Способ защищенной передачи данных

Иллюстрации

Показать все

Изобретение относится к способу защищенной передачи данных, в частности между тахографом грузового транспортного средства и картами памяти, включающими в себя идентификаторы (4) и сертификаты защищенности вторых пользователей. Техническим результатом является сокращение времени на верификацию сертификатов защищенности без ущерба для защищенности. В способе первый пользователь получает от второго пользователя идентификатор и сравнивает его с сохраненными идентификаторами. При наличии совпадающего идентификатора соответствующий этому идентификатору сертификат защищенности является основой для последующей передачи данных, а если не имеется совпадающего идентификатора, то проводится верификация сертификата защищенности. 4 з.п. ф-лы, 3 ил.

Реферат

Изобретение относится к способу защищенной передачи данных между первым пользователем и вторыми пользователями, в частности между регистратором скорости (тахографом) грузового транспортного средства и картами памяти с, соответственно, по меньшей мере, одним блоком памяти данных, причем первый пользователь имеет блок памяти, в котором сохранено определенное количество записей, соответственно, включающих в себя идентификаторы, и относящиеся к ним сертификаты защищенности вторых пользователей с временем определения сертификата защищенности.

Способы надежной передачи данных приобретают все большее значение и существуют уже в большом многообразии в области компьютерных сетей. В широком смысле сопоставимым с современными компьютерными сетями является взаимодействие или защищенная передача данных цифрового тахографа с картой памяти согласно EG-предписанию 3821/85. Для обеспечения выполнения существующих социальных требований и законов на рабочем месте грузового транспортного средства особое значение имеет повышение защищенности от манипулирования. Поэтому применяются самые строгие меры в отношении надежности передачи данных. Для этого разработана система сертификатов защищенности, которая включает в себя различные открытые и секретные ключи, сведения о которой содержатся в упомянутом выше предписании. Прежде чем первый пользователь или тахограф сможет вступить в обмен данными со вторым пользователем или картой памяти, требуется, в числе прочего, провести очень трудоемкий способ верификации сертификатов защищенности на обеих сторонах пользователей системы. Масштаб этого процесса и ограниченные возможности обработки данных в малоформатном приборе делают необходимым принятие особых мер, чтобы время доступа при приемлемых затратах сохранялось в разумных пределах.

Поэтому задачей изобретения является, в частности, снижение временных затрат на верификацию сертификатов защищенности для пользователей, участвующих в обмене данными, без ущерба для защищенности от манипулирования.

Для решения этой задачи в соответствии с изобретением предложен способ вышеуказанного типа, в котором предусмотрено, что первый пользователь получает от второго пользователя идентификатор, первый пользователь сравнивает этот идентификатор с идентификаторами, сохраненными в блоке памяти; если в блоке памяти сохранен совпадающий идентификатор, то соответствующий этому идентификатору сертификат защищенности является основой для последующей передачи данных, и время определения сертификата защищенности актуализируется путем установки на текущее системное время, а если в блоке памяти не сохранен совпадающий идентификатор, то первый пользователь проводит верификацию сертификата защищенности в отношении второго пользователя, и при подтверждении его действительности сохраняет в блоке памяти запись, соответствующую подтвержденному сертификату защищенности, с текущим временем определения, причем запись с самой ранней датой определения заменяется этой новой записью, если определенное число записей уже было достигнуто.

