Система аутентификации пользователей в промышленных условиях

Изобретение относится к способам аутентификации пользователей и может быть использовано при создании терминалов, предназначенных для контроля доступа в защищаемое помещение, к удаленному осуществлению коммерческой, управленческой и другой деятельности через сети общего пользования типа Интернет, а также для контроля доступа к управлению современными электронно-вычислительными машинами, в том числе размещенными вне контролируемых территорий.

Известен способ аутентификации с помощью текстового пароля [Соколов А.В., Шаньгин В.Ф. Защита информации в распределенных корпоративных сетях и системах. М.: ДМК Пресс, 2002]. Популярность данного вида пароля приобрел из-за простоты и привычности использования, так как текстовые пароли начали использоваться одними из первых в операционных системах, и поэтому многие пользователи умеют работать с текстовыми паролями и привыкли к такому способу входа в систему компьютера.

Недостатком аутентификации с помощью текстового пароля является то, что пароль могут подсмотреть или перехватить при входе в систему компьютера с помощью специальных программ или вирусов. Кроме того преступники могут использовать методы социальной инженерии, с помощью которых взломщик может получить пароль пользователя, представившись администратором сайта, на котором зарегистрирован пользователь, или работником техподдержки.

Так же известно техническое решение, в котором аутентификация пользователей на основе изменяющегося во времени графического пароля (патент РФ №2445685, кл. G06F 12/14, H04L 9/32, 2012 г. - прототип), осуществляется с помощью системы содержащей блоки: считывания аутентификационной информации; считывания идентификационной информации; хранения контрольной аутентификационной информации; хранения контрольной идентификационной информации; сравнения аутентификационной информации с контрольной информацией; сравнения идентификационной информации с контрольной информацией; принятия решения об успешности аутентификации; вход поступления аутентификационной информации; вход поступления контрольной аутентификационной информации; вход поступления идентификационной информации; вход поступления контрольной идентификационной информации; выход передачи решения об успешности аутентификации. С помощью известной системы осуществляют предварительное формирование набора из N небольших графических символов, предоставление пользователю выбора из сформированного набора для запоминания группы S секретных небольших графических символов sk, путем выведения на экран выбранных из набора произвольным образом Ni графических символов, формирование невидимой секретной области Ai, ограниченной многоугольником с вершинами в центрах выведенных на экране Ki секретных символов, фиксирование точки di воздействия пользователя на экран, формирование положительного результата проведения i-го этапа ввода аутентификационной информации, причем дополнительно предоставляют для запоминания пользователю выбор рk секретного шаблона символов из базы Рk секретных шаблонов для k-го секретного графического символа sk, отображают выбранный очередной шаблон на графическом символе sj, формируют положительный результат проведения i-го этапа ввода аутентификационной информации.

Недостатком прототипа является отсутствие возможности восстановления идентификационных и аутентификационных данных и уязвимость.

Техническим результатом заявляемого изобретения является возможность обеспечения проведения аутентификации с возможностью восстановления утерянных аутентификационных и идентификационных данных.

Технический результат достигается тем, что система аутентификации пользователей в промышленных условиях включающей блок считывания аутентификационной информации, блок считывания идентификационной информации, блок хранения контрольной аутентификационной информации, блок хранения контрольной идентификационной информации, блок сравнения аутентификационной информации с контрольной информацией, блок сравнения идентификационной информации с контрольной информацией, блок принятия решения об успешности аутентификации, вход поступления аутентификационной информации, вход поступления контрольной аутентификационной информации, вход поступления идентификационной информации, вход поступления контрольной идентификационной информации, выход передачи решения об успешности аутентификации, согласно изобретению имеет блок разблокировки аутентификации, блок посимвольной обработки, счетчик количества попыток аутентификации, счетчик количества попыток идентификации, блок хранения количества попыток идентификации, блок хранения количества попыток аутентификации, блок формирования сигнала блокировки, блок восстановления системы, вход количества попыток аутентификации, вход количества попыток идентификации, выход блокировки системы, выход сигнала о восстановлении системы, при этом вход поступления аутентификационной информации соединен с блоком считывания аутентификационной информации, который соединен через блоки разблокировки аутентификации и посимвольной обработки с блоком сравнения аутентификационной информации с контрольной информацией, один выход которого соединен с блоком формирования сигнала блокировки через счетчик количества попыток аутентификации, причем блок формирования сигнала блокировки имеет обратную связь со счетчиком количества попыток идентификации, а второй выход - с блоком принятия решения об успешности аутентификации, выходы которого соединены с выходом принятия решения об успешности аутентификации и с выходом блокировки системы, вход поступления контрольной идентификационной информации через блоки хранения контрольной идентификационной информации и сравнения идентификационной информации с контрольной информацией, соединен с блоком принятия решения об успешности аутентификации, а вход поступления контрольной аутентификационной информации через блок хранения контрольной аутентификационной информации соединен с блоком сравнения аутентификационной информации с контрольной информацией, блок сравнения идентификационной информации с контрольной информацией соединен с блоком разблокировки аутентификации и со счетчиком количества попыток идентификации, который соединен с блоком разблокировки аутентификации, причем вход количества попыток аутентификации, через блок хранения количества попыток идентификации, соединен со счетчиком количества попыток идентификации, а счетчик количества попыток идентификации через блок восстановления системы сообщен с выходом сигнала о восстановлении системы, вход количества попыток идентификации сообщен через блок хранения количества попыток идентификации и счетчик количества попыток идентификации с блоком формирования сигнала блокировки выход которого имеет обратную связь со счетчиком количества попыток идентификации и вход идентификационной информации через блок считывания идентификационной информации сообщен с блоком сравнения идентификационной информации с контрольной информацией.

