ES2367435T3 - ACCESS CONTROL TO A ZONE. - Google Patents
ACCESS CONTROL TO A ZONE. Download PDFInfo
- Publication number
- ES2367435T3 ES2367435T3 ES04778354T ES04778354T ES2367435T3 ES 2367435 T3 ES2367435 T3 ES 2367435T3 ES 04778354 T ES04778354 T ES 04778354T ES 04778354 T ES04778354 T ES 04778354T ES 2367435 T3 ES2367435 T3 ES 2367435T3
- Authority
- ES
- Spain
- Prior art keywords
- credentials
- access
- door
- user
- card
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
- 238000012360 testing method Methods 0.000 claims abstract description 251
- 238000000034 method Methods 0.000 claims abstract description 64
- 230000004044 response Effects 0.000 claims abstract description 10
- 230000004888 barrier function Effects 0.000 claims abstract description 7
- 230000006870 function Effects 0.000 description 61
- 101150117869 Hras gene Proteins 0.000 description 56
- 238000010200 validation analysis Methods 0.000 description 46
- 230000000875 corresponding effect Effects 0.000 description 28
- 238000009826 distribution Methods 0.000 description 25
- 238000010586 diagram Methods 0.000 description 19
- 238000004891 communication Methods 0.000 description 18
- 238000003860 storage Methods 0.000 description 17
- 238000012795 verification Methods 0.000 description 14
- 238000012217 deletion Methods 0.000 description 13
- 230000037430 deletion Effects 0.000 description 13
- 230000002354 daily effect Effects 0.000 description 12
- 238000012545 processing Methods 0.000 description 12
- 230000008901 benefit Effects 0.000 description 10
- 230000005540 biological transmission Effects 0.000 description 9
- 238000013475 authorization Methods 0.000 description 8
- 230000007246 mechanism Effects 0.000 description 8
- 238000009434 installation Methods 0.000 description 5
- 238000007726 management method Methods 0.000 description 5
- 230000008569 process Effects 0.000 description 5
- 230000003203 everyday effect Effects 0.000 description 4
- 230000000737 periodic effect Effects 0.000 description 4
- 229920001690 polydopamine Polymers 0.000 description 4
- 239000002151 riboflavin Substances 0.000 description 4
- 230000001629 suppression Effects 0.000 description 4
- 229910000831 Steel Inorganic materials 0.000 description 3
- 230000000903 blocking effect Effects 0.000 description 3
- 238000012937 correction Methods 0.000 description 3
- 230000002596 correlated effect Effects 0.000 description 3
- 238000009792 diffusion process Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 239000010959 steel Substances 0.000 description 3
- 101000759879 Homo sapiens Tetraspanin-10 Proteins 0.000 description 2
- 102100024990 Tetraspanin-10 Human genes 0.000 description 2
- 230000003466 anti-cipated effect Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 239000004148 curcumin Substances 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 230000008030 elimination Effects 0.000 description 2
- 238000003379 elimination reaction Methods 0.000 description 2
- 230000002452 interceptive effect Effects 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000005457 optimization Methods 0.000 description 2
- 230000008520 organization Effects 0.000 description 2
- 238000012552 review Methods 0.000 description 2
- 125000002066 L-histidyl group Chemical group [H]N1C([H])=NC(C([H])([H])[C@](C(=O)[*])([H])N([H])[H])=C1[H] 0.000 description 1
- 230000002547 anomalous effect Effects 0.000 description 1
- 210000004556 brain Anatomy 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 238000005520 cutting process Methods 0.000 description 1
- 125000004122 cyclic group Chemical group 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000002542 deteriorative effect Effects 0.000 description 1
- 238000006073 displacement reaction Methods 0.000 description 1
- 239000000383 hazardous chemical Substances 0.000 description 1
- 238000013101 initial test Methods 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 206010027175 memory impairment Diseases 0.000 description 1
- 238000012806 monitoring device Methods 0.000 description 1
- 238000010926 purge Methods 0.000 description 1
- 230000008439 repair process Effects 0.000 description 1
- 230000010076 replication Effects 0.000 description 1
- 230000003362 replicative effect Effects 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
- 230000007480 spreading Effects 0.000 description 1
- 238000003892 spreading Methods 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- 230000002123 temporal effect Effects 0.000 description 1
- 238000012549 training Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Landscapes
- Lock And Its Accessories (AREA)
- Storage Device Security (AREA)
- Credit Cards Or The Like (AREA)
Abstract
Un método de control de acceso, que comprende: la utilización de una barrera de acceso provista de un controlador que permite un acceso selectivo; al menos una entidad de administración que genera credenciales de identidad y pruebas de identidad, en donde las credenciales incluyen un valor final y una fecha, en donde el valor final se obtiene aplicando, varias veces, una función unidireccional a un valor aleatorio, estando cada una de las pruebas asociada con un intervalo de tiempo particular, en donde se obtiene diferentes pruebas aplicando la función unidireccional al valor aleatorio, en un número diferente de veces, en donde una prueba que ha de presentarse al controlador en un momento determinado, es el resultado de aplicar la función unidireccional a una prueba a presentarse al controlador en el futuro; el controlador recibe la credencial de identidad de al menos una de las pruebas correspondientes a la tentativa de acceso realizada por un usuario; en respuesta a la tentativa de acceso por el usuario, el controlador determina si el acceso está actualmente autorizado aplicando la función unidireccional a por lo menos una de las pruebas, un determinado número de veces y comparando el resultado con el valor final, correspondiendo el número de veces a una duración de tiempo transcurrido desde la fecha asociada con las credenciales y si el acceso está actualmente autorizado, el controlador autoriza el acceso.An access control method, comprising: the use of an access barrier provided with a controller that allows selective access; at least one administration entity that generates identity credentials and identity proofs, where the credentials include a final value and a date, where the final value is obtained by applying, several times, a unidirectional function to a random value, each being One of the tests associated with a particular time interval, where different tests are obtained by applying the unidirectional function to the random value, in a different number of times, where a test to be presented to the controller at a given time, is the result of applying the unidirectional function to a test to be presented to the controller in the future; the controller receives the identity card of at least one of the tests corresponding to the access attempt made by a user; In response to the attempt of access by the user, the controller determines if the access is currently authorized by applying the unidirectional function to at least one of the tests, a certain number of times and comparing the result with the final value, corresponding the number from times to a period of time elapsed since the date associated with the credentials and if the access is currently authorized, the controller authorizes the access.
Description
ANTECEDENTES DE LA INVENCIÓN BACKGROUND OF THE INVENTION
CAMPO TÉCNICO TECHNICAL FIELD
Esta solicitud de patente se refiere al campo del control de acceso físico y más en particular, al campo del control de acceso físico utilizando cerraduras accionadas por procesador y datos relacionados. This patent application refers to the field of physical access control and more particularly, to the field of physical access control using processor-driven locks and related data.
DESCRIPCIÓN DE LA TÉCNICA RELACIONADA DESCRIPTION OF THE RELATED TECHNIQUE
Asegurar que solamente personas autorizadas puedan acceder a zonas protegidas y dispositivos bajo protección puede ser importante en muchos casos, tales como en el caso de acceso a un aeropuerto, instalación militar, edificio de oficinas, etc. Las puertas y paredes tradicionales se pueden utilizar para protección de zonas sensibles, pero las puertas con cerraduras y llaves tradicionales pueden ocupar un espacio excesivo a gestionar en una instalación con numerosos usuarios. Por ejemplo, una vez que se despida un empleado, puede ser difícil recuperar las llaves físicas que había emitido el empleado anterior mientras estuvo contratado. Además, puede ser peligroso que se hicieran copias de dichas llaves y nunca se entregaran en devolución. Ensuring that only authorized persons can access protected areas and devices under protection can be important in many cases, such as in the case of access to an airport, military installation, office building, etc. Traditional doors and walls can be used to protect sensitive areas, but doors with traditional locks and keys can take up excessive space to manage in an installation with numerous users. For example, once an employee is fired, it can be difficult to recover the physical keys that the previous employee had issued while hired. In addition, it may be dangerous for copies of these keys to be made and never returned in return.
Las puertas inteligentes proporcionan control del acceso. En algunos casos, una puerta inteligente puede estar provista de un teclado mediante el cual un usuario introduce su número PIN o una contraseña. El teclado puede tener una memoria conectada y/o un procesador elemental en el que se puede almacenar una lista de números PIN/contraseñas válidas. De este modo, una puerta puede comprobar si el número PIN, actualmente introducido pertenece, o no, a la lista válida en ese momento. Si es así, la puerta podrá abrirse. En caso contrario, la puerta puede permanecer bloqueada. Por supuesto, en lugar de confiar (exclusivamente) en las llaves tradicionales o en teclados simples, una puerta inteligente más moderna puede funcionar con tarjetas (tal como tarjetas inteligentes y tarjetas de banda magnética) o dispositivos sin contactos (p.e., PDAs, teléfonos móviles, etc.). Dichas tarjetas o dispositivos se pueden utilizar además de, o en lugar de, las llaves tradicionales o teclados electrónicos. Dichas tarjetas de banda magnética, tarjetas inteligentes o dispositivos sin contactos, diseñados para transportarse por usuarios, pueden tener la capacidad de almacenar información que se transmita a las puertas. Tarjetas más avanzadas pueden tener también la capacidad de cálculo y de comunicación. Los dispositivos correspondientes en las puertas pueden ser capaces de leer información desde las tarjetas y quizás, establecer protocolos interactivos con las tarjetas, comunicarse con ordenadores, etc. Smart doors provide access control. In some cases, a smart door may be provided with a keypad through which a user enters their PIN number or password. The keypad can have a connected memory and / or an elementary processor in which a list of valid PIN numbers / passwords can be stored. In this way, a door can check if the PIN number, currently entered, belongs, or not, to the list valid at that time. If so, the door can be opened. Otherwise, the door may remain locked. Of course, instead of relying solely on traditional keys or simple keyboards, a more modern smart door can work with cards (such as smart cards and magnetic stripe cards) or contactless devices (eg, PDAs, mobile phones , etc.). Such cards or devices may be used in addition to, or instead of, traditional keys or electronic keyboards. Such magnetic stripe cards, smart cards or contactless devices, designed to be transported by users, may have the ability to store information transmitted to the doors. More advanced cards may also have the ability to calculate and communicate. The corresponding devices at the doors may be able to read information from the cards and perhaps establish interactive protocols with the cards, communicate with computers, etc.
Un aspecto de una puerta es su nivel de conectividad. Una puerta completamente conectada es una puerta que está, en todo momento, conectada con alguna base de datos (u otro sistema informático). Por ejemplo, la base de datos puede contener información sobre las tarjetas actualmente válidas, usuarios, números PINs, etc. En algunos casos, para impedir que un intruso modifique la información que fluye a la puerta, dicha conexión está asegurada (p.e., mediante la instalación del hilo de conexión, desde la puerta a la base de datos, dentro de un tubo de acero). Por otro lado, una puerta completamente desconectada no se comunica con el exterior de su proximidad inmediata. Entre estos dos extremos, pueden existir puertas que tengan una conectividad intermitente (p.e., una puerta “móvil” conectada de forma inalámbrica, que puede comunicarse con el exterior solamente cuando esté dentro del alcance de una estación terrestre, tal como la puerta de una aeronave o de un vehículo de transporte terrestre). One aspect of a door is its level of connectivity. A fully connected door is a door that is, at all times, connected to a database (or other computer system). For example, the database may contain information about currently valid cards, users, PIN numbers, etc. In some cases, to prevent an intruder from modifying the information that flows to the door, said connection is secured (e.g., by installing the connecting wire, from the door to the database, inside a steel tube). On the other hand, a completely disconnected door does not communicate with the outside of its immediate proximity. Between these two extremes, there may be doors that have intermittent connectivity (eg, a “mobile” door connected wirelessly, which can communicate with the outside only when within the range of a ground station, such as the door of an aircraft or of a land transport vehicle).
Los mecanismos tradicionales de control del acceso presentan numerosos inconvenientes. Las puertas completamente conectadas pueden ser de muy alto coste. El coste de instalación de una tubería segura, a una puerta inteligente distante, puede exceder, en gran medida, el coste de la propia puerta inteligente. La protección criptográfica de un hilo de conexión posiblemente sea más barata, pero sigue presentando sus propios costes (p.e., los de protección y gestión de claves criptográficas). Además, la criptografía sin conductos de acero y guardas de seguridad no puede impedir el corte de un hilo de conexión, en cuyo caso la puerta ya no conectada se podrá forzar para elegir entre dos alternativas extremas: a saber, permanecer siempre cerrada o siempre abierta, ninguna de las cuales son condiciones deseables. En cualquier caso, la conexión completa de una puerta no suele ser una opción viable. (Por ejemplo, la puerta de un contenedor de carga, por debajo del nivel del mar, en medio del océano Atlántico es, para todos los fines prácticos, una puerta completamente desconectada). Traditional access control mechanisms have numerous drawbacks. Fully connected doors can be very expensive. The cost of installing a secure pipe, to a distant smart door, can greatly exceed the cost of the smart door itself. Cryptographic protection of a connection thread may be cheaper, but it still has its own costs (e.g., protection and management of cryptographic keys). In addition, cryptography without steel conduits and security guards cannot prevent the cutting of a connecting wire, in which case the door that is no longer connected can be forced to choose between two extreme alternatives: namely, always remain closed or always open , none of which are desirable conditions. In any case, the complete connection of a door is usually not a viable option. (For example, the door of a cargo container, below sea level, in the middle of the Atlantic Ocean is, for all practical purposes, a completely disconnected door).
Las puertas inteligentes desconectadas pueden ser más baratas que las puertas conectadas. Sin embargo, los métodos tradicionales para las puertas inteligentes tienen su propio problema. Considérese, por ejemplo, una puerta inteligente desconectada capaz de reconocer un número PIN. Un empleado despedido ya no puede estar autorizado para atravesar dicha puerta, pero si todavía recuerda su propio PIN, puede no tener dificultad para abrir dicha puerta inteligente elemental. Por lo tanto, sería necesario “desprogramar” los números PINs de empleados despedidos, lo que es difícil para puertas desconectadas. En realidad, dicho procedimiento puede ser muy ocupador de espacio y costoso: una instalación de aeropuerto puede tener centenares de puertas y el traslado de un equipo especial de empleados para desprogramar la totalidad de dichas puertas, siempre que un empleado abandone, o sea despedido, puede ser también inviable. Smart disconnected doors can be cheaper than connected doors. However, traditional methods for smart doors have their own problem. Consider, for example, a disconnected smart door capable of recognizing a PIN number. A fired employee may no longer be authorized to pass through said door, but if he still remembers his own PIN, he may not have difficulty opening said elementary smart door. Therefore, it would be necessary to "deprogram" the PIN numbers of dismissed employees, which is difficult for disconnected doors. In fact, such a procedure can be very space-consuming and expensive: an airport facility can have hundreds of doors and the transfer of a special team of employees to deprogram all of those doors, provided that an employee leaves, or is fired, It may also be unfeasible.
El problema de la invención es aumentar un nivel de seguridad sin incurrir en sus costes adicionales. The problem of the invention is to increase a level of security without incurring its additional costs.
Este problema se resuelve por el método según la reivindicación 1. This problem is solved by the method according to claim 1.
El control del acceso puede incluir proporcionar una barrera al acceso, que incluya un controlador que permita un acceso selectivo, al menos una entidad de administración que genere credenciales/pruebas de identidad en donde ninguna prueba válida sea determinable con la única presentación de las credenciales y valores para pruebas caducadas, recibiendo el controlador las credenciales/pruebas de identidad, determinando el controlador si el acceso está actualmente autorizado o no y, si el acceso está actualmente autorizado, el controlador permitirá el acceso. Las credenciales/pruebas de identidad pueden constituir una sola parte o pueden estar en partes separadas. Puede existir una primera entidad de administración que genere las credenciales y otras entidades de administración que generen pruebas de identidad. La primera entidad de administración puede generar también pruebas de identidad o la primera entidad de administración puede no generar pruebas. Las credenciales pueden corresponder a un certificado digital que incluye un valor final que es un resultado de aplicar una función unidireccional a una primera de las pruebas. Cada una de las pruebas puede ser un resultado de aplicar una función unidireccional a una futura de las pruebas. El certificado digital puede incluir un identificador para el dispositivo electrónico. Las credenciales pueden incluir un valor final que es un resultado de aplicar una función unidireccional a una primera de las pruebas. Cada una de las pruebas puede ser un resultado de aplicar una función unidireccional a una futura de las pruebas. Las credenciales pueden incluir un identificador para un usuario que solicita acceso. Las credenciales/pruebas de identidad pueden incluir una firma digital. La barrera para acceder puede incluir paredes y una puerta. El control del acceso puede incluir también proporcionar una cerradura de puerta acoplada al controlador, en donde el controlador que permite el acceso incluye el controlador que acciona la cerradura de la puerta para permitir la apertura de dicha puerta. El control del acceso puede incluir también proporcionar un lector acoplado al controlador, en donde el controlador recibe credenciales/pruebas de identidad desde el lector. Las credenciales/pruebas de identidad se pueden proporcionar en una tarjeta inteligente presentada por un usuario. El control del acceso puede incluir, además, proporcionar una conexión externa al controlador. La conexión externa puede ser intermitente. El controlador puede recibir al menos una parte de las credenciales/pruebas de identidad utilizando la conexión externa o el controlador puede recibir la totalidad de las credenciales/pruebas de identidad utilizando la conexión externa. El control del acceso puede incluir, además, proporcionar un lector acoplado al controlador, en donde el controlador recibe una parte restante de las credenciales/pruebas de identidad desde el lector. Las credenciales/pruebas de identidad pueden incluir una contraseña introducida por un usuario. Las credenciales/pruebas de identidad pueden incluir una información biométrica del usuario. Las credenciales/pruebas de identidad pueden incluir una firma manuscrita. Las credenciales/pruebas pueden incluir un valor secreto proporcionado en una tarjeta mantenida por un usuario. Las credenciales/pruebas de identidad pueden caducar en un momento predeterminado. Access control may include providing a barrier to access, including a controller that allows selective access, at least one administration entity that generates credentials / identity proofs where no valid proof is determinable with the sole presentation of credentials and Values for expired tests, the controller receiving credentials / identity tests, determining the controller whether access is currently authorized or not and, if access is currently authorized, the controller will allow access. The credentials / proof of identity can constitute a single part or they can be in separate parts. There may be a first administration entity that generates the credentials and other administration entities that generate proof of identity. The first administration entity may also generate proof of identity or the first administration entity may not generate evidence. The credentials may correspond to a digital certificate that includes a final value that is a result of applying a unidirectional function to a first of the tests. Each of the tests can be a result of applying a unidirectional function to a future one of the tests. The digital certificate may include an identifier for the electronic device. Credentials may include a final value that is a result of applying a unidirectional function to a first of the tests. Each of the tests can be a result of applying a unidirectional function to a future one of the tests. Credentials can include an identifier for a user requesting access. Credentials / proof of identity may include a digital signature. The access barrier may include walls and a door. Access control may also include providing a door lock coupled to the controller, wherein the controller that allows access includes the controller that drives the door lock to allow the opening of said door. Access control may also include providing a reader coupled to the controller, where the controller receives identity credentials / proofs from the reader. The credentials / proof of identity can be provided on a smart card presented by a user. Access control may also include providing an external connection to the controller. The external connection can be intermittent. The controller can receive at least a portion of the credentials / proof of identity using the external connection or the controller can receive all of the credentials / proof of identity using the external connection. Access control may also include providing a reader coupled to the controller, where the controller receives a remaining portion of the identity credentials / proofs from the reader. Credentials / proof of identity may include a password entered by a user. The credentials / proof of identity may include a biometric information of the user. Credentials / proof of identity may include a handwritten signature. Credentials / proofs may include a secret value provided on a card held by a user. Credentials / proof of identity may expire at a predetermined time.
Además, una entidad que controla el acceso de una pluralidad de usuarios a por lo menos una puerta desconectada puede comprender la puesta en correspondencia de la pluralidad de usuarios con un grupo, para cada intervalo de tiempo d de una secuencia de fechas, que tiene una autorización para presentar una firma digital SIGUDd, que indica que los miembros del agrupo pueden acceder a la puerta durante el intervalo de tiempo d, lo que hace que al menos uno de los miembros del grupo reciba SIGUDd durante el intervalo de tiempo d para presentación a la puerta con el fin de pasar a través de ella, teniendo el al menos un miembro del grupo que presentar el SIGUDd a la puerta D y haciendo que se habrá la puerta después de verificar que: (i) SIGUDd es una firma digital de la autoridad que indica que los miembros del grupo pueden acceder a la puerta en el intervalo de tiempo d y (ii) que el tiempo actual está dentro del intervalo de tiempo d. El al menos un miembro del grupo puede tener una tarjeta de usuario y la puerta puede tener un lector de tarjetas acoplado para una cerradura electromecánica y el al menos un miembro del grupo puede recibir el SIGUDd memorizándolo en la tarjeta de usuario y puede presentar el SIGUDd a la puerta al ser la tarjeta del usuario leída por el lector de tarjetas. La autoridad puede hacer que SIGUDd sea recibida por el al menos un miembro del grupo durante el intervalo de tiempo d registrando SIGUDd en una base de datos accesible por el al menos un miembro del grupo. SIGUDd puede ser una firma de clave pública y la puerta puede almacenar la clave pública de la autoridad. La puerta puede comprobar, además, la información de identidad sobre el al menos un miembro del grupo. La información de identidad sobre el al menos un miembro del grupo puede incluir, como mínimo, uno de entre: un número PIN y la respuesta a un denominado desafío operativo de la puerta. In addition, an entity that controls the access of a plurality of users to at least one disconnected door may comprise matching the plurality of users with a group, for each time interval d of a sequence of dates, which has a authorization to present a digital signature SIGUDd, which indicates that the members of the group can access the door during the time interval d, which makes at least one of the members of the group receive SIGUDd during the time interval d for presentation to the door in order to pass through it, the at least one member of the group having to submit the NEXT to the door D and making the door be after verifying that: (i) SIGUDd is a digital signature of the authority indicating that group members can access the door in the time interval dy (ii) that the current time is within the time interval d. The at least one member of the group can have a user card and the door can have a card reader attached to an electromechanical lock and the at least one member of the group can receive the NEXT memorizing it in the user card and can present the NEXT to the door being the user's card read by the card reader. The authority may have SIGUDd received by the at least one member of the group during the time interval d by registering SIGUDd in a database accessible by the at least one member of the group. NEXT can be a public key signature and the door can store the public key of the authority. The door can also check the identity information about the at least one member of the group. The identity information about the at least one member of the group may include at least one of: a PIN number and the response to a so-called operational challenge of the door.
Además, el control del acceso físico puede comprender también la asignación de credenciales en tiempo real a un grupo de usuarios, la revisión de las credenciales en tiempo real, en donde las credenciales en tiempo real comprenden una primera parte que es fija y una segunda parte que se modifica sobre una base periódica, en donde la segunda parte proporciona una prueba de que las credenciales en tiempo real están en curso, comprobando la validez de las credenciales en tiempo real realizando una operación en la primera parte y comparando el resultado con la segunda parte y permitiendo el acceso físico a los miembros del grupo solamente si las credenciales en tiempo real están verificadas como válidas. La primera parte puede ser digitalmente firmada por una autoridad. La autoridad puede proporcionar la segunda parte. La segunda parte puede ser provista por una entidad distinta a la autoridad. Las credenciales en tiempo real se pueden proporcionar en una tarjeta inteligente. Los miembros del grupo pueden obtener la segunda parte de las credenciales en tiempo real en una primera localización. A los miembros del grupo les puede estar permitido el acceso a una segunda localización diferente y separada de la primera. Al menos una porción de la primera parte de las credenciales en tiempo real puede representar una función-resumen de identificación, denominada hash, unidireccional aplicada, varias veces, a una porción de la segunda parte de las credenciales en tiempo real. La pluralidad de veces puede corresponder a una cantidad de tiempo transcurrido desde que se emitieron la primera parte de las credenciales en tiempo real. El control del acceso físico puede comprender, además, el control del acceso a través de una puerta. In addition, physical access control may also include the assignment of credentials in real time to a group of users, the review of credentials in real time, where real-time credentials comprise a first part that is fixed and a second part which is modified on a periodic basis, where the second part provides proof that the credentials in real time are in progress, checking the validity of the credentials in real time by performing an operation in the first part and comparing the result with the second part and allowing physical access to group members only if the real-time credentials are verified as valid. The first part can be digitally signed by an authority. The authority can provide the second part. The second part may be provided by an entity other than the authority. Real-time credentials can be provided on a smart card. Group members can obtain the second part of the credentials in real time at a first location. Group members may be allowed access to a second location that is different and separate from the first. At least a portion of the first part of the credentials in real time may represent an identification summary function, called hash, unidirectional applied, several times, to a portion of the second part of the credentials in real time. The plurality of times may correspond to an amount of time elapsed since the first part of the credentials were issued in real time. The physical access control may also include access control through a door.
Además, la determinación del acceso puede comprender la determinación de si credenciales/pruebas de identidad particulares indican que está permitido el acceso, la determinación de si existen datos adicionales asociados con las credenciales/pruebas de identidad, en donde los datos adicionales están separados de las credenciales/pruebas de identidad y, si las credenciales/pruebas de identidad particulares indican que el acceso está permitido y si hay datos adicionales asociados con las credenciales/pruebas de identidad particulares, entonces decidir si denegar, o no el acceso en función de la información proporcionada por los datos adicionales. Las credenciales/pruebas pueden estar en una sola parte o en partes separadas. Puede existir una primera entidad de administración que genera las credenciales y otras entidades de administración que generan pruebas. La primera entidad de administración puede generar también pruebas o puede no generar pruebas. Las credenciales pueden corresponder a un certificado digital que incluye un valor final, que es un resultado de aplicar una función unidireccional a una primera de las pruebas. Cada una de las pruebas puede ser un resultado de aplicar una función unidireccional a una futura de entre las pruebas. El certificado digital puede comprender un identificador para el dispositivo electrónico. Las credenciales pueden incluir un valor final que es un resultado de aplicar una función unidireccional a una primera de las pruebas. Cada una de las pruebas puede ser un resultado de aplicar una función unidireccional a una futura de las pruebas. Las credenciales pueden comprender un identificador para un usuario que solicita el acceso. Las credenciales/pruebas pueden incluir una firma digital. In addition, the determination of access may comprise the determination of whether particular credentials / proofs of identity indicate that access is allowed, the determination of whether there is additional data associated with the credentials / proof of identity, where the additional data is separated from credentials / proof of identity and, if the credentials / proof of identity indicate that access is allowed and if there is additional data associated with the credentials / proof of identity, then decide whether or not to deny access based on the information provided by additional data. The credentials / tests can be in one part or in separate parts. There may be a first administration entity that generates the credentials and other administration entities that generate evidence. The first administration entity may also generate tests or may not generate tests. The credentials may correspond to a digital certificate that includes a final value, which is a result of applying a unidirectional function to a first of the tests. Each of the tests can be a result of applying a unidirectional function to a future one among the tests. The digital certificate may comprise an identifier for the electronic device. Credentials may include a final value that is a result of applying a unidirectional function to a first of the tests. Each of the tests can be a result of applying a unidirectional function to a future one of the tests. Credentials may comprise an identifier for a user requesting access. Credentials / proofs may include a digital signature.
El acceso puede ser el acceso a una zona cerrada por paredes y un puertas. La determinación del acceso puede incluir proporcionar una cerradura de puerta, en donde la cerradura se acciona en función de que el acceso sea denegado o no lo sea. La determinación del acceso puede comprender, además, proporcionar un lector que reciba las credencialess/pruebas de identidad. Dichas credenciales/pruebas se pueden proporcionar en una tarjeta inteligente presentada por un usuario. Las credenciales/pruebas pueden incluir una contraseña introducida por un usuario. Las credenciales/pruebas pueden comprender, asimismo, una información biométrica del usuario así como una firma manuscrita. Las credenciales/pruebas pueden incluir un valor secreto proporcionado en una tarjeta mantenida por un usuario. Las credenciales/pruebas pueden caducar en un momento predeterminado. Los datos adicionales pueden tener una firma digital y pueden ser un mensaje que esté vinculado a las credenciales/pruebas. El mensaje puede identificar las credenciales/pruebas particulares en incluir una indicación de si dichas credenciales/pruebas particulares han sido revocadas o no. La indicación puede ser una cadena vacía. Los datos adicionales pueden incluir una fecha. Asimismo, los datos adicionales pueden ser un mensaje que contenga información sobre las credenciales/pruebas particulares y que contenga información sobre una o más de entre otras credenciales/pruebas. La determinación del acceso puede comprender, además, el almacenamiento de los datos adicionales. Los datos adicionales pueden incluir un tiempo de caducidad que indique el periodo de tiempo en que han de guardarse los datos adicionales. El tiempo de caducidad puede corresponder a una caducidad de las credenciales/pruebas particulares. La determinación del acceso puede incluir también el almacenamiento de los datos adicionales durante un periodo de tiempo predeterminado. Las credenciales/pruebas pueden caducar todas ellas transcurrido un tiempo predeterminado. Los datos adicionales pueden proveerse utilizando una tarjeta inteligente. La tarjeta inteligente puede presentarse por un usuario que intente tener acceso a una zona. El acceso a la zona puede ser restringido utilizando paredes y al menos una puerta. Los datos adicionales pueden ser para un usuario diferente del usuario que intenta obtener acceso. La determinación del acceso puede comprender, además, proporcionar un enlace de comunicación y transmitir los datos adicionales utilizando dicho enlace de comunicación. El enlace de comunicación puede estar provisto de los datos adicionales mediante una tarjeta inteligente. La tarjeta inteligente puede exigir una comunicación periódica con el enlace de comunicaciones con el fin de permanecer operativa. La tarjeta inteligente puede ser provista de los datos adicionales a través de otra tarjeta inteligente. Los datos adicionales se pueden proporcionar, de forma selectiva, a un subconjunto de tarjetas inteligentes. La determinación del acceso puede incluir, además, proporcionar un nivel de prioridad a los datos adicionales. Los datos adicionales pueden proporcionarse, de forma selectiva, a un subconjunto de tarjetas inteligentes en función del nivel de prioridad proporcionado a los datos adicionales. Los datos adicionales se pueden proporcionar, de forma aleatoria, a un subconjunto de tarjetas inteligentes. Access can be access to an area closed by walls and doors. The determination of access may include providing a door lock, where the lock is operated depending on whether the access is denied or is not. The determination of access may also include providing a reader who receives the credentials / proof of identity. Such credentials / proofs can be provided on a smart card presented by a user. Credentials / proofs may include a password entered by a user. The credentials / proofs may also include a user's biometric information as well as a handwritten signature. Credentials / proofs may include a secret value provided on a card held by a user. Credentials / tests may expire at a predetermined time. Additional data may have a digital signature and may be a message that is linked to credentials / evidence. The message may identify the particular credentials / evidence in including an indication of whether such particular credentials / evidence has been revoked or not. The indication can be an empty string. Additional data may include a date. In addition, the additional data may be a message that contains information about the particular credentials / tests and that contains information about one or more of among other credentials / tests. The determination of access may also include the storage of additional data. Additional data may include an expiration time that indicates the period of time in which additional data is to be stored. The expiration time may correspond to an expiration of the particular credentials / tests. The determination of access may also include the storage of additional data for a predetermined period of time. Credentials / tests can expire all after a predetermined time. Additional data can be provided using a smart card. The smart card can be presented by a user who tries to access an area. Access to the area can be restricted using walls and at least one door. Additional data may be for a user other than the user trying to gain access. The determination of access may further comprise providing a communication link and transmitting additional data using said communication link. The communication link may be provided with additional data by means of a smart card. The smart card may require periodic communication with the communications link in order to remain operational. The smart card can be provided with additional data through another smart card. Additional data can be provided, selectively, to a subset of smart cards. The determination of access may also include providing a level of priority to additional data. Additional data can be provided, selectively, to a subset of smart cards depending on the level of priority provided to the additional data. Additional data can be provided, randomly, to a subset of smart cards.