Решающее преимущество соответствующего изобретению способа заключается в экономии очень затратного по времени процесса верификации сертификата защищенности для случая, когда первому пользователю, на основе проведенного ранее процесса верификации, уже известен второй пользователь. По причинам ограничения свободного места в памяти, в особенности, когда первый пользователь является тахографом, а второй пользователь представлен картой памяти, предусматривается ограничение числа записей, включающих в себя сертификаты защищенности и время определения сертификатов защищенности других пользователей. Чтобы, несмотря на это ограничение, оптимизировать «способность запоминания» первым пользователем вторых пользователей максимальным числом вторых пользователей, соответствующий изобретению способ предусматривает не простое кольцевое сохранение в хронологическом порядке появления вторых пользователей, чтобы всегда, например, самая старая запись перезаписывалась новейшей записью, когда обусловленное объемом памяти максимальное число записей уже достигнуто. Вместо этого, сначала содержимое блока памяти первого пользователя проверяется на то, существует ли уже запись с идентификатором, идентичным идентификатору нового пользователя, которая при положительном результате проверки только актуализируется в отношении даты определения и, при необходимости, истечения действительности сертификата защищенности. Таким способом первому пользователю, при условии, что ранее уже было верифицировано некоторое число различных вторых пользователей, превышающее определенное число сохраненных в памяти записей, всегда известно определенное число вторых пользователей. Таким способом, определенное число, соответственно установленным правилам, например грузового автопарка, может быть согласовано с числом его работников или обычно работающих на грузовых транспортных средствах различных владельцев карт, чтобы таким образом достигалось оптимальное использование блока памяти первого пользователя. Время доступа остается, предпочтительно, коротким, так как и при повторяющемся разъединении и соединении первого пользователя и второго пользователя, постоянно изменяются или актуализируются только записи, соотнесенные с идентификацией первого пользователя.

Предпочтительным образом, идентификатор пользователей, переданный для целей идентификации, представляет собой открытый ключ способа шифрования, определенного как RSA-способ (способ шифрования и дешифрования согласно алгоритму Rivest-Schamir-Adleman), для второго пользователя. Этот открытый ключ может, с одной стороны, служить для передачи данных и, с другой стороны, является однозначным.

Из соображений экономии вычислительных затрат, предпочтительный вариант осуществления предусматривает, что последующая передача данных осуществляется посредством симметричного шифрования, в частности Triple-DES-способа; причем после осуществленной верификации сертификата защищенности оба пользователя передают случайное число в зашифрованном виде другому пользователю, и оба пользователя, соответственно, независимо друг от друга посредством обоих случайных чисел определяют общий ключ для передачи данных с применением одного и того же алгоритма. По существу, в данном случае обеспечивается надежность асимметричного способа шифрования, так как генерирование ключа сеанса для симметричного способа возможно только для пользователя, который перед этим посредством асимметричного способа имел возможность осуществить связь с другим пользователем или дешифровать взаимно переданное друг другу случайное число.

Важное положение относительно защищенности от манипулирования, согласно способу, соответствующему изобретению, занимает верификация сертификата защищенности посредством, соответственно, другого пользователя, предпочтительно включающая в себя следующие n этапов.

На первом этапе второй пользователь пересылает первому пользователю первый сертификат защищенности, который второй пользователь с использованием первого открытого ключа подвергает верификации и при этом определяет второй открытый ключ. Если верификация приводит к аутентификации переданного сертификата защищенности, то первый этап с применением другого переданного сертификата защищенности и определенного на предыдущем этапе второго открытого ключа вместо первого открытого ключа повторяется (n-1)-кратно, причем постоянно получается новый второй открытый ключ и новый результат верификации. Эта чередующаяся верификация может предпочтительным образом повторяться 3(=n)-кратно, что приводит в результате к очень высокой степени защиты от манипулирования.

Изобретение поясняется ниже на примере выполнения со ссылками на чертежи, на которых показано следующее:

Фиг.1 - схематичное представление соответствующего изобретению способа в форме диаграммы последовательности операций;

Фиг.2 - диаграмма последовательности операций процесса верификации сертификата защищенности;

Фиг.3 - записи известных вторых пользователей в блоке памяти первого пользователя.

Диаграмма последовательности операций, показанная на фиг.1, иллюстрирует существенные шаги реализации соответствующего изобретению способа применительно к обмену данными между цифровым тахографом 51 и картой 50 памяти.

Начальное событие 1 состоит в приеме 2 карты 50 памяти посредством тахографа 51. В рамках приема 2 карты 50 памяти, которая, с точки зрения соответствующего изобретению способа является вторым пользователем Т2, тахограф, который, с точки зрения соответствующего изобретению способа, является первым пользователем Т1, устанавливает проводящее соединение с блоком памяти данных карты 50 памяти, по которому могут передаваться сигналы данных.

На втором этапе 3 тахограф 51 в качестве первого пользователя Т1 получает от карты 50 памяти в качестве второго пользователя Т2 идентификатор 4 и проверяет на третьем этапе 5, известен ли уже идентификатор 4 из предыдущего процесса. Для этого тахограф 51 обращается к встроенному блоку 6 памяти, в котором сохранены записи в объеме, более подробно описанном ниже со ссылкой на фиг.3.

