Система защиты информации от несанкционированного доступа к информации, содержащей сведения, составляющие государственную тайну


 


Владельцы патента RU 2504834:

ОТКРЫТОЕ АКЦИОНЕРНОЕ ОБЩЕСТВО "КОНЦЕРН "СИСТЕМПРОМ" (RU)

Изобретение относится к защите от несанкционированного доступа к информации, хранимой в вычислительной сети, и может быть использовано в автоматизированных системах обработки информации. Технический результат состоит в повышении защищенности информации за счет совместного применения нескольких факторов аутентификации пользователей. Система защиты информации от несанкционированного доступа к информации, содержащей сведения, составляющие государственную тайну, содержит множество систем защиты информации пользователя, множество автоматизированных рабочих мест и функциональных серверов, сетевую магистраль, сервер-контроллер домена, сервер безопасности и базу данных сервера безопасности, по крайней мере, одно автоматизированное рабочее место администратора безопасности информации, по крайней мере, одну систему защиты информации администратора, причем каждая система защиты информации пользователя содержит агент безопасности, систему разделения доступа пользователя и базу данных средств усиленной аутентификации пользователя, а система защиты информации администратора содержит агент-администратор безопасности, систему разделения доступа администратора безопасности и базу данных средств усиленной аутентификации администратора безопасности. 1 ил.

 

Изобретение относится к защите от несанкционированного доступа к информации, хранимой как на локальных компьютерах (автоматизированных рабочих местах пользователей или функциональных серверах), так и в вычислительной сети в целом, и может быть использовано в автоматизированных системах обработки информации, содержащей сведения, составляющие государственную тайну.

Современные автоматизированные системы создают на базе вычислительной сети, в которой все компьютеры домена - автоматизированные рабочие места пользователей, функциональные серверы и сервер-контроллер домена - соединены друг с другом по сетевой магистрали.

Для комплексной защиты информации, содержащей сведения, составляющие государственную тайну, в автоматизированных системах необходимо обеспечить безопасность информации, хранящейся как на каждом локальном компьютере (автоматизированном рабочем месте пользователя или функциональном сервере), так и в вычислительной сети в целом.

Безопасность информации, содержащей сведения, составляющие государственную тайну, обеспечивают путем санкционированного доступа каждого пользователя в автоматизированной системе к разрешенным локальным и/или сетевым ресурсам - файлам, дискам, приложениям, принтерам.

Известно устройство защиты от несанкционированного доступа к информации, хранимой в персональной ЭВМ, содержащее систему защиты информации пользователя от несанкционированного доступа, которая подключена к шине управления и обмена данными одного локального компьютера (автоматизированного рабочего места пользователя) [1].

Известное устройство защиты от несанкционированного доступа к информации, хранимой в персональной ЭВМ, обеспечивает защиту от несанкционированного доступа к локальным ресурсам автоматизированной системы путем выполнения идентификации и аутентификации пользователей, реализующих проверку их идентификационных данных и наличия прав доступа к персональной ЭВМ (автоматизированному рабочему месту пользователя).

Идентификацию и аутентификацию осуществляют при каждом входе пользователя в систему. Для этого при включении или перезагрузке персональной ЭВМ программа расширения BIOS из состава программного обеспечения устройства защиты от несанкционированного доступа к информации, хранимой в персональной ЭВМ, перехватывает управление начальной загрузкой персональной ЭВМ и осуществляет идентификацию пользователя путем считывания с внешнего носителя информации имени (регистрационного номера) пользователя и сверки его с контрольной информацией, записанной заранее в регистрационные файлы и определяющей права доступа каждого пользователя к ресурсам персональной ЭВМ.

Затем указанная программа расширения BIOS осуществляет аутентификацию пользователя путем сверки введенного пользователем с клавиатуры персональной ЭВМ пароля с контрольной информацией, записанной заранее в регистрационные файлы, и осуществляет проверку целостности контролируемых объектов (файлов и/или загрузочных секторов жесткого диска) для данного пользователя.

После этого программа расширения BIOS передает управление штатным программно-аппаратным средствам персональной ЭВМ для завершения загрузки BIOS, загрузки операционной системы с жесткого диска персональной ЭВМ и выполнения модифицированных системных файлов CONFIG.SYS и AUTOEXEC.BAT, в результате выполнения которых запускается резидентный программный модуль из состава программного обеспечения устройства защиты от несанкционированного доступа к информации, содержащей сведения, составляющие государственную тайну, хранимой в персональной ЭВМ, контролирующий права пользователя на запуск различных программ в соответствии с регистрационными данными пользователя, записанными на жесткий диск персональной ЭВМ, и стартовая для данного пользователя программа.

Однако известное устройство защиты от несанкционированного доступа к информации, хранимой в персональной ЭВМ, не обеспечивает защиту от несанкционированного доступа к сетевым ресурсам автоматизированной системы.

Известны системы защиты информации от несанкционированного доступа к информации, содержащей сведения, составляющие государственную тайну, содержащие множество систем защиты информации пользователя от несанкционированного доступа, каждая из которых подключена к шине управления и обмена данными одного из множества автоматизированных рабочих мест пользователей или функциональных серверов в компьютерной сети, которые соединены друг с другом и с сервером-контроллером домена по сетевой магистрали [2], [3].

Известные системы защиты информации от несанкционированного доступа к информации, содержащей сведения, составляющие государственную тайну, при использовании базовой операционной системы Windows ХР Professional [2] или Windows 7 [3] в вычислительной сети с активным каталогом (Active Directory) позволяют управлять безопасностью информации как на уровне сетевых ресурсов, так и на уровне файлов, папок и прав отдельных пользователей с помощью групп безопасности, прав пользователей и прав доступа.

Однако известные системы защиты информации от несанкционированного доступа к информации, содержащей сведения, составляющие государственную тайну, обеспечивают защиту от несанкционированного доступа к сетевым ресурсам автоматизированной системы лишь на основе использования дискреционных правил разграничения доступа.

Наиболее близкой к предлагаемой является система защиты информации от несанкционированного доступа к информации, содержащей сведения, составляющие государственную тайну, содержащая множество автоматизированных рабочих мест пользователей или функциональных серверов, по крайней мере, одно автоматизированное рабочее место администратора безопасности информации и сервер-контроллер домена в компьютерной сети, которые соединены друг с другом по сетевой магистрали, множество систем защиты информации пользователя от несанкционированного доступа, каждая из которых содержит соответствующие агент безопасности и систему разделения доступа пользователя, соединенные с шиной управления и обмена данными соответствующего автоматизированного рабочего места пользователя или функционального сервера, систему защиты информации администратора от несанкционированного доступа, содержащую агент-администратор безопасности и систему разделения доступа администратора безопасности, соединенные с шиной управления и обмена данными соответствующего автоматизированного рабочего места администратора безопасности информации, а также сервер безопасности и базу данных безопасности, подключенные к шине управления и обмена данными сервера-контроллера домена [4].

