Способ и система повышения безопасности электронных транзакций через интернет

Авторы патента:

G06F21/57 - Обработка цифровых данных с помощью электрических устройств (вычислительные машины, в которых часть вычислений осуществляется гидравлическими или пневматическими устройствами G06D; оптическими средствами G06E; автономные внешние вводные и выводные устройства G06K; компьютерные системы, основанные на специфических вычислительных моделях G06N; цепи полного /активного и реактивного/ сопротивления H03H)

Владельцы патента RU 2519503:

Закрытое акционерное общество "Аладдин Р.Д." (RU)

Изобретение относится к средствам обеспечения безопасности электронных сетевых транзакций. Техническим результатом является повышение безопасности электронных транзакций через Интернет. Выполняют процедуру усиленной (многофакторной) аутентификации клиентов и серверов, процедуры хеширования, подписывания электронной подписью и проверки электронной подписи клиентов и серверов. Выполняют процесс сканирования программной среды клиентов, после чего принимают решения о критичности или не критичности обнаруженных у клиентов системы уязвимостей программной среды. В процессе взаимодействия участников производят архивирование копий решений клиентов и серверов, подписанных их электронными подписями, о продолжении или закрытии сеансов работы клиентов с серверами. 2 н. и 6 з.п. ф-лы, 1 ил.

Изобретение относится к области электронных сетевых транзакций через Интернет, в частности, данное техническое решение относится к повышению безопасности при проведении таких транзакций при отсутствии доверенной программной среды на устройстве клиента.

Одной из самых серьезных проблем при обеспечении безопасности выполнения транзакций и других важных операций непосредственно в электронной форме через Интернет является проблема обеспечения доверенной среды исполнения программ на стороне клиента.

Пользователи таких популярных сервисов, как дистанционное банковское обслуживание (ДБО), порталы государственных услуг (ПГУ), системы сдачи различных видов отчетности в государственные органы в электронном виде, системы электронного таможенного декларирования товаров, системы электронного документооборота и им подобных хотят иметь возможность работать со своими счетами и другими важными данными (учетными записями, справками о состоянии счетов и т.п.) непосредственно:

- с персональных компьютеров;

- с планшетов;

- со смартфонов;

- с других, часто неожиданных, мобильных устройств (например, современных медиа-плееров).

При этом пользователь настоятельно желает иметь возможность работать, не только находясь перед компьютером в офисе или дома, но также и во время переговоров, конференций, выставок (т.е. на чужой территории), в дороге, в командировке - везде, где нужно. Сегодня всеми настоятельно востребована мобильность.

Создание доверенной среды на стороне пользователя в принципе возможно только в системах корпоративного типа (т.е. в таких системах, в которых круг пользователей заведомо ограничен и четко очерчен заранее).

Но даже в таких системах практически это можно реализовать далеко не для всех платформ, средства создания такой среды не всегда работают на мобильных устройствах, и всегда реализация таких средств обходится очень дорого. Поэтому все подобные решения имеют весьма ограниченное распространение.

В системах общего пользования, основанных на использовании сетевых электронных транзакций, владельцы сетевых ресурсов или сетевых сервисов вынуждены мириться с тем, что массовый пользователь системы не обеспечивает на своей стороне доверенной программной среды. Они также вынуждены принимать на себя возникающие при этом дополнительные риски, связанные с возможной фальсификацией электронных данных, которые поступают владельцу сервиса подписанными электронной подписью клиента.

Предлагаемое решение позволяет для всех участников системы общего пользования (т.е. такой системы, круг пользователей которой потенциально не ограничен) или корпоративной системы с очень большим количеством участников значительно уменьшить риски, связанные с тем, что на клиентском устройстве доверенной программной среды не создается.

Предпосылкой для создания предлагаемого решения послужил тот факт (многократно подтвержденный эмпирически в различных реальных ситуациях, и даже статистически проверенный в системах с массовым клиентом), что подавляющее большинство современных атак на программно-аппаратные плат4юрмы, с которых клиенты работают с сетевыми сервисами, представляет собой эксплуатацию известных уязвимостей системного и прикладного программного обеспечения используемых программных платформ.