Если в блоке 6 памяти не имеется записи, сохраненной с идентификатором 4 карты 50 памяти, то соответствующий изобретению способ переходит к взаимной верификации 7 сертификатов защищенности сторон. При этом во время первой верификации сертификата защищенности сертификат защищенности карты 50 памяти посредством тахографа проверяется на действительность, известность и аутентичность согласно фиг.2, и затем происходит соответствующая вторая проверка 9 тахографа 51 со стороны карты 50 памяти.

Этапы 8 и 9 пропускаются, если на этапе 5 второй пользователь Т2 или карта 50 памяти со стороны первого пользователя Т1 идентифицированы как известные. Если окончательный результат верификации сертификата защищенности, согласно этапам 8 и 9, соответствует отсутствию верификации, то карта 50 памяти или первый пользователь Т1 на этапе 10 отклоняется.

При успешной взаимной верификации или известном идентификаторе 4 на этапе 11 осуществляется взаимный обмен случайными числами в RSA-зашифрованной форме, посредством которого на этапе 12 обоими пользователями Т1, Т2 независимо генерируется ключ 60 сеанса, который на следующем этапе 13 служит для симметричного шифрования передаваемых данных.

На фиг.2 представлена верификация сертификата защищенности согласно этапам 8 и 9, показанным на фиг.1. На первом этапе 21 второй пользователь Т2 получает от первого пользователя Т1 сертификат Cert.Lev.1 защищенности первого уровня. С помощью записей блока 22 памяти на втором этапе 23 проверяется, является ли открытый ключ или идентификатор сертификата Cert.Lev.1 защищенности первого уровня уже известным и еще действительным. В случае действительности и известности представленный способ переходит непосредственно к этапу 24, во время которого первый пользователь Т1 подвергает проверке сертификат защищенности второго пользователя Т2 аналогичным, отдельно не описанным, способом. Если открытый ключ сертификата Cert.Lev.1 защищенности первого уровня на этапе 23 был идентифицирован как неизвестный, то второй пользователь Т2 получает от первого пользователя Т1 сертификат Cert.Lev.2 защищенности второго уровня на следующем этапе 25. Соответственно этапу 23, аналогичным образом осуществляется этап 26, во время которого второй пользователь Т2 при обращении к блоку 22 памяти проверяет известность и действительность открытого ключа сертификата Cert.Lev.2 защищенности второго уровня. Если результатом проверки является подтверждение известности и действительности, то способ переходит непосредственно к этапу 27 верификации, на котором сертификат Cert.Lev.1 защищенности первого уровня подвергается верификации. Если открытый ключ сертификата Cert.Lev.2 защищенности второго уровня не известен и не действителен, то сначала производится верификация сертификата Cert.Lev.2 защищенности второго уровня на этапе 28, прежде чем будет введена верификация согласно этапу 27. Если проверки на этапах 27 и 28 имеют результатом верификацию сертификата Cert.Lev.1,2 защищенности первого уровня и второго уровня, то способ переходит к этапу 24, который вводит в отношении пользователей Т1 и Т2 обратную верификацию сертификатов защищенности.

На фиг.3 показано содержимое блоков 22 или 6 памяти в зависимости от записей (элементов данных) информационного обмена различных вторых пользователей Т2 с первым пользователем Т1. Емкость блоков 6, 22 памяти ограничена пятью записями 31-35. На фиг.3 отображены шесть следующих друг за другом состояний 41-46, которые соответственно воспроизводят записи 31-34 после определенных событий. Показанные записи 31-34 включают в себя дату 51, значение которой сохранено в шестнадцатеричном коде как значение в секундах с даты 1.1.1970. Наряду с этим, записи 31-35 включают в себя содержимое 52 сертификата защищенности, которое включает в себя результат EOV проверки действительности сертификата защищенности и характеристику CHR владельца сертификата защищенности. Наряду с этим, записи 31-35 включают в себя также время 53 определения.

Состояние 41 показывает исходное состояние, которое характеризуется нейтральными записями.

Состояние 42 имеет место после того, как пять различных вторых пользователей Т2 или карт 50 памяти вступили в контакт с передачей данных с пользователем Т1 или тахографом 51. Вследствие этого каждая запись 31-35 теперь характеризуется другой датой, отличающимся содержимым 52 сертификата защищенности и другим временем 53 определения.

