Дискретное устройство идентификации человека-оператора

Изобретение относится к вычислительной технике, в частности к устройствам идентификации (установления) личности с использованием электронных средств, и может быть использовано для организации санкционированного доступа человека к программно-техническим и информационным устройствам и ресурсам информационно-вычислительной системы.

Известно [1] устройство для ограничения несанкционированного доступа, содержащее блок памяти паролей, схему сравнения, первый и второй триггеры, наборное устройство, первый, второй, третий и четвертый элементы ИЛИ, первый, второй и третий регистры, группу элементов ИЛИ, первую, вторую, третью и четвертую группу элементов И, нелинейный функциональный преобразователь, первый и второй элементы задержки, счетчик, генератор тактовых импульсов, элемент И, дифференцирующую цепочку, диод, вход установки устройства в исходное состояние, шину выхода устройства и шину выхода ошибки, обеспечивающее ограничение несанкционированного доступа к ресурсам вычислительной системы путем сравнения вводимого пароля с хранящимися в устройстве эталонными паролями. Ограничение несанкционированного доступа к эталонным паролям обеспечивается тем, что эталонные пароли подвергаются многократным необратимым преобразованиям в нелинейном функциональном преобразователе и в устройстве хранятся в преобразованном виде. При функционировании устройства вводимый оператором пароль преобразуется аналогичным способом и сравнивается с хранимым эталонным паролем. Надежность ограничения несанкционированного доступа в устройстве зависит от вида и параметров используемых для необратимых преобразований нелинейных функциональных преобразователей [3].

Недостатком данного устройства является его низкая надежность в ограничении доступа, обусловленная наличием аналоговых элементов и сложных дискретных элементов, имеющих меньшую надежность.

Наиболее близким по технической сущности и достигаемому положительному эффекту является цифровое устройство идентификации человека-оператора, содержащее блок памяти паролей, схему сравнения, первый и второй триггеры, выход, соединяющий наборное устройство с защищаемой системой, выход сигнала «ошибка», первую и вторую группы элементов И, наборное устройство, группу элементов ИЛИ, регистр, нелинейный функциональный преобразователь, вычитающий и суммирующий счетчики, первый и второй элементы И, первый элемент ИЛИ (с инверсным выходом) и второй элемент ИЛИ, вход, на котором появляется импульс при включении электропитания, дешифратор, генератор тактовых импульсов [2].

В данном устройстве отсутствуют аналоговые элементы, уменьшено общее количество элементов, в том числе и сложных дискретных элементов - регистров, и электрических связей между ними, что повышает надежность его функционирования.

Недостатком данного устройства является отсутствие возможности исправить случайную ошибку при вводе пароля человеком-оператором: для этого требуется перезагрузка системы с повторным включением электропитания.

Целью изобретения является создание дискретного устройства, позволяющего не перезагружать систему с повторным включением электропитания и расширить функциональные возможности устройства идентификации человека - оператора за счет предоставления возможности человеку - оператору исправлять фиксированное допустимое (заданное администратором безопасности) количество случайных ошибок при вводе пароля, контролировать наличие ошибок и превышение их допустимого количества, исключать доступ человека - оператора с наборного устройства к защищаемым ресурсам информационной системы в случае превышения им допустимого количества вводов неправильных паролей.