Разработчики программного обеспечения прилагают значительные усилия для своевременного устранения уязвимостей и регулярно выпускают так называемые "заплатки" или новые версии программного обеспечения.

Однако подавляющее большинство пользователей систем общего доступа процесс выпуска разработчиком "заплаток" и новых версий используемых программ не отслеживает и вовремя на свои устройства не устанавливает. Именно такие пользователи и являются, в первую очередь, жертвами хакерских атак через сеть, а через них и владельцы сетевых ресурсов или сервисов.

Такое отсутствие доверенной программной среды на стороне пользователя чревато особенно опасными последствиями в тех системах, которые основаны на сетевых транзакциях, аутентичность которых подтверждается при помощи электронной подписи передаваемых данных.

Поскольку при этом подтверждение правильности электронной подписи клиента под присланным сообщением является практически единственным и решающим фактором для принятия весьма серьезных решений владельцем сетевого ресурса или сервиса, то снижение рисков владельца сетевого ресурса или сервиса приобретает особую важность и актуальность.

Именно для таких ситуаций рядом производителей программных или программно-аппаратных систем обеспечения безопасности сетевых электронных транзакций и предлагаются специальные технические решения.

Большинство из наиболее надежных решений такого рода основаны на применении специальных аппаратных устройств на стороне пользователя, которые используются для генерации и защищенного хранения персональных секретных ключей для шифрования передаваемых сообщений и ключей для подписывания электронной подписью передаваемых по сети данных.

Но само по себе наличие у пользователя такого устройства еще не гарантирует достаточного повышения безопасности электронных транзакций, даже при использовании электронной подписи передаваемых по сети данных, поскольку даже при использовании абсолютно надежного средства электронной подписи с хранением ключа электронной подписи только внутри устройства в недоверенной программной среде возникает реальная опасность подмены подписываемых данных или непосредственно на устройстве пользователя перед их подписыванием электронной подписью, или в процессе их визуализации для клиента, или даже после выполнения процедуры их хеширования.

С целью повышения безопасности электронных транзакций через Интернет, а также снижения риска (как для клиента, так и для владельца сетевого сервиса) быть атакованным через эксплуатацию уязвимости на вычислительном устройстве клиента, реализованы система и способ повышения безопасности электронных сетевых транзакций через Интернет в корпоративных системах и системах общего доступа.

Ниже, в упрощенном виде, представлено раскрытие одного или нескольких вариантов осуществления технического решения для обеспечения понимания сущности таких вариантов осуществления. Это раскрытие не является обширным обзором и не призвано ни идентифицировать ключевые или критические элементы, ни ограничивать объем вариантов осуществления. Единственной целью является представление некоторых концепций одного или нескольких вариантов осуществления в упрощенной форме.

Предлагаемый способ повышения безопасности электронных сетевых транзакций через Интернет в корпоративных системах и системах общего доступа содержит следующие этапы:

выполняют обращение с клиентского устройства на сервер основного сервиса;

устанавливают защищенное соединение между клиентским устройством и сервером основного сервиса;

производят процедуру усиленной (многофакторной) аутентификации клиента для основного сервиса;

проверяют, доступен ли в данный момент сервер повышения безопасности сетевых транзакций (СПБ), при этом

при недоступном в данный момент СПБ принимают решение о возможности продолжении открытого сеанса работы с клиентом без проверки уязвимостей программной среды клиентского устройства, а при наличии доступа к СПБ в данный момент, направляют клиентскому устройству сетевой адрес СПБ, заверенный электронной подписью сервера, основного сервиса, для переадресации клиента на СПБ;

после перехода клиента на СПБ производят сканирование программной среды клиентского устройства и выдают заключение об отсутствии или наличии на клиентском устройстве допустимых или не допустимых (критичных) с точки зрения безопасности уязвимостей, при этом

