RU2819174C1 - Method of determining source of data packets in telecommunication networks - Google Patents
Method of determining source of data packets in telecommunication networks Download PDFInfo
- Publication number
- RU2819174C1 RU2819174C1 RU2023130579A RU2023130579A RU2819174C1 RU 2819174 C1 RU2819174 C1 RU 2819174C1 RU 2023130579 A RU2023130579 A RU 2023130579A RU 2023130579 A RU2023130579 A RU 2023130579A RU 2819174 C1 RU2819174 C1 RU 2819174C1
- Authority
- RU
- Russia
- Prior art keywords
- message
- communication session
- key
- authentication code
- source
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims description 14
- 238000004891 communication Methods 0.000 claims abstract description 40
- 238000012795 verification Methods 0.000 claims abstract description 6
- 239000000126 substance Substances 0.000 abstract 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 230000001934 delay Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Abstract
Description
Способ относится к области защиты информации в распределённых информационных системах, аутентификации источников сообщений, передаваемых в таких системах и определения достоверности принадлежности сообщения источнику, его сформировавшему.The method relates to the field of information protection in distributed information systems, authentication of sources of messages transmitted in such systems and determination of the authenticity of a message belonging to the source that generated it.
Наиболее близкими к предлагаемому изобретению по совокупности существенных признаков являются система и способ регистрации и аутентификации пользователей без паролей (заявка RU №2713604 C1, МПК H04L 29/06, G06F 21/62, G06F 21/30, H04L 9/32, дата регистрации 15.09.2017, дата публикации 05.02.2020). Данный способ обеспечивает анонимность передачи данных между источником и приемником сообщений за счет хранения кодов аутентификации третьей доверенной стороной. В качестве кодов аутентификации используются уникальные идентификаторы списка кодов цифровых ключей, из которых должен быть извлечен ключ. К недостаткам данного способа можно отнести использование машиночитаемого носителя информации, что приводит к необходимости использования аппаратных средств обработки, и деактивацию системой защиты данных кодов аутентификации в случае их компрометации, что приводит к распространению канальных ошибок. The closest to the proposed invention in terms of the set of essential features are a system and method for registering and authenticating users without passwords (application RU No. 2713604 C1, IPC H04L 29/06, G06F 21/62, G06F 21/30, H04L 9/32, registration date 15.09 .2017, publication date 02/05/2020). This method ensures anonymity of data transfer between the source and receiver of messages by storing authentication codes by a trusted third party. The unique identifiers of the list of digital key codes from which the key must be extracted are used as authentication codes. The disadvantages of this method include the use of a machine-readable storage medium, which leads to the need to use hardware processing, and the data protection system deactivates authentication codes if they are compromised, which leads to the propagation of channel errors.
Известны способ и система для придания анонимности многоузловому показателю эффективности и для управления действиями и повторной идентификацией анонимных данных (заявка RU №2664406 C2, МПК G06F 17/30, дата регистрации 09.12.2013, дата публикации 17.08.2018). Данный способ обеспечивает анонимность источнику данных посредством использования уникальных атрибутов для денормализации данных, которые передаются удаленному вычислительному ресурсу. Для отображения каждого уникального атрибута и преобразования данных к нормализованному виду генерируется таблица уникальных идентификаторов. Недостатком указанного способа является хранение денормализованных данных от множества источников на удаленном вычислительном ресурсе, что приводит к дополнительным временным задержкам. There is a known method and system for imparting anonymity to a multi-node performance indicator and for managing actions and re-identification of anonymous data (application RU No. 2664406 C2, IPC G06F 17/30, registration date 12/09/2013, publication date 08/17/2018). This method provides anonymity to the data source by using unique attributes to denormalize the data that is transferred to the remote computing resource. A table of unique identifiers is generated to display each unique attribute and transform the data into a normalized form. The disadvantage of this method is the storage of denormalized data from multiple sources on a remote computing resource, which leads to additional time delays.