Требуемый технический результат достигается тем, что в устройство, содержащее блок памяти паролей, схему сравнения, первый триггер, выход сигнала «ошибка», первую группу элементов И, выход, соединяющий наборное устройство с защищаемой системой, наборное устройство, группу элементов ИЛИ, регистр, нелинейный функциональный преобразователь, первый (вычитающий) счетчик, вторую группу элементов И, первый элемент И, первый элемент ИЛИ (с инверсным выходом), второй триггер, вход, на котором появляется импульс при включении электропитания, второй элемент ИЛИ, второй элемент И, второй (суммирующий) счетчик, дешифратор, генератор тактовых импульсов (ГТИ), второй элемент И, второй (суммирующий) счетчик и дешифратор, дополнительно введены второй регистр (сдвига), выход сигнала «блокировка» и третий элемент ИЛИ, при этом на второй вход второго элемента И поступает последовательность тактовых импульсов ГТИ, которые, кроме того, поступают на вход С второго триггера, выходной сигнал которого поступает на первый вход второго элемента И, выход которого соединен с управляющим входом нелинейного функционального преобразователя и с S входом второго счетчика, выход которого соединен параллельной шиной с дешифратором, имеющим К+1 выход, где К - количество преобразований набранной последовательности пароля, К+1 выход которого соединен со вторым входом третьего элемента ИЛИ, единичным входом первого (вычитающего) счетчика и управляющим входом второй группы элементов И; выход третьего элемента ИЛИ соединен с R входом второго (суммирующего) счетчика; первый выход дешифратора соединен с входом С регистра, со вторым входом первого элемента И, первый вход которого соединен с инверсным выходом первого элемента ИЛИ, вход которого соединен параллельной шиной с выходом первого счетчика (вычитающего); выход первого элемента И соединен с первым входом второго элемента ИЛИ и с управляющим входом схемы сравнения, к которой, кроме того, параллельными шинами соединены выход блока памяти паролей и выход регистра, который, кроме того, соединен с параллельным входом нелинейного функционального преобразователя; первый выход схемы сравнения, сигнализирующий о положительном результате сравнения, соединен с S входом первого триггера, на R вход которого поступает импульс включения электропитания, который также поступает на R вход регистра и на второй вход второго элемента ИЛИ, выход которого соединен с R входом второго триггера; второй выход схемы сравнения, сигнализирующий об отрицательном результате сравнения, поступает на выход устройства для оповещения оператора о вводе неправильного пароля, на первый вход третьего элемента ИЛИ и на вход второго регистра (сдвига), n-й выход (n - заданное допустимое количество неправильных попыток ввода пароля - «ошибок») которого соединен с входом наборного устройства, блокирующем его работу, а также с выходом устройства для оповещения оператора о произведенных n неправильных попытках ввода пароля; выход первого триггера соединен с управляющим входом первой группы элементов И, выход которой соединен параллельной шиной с входом защищаемой вычислительной системы; первый выход наборного устройства соединен параллельной шиной с входом первой группы элементов И, параллельным входом первого счетчика и с первым входом группы элементов ИЛИ, второй вход которой соединен с выходом второй группы элементов И, параллельный вход которой соединен с выходом нелинейного функционального преобразователя; выход группы элементов ИЛИ соединен параллельной шиной с входом регистра; второй выход наборного устройства соединен с S входом второго триггера.

Сопоставленный анализ с прототипом показывает, что заявляемое устройство отличается наличием новых элементов - второго регистра (сдвига), третьего элемента ИЛИ, выхода сигнала «блокировка», что соответствует критерию «новизна» технического решения. Реализация новых элементов известна из научно-технической литературы [4], что соответствует критерию «промышленная применимость».

В патентной и научной литературе не найдены устройства с описанной совокупностью новых признаков, что позволяет сделать вывод о соответствии технического решения критерию «изобретательский уровень».

При использовании предлагаемого изобретения достигается технический результат, состоящий в увеличении функциональных возможностей устройства за счет предоставления оператору, вводящему пароль, возможности ввести пароль ошибочно до n раз, продолжая ввод пароля; контроля администратором безопасности за количеством вводов неправильных паролей и блокировки наборного устройства в случае превышения допустимого количества вводов неправильных паролей или допуска к ресурсам защищаемой информационной системы в случае ввода правильного пароля. Количество n допустимых попыток введения неправильных паролей регулируется администратором безопасности до начала функционирования устройства.

Сущность изобретения поясняется чертежами. Цифровое устройство идентификации человека-оператора содержит блок памяти паролей 1, схему сравнения 2, первый триггер 3, выход сигнала «ошибка» 4, второй регистр (сдвига) 5, выход сигнала «блокировка» 6; первую группу элементов И 8, выход, соединяющий наборное устройство с защищаемой системой 9, наборное устройство 7, группу элементов ИЛИ 10, регистр 11, нелинейный функциональный преобразователь 12, первый (вычитающий) счетчик 13, вторую группу элементов И 14, первый элемент И 15, первый элемент ИЛИ (с инверсным выходом) 16, второй триггер 19, вход, на котором появляется импульс при включении электропитания 17, второй элемент ИЛИ 18, второй элемент И 20, второй (суммирующий) счетчик 21, дешифратор 22, генератор тактовых импульсов 23, третий элемент ИЛИ 24 [1, 2, 3, 4].