Además, la emisión y difusión de unos datos sobre una credencial pueden comprender la disposición de una entidad que emite datos autenticados que indican que la credencial ha sido cancelada, lo que hace que dichos datos autenticados sean memorizados en una primera tarjeta de un primer usuario, utilizando la primera tarjeta para transmitir los datos autenticados a una primera puerta, teniendo dicha primera puerta que almacenar información sobre los datos autenticados, y dependiendo dicha primera puerta de la información sobre los datos autenticados para denegar el acceso a la credencial. Los datos autenticados pueden ser objeto de autenticación mediante una firma digital y la primera puerta puede verificar dicha firma digital. La firma digital puede ser una firma digital de clave pública. La clave pública para la firma digital puede estar asociada con la credencial. La firma digital puede ser una firma digital de clave privada. La credencial y la primera tarjeta pueden pertenecer ambas al primer usuario. La credencial puede memorizarse en una segunda tarjeta diferente de la primera tarjeta y la primera puerta puede basarse en información sobre los datos autenticados recuperando dicha información del medio de almacenamiento. La credencial puede pertenecer a un segundo usuario diferente del primer usuario. Los datos autenticados pueden ser almacenados primero en al menos otra tarjeta diferente de la primera tarjeta y los datos autenticados se pueden transmitir desde la al menos otra tarjeta a la primera tarjeta. Los datos autenticados pueden transmitirse desde la al menos otra tarjeta a la primera tarjeta transmitiendo primero a por lo menos una otra puerta diferente de la primera puerta. La entidad puede hacer que se almacenen los datos autenticados en la primera tarjeta haciendo primero que los datos autenticados se almacenen en un respondedor y a continuación, hacer que la primera tarjeta obtenga los datos autenticados desde el respondedor. El respondedor puede estar desprotegido. La primera puerta puede recibir información sobre los datos autenticados desde la primera tarjeta por los datos autenticados que se transfieren primero a al menos otra tarjeta diferente de la primera tarjeta. La al menos otra tarjeta diferente puede recibir información sobre los datos autenticados desde la primera tarjeta mediante los datos autenticados que se transmiten primero a al menos una otra puerta diferente de la primera puerta. La primera puerta puede estar completamente desconectada o puede conectarse de forma intermitente. In addition, the issuance and dissemination of data on a credential may include the provision of an entity that issues authenticated data indicating that the credential has been canceled, which causes said authenticated data to be stored on a first card of a first user, using the first card to transmit the authenticated data to a first door, said first door having to store information about the authenticated data, and said first door depending on the information about the authenticated data to deny access to the credential. Authenticated data can be authenticated by a digital signature and the first door can verify said digital signature. The digital signature can be a digital public key signature. The public key for the digital signature may be associated with the credential. The digital signature can be a private key digital signature. The credential and the first card can both belong to the first user. The credential can be stored on a second card other than the first card and the first door can be based on information about the authenticated data by retrieving said information from the storage medium. The credential can belong to a second user different from the first user. Authenticated data can be stored first on at least one other card than the first card and authenticated data can be transmitted from the at least one other card to the first card. Authenticated data can be transmitted from the at least one other card to the first card by first transmitting to at least one other door other than the first door. The entity may have the authenticated data stored on the first card by first having the authenticated data stored on a responder and then having the first card obtain the authenticated data from the responder. The responder may be unprotected. The first door can receive information about the authenticated data from the first card by the authenticated data that is first transferred to at least one other card than the first card. The at least one other different card can receive information about the authenticated data from the first card by means of the authenticated data that is first transmitted to at least one other door different from the first door. The first door can be completely disconnected or can be intermittently connected.
Además, una primera puerta puede recibir datos autenticados sobre una credencial de un primer usuario, incluyendo el proceso la recepción de los datos autenticados desde una primera tarjeta perteneciente a un segundo usuario diferente del primer usuario, el almacenamiento de información sobre los datos autenticados, la recepción de la credencial y la dependencia de la información almacenada sobre los datos autenticados para denegar el acceso a la credencial. Los datos autenticados pueden ser objeto de autenticación mediante una firma digital y la primera puerta verifica la firma digital. La firma digital puede una firma digital de clave pública. La clave pública para la firma digital puede estar asociada con la credencial. La firma digital puede ser una firma digital de clave privada. Los datos autenticados se pueden memorizar en la primera tarjeta almacenándose primero en al menos una otra tarjeta y luego, transmitirse desde la al menos otra tarjeta a la primera tarjeta. Los datos autenticados se pueden transmitir desde la al menos una otra tarjeta a la primera tarjeta transmitiendo primero a al menos una puerta diferente de la primera puerta. Los datos autenticados se pueden memorizar en la primera tarjeta almacenándolos primero en un respondedor y a continuación, obteniéndose por la primera tarjeta desde el respondedor. El respondedor puede estar desprotegido. La primera puerta puede recibir información sobre los datos autenticados desde la primera tarjeta mediante los datos autenticados que se transmiten primero a al menos una otra tarjeta diferente de la primera tarjeta. La al menos una otra tarjeta puede recibir información sobre los datos autenticados desde la primera tarjeta mediante la transmisión primero de los datos autenticados a al menos una otra puerta diferente de la primera puerta. La primera puerta puede estar completamente desconectada o puede conectarse de forma intermitente. In addition, a first door can receive authenticated data on a credential of a first user, including the process of receiving the authenticated data from a first card belonging to a second user different from the first user, storing information about the authenticated data, the receipt of the credential and the dependence of the information stored on the authenticated data to deny access to the credential. Authenticated data can be authenticated by a digital signature and the first door verifies the digital signature. The digital signature can a digital public key signature. The public key for the digital signature may be associated with the credential. The digital signature can be a private key digital signature. Authenticated data can be stored on the first card by first storing it on at least one other card and then transmitting it from the at least one other card to the first card. Authenticated data can be transmitted from the at least one other card to the first card by first transmitting at least one different door from the first door. Authenticated data can be memorized on the first card by storing them first in a responder and then obtained by the first card from the responder. The responder may be unprotected. The first door can receive information about the authenticated data from the first card by means of the authenticated data that is first transmitted to at least one other card other than the first card. The at least one other card can receive information about the authenticated data from the first card by first transmitting the authenticated data to at least one other door other than the first door. The first door can be completely disconnected or can be intermittently connected.
Además, la asistencia en una revocación inmediata de acceso puede incluir la recepción de datos autenticados sobre una credencial, el almacenamiento de información sobre los datos autenticados en una primera tarjeta y hacer que una primera puerta reciba información sobre los datos autenticados. Los datos autenticados pueden ser objeto de autenticación mediante una firma digital. La firma digital puede ser una firma digital de clave pública. La clave pública para la firma digital puede estar asociada con la credencial. La firma digital puede ser una firma digital de clave privada. La credencial y la tarjeta pueden pertenecer ambas a un primer usuario. La primera tarjeta puede hacerse inutilizable para el acceso si la primera tarjeta deja de recibir un tipo pre-especificado de señal en una cantidad de tiempo preespecificada. La credencial puede pertenecer a otro usuario diferente del primer usuario. Los datos autenticados se pueden recibir por la primera tarjeta memorizando primero, en al menos otra tarjeta diferente de la primera tarjeta, y luego transmitirse desde la al menos otra tarjeta a la primera tarjeta. Los datos autenticados se pueden transmitir desde la al menos una otra tarjeta a la primera tarjeta transmitiendo primero a al menos una otra puerta diferente de la primera puerta. La primera tarjeta puede obtener los datos autenticados desde un respondedor. El respondedor puede estar desprotegido. La primera tarjeta puede hacer que la primera puerta reciba información sobre los datos autenticados transmitiendo primero los datos autenticados a al menos una otra tarjeta diferente de la primera tarjeta. La primera tarjeta puede hacer que la al menos una otra tarjeta reciba información sobre los datos autenticados transmitiendo primero los datos autenticados a al menos una otra puerta diferente de la primera puerta. La primera puerta puede estar completamente desconectada o puede conectarse de forma intermitente. La primera tarjeta puede eliminar, ocasionalmente, la información almacenada sobre los datos autenticados desde el soporte de almacenamiento. La credencial puede tener una fecha de caducidad y la primera tarjeta puede eliminar la información almacenada sobre los datos autenticados desde el soporte de almacenamiento una vez que la credencial esté caducada. La fecha de caducidad de la credencial se puede deducir de la información especificada dentro de la credencial. In addition, assistance in an immediate revocation of access may include receiving authenticated data on a credential, storing information about the authenticated data on a first card and making a first door receive information about the authenticated data. Authenticated data can be authenticated by a digital signature. The digital signature can be a digital public key signature. The public key for the digital signature may be associated with the credential. The digital signature can be a private key digital signature. The card and card can both belong to a first user. The first card can be rendered unusable for access if the first card stops receiving a pre-specified type of signal in a pre-specified amount of time. The credential may belong to another user other than the first user. Authenticated data can be received by the first card by memorizing first, on at least one other card different from the first card, and then transmitted from the at least one other card to the first card. Authenticated data can be transmitted from the at least one other card to the first card by first transmitting to at least one other door other than the first door. The first card can obtain the authenticated data from an responder. The responder may be unprotected. The first card can cause the first door to receive information about the authenticated data by first transmitting the authenticated data to at least one other card other than the first card. The first card may cause the at least one other card to receive information about the authenticated data by first transmitting the authenticated data to at least one other door other than the first door. The first door can be completely disconnected or can be intermittently connected. The first card may occasionally delete the information stored on the authenticated data from the storage medium. The credential can have an expiration date and the first card can delete the information stored on the authenticated data from the storage medium once the credential is expired. The expiration date of the credential can be deducted from the information specified within the credential.
Además de la presente invención, el registro de eventos operativos asociados con el acceso a una zona puede incluir el registro de un evento operativo asociado con el acceso a la zona para proporcionar un registro de eventos y la autenticación de al menos el registro de eventos para proporcionar un registro autenticado. El registro de un evento operativo puede incluir el registro de un tiempo del evento. El registro de un evento operativo puede incluir el registro de un tipo de evento. El evento puede ser un intento de acceder a la zona. El registro de un evento puede incluir el registro de credenciales/pruebas utilizadas en relación con el intento de acceder a la zona. El registro de un evento puede incluir el registro de un resultado de la tentativa. El registro de un evento puede incluir el registro de la existencia de datos que no sean las credenciales/pruebas que indiquen que se debe denegar el acceso. El registro de un evento puede incluir el registro de datos adicionales relacionados con la zona. La autenticación del registro puede incluir la firma digital de dicho registro. La autenticación de al menos el registro de eventos puede incluir la autenticación del registro de eventos y la autenticación de otros registros de eventos para proporcionar un registro autenticado único. El registro autenticado único puede memorizarse en una tarjeta. El registro autenticado puede memorizarse en una tarjeta. La tarjeta puede tener almacenado otro registro autenticado. El otro registro autenticado puede proporcionarse por la tarjeta en relación con la tarjeta que se utiliza para acceder a la zona. El acceso puede ser denegado si el otro registro autenticado no se puede verificar. Un controlador se puede proporcionar en relación con el acceso a la zona y en donde el controlador realiza la autenticación, además, del otro registro autenticado. El otro registro autenticado puede ser objeto de autenticación utilizando un certificado digital. El registro de eventos operativos puede comprender, además, un usuario que presenta una tarjeta para intentar acceder a la zona. El registro de eventos puede comprender, además, la tarjeta que realiza la autenticación, además, del registro autenticado en relación con el usuario que intenta acceder a la zona. Un controlador puede estar provisto en relación con el acceso a la zona y en donde el controlador y la tarjeta realizan una autenticación conjunta del registro autenticado. El registro de eventos operativos puede incluir proporcionar datos de generación de correlación que indican el contenido del registro autenticado. Los datos de generación de correlación pueden estar vinculados con el registro autenticado. Los datos de generación de correlación pueden estar vinculados al registro autenticado y el vínculo resultante puede ser también autenticado. El vínculo resultante puede tener una firma digital. Los datos de generación de correlación pueden ser una secuencia de números y en particular, uno de los números se puede asignar al evento operativo. El registro de eventos puede comprender, además, la autenticación de un vínculo del número particular y del evento. La autenticación del vínculo puede incluir la firma digital del vínculo. La autenticación puede comprender, además, una forma de la función hashing del vínculo y luego, la firma digital de su resultado. Los datos de generación de correlación para el evento pueden incluir información que identifique otro evento. El otro evento puede ser un evento anterior. El otro evento puede ser también un evento futuro. El registro de eventos puede comprender, además, la asociación de un primero y un segundo valor aleatorio para el evento, la asociación de al menos uno del primero y segundo valores aleatorios con el otro evento y el vínculo en al menos uno de los primero y segundo valores para el otro evento. El suministro de datos de generación de correlación puede incluir la utilización de un polinomio para generar la información de correlación. El suministro de datos de generación de correlación puede comprender, además, la utilización de una cadena de funciones hash para generar la información de correlación. Los datos de generación de correlación pueden incluir información sobre una pluralidad de otros eventos. Los datos de generación de correlación pueden incluir códigos de corrección de errores. El registro de eventos puede comprender, además, la difusión del registro autenticado. La difusión del registro autenticado puede incluir proporcionar el registro autenticado en tarjetas presentadas por usuarios que intenten acceder a la zona. La zona se puede definir por paredes y una puerta. In addition to the present invention, the record of operational events associated with access to a zone may include the record of an operational event associated with access to the zone to provide an event log and authentication of at least the log of events for Provide an authenticated record. The recording of an operational event may include the recording of an event time. The registration of an operational event may include the registration of an event type. The event can be an attempt to access the area. The registration of an event may include the registration of credentials / tests used in connection with the attempt to access the area. The registration of an event may include the recording of a result of the attempt. The registration of an event may include the registration of the existence of data other than credentials / evidence indicating that access should be denied. The registration of an event may include the registration of additional data related to the area. Registration authentication may include the digital signature of said registration. Authentication of at least the event log may include authentication of the event log and authentication of other event logs to provide a single authenticated log. The unique authenticated registration can be stored on a card. Authenticated registration can be stored on a card. The card may have another authenticated record stored. The other authenticated record can be provided by the card in relation to the card used to access the area. Access can be denied if the other authenticated record cannot be verified. A controller can be provided in relation to access to the zone and where the controller performs authentication, in addition, to the other authenticated record. The other authenticated record can be authenticated using a digital certificate. The operational event log may also include a user presenting a card to try to access the area. The event log may also include the card that performs the authentication, in addition to the authenticated record in relation to the user trying to access the area. A controller may be provided in connection with access to the zone and where the controller and the card perform a joint authentication of the authenticated registration. The operational event log may include providing correlation generation data indicating the content of the authenticated log. The correlation generation data may be linked to the authenticated record. The correlation generation data can be linked to the authenticated record and the resulting link can also be authenticated. The resulting link can have a digital signature. The correlation generation data can be a sequence of numbers and in particular, one of the numbers can be assigned to the operational event. The event log may also comprise the authentication of a link of the particular number and the event. Link authentication can include the digital signature of the link. Authentication can also include a form of the link hashing function and then the digital signature of its result. The correlation generation data for the event may include information that identifies another event. The other event may be a previous event. The other event may also be a future event. The event log may further comprise the association of a first and a second random value for the event, the association of at least one of the first and second random values with the other event and the link in at least one of the first and Second values for the other event. The provision of correlation generation data may include the use of a polynomial to generate the correlation information. The provision of correlation generation data may further comprise the use of a hash chain of functions to generate the correlation information. The correlation generation data may include information about a plurality of other events. The correlation generation data may include error correction codes. The event log may also include the dissemination of the authenticated record. The dissemination of the authenticated record may include providing the authenticated record on cards presented by users attempting to access the area. The area can be defined by walls and a door.
Además, al menos una entidad de administración puede controlar el acceso a un dispositivo electrónico por la al menos una entidad de administración que genera credenciales y una pluralidad de pruebas correspondientes para el dispositivo electrónico, en donde ninguna prueba válida es susceptible de determinarse solamente dando las credenciales y valores para pruebas caducadas, con la recepción por el dispositivo electrónico de las credenciales, si el acceso está autorizado en un momento particular, el dispositivo electrónico que recibe una prueba correspondiente a ese momento particular y el dispositivo electrónico que confirma la prueba utilizando las credenciales. La al menos una entidad de administración puede generar pruebas después de generar las credenciales. Una entidad de administración única puede generar las credenciales y generar las pruebas. Puede existir una primera entidad de administración que genere las credenciales y otras entidades de administración que generen pruebas. La primera entidad de administración puede generar también pruebas o puede no hacerlo. Las credenciales pueden ser un certificado digital que incluye un valor final, que es un resultado de aplicar una función unidireccional a una primera de las pruebas. Cada una de las pruebas puede ser un resultado de aplicar una función unidireccional a una futura de las pruebas. El certificado digital puede incluir un identificador para el dispositivo electrónico. Las credenciales pueden incluir un valor final, que es un resultado de aplicar una función unidireccional a una primera de las pruebas. Cada una de las pruebas puede ser un resultado de aplicar una función unidireccional a una futura de las pruebas. Las credenciales pueden incluir un identificador para el dispositivo electrónico. El dispositivo electrónico puede ser un ordenador, que puede inicializarse solamente si el acceso está autorizado. El dispositivo electrónico puede ser una unidad de disco. Al menos una entidad de administración, que controla el acceso a un dispositivo electrónico, puede incluir el suministro de pruebas utilizando al menos una entidad de distribución de pruebas separada de la al menos una entidad administrativa. Puede existir una entidad de distribución de pruebas única o una pluralidad de entidades de distribución de pruebas. Al menos una entidad de administración, que controla el acceso a un dispositivo electrónico, puede incluir el suministro de pruebas utilizando una conexión al dispositivo electrónico. La conexión puede ser a través de Internet. Al menos alguna de las pruebas pueden almacenarse, a nivel local, en el dispositivo electrónico. Al menos una entidad de administración, que controla el acceso a un dispositivo electrónico puede incluir, si la prueba correspondiente al momento en que no esté disponible a nivel local, el dispositivo electrónico solicita las pruebas a través de una conexión externa. Cada una de las pruebas puede estar asociada con un intervalo de tiempo particular. Después de transcurrir un intervalo de tiempo particular asociado con una particular de entre las pruebas con resultado satisfactorio, el dispositivo electrónico puede recibir una nueva prueba. Dicho intervalo de tiempo puede ser un día. In addition, at least one administration entity can control access to an electronic device by the at least one administration entity that generates credentials and a plurality of corresponding tests for the electronic device, where no valid test is determined only by giving the credentials and values for expired tests, with the receipt by the electronic device of the credentials, if access is authorized at a particular time, the electronic device that receives a proof corresponding to that particular moment and the electronic device that confirms the test using the credentials The at least one administration entity can generate tests after generating the credentials. A single administration entity can generate the credentials and generate the evidence. There may be a first administration entity that generates the credentials and other administration entities that generate evidence. The first administration entity may also generate tests or may not. The credentials can be a digital certificate that includes a final value, which is a result of applying a unidirectional function to a first of the tests. Each of the tests can be a result of applying a unidirectional function to a future one of the tests. The digital certificate may include an identifier for the electronic device. Credentials may include a final value, which is a result of applying a unidirectional function to a first of the tests. Each of the tests can be a result of applying a unidirectional function to a future one of the tests. Credentials may include an identifier for the electronic device. The electronic device can be a computer, which can be initialized only if access is authorized. The electronic device can be a disk drive. At least one administration entity, which controls access to an electronic device, may include the provision of evidence using at least one evidence distribution entity separate from the at least one administrative entity. There may be a single test distribution entity or a plurality of test distribution entities. At least one administration entity, which controls access to an electronic device, may include the provision of evidence using a connection to the electronic device. The connection can be through the Internet. At least some of the tests can be stored, locally, on the electronic device. At least one administration entity, which controls access to an electronic device may include, if the test corresponding to the time it is not available locally, the electronic device requests the tests through an external connection. Each of the tests may be associated with a particular time interval. After a particular time interval associated with a particular one of the tests with satisfactory result has elapsed, the electronic device may receive a new test. Said time interval may be one day.
Además, un dispositivo electrónico puede controlar su acceso recibiendo credenciales y al menos una de entre una pluralidad de pruebas correspondientes para el dispositivo electrónico, en donde ninguna prueba válida es susceptible de determinación solamente proporcionando las credenciales y valores para pruebas caducadas y comprobando que al menos una de entre una pluralidad de pruebas está utilizando las credenciales. Las credenciales pueden ser un certificado digital que incluye un valor final que es un resultado de aplicar una función unidireccional a una primera de las pruebas. Cada una de las pruebas puede ser un resultado de aplicar una función unidireccional a una futura de las pruebas. El certificado digital puede incluir un identificador para el dispositivo electrónico. Las credenciales pueden incluir un valor final que es un resultado de aplicar una función unidireccional a una primera de las pruebas. Cada una de las pruebas puede ser un resultado de aplicar una función unidireccional a una futura de las pruebas. Las credenciales pueden incluir un identificador para el dispositivo electrónico. El dispositivo electrónico puede ser un ordenador. Un dispositivo electrónico que controla su acceso puede comprender, además, la inicialización del ordenador solamente si el acceso está autorizado. El dispositivo electrónico puede ser una unidad de disco. Un dispositivo electrónico que controla su acceso puede comprender, además, la obtención de pruebas utilizando una conexión al dispositivo electrónico. La conexión puede ser a través de Internet. Al menos algunas de las pruebas pueden memorizarse localmente en el dispositivo electrónico. Un dispositivo electrónico que controla su acceso puede comprender, además, si la prueba correspondiente al momento no está disponible a nivel local, el dispositivo electrónico que solicita las pruebas a través de una conexión externa. Cada una de las pruebas puede estar asociada por un intervalo de tiempo particular. Después de transcurrir un intervalo de tiempo particular, asociado con una particular de las pruebas de resultado satisfactorio, el dispositivo electrónico puede recibir una nueva prueba. Dicho intervalo de tiempo puede ser un día. In addition, an electronic device can control its access by receiving credentials and at least one of a plurality of corresponding tests for the electronic device, where no valid test is subject to determination only by providing the credentials and values for expired tests and verifying that at least One of a plurality of tests is using credentials. The credentials can be a digital certificate that includes a final value that is a result of applying a unidirectional function to a first of the tests. Each of the tests can be a result of applying a unidirectional function to a future one of the tests. The digital certificate may include an identifier for the electronic device. Credentials may include a final value that is a result of applying a unidirectional function to a first of the tests. Each of the tests can be a result of applying a unidirectional function to a future one of the tests. Credentials may include an identifier for the electronic device. The electronic device can be a computer. An electronic device that controls your access can also comprise the initialization of the computer only if access is authorized. The electronic device can be a disk drive. An electronic device that controls your access may further comprise obtaining evidence using a connection to the electronic device. The connection can be through the Internet. At least some of the tests can be stored locally on the electronic device. An electronic device that controls your access may further comprise, if the current test is not available locally, the electronic device requesting the tests through an external connection. Each of the tests can be associated for a particular time interval. After a particular time interval has elapsed, associated with a particular one of the satisfactory result tests, the electronic device may receive a new test. Said time interval may be one day.
Además, el control del acceso a un dispositivo electrónico puede incluir el suministro de credenciales al dispositivo electrónico y, si el acceso está permitido en un momento particular, proporcionar una prueba al dispositivo electrónico correspondiente a ese momento particular, en donde la prueba no es susceptible de determinación proporcionando solamente las credenciales y valores para pruebas caducadas. Las credenciales pueden ser un certificado digital que incluye un valor final que es un resultado de aplicar una función unidireccional a una primera de las pruebas. Cada una de las pruebas puede ser el resultado de aplicar una función unidireccional a una futura de las pruebas. El certificado digital puede incluir un identificador para el dispositivo electrónico. Las credenciales pueden incluir un valor final que es un resultado de aplicar una función unidireccional a una primera de las pruebas. Cada una de las pruebas puede ser un resultado de aplicar a una función unidireccional a una futura de las pruebas. Las credenciales puede incluir un identificador para el dispositivo electrónico. El dispositivo electrónico puede ser un ordenador. El control del acceso a un dispositivo electrónico puede incluir la inicialización del ordenador solamente si el acceso está autorizado. El dispositivo electrónico puede ser una unidad de disco. El control del acceso a un dispositivo electrónico puede incluir el suministro de pruebas utilizando al menos una entidad de distribución de pruebas separada de la al menos una entidad administrativa. Puede existir una entidad de distribución de pruebas única. Puede existir, asimismo, una pluralidad de entidades de distribución de pruebas. El control del acceso a un dispositivo electrónico puede incluir el suministro de pruebas utilizando una conexión a ese dispositivo electrónico. La conexión puede ser a través de Internet. Al menos algunas de las pruebas pueden memorizarse, a nivel local, en el dispositivo electrónico. El control del acceso a un dispositivo electrónico puede incluir, si la prueba correspondiente al momento no está disponible a nivel local, el dispositivo electrónico que solicite las pruebas a través de una conexión externa. Cada una de las pruebas puede estar asociada con un intervalo de tiempo particular. Después de transcurrir un intervalo de tiempo particular, asociado con una particular de las pruebas de resultado satisfactorio, el dispositivo electrónico puede recibir una nueva prueba. Dicho intervalo de tiempo puede ser un día. In addition, control of access to an electronic device may include the provision of credentials to the electronic device and, if access is permitted at a particular time, provide proof to the electronic device corresponding to that particular time, where the test is not susceptible of determination providing only the credentials and values for expired tests. The credentials can be a digital certificate that includes a final value that is a result of applying a unidirectional function to a first of the tests. Each of the tests can be the result of applying a unidirectional function to a future one of the tests. The digital certificate may include an identifier for the electronic device. Credentials may include a final value that is a result of applying a unidirectional function to a first of the tests. Each of the tests can be a result of applying a unidirectional function to a future one of the tests. Credentials can include an identifier for the electronic device. The electronic device can be a computer. Control of access to an electronic device may include initialization of the computer only if access is authorized. The electronic device can be a disk drive. Control of access to an electronic device may include the provision of evidence using at least one evidence distribution entity separate from the at least one administrative entity. There may be a single test distribution entity. There may also be a plurality of test distribution entities. Control of access to an electronic device may include the provision of evidence using a connection to that electronic device. The connection can be through the Internet. At least some of the tests can be stored, locally, on the electronic device. The control of access to an electronic device may include, if the current test is not available locally, the electronic device requesting the tests through an external connection. Each of the tests may be associated with a particular time interval. After a particular time interval has elapsed, associated with a particular one of the satisfactory result tests, the electronic device may receive a new test. Said time interval may be one day.
BREVE DESCRIPCIÓN DE LOS DIBUJOS BRIEF DESCRIPTION OF THE DRAWINGS
La Figura 1A es un diagrama que ilustra una forma de realización que incluye una conexión, una pluralidad de dispositivos electrónicos, una entidad de administración y una entidad de distribución de pruebas según el sistema aquí descrito. Figure 1A is a diagram illustrating an embodiment that includes a connection, a plurality of electronic devices, an administration entity and a test distribution entity according to the system described herein.
La Figura 1B es un diagrama que ilustra una forma de realización alternativa que incluye una conexión, una pluralidad de dispositivos electrónicos, una entidad de administración y una entidad de distribución de pruebas según el sistema aquí descrito. Figure 1B is a diagram illustrating an alternative embodiment that includes a connection, a plurality of electronic devices, an administration entity and a test distribution entity according to the system described herein.
La Figura 1C es un diagrama que ilustra una forma de realización alternativa que incluye una conexión, una pluralidad de dispositivos electrónicos, una entidad de administración y una entidad de distribución de pruebas según el sistema aquí descrito. Figure 1C is a diagram illustrating an alternative embodiment that includes a connection, a plurality of electronic devices, an administration entity and a test distribution entity according to the system described herein.
La Figura 1D es un diagrama que ilustra una forma de realización alternativa que incluye una conexión, una pluralidad de dispositivos electrónicos, una entidad de administración y una entidad de distribución de pruebas según el sistema aquí descrito. Figure 1D is a diagram illustrating an alternative embodiment that includes a connection, a plurality of electronic devices, an administration entity and a test distribution entity according to the system described herein.
La Figura 2 es un diagrama que representa un dispositivo electrónico, en más detalle, según el sistema aquí descrito. Figure 2 is a diagram representing an electronic device, in more detail, according to the system described herein.
La Figura 3 es un diagrama de flujo que ilustra las etapas realizadas en relación con un dispositivo electrónico que determina si realizar, o no, la validación según el sistema aquí descrito. Figure 3 is a flow chart illustrating the steps performed in relation to an electronic device that determines whether or not to perform the validation according to the system described herein.
La Figura 4 es un diagrama de flujo que ilustra las etapas realizadas en relación con la ejecución de la validación según el sistema aquí descrito. Figure 4 is a flow chart illustrating the steps performed in relation to the execution of the validation according to the system described herein.
La Figura 5 es un diagrama de flujo que ilustra las etapas realizadas en relación con la generación de credenciales según el sistema aquí descrito. Figure 5 is a flow chart illustrating the steps performed in relation to credential generation according to the system described herein.
La Figura 6 es un diagrama de flujo que ilustra las etapas realizadas en relación con la comprobación de las pruebas con respecto a las credenciales según el sistema aquí descrito. Figure 6 is a flow chart illustrating the steps performed in relation to the verification of the evidence regarding credentials according to the system described herein.
La Figura 7 es un diagrama que ilustra un sistema que incluye una zona en la que su acceso físico ha de restringirse según el sistema aquí descrito. Figure 7 is a diagram illustrating a system that includes an area where your physical access has to be restricted according to the system described here.
DESCRIPCIÓN DETALLADA DE VARIAS FORMAS DE REALIZACIÓN DETAILED DESCRIPTION OF VARIOUS FORMS OF REALIZATION
Haciendo referencia a la Figura 1A, un diagrama 20 ilustra una conexión general 22 que presenta una pluralidad de dispositivos electrónicos 24 a 26 acoplados. Aunque el diagrama 20 ilustra tres dispositivos electrónicos 24 a 26, el sistema aquí descrito puede funcionar con cualquier número de dispositivos electrónicos. La conexión 22 puede ponerse en práctica mediante una conexión directa de datos electrónicos, una conexión a través de líneas telefónicas, una red LAN, una red WAN, la red Internet, una red privada virtual o cualquier otro mecanismo para proporcionar la comunicación de datos. Los dispositivos electrónicos 24 a 26 pueden representar uno o más ordenadores portátiles, ordenadores de sobremesa (en una oficina o en el domicilio de un empleado u otra localización), dispositivos PDAs, teléfonos móviles, unidades de disco, dispositivos de almacenamiento masivo o cualquier otro dispositivo electrónico en el que pueda ser de utilidad restringir su acceso. En una forma de realización de la presente invención, los dispositivos electrónicos 24 a 26 representan ordenadores portátiles o de sobremesa que se utilizan por empleados de una organización que desea restringir su acceso en caso de que un usuario/empleado abandone la organización y/o uno de los ordenadores sea extraviado o robado. Por supuesto, pueden existir otros motivos para restringir el acceso a uno o más de los dispositivos electrónicos 24 a 26 y el sistema aquí descrito se puede utilizar en relación con cualquier puesta en práctica adecuada. Referring to Figure 1A, a diagram 20 illustrates a general connection 22 having a plurality of electronic devices 24 to 26 coupled. Although diagram 20 illustrates three electronic devices 24 to 26, the system described herein can work with any number of electronic devices. The connection 22 can be implemented through a direct connection of electronic data, a connection via telephone lines, a LAN network, a WAN network, the Internet network, a virtual private network or any other mechanism for providing data communication. Electronic devices 24 to 26 may represent one or more laptops, desktops (in an office or at an employee's home or other location), PDAs, mobile phones, disk drives, mass storage devices or any other electronic device where it may be useful to restrict your access. In one embodiment of the present invention, electronic devices 24 to 26 represent laptops or desktops that are used by employees of an organization that wishes to restrict their access in case a user / employee leaves the organization and / or one of computers being lost or stolen. Of course, there may be other reasons for restricting access to one or more of the electronic devices 24 to 26 and the system described herein may be used in connection with any suitable implementation.
Una entidad de administración 28 establece una política para permitir el acceso por los usuarios a los dispositivos electrónicos 24 a 26. Por ejemplo, la entidad de administración 28 puede determinar que un usuario particular, U1, ya no pueda tener acceso a cualquiera de los dispositivos electrónicos 24 a 26, mientras que otro usuario U2, puede acceder al dispositivo electrónico 24 pero no a los demás dispositivos electrónicos 25, 26. La entidad administrativa 28 puede utilizar cualquier política para establecer el acceso de usuarios. An administration entity 28 establishes a policy to allow users to access electronic devices 24 to 26. For example, the administration entity 28 may determine that a particular user, U1, can no longer access any of the devices. electronic 24 to 26, while another user U2, can access the electronic device 24 but not the other electronic devices 25, 26. The administrative entity 28 can use any policy to establish user access.
La entidad administrativa 28 proporciona una pluralidad de pruebas que se transmiten a los dispositivos electrónicos 24 a 26 a través de la conexión 22. Las pruebas se pueden proporcionar a los dispositivos electrónicos 24 a 26 por otros medios, que se examinan en más detalle a continuación. Los dispositivos electrónicos 24 a 26 reciben las pruebas distribuidas y, utilizando las credenciales almacenadas en su interior, (descritas con más detalle en otro lugar de la presente descripción), determinan si debe permitirse, o no, su acceso. De forma opcional, una entidad de distribución de pruebas 32 puede acoplarse, además, a la conexión 22 y a la entidad de administración 28. La entidad de distribución de pruebas 32 proporciona pruebas a los dispositivos electrónicos 24 a 26. En una forma de realización de la invención, una prueba solamente sería efectiva para un usuario y uno de los dispositivos electrónicos 24 a 26 y, de forma opcional, solamente para una fecha determinada o una gama de fechas. The administrative entity 28 provides a plurality of tests that are transmitted to the electronic devices 24 to 26 through the connection 22. The tests can be provided to the electronic devices 24 to 26 by other means, which are examined in more detail below. . The electronic devices 24 to 26 receive the distributed tests and, using the credentials stored inside them (described in more detail elsewhere in this description), determine whether or not their access should be allowed. Optionally, a test distribution entity 32 can also be coupled to the connection 22 and the administration entity 28. The test distribution entity 32 provides tests to the electronic devices 24 to 26. In an embodiment of the invention, a test would only be effective for one user and one of the electronic devices 24 to 26 and, optionally, only for a given date or a range of dates.