при отсутствии известных уязвимостей передают управление серверу основного сервиса, а при наличии у клиента каких-то из известных уязвимостей проверяют наличие каких-либо известных уязвимостей, считающихся критичными, причем

при отсутствии уязвимостей, признаваемых критичными с точки зрения безопасности, информацию об обнаруженных уязвимостях и возможности их устранения сохраняют в СПБ и передают серверу основного сервиса, после чего передают управление серверу основного сервиса; а

при наличии критичных уязвимостей проверяют - возможно ли в настоящий момент устранение этих уязвимостей путем установки дополнительных компонентов или обновления существующих компонентов программного обеспечения;

при наличии возможности устранения критичных уязвимостей предлагают клиенту произвести установку на клиентское устройство необходимых компонентов для устранения критичных уязвимостей, причем при отказе клиента от устранения критичных уязвимостей предлагают клиенту подписать электронной подписью принимаемое им решение;

сохраняют в СПБ подписанное клиентом решение или информацию об отказе клиента, после чего передают управление и право принятия решения о продолжении или принудительном закрытии открытого сеанса работы с клиентом серверу основного сервиса;

при обнаружении СПБ неустранимых в данный момент критичных уязвимостей передают информацию об этом и право принятия решения о продолжении или принудительном закрытии открытого сеанса работы с клиентом серверу основного сервиса;

при принятии сервером основного сервиса решения о продолжении сеанса, направляют клиенту требование подписать данное решение электронной подписью, причем

при согласии клиента подписать это решение копия его вместе с электронной подписью клиента передают в архив СПБ, а

при отказе клиента подписать это решение принудительно закрывают открытый сеанс сервером основного сервиса.

В частном случае выполнения при обнаружении уязвимостей визуализируют информацию по обнаруженным уязвимостям на клиентском устройстве, и предлагают клиенту прекратить сеанс работы с основным сервисом для устранения уязвимостей. В случае отказа клиента визуализируют предупреждение о возможных последствиях принятого решения.

В еще одном частном случае выполнения сервер основного сервиса проверяет, можно ли работать с обнаруженными уязвимостями. При принятии сервером основного сервиса решения, что с такими уязвимостями продолжать работу нельзя, информируют клиента о необходимости смены программного обеспечения (ПО) либо клиентского устройства и невозможности продолжения работы с сервисом с такими уязвимостями. После чего принудительно завершают сеанс работы с основным сервисом. А при принятии решения о возможности продолжения работы сервером основного сервиса фиксируют факт отказа клиента от устранения уязвимостей и продолжают сеанс работы с основным сервисом.

Предлагаемая система повышения безопасности электронных сетевых транзакций через Интернет в корпоративных системах и системах общего доступа содержит:

клиентские устройства, имеющие функцию доступа в Интернет;

сервер основного сервиса;

сервер (серверы) повышения безопасности сетевых транзакций (СПБ).

При этом каждое клиентское устройство содержит средство для обращения к серверу основного сервиса; средство для установки защищенного соединения с сервером основного сервиса; средство для выполнения процедуры усиленной (многофакторной) аутентификации на сервере основного сервиса средство для присоединения электронной подписи к документам.

СПБ содержит средство сканирования программной среды клиентского устройства на отсутствие или наличие на клиентском устройстве допустимых или недопустимых (критичных) с точки зрения безопасности уязвимостей; базу «программных заплаток» или обновлений; средство проверки возможности устранения уязвимостей на клиентском устройстве; средство передачи информации об обнаруженных уязвимостях и возможности их устранения клиентскому устройству и серверу основного сервиса; архив, предназначенный для хранения информации об обнаруженных уязвимостях и возможности их устранения, решения о продолжении сеанса работы с сервером основного сервиса, несмотря на критичные уязвимости, информации об отказе клиента устранить уязвимости, электронной подписи клиента.

