Система доступа к информации

Авторы патента:

G11C8/20 - схемы безопасности или защиты адреса, т.е. устройства для предотвращения несанкционированного или случайного доступа

G06F12/14 - защита от обращений к памяти посторонних пользователей

B61L27/04 - автоматические, например управляемые поездом; с переключением на ручное управление

Изобретение относится к железнодорожной автоматике и используется в управлении транспортными средствами. Технический результат - повышение эффективности системы защиты информации, хранящейся в ЭВМ. За счет введения новых блоков, а также новых связей между функциональными узлами обеспечивается возможность введения многоуровневой проверки санкционированного доступа к информации, регистрация обращения пользователей к тем или иным зонам памяти, многоуровневый доступ к информации в зависимости от кода пароля пользователей, обеспечивается возможность стирания информации в оперативном запоминающем устройстве после завершения работы пользователя с информацией с тем, чтобы последующий пользователь не смог бы воспользоваться информацией в оперативном запоминающем устройстве, оставшейся от работы предыдущего пользователя, имеющего более высокий уровень доступа к информации. Обеспечивается возможность самотестирования устройства съема информации с электронного ключа. 2 з.п.ф-лы, 1 ил.

Изобретение относится к железнодорожной автоматике и используется в управлении транспортными средствами, в частности в работе поездных диспетчеров.

В управлении железнодорожным транспортом при работе поездных диспетчеров широко используются программно-технические и информационно-вычислительные ресурсы (ЭВМ), которые требуют организацию санкционированного доступа к ним человека. С этим напрямую связана надежность управления транспортными средствами.

Известно значительное количество способов и устройств по защите информации в вычислительных системах различного назначения (в том числе относящихся и к управлению транспортными средствами), которые основаны на ограничении доступа к информации различного уровня конфиденциальности, использование паролей при входе в систему, блокировки отдельных блоков памяти, применение средств криптографической защиты, подавления побочного электромагнитного излучения вычислительных устройств и каналов передачи информации (авторские свидетельства SU 557414, 1513458, патенты FR 2673477, 2690258, 2702857, заявки DE 4315732, 4103173, патенты US 5136712, 5339427). Все эти известные способы и устройства не обеспечивают достаточно эффективную защиту вычислительного комплекса от несанкционированного доступа.

Наиболее близким по технической сущности является система доступа к информации, описанная в заявке ЕР 0449256, содержащая микроконтроллер, включающий в себя первый блок памяти, в котором в инверсном порядке хранятся зашифрованные программные данные, второй блок памяти, в котором хранится ключ к шифру, необходимый для декодирования пароля, хранящегося в первой памяти, центральный процессор, управляющий записью или считыванием данных из первого или второго блоков памяти, и блок, который на основе ключа, хранящегося во втором блоке памяти, дескремблирует шифр программных данных, хранящихся в первом блоке памяти, когда процессор осуществляет доступ к памяти на основе продекодирования данных. В этом известном устройстве не фиксируются попытки несанкционированного доступа потенциального нарушителя к ресурсам вычислительной системы и не формируются дополнительные действия, препятствующие этим попыткам, что, кроме всего прочего, делает недостаточно эффективной защиту вычислительного комплекса от несанкционированной доступа.

В основу изобретения положена задача создать систему доступа к информации, хранящейся в ЭВМ, в которой за счет введения новых блоков, а также новых связей между функциональными узлами достигалась бы возможность введения многоуровневой проверки санкционированного доступа к информации, регистрацию обращения пользователей к тем или иным зонам памяти, многоуровневого доступа к информации в зависимости от кода пароля пользователей, обеспечение стирания информации в оперативном запоминающем устройстве после завершения работы субъекта с информацией с тем, чтобы последующий субъект не смог воспользоваться информацией в оперативном запоминающем устройстве, оставшейся от работы предыдущего субъекта, имеющего более высокий уровень доступа к информации, обеспечение возможности самотестирования устройства съема информации с электронного ключа.