Известная система защиты информации от несанкционированного доступа к информации, содержащей сведения, составляющие государственную тайну, при использовании базовой операционной системы Windows ХР Professional [2] или операционной системы Windows 7 [4] в вычислительной сети с активным каталогом (Active Directory) позволяет управлять безопасностью информации как на уровне сетевых ресурсов, так и на уровне файлов, папок и прав отдельных пользователей с помощью групп безопасности, прав пользователей и прав доступа на основе совместного использования дискреционных и мандатных правил разграничения доступа.

Однако известная система защиты информации от несанкционированного доступа к информации, содержащей сведения, составляющие государственную тайну, не обеспечивает требуемую защищенность информации в случае компрометации пароля или кражи смарткарты.

Технический результат состоит в повышении защищенности информации за счет совместного применения нескольких факторов аутентификации пользователей, исключающей возможность несанкционированного доступа к информации вследствие компрометации пароля или кражи смарткарты.

Для достижения указанного технического результата в систему защиты информации от несанкционированного доступа к информации, содержащей сведения, составляющие государственную тайну, содержащую множество автоматизированных рабочих мест пользователей или функциональных серверов, по крайней мере, одно автоматизированное рабочее место администратора безопасности информации и сервер-контроллер домена в компьютерной сети, которые соединены друг с другом по сетевой магистрали, множество систем защиты информации пользователя от несанкционированного доступа, каждая из которых содержит соответствующие агент безопасности и систему разделения доступа пользователя, соединенные с шиной управления и обмена данными соответствующего автоматизированного рабочего места пользователя или функционального сервера, систему защиты информации администратора от несанкционированного доступа, содержащую агент-администратор безопасности и систему разделения доступа администратора безопасности, соединенные с шиной управления и обмена данными соответствующего автоматизированного рабочего места администратора безопасности информации, а также сервер безопасности и базу данных безопасности, подключенные к шине управления и обмена данными сервера-контроллера домена, введены: в каждую систему защиты информации пользователя от несанкционированного доступа - соответствующая база данных средств усиленной аутентификации пользователя, в систему защиты информации администратора от несанкционированного доступа - база данных средств усиленной аутентификации администратора безопасности, причем каждая база данных средств усиленной аутентификации пользователя соединена с шиной управления и обмена данными соответствующего автоматизированного рабочего места пользователя или функционального сервера, а база данных средств усиленной аутентификации администратора безопасности соединена с шиной управления и обмена данными соответствующего автоматизированного рабочего места администратора безопасности информации.

Предлагаемая система защиты информации от несанкционированного доступа к информации, содержащей сведения, составляющие государственную тайну, обеспечивает защиту информации в автоматизированной системе на уровне операционной системы, на сетевом уровне и на уровне приложений, реализацию аудита, контроля целостности программных файлов и данных, защиты от ввода/вывода на отчуждаемый носитель, обеспечения работы в замкнутой программной среде путем совместного использования дискреционных и мандатных правил разграничения доступа, а также выполнения идентификации и аутентификации пользователей с применением подключаемых дополнительных устройств усиленной идентификации и аутентификации. Это и обеспечивает положительный технический результат - повышение защищенности информации за счет применения нескольких факторов аутентификации пользователей, исключающих возможность несанкционированного доступа к информации вследствие компрометации пароля или кражи смарткарты, на основе интеграции дополнительных механизмов усиленной идентификации и аутентификации (ключевых носителей, биометрических сканеров, карточек доступа, в том числе бесконтактных), применяемых в системах контроля и управления доступом.

На фиг.1 представлена структурная схема системы защиты информации от несанкционированного доступа к информации, содержащей сведения, составляющие государственную тайну.

Система защиты информации от несанкционированного доступа к информации, содержащей сведения, составляющие государственную тайну, содержит множество систем 1 защиты информации пользователя от несанкционированного доступа, множество имеющих шину 2 управления и обмена данными автоматизированных рабочих мест 3 и функциональных серверов 4 в компьютерной сети, которые соединены друг с другом по сетевой магистрали 5, к которой подключен сервер-контроллер 6 домена, а также сервер 7 безопасности и базу 8 данных сервера безопасности, которые подключены к шине 9 управления и обмена данными сервера-контроллера 6 домена, кроме того, по крайней мере, одно подключенное к сетевой магистрали 5 автоматизированное рабочее место 10 администратора безопасности информации, имеющее внутреннюю шину 11 управления и обмена данными, и, по крайней мере, одну систему 12 защиты информации администратора, причем каждая система 1 защиты информации пользователя от несанкционированного доступа содержит агент 13 безопасности и систему 14 разделения доступа пользователя, соединенные с шиной 2 управления и обмена данными соответствующего автоматизированного рабочего места 1 или функционального сервера 4, а система 12 защиты информации администратора от несанкционированного доступа содержит агент-администратор 15 безопасности и систему 16 разделения доступа администратора безопасности, соединенные с шиной 11 управления и обмена данными соответствующего автоматизированного рабочего места 10 администратора безопасности информации. Каждая система 1 защиты информации пользователя от несанкционированного доступа может содержать соответствующую базу 17 данных средств усиленной аутентификации пользователя, соединенную с шиной 2 управления и обмена данными соответствующего автоматизированного рабочего места 3 пользователя или функционального сервера 4. Система 12 защиты информации администратора от несанкционированного доступа содержит базу 18 данных средств усиленной аутентификации администратора безопасности, соединенную с шиной 11 управления и обмена данными соответствующего автоматизированного рабочего места 10 администратора безопасности информации.

В состав системы защиты информации от несанкционированного доступа к информации, содержащей сведения, составляющие государственную тайну, могут быть включены несколько автоматизированных рабочих мест 10 администраторов безопасности информации и несколько соответственно соединенных с их шинами 11 управления и обмена данными агентов-администраторов 15 безопасности. В этом случае каждый из администраторов безопасности информации может оперативно контролировать работу пользователей в сети. При необходимости контроля работы администраторов безопасности с шинами 11 управления и обмена данными соответствующих автоматизированных рабочих мест 10 администраторов безопасности информации соединяют соответствующие агенты 13 безопасности.

Работает предлагаемая система защиты информации от несанкционированного доступа к информации, содержащей сведения, составляющие государственную тайну, следующим образом.