Сервер основного сервиса содержит средство для установки защищенного соединения с клиентским устройством; средство для выполнения процедуры усиленной (многофакторной) аутентификации клиента; средство проверки, доступен ли в данный момент СПБ. При этом, в случае недоступности СПБ в данный момент, сервер основного сервиса выполнен с возможностью принимать решение о возможности продолжения открытого сеанса работы с клиентским устройством без проверки уязвимостей программной среды клиентского устройства, а при наличии доступа к СПБ в данный момент, сервер основного сервиса выполнен с возможностью автоматически направить клиента на сервер повышения безопасности, путем отправки клиентскому устройству сетевого адреса СПБ, заверенного электронной подписью сервера основного сервиса. Сервер основного сервиса выполнен с возможностью принятия решения о продолжении или принудительном закрытии открытого сеанса работы с клиентом при обнаружении критичных уязвимостей.

Сервер основного сервиса дополнительно выполнен с возможностью завершать работу с клиентом в случаях, когда клиент принимает решение об устранении критичных уязвимостей.

Использование защищенного соединения между клиентским устройством и сервером основного сервиса, выполнение усиленной (многофакторной) аутентификации клиента для основного сервиса, а также проверка клиентского устройства на наличие уязвимостей, и информирование о фактах их обнаружения, позволяют повысить безопасность электронных транзакций через Интернет при отсутствии доверенной программной среды на клиентском устройстве.

Хранение копий всех записей об обнаруженных уязвимостях и решениях с электронной подписью принявших участников системы в архивах с возможностью в дальнейшем использовать их при разрешении возможных споров между клиентом и владельцем основного сервиса, позволяет снизить риски участников системы при отсутствии доверенной программной среды на клиентском устройстве.

На фигуре представлена примерная блок-схема работы и основные функции предлагаемого технического решения.

Система повышения безопасности сетевых транзакций содержит:

сетевые серверы, предоставляющие некоторый набор услуг или ресурсов посредством обмена данными в электронном виде при доступе пользователей через Интернет (далее по тексту - основные сервисы);

специальный сетевой сервер (или серверы) повышения безопасности электронных сетевых транзакций (далее - СПБ);

устройства пользователей основных сервисов, осуществляющих доступ к основным сервисам через Интернет (далее по тексту - клиенты);

аппаратные устройства, как на серверах, так и у клиентов, служащие для генерации и защищенного хранения персональных ключей пользователей для электронной подписи и организации защищенного канала между клиентами и серверами системы.

При работе системы выполняют:

процедуру усиленной (многофакторной) аутентификации клиентов и серверов;

процедуры хеширования, подписывания электронной подписью и проверки электронной подписи клиентов и серверов системы;

процесс сканирования программной среды клиентов с помощью СПБ;

процесс принятия решений о критичности или не критичности обнаруженных у клиентов системы уязвимостей программной среды;

процедуры архивирования и хранения копий решений клиентов и серверов системы, подписанных их электронными подписями, о продолжении или закрытии сеансов работы клиентов с серверами системы.

С целью обеспечения возможности юридического разбирательства возможных споров по электронным документам в системе:

фиксируют факты решений серверов основных сервисов системы о закрытии конкретных сеансов работы при наличии критичных уязвимостей, выявленных СПБ в процессе сканирования программной среды клиента;

фиксируют факты решений серверов основных сервисов системы о продолжении конкретных сеансов работы при наличии критичных уязвимостей, выявленных СПБ в процессе сканирования программной среды клиента;

фиксируют факты решений клиента об отказе от рекомендованных мер по устранению выявленных СПБ критичных с точки зрения безопасности уязвимостей в программной среде клиента.

Копии всех записей об этих решениях с электронной подписью принявших участников системы хранятся в архивах основного сервиса, и в дальнейшем могут быть использованы при разрешении возможных споров между клиентом и владельцем основного сервиса.

С целью обеспечения более глубокого, адекватного потенциальным угрозам и быстрого анализа при сканировании сервером СПБ уровня безопасности программной среды клиентов системы, клиентам и серверам системы дополнительно к основным устройствам и программам придаются дополнительные компактные аппаратные устройства (токены, смарт-карты, микро SD, SIM-карты и т.п.), сопровождаемые соответствующими программами (драйверами), которые устанавливаются и активизируются у клиентов и на серверах системы перед началом работы.