Las pruebas se pueden proporcionar utilizando un mecanismo similar al dado a conocer en la patente de Estados Unidos número 5.666.416, en donde cada uno de los dispositivos electrónicos 24 a 26 recibe, como credenciales, un certificado digital firmado por la entidad administrativa 28 (u otra entidad autorizada), en donde el certificado digital contiene un valor especial que representa un valor inicial que tiene una función unidireccional aplicada N veces. En cada nuevo intervalo de tiempo, los dispositivos electrónicos pueden presentarse con una prueba que consiste en uno de los valores de entre el conjunto de N valores obtenidos por la aplicación de la función unidireccional. En tal caso, los dispositivos electrónicos 24 a 26 pueden confirmar que la prueba es legítima aplicando la función unidireccional, varias veces, para obtener el valor especial proporcionado en el certificado digital. Este y otros posibles mecanismos se describen con más detalle a continuación. Evidence can be provided using a mechanism similar to that disclosed in U.S. Patent No. 5,666,416, where each of the electronic devices 24 to 26 receives, as credentials, a digital certificate signed by the administrative entity 28 ( or other authorized entity), where the digital certificate contains a special value that represents an initial value that has a unidirectional function applied N times. In each new time interval, electronic devices can be presented with a test consisting of one of the values from among the set of N values obtained by the application of the unidirectional function. In this case, electronic devices 24 to 26 can confirm that the test is legitimate by applying the unidirectional function, several times, to obtain the special value provided in the digital certificate. This and other possible mechanisms are described in more detail below.
Asimismo, es posible utilizar uno o más de los productos proporcionados por CoreStreet, Ltd. de Cambridge, MA para proporcionar las credenciales y pruebas adecuadas según aquí se establece o utilizar cualquier otro mecanismo para generar pruebas únicas que 1) solamente podrían haberse generado por una autoridad administrativa (con ausencia de un incumplimiento de seguridad administrativa) y 2) no se puede utilizar para generar cualesquiera otras pruebas. En consecuencia, las pruebas son tales que, dada una prueba P1 legítima, un usuario no autorizado no puede generar otra prueba P2 aparentemente legítima para una finalidad diferente (p.e., para un intervalo de tiempo diferente, un dispositivo distinto, etc.). De este modo, las pruebas emitidas se pueden memorizar y distribuir de una manera insegura, lo que reduce, en gran medida, los costes asociados con el sistema. Por supuesto, es conveniente mantener una seguridad adecuada para la entidad o entidades que generen las credenciales y/o pruebas así como mantener una seguridad apropiada para cualesquiera pruebas no emitidas (p.e., futuras). Likewise, it is possible to use one or more of the products provided by CoreStreet, Ltd. of Cambridge, MA to provide the appropriate credentials and evidence as set forth herein or use any other mechanism to generate unique tests that 1) could only have been generated by a administrative authority (in the absence of a breach of administrative security) and 2) cannot be used to generate any other evidence. Consequently, the tests are such that, given a legitimate P1 test, an unauthorized user cannot generate another apparently legitimate P2 test for a different purpose (e.g., for a different time interval, a different device, etc.). In this way, the issued tests can be memorized and distributed in an unsafe way, which greatly reduces the costs associated with the system. Of course, it is convenient to maintain adequate security for the entity or entities that generate the credentials and / or proofs as well as maintain appropriate security for any evidence not issued (e.g., future).
Además, un usuario no autorizado, en posesión de pruebas legítimas P1-PN, no puede generar una nueva prueba PN+1. Esto es ventajoso en varios casos. Por ejemplo, un empleado despedido no puede, por sí mismo, generar nuevas pruebas para proporcionar acceso no autorizado a su ordenador portátil de empresa después del despido, aun cuando todavía esté en posesión de todas las demás pruebas legítimas anteriores que utilizó para el ordenador portátil, mientras estaba todavía empleado por la empresa. In addition, an unauthorized user, in possession of legitimate P1-PN tests, cannot generate a new PN + 1 test. This is advantageous in several cases. For example, a fired employee cannot, on his own, generate new evidence to provide unauthorized access to his company laptop after dismissal, even if he is still in possession of all other previous legitimate tests he used for the laptop , while I was still employed by the company.
En una forma de realización de la presente invención, los dispositivos electrónicos 24 a 26 son ordenadores que tienen firmware y/o sistema operativo. El software que realiza el procesamiento aquí descrito, en donde las pruebas se utilizan para presentar un registro a la entrada no autorizado y/o su acceso. Al inicializarse y/o después de transcurrido un intervalo de tiempo suficiente, los ordenadores exigirían una prueba adecuada para iniciar su funcionamiento. En esta forma de realización, la funcionalidad aquí descrita se puede integrar con el sistema de login de Windows estándar (así como en entornos de BIOS o de PXE). La entidad de administración 28 puede estar integrada con las herramientas de administración de usuarios normales de redes corporativas de Microsoft y para permitir a los administradores establecer políticas de registro de entrada (login) para cada usuario. En numeroso casos, la entidad de administración 28 puede ser capaz de derivar toda la información necesaria a partir de la información administrativa existente, lo que hace a esta nueva funcionalidad casi transparente para el administrador y se reducen los gastos de formación profesional y de adopción. La entidad de administración 28 puede ejecutarse dentro de una red de empresa o concentrarse como un modelo de ASP por un fabricante de ordenadores portátiles, fabricante de BIOS u otro socio de confianza. La entidad de distribución de pruebas 32 puede ejecutarse parcialmente dentro de la red corporativa y en parte, en un sitio global. Puesto que las pruebas no son información sensible, los depósitos globalmente accesibles del sistema de distribución de pruebas pueden realizarse como servicios de la web, con lo que se obtiene las pruebas disponibles para los usuarios fuera de sus redes corporativas. In one embodiment of the present invention, electronic devices 24 to 26 are computers that have firmware and / or operating system. The software that performs the processing described here, where the tests are used to present a record to the unauthorized entry and / or its access. Upon initialization and / or after a sufficient period of time has elapsed, the computers would require an adequate test to start their operation. In this embodiment, the functionality described herein can be integrated with the standard Windows login system (as well as in BIOS or PXE environments). The administration entity 28 may be integrated with the normal user management tools of Microsoft corporate networks and to allow administrators to establish login policies for each user. In numerous cases, the administration entity 28 may be able to derive all the necessary information from the existing administrative information, which makes this new functionality almost transparent to the administrator and the costs of professional training and adoption are reduced. The management entity 28 can be run within an enterprise network or concentrated as an ASP model by a laptop manufacturer, BIOS manufacturer or other trusted partner. The test distribution entity 32 can be partially executed within the corporate network and partly in a global site. Since the tests are not sensitive information, the globally accessible deposits of the test distribution system can be made as web services, thereby obtaining the tests available to users outside their corporate networks.
En otras formas de realización de la presente invención, cada uno de los ordenadores exigiría una nueva prueba cada día. Sin embargo, se apreciará por los expertos en esta materia que el incremento del tiempo puede cambiarse de modo que, por ejemplo, los ordenadores puedan exigir una nueva prueba cada semana o exigir una nueva prueba cada hora. In other embodiments of the present invention, each of the computers would require a new test every day. However, it will be appreciated by experts in this field that the increase in time can be changed so that, for example, computers can demand a new test every week or demand a new test every hour.
Además, es también posible sacar partido de una característica poco utilizada de las unidades de disco duro IDE, que permite el establecimiento de una contraseña en una unidad, que se debe presentar a la unidad antes de que se hiciere operativa y permitir el acceso a sus contenidos. Si el firmware para la unidad fuera modificado para utilizar el sistema aquí descrito, es posible que el acceso a una unidad de disco duro pueda restringirse de modo que, por ejemplo, no sería posible obtener acceso a una unidad de disco duro del ordenador incluso colocándola en un ordenador diferente. Esta característica se puede poner en práctica con otros tipos de unidades de disco duro. In addition, it is also possible to take advantage of a little used feature of IDE hard drives, which allows the establishment of a password on a drive, which must be presented to the drive before it becomes operational and allow access to its contents. If the firmware for the drive was modified to use the system described here, it is possible that access to a hard disk drive may be restricted so that, for example, it would not be possible to access a computer's hard disk drive even by placing it on a different computer This feature can be implemented with other types of hard disk drives.
En otras formas de realización, el sistema se puede utilizar en relación con el acceso a archivos de datos, volúmenes de almacenamiento físico, volúmenes lógicos, etc. En algunos casos, dicha restricción de acceso a los archivos puede ser de utilidad para proporcionar modificaciones adecuadas al sistema operativo correspondiente. In other embodiments, the system can be used in relation to access to data files, physical storage volumes, logical volumes, etc. In some cases, such restriction of access to files may be useful to provide appropriate modifications to the corresponding operating system.
Haciendo referencia a la Figura 1B, un diagrama 20' ilustra una forma de realización alternativa con una pluralidad de entidades administrativas 28a-28c. Aunque el diagrama 20' representa tres entidades administrativas 28a-28c, el sistema aquí descrito puede funcionar con cualquier número de entidades administrativas. En la forma de realización ilustrada por el diagrama 20', es posible para una de las entidades administrativas 28a-28c (p.e., la entidad administrativa 28a) generar las credenciales mientras que otras de las entidades administrativas 28a-28c (p.e., las entidades administrativas 28b, 28c) generan las pruebas o la totalidad de las entidades administrativas 28a-28c generan las pruebas. De forma opcional, la entidad de distribución de pruebas 32 se puede utilizar a este respecto. Referring to Figure 1B, a diagram 20 'illustrates an alternative embodiment with a plurality of administrative entities 28a-28c. Although diagram 20 'represents three administrative entities 28a-28c, the system described herein can work with any number of administrative entities. In the embodiment illustrated by diagram 20 ', it is possible for one of the administrative entities 28a-28c (eg, the administrative entity 28a) to generate the credentials while others of the administrative entities 28a-28c (eg, the administrative entities 28b, 28c) generate the tests or all of the administrative entities 28a-28c generate the tests. Optionally, the test distribution entity 32 can be used in this regard.
Haciendo referencia a la Figura 1C, un diagrama 20" ilustra una forma de realización alternativa con una pluralidad de entidades de distribución de pruebas 32a-32c. Aunque el diagrama 20" ilustra tres entidades de distribución de pruebas 32a-32c, el sistema aquí descrito puede funcionar con cualquier número de entidades de distribución de pruebas. La forma de realización ilustrada por el diagrama 20" se puede poner en práctica utilizando la tecnología proporcionada por Akamai Technologies Incorporated, de Cambridge, Massachusetts. Referring to Figure 1C, a diagram 20 "illustrates an alternative embodiment with a plurality of test distribution entities 32a-32c. Although diagram 20" illustrates three test distribution entities 32a-32c, the system described herein It can work with any number of test distribution entities. The embodiment illustrated by diagram 20 "can be implemented using the technology provided by Akamai Technologies Incorporated, of Cambridge, Massachusetts.
Haciendo referencia a la Figura 1D, un diagrama 20"' ilustra una forma de realización alternativa con una pluralidad de entidades administrativas 28a'-28c' y una pluralidad de entidades de distribución de pruebas 32a'-32c'. Aunque el diagrama 20'" ilustra tres entidades administrativas 28a'-28c' y tres entidades de distribución de pruebas 32a'-32c', el sistema aquí descrito puede funcionar con cualquier número de entidades de administración y entidades de distribución de pruebas. La forma de realización ilustrada por el diagrama 20'" combina características de la forma de realización ilustrada por la Figura 1B con características de la forma de realización ilustrada por la Figura 1C. Referring to Figure 1D, a diagram 20 "'illustrates an alternative embodiment with a plurality of administrative entities 28a'-28c' and a plurality of test distribution entities 32a'-32c '. Although diagram 20'" illustrates three administrative entities 28a'-28c 'and three test distribution entities 32a'-32c', the system described herein may work with any number of administration entities and test distribution entities. The embodiment illustrated by diagram 20 '"combines features of the embodiment illustrated by Figure 1B with features of the embodiment illustrated by Figure 1C.
Haciendo referencia a la Figura 2, un diagrama ilustra el dispositivo electrónico 24 con más detalles incluyendo una unidad de validación 42, datos de credenciales 44 y datos de pruebas 46. La unidad de validación 42 se puede poner en práctica utilizando hardware, software, firmware, o cualquiera de sus combinaciones. En condiciones determinadas, tal como en una inicialización, la unidad de validación 42 recibe una señal de inicialización que hace que la unidad de validación 42 examine los datos de credenciales 44 y los datos de pruebas 46 y, en función de su resultado, generan una señal de paso que indica que se ha presentado una prueba legítima o en caso contrario, genera una señal de acceso fallido. La salida de la unidad de validación 42 se puede utilizar siguiendo un determinado procesamiento/dispositivos tales como firmware de iniciación de ordenador para determinar si se puede proseguir, o no, la operación. Referring to Figure 2, a diagram illustrates the electronic device 24 in more detail including a validation unit 42, credential data 44 and test data 46. The validation unit 42 can be implemented using hardware, software, firmware , or any of its combinations. Under certain conditions, such as in an initialization, the validation unit 42 receives an initialization signal that causes the validation unit 42 to examine the credential data 44 and the test data 46 and, based on its result, generate a step signal indicating that a legitimate test has been submitted or otherwise, generates a failed access signal. The output of the validation unit 42 can be used following a certain processing / devices such as computer initiation firmware to determine whether or not the operation can be continued.
En otra forma de realización, el dispositivo electrónico 24 comprende una interfaz externa 48 que se controla por la unidad de validación 42. Como en el caso de la unidad de validación 42, la interfaz externa 48 se puede poner en práctica utilizando hardware, software, firmware, o cualquiera de sus combinaciones. La interfaz externa 48 está acoplada a, por ejemplo, la conexión 22 y se utiliza para la búsqueda de nuevas pruebas que puedan almacenarse en los datos de pruebas 46. De este modo, si la unidad de validación 42 determina que las pruebas almacenadas en los datos de pruebas 46 no son suficientes (p.e., han caducado), la unidad de validación 42 proporciona una señal a la interfaz externa 48 para hacer que la interfaz externa 48 solicite nuevas pruebas a través de la conexión 22. Por supuesto, si el dispositivo electrónico 24 ha sido extraviado y/o robado o si el usuario es un empleado despedido o si existe cualquier otro motivo para denegar el acceso al dispositivo electrónico 24, en tal caso, la interfaz externa 48 no será capaz de obtener una prueba válida. En algunas formas de realización, la interfaz externa 48 solicita a un usuario realizar una conexión electrónica adecuada (p.e., la conexión de un ordenador portátil a una red). In another embodiment, the electronic device 24 comprises an external interface 48 that is controlled by the validation unit 42. As in the case of the validation unit 42, the external interface 48 can be implemented using hardware, software, firmware, or any of its combinations. The external interface 48 is coupled to, for example, the connection 22 and is used for the search of new tests that can be stored in the test data 46. Thus, if the validation unit 42 determines that the tests stored in the test data 46 is not sufficient (eg, they have expired), the validation unit 42 provides a signal to the external interface 48 to make the external interface 48 request new tests via connection 22. Of course, if the device electronic 24 has been lost and / or stolen or if the user is a dismissed employee or if there is any other reason to deny access to electronic device 24, in such case, external interface 48 will not be able to obtain a valid proof. In some embodiments, the external interface 48 asks a user to make a suitable electronic connection (e.g., the connection of a laptop to a network).
En otra forma de realización de la presente invención, los datos de tiempos 52 proporcionan información a la unidad de validación 42 para indicar la última vez que se presentó una prueba válida a la unidad de validación 42. Esta información se puede utilizar para impedir la solicitud de prueba con demasiada frecuencia y al mismo tiempo, evitar una espera demasiado larga antes de solicitar una nueva prueba. La interacción y el uso de la unidad de validación 42, la interfaz externa 48, los datos de credenciales 44, los datos de pruebas 46 y los datos de tiempos 52 se describen con más detalle a continuación. In another embodiment of the present invention, the time data 52 provides information to the validation unit 42 to indicate the last time a valid test was submitted to the validation unit 42. This information can be used to prevent the request. Test too often and at the same time, avoid waiting too long before requesting a new test. The interaction and use of the validation unit 42, the external interface 48, the credential data 44, the test data 46 and the time data 52 are described in more detail below.
Haciendo referencia a la Figura 3, un diagrama de flujo 70 ilustra las etapas realizadas en relación con la determinación de si enviar, o no, la señal de inicio a la unidad de validación 42 para determinar si la unidad de validación 42 debe examinar, o no, los datos de credenciales 44 y los datos de pruebas 46 para generar una señal de paso o de acceso fallido. El procesamiento comienza en una primera etapa 72 en donde se determina si se realiza, o no, una operación de inicialización. En otra forma de realización, las pruebas se comprueban siempre en relación con una operación de inicialización. En consecuencia, si se determina en la etapa de prueba 72 que se está realizando una inicialización, en tal caso, el control se transfiere desde la etapa 72 a una etapa 74 en donde se envía la señal de inicio a la unidad de validación 42. Después de la etapa 74 se realiza la etapa 76 en donde el proceso espera una magnitud predeterminada de tiempo antes de realizar un funcionamiento cíclico de nuevo. En otra forma de realización, la cantidad de tiempo predeterminada puede ser un día, aunque se pueden utilizar también otras magnitudes de tiempo. Después de la etapa 76, el control se transfiere de nuevo a la etapa de prueba 72, anteriormente descrita. Referring to Figure 3, a flowchart 70 illustrates the steps taken in relation to determining whether or not to send the start signal to the validation unit 42 to determine whether the validation unit 42 should examine, or no, credential data 44 and test data 46 to generate a failed pass or access signal. The processing begins in a first stage 72 where it is determined whether or not an initialization operation is performed. In another embodiment, the tests are always checked in relation to an initialization operation. Accordingly, if it is determined in the test stage 72 that an initialization is being performed, in that case, the control is transferred from the stage 72 to a stage 74 where the start signal is sent to the validation unit 42. After step 74, step 76 is performed where the process waits for a predetermined amount of time before performing a cyclic operation again. In another embodiment, the predetermined amount of time may be one day, although other time quantities may also be used. After step 76, the control is transferred back to test stage 72, described above.
Se determina, en la etapa de prueba 72, que una operación de inicialización no se está realizando, en cuyo caso, el control se transfiere desde la etapa de prueba 72 a una etapa de prueba 78 en donde se determina si ha transcurrido una cantidad de tiempo predeterminada desde la última ejecución realizada por la unidad de validación 42. Esta circunstancia operativa se determina utilizando el elemento de datos de tiempos 52 y quizás el tiempo del sistema actual. En otra forma de realización, la cantidad de tiempo predeterminada utilizada en la etapa de prueba 78 es un día. Si se determina, en la etapa de prueba 78, que la cantidad de tiempo desde la última ejecución de la unidad de validación 42 es mayor que la cantidad de tiempo predeterminada, en tal caso, el control se transfiere desde la etapa de prueba 78 a la etapa 74, en donde se envía la señal de inicio a la unidad de validación 42. Después de la etapa 74 o después de la etapa de prueba 78, si la cantidad de tiempo no es mayor que la cantidad de tiempo predeterminada, se pasa a la etapa 76, anteriormente examinada. It is determined, in the test stage 72, that an initialization operation is not being carried out, in which case, the control is transferred from the test stage 72 to a test stage 78 where it is determined whether a quantity of predetermined time since the last run by the validation unit 42. This operational circumstance is determined using the time data element 52 and perhaps the current system time. In another embodiment, the predetermined amount of time used in test stage 78 is one day. If it is determined, in the test stage 78, that the amount of time since the last execution of the validation unit 42 is greater than the predetermined amount of time, in this case, the control is transferred from the test stage 78 to step 74, where the start signal is sent to the validation unit 42. After step 74 or after test stage 78, if the amount of time is not greater than the predetermined amount of time, it is passed to step 76, previously examined.
Haciendo referencia a la Figura 4, un diagrama de flujo 90 ilustra las etapas realizadas en relación con la unidad de validación 42 para determinar si se ha recibido una prueba suficiente. Según se describe en otro lugar de la presente, la unidad de validación 42 envía una señal de paso o una señal de intento fallido para el seguimiento del procesamiento/dispositivos (tal como un firmware de inicialización de ordenador o firmware de unidad de disco). El procesamiento comienza en una primera etapa 92 en donde la unidad de validación 42 determina la prueba necesaria. La prueba necesaria es la prueba determinada por la unidad de validación 42 suficiente para ser capaz de enviar una señal de paso. La unidad de validación 42 determina la prueba necesaria examinando los datos de credenciales 44, los datos de pruebas 46, los datos de tiempos 52 y quizás, incluso el reloj del sistema/interno. Después de la etapa 92 existe una etapa de prueba 94 que determina si la prueba adecuada está disponible al nivel local (esto es, en los datos de pruebas 46) y si la prueba proporcionada, a nivel local, cumple los requisitos necesarios (descritos en otro lugar de la presente). Si es así, entonces el control se transfiere desde la etapa 94 a una etapa 96, en donde la unidad de validación 42 emite una señal de paso. Después de la etapa 96, el procesamiento está concluido. Referring to Figure 4, a flowchart 90 illustrates the steps performed in relation to the validation unit 42 to determine whether a sufficient test has been received. As described elsewhere herein, the validation unit 42 sends a step signal or a failed attempt signal for processing / device tracking (such as a computer initialization firmware or disk drive firmware). The processing begins in a first stage 92 where the validation unit 42 determines the necessary test. The necessary test is the test determined by the validation unit 42 sufficient to be able to send a step signal. The validation unit 42 determines the necessary test by examining the credential data 44, the test data 46, the time data 52 and perhaps even the system / internal clock. After step 92 there is a test stage 94 that determines whether the appropriate test is available at the local level (that is, in the test data 46) and if the test provided, at the local level, meets the necessary requirements (described in another place of the present). If so, then the control is transferred from step 94 to a stage 96, where the validation unit 42 emits a step signal. After step 96, the processing is completed.
En alguna formas de realización, es posible y deseable obtener y almacenar pruebas futuras en los datos de pruebas 46. Por ejemplo, un usuario que espera estar sin una conexión a la entidad de administración 28 y/o la entidad de distribución de pruebas 32 puede obtener y almacenar futuras pruebas. En esta forma de realización, el dispositivo electrónico puede efectuar automáticamente un sondeo para futuras pruebas, cuando se conecta a la entidad de administración 28 y/o la entidad de distribución de pruebas 32, que se pueden proporcionar según una política predefinida. Como alternativa (o en adición), puede ser posible para un usuario y/o dispositivo electrónico solicitar concretamente futuras pruebas que puedan o no proporcionarse en conformidad con la política vigente. In some embodiments, it is possible and desirable to obtain and store future evidence in the test data 46. For example, a user who expects to be without a connection to the administration entity 28 and / or the test distribution entity 32 may Obtain and store future evidence. In this embodiment, the electronic device can automatically poll for future tests, when connected to the administration entity 28 and / or the test distribution entity 32, which can be provided according to a predefined policy. As an alternative (or in addition), it may be possible for a user and / or electronic device to specifically request future tests that may or may not be provided in accordance with current policy.
Si se determina, en la etapa de prueba 94, que la prueba adecuada no está disponible a nivel local (esto es, en los datos de pruebas 46), en tal caso, el control se transfiere desde la etapa de prueba 94 a una etapa de prueba 98 en donde la unidad de validación 42 determina si una prueba adecuada está disponible exteriormente proporcionando, por ejemplo, una señal para hacer que la interfaz externa 48 intente la búsqueda de la prueba, según se describió anteriormente. Si se determina que la etapa de prueba 98, y que la prueba proporcionada exteriormente cumple los requisitos necesarios (examinados en otro lugar de la presente), en tal caso, el control se transfiere desde la etapa de prueba 98 a la etapa 96, anteriormente descrita, en donde la unidad de validación 42 emite una señal de paso. En otra forma de realización, la prueba exteriormente proporcionada se almacena en los datos de pruebas 46. If it is determined, in the test stage 94, that the appropriate test is not available locally (that is, in the test data 46), in that case, the control is transferred from the test stage 94 to a stage test 98 wherein the validation unit 42 determines whether a suitable test is available externally by providing, for example, a signal to make the external interface 48 attempt the test search, as described above. If it is determined that test stage 98, and that the test provided externally meets the necessary requirements (examined elsewhere here), in that case, control is transferred from test stage 98 to step 96, above described, wherein the validation unit 42 emits a step signal. In another embodiment, the externally provided test is stored in the test data 46.
Si se determina, en la etapa de prueba 98, que una prueba adecuada no está disponible exteriormente, puesto que no existe ninguna condición adecuada o por algún otro motivo, en tal caso, el control se transfiere desde la etapa de prueba 98 a una etapa 102, en donde al usuario se le solicita que introduzca una prueba adecuada. En otra forma de realización, si un usuario está en una posición sin una conexión eléctrica adecuada, el usuario puede llamar a un número de teléfono particular y recibir una prueba adecuada en la forma de un número que puede introducirse manualmente en el dispositivo electrónico en relación con la solicitud proporcionada en la etapa 102. Por supuesto, el usuario puede recibir la prueba por otros medios, tales como de forma manuscrita o mecanografiada o incluso publicada en un periódico (p.e., en la sección de anuncios clasificados). If it is determined, in test stage 98, that a suitable test is not available externally, since there is no suitable condition or for some other reason, in that case, the control is transferred from test stage 98 to a stage 102, where the user is asked to enter a suitable test. In another embodiment, if a user is in a position without a suitable electrical connection, the user can call a particular telephone number and receive a suitable proof in the form of a number that can be manually entered into the electronic device in relation with the request provided in step 102. Of course, the user can receive the proof by other means, such as handwritten or typed or even published in a newspaper (eg, in the classified ads section).
Después de la etapa 102 es una prueba 104 la que determina si el usuario ha introducido una prueba que cumple los requisitos necesarios (según se describe en otro lugar de la presente). Si es así, entonces el control se transfiere desde la etapa de prueba 104 a la etapa 96, anteriormente descrita, en donde la unidad de validación 42 emite una señal de paso. De no ser así, el control se transfiere desde la etapa de prueba 104 a una etapa 106 en donde la unidad de validación 42 emite una señal de fallo. Después de la etapa 106, el procesamiento está concluido. After step 102 it is a test 104 which determines whether the user has entered a test that meets the necessary requirements (as described elsewhere here). If so, then the control is transferred from test stage 104 to step 96, described above, where the validation unit 42 emits a step signal. Otherwise, the control is transferred from the test stage 104 to a stage 106 where the validation unit 42 emits a fault signal. After step 106, the processing is completed.
Haciendo referencia a la Figura 5, un diagrama de flujo 120 ilustra las etapas realizadas en relación con la generación de credenciales utilizadas por la unidad de validación 42. Las etapas del diagrama de flujo 120 se pueden realizar por la entidad de administración 28 que genera las credenciales (y una serie de pruebas) y proporciona las credenciales al dispositivo electrónico 24. Otras entidades adecuadas (p.e., entidades autorizadas por la entidad de administración 28) pueden generar las credenciales. El valor aleatorio se utiliza en relación con la generación de las credenciales y las pruebas y, en otra forma de realización, suele ser imprevisible. Después de la etapa 122 existe una etapa 124 en donde una variable de índice, I, se pone a ‘uno’. En otra forma de realización, las credenciales que se proporcionan se utilizan para un año completo y se necesita una nueva prueba cada día de modo que trescientas sesenta y cinco pruebas separadas se puedan generar en relación con la generación de las credenciales. La variable de índice, I, se utiliza para mantener un registro del número de pruebas que se generan. Después de la etapa 124 existe una etapa 126 en donde el valor de prueba inicial, Y(0) se establece igual al valor aleatorio RV determinado en la etapa 122. Referring to Figure 5, a flowchart 120 illustrates the steps performed in relation to the generation of credentials used by the validation unit 42. The stages of the flowchart 120 can be performed by the management entity 28 that generates the credentials (and a series of tests) and provides the credentials to the electronic device 24. Other suitable entities (eg, entities authorized by the administration entity 28) may generate the credentials. The random value is used in relation to the generation of credentials and evidence and, in another embodiment, is usually unpredictable. After stage 122 there is a stage 124 where an index variable, I, is set to ‘one’. In another embodiment, the credentials provided are used for a full year and a new test is needed each day so that three hundred and sixty-five separate tests can be generated in relation to the generation of the credentials. The index variable, I, is used to keep a record of the number of tests that are generated. After step 124 there is a stage 126 where the initial test value, Y (0) is set equal to the random RV value determined in step 122.
Después de la etapa 126 existe una etapa de prueba 128 que determina si la variable de índice, I, es mayor que un valor de finalización, IEND. Como se examinó anteriormente, en otra forma de realización, trescientas sesenta y cinco pruebas se generan en relación con la generación de las credenciales de modo que, en esta forma de realización, IEND, tiene un valor de trescientos sesenta y cinco. Sin embargo, para otras formas de realización, es posible establecer el valor de IEND en cualquier otro número. After step 126 there is a test stage 128 that determines whether the index variable, I, is greater than an ending value, IEND. As discussed above, in another embodiment, three hundred and sixty-five tests are generated in relation to the generation of credentials so that, in this embodiment, IEND, has a value of three hundred and sixty-five. However, for other embodiments, it is possible to set the value of IEND in any other number.
Si se determina, en la etapa de prueba 128, que el valor de I no es mayor que el de IEND, en tal caso, el control se transfiere desde la etapa 128 a una etapa 132 en donde Y(I) se establece igual a la función unidireccional aplicada a Y(I1). La función unidireccional utilizada en la etapa 132 es tal que, dado el resultado de aplicar la función unidireccional, resulta casi imposible determinar el valor que fue introducido para la función unidireccional. De este modo, para la función unidireccional utilizada en la etapa 132, dada Y(I), es muy difícil, sino imposible, averiguar el valor de la entrada (en este caso Y(I-1)). Tal como aquí se utiliza, el término de función unidireccional incluye cualquier función u operación que proporcione, de forma adecuada, esta propiedad incluyendo, sin limitación, funciones hash unidireccionales convencionales y firmas digitales. Esta propiedad de la función unidireccional utilizada en la etapa 132 es de utilidad en relación con su capacidad para almacenar y distribuir pruebas emitidas de una manera insegura, según se examina en otro lugar de la presente descripción. Las credenciales y las pruebas pueden generarse en diferentes momentos o las pruebas se pueden regenerar en una fecha posterior por la entidad que generó las credenciales o por otra entidad. Conviene señalar que, para otras formas de realización, es posible tener Y(I) no siendo una función de Y(I-1) o cualquier otro valor de Y a tal respecto. If it is determined, in test stage 128, that the value of I is not greater than that of IEND, in that case, the control is transferred from step 128 to a stage 132 where Y (I) is set equal to the unidirectional function applied to Y (I1). The unidirectional function used in step 132 is such that, given the result of applying the unidirectional function, it is almost impossible to determine the value that was entered for the unidirectional function. Thus, for the unidirectional function used in step 132, given Y (I), it is very difficult, if not impossible, to find out the value of the input (in this case Y (I-1)). As used herein, the term unidirectional function includes any function or operation that adequately provides this property including, without limitation, conventional unidirectional hash functions and digital signatures. This property of the unidirectional function used in step 132 is useful in relation to its ability to store and distribute evidence issued in an insecure manner, as discussed elsewhere in this description. The credentials and proofs can be generated at different times or the proofs can be regenerated at a later date by the entity that generated the credentials or by another entity. It should be noted that, for other embodiments, it is possible to have Y (I) not being a function of Y (I-1) or any other value of Y in that regard.
El procesamiento se inicia en una primera etapa 122 en donde se genera un valor aleatorio, RV. Después de la etapa 132 existe una etapa 134 en donde se incrementa la variable de índice, I. Después de la etapa 134, el control se transfiere de nuevo a la etapa de prueba 128, anteriormente descrita. Si se determina, en la etapa de prueba 128, que I es mayor que IEND, en tal caso el control se transfiere desde la etapa de prueba 128 a una etapa 136 en donde un valor final, FV, se establece igual a Y(I-1). Conviene señalar que se resta ”1” del valor I porque I fue incrementado más allá de IEND. Después de la etapa 136 existe una etapa 138 en donde la entidad de administración 28 (o alguna otra entidad que genera las pruebas y las credenciales) realiza una firma digital del valor final, la fecha actual y otra información que se utiliza en relación con las pruebas. En otra forma de realización, dicha otra información se puede utilizar para identificar el dispositivo electrónico particular (p.e., ordenador portátil), el usuario particular o cualquier otra información que está vinculada con las credenciales y la prueba para un dispositivo electrónico particular y/o usuario y/o alguna otra propiedad. De forma opcional, la fecha y/o el valor FV se pueden combinar con la otra información. Por ejemplo, es posible utilizar un mensaje firmado como OCSP que simplemente indique "dispositivo nº 123456 es válido el 1/1/2004" o tenga un bit en un miniCRL que corresponde a un dispositivo específico que está activado o desactivado. En dichos casos, la credencial en el dispositivo puede efectuar la autenticación del dispositivo (es decir, determinar que el dispositivo es realmente el dispositivo nº 123456, etc.). OCSP y los miniCRLs se conocen en esta técnica. Después de la etapa 138, se concluye el procesamiento. Processing begins in a first stage 122 where a random value, RV, is generated. After step 132 there is a stage 134 where the index variable is increased, I. After step 134, the control is transferred back to test step 128, described above. If it is determined, in test stage 128, that I is greater than IEND, in this case the control is transferred from test stage 128 to a stage 136 where a final value, FV, is set equal to Y (I -one). It should be noted that "1" is subtracted from the value I because I was increased beyond IEND. After step 136 there is a step 138 where the management entity 28 (or some other entity that generates the evidence and credentials) performs a digital signature of the final value, the current date and other information that is used in relation to the tests. In another embodiment, said other information may be used to identify the particular electronic device (eg, laptop), the particular user or any other information that is linked to the credentials and the proof for a particular electronic device and / or user. and / or some other property. Optionally, the date and / or the PV value can be combined with the other information. For example, it is possible to use a message signed as OCSP that simply states "device no. 123456 is valid on 1/1/2004" or has a bit in a miniCRL that corresponds to a specific device that is enabled or disabled. In such cases, the credential on the device can perform the authentication of the device (that is, determine that the device is really device # 123456, etc.). OCSP and miniCRLs are known in this technique. After step 138, the processing is completed.