Техническим результатом, на получение которого направлено изобретение, является повышение эффективности системы защиты информации, хранящейся в памяти ЭВМ.

Этот технический результат достигается за счет того, что система доступа к информации включает электронный ключ, устройство съема информации с электронного ключа, связанное двухсторонней связью с устройством хранения и обработки информации, при этом устройство съема информации с электронного ключа включает модуль опроса и приема информации с электронного ключа, связанный двухсторонней связью с центральным процессором устройства съема информации с электронного ключа, имитатор электронного ключа, причем один вход имитатора электронного ключа соединен с выходом центрального процессора, а другой его вход-выход - с модулем опроса и приема информации с электронного ключа (наличие связи, обозначенной как вход-выход, показывает двухстороннюю связь между блоками). Устройство хранения и обработки информации включает запоминающее устройство, системный операционный блок, блок ввода исходных данных, устройство ввода и вывода информации, блок ввода паролей и идентификации пользователей, блок контроля разрешения уровня доступа, блок регистрации доступа пользователей к информации, оперативное запоминающее устройство, блок очистки оперативного запоминающего устройства, при этом запоминающее устройство содержит N зон памяти, соответствующих N уровням доступа к памяти, выход блока ввода паролей и идентификации пользователей связан с первым входом блока контроля разрешения уровня доступа, первый выход которого связан с каждой из N зон памяти запоминающего устройства, а второй выход - с блоком регистрации доступа пользователей к информации, выход каждой из N зон памяти запоминающего устройства связан с первым входом оперативного запоминающего устройства, второй вход-выход которого связан двухсторонней связью со вторым входом-выходом системного операционного блока, третий выход которого связан со входом блока очистки оперативного запоминающего устройства, выход которого связан с третьим входом оперативного запоминающего устройства, четвертый выход системного операционного блока связан с первым входом блока ввода паролей и идентификации пользователей и со вторым входом блока контроля разрешения уровня доступа, кроме того, системный операционный блок связан шиной с блоком ввода исходных данных, устройством ввода и вывода информации и блоком регистрации доступа пользователей к информации, а оперативное запоминающее устройство связано двухсторонней связью с устройством ввода и вывода информации, которое другой двухсторонней связью связано с блоком ввода исходных данных, выход которого связан со входом блока контроля разрешения уровня доступа, при этом устройство съема информации с электронного ключа через контроллер порта связано двухсторонней связью с блоком ввода паролей и идентификации пользователей. Предпочтительно, чтобы модуль опроса и приема информации с электронного ключа был выполнен с возможностью генерирования зондирующего сигнала и приема зондирующего сигнала, модулированного электронным ключом. Под системным операционным блоком устройства хранения и обработки информации понимается процессор. В устройство хранения и обработки информации введен блок тестирования, связанный с системным операционным блоком, блоком контроля разрешения уровня доступа и с блоком регистрации доступа пользователей к информации.

Схема системы доступа к информации изображена на чертеже.

Система состоит из электронного ключа 1, устройства 2 съема информации с электронного ключа 1, устройства 3 хранения и обработки информации и устройства 4 ввода и вывода информации. Устройство 2 съема информации с электронного ключа 1 включает в себя центральный процессор 5, модуль 6 опроса и приема информации с электронного ключа 1, имитатор 7 электронного ключа 1 и контроллер порта 8.

Устройство 3 хранения и обработки информации включает в себя запоминающее устройство 9 с N уровнями доступа к ней, блок 10 контроля разрешенного уровня доступа, блок 11 регистрации доступа пользователей к информации, блок 12 ввода исходных данных, блок 13 ввода паролей и идентификации пользователей, оперативное запоминающее устройство 14, блок 15 очистки оперативного запоминающего устройства, системный операционный блок 16. Система снабжена устройством 17 ввода и вывода информации, представляющего собой, например, клавиатуру и монитор, и/или принтер. В устройство хранения и обработки информации 3 может быть введен блок тестирования 18, связанный с системным операционным блоком 16, блоком 10 контроля разрешения уровня доступа и с блоком 11 регистрации доступа пользователей к информации.