Входящие в состав систем 1 защиты информации пользователя от несанкционированного доступа агенты 13 безопасности, входящие в состав систем 12 защиты информации администратора от несанкционированного доступа агенты-администраторы 15 безопасности, а также подключенные к шине 9 управления и обмена данными сервера-контроллера 6 домена сервер 7 безопасности и база 8 данных безопасности образуют систему контроля и управления профилями.

Входящие в состав систем 1 защиты информации пользователя от несанкционированного доступа системы 14 разделения доступа пользователя, а также входящие в состав систем 12 защиты информации администратора от несанкционированного доступа системы 16 разделения доступа администратора безопасности образуют систему разграничения доступа.

Входящие в состав систем 1 защиты информации пользователя от несанкционированного доступа базы 17 данных средств усиленной аутентификации пользователя, а также входящие в состав систем 12 защиты информации администратора от несанкционированного доступа базы 18 данных средств усиленной аутентификации администратора безопасности образуют систему дополнительной защиты информации.

Система контроля и управления профилями выполняет следующие функции: управление профилями безопасности пользователей, групп пользователей и компьютеров; разграничение доступа пользователей к функциям программы "Проводник" (команда "Выполнить", панель управления, панель задач в меню "Пуск", настройка дисплея и т.д.); определение списка разрешенных для запуска приложений (обеспечение замкнутой программной среды) путем формирования пользовательского меню в программе "Проводник" и контроль запуска несанкционированных приложений; контроль состояния компьютеров в сети, сбор статистики работы (время старта, время непрерывной работы); контроль сеанса работы интерактивных пользователей и сетевых пользователей, получивших доступ к разделяемым ресурсам; протоколирование действий администратора безопасности информации и пользователей; разграничение полномочий администраторов безопасности информации на автоматизированных рабочих местах 10 администраторов безопасности информации (оператор, администратор); оповещение администратора безопасности информации о попытках несанкционированного доступа, нарушениях работы комплексной системы защиты информации от несанкционированного доступа и других критических ситуациях в сети.

Система контроля и управления профилями реализует функции по разграничению доступа к приложениям (программам), запускаемым на автоматизированных рабочих местах 3 и функциональных серверах 4, регистрации событий защиты (аудит), контролю целостности программных файлов и данных, защите от ввода/вывода на отчуждаемый носитель.

Входными данными для системы контроля и управления профилями являются: информация о составе зарегистрированных пользователей в центральной базе 8 данных безопасности автоматизированной системы (на контроллере домена), записи в системных журналах и журналах безопасности на автоматизированном рабочем месте 3 пользователя или функциональном сервере 4 и команды администратора безопасности информации.

Выходными данными системы контроля и управления профилями являются протоколы действий администраторов на автоматизированных рабочих местах 10 администраторов безопасности информации и событий-попыток несанкционированного доступа к информации, контроля целостности, работы с внешними носителями в автоматизированной системе, информация о состоянии компьютеров, служб, приложений и настройках политики безопасности.

Система контроля и управления профилями использует объектную идеологию, т.е. вся структура компьютерной сети и управляющая информация представлена в виде объектов управления. Все устройства оперируют с объектами управления (объектами SMS). Все объекты управления хранятся в базе 8 данных сервера безопасности.

База 8 данных сервера безопасности содержит основной корневой объект управления, который содержит в себе такие объекты управления, как домены или рабочие группы базовой операционной системы, содержащие, в свою очередь, такие объекты как компьютеры, пользовательские приложения, профили пользователей, профили групп пользователей, профили безопасности и устройства (дисководы, порты и т.д.).

Каждый объект управления характеризуют основные атрибуты и свой специфический набор дополнительных атрибутов, методов доступа и управления этим объектом управления.

Сервер 7 безопасности обеспечивает синхронизацию объектов управления с агентами 13 безопасности, агентами-администраторами 15 безопасности и другими серверами 7 безопасности: установление логических соединений с агентами 13 безопасности и агентами-администраторами 15 безопасности, проверку наличия логических соединений с агентами 13 безопасности и агентами-администраторами 15 безопасности, прием и обработку запросов от агента-администратора 15 безопасности на добавление/исключение объектов управления в базе данных профилей и модификацию их атрибутов, прием и обработку запросов от агентов 13 безопасности на получение профиля пользователя и составе доступных ему приложений, формирование ответов на эти запросы, прием и обработку сообщений от агентов 13 безопасности и агентов-администраторов 15 безопасности при появлении событий-попыток несанкционированного доступа к информации в системных журналах агентов 13 безопасности, ведение протокола действий администраторов безопасности на автоматизированных рабочих местах 10 администраторов безопасности информации в части контроля и управления профилями.

Между сервером 7 безопасности, агентами 13 безопасности и агентами-администраторами 15 безопасности устанавливаются логические соединения. Каждое установленное логическое соединение имеет свой идентификатор, что позволяет серверу 7 безопасности определять, с какими агентами 13 безопасности или агентами-администраторами 15 безопасности производится обмен информацией. При успешном установлении соединения ему присваивается идентификатор, а агентам 13 безопасности или агентам-администраторам 15 безопасности посылается соответствующее сообщение.

Сервер 7 безопасности производит проверку наличия логических соединений с агентами 13 безопасности и агентами-администраторами 15 безопасности по таймеру. Запрос на разрыв соединения с сервером 7 безопасности посылют агенты 13 безопасности или агенты-администраторы 15 безопасности. При этом соединение удаляется из базы 8 данных сервера безопасности.

После установления соединения сервер 7 безопасности, агенты 13 безопасности и агенты-администраторы 15 безопасности обмениваются сообщениями, содержащими запросы и ответы.

Агенты 13 безопасности посылают серверу 7 безопасности следующие типы запросов: информация о базовой операционной системе, на разрыв соединения, на проверку соединения, на перечисление приложений пользователя, на получение профиля пользователя, на обработку события на компьютере, на получение устройств компьютера, на получение списка файлов для проверки. При этом агентами 13 безопасности передается информация о компьютере, текущем пользователе и событиях, а сервер 7 безопасности передает агентам 13 безопасности информацию о профилях, о составе приложений, проверяемых файлов и устройств.