Haciendo referencia a la Figura 6, un diagrama de flujo 150 ilustra las etapas realizadas por la unidad de validación 42 en relación con la determinación de la validez de una prueba. El procesamiento comienza en una primera etapa 152 en donde la unidad de validación 42 recibe la prueba (p.e., mediante la lectura de la prueba a partir de los datos de pruebas 44). Después de la etapa 152 existe una etapa 154 en donde la unidad de validación 42 recibe las credenciales (p.e., mediante la lectura de los datos de credenciales 46). Referring to Figure 6, a flow chart 150 illustrates the steps performed by the validation unit 42 in relation to determining the validity of a test. The processing begins in a first stage 152 where the validation unit 42 receives the test (e.g., by reading the test from the test data 44). After step 152 there is a stage 154 where the validation unit 42 receives the credentials (e.g., by reading the credential data 46).
Después de la etapa 154 existe una etapa de prueba 156 que determina si la otra información que se proporciona con las credenciales es correcta. Como se describió en otro lugar de la presente descripción, la otra información incluye, por ejemplo, una identificación del dispositivo electrónico, una identificación del usuario, u otra propiedad que identifica la información. Si se determina, en la etapa de prueba 156, que la otra información asociada con las credenciales no coincide con la propiedad particular descrita por la otra información (p.e., las credenciales son para un dispositivo electrónico diferente o un usuario diferente), en tal caso el control se transfiere desde la etapa de prueba 156 a una etapa 158 en donde se proporciona una señal de fallo. Después de la etapa 158, se concluye el procesamiento. After step 154 there is a test stage 156 that determines whether the other information provided with the credentials is correct. As described elsewhere in this description, the other information includes, for example, an identification of the electronic device, an identification of the user, or other property that identifies the information. If it is determined, at test stage 156, that the other information associated with the credentials does not match the particular property described by the other information (eg, the credentials are for a different electronic device or a different user), in that case the control is transferred from test stage 156 to a stage 158 where a fault signal is provided. After step 158, the processing is completed.
Si se determina, en la etapa de prueba 156, que la otra información asociada con las credenciales está correcta, entonces el control se transfiere desde la etapa de prueba 156 a una etapa 162, en donde una variable N se establece igual a la fecha actual menos la fecha asociada con las credenciales (es decir, el número de días transcurridos desde que se emitieron las credenciales). Después de la etapa 162 existe una etapa 164 en donde el valor de prueba proporcionado en la etapa 152 tiene una función unidireccional aplicada N veces. La función unidireccional, utilizada en la etapa 164, corresponde a la función unidireccional utilizada en la etapa 132, anteriormente descrita. If it is determined, in test stage 156, that the other information associated with the credentials is correct, then control is transferred from test stage 156 to a stage 162, where a variable N is set equal to the current date minus the date associated with the credentials (that is, the number of days elapsed since the credentials were issued). After step 162 there is a stage 164 where the test value provided in step 152 has a unidirectional function applied N times. The unidirectional function, used in step 164, corresponds to the unidirectional function used in step 132, described above.
Después de la etapa 164 existe una etapa de prueba 166 que determina si el resultado obtenido en la etapa 164 es igual al valor final FV, que es parte de las credenciales recibidas en la etapa 154. Si es así, entonces el control se transfiere desde la etapa de prueba 166 a una etapa 168 en donde se proporciona una señal de paso por la unidad de validación After step 164 there is a test stage 166 that determines whether the result obtained in step 164 is equal to the final PV value, which is part of the credentials received in step 154. If so, then the control is transferred from test stage 166 to a stage 168 where a signal is passed through the validation unit
42. De no ser así, si se determina, en la etapa de prueba 166, que el resultado obtenido en la etapa 164 no es igual al valor final FV proporcionado con las credenciales en la etapa 154, en tal caso, el control se transfiere desde la etapa de prueba 166 a una etapa 172 en donde se genera una señal de fallo por la unidad de validación 42. Después de la etapa 172, se concluye el procesamiento. 42. If not, if it is determined, in test stage 166, that the result obtained in step 164 is not equal to the final PV value provided with the credentials in step 154, in that case, control is transferred from test stage 166 to a stage 172 where a fault signal is generated by the validation unit 42. After step 172, the processing is completed.
Las firmas digitales pueden proporcionar una forma efectiva de autenticación de Internet. A diferencia de las contraseñas tradicionales y de los números PINs, las firmas digitales pueden proporcionar autenticación que puede ser universalmente verificable y no repudiable. Las firmas digitales pueden producirse mediante una clave de signatura, SK, y verificarse mediante una clave de verificación de coincidencia, PK. Un usuario U mantiene su propia clave SK secreta (de modo que solamente el usuario U pueda firmar en nombre de U). Lamentablemente, la clave PK no "revela” la clave de coincidencia SK, es decir, el conocimiento de la clave PK no proporciona a un intruso ninguna ventaja práctica en el cálculo de SK. Por lo tanto, un usuario U podría hacer su propia PK tan pública como sea posible (de modo que cualquiera pueda verificar las firmas de U). Por este motivo, PK es preferentemente denominada la clave pública. Conviene señalar que el término "usuario" puede significar un usuario, una entidad, un dispositivo o un conjunto de usuarios, dispositivos y/o entidades. Digital signatures can provide an effective form of Internet authentication. Unlike traditional passwords and PIN numbers, digital signatures can provide authentication that can be universally verifiable and non-repudiable. Digital signatures can be produced using a signature key, SK, and verified by a match verification key, PK. A user U keeps his own secret SK key (so that only user U can sign on behalf of U). Unfortunately, the PK key does not "reveal" the SK match key, that is, knowledge of the PK key does not provide an intruder with any practical advantage in calculating SK. Therefore, a user U could make his own PK as public as possible (so that anyone can verify the signatures of U) For this reason, PK is preferably called the public key It should be noted that the term "user" can mean a user, an entity, a device or a set of users, devices and / or entities.
Las claves públicas se pueden utilizar, además, para la encriptación asimétrica. Una clave de encriptación pública PK se puede generar junto con una clave de desencriptación de coincidencia de SK. De nuevo, el conocimiento de PK no revela a SK. Cualquier mensaje se puede encriptar fácilmente con la clave PK, pero el texto cifrado así determinado sólo puede desencriptarse fácilmente mediante el conocimiento de la clave SK. Por lo tanto, un usuario U podría hacer su propia PK tan pública como sea posible (de modo que cualquiera pueda encriptar mensajes para U), pero manteniendo la clave SK privada (de modo que solamente U pueda leer mensajes encriptados para U). Public keys can also be used for asymmetric encryption. A public PK encryption key can be generated together with an SK match decryption key. Again, knowledge of PK does not reveal SK. Any message can be easily encrypted with the PK key, but the encrypted text so determined can only be easily decrypted by knowledge of the SK key. Therefore, a user U could make his own PK as public as possible (so that anyone can encrypt messages for U), but keep the SK key private (so that only U can read encrypted messages for U).
El sistema RSA, bien conocido en esta técnica, proporciona un ejemplo de ambas firmas digitales y encriptación asimétrica. The RSA system, well known in this technique, provides an example of both digital signatures and asymmetric encryption.
Las cadenas alfanuméricas, denominadas certificados, establecen que una clave PK dada sea una clave pública de un usuario dado U. Una entidad, con frecuencia denominada autoridad de certificación (CA), genera y emite un certificado para un usuario. Los certificados caducan después de un periodo de tiempo especificado, que suele ser de un año en el caso de las autoridades CAs públicas. En esencial, un certificado digital C consiste en una firma digital de CAs que se vincula, de forma segura, junto con varias magnitudes: SN, un número de serie único para el certificado, PK, la clave pública del usuario, U, el nombre del usuario, D1, la fecha de emisión, D2, la fecha de caducidad e información adicional (incluyendo ninguna información), AI. En símbolos, C=SIGCA(SN,PK,U,D1,D2,AI). Alphanumeric strings, called certificates, establish that a given PK key is a public key of a given user U. An entity, often called a certification authority (CA), generates and issues a certificate for a user. Certificates expire after a specified period of time, which is usually one year in the case of public CA authorities. Essentially, a digital certificate C consists of a digital signature of CAs that is securely linked, together with several magnitudes: SN, a unique serial number for the certificate, PK, the user's public key, U, the name of the user, D1, the date of issue, D2, the expiration date and additional information (including no information), AI. In symbols, C = NEXT (SN, PK, U, D1, D2, AI).
Las claves de encriptación públicas pueden proporcionar, además, un medio de autenticación/identificación. Por ejemplo, una parte que conoce que una clave de encriptación pública privada PK pertenece a un usuario dado U (p.e., porque la parte ha verificado un certificado digital correspondiente para U y PK) y si desea identificar a U, puede utilizar la clave PK para encriptar un desafío aleatorio C y pedir a U que responda con la desencriptación correcta. Puesto que solamente el poseedor de la clave SK (y por lo tanto, U) puede realizar esta operación, si la respuesta al desafío es correcta, U está adecuadamente identificado. Public encryption keys can also provide a means of authentication / identification. For example, a party that knows that a private public encryption key PK belongs to a given user U (eg, because the party has verified a corresponding digital certificate for U and PK) and if you want to identify U, you can use the PK key to encrypt a random challenge C and ask U to respond with the correct decryption. Since only the SK key holder (and therefore, U) can perform this operation, if the answer to the challenge is correct, U is properly identified.
Es posible proporcionar un sistema para controlar el acceso físico a una zona utilizando una puerta inteligente (y/o una puerta virtual inteligente; véase la correspondiente descripción en otro lugar de la presente). Una puerta inteligente puede verificar que la persona que entra está actualmente autorizada para hacerlo. Puede ser conveniente proporcionar a la puerta no solamente la credencial de un usuario dado, sino también una prueba separada de que la credencial/usuario tiene todavía validez de una forma que se pueda utilizar, con seguridad, incluso por una puerta desconectada. En una forma de realización, dichas pruebas se generan como sigue. Suponiendo que una credencial especifica las puertas, un usuario puede entrar. En tal caso, para cada credencial y cada intervalo de tiempo (p.e., cada día), una entidad adecuada E (p.e., la misma entidad que decide quién está autorizado para qué puerta en cualquier momento, o una segunda entidad que trabaje para esa entidad) calcula una indicación de prueba autenticada (PROOF), de que una credencial dada es válida en el intervalo de tiempo dado. (Si las credenciales no identifican las puertas para las que los usuarios están autorizados a entrar, una indicación PROOF puede especificar también las puertas para las que la credencial es adecuada en el intervalo de tiempo dado). It is possible to provide a system to control physical access to an area using an intelligent door (and / or an intelligent virtual door; see the corresponding description elsewhere here). An intelligent door can verify that the person entering is currently authorized to do so. It may be convenient to provide the door not only with the credential of a given user, but also with a separate proof that the credential / user is still valid in a way that can be used safely, even by a disconnected door. In one embodiment, said tests are generated as follows. Assuming that a credential specifies the doors, a user can enter. In that case, for each credential and each time interval (eg, each day), an appropriate entity E (eg, the same entity that decides who is authorized for which door at any time, or a second entity that works for that entity ) calculates an authenticated test indication (PROOF), that a given credential is valid in the given time interval. (If the credentials do not identify the doors for which users are authorized to enter, a PROOF indication can also specify the doors for which the credential is appropriate in the given time interval).
Una PROOF de E puede consistir en una firma digital de E que indica, en una forma autenticada, que una credencial dada es válida para un intervalo de tiempo dado, por ejemplo: SIGE(ID, Día, Válida, AI), en donde ID es la información que identifica la credencial (p.e., el número de serie de la credencial), Día es una indicación del intervalo de tiempo dado (sin pérdida de generalidad prevista, un día dado), Válida es una indicación de que la credencial se considera válida (esta indicación se puede omitir si E nunca firma una cadena de datos similar a no ser que la credencial se considere válida) y AI indica cualquier información adicional (incluyendo ninguna información) estimada de utilidad. En algunos casos, la firma de E puede ser una firma de clave pública. (No obstante, podría ser también una firma de clave privada, es decir, una firma que puede generarse y verificarse mediante una clave secreta única, conocida por el firmante y por el verificador). Si la credencial consiste en un certificado digital, una sub-forma de realización puede consistir en un certificado de vida útil corta, es decir, una firma digital que re-emite la credencial para el intervalo de tiempo deseado (p.e., un certificado digital que especifica la misma clave pública, el mismo usuario U y alguna otra información básica como antes, pero que especifica la fecha de inicio y la fecha de caducidad con el fin de identificar el día deseado – sin pérdida de generalidad prevista). Por ejemplo, permitir, sin pérdida de generalidad prevista, un último certificado de corta duración para un día, en dicha sub-forma de realización, una PROOF puede adoptar la forma de SIGE(PK, U, D1, D2, AI), en donde la fecha de inicio D1 indica el principio de un día dado D y la fecha final D2 el final correspondiente del día D, o en donde D1=D2=D; o más simplemente, utilizando un campo de información de fecha única con el fin de identificar el día en cuestión, SIGE(PK, U, Día, AI). Si E coincide con la autoridad de certificación original, un certificado de corta duración PROOF puede adoptar la forma SIGCA(PK, U, D1, D2, AI) o SIGCA(PK, U, Día, AI). A PROOF of E may consist of a digital signature of E indicating, in an authenticated form, that a given credential is valid for a given time interval, for example: SIGE (ID, Day, Valid, AI), where ID is the information that identifies the credential (eg, the serial number of the credential), Day is an indication of the given time interval (without loss of expected generality, a given day), Valid is an indication that the credential is considered valid (this indication can be omitted if E never signs a similar data string unless the credential is considered valid) and AI indicates any additional information (including no information) deemed useful. In some cases, the signature of E may be a public key signature. (However, it could also be a private key signature, that is, a signature that can be generated and verified by a unique secret key, known to the signer and the verifier). If the credential consists of a digital certificate, a sub-embodiment may consist of a short life certificate, that is, a digital signature that re-issues the credential for the desired time interval (eg, a digital certificate that it specifies the same public key, the same user U and some other basic information as before, but which specifies the start date and the expiration date in order to identify the desired day - without loss of expected generality). For example, to allow, without loss of anticipated generality, a last short-term certificate for one day, in said sub-embodiment, a PROOF may take the form of SIGE (PK, U, D1, D2, AI), in where the start date D1 indicates the beginning of a given day D and the end date D2 the corresponding end of day D, or where D1 = D2 = D; or more simply, using a single date information field in order to identify the day in question, SIGE (PK, U, Day, AI). If E matches the original certification authority, a short-term PROOF certificate may take the form SIGCA (PK, U, D1, D2, AI) or SIGCA (PK, U, Day, AI).
Siendo objeto de autenticación, un usuario no puede fabricar su propia PROOF del día (es decir, la PROOF del día de su propia credencial), ni puede cambiar su PROOF de ayer en su propia PROOF de hoy, ni la PROOF de otro usuario para hoy en la suya propia para hoy. Puesto que las PROOFs son esencialmente no susceptibles de olvido ni de modificación, estas PROOFs no necesitan protegerse. De este modo, la entidad E puede hacer que las PROOFs estén disponibles con un coste insignificante. Por ejemplo, E puede registrar todas las pruebas PROOF de un día dado en Internet (p.e., hacer que las PROOFs estén disponibles a través de servidores Akamai o equivalente), o enviar las PROOFs a respondedores/servidores que puedan alcanzarse con facilidad por los usuarios. Por ejemplo, para un servidor localizado a la entrada de un aeropuerto (o edificio de oficinas) en donde estén localizadas gran parte de las puertas a accederse de forma correcta. De esta manera, un empleado que llega a su trabajo puede recoger fácilmente su propia PROOF (p.e., insertando su propia tarjeta en un lector de tarjetas acoplado con el servidor) y asimismo, memorizar la PROOF en su propia tarjeta, junto con su propia credencial. De este modo, cuando el usuario presente su tarjeta a una puerta que su credencial le autoriza para acceder, la puerta no solamente puede verificar la credencial sino que también recibe y verifica una PROOF de autorización actual, sin necesidad de conectarse en absoluto. La puerta verifica la PROOF (p.e., la firma digital de E mediante una clave pública de E que se puede memorizar desde su instalación) y que el intervalo de tiempo especificado por la PROOF es adecuado (p.e., mediante su propio reloj local). Si todo está correcto, la puerta concede el acceso y si no lo está, la puerta deniega el acceso. En esencia, la puerta se puede desconectar y no obstante, su verificación de PROOF puede ser relativamente fácil (porque la puerta puede recibir la PROOF por la parte más disponible: el propio usuario que demanda el acceso) y al mismo tiempo, relativamente segura (aunque la puerta reciba la PROOF desde la parte más sospechosa: el propio usuario que demanda el acceso). De hecho, un usuario que demanda el acceso puede estar normalmente en la proximidad física de la puerta y de este modo, puede proporcionar la PROOF con facilidad, sin utilizar ninguna conexión a un emplazamiento distante y de este modo, operar con independencia de la conectividad de la puerta. Al mismo tiempo, el usuario que demanda el acceso puede ser la fuente de información menos fiable en ese momento crucial. No obstante, puesto que el usuario no puede fabricar ni modificar una PROOF de su propia validez actual en modo alguno, la puerta puede tener la seguridad de que una PROOF adecuadamente verificada debe producirse por E, y E no habría producido la PROOF si E conociera que el usuario no está autorizado durante el intervalo de tiempo dado. Cuando un usuario deja de estar autorizado, E interrumpirá la emisión de PROOF de autorización para el usuario y de este modo, el usuario ya no puede entrar a través de puertas incluso desconectadas, porque el usuario carecerá de la PROOF que una puerta necesita verificar para poder conceder su acceso. De este modo, utilizando el usuario que demanda el acceso pruebas de autorización adecuada y actual, el sistema aquí descrito dispensa las inconveniencias asociadas con otros sistemas, esto es, la necesidad de encargar a un grupo de trabajo la reprogramación de las puertas desconectadas. Being authenticated, a user cannot manufacture his own PROOF of the day (that is, the PROOF of the day of his own credential), nor can he change his PROOF of yesterday in his own PROOF of today, nor the PROOF of another user to today on your own for today. Since PROOFs are essentially not susceptible to forgetfulness or modification, these PROOFs do not need to be protected. In this way, entity E can make PROOFs available at an insignificant cost. For example, E can register all PROOF tests of a given day on the Internet (eg, make PROOFs available through Akamai servers or equivalent), or send PROOFs to responders / servers that can be easily reached by users . For example, for a server located at the entrance of an airport (or office building) where most of the doors are located to be accessed correctly. In this way, an employee who arrives at his job can easily pick up his own PROOF (eg, by inserting his own card into a card reader attached to the server) and also memorize the PROOF on his own card, along with his own credential. . Thus, when the user presents his card to a door that his credential authorizes him to access, the door can not only verify the credential but also receives and verifies a current authorization PROOF, without needing to connect at all. The door verifies the PROOF (e.g., the digital signature of E by means of a public key of E that can be memorized from its installation) and that the time interval specified by the PROOF is adequate (e.g., by its own local clock). If everything is correct, the door grants access and if it is not, the door denies access. In essence, the door can be disconnected and nevertheless, its verification of PROOF can be relatively easy (because the door can receive the PROOF for the most available part: the user himself who demands access) and at the same time, relatively secure ( although the door receives the PROOF from the most suspicious part: the user who demands access). In fact, a user who demands access can normally be in the physical proximity of the door and thus, can provide the PROOF with ease, without using any connection to a distant location and thus, operate independently of connectivity of the door. At the same time, the user who demands access can be the least reliable source of information at that crucial moment. However, since the user cannot manufacture or modify a PROOF of its own current validity in any way, the door can be assured that a properly verified PROOF must be produced by E, and E would not have produced the PROOF if E knew that the user is not authorized during the given time interval. When a user is no longer authorized, E will interrupt the issuance of authorization PROOF for the user and in this way, the user can no longer enter through doors even disconnected, because the user will lack the PROOF that a door needs to verify for be able to grant your access Thus, using the user who demands access to proper and current authorization tests, the system described here dispenses the inconveniences associated with other systems, that is, the need to instruct a work group to reprogram the disconnected doors.
Este método permite, además, gestionar el acceso de las puertas desconectadas por "cargo" (o por "privilegio"). Es decir, en lugar de tener una credencial que especifique las puertas que su usuario está autorizado para entrar y luego emitir p.e., cada día – una PROOF de validez actual de una credencial (o en lugar de emitir una PROOF que especifique que una credencial dada autoriza a su usuario a entrar por algunas puertas en un intervalo de tiempo dado), las puertas desconectadas se pueden programar (p.e., en el momento de la instalación) para conceder acceso solamente a usuarios que tengan un cargo profesional dado. Por ejemplo, una puerta de la cabina en un avión puede ser programada para conceder acceso solamente a PILOTOS e INSPECTORES. Las credenciales se pueden emitir a empleados principalmente para comprobar su identidad (que no se cambie), mientras que cada PROOF que E -p.e., emite diariamente para una credencial dada, puede especificar además (p.e., en el campo AI) los cargos de su usuario correspondiente en ese día. Por ejemplo, PROOF = SIGE(ID, Día, PILOTO, AI) prueba en el Día indicado que el usuario correspondiente a la credencial identificada por ID es un piloto. De esta manera, los empleados pueden “migrar” desde un cargo al siguiente sin tener que volver a emitir su credencial y sin necesidad de especificar dentro de una credencial de usuario o en su PROOF diaria correspondiente, a qué puertas el usuario puede acceder ese día. Conviene señalar que el número de dichas puertas puede ser muy grande. De este modo, especificando dentro de una credencial de usuario todas las puertas a las que un usuario puede estar autorizado a acceder, puede ser una tarea que exija un tiempo excesivo. Además, si se añaden nuevas puertas (p.e., porque se adquieren nuevas aeronaves), entonces, la credencial del piloto puede tener que volverse a emitir, lo que resulta también oneroso, para especificar las puertas adicionales. This method also allows managing access to disconnected doors by "charge" (or by "privilege"). That is, instead of having a credential that specifies the doors that your user is authorized to enter and then issue eg, each day - a current valid PROOF of a credential (or instead of issuing a PROOF that specifies that a given credential authorizes its user to enter through some doors in a given time interval), the disconnected doors can be programmed (eg, at the time of installation) to grant access only to users who have a given professional position. For example, a cabin door on an airplane can be programmed to grant access only to PILOTS and INSPECTORS. Credentials can be issued to employees primarily to verify their identity (that is not changed), while each PROOF that E-pe, issues daily for a given credential, can also specify (eg, in field AI) the charges of their corresponding user on that day. For example, PROOF = NEXT (ID, Day, PILOT, AI) proves on the Day indicated that the user corresponding to the credential identified by ID is a pilot. In this way, employees can “migrate” from one position to the next without having to reissue their credential and without having to specify within a user credential or in their corresponding daily PROOF, what doors the user can access that day . It should be noted that the number of such doors can be very large. Thus, specifying within a user credential all the doors that a user may be authorized to access, can be a task that requires excessive time. In addition, if new doors are added (e.g., because new aircraft are acquired), then the pilot's credential may have to be reissued, which is also burdensome, to specify additional doors.
Los intervalos de tiempo adecuados para una credencial dada se pueden especificar dentro de la propia credencial o se pueden especificar por la credencial y la PROOF conjuntamente. Por ejemplo, una credencial puede especificar un día de inicio dado y que necesita probarse válida cada día, mientras que la PROOF puede especificar el intervalo de tiempo 244, lo que significa que la PROOF se refiere al día 244 después del día de inicio especificado en la propia credencial. The appropriate time intervals for a given credential can be specified within the credential itself or can be specified by the credential and the PROOF together. For example, a credential can specify a given start day and needs to be proven valid every day, while the PROOF can specify the time interval 244, which means that the PROOF refers to day 244 after the start day specified in The credential itself.
El sistema aquí descrito puede ser también ventajoso en relación con sistemas de puertas conectadas de más alto coste. Por ejemplo, suponiendo que todas las puertas fueron conectadas, de forma segura, a una base de datos central y que se produce una parada técnica imprevista (p.e., por sabotaje). En tal caso, las puertas conectadas pueden verse obligadas a elegir entre dos alternativas extremas: SIEMPRE ABIERTA (buena para seguridad, pero de protección deficiente, en particular, si fueron terroristas los que causaron la parada técnica) y SIEMPRE CERRADA (mala para seguridad pero buena para la protección personal). En contraste, en caso de una parada técnica imprevista, el sistema aquí descrito ofrece una respuesta mucho más flexible, algunas (no ya) puertas conectadas pueden permanecer siempre cerradas, otras siempre abiertas y otras, no obstante, pueden seguir funcionando según el control de acceso de puertas desconectadas aquí descrito. Es decir, las puertas, que funcionen con baterías, pueden abrirse solamente si se presenta la credencial correcta y las PROOFs correctas. De hecho, antes de que se produzca la parada técnica es posible para todos los empleados recibir periódicamente sus PROOFs previstas. The system described here may also be advantageous in relation to higher cost connected door systems. For example, assuming that all doors were securely connected to a central database and that an unexpected technical shutdown occurs (e.g., by sabotage). In this case, the connected doors may be forced to choose between two extreme alternatives: ALWAYS OPEN (good for security, but poor protection, in particular, if the terrorists caused the technical shutdown) and ALWAYS CLOSED (bad for security but good for personal protection). In contrast, in case of an unexpected technical shutdown, the system described here offers a much more flexible response, some (not already) connected doors can always remain closed, others always open and others, however, can continue to function according to the control of access of disconnected doors described here. That is, the doors, which run on batteries, can only be opened if the correct credential and the correct PROOFs are presented. In fact, before the technical shutdown occurs, it is possible for all employees to periodically receive their planned PROOFs.
Por supuesto, la entidad E puede generar PROOFs que especifican diferentes intervalos de tiempo para diferentes credenciales. Por ejemplo, en una instalación de aeropuerto, los oficiales de policía y personal de emergencia pueden, cada día, tener una PROOF que especifique a las dos semanas siguientes como el intervalo de tiempo pertinente, mientras que todos los empleados ordinarios pueden tener, cada día, PROOFs que especifiquen solamente el día en cuestión. Dicho sistema puede proporcionar un mejor control en caso de una parada técnica larga e imprevista. Si se produce dicha parada técnica, la distribución usual diaria de PROOFs se puede interrumpir y los empleados ordinarios pueden no recibir sus PROOFs diarias, pero los policías y los responsables de gestión de casos de emergencia pueden poseer todavía, en sus tarjetas, las pruebas de dos semanas que recibieron el día antes y por lo tanto, pueden continuar accionando todas las puertas para las que estén autorizados a entrar (p.e., todas las puertas). Of course, entity E can generate PROOFs that specify different time intervals for different credentials. For example, at an airport facility, police officers and emergency personnel may, every day, have a PROOF that specifies the following two weeks as the relevant time interval, while all ordinary employees may have, every day , PROOFs that specify only the day in question. Such a system can provide better control in case of a long and unexpected technical stop. If such a technical shutdown occurs, the usual daily distribution of PROOFs may be interrupted and ordinary employees may not receive their daily PROOFs, but police officers and those responsible for emergency case management may still have, on their cards, evidence of two weeks they received the day before and therefore, they can continue to operate all the doors for which they are authorized to enter (eg, all doors).
Debe entenderse que el método aquí descrito abarca la utilización de credenciales que consisten en una forma de certificado reducida, que puede denominarse como certificados mínimos. Un certificado mínimo puede omitir esencialmente el nombre del usuario y/o el identificador ID del certificado o sustituir el nombre de usuario y/o el identificador ID por una clave pública del certificado, (que puede ser única para cada certificado). Por ejemplo, una credencial de certificado mínimo puede adoptar la forma C=SIGCA(PK,D1,D2, AI), con el entendimiento de que la presentación adecuada de esta credencial incluye probar el conocimiento de la clave secreta SK correspondiente a PK (p.e., mediante un método de desafío-respuesta). La puerta puede conocer, de antemano, si la presentación adecuada (o no) de una credencial relativa a PK (preferentemente, si está actualmente validada) debe dar lugar a la concesión del acceso. Como alternativa, una credencial C mínima puede especificar (p.e., en AI) si un usuario que conoce la SK correspondiente está autorizado, o no, para entrar por una puerta dada. Una PROOF relativa a un certificado mínimo cuya clave pública es PK, puede adoptar la forma SIGE(ID, Día, Válida, AI) o SIGE(PK, Día, Válida, AI) o SIGE(ID, Día, AI) si se entiende que cualquier firma similar indica la validez por implicación. Como alternativa, una PROOF de vigencia de un certificado mínimo puede adoptar la forma de la re-emisión de un certificado mínimo de corta duración: p.e., SIGE(PK,D1,D2, AI), en donde la fecha de inicio D1 indica el comienzo de un día dado D y D2 el final correspondiente del día D, o D1=D2=D; o SIGE(PK, Día, AI); o permitiendo que E coincida con la autoridad de certificación original, SIGCA(PK,D1,D2,AI) o SIGCA(PK, Día, AI). En general, cualquier método aquí descrito dirigido a certificados debe entenderse que se aplica también a certificados mínimos. It should be understood that the method described herein encompasses the use of credentials that consist of a form of reduced certificate, which can be referred to as minimum certificates. A minimum certificate can essentially omit the user's name and / or the ID of the certificate or replace the username and / or the ID with a public key of the certificate (which may be unique for each certificate). For example, a minimum certificate credential can take the form C = SIGCA (PK, D1, D2, AI), with the understanding that the proper presentation of this credential includes testing knowledge of the secret key SK corresponding to PK (eg , using a challenge-response method). The door can know, in advance, if the proper presentation (or not) of a PK-related credential (preferably, if it is currently validated) should result in the granting of access. Alternatively, a minimum C credential can specify (e.g., in AI) whether a user who knows the corresponding SK is authorized, or not, to enter through a given door. A PROOF relative to a minimum certificate whose public key is PK, can take the form SIGE (ID, Day, Valid, AI) or SIGE (PK, Day, Valid, AI) or SIGE (ID, Day, AI) if understood that any similar signature indicates validity by implication. Alternatively, a valid PROOF of a minimum certificate may take the form of the re-issuance of a minimum certificate of short duration: eg, SIGE (PK, D1, D2, AI), where the start date D1 indicates the beginning of a given day D and D2 the corresponding end of day D, or D1 = D2 = D; o FOLLOW (PK, Day, AI); or allowing E to match the original certification authority, SIGCA (PK, D1, D2, AI) or SIGCA (PK, Day, AI). In general, any method described here addressed to certificates should be understood to apply also to minimum certificates.
Una puerta inteligente puede verificar la validez y la vigencia de las credenciales de un usuario, que pueden ir acompañadas por una prueba correspondiente. Las credenciales/pruebas utilizadas por un usuario, para obtener acceso a una zona, pueden ser similares a las credenciales/pruebas utilizadas en relación con el control del acceso a dispositivos electrónicos, según se describe en otro lugar de la presente. A continuación, se proporcionan ejemplos de credenciales/pruebas, algunos de los cuales se pueden combinar con otros: An intelligent door can verify the validity and validity of a user's credentials, which may be accompanied by a corresponding proof. The credentials / tests used by a user, to gain access to an area, may be similar to the credentials / tests used in relation to the control of access to electronic devices, as described elsewhere herein. The following are examples of credentials / tests, some of which can be combined with others:
- 1. one.
- Un número PIN o contraseña, introducido a través de un teclado asociado con la puerta o comunicarse a la puerta por una tarjeta de usuario; A PIN number or password, entered through a keypad associated with the door or communicated to the door by a user card;
- 2. 2.
- Información biométrica, proporcionada por un usuario a través de un lector especial asociado con la puerta; Biometric information, provided by a user through a special reader associated with the door;
- 3. 3.
- Una firma tradicional (manuscrita), proporcionada por un usuario a través de un teclado especial asociado con la puerta; A traditional (handwritten) signature, provided by a user through a special keyboard associated with the door;
- 4. Four.
- Un certificado digital para una clave pública PK (p.e., dicha credencial se puede memorizar en una tarjeta de usuario y el usuario correcto/tarjeta puede utilizar la clave secreta correspondiente SK para autenticarse/identificarse por sí mismo a la puerta -p.e., mediante un protocolo de desafío-respuesta). Por ejemplo, si PK es una clave pública de firma, la puerta puede exigir la firma de un mensaje dado y el usuario correcto es el único que conoce la tecla de firma secreta SK correspondiente que podrá proporcionar así la firma solicitada correcta; si PK es una clave de encriptación pública, la puerta puede exigir la presentación de un texto cifrado desencriptado dado, que se puede realizar por el usuario correcto, que conoce la clave de desencriptación secreta correspondiente SK; A digital certificate for a PK public key (eg, such credential can be memorized in a user card and the correct user / card can use the corresponding secret key SK to authenticate / identify itself to the door -pe, by means of a protocol challenge-response). For example, if PK is a public signature key, the door may require the signature of a given message and the correct user is the only one who knows the corresponding SK secret signature key that can thus provide the correct requested signature; if PK is a public encryption key, the door may require the presentation of a given decrypted encrypted text, which can be done by the correct user, who knows the corresponding secret decryption key SK;
- 5. 5.
