрации аутентифицирует пользовательское устройство.

13. Осуществляемый с помощью компьютера способ по п. 12, в котором сообщение с запросом обновления дополнительно содержит хеш вторых регистрационных данных.

14. Осуществляемый с помощью компьютера способ, включающий:

прием компьютером сервера сообщения с запросом предоставления, содержащего кратковременный открытый ключ, от пользовательского устройства;

определение компьютером сервера запросного совместно используемого секретного ключа с помощью кратковременного открытого ключа и статического закрытого ключа сервера;

генерирование компьютером сервера ответного совместно используемого секретного ключа с помощью статического закрытого ключа компьютера сервера и кратковременного открытого ключа;

получение параметров формирования ключа для формирования первого криптограммного ключа из ответного совместно используемого секретного ключа;

шифрование компьютером сервера удостоверяющих данных с помощью второго совместно используемого секретного ключа для определения зашифрованных данных ответа, при этом удостоверяющие данные содержат параметры формирования ключа; и

отправку компьютером сервера на пользовательское устройство сообщения с ответом предоставления, содержащего зашифрованные данные ответа.

15. Осуществляемый с помощью компьютера способ по п. 14, в котором компьютер сервера функционирует как проверяющий подлинность сервер, при этом способ дополнительно включает:

прием компьютером сервера от пользовательского устройства криптограммы пользователя для подтверждения защищенной связи;

формирование первого криптограммного ключа из ответного совместно используемого секретного ключа с помощью параметров формирования ключа;

генерирование первой криптограммы с помощью первого криптограммного ключа и параметров формирования криптограммы, при этом удостоверяющие данные содержат параметры формирования криптограммы; и

проверку компьютером сервера подлинности криптограммы пользователя путем сравнения криптограммы пользователя с первой криптограммой.

16. Осуществляемый с помощью компьютера способ по п. 15, дополнительно включающий:

обновление компьютером сервера ответного совместно используемого секретного ключа для определения обновленного совместно используемого секретного ключа;

прием компьютером сервера от пользовательского устройства новой криптограммы для подтверждения новой защищенной связи;

формирование второго криптограммного ключа из обновленного совместно используемого секретного ключа с помощью параметров формирования ключа;

генерирование второй криптограммы с помощью второго криптограммного ключа и параметров формирования криптограммы; и

проверку компьютером сервера подлинности новой криптограммы путем сравнения новой криптограммы со второй криптограммой.

17. Осуществляемый с помощью компьютера способ по п. 14, в котором компьютер сервера функционирует как сервер регистрации, при этом способ дополнительно включает:

предоставление компьютером сервера первых регистрационных данных на пользовательское устройство;

прием компьютером сервера криптограммы регистрации пользователя от пользовательского устройства;

шифрование пользовательским устройством первых регистрационных данных с помощью первого криптограммного ключа для генерирования первой криптограммы регистрации; и

проверку компьютером сервера криптограммы регистрации пользователя путем сравнения криптограммы регистрации пользователя с первой криптограммой регистрации, при этом пользовательское устройство аутентифицируют, если первая криптограмма регистрации проходит проверку.

18. Осуществляемый с помощью компьютера способ по п. 17, в котором первые регистрационные данные содержат одноразовый пароль.

19. Осуществляемый с помощью компьютера способ по п. 17, в котором компьютер сервера функционирует как сервер обновления, и при этом способ дополнительно включает:

отправку вторых регистрационных данных на пользовательское устройство;

прием сообщения с запросом обновления от пользовательского устройства, при этом сообщение с запросом обновления содержит криптограмму регистрации пользователя и второй кратковременный открытый ключ от пользовательского устройства;

проверку подлинности криптограммы регистрации пользователя;

отправку сообщения с ответом обновления на пользовательское устройство, содержащего вторые параметры формирования ключа;

прием второй криптограммы регистрации от пользовательского устройства; и

проверку подлинности второй криптограммы регистрации с помощью вторых регистрационных данных.

20. Компьютерная система, содержащая:

память, которая хранит выполняемые компьютером команды; и

процессор, выполненный с возможностью осуществления доступа к памяти и исполнения выполняемых компьютером команд для:

определения пары кратковременных ключей, содержащей кратковременный открытый ключ и кратковременный закрытый ключ;

отправки сообщения с запросом предоставления, содержащего кратковременный открытый ключ, на компьютер сервера предоставления;

приема сообщения с ответом предоставления, содержащего зашифрованные удостоверяющие данные, от компьютера сервера предоставления;

определения ответного совместно используемого секретного ключа с помощью кратковременного закрытого ключа и статического открытого ключа сервера;

расшифровки зашифрованных удостоверяющих данных с помощью ответного совместно используемого секретного ключа для определения удостоверяющих данных;

получения параметров формирования ключа из удостоверяющих данных; и

формирования первого криптограммного ключа из ответного совместно используемого секретного ключа с помощью параметров формирования ключа, при этом первый криптограммный ключ используют для генерирования первой криптограммы для использования в первой защищенной связи с компьютером проверяющего подлинность сервера.