Агенты-администраторы 15 безопасности посылают серверу 7 безопасности следующие типы запросов: на регистрацию соединения, на перечисление доменов, на добавление домена, на удаление домена, на перечисление компьютеров домена, на добавление компьютера, на удаление компьютера, на перечисление приложений домена, на добавление приложения, на удаление приложения, на перечисление пользователей домена, на добавление пользователя, на удаление пользователя, на изменение состояния компьютера в базе, на изменение свойств пользователя, на изменение свойств компьютера, на изменение свойств домена, на изменение свойств приложения, на удаленное управление компьютером, на перечисление групп пользователей, на добавление группы пользователей, на удаление группы пользователей, на изменение свойств группы пользователей, на запись протокола работы администратора, на чтение протокола работы администратора, на получение списка запущенных приложений, на завершение приложения, на очистку протокола работы администратора, на очистку тревоги, на установку свойств группе пользователей, на чтение протокола событий, на перечисление профилей безопасности, на добавление профиля безопасности, на удаление профиля безопасности, на изменение свойств профиля безопасности, на перечисление устройств, на изменение свойств устройства, на добавление устройства, на удаление устройства, на изменение списка файлов для проверки, на очистку протокола событий, на получение свойств ГМД (флеш-памяти, ЛД), на чтение архива, протокола событий, на чтение архива протокола работы.

Сервер 7 безопасности производит опрос состояния агентов 13 безопасности (о составе запущенных приложений, текущем пользователе), а также осуществляет перезагрузку, выключение компьютеров, выход из системы, запуск/останов приложений.

Сервер 7 безопасности передает агенту-администратору 15 безопасности запросы о состоянии компьютеров агентов безопасности, составе запущенных приложений, запуске приложения и о происшедших событиях.

Агент 13 безопасности выполняет следующие функции: контроль состояния автоматизированного рабочего места пользователя или функционального сервера, контроль состояния сеанса интерактивного пользователя, настройку рабочей среды пользователя и установление ограничений, слежение за состоянием приложений и процессов, слежение за содержимым системных журналов, выполнение команд от имени администратора безопасности (перезагрузку, запуск/останов приложений, блокировку системы).

Агент 13 безопасности устанавливает соединение (регистрацию) с сервером 7 безопасности и затем периодически отправляет серверу 7 безопасности запрос на проверку наличия соединения и обрабатывает ответ. Взаимодействие с сервером 7 безопасности после установления логического соединения осуществляется на основе запрос-ответного механизма

Агент 13 безопасности отвечает за контроль событий-попыток несанкционированного доступа к информации, сбор статистической информации (имя пользователя, время начала и завершения сеанса работы пользователя, время включения и выключения компьютера и т.д.), информации о состоянии задач и запущенных процессов, контроль целостности файлов на автоматизированном рабочем месте пользователя или функциональном сервере.

Агент 13 безопасности выполняет управляющие команды, поступившие от агента-администратора 15 через сервер 7 безопасности по сети, и передает серверу 7 безопасности информацию о компьютере, о текущем пользователе, профилях, составе приложений, результатах контроля целостности проверяемых файлов и о событиях-попытках несанкционированного доступа к информации.

Агент 13 безопасности после установления логического соединения с сервером 7 безопасности получает от него сообщение с системной политикой компьютера. Серверу 7 безопасности передается информация о типе базовой операционной системы.

При входе пользователя в систему агент 13 безопасности передает серверу 7 безопасности информацию о пользователе (имя пользователя, время начала сеанса). Сервер 7 безопасности передает информацию о системной политике для пользователя. При установке системной политики компьютера и пользователя агент 13 безопасности изменяет значения в реестре.

Далее агент 13 безопасности формирует и посылает серверу 7 безопасности запросы на перечисление приложений пользователя, на получение профиля, на получение устройств компьютера и списка файлов для проверки. К приложениям пользователя относятся основные исполняемые модули, запускаемые через меню "Пуск", и вспомогательные исполняемые модули, запускаемые из основных приложений. Ответы от сервера 7 безопасности обрабатываются агентом 13 безопасности, производится установка профиля пользователя в реестре, состава ему доступных основных приложений в меню "Пуск" и состава вспомогательных приложений, запускаемых из основных приложений.

Агент 13 безопасности производит контроль целостности путем вычисления контрольных сумм файлов системы защиты информации, системных и пользовательских файлов и сравнение их с соответствующими эталонными значениями. Функция контроля целостности позволяет обнаруживать любое изменение (удаление, добавление, замену) данных файла и файловой структуры в целом. Контроль целостности производится путем вычисления имитовставки. При изменении контрольных сумм файлов или отсутствии какого-либо файла формируется сообщение для сервера 7 безопасности о нарушении целостности.

Агент 13 безопасности осуществляет контроль над процессами, работающими в системе. Производится сбор информации о файлах-процессах, поиск окон процессов и передача информации о процессах серверу 7 безопасности. Осуществляется запуск и остановка процессов по запросу от сервера 7 безопасности, формируемому, в свою очередь, по команде агента-администратора 15 безопасности.

Агент 13 безопасности осуществляет контроль за системными событиями путем слежения за содержимым системных журналов и при появлении событий-попыток несанкционированного доступа к информации и других критических событий передает сообщения об их возникновении серверу 7 безопасности.

Агент 13 безопасности выполняет контроль запуска всех приложений и определяет, относится основное или вспомогательное приложение к числу разрешенных для запуска. Если нет, то приложение не запускается, а серверу 7 безопасности передается сообщение о событии-попытке несанкционированного доступа к информации.

Кроме того, агент 13 безопасности производит контроль сообщений о начале работы системы разграничения доступа. При успешном начале работы системы разграничения доступа в реестре сохраняются соответствующие настройки. В противном случае осуществляется восстановление настроек системы разграничения доступа в реестре и перезапуск компьютера. Если восстановление не приводит к успешному запуску системы разграничения доступа, то создается запись для администратора о неуспешном восстановлении системы и блокируется инициализация агента 13 безопасности.

Агент 13 безопасности выполняет контроль установки внешних носителей информации по сообщениям от монитора файловой системы (drivemon.sys) о монтировании тома. Далее агент 13 безопасности формирует запрос о профиле безопасности (дескрипторе) устройства серверу 7 безопасности. После получения профиля безопасности система разграничения доступа производит контроль доступа пользователя, работающего на компьютере, к устройству. При разрешении доступа осуществляются операции с внешним носителем информации. После этого доступ к устройству закрывается. При копировании на носитель факт копирования передается серверу 7 безопасности. Сервер 7 безопасности передает факты выполнения операций с носителем информации, в том числе события-попытки несанкционированного доступа к информации, на автоматизированных рабочих местах 10 администраторов безопасности информации в журнал регистрации.

Агент-администратор 15 безопасности выполняет следующие функции: ведение базы данных сервера безопасности (создание, изменение, удаление объектов), мониторинг состояния объектов (компьютеров, приложений), управление компьютером и сеансами работы пользователей, протоколирование действий администраторов и операторов, вывод на экран и печать протоколов действий администраторов и операторов.