- Un certificado digital mejorado que incluye un "valor de validación" diario (que garantiza que el certificado es válido en esta fecha particular), memorizado en una tarjeta de usuario y comunicado a la puerta; An improved digital certificate that includes a daily "validation value" (which guarantees that the certificate is valid on this particular date), memorized on a user card and communicated to the door;
- 6. 6.
- Una firma digital de una autoridad central que confirme que un certificado de usuario es válido en el momento actual, comunicado a la puerta por un servidor o un respondedor; A digital signature of a central authority confirming that a user certificate is valid at the present time, communicated to the door by a server or responder;
- 7. 7.
- Un certificado digital que se memoriza en una tarjeta de usuario y se comunica a la puerta, así como un "valor de validación" diario comunicado a la puerta por un servidor o un respondedor; A digital certificate that is memorized on a user card and communicated to the door, as well as a daily "validation value" communicated to the door by a server or responder;
- 8. 8.
- Un valor secreto, memorizado en una tarjeta de usuario, cuyo conocimiento se comprueba para la puerta por intermedio de un protocolo interactivo (posiblemente de conocimiento cero) con la puerta; A secret value, stored in a user card, whose knowledge is checked for the door by means of an interactive protocol (possibly zero knowledge) with the door;
- 9. 9.
- Una firma de clave secreta de una autoridad, memorizada en una tarjeta de usuario, que indica que el usuario está autorizado para entrar en un día particular. A secret key signature of an authority, memorized on a user card, indicating that the user is authorized to enter a particular day.
De este modo, en algunos casos, se proporcionan credenciales/pruebas en una parte única mientras que, en otros casos, las credenciales/pruebas se proporcionan en partes separadas, por un lado las credenciales y por separado, las pruebas. Por ejemplo, en donde las credenciales/pruebas consisten en un certificado digital mejorado que incluye un valor de validación diaria que indica que el certificado es válido en esa fecha particular y está asociado con un usuario y comunicado a la puerta, las credenciales (el certificado digital mejorado) se pueden proporcionar por separado (por medios diferentes y/o en momentos diferentes) de las pruebas (el valor de validación diaria). De forma similar, las credenciales y las pruebas pueden ser todas ellas generadas por la misma autoridad o se pueden generar por autoridades diferentes. Thus, in some cases, credentials / proofs are provided in a single part while, in other cases, credentials / proofs are provided in separate parts, on the one hand credentials and separately, proofs. For example, where the credentials / tests consist of an enhanced digital certificate that includes a daily validation value that indicates that the certificate is valid on that particular date and is associated with a user and communicated to the door, the credentials (the certificate Enhanced digital) can be provided separately (by different means and / or at different times) of the tests (the daily validation value). Similarly, credentials and evidence can all be generated by the same authority or can be generated by different authorities.
Haciendo referencia a la Figura 7, un diagrama ilustra un sistema 200 que incluye una zona 202 en la que ha de restringirse su acceso físico. La zona 202 está encerrada por una pluralidad de paredes 204-207. La pared 207 tiene una puerta 212 para proporcionar salida a la zona 202. En otras formas de realización, se pueden utilizar más de una puerta. Las paredes 204-207 y la puerta 212 proporcionan una barrera para el acceso a la zona 202. La puerta 212 se puede bloquear utilizando una cerradura electrónica que impide la apertura de la puerta 212 a no ser que y hasta que la cerradura electrónica 214 reciba una señal adecuada. La cerradura electrónica 214 se puede poner en práctica utilizando cualquier elemento adecuado que proporcione la funcionalidad aquí descrita, incluyendo, sin limitación, la utilización de cerraduras electrónicas de uso ordinario. Referring to Figure 7, a diagram illustrates a system 200 that includes a zone 202 in which its physical access has to be restricted. Zone 202 is enclosed by a plurality of walls 204-207. The wall 207 has a door 212 to provide exit to the zone 202. In other embodiments, more than one door can be used. The walls 204-207 and the door 212 provide a barrier for access to the area 202. The door 212 can be locked using an electronic lock that prevents the opening of the door 212 unless and until the electronic lock 214 receives An adequate signal. The electronic lock 214 can be implemented using any suitable element that provides the functionality described herein, including, without limitation, the use of electronic locks of ordinary use.
La cerradura electrónica 214 puede acoplarse a un controlador 216, que proporciona una señal adecuada para la cerradura electrónica 214 para permitir la apertura de la puerta 212. En algunas formas de realización, la cerradura electrónica 214 y el controlador 216 pueden proporcionarse en una sola unidad. El controlador 216 puede acoplarse con una unidad de entrada 218, que puede recibir credenciales de un usuario y de forma opcional, recibir también una prueba correspondiente que indique que un usuario está actualmente autorizado para entrar en la zona 202. La unidad de entrada 218 puede recibir también una alerta de revocación directa (HRA) que indique que al usuario ya no le está permitido entrar en la zona 202. Las alertas HRAs se describen, con más detalle, a continuación. La unidad de entrada 218 puede ser cualquier dispositivo de entrada adecuado, tal como un teclado, un lector de tarjetas, una unidad biométrica, etc. The electronic lock 214 can be coupled to a controller 216, which provides a signal suitable for the electronic lock 214 to allow the opening of the door 212. In some embodiments, the electronic lock 214 and the controller 216 can be provided in a single unit. . The controller 216 can be coupled with an input unit 218, which can receive credentials from a user and optionally also receive a corresponding proof indicating that a user is currently authorized to enter zone 202. The input unit 218 can also receive a direct revocation alert (HRA) indicating that the user is no longer allowed to enter zone 202. HRA alerts are described in more detail below. The input unit 218 can be any suitable input device, such as a keyboard, a card reader, a biometric unit, etc.
De forma opcional, el controlador 216 puede tener una conexión externa 222 que se puede utilizar para transmitir datos a y desde el controlador 216. La conexión externa 222 puede ser segura aunque, en algunas formas de realización, la conexión externa 222 puede no necesitar ser segura. Además, la conexión externa 222 puede no ser necesaria porque la funcionalidad aquí descrita puede proporcionarse utilizando unidades autónomas que no tengan conexiones exteriores. En aquellos casos en que se proporciona la conexión externa 222, dicha conexión externa 222 se puede utilizar para transmitir credenciales, pruebas, HRAs y/o se puede emplear en relación con el registro del acceso a la zona Optionally, the controller 216 may have an external connection 222 that can be used to transmit data to and from the controller 216. The external connection 222 may be secure although, in some embodiments, the external connection 222 may not need to be secure. . In addition, external connection 222 may not be necessary because the functionality described herein may be provided using autonomous units that do not have external connections. In those cases where the external connection 222 is provided, said external connection 222 can be used to transmit credentials, tests, HRAs and / or can be used in connection with the registration of access to the zone
202. El registro del acceso se describe con más detalle en otro lugar en esta misma descripción. Conviene señalar que la conexión externa 222 puede ser intermitente de modo que, por ejemplo, en algunos momentos la conexión externa 222 proporciona conectividad para el controlador 216 mientras que, en otros momentos, puede no existir ninguna conexión externa para el controlador 216. En algunos casos, la conexión externa 222 puede utilizarse para transmitir una parte de las credenciales/pruebas (p.e., un certificado digital PKI) mientras que un usuario presenta a la unidad de entrada 218 una parte restante de las credenciales/pruebas (p.e., un valor de validación diaria utilizado en relación con el certificado digital). 202. The access registry is described in more detail elsewhere in this same description. It should be noted that the external connection 222 may be intermittent so that, for example, at some times the external connection 222 provides connectivity for the controller 216 while, at other times, there may be no external connection for the controller 216. At some times cases, external connection 222 can be used to transmit a part of the credentials / tests (eg, a PKI digital certificate) while a user presents to the input unit 218 a remaining part of the credentials / tests (eg, a value of daily validation used in relation to the digital certificate).
En algunas formas de realización, un usuario puede presentar una tarjeta 224 a la unidad de entrada. Según se describe en otro lugar de la presente, la tarjeta 224 puede ser una tarjeta inteligente, una PDA, etc. que proporciona datos (p.e., credenciales/pruebas) a la unidad de entrada 218. La tarjeta 224 puede obtener algunos o la totalidad de los datos desde un transpondedor 226. En otros casos, la tarjeta 224 puede obtener datos de otras tarjetas (no representadas), desde la unidad de entrada 218 (o algún otro mecanismo asociado con el acceso a la zona 202), o alguna otra fuente adecuada. In some embodiments, a user may present a card 224 to the input unit. As described elsewhere herein, the card 224 may be a smart card, a PDA, etc. which provides data (eg, credentials / evidence) to the input unit 218. The card 224 can obtain some or all of the data from a transponder 226. In other cases, the card 224 can obtain data from other cards (not shown) ), from the input unit 218 (or some other mechanism associated with access to zone 202), or some other suitable source.
En un primer ejemplo, las credenciales y pruebas se pueden mantener utilizando un número PIN/contraseña con protección física. En este ejemplo, cada mañana un servidor genera una nueva contraseña secreta SU para cada usuario autorizado U y comunica la nueva SU a puertas específicas a las que le está permitido acceder al usuario U. La comunicación puede ser encriptada para enviarse utilizando líneas no seguras o se puede transmitir a las puertas a través de algunos otros medios seguros. Cuando el usuario U informa de que tiene que trabajar por la mañana, el servidor central hace que la tarjeta del usuario U reciba la contraseña secreta actual SU. La contraseña secreta SU se guarda en la memoria de seguridad de la tarjeta, que se puede leer solamente cuando la tarjeta está adecuadamente autorizada (p.e., por el usuario que introduce un número PIN secreto en relación con la tarjeta o mediante la conexión con hardware de confianza en el servidor o las puertas). Siempre que el usuario intente acceder por una puerta, la tarjeta comunica, de forma segura, la contraseña SU a la puerta. A continuación la puerta comprueba si el valor SU recibido desde la tarjeta coincide con el valor recibido desde el servidor por la mañana y, si es así, permite el acceso. In a first example, credentials and proofs can be maintained using a physically protected PIN / password number. In this example, each morning a server generates a new secret SU password for each authorized user U and communicates the new SU to specific doors that user U is allowed to access. Communication can be encrypted to be sent using unsecured lines or It can be transmitted to the doors through some other secure means. When the user U reports that he has to work in the morning, the central server causes the user card U to receive the current secret password SU. The secret SU password is stored in the card's security memory, which can only be read when the card is properly authorized (eg, by the user entering a secret PIN number in relation to the card or by connecting with the hardware of the card). trust in the server or the doors). Whenever the user tries to access through a door, the card securely communicates the SU password to the door. The door then checks if the SU value received from the card matches the value received from the server in the morning and, if so, allows access.
De este modo, SU es la credencial del usuario para un día. Este sistema tiene la ventaja de que cada credencial es de duración limitada: si un empleado se despide o su tarjeta es sustraida, sus credenciales no serán útiles en el día siguiente. El sistema, sin embargo, exige alguna conectividad: al menos un breve periodo de conectividad (preferentemente cada mañana) se necesita para actualizar la puerta. Esta transmisión debe asegurarse (p.e., físicamente o de forma criptográfica). Thus, SU is the user's credential for one day. This system has the advantage that each credential is of limited duration: if an employee is dismissed or his card is stolen, his credentials will not be useful on the following day. The system, however, requires some connectivity: at least a short period of connectivity (preferably every morning) is needed to update the door. This transmission must be ensured (e.g., physically or cryptographically).
En otro ejemplo, las credenciales del usuario incluyen firmas con claves secretas. Este ejemplo utiliza firmas, que pueden ser firmas de claves públicas (p.e., firmas RSA) o firmas de claves secretas (p.e., Códigos de Autenticación de Mensajes In another example, the user's credentials include signatures with secret keys. This example uses signatures, which can be public key signatures (e.g., RSA signatures) or secret key signatures (e.g., Message Authentication Codes
o MACs). Por ejemplo, un servidor de control de acceso utiliza una clave secreta SK para generar firmas y la puerta dispone de medios para verificar dichas firmas (p.e., mediante una clave pública correspondiente o compartiendo el conocimiento de la misma clave SK). Cuando un usuario U informa de que va a trabajar por la mañana en un día D, el servidor hace que la tarjeta del usuario reciba una firma Sig que autentica la información de identificación del usuario U (p.e., el número de tarjeta único o la contraseña secreta del usuario U o información biométrica, tal como huellas dactilares del usuario U) y la fecha D. Cuando el usuario U intenta acceder por una puerta, la tarjeta comunica la firma Sig a la puerta, que verifica su validez posiblemente en conjunción con la información de identificación suministrada por el propio usuario U y la fecha suministrada por el reloj local de la puerta. Si todo ello es correcto, la puerta permite el acceso. or MACs). For example, an access control server uses a secret SK key to generate signatures and the door has means to verify those signatures (e.g., by means of a corresponding public key or by sharing knowledge of the same SK key). When a user U informs that he will work in the morning on a D day, the server causes the user's card to receive a Sig signature that authenticates the user identification information U (eg, the unique card number or password) secret of user U or biometric information, such as fingerprints of user U) and date D. When user U tries to access through a door, the card communicates the signature Sig to the door, which verifies its validity possibly in conjunction with the identification information provided by the user U himself and the date supplied by the local clock on the door. If all this is correct, the door allows access.
En esta técnica, la firma Sig se puede considerar como las credenciales del usuario y su prueba conjuntamente. Este método tiene sus propias ventajas: las tarjetas no necesitan memorizar secretos y las puertas no necesitan mantener conexiones seguras con un servidor central, ni una larga lista de credenciales válidas. In this technique, the Sig signature can be considered as the user's credentials and their proof together. This method has its own advantages: the cards do not need to memorize secrets and the doors do not need to maintain secure connections with a central server, nor a long list of valid credentials.
En otro ejemplo, las credenciales del usuario incluyen un certificado digital con pruebas de validez de cadena de funciones hash similares a las generadas en relación con el diagrama de flujo 120 de la Figura 5. Este ejemplo utiliza firmas de claves públicas y una función-resumen hash unidireccional H (que pone en práctica un tipo especial de firma digital). Una autoridad central tiene un par de claves: una clave pública PK (conocida para las puertas) y una clave secreta SK que no se suele conocer. Para un usuario U, la autoridad genera un valor secreto aleatorio X0 y un valor calculado X1 = H(X0), X2 = H(X1), …, X365 = H(X364). Puesto que H es una función hash unidireccional, cada valor de X no se puede calcular a partir del valor siguiente de X. La autoridad emite para el usuario U un certificado digital Cert, firmado utilizando la clave SK y que contiene el valor X365, válido para un año. En tal caso, cuando el usuario U informa que va a trabajar el día i, la autoridad hace que la tarjeta del usuario reciba el valor de validación de ese día Xj, donde j = 365 - i. Cuando U intenta acceder a una puerta, la tarjeta comunica el valor de validación Xj y el certificado Cert que contiene X365 a la puerta. La puerta verifica la validez del certificado Cert con la clave pública PK de la autoridad y comprueba también que H aplicada i veces a Xj produce X365. Conviene señalar que el término de "un año" y 365 se puede sustituir por cualquier otro periodo de tiempo. In another example, user credentials include a digital certificate with chain validity tests of hash functions similar to those generated in relation to flowchart 120 in Figure 5. This example uses public key signatures and a summary function unidirectional hash H (which implements a special type of digital signature). A central authority has a pair of keys: a public key PK (known for doors) and a secret key SK that is not usually known. For a user U, the authority generates a random secret value X0 and a calculated value X1 = H (X0), X2 = H (X1), ..., X365 = H (X364). Since H is a unidirectional hash function, each value of X cannot be calculated from the following value of X. The authority issues for the user U a digital certificate Cert, signed using the SK key and containing the valid X365 value for a year In this case, when user U informs that he will work on day i, the authority causes the user's card to receive the validation value of that day Xj, where j = 365 - i. When U tries to access a door, the card communicates the Xj validation value and the Cert certificate containing X365 to the door. The door verifies the validity of the Cert certificate with the public key PK of the authority and also verifies that H applied ix times to Xj produces X365. It should be noted that the term "one year" and 365 may be substituted for any other period of time.
De este modo, el certificado Cert del usuario así como el valor de validación Xj constituyen las credenciales/pruebas del usuario. Este sistema tiene numerosas ventajas: ni la puerta ni la tarjeta necesitan memorizar ningún secreto; la puerta no necesita tener ninguna conexión segura; el certificado se puede emitir una vez al año y en adelante, la carga de cálculo diaria sobre la autoridad central es mínima (porque la autoridad solamente necesita recuperar Xj); los valores de validación diaria se pueden proporcionar por respondedores distribuidos no seguros (de bajo coste) porque no necesitan ser secretos. Thus, the user's Cert certificate as well as the validation value Xj constitute the user's credentials / tests. This system has numerous advantages: neither the door nor the card need to memorize any secrets; the door does not need to have any secure connection; the certificate can be issued once a year and thereafter, the daily calculation burden on the central authority is minimal (because the authority only needs to recover Xj); Daily validation values can be provided by non-secure (low-cost) distributed responders because they do not need to be secret.
Una credencial/prueba para un usuario U suele estar limitada en su duración, lo que es de utilidad en varias circunstancias. Por ejemplo, si el usuario U es un empleado de un aeropuerto y es objeto de despido, sus credenciales/pruebas pueden caducar al final del día y ya no podrá acceder a las puertas del aeropuerto. Para un control de acceso más preciso, puede ser deseable disponer de credenciales de más corta duración. Por ejemplo, si la credencial/prueba para U incluye la hora y los minutos así como la fecha, entonces el usuario U puede ser bloqueado con respecto al acceso al aeropuerto transcurrido un solo minuto desde su despido. Sin embargo, las credenciales/pruebas de más corta duración exigen una actualización más frecuente, lo que añade gastos al sistema. Podría ser inconveniente si cada empleado, en un aeropuerto, tuviera que cargar nuevas credenciales/pruebas en su tarjeta cada minuto. De este modo, puede producirse un conflicto inherente entre los deseos de tener credenciales a corto plazo y de tener un sistema de más bajo coste, lo que puede dar lugar a credenciales que a veces ya no sean deseadas. Por ejemplo, el usuario U puede necesitar bloquearse del acceso al aeropuerto de forma inmediata, pero su credencial no caduca hasta la medianoche. Por lo tanto, es deseable proporcionar una cancelación inmediata de las credenciales que todavía no han caducado. A credential / proof for a user U is usually limited in duration, which is useful in various circumstances. For example, if user U is an employee of an airport and is subject to dismissal, his credentials / tests may expire at the end of the day and he will no longer be able to access the airport doors. For more precise access control, it may be desirable to have credentials of shorter duration. For example, if the credential / proof for U includes the time and minutes as well as the date, then user U can be locked with respect to access to the airport after only one minute from his dismissal. However, shorter credentials / tests require a more frequent update, which adds expenses to the system. It could be inconvenient if each employee, at an airport, had to load new credentials / tests on his card every minute. In this way, there can be an inherent conflict between the desire to have short-term credentials and to have a lower cost system, which can lead to credentials that are sometimes no longer desired. For example, user U may need to block access to the airport immediately, but his credential does not expire until midnight. Therefore, it is desirable to provide immediate cancellation of credentials that have not yet expired.
Conviene señalar que si las credenciales/pruebas son siempre memorizadas en una base de datos segura, que sea consultada por las puertas cada vez que se solicita un acceso, es relativamente sencillo cancelar las credenciales/pruebas mediante, por ejemplo, la eliminación de las credenciales/pruebas canceladas desde la base de datos. Sin embargo, al tener una puerta que consultar una base de datos segura cada vez, resulta de alto coste. En primer lugar, porque esto añade un retardo significativo a la operación puesto que el usuario necesita acceder a la puerta de inmediato, pero tiene que esperar a que la consulta sea adecuadamente concluida. En segundo lugar, porque esta comunicación es preferentemente realizada a través de un canal seguro, que puede costar fácilmente 4.000 dólares por puerta (o más) o estar completamente indisponible en algunos casos (p.e., para puertas de aviones o contenedores de carga). En tercer lugar, porque una base de datos segura única sólo puede gestionar una carga de consulta limitada y la replicación de una base de datos segura es en sí misma de alto coste y exigente en dedicación de tiempo (p.e., porque los costes de mantener la base de datos segura deben duplicarse y debe medirse el esfuerzo para mantener estas copias sincronizadas). Por lo tanto, a diferencia del método completamente conectado, los métodos desconectados o intermitentemente conectados (tales como los descritos en los ejemplos anteriores) necesitan menos comunicación y suelen memorizar las credenciales/pruebas en respondedores no asegurados o en las propias tarjetas. En tal caso, simplemente retirando las credenciales/pruebas desde la base de datos puede no ser suficiente. Para referirse de nuevo a los ejemplos anteriores, la contraseña SU, o la firma de la autoridad competente o el valor de validación Xj tendrían que eliminarse, de alguna manera, desde una tarjeta de usuario o desde las puertas. Además, incluso dicha eliminación puede no garantizar siempre la revocación de una credencial, puesto que una credencial memorizada en un respondedor no seguro puede estar disponible para cualquier usuario, incluyendo un intruso malicioso que podría guardarla e intentar emplearla después de su eliminación desde la tarjeta de usuario. De este modo, aun cuando existan soluciones de menor coste con credenciales de duración limitada, estas soluciones, por sí mismas, no proporcionan necesariamente una revocación suficiente de una credencial/prueba no caducada. It should be noted that if the credentials / tests are always stored in a secure database, which is consulted by the doors every time access is requested, it is relatively easy to cancel the credentials / tests by, for example, the elimination of the credentials / tests canceled from the database. However, having a door to check a secure database every time, is expensive. First, because this adds a significant delay to the operation since the user needs to access the door immediately, but has to wait for the query to be properly concluded. Secondly, because this communication is preferably carried out through a secure channel, which can easily cost $ 4,000 per door (or more) or be completely unavailable in some cases (e.g., for airplane doors or cargo containers). Thirdly, because a single secure database can only handle a limited query load and replication of a secure database is itself costly and time-consuming (eg, because the costs of maintaining the Secure database should be duplicated and effort should be measured to keep these copies synchronized.) Therefore, unlike the fully connected method, disconnected or intermittently connected methods (such as those described in the previous examples) need less communication and often memorize credentials / tests on unsecured responders or on the cards themselves. In such a case, simply removing credentials / evidence from the database may not be enough. To refer again to the previous examples, the SU password, or the signature of the competent authority or the validation value Xj would have to be removed, in some way, from a user card or from the doors. Furthermore, even such deletion may not always guarantee the revocation of a credential, since a credential memorized in an unsecured responder may be available to any user, including a malicious intruder who could save it and attempt to use it after its removal from the card. Username. Thus, even if there are lower cost solutions with limited duration credentials, these solutions, by themselves, do not necessarily provide a sufficient revocation of an unexpired credential / proof.
La cancelación de credenciales/pruebas se puede realizar utilizando una Alerta de Revocación Directa (HRA), que es un elemento de datos (preferentemente autenticados) que se transmiten a la puerta que impedirán que la puerta conceda acceso a un usuario con credenciales/pruebas canceladas (aunque posiblemente no caducadas). Por ejemplo, una HRA puede consistir en un mensaje con firma digital que indique que las credenciales/pruebas dadas han sido canceladas. Conviene señalar, sin embargo, que una firma no siempre puede estar implicada en una HRA. Por ejemplo, en el caso de una puerta con conexión segura, simplemente enviando una HRA a lo largo de la conexión protegida puede ser suficiente. Sin embargo, según se indicó anteriormente, las puertas con conexión segura pueden ser de alto coste en algunos casos e imposible (o casi imposible) en otros casos The cancellation of credentials / tests can be performed using a Direct Revocation Alert (HRA), which is an element of data (preferably authenticated) that is transmitted to the door that will prevent the door from granting access to a user with canceled credentials / tests. (although possibly not expired). For example, an HRA may consist of a digitally signed message stating that the credentials / tests given have been canceled. It should be noted, however, that a firm may not always be involved in an HRA. For example, in the case of a door with a secure connection, simply sending an HRA along the protected connection may be sufficient. However, as indicated above, doors with secure connection can be expensive in some cases and impossible (or almost impossible) in other cases.
Es de utilidad el que las HRAs sean autenticadas de modo que una entidad a la que se presenta una HRA pueda tener una relativa certeza de que la HRA es auténtica. Permitiendo que el identificador ID sea un identificador para las credenciales/pruebas C canceladas (en particular, el identificador ID puede coincidir con la propia C), entonces SIG(ID, "CANCELADA", AI) puede ser una HRA, en donde "CANCELADA" significa cualquier manera de señalización de que C ha sido cancelada ("CANCELADA" posiblemente sea la cadena vacía si el hecho de que las credenciales/pruebas sean canceladas podría deducirse por otros medios, tales como un convenio al nivel de sistema de que dichos mensajes firmados no sean enviados excepto en caso de cancelación), y AI significa cualquier información adicional (posiblemente información de fecha, tal como el momento en que las credenciales/pruebas han sido canceladas y/o el momento en que la HRA fue producida o ninguna información). La firma digital SIG puede ser, en particular, una firma digital de clave pública, una firma digital de clave secreta o un código de autenticación de mensaje. También es posible emitir una HRA autenticada mediante una encriptación adecuada de la información. Por ejemplo, una HRA autenticada puede adoptar la forma ENC(ID, "CANCELADA", AI). It is useful for HRAs to be authenticated so that an entity to which an HRA is presented can have a relative certainty that the HRA is authentic. Allowing the ID identifier to be an identifier for the canceled C credentials / tests (in particular, the ID identifier may match C itself), then SIG (ID, "CANCELED", AI) can be an HRA, where "CANCELED "means any way of signaling that C has been canceled (" CANCELED "is possibly the empty string if the fact that the credentials / tests are canceled could be deduced by other means, such as an agreement at the system level that such messages signed are not sent except in case of cancellation), and AI means any additional information (possibly date information, such as when the credentials / proofs have been canceled and / or the time the HRA was produced or any information ). The SIG digital signature may be, in particular, a public key digital signature, a secret secret digital signature or a message authentication code. It is also possible to issue an authenticated HRA by properly encrypting the information. For example, an authenticated HRA can take the form ENC (ID, "CANCELED", AI).
Otro ejemplo notable de una HRA autenticada se describe en la Patente de Estados Unidos 5.666.416, que se incorpora aquí por referencia. La autoridad emisora incorpora en una credencial/prueba C una clave pública PK (de un sistema de firma digital) que es única para C, de modo que una firma digital relativa a esa clave PK indica que C se cancela. En una forma de realización especial de dicho sistema, PK puede consistir en un valor Y1 calculado como Y1 = H (Y0), en donde H es una función unidireccional (preferentemente de la función hashing) y Y0 es un valor secreto. Cuando se cancela la credencial/prueba C, se emite la HRA que consiste en solamente Y0. Dicha HRA se puede verificar mediante la función hashing Y0 y comprobando que el resultado coincide con el valor Y1 que pertenece a la credencial/prueba C. Another notable example of an authenticated HRA is described in US Patent 5,666,416, which is incorporated herein by reference. The issuing authority incorporates in a credential / proof C a public key PK (of a digital signature system) that is unique to C, so that a digital signature relative to that PK key indicates that C is canceled. In a special embodiment of said system, PK may consist of a Y1 value calculated as Y1 = H (Y0), where H is a unidirectional function (preferably hashing function) and Y0 is a secret value. When the credential / test C is canceled, the HRA consisting of only Y0 is issued. This HRA can be verified by the Y0 hashing function and checking that the result matches the value Y1 that belongs to the credential / test C.
Conviene señalar que una firma puede no requerirse para una HRA. Por ejemplo, en caso de una puerta conectada con seguridad, simplemente enviando (ID, "CANCELADO", AI) a lo largo de la conexión protegida puede ser suficiente como una HRA. Sin embargo, la ventaja de las HRAs autenticadas es que las propias HRAs no necesitan ser secretas. Las HRAs autenticadas, una vez autenticadas por la autoridad competente, se pueden memorizar en uno o más respondedores (posiblemente geográficamente dispersos). Además, estos respondedores pueden no estar protegidos (a diferencia de la autoridad emisora), porque no están memorizando información secreta. Se puede proporcionar una mayor fiabilidad, a un más bajo coste, efectuando una replicación de múltiples respondedores no protegidos. Algunas ventajas adicionales del ejemplo de HRA autenticado de la Patente de Estados Unidos 5.666.416 son: (1) la HRA es relativamente corta (puede ser tan corta como de 20 bytes), (2) se calcula con relativa facilidad (simplemente una consulta del Y0 anteriormente memorizado) y (3) es relativamente fácil de verificar (simplemente una aplicación de una función resumen hash unidireccional). It should be noted that a signature may not be required for an HRA. For example, in case of a securely connected door, simply sending (ID, "CANCELED", AI) along the protected connection may be sufficient as an HRA. However, the advantage of authenticated HRAs is that the HRAs themselves do not need to be secret. Authenticated HRAs, once authenticated by the competent authority, can be memorized in one or more responders (possibly geographically dispersed). In addition, these responders may not be protected (unlike the issuing authority), because they are not memorizing secret information. Higher reliability can be provided, at a lower cost, by replicating multiple unprotected responders. Some additional advantages of the authenticated HRA example of US Patent 5,666,416 are: (1) the HRA is relatively short (it can be as short as 20 bytes), (2) it is calculated with relative ease (simply a query from the previously memorized Y0) and (3) is relatively easy to verify (simply an application of a unidirectional hash summary function).
Las HRAs autenticadas pueden ser particularmente ventajosas para una amplia difusión eficiente, según se describe a continuación. Cuando una HRA transita a través de múltiples puntos en dirección a la puerta, pueden existir múltiples posibilidades de una HRA incorrecta a insertarse en el sistema. En realidad, una HRA recibida por la puerta no directamente a través o desde el emisor, a través de una conexión segura, puede ser no más de un simple rumor de cancelación de una credencial particular. Si la HRA es autenticada, sin embargo, este rumor se puede confirmar fácilmente por la puerta, que puede verificar su autenticidad. Authenticated HRAs can be particularly advantageous for broad efficient dissemination, as described below. When an HRA transits through multiple points in the direction of the door, there may be multiple possibilities of an incorrect HRA to be inserted into the system. In reality, an HRA received by the door not directly through or from the sender, through a secure connection, may be no more than a simple rumor of cancellation of a particular credential. If the HRA is authenticated, however, this rumor can be easily confirmed by the door, which can verify its authenticity.
En general, una HRA puede ser específica para una credencial/prueba única o puede proporcionar información de cancelación en relación con una multiplicidad de credenciales/pruebas. Por ejemplo, ID1,…IDk son identificadores para credenciales canceladas, una HRA puede consistir en la firma digital única SIG(ID1,…IDk; "CANCELADA"; AI). Considérese el caso de una puerta que memoriza información que identifica las credenciales/pruebas que tiene el derecho de acceder a la puerta. Si dicha puerta recibe una HRA que indica que una o más credenciales/pruebas son canceladas, la puerta no necesita memorizar la HRA. Basta para la puerta borrar las credenciales/pruebas identificadas desde su memoria (o marcarlas como "CANCELADA" de alguna otra forma). A continuación, si un usuario con una credencial/prueba cancelada intenta el acceso, la puerta no le permitirá el acceso porque la credencial/prueba presentada no la tiene actualmente memorizada o, si la tiene memorizada, está marcada como "REVOKED" (CANCELADA). In general, an HRA may be specific to a single credential / proof or may provide cancellation information in relation to a multiplicity of credentials / evidence. For example, ID1, ... IDk are identifiers for canceled credentials, an HRA can consist of the unique digital signature SIG (ID1, ... IDk; "CANCELED"; AI). Consider the case of a door that memorizes information that identifies the credentials / evidence that you have the right to access the door. If that door receives an HRA that indicates that one or more credentials / tests are canceled, the door does not need to memorize the HRA. It is enough for the door to erase the credentials / tests identified from its memory (or mark them as "CANCELED" in some other way). Then, if a user with a canceled credential / test tries to access, the door will not allow access because the credential / proof presented is not currently stored or, if stored, is marked "REVOKED" (CANCELED) .