Новизна заявляемого изобретение заключается в том, что предлагаемая система аутентификации позволяет обеспечить защиту вводимой пользователями аутентификационной информации от утечки по техническим каналам (например, от «подсматривания»), перехвата с помощью «клавиатурных шпионов» либо взлома пароля методом перебора паролей, а также возможность восстановления аутентификационных и идентификационных данных.

Именно новое свойство совокупности признаков, приводящих к увеличению удобства использования системы при неизменной стойкости к атакам на систему аутентификации, позволяет сделать вывод о соответствии предлагаемого технического решения критерию «изобретательский уровень».

Данный способ можно реализовать в виде программы для ЭВМ при наличии среды разработки, что соответствует «критерию промышленная применимость».

Сущность изобретения поясняется чертежом, где на фигуре 1 - изображена блок- схема системы аутентификации пользователей в промышленных условиях, на фигуре 2 - изображен скриншот с экрана компьютера «Форма аутентификации» для ввода аутентификационной информации; на фигуре 3 - скриншот с экрана компьютера «Блокировка системы».

Система аутентификации пользователей в промышленных условиях состоит из следующих элементов:

1 - вход аутентификационной информации

2 - вход контрольной аутентификационной информации

3 - вход идентификационной информации

4 - вход контрольной идентификационной информации

5 - вход количества попыток идентификации

6 - вход количества попыток аутентификации

7 - блок считывания аутентификационной информации

8 - блок хранения контрольной аутентификационной информации

9 - блок считывания идентификационной информации

10 - блок хранения контрольной идентификационной информации

11 - блок хранения количества попыток идентификации

12 - блок хранения количества попыток аутентификации

13 - блок посимвольной обработки

14 - блок сравнения идентификационной информации с контрольной информацией

15 - счетчик количества попыток идентификации

16 - блок разблокировки аутентификации

17 - блок сравнения аутентификационной информации с контрольной информацией

18 - блок восстановления системы

19 - счетчик количества попыток аутентификации

20 - блок принятия решения об успешности аутентификации

21 - блок формирования сигнала блокировки

22 - выход принятия решения об успешности аутентификации

23 - выход блокировки системы

24 - выход сигнала о восстановлении системы.

Предлагаемая система аутентификации пользователей в промышленных условиях для достижения технического результата по сравнению с прототипом, который содержит блок 7 считывания аутентификационной информации, блок 9 считывания идентификационной информации, блок 8 хранения контрольной аутентификационной информации, блок 10 хранения контрольной идентификационной информации, блок 17 сравнения аутентификационной информации с контрольной информацией, блок 14 сравнения идентификационной информации с контрольной информацией, блок 20 принятия решения об успешности аутентификации, вход 1 аутентификационной информации, вход 2 контрольной аутентификационной информации, вход 3 идентификационной информации, вход 4 контрольной идентификационной информации, выход 22 передачи решения об успешности аутентификации, дополнительно имеет: блок 16 разблокировки аутентификации, блок 13 посимвольной обработки, счетчик 19 количества попыток аутентификации, счетчик 15 количества попыток идентификации, блок 21 формирования сигнала блокировки, блок 18 восстановления системы, вход 6 количества попыток аутентификации, вход 5 количества попыток идентификации, выход 23 блокировки системы, выход 24 сигнала о восстановлении системы. В системе аутентификации вход 1 аутентификационной информации соединен с блоком 7 считывания аутентификационной информации, который соединен через блоки 16 и 13 разблокировки аутентификации и посимвольной обработки с блоком 17 сравнения аутентификационной информации с контрольной информацией, один выход которого соединен с блоком 21 формирования сигнала блокировки через счетчик 19 количества попыток аутентификации, причем блок 21 формирования сигнала блокировки имеет обратную связь со счетчиком 19, а второй выход - с блоком 20 принятия решения об успешности аутентификации, выходы которого соединены с выходом 22 принятия решения об успешности аутентификации и с выходом 23 блокировки системы, вход 4 контрольной идентификационной информации через блоки 10 и 14 хранения контрольной идентификационной информации и сравнения идентификационной информации с контрольной информацией, соединен с блоком 20 принятия решения об успешности аутентификации, а вход 2 контрольной аутентификационной информации через блок 8 хранения контрольной аутентификационной информации соединен с блоком 17 сравнения аутентификационной информации с контрольной информацией, блок 14 сравнения идентификационной информации с контрольной информацией соединен с блоком 16 разблокировки аутентификации и со счетчиком 15 количества попыток идентификации, который соединен с блоком 16 разблокировки аутентификации, причем вход 6 количества попыток аутентификации, через блок 11 хранения количества попыток идентификации, соединен со счетчиком 15 количества попыток идентификации, а счетчик 15 количества попыток идентификации через блок 18 восстановления системы сообщен с выходом 24 сигнала о восстановлении системы, вход 5 количества попыток идентификации сообщен через блок 11 хранения количества попыток идентификации и счетчик 15 количества попыток идентификации с блоком 21 формирования сигнала блокировки, выход которого имеет обратную связь со счетчиком 15 количества попыток идентификации. Вход 3 идентификационной информации через блок 9 считывания идентификационной информации сообщен с блоком 14 сравнения идентификационной информации с контрольной информацией.