Эксплуатация системы осуществляется следующим образом.

К устройству хранения и обработки информации 3 (ЭВМ) подсоединяется устройство 2 съема информации с электронного ключа 1. Осуществляется проверка готовности системы к работе. После подтверждения готовности системы к работе пользователь, желающий получить доступ к информации, хранящейся в запоминающем устройстве 9, размещает электронный ключ 1 над рабочей зоной устройства 2 считывания электронного ключа 1, не касаясь ее.

Электронный ключ 1 содержит информацию (пароль), записанную в памяти ключа. Например, электронный ключ может содержать в памяти 64 разрядный код. Электронный ключ 1 может не содержать источника питания. В этом случае при приближении электронного ключа 1 к устройству 2 считывания информации модуль 6 облучает электронный ключ 1 зондирующим сигналом, одновременно обеспечивая питание электронного ключа 1. Электронный ключ 1 модулирует зондирующий сигнал в соответствии с кодом, хранящимся в памяти электронного ключа 1. Модуль 6 опроса и приема информации с электронного ключа 1 принимает модулированный сигнал, дешифрует его и проверяет на достоверность. При правильном приеме кода электронного ключа 1 устройство 2 съема информации запрашивает у устройства 3 хранения и обработки информации готовность принять код пароля электронного ключа 1. Конструктивно электронный ключ может быть выполнен в виде металлического неразборного брелока, на внешней поверхности которого нанесен индивидуальный номер этого брелка.

Режимами работы устройства считывания информации управляет центральный процессор 5. Для осуществления самотестирования устройства считывания информации в его составе имеется имитатор 7 электронного ключа 1, с помощью которого может быть проверена работоспособность всех узлов устройства считывания информации с электронного ключа.

Блок 13 ввода паролей и идентификации пользователей обеспечивает прием кода пароля от устройства считывания информации и определяет, разрешено ли пользователю с данным кодом пароля работать с информацией.

Информация, к которой обеспечивается доступ, хранится в запоминающем устройстве 9 в определенных зонах памяти от 1 до N, причем имеется N уровней доступа к ней в зависимости от кода пароля. Каждому паролю соответствует строго определенный разрешенный уровень доступа к информации.

Для обеспечения строго определенного доступа в блоке 10 контроля разрешенного уровня доступа хранится таблица кодов паролей, необходимых данных по пользователю (фамилия, имя, отчество, должность, индивидуальный пароль), которому присвоен данный код пароля, и разрешенных уровней доступа к информации в запоминающем устройстве 9. Сведения об индивидуальном пароле каждого отдельного пользователя известны только самому пользователю. В качестве этого индивидуального пароля может использоваться какая-либо фраза, слово, словосочетание, цифровой код и т. д. Использование индивидуальных паролей пользователей, данные о которых отсутствуют в какой-либо документации, обеспечивают дополнительную защиту информации. Массив данных, хранящихся в блоке 10 контроля разрешенного доступа, формируется блоком 12 ввода исходных данных. При этом используется иерархический доступ физических лиц (пользователей) при включении системы для ее эксплуатации. Так, например, пока не введут свои данные, пароли кто-либо из представителей администрации (главный инженер, заместитель директора и т.д.) и мастер, доступ для иных пользователей (диспетчеров) к информации, находящейся в запоминающем устройстве, будет закрыт.

Блок 11 регистрации доступа пользователей к информации регистрирует данные по пользователям, которые обращались к тем или иным зонам памяти, дату и время обращения, характер обращения, данные по пользователям, которые пытались получить доступ к информации, доступ к которой для них запрещен.

Обращение к информации, хранящейся в запоминающем устройстве 9, осуществляется с помощью устройства 4 ввода и вывода информации, представляющего собой, например, клавиатуру и монитор и/или принтер. Если доступ к информации разрешен, пользователь работает с информацией.