При этом выход генератора тактовых импульсов 23 соединен с вторым входом второго элемента И 20, а также со входом С второго триггера 19, выход которого соединен с первым входом второго элемента И 20, выход которого соединен с управляющим входом нелинейного функционального преобразователя 12 и с S входом второго счетчика 21, выход которого соединен параллельной шиной с дешифратором 22, имеющим К+1 выход, где К - количество преобразований набранной последовательности пароля, К+1 выход которого соединен со вторым входом третьего элемента ИЛИ 24, единичным входом первого (вычитающего) счетчика 13 и управляющим входом второй группы элементов И 14; выход третьего элемента ИЛИ 24 соединен с R входом второго (суммирующего) счетчика 21; первый выход дешифратора 22 соединен с входом С регистра 11, со вторым входом первого элемента И 15, первый вход которого соединен с инверсным выходом первого элемента ИЛИ 16, вход которого соединен параллельной шиной с выходом первого счетчика (вычитающего) 13; выход первого элемента И 15 соединен с первым входом второго элемента ИЛИ 18 и с управляющим входом схемы сравнения 2, с которой, кроме того, параллельными шинами соединены выход блока памяти паролей 1 и выход регистра 11, который, кроме того, соединен с параллельным входом нелинейного функционального преобразователя 12; первый выход схемы сравнения 2, сигнализирующий о положительном результате сравнения, соединен с S входом первого триггера 3, на R вход которого поступает импульс включения электропитания 17, который также поступает на R вход регистра 11 и на второй вход второго элемента ИЛИ 18, выход которого соединен с R входом второго триггера 19; второй выход схемы сравнения 2, сигнализирующий об отрицательном результате сравнения, поступает на выход устройства для оповещения оператора о вводе неправильного пароля 4, на первый вход третьего элемента ИЛИ 24 и на вход второго регистра (сдвига) 5, n-й выход (n - заданное допустимое количество неправильных попыток ввода пароля - «ошибок») которого соединен с входом наборного устройства 7, блокирующим его работу, а также с выходом устройства для оповещения оператора о произведенных n неправильных попытках ввода пароля 6; выход первого триггера 3 соединен с управляющим входом первой группы элементов И 8, выход которой соединен параллельной шиной с входом защищаемой вычислительной системы 9; первый выход наборного устройства 7 соединен параллельной шиной с входом первой группы элементов И 8, параллельным входом первого счетчика 13 и с первым входом группы элементов ИЛИ 10, второй вход которой соединен с выходом второй группы элементов И 14, параллельный вход которой соединен с выходом нелинейного функционального преобразователя 12; выход группы элементов ИЛИ 10 соединен параллельной шиной с входом регистра 11; второй выход наборного устройства 7 соединен с S входом второго триггера 19.

Блок памяти паролей 1 предназначен для хранения цифровых последовательностей, соответствующих преобразованным паролям и использующихся для сравнения с последовательностью, образованной при преобразовании пароля, введенного оператором. При этом извлечение последовательности из блока памяти паролей не позволяет оператору, не владеющему паролем, получить его путем обратного преобразования из хранящейся последовательности, поскольку преобразования паролей в нелинейном функциональном преобразователе 12 необратимы.

Регистр сдвига 5 [4] предназначен для ввода человеком-администратором безопасности количества n попыток ввода неправильного пароля и выработки сигнала блокировки наборного устройства 7 при достижении n попыток набора неправильного пароля.

Наборное устройство 7 состоит из клавиатуры, блокируемой при наличии сигнала на имеющемся для этого входе, и предназначено для набора необходимой последовательности пароля, выдачи его на первый (параллельный) выход и выдачи, после этого сигнала на второй выход.

Нелинейный функциональный преобразователь 12 представляет собой дискретное устройство воспроизведения нелинейных функций [1, 2, 3] и предназначен для формирования необратимой (неоднозначной) кодовой комбинации.

Генератор тактовых импульсов 23 предназначен для формирования последовательности тактовых импульсов [4].

Первый (вычитающий) счетчик 13 предназначен для отсчета в обратном порядке количества тактов преобразования и при появлении нулей на всех выходах управления совместно с дешифратором подачи преобразованной комбинации на схему сравнения [4].

Второй (суммирующий) счетчик 21 предназначен для отсчета количества тактовых импульсов для управления дешифратором 22 и прекращения их подачи при поступлении управляющего сигнала на R вход счетчика 21 [4].