Агент-администратор 15 безопасности является основным модулем для осуществления управляющих функций, задания основных параметров и мониторинга событий в сети.

Агент-администратор 15 безопасности взаимодействует с сервером 7 безопасности. В обмене участвует управляющая и настроечная информация о задачах, процессах и событиях на автоматизированных рабочих местах 3 пользователей или функциональных серверах 4.

Отображение информации и интерфейс с пользователем осуществляются в графическом виде.

При включении агента-администратора 15 безопасности производится инициализация процесса установления соединения (регистрации) с сервером 7 безопасности. Агент-администратор 15 безопасности формирует запрос на регистрацию (установление) соединения с сервером 7 безопасности и обрабатывает ответ. Периодически агент-администратор 15 безопасности отправляет серверу 7 безопасности запрос на проверку наличия соединения и обрабатывает ответ. Взаимодействие агента-администратора 15 безопасности с сервером 7 безопасности после установления логического соединения, в основном, осуществляется на основе запрос-ответного механизма.

Агент-администратор 15 реализует следующие группы функций.

Группа функций по работе с объектами базы 8 данных сервера безопасности позволяет агенту-администратору 15 формировать запросы для сервера 7 безопасности на получение списка объектов, на добавление, удаление и изменение свойств объектов (доменов, компьютеров, пользователей, групп пользователей, приложений, профилей безопасности). Запросы формируются по команде администратора безопасности посредством графического интерфейса и обрабатываются полученные ответы. В оперативной памяти хранится информация о составе и состоянии управляемых объектов, их атрибутов и параметров, аналогичная информации в базе 8 данных сервера безопасности. При получении ответа от сервера 7 безопасности изменяется состояние базы данных в оперативной памяти автоматизированного рабочего места 10 администратора безопасности информации. Хранение объектов в оперативной памяти позволяет повысить быстродействие операций по графическому отображению состояния объектов. Например, для компьютера к этой группе функций относятся: запросы/ответы на получение списка компьютеров домена, на добавление компьютера, удаление компьютера, изменение свойств компьютера.

Группа функций по работе с протоколом (журналом) событий позволяет обрабатывать запросы/ответы на просмотр и очистку протокола событий, на получение архива протокола событий.

Группа функций по работе с протоколом (журналом) работы администратора безопасности информации позволяет обрабатывать запросы/ответы на просмотр и очистку протокола работы администратора безопасности информации, на получение архива протокола работы администратора безопасности информации.

Группа функций по управлению компьютером обеспечивает формирование запросов серверу 7 безопасности и обработку ответов на получение информации, списке запущенных приложений, удаленную перезагрузку, выключение компьютера или выход из системы, удаленный запуск приложения, формирование запросов на удаленное завершения приложения, на получение информации о текущем пользователе компьютера.

Группа функций по обработке запросов от сервера 7 безопасности о состоянии объектов обеспечивает обработку и отображение информации о изменении состояния компьютеров, запуске приложений пользователями, событиях-попытках несанкционированного доступа к информации.

Группа функций по контролю целостности предназначена для формирования запросов серверу 7 безопасности и обработку ответов на получение или изменение списка файлов для проверки контрольных сумм для компьютеров домена.

Система разграничения доступа является дополнением встроенной в базовую операционную систему системы безопасности мандатной моделью доступа, подразумевающей наличие для каждого субъекта и объекта доступа иерархических атрибутов (грифа секретности) и неиерархических атрибутов (категорий доступа).

Основным принципом работы системы безопасности базовой операционной системы является сосредоточение центральных процедур проверки прав доступа в мониторе безопасности, являющемся составной частью ядра базовой операционной системы. Функции монитора безопасности вызываются менеджером объектов базовой операционной системы при обращении к любому системному объекту с целью подтверждения полномочий обращающегося субъекта. При этом в монитор безопасности передается вся информация, необходимая для анализа атрибутов безопасности субъекта и объекта доступа.

Основным методом изменения системы безопасности базовой операционной системы в предлагаемой системе разграничения доступа является перехват функции проверки прав доступа в мониторе безопасности и дополнение описателей безопасности объектов и субъектов доступа мандатными атрибутами без нарушения внутренней структуры описателей. При этом сопоставление описателя объекту, его хранение и ограничение доступа к нему реализуется стандартными функциями базовой операционной системы.

В описатель безопасности субъекта доступа (маркер доступа, Token) мандатные атрибуты заносятся на этапе регистрации пользователя в системе и находятся в специально отмеченных элементах списка групп, к которым принадлежит пользователь. Эти атрибуты состоят из грифа секретности, представляемого предопределенным при создании системы идентификатором безопасности (SID), и нескольких категорий доступа, каждая из которых представляется идентификатором безопасности определенных в агентстве безопасности групп пользователей (такие идентификаторы уникальны для каждого агентства). Хранение этой информации производится в базе 8 данных системы безопасности базовой операционной системы, при этом каждому пользователю системы соответствует несколько записей в базе данных: базовая запись, содержащая стандартные атрибуты пользователя в базовой операционной системе, и по одной записи для каждого грифа секретности, к работе с которым допущен пользователь, содержащей список категорий для соответствующего грифа и пользователя.

В описателе безопасности (дескрипторе защиты) объекта доступа (Security Descriptor) мандатные атрибуты заносятся в дискреционный список доступа (Discretionary Access Control List, DACL) в виде специально отмеченных элементов (Access Control Element, АСЕ), при этом идентификаторы безопасности этих элементов соответствуют описанным выше. Хранение описателей безопасности объектов доступа возлагается на системы 14 разделения доступа пользователей и на систему 16 разделения доступа администратора безопасности.

Система разграничения доступа реализует алгоритм проверки прав доступа, созданный на базе стандартного алгоритма монитора безопасности и дополненный проверкой мандатных атрибутов объекта и субъекта.

Обработка мандатных атрибутов субъекта и объекта осуществляется по следующим правилам.

Субъект имеет доступ к объекту, если все перечисленные в описателе безопасности (дескрипторе защиты) объекта категории доступа входят в маркер доступа субъекта.

Субъект имеет доступ по чтению и изменению объекта, если гриф секретности объекта имеет значение не более грифа секретности субъекта.

Если гриф секретности объекта больше грифа секретности субъекта и объект является контейнерным (содержит другие объекты), субъект имеет доступ на добавление в объект подобъектов.

Если доступ разрешен в соответствии только с мандатными правилами разграничения доступа, но не разрешен по дискреционным (или наоборот), доступ запрещается.