Considérese ahora un caso de una puerta que no memoriza información que identifica todas las credenciales/pruebas permitidas, pero que verifica si una credencial/prueba está permitida cuando se presenta. Cuando un usuario presenta una credencial/prueba a dicha puerta, la puerta puede verificar primero si la credencial/prueba es válida, desechando las HRAs. (Por ejemplo, si la credencial/prueba incluye una firma digital, la puerta verifica la firma. Además, si la credencial/prueba incluye un tiempo de caducidad, la puerta puede verificar también que la credencial/prueba no está caducada, p.e., utilizando un reloj interno). No obstante, aun cuando todas las comprobaciones sean pasadas, la puerta puede todavía denegar el acceso si la credencial/prueba se indica como siendo cancelada por una HRA. Por lo tanto, es de utilidad si dicha puerta tiene información respecto a las HRAs pertinentes. Una manera de conseguirlo es, para la puerta, memorizar todas las HRAs presentadas a la puerta. Por otro lado, en algunos casos, esta operación puede llegar a ser inviable. Considérese un sistema en donde numerosas credenciales/pruebas se podrían utilizar para pasar a través de esa puerta. Por ejemplo, el Departamento de Transporte de Estados Unidos está considerando la posibilidad de un sistema de 10.000.000 de credenciales para una diversidad de personas (incluyendo pilotos, personal de aeropuerto, empleados de líneas aéreas, mecánicos, manipuladores de equipajes, conductores de carretillas elevadoras, policía, etc.) que pueden en uno u otro momento tener acceso permitido para una puerta dada. En una tasa de cancelación anual del 10% reducida, la puerta puede tener un 1.000.000 HRAs que memorizar al final de un año, que puede ser una tarea onerosa (si no, inviable). Además, si la cantidad de las HRAs no pueden determinarse con precisión por anticipado, los diseñadores de un sistema pueden tener que sobreestimar la magnitud del almacenamiento para las HRAs con el fin de estar en el lado seguro y construir incluso más capacidad de almacenamiento (e incluso más coste) en la puerta. Consider now a case of a door that does not memorize information that identifies all credentials / proofs allowed, but verifies if a credential / proof is allowed when it is presented. When a user presents a credential / proof to said door, the door can first verify if the credential / proof is valid, discarding the HRAs. (For example, if the credential / proof includes a digital signature, the door verifies the signature. In addition, if the credential / proof includes an expiration time, the gate can also verify that the credential / proof is not expired, eg, using an internal clock). However, even if all checks are passed, the door may still deny access if the credential / proof is indicated as being canceled by an HRA. Therefore, it is useful if that door has information regarding the relevant HRAs. One way to achieve this is, for the door, to memorize all the HRAs presented to the door. On the other hand, in some cases, this operation may become unfeasible. Consider a system where numerous credentials / proofs could be used to pass through that door. For example, the US Department of Transportation is considering the possibility of a 10,000,000 credential system for a variety of people (including pilots, airport personnel, airline employees, mechanics, baggage handlers, wheelbarrow drivers elevators, police, etc.) that may at one time or another have access allowed for a given door. At a reduced annual cancellation rate of 10%, the door can have a 1,000,000 HRAs to memorize at the end of a year, which can be a burdensome (if not, unworkable) task. In addition, if the amount of HRAs cannot be determined accurately in advance, system designers may have to overestimate the magnitude of storage for HRAs in order to be on the safe side and build even more storage capacity (e even more cost) at the door.
Este problema se puede resolver por medio de las denominadas HRAs eliminables. Esto significa tener una HRA que indique una componente de tiempo que especifica cuándo la HRA se puede eliminar con seguridad del almacenamiento. Por ejemplo, en un sistema con credenciales/pruebas de duración limitada, esto se puede conseguir: (1) haciendo que una credencial/prueba incluya un tiempo de caducidad transcurrido el cual la credencial/prueba no debe admitirse por la puerta como válida para su acceso; (2) disponer de una HRA que cancele las credenciales/prueba que incluyen el tiempo de caducidad y (3) hacer que la puerta elimine de su memoria la HRA que cancela las credenciales/pruebas después del tiempo de caducidad. Por ejemplo, el tiempo de caducidad para una credencial/prueba podría ser el tiempo en el que caduca la credencial/prueba (y el tiempo de caducidad podría ser explícitamente incluido y autenticado dentro de la credencial/prueba o podría ser implícito por convenios al nivel de sistema). La eliminación de dicha HRA después de transcurrir su tiempo de caducidad, no menoscaba la seguridad. En realidad, si la puerta no memoriza la HRA que cancela una credencial/prueba particular, puede ser porque la puerta borró la HRA de la memoria después de su caducidad, en cuyo momento la credencial/prueba obsoleta tendrá su acceso denegado por la puerta en cualquier forma. This problem can be solved by means of the so-called removable HRAs. This means having an HRA that indicates a time component that specifies when the HRA can be safely removed from storage. For example, in a system with limited duration credentials / tests, this can be achieved: (1) by having a credential / proof include an expiration time after which the credential / proof must not be admitted through the door as valid for its access; (2) have an HRA that cancels the credentials / proof that include the expiration time and (3) have the door delete from its memory the HRA that cancels the credentials / tests after the expiration time. For example, the expiration time for a credential / proof could be the time at which the credential / proof expires (and the expiration time could be explicitly included and authenticated within the credential / proof or could be implied by conventions at the level of system). The elimination of said HRA after its expiration time has elapsed does not undermine security. Actually, if the door does not memorize the HRA that cancels a particular credential / proof, it may be because the door deleted the HRA from memory after its expiration, at which time the obsolete credential / proof will have its access denied by the door in any way.
Conviene señalar que etapa (2) anterior puede ser opcional en casos en que el tiempo de caducidad pueda indicarse en una HRA de forma implícita o indirecta. Por ejemplo, la HRA puede adoptar la forma SIG(C, "CANCELADA", AI), y las credenciales/pruebas pueden incluir su propia fecha de caducidad. Además, la etapa (1) anterior puede ser opcional puesto que las HRAs eliminables se pueden realizar también con HRAs que no indiquen los tiempos de caducidad de las credenciales canceladas en absoluto. Por ejemplo, si todas las credenciales, en un sistema particular, son válidas para como máximo un día, en tal caso, todas las HRAs se pueden borrar después de memorizarse para un día. (Más en general, si la duración máxima de una credencial/prueba se puede deducir en alguna manera, entonces se puede borrar una HRA correspondiente después de memorizarse para dicha cantidad de tiempo). A modo de otro ejemplo, cuando se presenta con la credencial/prueba con un tiempo de caducidad particular, la puerta puede buscar una HRA que cancele la credencial. Si existe y el tiempo de caducidad ya ha transcurrido, entonces la puerta puede eliminar, con seguridad, la HRA. En cualquier otro caso, la puerta puede memorizar el tiempo de caducidad en relación con la HRA memorizada y eliminar la HRA transcurrido dicho tiempo. It should be noted that step (2) above may be optional in cases where the expiration time can be indicated in an HRA implicitly or indirectly. For example, the HRA may take the form GIS (C, "CANCELED", AI), and credentials / tests may include its own expiration date. In addition, step (1) above may be optional since removable HRAs can also be performed with HRAs that do not indicate expiration times for credentials canceled at all. For example, if all credentials, in a particular system, are valid for a maximum of one day, in that case, all HRAs can be deleted after being memorized for one day. (More generally, if the maximum duration of a credential / proof can be deducted in some way, then a corresponding HRA can be deleted after being memorized for that amount of time). As another example, when presented with the credential / test with a particular expiration time, the door can search for an HRA that cancels the credential. If it exists and the expiration time has already elapsed, then the door can safely eliminate the HRA. In any other case, the door can memorize the expiration time in relation to the memorized HRA and eliminate the HRA after that time.
Una puerta puede eliminar HRAs después de su caducidad en una diversidad de formas. En algunos casos, la eliminación de HRA puede realizarse de forma eficiente manteniendo una estructura de datos (tal como una cola de espera de prioridad) de las HRAs basadas en tiempos de caducidad. Como alternativa, la puerta puede revisar periódicamente todas las HRAs en memoria y purgar las que ya no se necesiten. Como otra alternativa, la puerta puede borrar una HRA si, cuando encuentra la HRA, la puerta constata que la HRA ya no es pertinente. Por ejemplo, las HRAs se pueden memorizar en una lista que se comprueba cada vez que se presente una credencial para su verificación. Siempre que una HRA caducada se encuentre en dicha lista, la HRA caducada se puede eliminar. En otra alternativa, la puerta puede eliminar las HRAs solamente cuando sea necesario, cuando la memoria necesite espacio libre (quizás para otras HRAs). A door can eliminate HRAs after expiration in a variety of ways. In some cases, HRA removal can be done efficiently by maintaining a data structure (such as a priority queue) of HRAs based on expiration times. Alternatively, the door can periodically review all memory HRAs and purge those that are no longer needed. As another alternative, the door can erase an HRA if, when it finds the HRA, the door finds that the HRA is no longer relevant. For example, HRAs can be memorized in a list that is checked every time a credential is presented for verification. Whenever an expired HRA is on that list, the expired HRA can be deleted. In another alternative, the door can eliminate HRAs only when necessary, when memory needs free space (perhaps for other HRAs).
Las HRAs eliminables pueden reducir, en gran medida, la capacidad de almacenamiento requerida en la puerta. Utilizando el ejemplo anterior de 10.000.000 de usuarios y una tasa de cancelación anual del 10%, en tal caso, si las HRAs caducan y se eliminan, por término medio, en un día, solamente 2.740 (en lugar de 1.000.000), puede ser necesario memorizar las HRAs. Este requisito de almacenamiento reducido es una gran ventaja potencial de HRAs eliminables. Removable HRAs can greatly reduce the storage capacity required at the door. Using the previous example of 10,000,000 users and an annual cancellation rate of 10%, in this case, if the HRAs expire and are eliminated, on average, in one day, only 2,740 (instead of 1,000,000) , it may be necessary to memorize the HRAs. This reduced storage requirement is a great potential advantage of removable HRAs.
Es de utilidad para las HRAs hacerse disponibles para las puertas con la mayor rapidez posible, con el fin de informar a las puertas de las credenciales/pruebas que ya no son admisibles. Lo anterior puede constituir un problema para las puertas desconectadas, pero también puede ser un problema para las puertas completamente conectadas. Por supuesto, a alguna puerta completamente conectada se puede enviar una HRA a través de la conexión de la puerta cuando se emita la HRA. Sin embargo, esta transmisión puede todavía bloquearse u obstaculizarse por un intruso determinado (p.e., si la conexión a la puerta está asegurada por medios criptográficos, un intruso puede simplemente cortar el hilo de conexión o modificar/filtrar las señales de desplazamiento. Si la conexión a la puerta está asegurada mediante la instalación de un hilo de conexión en un tubo de acero, entonces dicha obstaculización y bloqueo puede ser más difícil, pero sigue siendo no imposible). Dicha otra obstaculización y bloqueo malintencionado de una HRA puede ser incluso más fácil de realizar para puertas con conectividad intermitente (p.e., inalámbricas). It is useful for HRAs to make themselves available for doors as quickly as possible, in order to inform the doors of credentials / evidence that are no longer admissible. This can be a problem for disconnected doors, but it can also be a problem for fully connected doors. Of course, an HRA can be sent to a fully connected door through the door connection when the HRA is issued. However, this transmission can still be blocked or hindered by a particular intruder (eg, if the connection to the door is secured by cryptographic means, an intruder can simply cut the connecting wire or modify / filter the displacement signals. the door is secured by installing a connecting wire in a steel tube, so such obstruction and blockage may be more difficult, but still not impossible). Such another obstacle and malicious blocking of an HRA may be even easier to perform for doors with intermittent connectivity (e.g., wireless).
Con el fin de hacer más difícil para un intruso impedir que una puerta reciba una HRA, una HRA se puede transmitir por una propia tarjeta cancelada. Por ejemplo, cuando una tarjeta se comunica con una base de datos o una puerta conectada (o cualquier puerta que tenga conocimiento de la HRA pertinente), la puerta puede enviar la HRA a la tarjeta, que puede memorizar la HRA. En particular, esta operación se puede realizar sin ninguna indicación al usuario con el fin de la protección contra usuarios que puedan desear manipular individualmente la tarjeta y eliminar la HRA. Este método es más efectivo si la tarjeta transmite una componente de hardware a prueba de manipulación indebida o datos (p.e., datos encriptados) que no sean fácilmente leídos/eliminados por el usuario. Cuando la tarjeta se utiliza posteriormente en un intento de tener acceso a cualquier puerta (incluso completamente desconectada), la tarjeta puede comunicar su HRA a la puerta, que, después de la verificación adecuada, puede denegar el acceso (y, en algunos casos, memorizar la HRA). In order to make it more difficult for an intruder to prevent a door from receiving an HRA, an HRA can be transmitted by its own canceled card. For example, when a card communicates with a database or a connected door (or any door that has knowledge of the relevant HRA), the door can send the HRA to the card, which can memorize the HRA. In particular, this operation can be performed without any indication to the user for the purpose of protection against users who may wish to individually manipulate the card and eliminate the HRA. This method is more effective if the card transmits a tamper-proof hardware component or data (e.g., encrypted data) that is not easily read / deleted by the user. When the card is subsequently used in an attempt to access any door (even completely disconnected), the card can communicate its HRA to the door, which, after proper verification, may deny access (and, in some cases, memorize the HRA).
La HRA se puede enviar a través de un canal inalámbrico (p.e., a través de un dispositivo buscapersonas (pager) o una red celular o vía satélite) a la tarjeta. Esta operación se puede realizar aun cuando la tarjeta tenga capacidades de comunicaciones limitadas – por ejemplo, colocando un transmisor inalámbrico en un lugar por el que cada usuario sea probable que pase. Por ejemplo, en un edificio, dicho transmisor puede colocarse en cada entrada del edificio para proporcionar una oportunidad para cada tarjeta de recibir la transmisión siempre que un usuario de una de las tarjetas entre en el edificio. Como alternativa, el transmisor puede situarse en las entradas de la parcela de aparcamiento, etc. The HRA can be sent via a wireless channel (e.g., through a pager device or a cellular or satellite network) to the card. This operation can be performed even if the card has limited communications capabilities - for example, by placing a wireless transmitter in a place where each user is likely to pass. For example, in a building, said transmitter can be placed at each entrance of the building to provide an opportunity for each card to receive the transmission whenever a user of one of the cards enters the building. Alternatively, the transmitter can be located at the entrances of the parking lot, etc.
Para impedir a un usuario malintencionado bloquear la transmisión (mediante, por ejemplo, envolviendo la tarjeta en material que fuere impenetrable por la señal transmitida), la tarjeta puede requerir, de hecho, que reciba transmisiones periódicas para poder funcionar adecuadamente. Por ejemplo, la tarjeta puede esperar una señal cada cinco minutos para poder sincronizar su reloj con el de los sistemas, o puede esperar recibir otra señal periódica (preferentemente con firma digital) tal como una señal de GPS, o simplemente esperar un ruido apropiado a las frecuencias apropiadas. Si dicha señal no se recibe con un intervalo de tiempo razonable, la tarjeta puede "bloquearse" y simplemente rechazar la comunicación con cualquier puerta, lo que le hace no apta para el acceso. Conviene señalar que dicho sistema puede ser más económico y cómodo que simplemente difundir todas las HRAs para todas las tarjetas, porque las HRAs son mensajes personalizados y de cambio continuo. De este modo, la difusión de las HRAs a todas las tarjetas puede exigir el establecimiento de un satélite de uso especial o la personalización de uno ya existente. El método anterior, en cambio, tiene la ventaja de disponer ya de señales para amplias transmisiones e instala transmisores de nivel local para los mensajes personalizados. To prevent a malicious user from blocking the transmission (by, for example, wrapping the card in material that is impenetrable by the transmitted signal), the card may, in fact, require that it receive periodic transmissions in order to function properly. For example, the card can wait for a signal every five minutes to be able to synchronize its clock with that of the systems, or it can expect to receive another periodic signal (preferably with digital signature) such as a GPS signal, or simply wait for an appropriate noise to the appropriate frequencies If this signal is not received with a reasonable time interval, the card can be "blocked" and simply reject communication with any door, which makes it unfit for access. It should be noted that such a system can be more economical and convenient than simply spreading all the HRAs for all the cards, because the HRAs are personalized and continuously changing messages. Thus, the dissemination of HRAs to all cards may require the establishment of a special-use satellite or the customization of an existing one. The previous method, on the other hand, has the advantage of already having signals for wide transmissions and installs local level transmitters for personalized messages.
Como alternativa, se puede impedir a un usuario bloquear las transmisiones a una tarjeta si la policía de seguridad exige al usuario llevar la tarjeta en un lugar visible, como una tarjeta de identificación de seguridad o para presentarla en un lugar adecuado (dentro de un margen de transmisión) a un vigilante. Una técnica adicional para difundir una HRA para una tarjeta/credencial/prueba particular puede incluir la utilización de OTRAS tarjetas para transmitir la HRA a las puertas. En una de sus versiones, la Tarjeta 1 puede (p.e., cuando se recoge su propia credencial/prueba diaria o de forma inalámbrica o cuando se comunica con una puerta conectada o cuando realiza cualquier clase de conexión) recibir una HRA, HRA2, que cancele una credencial/prueba asociada con una tarjeta diferente, Tarjeta 2. La Tarjeta 1 puede memorizar, entonces, HRA2 y comunicar HRA2 a una puerta, que luego memoriza también HRA2. La Tarjeta 1 puede, de hecho, proporcionar HRA2 a múltiples puertas, por ejemplo, a todas las puertas o a todas las puertas desconectadas a las que se accede o comunica con la Tarjeta 2 durante un periodo de tiempo particular (p.e., durante un día completo). En este punto, cualquier puerta (aun cuando esté desconectada), alcanzada por la Tarjeta 1 puede ser capaz de denegar el acceso al titular de la Tarjeta 2 que contiene la credencial/prueba cancelada. En una forma de realización preferida, HRA2 tiene una firma digital o una propia autenticación y cualquier puerta alcanzada por la Tarjeta 1 comprueba la autenticidad de HRA2, de modo que impida la difusión malintencionada de HRAs falsas. Alternatively, a user can be prevented from blocking transmissions to a card if the security police require the user to carry the card in a visible place, such as a security identification card or to present it in a suitable place (within a margin of transmission) to a watchman. An additional technique for disseminating an HRA for a particular card / credential / proof may include the use of OTHER cards to transmit the HRA to the doors. In one of its versions, Card 1 can (eg, when you collect your own credential / test daily or wirelessly or when communicating with a connected door or when making any kind of connection) receive an HRA, HRA2, that cancels a credential / proof associated with a different card, Card 2. Card 1 can then memorize HRA2 and communicate HRA2 to a door, which then also memorizes HRA2. Card 1 can, in fact, provide HRA2 to multiple doors, for example, to all doors or to all disconnected doors that are accessed or communicated with Card 2 for a particular period of time (eg, for a full day ). At this point, any door (even when disconnected), reached by Card 1 may be able to deny access to the Card 2 holder that contains the canceled credential / proof. In a preferred embodiment, HRA2 has a digital signature or its own authentication and any door reached by Card 1 verifies the authenticity of HRA2, so as to prevent the malicious diffusion of false HRAs.
Lo anterior se puede perfeccionar haciendo que una puerta alcanzada por la Tarjeta 1 comunique la HRA2 aprendida a otra tarjeta, Tarjeta 3, que posteriormente accede o se comunica con la puerta. Esto es de utilidad porque la Tarjeta 3 puede alcanzar puertas que la Tarjeta 1 no alcanzare o lo hiciere después que la Tarjeta 3. Este proceso puede continuar haciendo que estas puertas adicionalmente alcanzadas se comuniquen con otras tarjetas, etc. Además, es posible que algunas puertas, aun cuando no estén completamente conectadas a una base de datos central, puedan tener conexiones entre sí. Dichas puertas, de este modo, pueden intercambiar HRAs disponibles de forma similar. Si las tarjetas tienen una capacidad de comunicación entre sí, por ejemplo, cuando están en proximidad, pueden intercambiar también información sobre las HRAs que memorizan. The above can be perfected by having a door reached by Card 1 communicate the HRA2 learned to another card, Card 3, which subsequently accesses or communicates with the door. This is useful because Card 3 can reach doors that Card 1 will not reach or do so after Card 3. This process can continue making these additionally reached doors communicate with other cards, etc. In addition, it is possible that some doors, even if they are not completely connected to a central database, may have connections to each other. Such doors, in this way, can exchange available HRAs in a similar way. If the cards have a capacity to communicate with each other, for example, when they are in proximity, they can also exchange information about the HRAs they memorize.
Conviene señalar que las HRAs autenticadas pueden ser especialmente ventajosas con las técnicas de difusión de HRA aquí examinadas. En realidad, el envío de HRAs a través de múltiples intermediarios (tarjetas y puertas) puede proporcionar múltiples puntos de fallo en donde las HRAs pueden ser HRAs modificadas o falsas que se pueden inyectar por un intruso. En cierto sentido, las HRAs no autenticadas pueden llegar a ser simples rumores en el momento en que alcancen las puertas. Por el contrario, las HRAs autenticadas, pueden estar garantizadas para ser correctas sin importar que alcancen las puertas. It should be noted that authenticated HRAs can be especially advantageous with the HRA dissemination techniques examined here. In reality, sending HRAs through multiple intermediaries (cards and doors) can provide multiple points of failure where the HRAs can be modified or false HRAs that can be injected by an intruder. In a sense, unauthenticated HRAs can become simple rumors the moment they reach the doors. On the contrary, authenticated HRAs can be guaranteed to be correct no matter what the doors reach.
En aquellos casos en que los recursos no son una preocupación importante, todas las HRAs podrían memorizarse y difundirse de esta manera. Puede ser también posible adoptar algunas organizaciones. Por ejemplo, una tarjeta puede gestionar el almacenamiento de HRA como una puerta y eliminar las HRAs caducadas para liberar memoria de tarjeta interna y para evitar una comunicación innecesaria con otras puertas. Reducir al mínimo las tareas de almacenamiento y comunicación puede ser de utilidad dentro de dicho sistema porque, cuando el número de credenciales canceladas no caducadas pueda ser pequeño, es posible que algunos componentes (p.e., algunas tarjetas o puertas) puedan no tener suficiente memoria o ancho de banda para gestionar todas las HRAs no caducadas. In those cases where resources are not a major concern, all HRAs could be memorized and disseminated in this way. It may also be possible to adopt some organizations. For example, a card can manage HRA storage as a door and eliminate expired HRAs to free up internal card memory and to avoid unnecessary communication with other doors. Minimizing storage and communication tasks can be useful within that system because, when the number of canceled credentials not expired may be small, it is possible that some components (eg, some cards or doors) may not have enough memory or bandwidth to manage all non-expired HRAs.
Otra posibilidad para reducir al mínimo las tareas de almacenamiento y comunicación incluye la selección de qué HRAs han de difundirse a través de qué tarjetas. Por ejemplo, las HRAs pueden contener información de prioridad, que indique la importancia relativa de la difusión de conocimientos sobre una credencial/prueba particular con la mayor rapidez posible. Por ejemplo, algunas HRAs pueden ser etiquetadas como "urgentes" mientras que otras pueden ser etiquetadas como de "rutina". (Una graduación de prioridades pueden ser lo más fina o aproximada como sea adecuado). Los dispositivos con memoria o ancho de banda limitado pueden registrar e intercambiar información sobre las HRAs de más alta prioridad y solamente si lo permiten los recursos, pueden dedicar su atención a las de más baja prioridad. A modo de otro ejemplo, una HRA que impida a una tarjeta acceder a una puerta dada puede difundirse a través de tarjetas que sean más probable que alcancen con rapidez esa puerta (p.e., tarjetas cuya credenciales permiten el acceso a esa puerta o puertas en su proximidad). En realidad, la tarjeta y la puerta pueden establecer una comunicación con el objetivo de establecer qué HRAs admiten su almacenamiento y/o difusión posterior. Como alternativa, la HRAs o tarjetas para su memorización se pueden seleccionar de una forma que implique una aleatoriedad o una puerta puede proporcionar una HRA para un determinado número de tarjetas (p.e., las primeras k tarjetas que "encuentre" la puerta). Another possibility to minimize storage and communication tasks includes the selection of which HRAs are to be disseminated through which cards. For example, HRAs may contain priority information, which indicates the relative importance of disseminating knowledge about a particular credential / proof as quickly as possible. For example, some HRAs may be labeled as "urgent" while others may be labeled as "routine." (A priority ranking can be as fine or approximate as appropriate.) Devices with limited memory or bandwidth can record and exchange information about the highest priority HRAs and only if resources allow, can they devote their attention to the lowest priority. By way of another example, an HRA that prevents a card from accessing a given door can be disseminated through cards that are more likely to reach that door quickly (eg, cards whose credentials allow access to that door or doors in its proximity). Actually, the card and the door can establish a communication with the objective of establishing which HRAs support their storage and / or subsequent diffusion. Alternatively, the HRAs or cards for their memorization can be selected in a way that implies a randomness or a door can provide an HRA for a certain number of cards (eg, the first k cards that the door "finds").
El uso de dichas técnicas de difusión puede reducir la probabilidad de que un usuario con credenciales/pruebas canceladas fuere capaz de obtener acceso puesto que, incluso para una puerta desconectada, un usuario tendría que obtener de la puerta, antes que cualquier otro usuario proporcione HRA adecuada con una tarjeta de actualización. El intercambio de información entre tarjetas y puertas puede ayudar a garantizar que numerosas tarjetas sean rápidamente informadas de una cancelación. Este método puede utilizarse también como una contramedida frente a los ataques “obstaculizantes” que intenten desconectar una puerta conectada e impedir que la puerta reciba la HRA. Aun cuando dicho ataque tenga éxito y la puerta nunca sea informada de la HRA por los servidores centrales o respondedores, una tarjeta de usuario individual puede informar probablemente a la puerta de la HRA en cualquier otra forma. Conviene señalar que el método real de intercambio de las HRAs entre tarjetas y puertas puede variar. En caso de HRAs de corta duración, puede ser más eficiente intercambiar y comparar todas las HRAs conocidas. Si numerosas HRAs se ponen juntas en una sola lista, la lista puede contener un tiempo que indique cuándo la lista fue emitida por el servidor. En tal caso, las tarjetas y puertas pueden comparar primero los tiempos de emisión de sus listas de HRAs y la que sea la lista más antigua puede sustituirse con la lista más reciente. En otros casos, se pueden utilizar algoritmos más sofisticados para encontrar y reconciliar diferencias. The use of such diffusion techniques can reduce the likelihood that a user with canceled credentials / tests will be able to obtain access since, even for a disconnected door, a user would have to obtain from the door, before any other user provides HRA suitable with an update card. The exchange of information between cards and doors can help ensure that numerous cards are quickly informed of a cancellation. This method can also be used as a countermeasure against “impeding” attacks that attempt to disconnect a connected door and prevent the door from receiving the HRA. Even if such an attack is successful and the door is never informed of the HRA by the central servers or responders, an individual user card can probably inform the HRA door in any other way. It should be noted that the actual method of exchanging HRAs between cards and doors may vary. In the case of short-term HRAs, it may be more efficient to exchange and compare all known HRAs. If numerous HRAs are put together in a single list, the list may contain a time that indicates when the list was issued by the server. In that case, cards and doors can first compare the issuance times of their HRA lists and whichever is the oldest list can be substituted with the most recent list. In other cases, more sophisticated algorithms can be used to find and reconcile differences.
Una difusión de HRA eficiente se puede realizar: An efficient HRA broadcast can be done:
- (1) (one)
- emitiendo una HRA autenticada; issuing an authenticated HRA;
- (2) (2)
- enviando la HRA autenticada a una o más tarjetas; sending the authenticated HRA to one or more cards;
- (3) (3)
- haciendo que las tarjetas se envíen la HRA autenticada a otras tarjetas y/o puertas; having the cards sent the authenticated HRA to other cards and / or doors;
(4) haciendo que las puertas memoricen y/o transmitan a otras tarjetas las HRAs recibidas. Puede ser de utilidad, en detalle, algún uso de HRA muestra: (4) by having the doors memorize and / or transmit the received HRAs to other cards. It can be useful, in detail, some use of HRA shows:
SECUENCIA 1 (directamente desde la "autoridad" a la puerta): SEQUENCE 1 (directly from the "authority" at the door):
- 1. one.
- La entidad E cancela una credencial/prueba para un usuario U y emite un HRA A que contiene la información de que la credencial/prueba ha sido cancelada; Entity E cancels a credential / proof for a user U and issues an HRA A containing the information that the credential / proof has been canceled;
- 2. 2.
- A se transmite a través de una combinación cableada o inalámbrica a una puerta D; A is transmitted through a wired or wireless combination to a gate D;
- 3. 3.
- D verifica la autenticidad de A, y si la verificación tiene éxito, memoriza la información sobre A; D verifies the authenticity of A, and if the verification is successful, it memorizes the information about A;
- 4. Four.
- Cuando U intentan acceder a D presentando la credencial/prueba, la puerta D observa que la información memorizada sobre A indica que la credencial/prueba está cancelada y se deniega el acceso. When U attempts to access D by presenting the credential / proof, gate D observes that the information memorized on A indicates that the credential / proof is canceled and access is denied.
SECUENCIA 2 (desde la "autoridad" a una tarjeta de usuariopara la puerta): SEQUENCE 2 (from "authority" to a user card for the door):
- 1. one.
- La entidad E cancela una credencial/prueba para un usuario U y emite una HRA A que contiene la información de que la credencial/prueba ha sido cancelada; Entity E cancels a credential / proof for a user U and issues an HRA A containing the information that the credential / proof has been canceled;
- 2. 2.
- Otro usuario U' informa de que va a trabajar y preestablece su tarjeta para E con el fin de obtener su credencial/prueba actual; Another user U 'informs that he is going to work and preset his card for E in order to obtain his current credential / proof;
- 3. 3.
- Junto con la credencial/prueba para U', la HRA A se transmite a la tarjeta del usuario U'; la tarjeta memoriza A (la tarjeta puede, o no, verificar la autenticidad de A, dependiendo de las capacidades de la propia tarjeta); Together with the credential / proof for U ', HRA A is transmitted to the user card U'; the card memorizes A (the card may or may not verify the authenticity of A, depending on the capabilities of the card itself);
- 4. Four.
- Cuando U' intenta acceder a una puerta D, su tarjeta transmite la credencial/prueba junto con A a D; When U 'tries to access a gate D, his card transmits the credential / proof along with A to D;
- 5. 5.
- D verifica la autenticidad de A y, si la verificación tiene éxito, memoriza A; D verifies the authenticity of A and, if the verification is successful, memorize A;
- 6. 6.
- Cuando el usuario U intenta acceder a D presentando una credencial/prueba, la puerta D observa que A tiene la cancelación de la credencial/prueba del usuario U y deniega el acceso. When user U tries to access D by presenting a credential / proof, gate D observes that A has the cancellation of the credential / proof of user U and denies access.
SECUENCIA 3 (desde la "autoridad" a otra puertapara una tarjeta de usuarioen la puerta): SEQUENCE 3 (from "authority" to another door for a user card at the door):
- 1. one.
- La entidad E cancela una credencial/prueba para un usuario U y emite una HRA A que contiene la información de que la credencial/prueba de U’ ha sido cancelada; Entity E cancels a credential / proof for a user U and issues an HRA A containing the information that the credential / proof of U ’has been canceled;
- 2. 2.
- A se transmite a través de una combinación cableada o inalámbrica a una puerta D'; A is transmitted through a wired or wireless combination to a gate D ';
- 3. 3.
- D' verifica la autenticidad de A y, si la verificación tiene éxito, memoriza A; D 'verifies the authenticity of A and, if the verification is successful, memorize A;
- 4. Four.
- Otro usuario U', con su propia credencial/prueba, presenta su tarjeta a la puerta D' con el fin de obtener acceso a D'. La puerta D', además de verificar las credenciales/pruebas del usuario U' y de conceder acceso si fuera apropiado, transmite A a la tarjeta de U'. La tarjeta memoriza A (la tarjeta puede, o no, memorizar la autenticidad de A, dependiendo de las capacidades de la tarjeta); Another user U ', with his own credential / proof, presents his card to the door D' in order to gain access to D '. Gate D ', in addition to verifying the credentials / tests of user U' and granting access if appropriate, transmits A to the U 'card. The card memorizes A (the card may or may not memorize the authenticity of A, depending on the card's capabilities);
- 5. 5.
- Cuando el usuario U' intenta acceder a una puerta D, su tarjeta transmite su propia credencial/prueba junto con A a D; When user U 'tries to access a gate D, his card transmits his own credential / proof along with A to D;
- 6. 6.
- La puerta D' verifica la autenticidad de A y, si la verificación tiene éxito, memoriza A; Door D 'verifies the authenticity of A and, if the verification is successful, memorize A;
- 7. 7.
- Cuando el usuario U intentan acceder a la puerta D presentando su credencial/prueba, la puerta D observa a A, cancelando la credencial/prueba de usuario U y deniega su acceso. When user U attempts to access door D by presenting his / her credential / proof, door D observes A, canceling the user's credential / proof U and denies access.
SECUENCIA 4 (desde la "autoridad" a la tarjeta de usuario en lapuerta): SEQUENCE 4 (from the "authority" to the user card in the door):
- 1. one.
- La entidad E cancela una credencial C para un usuario U y emite una HRA A que contiene la información de que C ha sido cancelada; Entity E cancels a credential C for a user U and issues an HRA A containing the information that C has been canceled;
- 2. 2.
- El usuario U, portador de su tarjeta, pasa un punto de transmisión situado cerca de la entrada del edificio, lo que hace que su tarjeta reciba A; la tarjeta memoriza A (la tarjeta puede, o no, verificar la autenticidad de A, dependiendo de las capacidades de la tarjeta); The user U, bearer of his card, passes a transmission point located near the entrance of the building, which causes his card to receive A; the card memorizes A (the card may or may not verify the authenticity of A, depending on the card's capabilities);
- 3. 3.
- Cuando U intenta acceder a una puerta D, su tarjeta transmite A junto con C a D; When U tries to access a gate D, his card transmits A along with C to D;
- 4. Four.
- D verifica la autenticidad de A y, si la verificación tiene éxito, memoriza A y deniega el acceso al usuario U; D verifies the authenticity of A and, if the verification is successful, memorize A and deny access to user U;
- 5. 5.
- Si el usuario U intenta de nuevo acceder a D presentando C, la puerta D observa la A anteriormente memorizada que cancela C y deniega el acceso. If user U tries again to access D by presenting C, gate D observes the previously memorized A that cancels C and denies access.