Дешифратор 22 предназначен для выработки первого управляющего импульса, разрешающего ввод набранной последовательности пароля на вход нелинейного функционального преобразователя, и выработки К+1 импульса, обеспечивающего поступление преобразованной последовательности на вход схемы сравнения и окончание процедуры преобразования [4].

Устройство работает следующим образом.

При включении электропитания на входе 17 появляется импульс, переводящий в нулевое состояние первый триггер 3, регистр 11 и через второй элемент ИЛИ 18 - второй триггер 19; при этом первый триггер 3 закрывает первую группу элементов И 8 и, тем самым, закрывает вход в систему для наборного устройства 7; обнуляется регистр 11; второй триггер 19 закрывает второй элемент И 20, который не позволяет импульсам с генератора тактовых импульсов 23 поступать на второй счетчик 21.

Оператор, набирая пароль на наборном устройстве, в параллельном коде через группу элементов ИЛИ 10 передает его на вход регистра 11, в котором код запоминается. Часть кода пароля, составляющая код Р количества повторения операции нелинейного преобразования, поступает на триггеры первого счетчика 13.

Набрав код, оператор подает сигнал со второго выхода наборного устройства 7, который поступает на S вход второго триггера 19, который, переходя в единичное состояние, открывает второй элемент И 20, и на вход второго счетчика 21 начинают поступать импульсы с генератора тактовых импульсов 23.

Первый импульс, сосчитанный вторым счетчиком 21, вызовет появление сигнала на первом выходе дешифратора 22, который подаст синхроимпульс на регистр 11, на выходе которого в параллельном коде появится пароль и поступит на вход нелинейного функционального преобразователя 12, где в течение К тактов работы генератора тактовых импульсов будет преобразовываться. По истечении К тактов работы ГТИ 23 на К+1 выходе дешифратора 22 появится сигнал, переводящий второй счетчик 21 в нулевое состояние, снижающий на единицу запомненное в первом счетчике 13 количество операций нелинейного преобразования, а также открывающий вторую группу элементов И 14, через которые результат нелинейного преобразования с нелинейного функционального преобразователя 12 через группу элементов ИЛИ 10 поступает на вход регистра 11.

Продолжающие поступать с ГТИ 23 импульсы через обнуленный счетчик 21 вызывают сначала появление сигнала на первом выходе дешифратора 22, который вводит хранящиеся в регистре 11 данные в нелинейный преобразователь; затем после переработки данных в нелинейном функциональном преобразователе 12 появление сигнала на К+1 выходе дешифратора, уменьшающего значение числа повторений операции нелинейного преобразования в первом счетчике 13.

Процесс переработки информации аналогичным образом повторяется до тех пор, пока на всех выходах первого счетчика 13 не появятся нули, означающие, что процесс нелинейного преобразования осуществился Р раз. В этот момент на инверсном выходе первого элемента ИЛИ 16 появится сигнал, открывающий первый элемент И 15.

Продолжающие поступать с ГТИ 23 импульсы снова вызывают появление сигнала на первом выходе дешифратора 22, который вызывает появление на выходе регистра 11 преобразованной информации, поступающей через открытый первый элемент И 15 на вход схемы сравнения 2, и активизирующий ее, а также через элемент ИЛИ 18 переводит второй триггер 19 в нулевое состояние, чем посредством второго элемента И 20 прекращается поступление импульсов на второй (суммирующий) счетчик 21.

Если значение эталонного пароля не совпадает с рассчитанным результатом, то на втором выходе схемы сравнения генерируется сигнал «ошибка» 4, первый триггер 3 остается в нулевом состоянии, первая группа элементов И 8 не допускает наборное устройство к ресурсам защищаемой системы 9. Одновременно с этим сигнал со второго выхода схемы сравнения 2 подается на регистр (сдвига) 5, который предварительно устанавливается администратором безопасности на количество n (путем коммутации n-го вывода регистра (сдвига) 5) допустимых вводов неправильных паролей человеком-оператором.

Если количество вводов неправильных паролей не превысило n, сигнал с выхода регистра (сдвига) 5 на вход наборного устройства 7 не поступает и не блокирует его. В это же время сигнал со второго выхода схемы сравнения 2 через третий элемент ИЛИ 24 переводит в нулевое состояние второй счетчик 21. Устройство готово к очередной попытке ввести пароль.