После изучения принципов действия изменяющегося во времени графического пароля, аутентификации с помощью текстового пароля, принципа действия «клавиатурных шпионов» и взлома паролей с помощью подбора паролей, было предложено для устранения данной уязвимости отказаться от ввода пароля с клавиатуры и использовать идентификацию с помощью компьютерной мыши и виртуальных кнопок на экране формы аутентификации, также следует отметить, что предлагаемая система обеспечивает возможность восстановления и замены пароля, чтобы пользователь смог получить доступ к своей информации, даже когда забудет пароль.

Система аутентификации пользователей в промышленных условиях работает следующим образом

С входа 3 идентификационной информации в систему попадает идентификационная информация, вводимая пользователем, которая отображается на экране монитора в поле для ввода логина формы идентификации. После ввода пользователем логина происходит считывание введенного логина в блоке 9 считывания идентификационной информации и проверка введенного логина с эталонным логином в блоке 14 сравнения идентификационной информации с контрольной информацией. Если проверка прошла успешно, то пользователь переходит к этапу аутентификации в системе через блок 16 разблокировки аутентификации, в противном случае - пользователь получит возможность снова ввести логин, при этом значение счетчика 15 количества попыток идентификации уменьшится на единицу. После использования последней попытки ввода логина произойдет блокировка системы, и администратор системы получит сигнал из выхода 24 сигнала о восстановлении системы об утере пользовательских данных и необходимости их восстановления. После успешного прохождения этапа идентификации блок 16 разблокировки аутентификации откроет доступ к форме аутентификации с одним текстовым полем в центре формы, кнопкой подтверждения ввода пароля, которая находится справа от текстового поля, одной стрелкой, указывающей вниз и одной стрелкой, указывающей вверх, снизу и сверху текстовых полей соответственно. При запуске формы в текстовых полях генерируются случайным образом числа от 0 до 9, с входа 1 аутентификационной информации на форму поступает аутентификационная информация, которую пользователь может уменьшить либо увеличить с помощью нажатий левой кнопкой компьютерной мыши на виртуальные кнопки под и над текстовым полем, или с помощью колеса мыши. При выборе из выпадающего меню нужного типа символов пользователь сможет изменить вводимые в поля для ввода пароля символы на английские или русские строчные и прописные буквы. В этом случае изменять введенные буквы можно с помощью виртуальных кнопок или вращением колеса мыши, как и при вводе цифр. После нажатия кнопки подтверждения ввода символа пароля блок 7 считывания аутентификационной информации передаст полученную информацию в блок 13 посимвольной обработки. После ввода всего пароля в блоке 17 сравнения аутентификационной информации с контрольной информацией программа сравнит введенный пароль с эталонным паролем, который пользователь предварительно установил в настройках программы. При совпадении пароля, введенного пользователем, с пользовательским эталонным паролем блок 20 принятия решения об успешности аутентификации закроет форму, тем самым разрешит доступ к системе и подаст сигнал на выход 22 об успешности аутентификации, иначе программа предоставит возможность ввести пароль заново уменьшив значение счетчика 19 количества попыток аутентификации на единицу. После использования последней попытки на ввод пароля блок 20 принятия решения об успешности аутентификации заблокирует доступ к компьютеру и подаст сигнал на выход 23 блокировки системы. Если пользователь забудет пароль или логин, то блок 18 восстановления системы подаст сигнал на выход 24 сигнала о восстановлении системы, тем самым предупредив администратора системы об утере пользовательских данных и необходимости их восстановления.

В предлагаемой системе пароль не нужно вводить с клавиатуры, так как цифры пароля генерируются в текстовых полях и изменяются нажатием виртуальных кнопок. При этом генерация производится случайным образом, то есть узнать пароль с помощью отслеживания количества нажатий на виртуальную кнопку невозможно. Таким образом, система устраняет уязвимость к «клавиатурным шпионам» и взлому путем перебора паролей.

Предлагаемая система аутентификации пользователей с защитой от подсматривания может быть использована, в том числе, и при доступе к различным системам (интернет-банкинг, заказ через интернет-магазины и т.д.) через сеть общего пользования типа Интернет.

Система может быть реализована программно с помощью ЭВМ или вычислительного устройства.