A veces, puede ser de utilidad establecer, después del hecho, que intentó acceder a una puerta particular, en qué momento, qué credenciales/pruebas se presentaron y si el acceso fue denegado o concedido. Puede también ser de utilidad conocer si el mecanismo de una puerta llegó a ser obstaculizado, si un conmutador o sensor tuvo fallos, etc. Con esta finalidad, puede ser deseable mantener registros de los eventos que tengan lugar. Dichos registros pueden ser particularmente útiles si están fácilmente disponibles en alguna localización central, de modo que se puedan inspeccionar y actuar en consecuencia. Por ejemplo, en caso de fallo de hardware, un equipo de reparación puede necesitar trasladarse con prontitud. Existen, sin embargo, dos importantes problemas con dichos registros . Sometimes, it may be useful to establish, after the fact, that you tried to access a particular door, at what time, what credentials / tests were presented and if access was denied or granted. It may also be useful to know if the mechanism of a door became hindered, if a switch or sensor had failures, etc. For this purpose, it may be desirable to keep records of the events that take place. Such records can be particularly useful if they are readily available at any central location, so that they can be inspected and acted upon accordingly. For example, in case of hardware failure, a repair team may need to move promptly. There are, however, two important problems with such records.
En primer lugar, si una puerta está conectad, puede ser más fácil recoger registros enviándoles a través de la conexión. Sin embargo, la recogida de registros de eventos puede ser más difícil para las puertas desconectadas. Por supuesto, una manera de recoger registros es enviar una persona para cada puerta desconectada para entregar físicamente los registros de nuevo a la localización central, pero este método resulta de alto coste. First, if a door is connected, it may be easier to collect records by sending them through the connection. However, collecting event logs can be more difficult for disconnected doors. Of course, one way to collect records is to send a person for each disconnected door to physically deliver the records back to the central location, but this method is expensive.
En segundo lugar, para que se cree un registro de eventos, la integridad del sistema completo que rodea a la generación, recogida y almacenamiento de los registros debe estar garantizada. De no ser así, por ejemplo, un intruso puede crear entradas de registros falsas o suprimir las válidas. Los métodos tradicionales, tales como asegurar físicamente los canales de distribución y las instalaciones de almacenamiento de datos son de muy alto coste (y pueden no ser suficientes por sí mismos). Secondly, for an event log to be created, the integrity of the entire system surrounding the generation, collection and storage of the records must be guaranteed. Otherwise, for example, an intruder can create false registry entries or delete valid ones. Traditional methods, such as physically securing distribution channels and data storage facilities, are very expensive (and may not be sufficient by themselves).
Los registros convencionales pueden comprobar que “un determinado usuario se trasladó a una determinada puerta” por la mera existencia de dicha entrada del registro, que debe suponerse que es válida. Sin embargo, esto no puede ser apropiado para una aplicación de alta seguridad. Considérese el caso de un usuario U acusado de deteriorar alguna propiedad detrás de una puerta bloqueada D. Una entrada de registro tradicional puede proporcionar solamente una evidencia débil de que U entró a través de D: tendría que confiar en que no se produjo ninguna entrada de registro malintencionadamente falsificada. En consecuencia, es deseable disponer de registros que proporcionen una evidencia mucho más fuerte, porque no pueden ser “fabricados” por un intruso. En particular, los registros indiscutibles pueden probar que la puerta D (posiblemente con la cooperación de la tarjeta del usuario U) creó el registro en su agenda. Conventional registries can verify that "a certain user was moved to a certain door" by the mere existence of said registry entry, which must be assumed to be valid. However, this may not be appropriate for a high security application. Consider the case of a user U accused of deteriorating some property behind a locked door D. A traditional registry entry can only provide weak evidence that U entered through D: he would have to trust that no entry was made. maliciously falsified record. Consequently, it is desirable to have records that provide much stronger evidence, because they cannot be "fabricated" by an intruder. In particular, indisputable records can prove that gate D (possibly with the cooperation of user card U) created the record in its agenda.
El sistema aquí descrito resuelve este problema de la manera siguiente: Cuando una puerta recibe una credencial/prueba presentada como parte de una petición de acceso, la puerta puede crear una entrada de registro (p.e., una cadena de datos) que contenga información sobre el evento, por ejemplo: The system described here solves this problem as follows: When a door receives a credential / proof presented as part of an access request, the door can create a registry entry (eg, a data string) that contains information about the event, for example:
Tiempo de petición; Tipo de petición (si más de una petición es posible -por ejemplo, si la petición es para salida o para entrada o para activar o desactivar el motor, etc.); Credencial/prueba e identidad presentada (si la hubiere); Si la credencial/prueba tuvo éxito en su verificación; Si la credencial/prueba tenía una HRA correspondiente; Si el acceso fue concedido o denegado. Request time; Type of request (if more than one request is possible - for example, if the request is for departure or for entry or to activate or deactivate the engine, etc.); Credential / proof and identity presented (if any); If the credential / proof was successful in its verification; If the credential / proof had a corresponding HRA; If access was granted or denied.
Las entradas de registro puede contener, además, datos operativos o información sobre cualesquiera eventos inusuales, tales como fluctuaciones de corriente de tensión, fallos de sensores, posiciones de conmutadores, etc. Una manera de obtener un registro indiscutible incluye hacer que las puertas tengan información de eventos con firma digital por medio de una clave secreta (SK). El registro indiscutible resultante se puede representar por SIG(evento, AI), en donde AI significa cualquier información adicional. El método de firma utilizado por puerta D puede ser una clave pública o una clave privada. The log entries may also contain operational data or information on any unusual events, such as voltage current fluctuations, sensor failures, switch positions, etc. One way to obtain an indisputable record includes making the doors have event information with digital signature through a secret key (SK). The resulting indisputable record can be represented by GIS (event, AI), where AI means any additional information. The signature method used by gate D can be a public key or a private key.
Si fuera de utilidad resaltar la clave pública PK relativa a que la firma sea válida, o la clave secreta SK utilizada en la generación de la firma o la puerta que generó la firma, se podría representar simbólicamente el registro indiscutible por SIGPK(evento, AI), SIGSK(evento, AI), o SIGD(evento, AI). Dicho registro puede ser indiscutible porque un intruso no puede falsificar la firma de la puerta sin conocer la clave secreta pertinente. En otro modo, la autenticidad del registro se podría comprobar por cualquier verificador adecuadamente informado (p.e., uno que conozca la clave PK de la puerta o la clave SK de la puerta) sin tener que confiar en la integridad de la base de datos que almacena el registro o la del sistema que transmite el registro. En general, los registros pueden hacerse indiscutibles no solamente mediante la firma digital de cada entrada, sino también utilizando una etapa de autenticación digital para múltiples entradas. Por ejemplo, la puerta podría autenticar una multiplicidad de eventos E1, E2, ... por medio de una firma digital: simbólicamente, SIG(E1,… E2,AI). Como es habitual, en cualquier lugar de esta aplicación, una firma digital puede significar el proceso de la firma digital del hash unidireccional de los datos que han de autenticarse. En particular, la autenticación continua puede considerarse como un caso especial de firma digital. Por ejemplo, cada entrada autenticada podría utilizarse para la autenticación de la siguiente (o la anterior). Una forma de hacerlo consiste en hacer que una entrada autenticada incluya la clave pública (en particular, la clave pública de una firma digital de una sola vez) utilizada para la autenticación de la siguiente u otras entradas. If it were useful to highlight the public key PK relative to the validity of the signature, or the secret key SK used in the generation of the signature or the door that generated the signature, the record undisputed by SIGPK (event, AI) could be represented symbolically ), SIGSK (event, AI), or SIGD (event, AI). Such registration can be indisputable because an intruder cannot falsify the signature of the door without knowing the relevant secret key. In another way, the authenticity of the registry could be verified by any adequately informed verifier (eg one that knows the PK key of the door or the SK key of the door) without having to rely on the integrity of the database it stores the record or that of the system transmitting the record. In general, registrations can be made indisputable not only by digitally signing each entry, but also using a digital authentication stage for multiple entries. For example, the door could authenticate a multiplicity of events E1, E2, ... by means of a digital signature: symbolically, SIG (E1, ... E2, AI). As usual, anywhere in this application, a digital signature can mean the process of the digital signature of the unidirectional hash of the data to be authenticated. In particular, continuous authentication can be considered as a special case of digital signature. For example, each authenticated entry could be used to authenticate the next (or the previous one). One way to do this is to have an authenticated entry include the public key (in particular, the public key of a one-time digital signature) used to authenticate the next or other entries.
Los registros ordinarios y los registros indiscutibles pueden realizarse también mediante tarjetas (en particular, una tarjeta puede hacerse un registro indiscutible mediante información con firma digital sobre un evento E: en símbolos, SIG(E,AI)). La totalidad de las técnicas de registro, aquí descritas, pueden interpretarse también como relacionadas con registros hechos de tarjetas. Ordinary registrations and indisputable registrations can also be made by means of cards (in particular, a card can be made an indisputable record by means of information with digital signature on an event E: in symbols, SIG (E, AI)). All of the registration techniques, described here, can also be interpreted as related to registrations made of cards.
Además, otros registros ordinarios y registros indiscutibles se pueden obtener implicando a la puerta y a la tarjeta. Por ejemplo, durante una petición de acceso de puerta, la tarjeta puede proporcionar a la puerta la propia entrada de registro de la tarjeta (posiblemente indiscutible) a la puerta. La puerta puede inspeccionar la entrada de registro y conceder acceso solamente si la puerta encuentra que la entrada de registro es "admisible". Por ejemplo, la puerta puede verificar la firma digital de la tarjeta que autentica la entrada de registro o la puerta puede verificar que la información del tiempo incluida en la entrada de registro de la tarjeta es correcta en función de un reloj accesible para la puerta. In addition, other ordinary records and indisputable records can be obtained by involving the door and the card. For example, during a door access request, the card may provide the door with the card registration entry itself (possibly undisputed) to the door. The door can inspect the registry entry and grant access only if the door finds that the registry entry is "admissible." For example, the door can verify the digital signature of the card that authenticates the registration entry or the door can verify that the time information included in the card registration entry is correct based on a clock accessible to the door.
Otros tipos de registros indiscutibles se pueden obtener haciendo que la puerta y la tarjeta contribuyan a la generación y/o autenticación de una entrada de registro. Por ejemplo, la tarjeta puede autenticar una entrada de registro y la puerta puede luego autenticar también al menos parte de la información de la entrada de registro y viceversa. En una forma de realización particular, una tarjeta C puede proporcionar a la puerta su firma, x=SIGC (E,AI), de la entrada de registro, que la puerta contrafirmará en símbolos, SIGD(x; AI') y viceversa. Como alternativa, la puerta y la tarjeta pueden calcular una firma digital conjunta de la información del evento (p.e., calculado por medio de una clave de firma secreta dividida entre la puerta y la tarjeta o combinando la firma de la puerta con la de la tarjeta en una “multifirma” única). Varios sistemas de multifirma se pueden utilizar en particular los de Micali, Ohta y Reyzin. Other types of indisputable registrations can be obtained by having the door and the card contribute to the generation and / or authentication of a registry entry. For example, the card can authenticate a registration entry and the door can then also authenticate at least part of the registration entry information and vice versa. In a particular embodiment, a card C can provide the door with its signature, x = SIGC (E, AI), of the registration entry, which the door will contrafirm in symbols, SIGD (x; AI ') and vice versa. Alternatively, the door and the card can calculate a joint digital signature of the event information (eg, calculated by means of a secret signature key divided between the door and the card or by combining the signature of the door with that of the card in a single "multifirma"). Several multifirma systems can be used in particular those of Micali, Ohta and Reyzin.
Es posible incluir información adicional en los registros. Se puede comprobar luego si la información que se comunica con la tarjeta y que se comunica con la puerta están de acuerdo. Por ejemplo, la tarjeta y la puerta pueden incluir información del tiempo en las entradas de registro, utilizando relojes disponibles al respecto. Además, la tarjeta (y posiblemente también la puerta) pueden incluir información de localización (tal como la obtenida de GPS) en la entrada de registro. Como alternativa, si la localización actual no está disponible (p.e., porque la capacidad de recepción del GPS está indisponible), la información sobre la más reciente localización conocida (y posiblemente cuánto tiempo hace de su establecimiento) pueden incluirse. De este modo, particularmente en el caso de una puerta móvil (tal como la puerta de un avión), puede ser posible establecer en dónde la puerta y la tarjeta estuvieron localizadas cuando se produjo el evento. It is possible to include additional information in the records. You can then check if the information that communicates with the card and that communicates with the door agrees. For example, the card and the door can include weather information in the registration entries, using clocks available in this regard. In addition, the card (and possibly also the door) may include location information (such as that obtained from GPS) in the registration entry. Alternatively, if the current location is not available (e.g., because GPS reception capability is unavailable), information on the most recent known location (and possibly how long it has been from your establishment) may be included. Thus, particularly in the case of a mobile door (such as the door of an airplane), it may be possible to establish where the door and the card were located when the event occurred.
Por supuesto, incluso una entrada de registro indiscutible, como la anterior, puede ser malintencionadamente suprimida de la base de datos o impedido su alcance de la base de datos conjuntamente. Para proteger contra dichas supresiones, es de utilidad proporcionar sistemas de registro de supresión detectable. Dichos sistemas pueden construirse utilizando: Of course, even an undisputed registry entry, like the one above, can be maliciously deleted from the database or prevented from reaching the database together. To protect against such deletions, it is useful to provide detectable suppression recording systems. These systems can be built using:
(1) un sistema de autenticación (p.e., un sistema de firma digital), (2) un sistema de generación-correlación y (3) un sistema de detección-correlación como sigue. Dado un evento de registro E (parte de un secuencia de posiblemente eventos pasados y/o futuros), el sistema de generación-correlación se puede utilizar para generar información de correlación CI, que luego se vincula, con seguridad, a E por medio del sistema de generación-correlación que puede garantizar que, aun cuando los propios eventos no estén en correlación y la existencia de un evento no se puede deducir de la existencia de otros eventos, CI se genera de tal manera que garantice que para las entradas de registro no existentes, no se presente ninguna información adecuadamente correlacionada, lo que se puede detectar utilizando el sistema de detección-correlación. En algunos casos, el sistema puede garantizar, además, que aunque falten algunas entradas de registro, otras pueden ser garantizadas como auténticas/individualmente indiscutibles. (1) an authentication system (e.g., a digital signature system), (2) a generation-correlation system and (3) a detection-correlation system as follows. Given an E record event (part of a sequence of possibly past and / or future events), the generation-correlation system can be used to generate correlation information CI, which is then safely linked to E through generation-correlation system that can guarantee that, even if the events themselves are not correlated and the existence of an event cannot be deduced from the existence of other events, CI is generated in such a way that guarantees that for the registry entries nonexistent, no properly correlated information is presented, which can be detected using the detection-correlation system. In some cases, the system can also guarantee that even if some registry entries are missing, others can be guaranteed as authentic / individually indisputable.
En un primer ejemplo, la información de correlación CI de las entradas de registro pueden incluir la numeración secuencial de dichas entradas de registro. El correspondiente sistema de detección-correlación puede consistir en notificar la presencia de una laguna operativa en la secuencia de numeración. No obstante, para tener un sistema de registro de supresión detectable, se encuentra un vínculo adecuado entre CI y las entradas de registro, que puede no ser fácil de realizar, aun cuando se utilicen firmas digitales seguras para la componente de autenticación del sistema. Por ejemplo, tener la i-éxima entrada de registro constituida por (i, SIG(evento, AI)), no es seguro, porque un intruso podría, después de suprimir una entrada de registro, modificar la numeración de entradas posteriores de modo que oculten dicha laguna operativa. En particular, después de suprimir el número de entrada de registro 100, el intruso puede disminuir en uno los números de entradas de registro 101, 102, etc. El intruso puede ocultar así sus supresiones porque, aun cuando la integridad de la información de eventos esté protegida por una firma digital, la propia numeración puede no estarlo. Además, incluso con la firma digital también los números pueden no funcionar adecuadamente. Por ejemplo, supóngase que la i-éxima entrada de registro consiste en (SIG(i),SIG(evento, AI)). En tal caso, un intruso podría: (1) observar y recordar SIG (100), (2) suprimir el número de entrada 100, (3) sustituir SIG (100) en lugar de SIG(101) en la entrada original 101, mientras que recuerda SIG(101), y así sucesivamente, de modo que oculte completamente la supresión. In a first example, the correlation information CI of the registry entries may include sequential numbering of said registry entries. The corresponding detection-correlation system may consist of notifying the presence of an operational gap in the numbering sequence. However, to have a detectable deletion registration system, an appropriate link is found between CI and the registry entries, which may not be easy to perform, even when secure digital signatures are used for the authentication component of the system. For example, having the i-th registry entry consisting of (i, SIG (event, AI)), is not safe, because an intruder could, after deleting a registry entry, modify the numbering of subsequent entries so that hide this operational gap. In particular, after deleting the registration entry number 100, the intruder may decrease the number of registration entries 101, 102, etc. by one. The intruder can thus hide his deletions because, even if the integrity of the event information is protected by a digital signature, the numbering itself may not be. In addition, even with the digital signature also the numbers may not work properly. For example, suppose that the i-th registry entry consists of (SIG (i), SIG (event, AI)). In such a case, an intruder could: (1) observe and remember GIS (100), (2) suppress input number 100, (3) replace GIS (100) instead of GIS (101) in original input 101, while remembering GIS (101), and so on, so that it completely conceals the suppression.
Ninguno de los dos métodos anteriores produce el vínculo seguro deseado de CI y las entradas de registro. En realidad, al vincular, de forma segura, (1) la información de numeración junto con (2) el evento objeto de numeración, se quiere resaltar que un intruso no puede obtener el vínculo de algún número j junto con la información del evento sobre el i-éximo evento Ei, cuando j es diferente de i, aun cuando esté provisto de (a) un vínculo seguro de número i y Ei y (b) un vínculo seguro de número j y Ej. Por ejemplo, la i-éxima entrada de registro puede consistir en SIG(i,Ei, AI). De este modo, la supresión de la i-éxima entrada de registro será detectada dadas las posteriores entradas de registro. Esto es así porque una posterior entrada de registro puede transmitir con ella un número mayor que i, que no se puede eliminar, modificar ni conmutar con otra información de numeración de entrada de registro por el intruso, porque está vinculada de forma segura con la entrada de registro. Por ejemplo, suponiendo que el intruso suprima el número de entrada de registro 100: SIG(100,E100,AI). En tanto que el intruso no pueda suprimir todas las entradas de registro posteriores (lo que podría exigir un acceso continuo a la base de datos), para ocultar su supresión, el intruso necesitaría crear otra entrada de registro con el mismo número 100. Sin embargo, esto puede ser difícil porque (a) el intruso no puede generar una nueva marca de 100-éxima entrada de registro SIG(100,E',AI') puesto que no tiene la clave de firma secreta de la puerta; (b) el intruso no puede modificar una entrada de registro existente sin invalidar la firma digital (p.e., no puede cambiar SIG(101,E101, AI101) en SIG(100, E101 ,AI101) aun cuando recuerde la entrada suprimida SIG(100,E100,AI100)); (c) el intruso no puede extraer una firma de una parte de la entrada de registro que indique el número 100 y la vincule con una firma digital para otra entrada de registro. Neither of the above two methods produces the desired secure CI link and registry entries. Actually, by safely linking (1) the numbering information together with (2) the numbering event, it is intended to highlight that an intruder cannot obtain the link of any number j together with the information of the event about the i-th event Ei, when j is different from i, even if it is provided with (a) a secure link of number i and Ei and (b) a secure link of number j and Ex. For example, the i-th entry of Registration can consist of GIS (i, Ei, AI). In this way, the deletion of the i-th registry entry will be detected given the subsequent registry entries. This is because a subsequent registry entry can transmit with it a number greater than i, which cannot be deleted, modified or switched with other registration entry numbering information by the intruder, because it is securely linked to the entry register. For example, assuming the intruder deletes the registry entry number 100: SIG (100, E100, AI). As long as the intruder cannot delete all subsequent registry entries (which could require continuous access to the database), to hide its deletion, the intruder would need to create another registry entry with the same number 100. However This can be difficult because (a) the intruder cannot generate a new 100-next mark of GIS registration entry (100, E ', AI') since it does not have the secret door signature key; (b) the intruder cannot modify an existing registry entry without invalidating the digital signature (eg, it cannot change SIG (101, E101, AI101) in GIS (100, E101, AI101) even if it remembers the suppressed entry SIG (100 , E100, AI100)); (c) the intruder cannot extract a signature from a part of the registry entry that indicates the number 100 and link it with a digital signature for another registry entry.
Dicha vinculación segura puede conseguirse también por medio de otras firmas digitales junto con el número de entrada y el evento objeto de numeración. Por ejemplo, se puede conseguir mediante una función-resumen hashing unidireccional del número de entrada y del evento que se numera y luego, firmar simbólicamente el hash, con SIG(H(i,Ei,AI)). A modo de otro ejemplo, se puede conseguir incluyendo la función hash del número en la firma digital del evento o viceversa: p.e., simbólicamente SIG(i,H(Ei),AI)). Se puede conseguir también con la firma de la información de numeración junto con la firma digital de la información del evento: p.e., simbólicamente SIG (i,SIG(Ei),AI)). En otra alternativa, se puede firmar por separado (1) la información de numeración junto con una cadena única x, y (2) la información del evento junto con la cadena x, simbólicamente (SIG(i,x), SIG(x,Ei,AI)). (Dicha cadena x podría ser un dato aleatorio denominado nonce). Said secure linking can also be achieved through other digital signatures along with the entry number and the numbering event. For example, it can be achieved through a unidirectional hashing-summary function of the entry number and the event that is numbered and then, symbolically sign the hash, with SIG (H (i, Ei, AI)). As another example, it can be achieved by including the hash function of the number in the digital signature of the event or vice versa: e.g., symbolically SIG (i, H (Ei), AI)). It can also be obtained by signing the numbering information together with the digital signature of the event information: e.g., symbolically GIS (i, SIG (Ei), AI)). In another alternative, the numbering information can be signed separately (1) along with a single string x, and (2) the event information along with the string x, symbolically (SIG (i, x), SIG (x, Ei, AI)). (This string x could be a random data called nonce).
Los registros de supresión detectables se pueden conseguir también mediante una vinculación segura con la información de correlación de entrada de registro que no sea la información de numeración secuencial. Por ejemplo, se puede incluir en la entrada de registro i alguna información de identificación desde una entrada de registro anterior, por ejemplo, la entrada i-1. Dicha información puede ser una función hash resistente a la colisión de entrada i-1 (o una parte de entrada de registro simbólicamente, la entrada de registro i se puede representar como SIG(H(entrada de registro i+1), Ei, AI). Entonces, si el intruso intenta eliminar la entrada de registro, dicha eliminación sería detectada cuando se reciba la entrada de registro i, porque la función hash de la entrada de registro anteriormente recibida, H (entrada de registro i-2), no coincidiría con H(entrada de registro i-1) (debido a la resistencia-colisión de H), mientras que H(entrada de registro i1), puesto que está vinculado de forma segura a entrada registro-i, no podría modificarse por el intruso sin destruir la validez de una firma digital. En este caso, por entrada de registro i podemos significar también un subconjunto de su información, tal como Ei. Detectable deletion records can also be achieved by secure linking with the correlation input of the record entry other than the sequential numbering information. For example, some identification information can be included in the registry entry and from a previous registry entry, for example, the i-1 entry. Said information may be a collision-resistant hash function of input i-1 (or a part of log entry symbolically, the log entry i can be represented as SIG (H (log entry i + 1), Ei, AI Then, if the intruder tries to delete the registry entry, such deletion would be detected when the registry entry i is received, because the hash function of the previously received registry entry, H (registry entry i-2), does not it would coincide with H (I-1 registration input) (due to the collision resistance of H), while H (I1 registration input), since it is securely linked to I-registration input, could not be modified by the intruder without destroying the validity of a digital signature In this case, by registration entry i can also mean a subset of your information, such as Ei.
Conviene señalar que no se necesita la entrada de registro i-1 cuya información está vinculada con la entrada i: puede ser otra entrada anterior o futura o, de hecho, una multitud de otras entradas. Además, qué entradas de registro están vinculadas con las que se puede elegir con el uso de la aleatoriedad. It should be noted that the i-1 registry entry is not needed whose information is linked to the i entry: it may be another previous or future entry or, in fact, a multitude of other entries. In addition, which registry entries are linked to those that can be chosen with the use of randomness.
Se puede utilizar, asimismo, otra información de correlación. Por ejemplo, cada entrada de registro i puede haberse vinculado, de forma segura, con dos valores (p.e., valores aleatorios o nonces) xi y xi+1: simbólicamente, p.e., SIG(xi, xi+1, Ei, AI). Entonces, dos entradas de registro consecutivas pueden compartir siempre un solo valor x; por ejemplo, las entradas i y i+1 compartirán xi+1. Sin embargo, si se suprime una entrada de registro, esta ya no se mantendrá (puesto que el intruso no puede modificar las entradas de registro firmadas sin detección, a no ser que conozca la clave secreta para la firma). Por ejemplo, si se suprime el número de entrada 100, la base de datos contendrá SIG(Xgg, x100, E99, AI) y SIG(x101, x102, E101, AI) y se puede observar que no están compartiendo un valor x común. Dicha información de correlación puede adoptar otras formas: de hecho, una entrada de registro puede estar en correlación con otras múltiples entradas de registro. Esto se puede realizar, en particular, mediante el uso de polinomios para generar información de correlación (p.e., dos o más entradas de registro pueden contener cada una el resultado de evaluar el mismo polinomio en entradas diferentes). Dicha información de correlación puede hacer también uso de una cadena de funciones hash: por ejemplo, comenzando con un valor y1, que permite y2=H(y1), y3=H(y2), … etc. y luego, vincular de forma segura yi con Ei: p.e., la i-éxima entrada de registro se puede representar simbólicamente como SIG(yi, Ei, AI). Entonces, entradas de registro consecutivas i y i+1 pueden tener valores de correlación yi y yi+1 de modo que yi+1 = H(yi). Si el intruso suprime una entrada de registro, sin embargo, ya no se puede mantener y en consecuencia, se puede detectar la supresión. Por ejemplo, si la entrada 100 está suprimida, la base de datos contendrá SIG(y99, E99, AI) y SIG(y101, E101; AI) (lo que, como antes, no se puede modificar por el intruso sin distorsionar las firmas digitales). Entonces, se puede detectar la supresión porque H(y101) no coincidirá con y99. El uso de múltiples cadenas de funciones-resumen hash, quizás entradas no consecutivas usadas y en ambas direcciones, puede proporcionar también dicha información de correlación. Other correlation information can also be used. For example, each registry entry i may have been securely linked to two values (e.g., random values or nonces) xi and xi + 1: symbolically, e.g., GIS (xi, xi + 1, Ei, AI). Then, two consecutive registry entries can always share a single x value; for example, the i and i + 1 entries will share xi + 1. However, if a registry entry is deleted, it will no longer be maintained (since the intruder cannot modify the signed registry entries without detection, unless he knows the secret key for the signature). For example, if the entry number 100 is deleted, the database will contain GIS (Xgg, x100, E99, AI) and SIG (x101, x102, E101, AI) and it can be seen that they are not sharing a common x value . Such correlation information may take other forms: in fact, a registry entry may be correlated with multiple other registry entries. This can be done, in particular, by using polynomials to generate correlation information (e.g., two or more registry entries can each contain the result of evaluating the same polynomial on different entries). Such correlation information can also make use of a hash string of functions: for example, starting with a value y1, which allows y2 = H (y1), y3 = H (y2), ... etc. and then, securely linking yi to Ei: e.g., the i-th registry entry can be symbolically represented as GIS (yi, Ei, AI). Then, consecutive registry entries i and i + 1 can have correlation values yi and yi + 1 so that yi + 1 = H (yi). If the intruder deletes a registry entry, however, it can no longer be maintained and consequently, the deletion can be detected. For example, if entry 100 is deleted, the database will contain SIG (y99, E99, AI) and SIG (y101, E101; AI) (which, as before, cannot be modified by the intruder without distorting the signatures digital). Then, suppression can be detected because H (y101) will not match y99. The use of multiple hash-summary function chains, perhaps non-consecutive entries used and in both directions, can also provide such correlation information.
En otra forma de realización, cada entrada de registro puede contener una indicación de alguno o la totalidad de los eventos anteriores o incluso posteriores, por lo que la realización de registros no solamente será con supresión detectable, sino también reconstruible en caso de supresiones. Los sistemas de registros reconstruibles se pueden construir utilizando: (1) un sistema de autenticación (p.e., un sistema de firma digital), (2) un sistema de generación de información-reconstrucción y (3) un sistema de reconstrucción como sigue. Dado un evento de registro E (parte de una secuencia de eventos posiblemente pasados y/o futuros), el sistema de generación de información-reconstrucción se utiliza para generar información de reconstrucción RI, que luego se vincula, de forma segura, con otras entradas de registro por medio del sistema de autenticación. El sistema de generación de información-reconstrucción garantiza que, aun cuando se pierda la entrada de registro correspondiente al evento i, otras entradas de registro contienen información suficiente sobre E, por lo que permitirán la reconstrucción de E a partir de la información RI presente en otras entradas de registro. Por ejemplo, la i+1-éxima entrada puede contener información sobre la totalidad o algunos de los i eventos anteriores, que se genera por el sistema de generación de información-reconstrucción. Por lo tanto, si un intruso tuviere éxito en el borrado de la j-éxima entrada de registro desde la base de datos, la información sobre el j-éximo evento Ej se mostrará en una o más entradas posteriores, lo que posibilitará la reconstrucción de la información Ej incluso en la ausencia de la j-éxima entrada de registro, utilizando el sistema de reconstrucción. De este modo, no sería suficiente para un intruso tener acceso temporal a la base de datos: tendría que controlar la base de datos "en todo momento" y suprimir múltiples entradas de registro para impedir que se revele la información sobre el j-éximo evento. La elección de qué eventos incluir en una entrada de registro se puede realizar por el sistema de generación de información-reconstrucción en una forma aleatoria, lo que haría más difícil para un intruso predecir cuándo la información sobre un evento dado aparecerá en registros sucesivos. En una forma de realización preferida, el sistema para eventos reconstruibles puede ser también susceptible de detección de supresiones e indiscutible. In another embodiment, each registry entry may contain an indication of some or all of the previous or even subsequent events, so that the realization of records will not only be with detectable deletion, but also rebuildable in case of deletions. Rebuildable record systems can be constructed using: (1) an authentication system (e.g., a digital signature system), (2) an information generation-reconstruction system and (3) a reconstruction system as follows. Given an E record event (part of a sequence of possibly past and / or future events), the information generation-reconstruction system is used to generate RI reconstruction information, which is then linked securely to other inputs Registration through the authentication system. The information generation-reconstruction system guarantees that, even if the registry entry corresponding to event i is lost, other registry entries contain sufficient information about E, so they will allow the reconstruction of E from the RI information present in Other registry entries. For example, the i + 1-next entry may contain information about all or some of the previous events, which is generated by the information generation-reconstruction system. Therefore, if an intruder succeeds in deleting the j-th entry from the database, the information about the j-th event Ex will be displayed in one or more subsequent entries, which will allow the reconstruction of The information eg even in the absence of the j-th registration entry, using the reconstruction system. In this way, it would not be enough for an intruder to have temporary access to the database: he would have to control the database "at all times" and delete multiple registry entries to prevent the disclosure of information about the next event. . The choice of what events to include in a log entry can be made by the information generation-reconstruction system in a random way, which would make it more difficult for an intruder to predict when information about a given event will appear in successive records. In a preferred embodiment, the system for rebuildable events may also be susceptible to suppression detection and indisputable.
Conviene señalar, asimismo, que la información de reconstrucción sobre el evento j incluido en otra entrada de registro no necesita ser directa. Puede consistir en una entrada parcial j o su valor de función hash hj (en particular, calculado por el sistema de generación de información-reconstrucción por intermedio de una función hash resistente a la colisión/unidireccional), o de su firma digital o de cualquier otra indicación. En particular, si se utiliza una función hash H resistente a colisión/unidireccional, entonces será posible reestablecer, de forma indiscutible, información sobre el j-éximo evento a partir de una entrada de registro i que contenga hj: simbólicamente, si la i-éxima entrada está firmada, el registro indiscutible correspondiente puede adoptar la forma SIG(hj, Ei, AI). Por ejemplo, si se sospecha que un usuario particular entró a través de una puerta particular en un momento particular, se puede comprobar si el valor hj coincide con el de la función hash H(Ej) de una entrada de registro Ej, que se hubiera creado en respuesta a dicho evento. Esto es indiscutible debido a la propiedad de resistencia a colisión de H: es esencialmente imposible la aparición de una entrada E'j diferente de Ej, tal que: H(E'j)=H(Ej). It should also be noted that the reconstruction information about the event j included in another registry entry does not need to be direct. It may consist of a partial entry jo its hash function value hj (in particular, calculated by the information generation-reconstruction system through a collision-resistant / unidirectional hash function), or its digital signature or any other indication. In particular, if a collision-resistant / unidirectional H hash function is used, then it will be possible to reestablish, indisputably, information about the j-th event from a registry entry i containing hj: symbolically, if the i- next entry is signed, the corresponding indisputable record can take the form GIS (hj, Ei, AI). For example, if it is suspected that a particular user entered through a particular door at a particular time, it is possible to check if the value hj coincides with that of the hash function H (Ex) of a registry entry Ex, which would have created in response to that event. This is indisputable due to the collision resistance property of H: the appearance of an input E'j different from Ex is essentially impossible, such that: H (E'j) = H (Ex).