Известны системы и способы для упрощения защищенных электронных транзакций (заявка RU №2740734 C2, МПК G06Q 20/08, дата регистрации 12.10.2016, дата публикации 20.01.2021). Данный способ обеспечивает анонимность идентификационных данных пользователя системы по отношению к системе эмитента во время проведения транзакции между системой плательщика и системой получателя платежа с использованием системы эмитента. Недостатком указанного способа является то, что в системе плательщика происходит шифрование передаваемого цифрового токена с помощью открытого ключа системы эмитента, в которой происходит его авторизация, что приводит к необходимости передачи идентификационных данных по открытому каналу связи.Systems and methods are known to simplify secure electronic transactions (application RU No. 2740734 C2, IPC G06Q 20/08, registration date 10/12/2016, publication date 01/20/2021). This method ensures the anonymity of the system user's identification data in relation to the issuer's system during a transaction between the payer's system and the payee's system using the issuer's system. The disadvantage of this method is that in the payer’s system the transferred digital token is encrypted using the public key of the issuer’s system in which it is authorized, which leads to the need to transmit identification data over an open communication channel.
Технической задачей является повышение защищённости передаваемых данных и стойкости к канальным ошибкам за счёт использования для шифрования каждого сообщения уникального ключа, сформированного из псевдослучайной последовательности и контроля очерёдности поступления сообщений по результатам расшифровывания сообщения в приёмнике.The technical task is to increase the security of transmitted data and resistance to channel errors by using a unique key, formed from a pseudo-random sequence, to encrypt each message and control the order of arrival of messages based on the results of decrypting the message at the receiver.
Техническая задача решается тем, что до начала сеанса связи источник и приёмник обмениваются секретным идентификатором сеанса связи, источник и приёмник генерируют на основании секретного идентификатора идентичные псевдослучайные последовательности, источник и приёмник выделяют из сгенерированных псевдослучайных последовательностей одинаковым способом непересекающиеся битовые последовательности, которые образуют множество криптографических ключей данного сеанса связи, при передаче сообщения источник шифрует его ключом с порядковым номером, равнымномеру сообщения в сеансе связи и формирует на основе исходного содержимого сообщения код аутентификации сообщения с помощью алгоритмов криптографического хеширования, источник передает зашифрованное сообщение вместе с кодом аутентификации данного сообщения, приёмник хранит все ключевые наборы для всех активных сеансов связи, для каждого сеанса связи в каждый момент времени из множества ключей выделяют некоторое подмножество ключей, используемое для расшифровывания поступающих сообщений, поступившее в приёмник сообщение расшифровывают для каждого сеанса связи с использованием всех ключей всего подмножества ключей данного сеанса связи, при каждой процедуре расшифровывания проверяют код аутентификации путём сравнениясформированного с помощью алгоритмов криптографического хеширования кода с кодом аутентификации сообщения, полученным вместе с сообщением, сообщение считают сформированным источником и принадлежащем определённому сеансу связи, если при расшифровывании проверка кода аутентификации оказалась успешной, номер ключа, который дал верный результат при проверке кода аутентификации, принимается как номер сообщения, поступившего в приёмник в течение сеанса связи, после каждой успешной проверки кода аутентификации подмножество ключей данного сеанса связи изменяется путём удаления из него ключа с наименьшим номером и добавления ключа с номером, на единицу превышающим максимальный номер ключа подмножества.The technical problem is solved by the fact that before the start of a communication session, the source and receiver exchange a secret identifier for the communication session, the source and receiver generate identical pseudo-random sequences based on the secret identifier, the source and receiver select disjoint bit sequences from the generated pseudo-random sequences in the same way, which form a set of cryptographic keys of a given communication session, when transmitting a message, the source encrypts it with a key with a serial number equal to the message number in the communication session and, based on the original contents of the message, generates a message authentication code using cryptographic hashing algorithms, the source transmits the encrypted message along with the authentication code of this message, the receiver stores everything key sets for all active communication sessions, for each communication session at each moment in time, a certain subset of keys is selected from the set of keys, used to decrypt incoming messages, the message received by the receiver is decrypted for each communication session using all the keys of the entire subset of keys for this communication session, During each decryption procedure, the authentication code is checked by comparing the code generated using cryptographic hashing algorithms with the message authentication code received along with the message, the message is considered generated by the source and belonging to a specific communication session, if during decryption the verification of the authentication code was successful, the key number that gave the correct the result when checking the authentication code is accepted as the number of the message received by the receiver during the communication session; after each successful verification of the authentication code, the subset of keys for this communication session is changed by removing the key with the lowest number from it and adding a key with a number one greater than the maximum number subset key.
На фигуре 1 представлен пример формирования сообщений на основании множества криптографических ключей данного сеанса связи, полученного на базе псевдослучайной последовательности, и передаваемых в приёмник.Figure 1 shows an example of message generation based on a set of cryptographic keys for a given communication session, obtained on the basis of a pseudo-random sequence, and transmitted to the receiver.