Система дополнительной защиты информации является дополнением встроенной в базовую операционную систему модифицированной системы безопасности, реализующей алгоритм проверки прав доступа, созданный на базе стандартного алгоритма монитора безопасности и дополненный проверкой мандатных атрибутов объекта и субъекта.

Система дополнительной защиты информации при входе пользователя в систему реализует дополнительный алгоритм его аутентификации с помощью средств усиленной аутентификации (биометрических датчиков, ключевых носителей, считывателей смарткарт и т.п.).

Для этого к стандартным элементам модифицированной системы безопасности добавляют «библиотеку расширения базовой системы идентификации и аутентификации пользователя», хранение аутентификационных данных для которой возлагается на базы 17 данных средств усиленной аутентификации пользователя и базу 18 данных средств усиленной аутентификации администратора безопасности.

При входе пользователя в систему соответствующий агент 13 безопасности и агент-администратор 15 безопасности с помощью хранящихся в соответствующей базе 17 данных средств усиленной аутентификации пользователя и в базе 18 данных средств усиленной аутентификации администратора безопасности проверяют, установлены ли и разрешены ли на запуск дополнительные системы защиты информации (средства усиленной аутентификации), и при положительном результате они выдают команды на проверку аутентификационной информации средствам усиленной аутентификации (биометрическим датчикам, ключевым носителям, считывателям смарткарт и т.п.).

После успешной аутентификации пользователя средствами усиленной аутентификации информация о пользователе передается в систему контроля и управления профилями для дальнейшей штатной работы.

Удобство использования средств усиленной аутентификации обусловлено отсутствием необходимости запоминания пользователем сложных паролей, т.к. используются технические средства усиленной аутентификации (биометрические датчики, ключевые носители, считыватели смарткарт и т.п.).

Предлагаемая система защиты информации от несанкционированного доступа к информации, содержащей сведения, составляющие государственную тайну, в автоматизированной системе реализуется программно при установке на компьютеры домена (автоматизированные рабочие места 3 пользователей или функциональные серверы 4 в вычислительной сети) базовой операционной системы Windows 7 (8) Professional, а на сервер-контроллер домена - базовой операционной системы Windows 2003 (2008) или выше.

При этом предлагаемая система защиты информации интегрируется с системой дополнительной защиты информации без необходимости изменения кода библиотеки входа в систему контроля доступа предлагаемой системы защиты информации (при использовании операционных систем Windows ХР Profeccional / Windows 2000 Server надо для каждой дополнительной функции переписывать и перекомпилировать код библиотеки входа в систему с последующей его сертификацией и т.п.).

При использовании предлагаемой системы защиты информации от несанкционированного доступа к информации, содержащей сведения, составляющие государственную тайну, достигается повышение защищенности информации при совместном использовании дискреционных и мандатных правил разграничения доступа на основе интеграции дополнительных механизмов усиленной идентификации и аутентификации (ключевых носителей, биометрических сканеров, карточек доступа, в том числе бесконтактных) за счет совместного применения нескольких факторов аутентификации пользователей, что исключает возможность несанкционированного доступа к информации вследствие компрометации пароля или кражи смарткарты.

Литература

1. RU 2263950 С2 (Бородакий Ю.В., Добродеев А.Ю., Свиридюк Ю.П., Терешкин Н.Л.), 10.11.2005.

2. Безопасность в Windows ХР. - www.hardtek.ru/sistem/winxp_security.shtm1.

3. Безопасность в Windows 7. - www.computerra.ru/terralab/sorterra/487920.

4. RU 2434283 С1 (Бородакий Ю.В., Бельтов А.Г., Добродеев А.Ю., Коротков С.В., Нащекин П.А., Непомнящих А.В.), 20.11.2011.

Система защиты информации от несанкционированного доступа к информации, содержащей сведения, составляющие государственную тайну, содержащая множество автоматизированных рабочих мест пользователей или функциональных серверов, по крайней мере, одно автоматизированное рабочее место администратора безопасности информации и сервер-контроллер домена в компьютерной сети, которые соединены друг с другом по сетевой магистрали, множество систем защиты информации пользователя от несанкционированного доступа, каждая из которых содержит соответствующие агент безопасности и систему разделения доступа пользователя, соединенные с шиной управления и обмена данными соответствующего автоматизированного рабочего места пользователя или функционального сервера, систему защиты информации администратора от несанкционированного доступа, содержащую агент-администратор безопасности и систему разделения доступа администратора безопасности, соединенные с шиной управления и обмена данными соответствующего автоматизированного рабочего места администратора безопасности информации, а также сервер безопасности и базу данных безопасности, подключенные к шине управления и обмена данными сервера-контроллера домена, отличающаяся тем, что в каждую систему защиты информации пользователя от несанкционированного доступа и в систему защиты информации администратора от несанкционированного доступа введены соответствующая база данных средств усиленной аутентификации пользователя и база данных средств усиленной аутентификации администратора безопасности, причем каждая база данных средств усиленной аутентификации пользователя соединена с шиной управления и обмена данными соответствующего автоматизированного рабочего места пользователя или функционального сервера, а база данных средств усиленной аутентификации администратора безопасности соединена с шиной управления и обмена данными соответствующего автоматизированного рабочего места администратора безопасности информации.



 

Похожие патенты:

Настоящее изобретение предоставляет способ аутентификации авторского права устройства в автономном режиме, систему защиты цифровых прав и способ предоставления цифровых контентов, который, главным образом, включает в себя встроенный в цифровой контент агент аутентификации, и упомянутый агент аутентификации, в отличие от издателя авторских прав на стороне сервера, аутентифицирует сертификацию воспроизведения устройства перед воспроизведением цифрового контента.

Изобретение относится к области видеоаутентификации пользователя. Техническим результатом является предотвращение фальсификации аутентификационной фотографии, выполняемой при помощи виртуальной камеры.

Изобретение относится к способам и средствам криптографического преобразования информации в электронных вычислительных комплексах и ЭВМ. Повышение скрытности и оперативности преобразования достигается тем, что в способе, основанном на разбивке исходного 32-разрядного входного вектора на восемь последовательно идущих 4-разрядных входных векторов, каждый из которых соответствующим ему узлом замены преобразуется в 4-разрядный выходной вектор, которые последовательно объединяются в 32-разрядный выходной вектор, причем предварительно в каждом узле замены размещают таблицы преобразования из шестнадцати строк каждая, содержащих по четыре бита заполнения в строке, являющихся соответствующими 4-разрядными выходными векторами, используют четыре узла замены по одному для каждой пары 4-разрядных входных векторов, причем в каждом узле замены используют регистр центрального процессора, в который размещают по две таблицы преобразования, а преобразование пар 4-разрядных входных векторов в пары 4-разрядных выходных векторов в соответствующем узле замены осуществляют коммутацией предварительно размещенных строк таблиц преобразования в регистр центрального процессора соответствующего узла замены путем использования пар 4-разрядных входных векторов в виде адресов коммутации.