Промежуточное хранение информации и работу с ней обеспечивает оперативное запоминающее устройство 14.

Блок 15 очистки оперативного запоминающего устройства обеспечивает стирание информации в оперативном запоминающем устройстве после завершения работы очередного пользователя с информацией, чтобы следующий пользователь не смог воспользоваться информацией в оперативном запоминающем устройстве, оставшейся после работы предыдущего пользователя, имеющего более высокий уровень доступа к информации.

Системный операционный блок 16 управляет работой всего устройства хранения и обработки информации 3.

Блок тестирования, введенный в устройство хранения и обработки информации и связанный с системным операционным блоком, блоком контроля разрешения уровня доступа и с блоком регистрации доступа пользователей к информации, предназначен для тестирования при каждом включении программного обеспечения информации, хранящейся в этих блоках, повышая тем самым степень надежности системы.

Таким образом, система доступа к информации, хранящейся в ЭВМ, описанная предлагаемой оригинальной совокупностью блоков, а также связей между ними и функциональными узлами, обеспечивает высокую надежность работы, гарантируемую прежде всего высокой степенью защиты от несанкционированного доступа и несанкционированных действий пользователей системой на протяжении всего сеанса их взаимодействия.

Формула изобретения

1. Система доступа к информации, включающая электронный ключ, устройство съема информации с электронного ключа, связанное двухсторонней связью с устройством хранения и обработки информации, устройство съема информации с электронного ключа включает модуль опроса и приема информации с электронного ключа, связанный двухсторонней связью с центральным процессором устройства съема информации с электронного ключа, имитатор электронного ключа, причем один вход имитатора электронного ключа соединен с выходом центрального процессора устройства съема информации с электронного ключа, а другой его вход-выход - с модулем опроса и приема информации с электронного ключа, устройство хранения и обработки информации включает запоминающее устройство, системный операционный блок, блок ввода исходных данных, устройство ввода и вывода информации, блок ввода паролей и идентификации пользователей, блок контроля разрешения уровня доступа, блок регистрации доступа пользователей к информации, оперативное запоминающее устройство, блок очистки оперативного запоминающего устройства, при этом запоминающее устройство содержит N зон памяти, соответствующих N уровням доступа к памяти, выход блока ввода паролей и идентификации пользователей связан с первым входом блока контроля разрешения уровня доступа, первый выход которого связан с каждой из N зон памяти запоминающего устройства, а второй выход - с блоком регистрации доступа пользователей к информации, выход каждой из N зон памяти запоминающего устройства связан с первым входом оперативного запоминающего устройства, второй вход-выход которого связан двухсторонней связью со вторым входом-выходом системного операционного блока, третий выход которого связан со входом блока очистки оперативного запоминающего устройства, выход которого связан с третьим входом оперативного запоминающего устройства, четвертый выход системного операционного блока связан с первым входом блока ввода паролей и идентификации пользователей и со вторым входом блока контроля разрешения уровня доступа, кроме того, системный операционный блок связан с блоком ввода исходных данных, устройством ввода и вывода информации и блоком регистрации доступа пользователей к информации, а оперативное запоминающее устройство связано двухсторонней связью с устройством ввода и вывода информации, которое другой двухсторонней связью связано с блоком ввода исходных данных, выход которого связан со входом блока контроля разрешения уровня доступа, при этом устройство съема информации с электронного ключа через контроллер порта связано двухсторонней связью с блоком ввода паролей и идентификации пользователей.

2. Система по п.1, отличающаяся тем, что модуль опроса и приема информации с электронного ключа выполнен с возможностью генерирования зондирующего сигнала и приема зондирующего сигнала, модулированного электронным ключом.

3. Система по любому из пп.1 - 3, отличающееся тем, что в устройство хранения и обработки информации введен блок тестирования, связанный двухсторонней связью с системным операционным блоком, блоком контроля разрешения уровня доступа и с блоком регистрации доступа пользователей к информации.