На фигуре 2 приведен пример расшифровывания поступившего сообщения, при этом «да» - сообщение считается выданным источником и принадлежащем определённому сеансу связи, «нет» - сообщение не считается выданным источником и принадлежащем определённому сеансу связи.Figure 2 shows an example of decrypting an incoming message, with “yes” - the message is considered issued by a source and belonging to a specific communication session, “no” - the message is not considered issued by a source and belonging to a specific communication session.
До начала сеанса связи происходит обмен секретным параметром - идентификатором сеанса связи. Эта кодовая последовательность является основой для генерации псевдослучайной последовательности, при этом алгоритм генерации не является предметом изобретения. Из псевдослучайной последовательности выделяются непересекающиеся битовые последовательности, для использования которых в качестве ключей шифрования они должны быть одинаковые по длине. Алгоритм, по которому из псевдослучайной последовательности выделяются битовые последовательности, одинаков для источника и приёмника. Таким образом, формируется упорядоченное множество криптографических ключей, идентичное для источникаи приёмника. Каждый криптографический ключ в данном множестве имеет свой уникальный номер и используется источником для шифрования сообщения с таким же порядковым номером в рассматриваемом сеансе связи. С помощью криптографического хеширования из незашифрованного сообщения формируется код аутентификации сообщения, который передаётся в приёмник вместе с зашифрованным сообщением. Для поддержания сеансов связи с различными источниками приёмник выделяет из всего множества ключей каждого сеанса связи подмножество ключей некоторого ограниченного размера, которое используется при проверке каждого поступающего сообщения. Целью этого является ограничение количества расшифровываний поступившего сообщения, так как приёмник априори не имеет информации о порядковом номере сообщения в сеансе связи и даже информации о принадлежности сообщения рассматриваемого сеансу связи. Данная информация формируется при последовательном подборе ключей для расшифровывания сообщения.Before the start of a communication session, a secret parameter is exchanged - the communication session identifier. This code sequence is the basis for generating a pseudo-random sequence, and the generation algorithm is not the subject of the invention. Disjoint bit sequences are extracted from the pseudo-random sequence; to use them as encryption keys, they must be equal in length. The algorithm by which bit sequences are extracted from a pseudorandom sequence is the same for the source and receiver. Thus, an ordered set of cryptographic keys is formed, identical for the source and receiver. Each cryptographic key in this set has its own unique number and is used by the source to encrypt a message with the same sequence number in the communication session in question. Using cryptographic hashing, a message authentication code is generated from an unencrypted message, which is transmitted to the receiver along with the encrypted message. To maintain communication sessions with various sources, the receiver selects from the entire set of keys for each communication session a subset of keys of a certain limited size, which is used when checking each incoming message. The purpose of this is to limit the number of decryptions of an incoming message, since the receiver a priori does not have information about the serial number of the message in the communication session and even information about the belonging of the message to the communication session in question. This information is generated by sequential selection of keys to decrypt the message.
Приёмник с использованием каждого ключа сформированного подмножества сообщений расшифровывает сообщение и формирует из полученных с помощью алгоритма криптографического хеширования, используемого источником, формирует проверочную последовательность, которую сравнивает с кодом аутентификации, полученным вместе с сообщением. Совпадение кодов аутентификации означает то, что сообщение сформировано источником, с которым осуществляется обмен данными в сеансе связи, и что порядковый номер сообщения в этом сеансе связи равен номеру ключа, использование которого привело к совпадению кодов аутентификации. Совпадение кодов аутентификации должно вызвать изменение состава подмножества колючей, используемых для расшифровывания сообщения в рассматриваемом сеансе связи, так как используемые протоколы связи в современных телекоммуникационных сетях подразумевают последовательную передачу сообщений в рамках сеанса связи, когда сообщение с большим порядковым номером передаётся после сообщения с меньшим.The receiver, using each key of the generated subset of messages, decrypts the message and forms a verification sequence from those obtained using the cryptographic hashing algorithm used by the source, which it compares with the authentication code received along with the message. Authentication code matching means that the message was generated by the source with which data is exchanged in the communication session, and that the sequence number of the message in this communication session is equal to the number of the key, the use of which led to the matching of the authentication codes. The coincidence of authentication codes should cause a change in the composition of the subset of thorns used to decrypt the message in the communication session in question, since the communication protocols used in modern telecommunication networks imply sequential transmission of messages within the communication session, when a message with a larger sequence number is transmitted after a message with a smaller one.