Изобретение относится к области защиты информации, а именно к обеспечению информационной безопасности сетевого взаимодействия информационных служб и клиентов. Предлагаемый способ позволяет обеспечить удаленный мониторинг и управление информационной безопасностью сетевого взаимодействия на основе использования системы доменных имен, вне зависимости от топологии сети и расположения точки мониторинга (межсетевого экрана) и клиентов, осуществлять управление и мониторинг сетевого трафика как на этапе установления сеанса соединения, так и на этапе информационного обмена клиента и информационных служб, осуществлять фильтрацию трафика с учетом любых значимых полей сетевых пакетов, управление доступом клиентов к информационным службам после установления сеанса соединения, фильтрацию трафика на наличие сведений конфиденциального характера и сведений, составляющих государственную тайну.

Изобретение относится к средствам обеспечения возможности прямого доступа и совместного использования оценки безопасности. Технический результат заключается в повышении защищенности сети предприятия.

Изобретение относится к коммуникационным технологиям, а именно к системам и способам для обнаружения и исправления ошибок шифрования. Техническим результатом является решение проблемы обнаружения и исправления ошибок шифрования в сети, не предназначенной для поддержки процедуры исправления ошибки шифрования.

Изобретение относится к вычислительной технике. Технический результат заключается в повышении безопасности данных.

Изобретение относится к вычислительной технике. Технический результат заключается в обеспечении селективного ограничения доступа к данным.

Изобретение относится к средствам совместной разработки файловых документов множеством пользователей. Техническим результатом является обеспечение обратной совместимости при разграничении доступа к файловому документу множеством приложений.

Изобретение относится, в общем, к компьютерной технике и, более конкретно, к защите контента в вычислительных окружениях. Техническим результатом является повышение надежности защиты контента.

Изобретение относится к вычислительной технике. Технический результат заключается в повышении защищенности информации за счет совместного применения нескольких факторов аутентификации пользователей. Система защиты информации от несанкционированного доступа к информации, содержащей сведения, составляющие государственную тайну, содержит множество систем защиты информации пользователей, множество автоматизированных рабочих мест пользователей и функциональных серверов, сетевую магистраль, сервер-контроллер домена, сервер безопасности и базу данных сервера безопасности, по крайней мере, одно автоматизированное рабочее место администратора и одну систему защиты информации администратора, причем каждая система защиты информации пользователя содержит агент безопасности, систему разделения доступа пользователя и базу данных средств усиленной аутентификации пользователя, система защиты информации администратора содержит агент-администратор безопасности, систему разделения доступа администратора безопасности и базу данных средств усиленной аутентификации администратора, при этом автоматизированные рабочие места пользователей дополнительно содержат аппаратно-программные модули доверенной загрузки, кроме того, все автоматизированные рабочие места содержат средства усиленной аутентификации. 1 з.п. ф-лы, 1 ил.

Изобретение относится к вычислительной технике и электросвязи, предназначено для решения задач защиты компьютерной информации. Наиболее предпочтительной областью использования изобретения является построение генераторов псевдослучайных чисел (ГПСЧ), а также криптографических примитивов хеширования, блочного и поточного шифрования. Техническим результатом изобретения является повышение криптостойкости и увеличение быстродействия итеративного криптографического преобразования данных. Указанный технический результат при осуществлении изобретения достигается тем, что в итеративном криптографическом преобразовании данных, включающем формирование из секретного ключа с помощью процедуры разворачивания ключа последовательности раундовых ключей K1, K2,…, KR, где R - число раундов преобразования; формирование по входному блоку М блока С в соответствии с выражением С:=М; выполнение R раундов преобразования, при этом преобразование блока данных на i-м раунде записывается в виде С:=Е(С, Ki), где Е() - раундовая функция преобразования, Ki - раундовый ключ, используемый на i-м раунде, полученное значение С:=Е(С, Ki) при i<R поступает на вход следующего раунда, а результат действия последнего раунда С:=Е(С, KR) является результатом преобразования; дополнительно из каждого раундового ключа Ki формируют N раундовых подключей Ki1, Ki2,…, KiN, где N - число траекторий раундовых преобразований в каждом раунде; при выполнении каждого i-го раунда создают N копий Сi1, Ci2,…, СiN входного блока данных С, каждую копию Cij подвергают стохастическому преобразованию Eij, которое записывается в виде Cij:=Eij(Cij, Kij), преобразованные значения Cij поступают на входы комбинационной схемы F, функцией которой является параллельная композиция различных траекторий раундовых преобразований, результат действия комбинационной схемы С:=F(Ci1, Сi2,…, CiN) объявляют результатом раунда. В частном случае стохастическое преобразование Еij включает представление входного блока Cij, промежуточных результатов преобразования и раундового подключа Kij в виде квадратного массива бит размерностью 8×8; сложение по модулю два (XOR) входного блока Cij и раундового подключа Kij, разбиение результата на строки r1, r2,…, r8 и выполнение для каждой строки операции замены с использованием таблицы S размерностью 8×256; разбиение результата на столбцы с1, с2,…, с8 и выполнение для каждого столбца операции замены с использованием таблицы S размерностью 8×256. Благодаря совокупности перечисленных решений увеличивается криптостойкость преобразования за счет выполнения последовательной и параллельной композиции раундовых преобразований и повышается быстродействие за счет появления возможности сокращения числа раундов и выполнения всех раундовых преобразований Cij:=Eij(Cij, Kij) параллельно. 2 з.п. ф-лы, 3 ил.

Изобретение относится к системам технических средств защиты авторских прав. Технический результат заключается в уменьшении вероятности несанкционированного доступа к обновлениям программ. Определяют период времени, в который действительно разрешение доступа к сервису, в соответствии с сообщением о разрешении доступа с зависящей от сервиса идентификацией пользователя. Деактивируют разрешение. Разрешают доступ к сервису с использованием прежней зависящей от сервиса идентификации пользователя для продления или реактивации, когда с момента последнего временного интервала, в течение которого был открыт доступ к сервису при помощи разрешения доступа к сервису, уже прошел заданный промежуток времени, в котором осуществляется отсчет истекшего времени и запрет продления или возобновления доступа с применением уже задействовавшегося идентификатора пользователя, относящегося к определенному сервису, при достижении или превышении использованным временем заданного предела действия авторизации. 6 н. и 26 з.п. ф-лы, 11 ил.