Состояние 43 устанавливается после того, как второй пользователь, первоначально характеризуемый записью 33, в более поздний момент времени еще раз вступил в контакт с первым пользователем Т1. Вследствие этого время 53 определения записи 33 актуализировалось.

Состояние 44 устанавливается, когда уже соответствующее верхней границе записей 31-35 число, каждый раз, на основе соединения со вторым пользователем Т2, пройдено, и другой, до сих пор еще не известный второй пользователь Т2 вступает в контакт для передачи данных с первым пользователем Т1. Самая ранняя, соответственно времени 53 определения, запись 31, в соответствии с изобретением, перезаписывается новой записью 36.

Аналогичным способом, запись 32 в состоянии 45 заменяется записью 37.

Состояние 46 устанавливается, когда второй пользователь Т2, соотнесенный с первоначальной записью 31, еще раз вступает в соединение для передачи данных с первым пользователем Т1. И в этом случае, самая старая теперь запись 34 заменяется записью 31, которая соотнесена с неизвестным вторым пользователем Т2 вследствие перезаписи из состояния 44.

1. Способ защищенной передачи данных между первым пользователем (Т1) и вторыми пользователями (Т2), в частности между тахографом (51) грузового транспортного средства и картами (50) памяти с, соответственно, по меньшей мере, одним блоком памяти данных, причем первый пользователь (Т1) имеет блок (6, 22) памяти, в котором сохранено определенное количество записей (31-35), соответственно, включающих в себя идентификаторы (4) и относящиеся к ним сертификаты (Cert) защищенности вторых пользователей (Т2) с временем (53) определения сертификата (Cert) защищенности, причем способ заключается в том, что первый пользователь (Т1) получает от второго пользователя (Т2) идентификатор (4), первый пользователь (Т1) сравнивает этот идентификатор (4) с идентификаторами (4), сохраненными в блоке (6, 22) памяти, если в блоке (6, 22) памяти сохранен совпадающий идентификатор (4), то соответствующий этому идентификатору (4) сертификат (Cert) защищенности является основой для последующей передачи данных и время (53) определения сертификата (Cert) защищенности актуализируется на текущее системное время, если в блоке (6, 22) памяти не сохранен совпадающий идентификатор (4), то первый пользователь (Т1) проводит верификацию сертификата защищенности со вторым пользователем (Т2) и при подтверждении его действительности сохраняет в блоке (6, 22) памяти запись (31-35), соответствующую подтвержденному сертификату (Cert) защищенности, с текущим временем (53) определения, причем запись (31-35) с самой ранней датой определения заменяется этой новой записью (31-35), если определенное число записей (31-35) уже было достигнуто.

2. Способ по п.1, отличающийся тем, что идентификатор (4) пользователя представляет собой открытый ключ RSA-способа второго пользователя.

3. Способ по п.1, отличающийся тем, что последующая передача данных осуществляется посредством шифрования TDES-способом, причем после осуществленного подтверждения действительности сертификата (Cert) защищенности оба пользователя (T1, T2) передают случайное число (RND) в зашифрованном виде другому пользователю (T1, T2) и оба пользователя (T1, T2), соответственно, независимо друг от друга посредством обоих случайных чисел (RND) определяют общий ключ (80) для передачи данных с применением одного и того же алгоритма.

4. Способ по п.1, отличающийся тем, что верификация сертификата (Cert) защищенности первого пользователя (T1) вторым пользователем (T2), и наоборот, включает в себя следующие n этапов:

на первом этапе второй пользователь (T2) пересылает первому пользователю (T1) первый сертификат (Cert.Lev.1) защищенности, который второй пользователь (T2) с использованием первого открытого ключа подвергает верификации и при этом определяет второй открытый ключ, если верификация приводит к аутентификации переданного сертификата защищенности, то первый этап с применением следующего переданного сертификата (Cert.Lev.1,2) защищенности и определенного на предыдущем этапе второго открытого ключа вместо первого открытого ключа повторяется (n-1)-кратно, причем постоянно получаются новый второй открытый ключ и результат верификации.

5. Способ по п.4, отличающийся тем, что n=3.