РИСУНКИ

Рисунок 1

Изобретение относится к вычислительной технике, а именно к информационным вычислительным системам и сетям, и может быть использовано для защиты информационных ресурсов в рабочих станциях, информационных и функциональных (например, выделенный сервер безопасности, Proxy-сервер, межсетевой экран и т

Распределенная система защиты вычислительных систем и сетей // 2169942

Изобретение относится к вычислительной технике, а именно к информационным вычислительным системам и сетям, и может быть использовано для реализации принципов распределенной защиты ресурсов вычислительных систем и сетей

Система защиты рабочих станций и информационных серверов вычислительных систем и сетей // 2169941

Способ защиты информационных ресурсов локальной вычислительной сети, соединенной с глобальной информационной сетью, от несанкционированного доступа пользователей глобальной информационной сети в локальную вычислительную сеть при обмене сигналами сообщений электронной почты и устройство для его осуществления // 2168757

Изобретение относится к вычислительной технике и может быть использовано в системе передачи информации в режиме "электронной почты"

Устройство обмена данными управляющего вычислительного комплекса автоматизированной системы управления реального времени с другими вычислительными средствами // 2168756

Система защиты рабочих станций, информационных и функциональных серверов вычислительных систем и сетей с динамическими списками санкционированных событий // 2166792

Механизм дистанционного контроля доступа // 2164038

Изобретение относится к распределенным информационно-управляющим системам (РИУС), преимущественно к РИУС с топологией "звезда", оперирующим информацией конфиденциального характера

Система защиты виртуального канала корпоративной сети с мандатным принципом управления доступом к ресурсам, построенной на каналах связи и средствах коммутации сети связи общего пользования // 2163727

Изобретение относится к вычислительной технике, а именно к информационным вычислительным системам, реализуемым на компьютерных сетях, и может быть использовано для защиты информационных ресурсов в корпоративных сетях

Способ работы компьютерной системы // 2163726

Изобретение относится к способу доступа к файлам на уровне операционной системы

Механизм проверки своевременности доставки сообщений в информационно-управляющих системах реального времени // 2160924

Изобретение относится к распределенным информационно-управляющим системам, преимущественно к системам, функционирующим в реальном масштабе времени, и может быть использовано в системах различного назначения, оперирующих информацией конфиденциального характера

Релейно-компьютерная централизация // 2173278

Изобретение относится к железнодорожной автоматике

Способ диспетчерского управления на железнодорожном транспорте // 2158691

Изобретение относится к железнодорожному транспорту и может быть использовано в автоматизированных цифровых системах диспетчерского управления железнодорожным транспортом

Приемное устройство для дистанционного управления цифровым указателем горочного светофора // 2146205

Изобретение относится к железнодорожной автоматике, в частности к устройствам диспетчерской централизации на сортировочных горках

Устройство идентификации местоположения для системы управления персональной скоростной перевозки // 2137643

Устройство для отображения информации в системах железнодорожной автоматики // 2094279

Приемное устройство для дистанционного управления цифровым указателем горочного светофора // 2088455

Изобретение относится к устройствам диспетчерской централизации железнодорожного транспорта с циклическим контролем

Устройство предупредительной сигнализации для поездного диспетчера // 2025363

Устройство для передачи и отображения информации о поездной обстановке // 2011587

Изобретение относится к автоматизированным системам управления железнодорожным транспортом

Способ передачи и отображения информации о поездной обстановке // 2007320

Устройство для управления приводно-тормозной системой рельсового транспортного средства // 1816271

Устройство для передачи информации при маневровой работе на железнодорожной станции // 2179518

Изобретение относится к железнодорожной автоматике и телемеханике, а именно к устройствам для передачи информации между абонентами локальной маневровой радиосети: машинистами локомотивов, составителями поездов, дежурными по станции и блок-постам при маневровых передвижениях на станциях