Las entradas de registro Ej se pueden crear de tal modo que faciliten a alguien adivinar (y por lo tanto, verificar), lo que debería ser la entrada de registro para un evento dado (por ejemplo, utilizando un formato normalizado para las entradas de registro, empleando una granularidad temporal aproximada, etc.). Una función hash unidireccional puede ser de utilidad en particular debido a su pequeño tamaño: puede ser posible efectuar la función hash de numerosas o incluso todas las entradas de registro anteriores para su inclusión en una entrada posterior. Por ejemplo, la entrada i+1 puede incluir h1=H(E1), h2=H(E2),…. hi=H(Ei). Como alternativa, se puede efectuar el agrupamiento de (algunas de) las funciones hash, con lo que se reduce la cantidad de espacio necesario. Por ejemplo, si se agrupan en su totalidad, en tal caso, la segunda entrada de registro incluiría h1=H (E1), la tercera entrada de registro incluiría h2 = H(E2, h1)..... The registry entries Ex can be created in such a way as to make it easier for someone to guess (and therefore verify), what the registry entry should be for a given event (for example, using a standardized format for the registry entries , using an approximate temporal granularity, etc.). A unidirectional hash function may be useful in particular because of its small size: it may be possible to perform the hash function of numerous or even all previous registry entries for inclusion in a later entry. For example, the input i + 1 can include h1 = H (E1), h2 = H (E2),…. hi = H (Ei). Alternatively, the grouping of (some of) the hash functions can be done, thereby reducing the amount of space required. For example, if they are grouped in their entirety, in that case, the second registry entry would include h1 = H (E1), the third registry entry would include h2 = H (E2, h1) .....
De este modo, se puede reconstruir u observar las entradas de registro 1 a i-1 y la entrada de registro i+1, entonces se puede reconstruir, de forma indiscutible, la entrada de registro i. Este sistema se puede mejorar mediante la encriptación de (parte de) la información en una entrada de registro (p.e., con una clave conocida solamente para la base de datos), de modo que el intruso no pueda conocer qué información debe destruir para poner en compromiso la posibilidad de reconstrucción de un evento particular: en realidad, una vez que el registro esté protegido mediante encriptación, dichos registros encriptados (preferentemente registros encriptados indiscutibles) se pueden remitir a otra (segunda) base de datos sin ninguna pérdida de privacidad. Esto hace que las supresiones se hagan todavía más difíciles para un intruso: ahora tiene que obtener acceso a dos o más bases de datos para falsificar registros . In this way, the registry entries 1 to i-1 and the registry entry i + 1 can be reconstructed or observed, then the registry entry i can be indisputably reconstructed. This system can be improved by encrypting (part of) the information in a registry entry (eg, with a key known only to the database), so that the intruder cannot know what information he must destroy to put in compromise the possibility of rebuilding a particular event: in reality, once the record is protected by encryption, said encrypted records (preferably undisputed encrypted records) can be sent to another (second) database without any loss of privacy. This makes deletions even more difficult for an intruder: you now have to get access to two or more databases to falsify records.
Los registros reconstruibles se pueden conseguir también mediante el uso de códigos correctores de errores. En particular, esto se puede realizar generando múltiples componentes ("participaciones") de cada entrada de registro y procediendo a su envío por separado (quizás con otras entradas de registro) de tal manera que, cuando se haya recibido una cantidad suficiente de participaciones, la entrada de registro se puede reconstruir mediante el sistema de reconstrucción, lo que puede invocar un algoritmo de decodificación para el código corrector de errores. Estas participaciones se pueden dispersar de forma aleatorio o seudoaleatoria, lo que hace todavía más difícil para el intruso eliminar una cantidad de ella suficiente para impedir la reconstrucción de una entrada de registro cuando lleguen ocasionalmente participaciones suficientes. Rebuildable records can also be achieved through the use of error correction codes. In particular, this can be done by generating multiple components ("shares") of each registry entry and proceeding to send them separately (perhaps with other registry entries) in such a way that, when a sufficient number of shares has been received, The registry entry can be rebuilt using the rebuild system, which can invoke a decoding algorithm for the error correction code. These participations can be dispersed randomly or pseudo-randomly, which makes it even more difficult for the intruder to eliminate a sufficient amount of it to prevent the reconstruction of a registry entry when sufficient participations occasionally arrive.
Los registros de eventos (creados por tarjetas, por puertas o conjuntamente por ambas) se pueden transmitir por tarjetas para facilitar su recogida. Cuando una tarjeta alcanza una puerta conectada, o se comunica con un servidor central o de cualquier otro modo, es capaz de comunicarse con la base de datos central, puede enviar los registros que memoriza. Esta operación se puede realizar, de forma similar, para la difusión de HRAs, con la excepción de que se pueden enviar HRAs desde un punto central a una tarjeta, mientras que los registros se pueden enviar desde la tarjeta al punto central. Todos los métodos de difusión de HRA, por lo tanto, se aplican a la recogida de registros de eventos. Más concretamente, un método para difundir HRAs se puede transformar en un método para la recogida de registros de eventos (1) sustituyendo un remitente por el receptor y viceversa; (2) sustituyendo un HRA con una entrada de registro. Event logs (created by cards, by doors or jointly by both) can be transmitted by cards to facilitate their collection. When a card reaches a connected door, or communicates with a central server or in any other way, it is able to communicate with the central database, it can send the records it memorizes. This operation can be performed, similarly, for the dissemination of HRAs, with the exception that HRAs can be sent from a central point to a card, while records can be sent from the card to the central point. All HRA dissemination methods, therefore, apply to the collection of event records. More specifically, a method for disseminating HRAs can be transformed into a method for collecting event records (1) by replacing a sender with the receiver and vice versa; (2) replacing an HRA with a registry entry.
En particular, una tarjeta C1 puede recoger registros de eventos para los eventos no relacionados con C1, tal como el acceso por otra tarjeta C2, o un funcionamiento anómalo de una puerta D. Además, los registros de eventos para una puerta D1 se pueden memorizar (quizás temporalmente) en otra puerta D2 (quizás transmitido por una tarjeta C1). Entonces, cuando otra tarjeta C2 esté en comunicación con D2, puede recibir algunas de estas entradas de registro y más adelante, comunicarlas a otra puerta o a una posición central. Esta amplia difusión puede garantizar que los registros de eventos alcancen, con mayor rapidez, el punto central. (Además, es posible que algunas puertas, aun cuando no estén completamente conectadas a una base de datos central, puedan tener conexiones entre sí. Dichas puertas, de este modo, pueden intercambiar registros de eventos disponibles en una forma similar. Si las tarjetas tienen una capacidad de comunicación entre sí -p.e., cuando estén en proximidad – pueden también intercambiar información sobre los registros de eventos que memorizan). En dicho proceso de recogida, los registros indiscutibles son ventajosos, puesto que no necesitan transmitirse a través de canales asegurados, habida cuenta que no se pueden falsificar. Por lo tanto, no necesitan confiar en la seguridad de las tarjetas o conexiones entre tarjetas y puertas. Los registros con supresiones detectables proporcionan ventajas adicionales al garantizar que, si algunas entradas de registro no son recogidas (quizás porque algunas tarjetas nunca alcanzan una puerta conectada), este hecho se puede detectar. Los registros reconstruibles pueden permitir, además, la reconstrucción de entradas de registro en caso de algunas entradas de registro no alcancen una base de datos central (de nuevo, quizás porque algunas tarjetas nunca alcanzan una puerta conectada). In particular, a C1 card can collect event logs for non-C1 related events, such as access by another C2 card, or an anomalous operation of a D gate. In addition, the event logs for a D1 gate can be memorized. (maybe temporarily) on another D2 gate (maybe transmitted by a C1 card). Then, when another C2 card is in communication with D2, you can receive some of these registry entries and later, communicate them to another door or to a central position. This wide dissemination can ensure that event logs reach, more quickly, the central point. (In addition, it is possible that some doors, even if they are not completely connected to a central database, may have connections to each other. Such doors can thus exchange available event logs in a similar way. If the cards have an ability to communicate with each other - eg, when they are in proximity - can also exchange information about the events records they memorize). In said collection process, the indisputable records are advantageous, since they do not need to be transmitted through secured channels, given that they cannot be falsified. Therefore, they do not need to rely on the security of cards or connections between cards and doors. Records with detectable deletions provide additional advantages by ensuring that, if some registry entries are not collected (perhaps because some cards never reach a connected door), this fact can be detected. Rebuildable records can also allow reconstruction of registry entries in case some registry entries do not reach a central database (again, perhaps because some cards never reach a connected door).
En algunos casos, todos los registros de eventos se podrían memorizar y difundir de esta manera. De no ser así, puede ser de utilidad adoptar algunas optimizaciones. Un método de optimización consiste en hacer que los registros de eventos lleguen provistos de información de prioridad, indicando así la importancia relativa de informar a una autoridad central sobre un evento particular. Algunas entradas de registro pueden ser de interés más urgente que otras: Por ejemplo, si una puerta está fijada en una posición abierta o cerrada, si se intenta un acceso no autorizado o si se detecta un modelo de acceso inusual. Con el fin de acelerar la entrega de dicha información importante al lugar en donde pueda actuar, la información en los registros de acceso puede proveerse de etiquetas que indiquen su importancia (o su importancia se puede deducir de la propia información). Por ejemplo, algunas entradas de registro se pueden etiquetar “urgente” mientas que otras se pueden etiquetar de “rutina” o bien, se pueden etiquetar por números o palabras de código, que indiquen su grado de importancia. (Una gradación de las prioridades puede ser tan fina o aproximada según sea apropiado), más esfuerzo o más alta prioridad se puede dedicar a difundir información de la mayor importancia. Por ejemplo, se puede otorgar más alta prioridad en la información para más tarjetas y/o puertas con el fin de aumentar la probabilidad de que alcancen su destino con mayor prontitud o seguridad. Además, una tarjeta o una puerta, cuando reciban información de alta prioridad, pueden dedicar espacio para ella eliminando la información de baja prioridad desde su memoria. De forma similar, una puerta puede decidir dar información de alta prioridad a cada tarjeta que pase por ella, mientras que puede proporcionar información de baja prioridad a solamente unas pocas tarjetas o puede esperar hasta el momento en que la puerta esté conectada. In some cases, all event logs could be memorized and disseminated in this way. Otherwise, it may be useful to adopt some optimizations. An optimization method is to make the event logs arrive with priority information, thus indicating the relative importance of informing a central authority about a particular event. Some registry entries may be of more urgent interest than others: For example, if a door is fixed in an open or closed position, if unauthorized access is attempted or if an unusual access model is detected. In order to accelerate the delivery of such important information to the place where it can act, the information in the access records can be provided with labels that indicate its importance (or its importance can be deduced from the information itself). For example, some registry entries can be labeled "urgent" while others can be labeled "routine" or they can be tagged by numbers or code words, indicating their degree of importance. (A gradation of priorities can be as fine or approximate as appropriate), more effort or higher priority can be devoted to disseminating information of the greatest importance. For example, higher priority may be given in the information for more cards and / or doors in order to increase the probability that they reach their destination more quickly or safely. In addition, a card or a door, when receiving high priority information, can dedicate space for it by eliminating low priority information from its memory. Similarly, a door may decide to give high priority information to each card that passes through it, while it may provide low priority information to only a few cards or wait until the moment the door is connected.
Como alternativa, o en adición a las técnicas anteriores, se pueden seleccionar tarjetas para memorizar entradas de registro particulares de tal modo que implique una aleatoriedad o bien, una puerta puede proporcionar una entrada de registro a determinado número de tarjetas (p.e., las primeras k tarjetas que “encuentra”). El uso de dichas técnicas de difusión puede reducir, en gran medida, la probabilidad de que una entrada importante, en un registro de eventos, fuere incapaz de alcanzar el punto central en donde pueda actuar. En particular, se puede utilizar como una contramedida eficaz contra ataques “obstaculizantes” que intenten evitar que una puerta rota comunique dicha circunstancia. El método real de intercambio de los registros entre tarjetas y puertas puede variar según las circunstancias. En caso de unas pocas entradas, puede ser más eficaz intercambiar y comparar todas las entradas conocidas. En otros casos, pueden ser apropiados algoritmos más sofisticados para encontrar y reconciliar las diferencias. Alternatively, or in addition to the prior art, cards can be selected to memorize particular registry entries in such a way as to imply randomness or, a door can provide a registration entry to a certain number of cards (eg, the first k cards you "find"). The use of such dissemination techniques can greatly reduce the likelihood that an important entry, in an event log, will be unable to reach the central point where it can act. In particular, it can be used as an effective countermeasure against “obstructing” attacks that attempt to prevent a broken door from communicating this circumstance. The actual method of exchanging records between cards and doors may vary depending on the circumstances. In the case of a few entries, it may be more efficient to exchange and compare all known entries. In other cases, more sophisticated algorithms to find and reconcile differences may be appropriate.
Puede ser de utilidad presentar, en detalle, algunas formas muestras en las que se pueden recoger los registros de eventos. A continuación, el término de “autoridad” A incluye algún punto central o base de datos en donde se recogen registros de eventos. It may be useful to present, in detail, some sample forms in which event records can be collected. Next, the term "authority" A includes some central point or database where records of events are collected.
SECUENCIA 1 (directamente desde la puerta a la autoridad): SEQUENCE 1 (directly from the door to the authority):
- 1. one.
- La puerta conectada D crea una entrada de registro E indiscutible, en respuesta un evento. The connected door D creates an undisputed log entry E, in response to an event.
- 2. 2.
- La entrada de registro E se transmite, mediante combinación cableada o inalámbrica, a la autoridad A. Registration entry E is transmitted, by wired or wireless combination, to authority A.
- 3. 3.
- La autoridad A verifica la autenticidad de E y, si la verificación tiene éxito, memoriza E. Authority A verifies the authenticity of E and, if the verification is successful, memorize E.
SECUENCIA 2 (desde lapuerta a una tarjeta de usuario y a laautoridad): SEQUENCE 2 (from the door to a user card and to the authority):
- 1. one.
- La puerta D crea una entrada de registro E indiscutible en respuesta a un evento. Gate D creates an undisputed registry entry E in response to an event.
- 2. 2.
- Una tarjeta C de un usuario U, que se presenta para acceso a la puerta D, recibe y memoriza E (en adición a la comunicación relacionada con el acceso). La tarjeta puede verificar, o no, la autenticidad de E. A card C of a user U, which is presented for access to the gate D, receives and memorizes E (in addition to the access related communication). The card can verify, or not, the authenticity of E.
- 3. 3.
- Cuando el usuario U deja su trabajo y presenta su tarjeta a A al final del día laboral, E se transmite a A por intermedio de la tarjeta. When user U leaves his job and presents his card to A at the end of the business day, E is transmitted to A through the card.
4. A verifica la autenticidad de E y, si la verificación es positiva, memoriza E. 4. A verifies the authenticity of E and, if the verification is positive, memorize E.
SECUENCIA 3 (desde lapuerta a una tarjeta de usuariopara otra puerta (conectada) a la autoridad): SEQUENCE 3 (from the door to a user card to another door (connected) to the authority):
- 1. one.
- La puerta D crea una entrada de registro E indiscutible, en respuesta un evento. Gate D creates an undisputed registry entry E, in response to an event.
- 2. 2.
- Una tarjeta C de un usuario U, que se presenta para acceso a la puerta D, recibe y memoriza E (en adición a la comunicación relacionada con el acceso). La tarjeta puede verificar, o no, la autenticidad de E. A card C of a user U, which is presented for access to the gate D, receives and memorizes E (in addition to the access related communication). The card can verify, or not, the authenticity of E.
- 3. 3.
- Más adelante, el usuario U presenta su tarjeta C para acceso a otra puerta (conectada) de D'. La puerta D', además de verificar las credenciales y conceder acceso, si es apropiado, recibe E desde C. La puerta D' puede verificar, o no, la autenticidad de E. Later, user U presents his card C for access to another (connected) door of D '. Door D ', in addition to verifying credentials and granting access, if appropriate, receives E from C. Door D' can verify, or not, the authenticity of E.
- 4. Four.
- E se transmite por la puerta D' por intermedio de una combinación cableada o inalámbrica a la autoridad A. E is transmitted through gate D 'through a wired or wireless combination to authority A.
- 5. 5.
- A verifica la autenticidad de E y, si la verificación es positiva, memoriza E. A verifies the authenticity of E and, if the verification is positive, memorize E.
Las zonas protegidas se pueden definir por paredes y puertas físicas, tales como puertas a través de las cuales puede entrar una persona o puertas de un contenedor, de una caja de seguridad, de un vehículo, etc. Las zonas protegidas se pueden definir también por puertas y paredes virtuales. Por ejemplo, una zona se puede proteger por un detector que pueda detectar una intrusión y posiblemente, hacer sonar una alarma o enviar otra señal si no se proporciona la autorización correspondiente. Dicho sistema de alarma es un ejemplo de una puerta virtual: en un aeropuerto, se suele penetrar en la zona de puertas a través de un pasillo de salida lo que disparará dicha alarma, aun cuando no se haya violado ninguna puerta o pared física. Otro ejemplo de una puerta virtual es una cabina de peaje: aun cuando muchas cabinas de peaje no contengan barras o puertas físicas, un vehículo dado puede estar autorizado, o no, para pasar a través de la cabina. Dicha autorización puede depender, por ejemplo, de la validez de una ficha de pago de peaje electrónica de un vehículo. Otro ejemplo es el de una zona de control de tráfico. Por ejemplo, para entrar en los suburbios de una ciudad dada, o en una carretera que conduce a una instalación nuclear, una barrera del ejército u otra área sensible, un vehículo deberá tener una autorización adecuada, para fines tales como facturación, seguridad o control de congestión del tráfico. Protected areas can be defined by physical walls and doors, such as doors through which a person or doors can enter a container, a safe, a vehicle, etc. Protected areas can also be defined by virtual doors and walls. For example, a zone can be protected by a detector that can detect an intrusion and possibly sound an alarm or send another signal if the corresponding authorization is not provided. Said alarm system is an example of a virtual door: in an airport, the door area is usually penetrated through an exit corridor which will trigger said alarm, even if no physical door or wall has been violated. Another example of a virtual door is a toll booth: even if many toll booths do not contain physical bars or gates, a given vehicle may or may not be authorized to pass through the cab. Such authorization may depend, for example, on the validity of an electronic toll payment form for a vehicle. Another example is that of a traffic control zone. For example, to enter the suburbs of a given city, or on a road leading to a nuclear installation, an army barrier or other sensitive area, a vehicle must have adequate authorization, for purposes such as billing, security or control. of traffic congestion.
Además, una protección puede no ser necesaria solamente para zonas, sino también para dispositivos, tales como motores de aeronaves o equipos militares. Por ejemplo, puede ser necesario para garantizar que solamente una persona autorizada pueda arrancar los motores de una aeronave o de un vehículo que transporta materias peligrosos. In addition, protection may not be necessary only for areas, but also for devices, such as aircraft engines or military equipment. For example, it may be necessary to ensure that only an authorized person can start the engines of an aircraft or a vehicle that carries hazardous materials.
Existen numerosas maneras de utilizar credenciales/pruebas para control del acceso. Conviene señalar que, en estos ámbitos, el término "día" debe entenderse como significando un periodo de tiempo general en una secuencia de periodos de tiempo y el término de "mañana" significa el comienzo de un periodo de tiempo. There are numerous ways to use credentials / tests for access control. It should be noted that, in these areas, the term "day" should be understood as meaning a general period of time in a sequence of time periods and the term "tomorrow" means the beginning of a period of time.
A través de toda esta solicitud de patente el término de "puertas" debe interpretarse como incluyendo todos los tipos de zonas de acceso (p.e., físicas y/o virtuales), dispositivos/sistemas de control de acceso y dispositivos/sistemas de supervisión. En particular, incluyen los mecanismos bajo llave utilizados para el arranque de motores y equipo de control (por lo que nuestra invención, en particular, se puede utilizar para garantizar que solamente usuarios con autorización actual puedan poner en marcha una aeronave, accionar una excavadora o de cualquier otro modo, acceder y controlar varios objetos peligrosos y/o de valor, así como dispositivos y elementos de maquinaría). De forma coherente con este convenio, nos referiremos a la "entrada" como siendo concedida para el acceso deseado (físico o virtual). Throughout this patent application the term "doors" should be construed as including all types of access areas (e.g., physical and / or virtual), access control devices / systems and monitoring devices / systems. In particular, they include the locked mechanisms used for starting engines and control equipment (so our invention, in particular, can be used to ensure that only users with current authorization can start an aircraft, operate an excavator or otherwise, access and control various dangerous and / or valuable items, as well as devices and machinery elements). Consistent with this agreement, we will refer to the "entry" as being granted for the desired access (physical or virtual).
De forma similar, para mayor concreción, pero sin pérdida de generalidad prevista, una tarjeta puede entenderse que significa cualquier dispositivo de acceso de un usuario. Ha de entenderse que la noción de una tarjeta es suficientemente general para incluir a los teléfonos móviles, PDAs y otros dispositivos inalámbricos y/o de tecnología avanzada y una tarjeta puede incluir o actuar en conjunción con otras medidas de seguridad, tales como números PINs, contraseñas y biométrica, aunque algunos de ellos puedan “residir” en el cerebro o cuerpo del titular y no en la propia tarjeta. Similarly, for greater specificity, but without loss of anticipated generality, a card can be understood as meaning any user access device. It is to be understood that the notion of a card is general enough to include mobile phones, PDAs and other wireless devices and / or advanced technology and a card may include or act in conjunction with other security measures, such as PIN numbers, passwords and biometrics, although some of them may "reside" in the brain or body of the holder and not on the card itself.
Además, la expresión "usuario" (que suele referirse como "él" o "ella"), en términos amplios, puede entenderse que abarca no solamente a los usuarios y personas, sino también a dispositivos, entidades (y conjuntos de usuarios, dispositivos y entidades) incluyendo, sin limitación, las tarjetas de usuarios. In addition, the expression "user" (usually referred to as "he" or "she"), in broad terms, can be understood to encompass not only users and people, but also devices, entities (and sets of users, devices and entities) including, without limitation, user cards.
El sistema aquí descrito se puede poner en práctica utilizando cualquier combinación adecuada de hardware y software incluyendo, sin limitación, el software memorizado en un soporte legible por ordenador al que se accede por uno o más procesadores. Además, las técnicas utilizadas para las operaciones de encriptación, autenticación, etc. se pueden combinar y utilizar de forma intercambiable, cuando sea conveniente. The system described herein can be implemented using any suitable combination of hardware and software including, without limitation, the software memorized on a computer-readable media that is accessed by one or more processors. In addition, the techniques used for encryption, authentication, etc. They can be combined and used interchangeably, when convenient.
Claims (25)
- 2. 2.
- Un método según la reivindicación 1, en donde las credenciales y las pruebas de identidad son una sola parte. A method according to claim 1, wherein the credentials and proof of identity are a single part.
- 3. 3.
- Un método según la reivindicación 1, en donde las credenciales y pruebas son partes distintas. A method according to claim 1, wherein the credentials and tests are distinct parts.
- 4. Four.
- Un método según la reivindicación 3, en donde existe una primera entidad de administración que genera las credenciales y otras entidades de administración que generan las pruebas de identidad. A method according to claim 3, wherein there is a first administration entity that generates the credentials and other administration entities that generate the identity proof.
- 5. 5.
- Un método según la reivindicación 4, en donde la primera entidad de administración genera también pruebas de identidad. A method according to claim 4, wherein the first administration entity also generates proof of identity.
- 6. 6.
- Un método según la reivindicación 4, en donde la primera entidad de administración no genera pruebas. A method according to claim 4, wherein the first administration entity does not generate evidence.
- 7. 7.
- Un método según la reivindicación 1, en donde las credenciales corresponden a un certificado digital. A method according to claim 1, wherein the credentials correspond to a digital certificate.
- 8. 8.
- Un método según la reivindicación 7, en donde el certificado digital incluye un identificador para el dispositivo electrónico. A method according to claim 7, wherein the digital certificate includes an identifier for the electronic device.
- 9. 9.
- Un método según la reivindicación 1, en donde las credenciales incluyen un identificador para un usuario que solicita acceso. A method according to claim 1, wherein the credentials include an identifier for a user requesting access.
- 10. 10.
- Un método según la reivindicación 1, en donde las credenciales/pruebas de identidad incluyen una firma digital. A method according to claim 1, wherein the identity credentials / proofs include a digital signature.
- 11. eleven.
- Un método según la reivindicación 1, en donde la barrera de acceso incluye paredes y una puerta. A method according to claim 1, wherein the access barrier includes walls and a door.
- 12. 12.
- Un método según la reivindicación 11, que comprende, además: A method according to claim 11, further comprising:
- 13. 13.
- Un método según la reivindicación 1 que comprende, además: proporcionar un lector acoplado al controlador, en donde el controlador recibe credenciales/pruebas desde el lector. A method according to claim 1 further comprising: provide a reader coupled to the controller, where the controller receives credentials / proofs from the reader.
- 14. 14.
- Un método según la reivindicación 13, en donde las credenciales/pruebas se proporcionan en una tarjeta inteligente presentada por un usuario. A method according to claim 13, wherein the credentials / proofs are provided on a smart card presented by a user.
- 15. fifteen.
- Un método según la reivindicación 1 que comprende, además: proporcionar una conexión externa al controlador. A method according to claim 1 further comprising: providing an external connection to the controller.
- 16. 16.
- Un método según la reivindicación 15, en donde la conexión externa es intermitente. A method according to claim 15, wherein the external connection is intermittent.
- 17. 17.
- Un método según la reivindicación 15, en donde el controlador recibe al menos una parte de las credenciales/pruebas de identidad utilizando la conexión externa. A method according to claim 15, wherein the controller receives at least a portion of the identity credentials / proofs using the external connection.
- 18. 18.
- Un método según la reivindicación 17, en donde el controlador recibe la totalidad de las credenciales/pruebas de identidad utilizando la conexión externa. A method according to claim 17, wherein the controller receives all identity credentials / proofs using the external connection.
- 19. 19.
- Un método, según la reivindicación 17, que comprende, además: A method according to claim 17, further comprising:
- 20. twenty.
- Un método, según la reivindicación 19, en donde las credenciales/pruebas de identidad se proporcionan en una tarjeta inteligente presentada por un usuario. A method according to claim 19, wherein the identity credentials / proofs are provided on a smart card presented by a user.
- 21. twenty-one.
- Un método, según la reivindicación 1, en donde las credenciales/pruebas de identidad incluyen una contraseña introducida por un usuario. A method according to claim 1, wherein the identity credentials / proofs include a password entered by a user.
- 22. 22
- Un método según la reivindicación 1, en donde las credenciales/pruebas de identidad incluyen información biométrica del usuario. A method according to claim 1, wherein the identity credentials / proofs include user biometric information.
- 23. 2. 3.
- Un método, según la reivindicación 1, en donde las credenciales/pruebas de identidad incluyen una firma manuscrita. A method according to claim 1, wherein the identity credentials / proofs include a handwritten signature.
- 24. 24.
- Un método según la reivindicación 1, en donde las credenciales/pruebas de identidad incluyen un valor secreto proporcionado en una tarjeta mantenida por un usuario. A method according to claim 1, wherein the identity credentials / proofs include a secret value provided on a card held by a user.
- 25. 25.
- Un método según la reivindicación 1, en donde las credenciales/pruebas de identidad caducan en un instante predeterminado. A method according to claim 1, wherein the identity credentials / proofs expire at a predetermined instant.
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US48864503P | 2003-07-18 | 2003-07-18 | |
US488645P | 2003-07-18 | ||
US505640P | 2003-09-24 |
Publications (1)
Publication Number | Publication Date |
---|---|
ES2367435T3 true ES2367435T3 (en) | 2011-11-03 |
Family
ID=38731771
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
ES04778354T Expired - Lifetime ES2367435T3 (en) | 2003-07-18 | 2004-07-16 | ACCESS CONTROL TO A ZONE. |
Country Status (2)
Country | Link |
---|---|
CN (4) | CN101088247B (en) |
ES (1) | ES2367435T3 (en) |
Families Citing this family (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
IT1393199B1 (en) * | 2009-02-25 | 2012-04-11 | Asselle | CONTROL SYSTEM FOR THE MANAGEMENT OF ACCESSES TO RESERVED AREAS |
US9083698B2 (en) * | 2010-11-09 | 2015-07-14 | Zablox AB | Method and system for remote operation of an installation |
JP5771772B2 (en) * | 2010-12-10 | 2015-09-02 | パナソニックIpマネジメント株式会社 | Door opening / closing control system and door opening / closing control device |
CN103548060B (en) * | 2011-02-28 | 2016-06-22 | 跃动有限公司 | For the system and method that the access of electronic lock is controlled |
CN103426215B (en) * | 2012-05-21 | 2015-12-16 | 上海宽带技术及应用工程研究中心 | For door lock management-control method and the system of unexpected relief |
CN103778689B (en) * | 2012-10-17 | 2016-03-09 | 刘全 | A kind of gateway towards personal user overall situation control method and system |
CN103778690B (en) * | 2012-10-17 | 2018-08-21 | 刘全 | A kind of the entrance overall situation control method and system of Cargo Oriented on Group user |
US20160315927A1 (en) * | 2015-04-21 | 2016-10-27 | Zte (Usa) Inc. | Method and system for establishing and managing personal black box (pbb) in virtually-networked big-data (vnbd) environment |
CN105554035B (en) * | 2016-02-06 | 2019-08-30 | 安钥(北京)科技股份有限公司 | A kind of electronic lock system and its control method |
WO2018104383A1 (en) * | 2016-12-06 | 2018-06-14 | Assa Abloy Ab | Providing access to a lock for a service provider |
JP7398463B2 (en) * | 2018-12-31 | 2023-12-14 | レリダネットワークス セルヴェイス テレマティクス エセ.アー. | Universal certification and certification contract method |
EP3716224B1 (en) * | 2019-03-27 | 2023-10-25 | Carrier Corporation | System and method for providing secure access |
CN114519559A (en) * | 2021-12-31 | 2022-05-20 | 山东日照发电有限公司 | Electronic document signing management system and method |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
FR2722596A1 (en) * | 1994-07-13 | 1996-01-19 | France Telecom | SYSTEM FOR CONTROLLING ACCESS LIMITED TO AUTHORIZED AND RENEWABLE TIME PLACES USING A PORTABLE MEMORY MEDIUM |
DE4432324A1 (en) * | 1994-09-13 | 1996-03-14 | Vwb Elektronik Techn Gmbh | Device for a device for wireless information retrieval and method for producing the device |
US5742035A (en) * | 1996-04-19 | 1998-04-21 | Kohut; Michael L. | Memory aiding device for credit card pin numbers |
US5887131A (en) * | 1996-12-31 | 1999-03-23 | Compaq Computer Corporation | Method for controlling access to a computer system by utilizing an external device containing a hash value representation of a user password |
US6038666A (en) * | 1997-12-22 | 2000-03-14 | Trw Inc. | Remote identity verification technique using a personal identification device |
WO2002008551A1 (en) * | 2000-07-20 | 2002-01-31 | Codesmart Access Systems Pty Ltd | Access method and system |
CN2504689Y (en) * | 2001-02-28 | 2002-08-07 | 北京永毅行科技发展有限公司 | Intelligent entrance guard, attendance machine |
CN1148683C (en) * | 2002-04-30 | 2004-05-05 | 北京信源咨讯信息技术有限公司 | Entrance guard method and system using blue tooth technique in wireless authentication and data transmitting/receiving |
-
2004
- 2004-07-16 CN CN2004800207923A patent/CN101088247B/en not_active Expired - Fee Related
- 2004-07-16 CN CN2004800220010A patent/CN101036339B/en not_active Expired - Fee Related
- 2004-07-16 CN CN2004800220006A patent/CN101065789B/en not_active Expired - Fee Related
- 2004-07-16 ES ES04778354T patent/ES2367435T3/en not_active Expired - Lifetime
- 2004-07-16 CN CN2004800220044A patent/CN101268649B/en not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
CN101268649A (en) | 2008-09-17 |
CN101268649B (en) | 2012-07-04 |
CN101065789A (en) | 2007-10-31 |
CN101088247A (en) | 2007-12-12 |
CN101065789B (en) | 2010-05-26 |
CN101036339B (en) | 2012-05-16 |
CN101036339A (en) | 2007-09-12 |
CN101088247B (en) | 2012-05-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7600129B2 (en) | Controlling access using additional data | |
CA2531518C (en) | Controlling access to an area | |
US7822989B2 (en) | Controlling access to an area | |
US9158288B2 (en) | Logging access attempts to an area | |
US8015597B2 (en) | Disseminating additional data used for controlling access | |
US7716486B2 (en) | Controlling group access to doors | |
US9449443B2 (en) | Logging access attempts to an area | |
US7624280B2 (en) | Wireless lock system | |
CN101202762B (en) | Methods and system for storing and retrieving identity mapping information | |
ES2367435T3 (en) | ACCESS CONTROL TO A ZONE. | |
US20220014388A1 (en) | Virtual security guard | |
JPH11265349A (en) | Computer system and secret protection method, transmitting/receiving log management method, mutual checking method, and a disclosed key generation management method to be applied to its system | |
AU2006200187B2 (en) | Controlling access to an area | |
ES2967278T3 (en) | Method and device for providing a digital user secret assigned to a protected data object | |
ES2668450A1 (en) | Security system by electronic documentation for access to resources, places and devices. (Machine-translation by Google Translate, not legally binding) |