Если вводимые пароли опять окажутся неверными и их количество достигнет n, n-й выход регистра (сдвига) 5 формирует сигнал «блокировка» 6, который, кроме того, подается на вход наборного устройства 7 для его блокировки.

Если в схеме сравнения значение эталонного пароля совпадает с рассчитанным результатом, то на первом выходе схемы сравнения генерируется сигнал, переводящий первый триггер 3 в единичное состояние, что открывает первую группу элементов И 8, которые допускают наборное устройство к ресурсам защищаемой системы 9.

Поскольку с ГТИ импульсы больше не поступают на второй счетчик, никаких процессов в работе устройства не происходит, и оно не препятствует работе наборного устройства с системой.

Таким образом, предлагаемое устройство позволяет повысить качественные характеристики цифрового устройства идентификации человека-оператора по защите информации от несанкционированного доступа.

Повышение качественных характеристик выражается в реализация возможности контроля попыток несанкционированного доступа человека-оператора к ресурсам вычислительной системы.

Источники информации

1. Патент РФ № 2075777, кл. 6 G06F 12/14, Н04Q 9/00, 1997 г.

2. Патент РФ № 2227319, кл. 7 G06F 12/14, 2002 г.

3. Титце У., Шенк К. Полупроводниковая схемотехника: Справочное руководство. М.: Мир, 1983, стр. 341.

4. Пятибратов А.П., Беляев С.Н., Козырева Г.М. Вычислительные машины, системы и сети. М.: Финансы и статистика, 1991, 400 с.

Дискретное устройство идентификации человека-оператора, содержащее блок памяти паролей, схему сравнения, первый триггер, первую группу элементов И, наборное устройство, группу элементов ИЛИ, регистр, нелинейный функциональный преобразователь, первый счетчик, вторую группу элементов И, первый элемент И, первый элемент ИЛИ, второй триггер, второй элемент ИЛИ, второй элемент И, второй счетчик, дешифратор и генератор тактовых импульсов, при этом генератор тактовых импульсов предназначен для подачи последовательности тактовых импульсов на второй вход второго элемента И и вход С второго триггера, выходной сигнал которого предназначен для подачи на первый вход второго элемента И, выход которого соединен с управляющим входом нелинейного функционального преобразователя и с S входом второго счетчика, выход которого соединен параллельной шиной с дешифратором, имеющим К+1 выход, где К - количество преобразований набранной последовательности пароля, К+1 выход которого соединен со вторым входом третьего элемента ИЛИ, единичным входом первого счетчика и управляющим входом второй группы элементов И, первый выход дешифратора соединен с входом С регистра, со вторым входом первого элемента И, первый вход которого соединен с инверсным выходом первого элемента ИЛИ, вход которого соединен параллельной шиной с выходом первого счетчика, выход первого элемента И соединен с первым входом второго элемента ИЛИ и с управляющим входом схемы сравнения, с которой, кроме того, параллельными шинами соединены выход блока памяти паролей и выход регистра, соединенный с параллельным входом нелинейного функционального преобразователя, первый выход схемы сравнения, сигнализирующий о положительном результате сравнения, соединен с S входом первого триггера, на R вход которого поступает импульс включения электропитания устройства, который также поступает на R вход регистра и на второй вход второго элемента ИЛИ, выход которого соединен с R входом второго триггера, второй выход схемы сравнения является выходом устройства для оповещения оператора о вводе неправильного пароля, выход первого триггера соединен с управляющим входом первой группы элементов И, выход которой соединен параллельной шиной с входом защищаемой вычислительной системы, первый выход наборного устройства соединен параллельной шиной с входом первой группы элементов И, параллельным входом первого счетчика и с первым входом группы элементов ИЛИ, второй вход которой соединен с выходом второй группы элементов И, параллельный вход которой соединен с выходом нелинейного функционального преобразователя; выход группы элементов ИЛИ соединен параллельной шиной с входом регистра, второй выход наборного устройства соединен с S входом второго триггера, отличающееся тем, что в него дополнительно введены третий элемент ИЛИ и второй регистр, вход которого соединен со вторым выходом схемы сравнения, предназначенным для передачи сигнала через третий элемент ИЛИ, переводящего второй счетчик в нулевое состояние, при этом n-й выход второго регистра является выходом сигнала «блокировка» устройства и соединен с входом наборного устройства, а второй вход третьего элемента ИЛИ соединен с К+1 выходом дешифратора.