Изменение состава подмножества ключей, используемых для расшифровывания сообщения, осуществляется путём добавления в него ключа с порядковым номером, на один превышающим максимальный порядковый номер ключей в подмножестве, и удалением из подмножества ключа с наименьшим порядковым номером. Changing the composition of the subset of keys used to decrypt a message is carried out by adding to it a key with a sequence number one greater than the maximum sequence number of the keys in the subset, and removing the key with the lowest sequence number from the subset.
Claims (1)
Publications (1)
| Publication Number | Publication Date |
|---|---|
| RU2819174C1 true RU2819174C1 (en) | 2024-05-15 |
Family
ID=
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| RU2258314C2 (en) * | 2001-10-29 | 2005-08-10 | Самсунг Электроникс Ко., Лтд. | Device and method for sending and receiving information for detection of errors in communications system |
| US20130152179A1 (en) * | 2011-12-09 | 2013-06-13 | Electronics And Telecommunications Research Institute | System and method for user authentication using one-time identification |
| RU2713604C1 (en) * | 2016-09-15 | 2020-02-05 | Гурулоджик Микросистемс Ой | Registration and authentication of users without passwords |
| RU2763290C1 (en) * | 2021-07-02 | 2021-12-28 | Федеральное государственное бюджетное образовательное учреждение высшего образования «Юго-Западный государственный университет» | Method for determining the correctness of transmission of information packets |
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| RU2258314C2 (en) * | 2001-10-29 | 2005-08-10 | Самсунг Электроникс Ко., Лтд. | Device and method for sending and receiving information for detection of errors in communications system |
| US20130152179A1 (en) * | 2011-12-09 | 2013-06-13 | Electronics And Telecommunications Research Institute | System and method for user authentication using one-time identification |
| RU2713604C1 (en) * | 2016-09-15 | 2020-02-05 | Гурулоджик Микросистемс Ой | Registration and authentication of users without passwords |
| RU2763290C1 (en) * | 2021-07-02 | 2021-12-28 | Федеральное государственное бюджетное образовательное учреждение высшего образования «Юго-Западный государственный университет» | Method for determining the correctness of transmission of information packets |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US12375304B2 (en) | Mutual authentication of confidential communication | |
| JP7119040B2 (en) | Data transmission method, device and system | |
| CN108199835B (en) | Multi-party combined private key decryption method | |
| US5907618A (en) | Method and apparatus for verifiably providing key recovery information in a cryptographic system | |
| JP3560439B2 (en) | Device for performing encryption key recovery | |
| US20230188325A1 (en) | Computer-implemented system and method for highly secure, high speed encryption and transmission of data | |
| EP3476078B1 (en) | Systems and methods for authenticating communications using a single message exchange and symmetric key | |
| US20170244687A1 (en) | Techniques for confidential delivery of random data over a network | |
| US20030115452A1 (en) | One time password entry to access multiple network sites | |
| US20120087495A1 (en) | Method for generating an encryption/decryption key | |
| WO2007103906A2 (en) | Secure data transmission using undiscoverable or black data | |
| CN110932851A (en) | PKI-based multi-party cooperative operation key protection method | |
| CN114189338B (en) | SM9 key secure distribution and management system and method based on homomorphic encryption technology | |
| EP1079565A2 (en) | Method of securely establishing a secure communication link via an unsecured communication network | |
| CN111526131B (en) | Anti-quantum-computation electronic official document transmission method and system based on secret sharing and quantum communication service station | |
| US11917056B1 (en) | System and method of securing a server using elliptic curve cryptography | |
| CN112822015A (en) | Information transmission method and related device | |
| EP3185504A1 (en) | Security management system for securing a communication between a remote server and an electronic device | |
| RU2819174C1 (en) | Method of determining source of data packets in telecommunication networks | |
| Chauhan et al. | Enhancing Mobile Cloud Computing Security with SHA-256 and RSA for User Authentication and Data Sharing | |
| US12261946B2 (en) | System and method of creating symmetric keys using elliptic curve cryptography | |
| US20250131422A1 (en) | Key Exchange Through a Plurality of Non-Trusted Third Parties | |
| CN111200602B (en) | Rights-sharing management method, encryption card, administrator lock and cipher machine | |
| Gennaro et al. | Secure key recovery | |
| RU2771928C2 (en) | Secure data exchange ensuring direct secrecy |