Изобретение относится к управлению цифровыми правами, а именно к управлению доступом к зашифрованным элементам данных. Техническим результатом является повышение защищенности данных. Способ шифрования элемента данных, содержащий: шифрование (103), используя ключ (102) симметричного шифрования, элемента (100) данных для получения зашифрованного элемента (104) данных, и шифрование (105), согласно основанной на идентификационной информации схеме шифрования с идентификатором (101) элемента (100) данных и главным открытым ключом, упомянутого ключа (102) симметричного шифрования для получения зашифрованного ключа (106) шифрования, предоставление запрашивающему дешифровального ключа (201) для дешифрования зашифрованного ключа (106) шифрования, где дешифровальный ключ предоставляется в ответ на запрос на разрешение, включающее дешифровальный ключ (201), которое должно быть выдано запрашивающему, запись в журнал предоставленного дешифровального ключа (201), и выполнение регулярной проверки. 3 н. и 1 з.п. ф-лы, 3 ил.

Способ шифрования с использованием ключа K шифрования с длиной k ключа по меньшей мере одного сообщения M, содержащего однородно распределенные символы, причем k битов шифруют (830) из сообщений длиной по меньшей мере k битов, в то время как более короткие сообщения удлиняются (840), например, посредством заполнения незначащей информацией или последовательного соединения для получения удлиненного сообщения длиной по меньшей мере k битов перед шифрованием. Таким образом оптимизируется эффективность шифрования при сохранении криптографической защиты. В частности, способ шифрования подходит для содержащих сообщение M пакетов, кодированных алгоритмом JPEG2000. Также предусмотрены устройство (710) шифрования, способ дешифрования и устройство (910) дешифрования. 4 н. и 2 з.п. ф-лы, 9 ил.

Изобретение относится к вычислительной технике, в частности к средствам защиты от несанкционированного доступа к информации. Технический результат заключается в повышении надежности устройства хранения данных и обеспечении более высокой степени безопасности хранения информации. Устройство хранения данных содержит блок управления, первая группа входов-выходов которого соединена с группой входов-выходов блока памяти, причем дополнительно введены блок коммутации ключевых цепей и блок защиты ключевых цепей, группа входов которого является группой входов устройства хранения данных, а группа выходов соединена с группой входов блока коммутации ключевых цепей, первая группа входов-выходов которого является группой входов-выходов устройства хранения данных, а вторая группа входов-выходов соединена со второй группой входов-выходов блока управления. 2 н. и 3 з.п. ф-лы, 5 ил.

Изобретение относится к вычислительной технике. Технический результат заключается в повышении безопасности проверки подлинности. Способ верификации динамического пароля, в котором создают мобильным устройством исходный код с помощью программного обеспечения токена и передают этот код через веб-страницу серверу верификации; после верификации исходного кода мобильное устройство с помощью алгоритма Диффи-Хеллмана создает ключ Диффи-Хеллмана согласно своему закрытому ключу Диффи-Хеллмана; и с помощью алгоритма хэширования создает начальное значения токена согласно своему ключу Диффи-Хеллмана; и создает текущий динамический пароль путем выполнения заранее заданного алгоритма обработки начального значения токена и текущего времени и передает этот пароль через веб-страницу серверу верификации; создают сервером верификации динамический пароль сервера верификации в соответствии с полученным исходным кодом с помощью того же алгоритма Диффи-Хеллмана, который был использован мобильным устройством; сервер верификации сравнивает динамический пароль сервера верификации с динамическим паролем, созданным мобильным устройством, и проверяют правильность динамического пароля, созданного мобильным устройством. 2 н. и 11 з.п. ф-лы, 6 ил., 1 табл.

Изобретение относится к вычислительной технике. Технический результат заключается в улучшении защиты от распространения неизвестного вредоносного ПО. Способ аппаратного обнаружения и лечения неизвестного вредоносного ПО, установленного на ПК содержит этапы, на которых: подготавливают и осуществляют серию экспериментов, при этом экспериментом является осуществление имитации подключения к проверяемому ПК внешнего устройства или другого ПК, заполненного какой-либо информацией; производят анализ изменений в информации на имитируемых внешних устройствах или других ПК, полученных в ходе всех экспериментов; определяют в рамках анализа наличие неизвестного вредоносного ПО на проверяемом ПК, которое нарушает целостность информации на имитируемых внешних устройствах или других ПК, и определяют, возможно ли механизмом лечения удалить обнаруженное неизвестное вредоносное ПО, при этом: если обнаружено неизвестное вредоносное ПО на проверяемом ПК, для которого существует возможность удаления с помощью механизма лечения, то формируют механизм лечения и применяют его к проверяемому ПК. 2 н. и 26 з.п. ф-лы, 4 ил.

В заявке описаны способы и устройство для аутентификации абонентов с использованием инфраструктуры открытых ключей (PKI) в среде IP-телефонии, такой как сеть IMS. Для аутентификации пользователя абонентского устройства при попытке получения доступа к сети IP-телефонии получают один или несколько индивидуальных ключей абонента из защищенной памяти, связанной с абонентским устройством; генерируют ключ целостности и ключ шифрования; шифруют ключ целостности и ключ шифрования с использованием сеансового ключа; шифруют сеансовый ключ открытым ключом сети IP-телефонии; и предоставляют зашифрованный сеансовый ключ, зашифрованный ключ целостности и зашифрованный ключ шифрования сети IP-телефонии для аутентификации. Также описан осуществляемый в сети способ аутентификации абонента в сети IP-телефонии. 3 н. и 4 з.п. ф-лы, 4 ил.

Изобретение относится к средствам управления лицензиями. Технический результат заключается в уменьшении вероятности несанкционированного доступа к группе прикладных программ. Модуль генератора идентификатора лицензии формирует идентификатор лицензии и информацию о лицензии, соответствующие группе прикладных программ, при этом идентификатор лицензии связан с идентификатором группы собственно группы и информацией о лицензии группы. Модуль хранения информации о группе хранит идентификатор группы с идентификатором продукта каждой прикладной программы. Модуль хранения информации о лицензии записывает идентификатор лицензии, соответствующий идентификатору группы с идентификатором продукта прикладной программы. Модуль определения определяет по приему идентификатора лицензии, связанного с прикладной программой, записан ли в модуле хранения информации о лицензии принятый идентификатор лицензии. Модуль отправки отправляет по сети, если принятый идентификатор лицензии записан в модуле хранения информации о лицензии, файл лицензии, соответствующий записанному идентификатору лицензии, чтобы предоставить разрешение на использование прикладной программы группы. 3 н. и 10 з.п. ф-лы, 53 ил.
Наверх