На фигуре представлена блок-схема одного из вариантов алгоритма работы предлагаемых системы и способа.

Далее подробно описана работа предлагаемой системы.

- пользователь сетевого сервиса с помощью своего программного обеспечения (далее по тексту - клиент) выполняет обращение на сервер оказания определенной сетевой услуги (далее по тексту - основной сервис);

- стандартными средствами, принятыми при Интернет-соединениях (SSL/TLS протокол), или другими доступными для клиента и сервера средствами устанавливается защищенное соединение между клиентом и сервером основного сервиса;

- производится процедура усиленной (многофакторной) аутентификации клиента для основного сервиса;

- сервер основного сервиса проверяет, доступен ли в данный момент сервер повышения безопасности сетевых транзакций (СПБ);

- при недоступном в данный момент СПБ сервер основного сервиса принимает решение о возможности продолжении открытого сеанса работы с клиентом без проверки уязвимостей программной среды на стороне последнего;

- при наличии доступа к СПБ в данный момент, сервером основного сервиса клиент автоматически адресуется на сервер повышения безопасности, для чего ему направляется сетевой адрес СПБ, заверенный электронной подписью сервера основного сервиса;

- после перехода клиента на СПБ последний производит сканирование программной среды (браузера и других доступных программному сканеру элементов программной среды) на стороне клиента и выдает заключение об отсутствии или наличии на стороне клиента допустимых или не допустимых (критичных) с точки зрения безопасности уязвимостей;

- при отсутствии известных уязвимостей программной среды на стороне клиента управление передается серверу основного сервиса;

- при наличии у клиента каких-то из известных уязвимостей проверяется наличие на стороне клиента каких-либо известных уязвимостей, считающихся критичными;

- при отсутствии на стороне клиента уязвимостей, признаваемых СПБ критичными с точки зрения безопасности, ему и серверу основного сервиса передается информация об обнаруженных уязвимостях и возможности их устранения, а управление передается серверу основного сервиса;

- при наличии на стороне клиента критичных уязвимостей СПБ проверяет по своей базе «программных заплаток» или обновлений возможно ли в настоящий момент устранение этих уязвимостей путем установки дополнительных компонентов или обновления существующих компонентов программного обеспечения на стороне клиента;

- при наличии такой возможности устранения критичных уязвимостей на стороне клиента, последнему предлагается прекратить открытый сеанс работы с основным сервисом и произвести установку на его устройство необходимых программных компонент для устранения критичных уязвимостей, обнаруженных СПБ;

- при принятии клиентом такого решения сеанс работы с основным сервисом автоматически заканчивается;

- при отказе клиента от предложенного СПБ устранения критичных уязвимостей клиенту предлагается подписать своей электронной подписью принимаемое им решение, а основному сервису предоставляется право принять решение о продолжении или прекращении открытого сеанса работы с клиентом;

- при отказе клиента от подписывания решения об отказе от устранения обнаруженных СПБ критичных уязвимостей и подписании им своей электронной подписью этого решения СПБ передает управление и право принятия решения о продолжении открытого сеанса работы с клиентом серверу основного сервиса;

- при обнаружении СПБ на стороне клиента не устранимых в данный момент критичных с точки зрения безопасности уязвимостей он передает информацию об этом и право принятия решения о продолжении или принудительном закрытии открытого сеанса работы с клиентом серверу основного сервиса;

- при принятии сервером основного сервиса решения о продолжении сеанса, клиенту направляется требование подписать данное решение электронной подписью;

- при подписании клиентом этого решения копия его вместе с электронной подписью клиента помещается в архив СПБ и может быть в дальнейшем использовано при разрешении возможных споров между клиентом и владельцем основного сервиса;

- при отказе клиентом от подписывания этого решения, открытый сеанс принудительно закрывается сервером основного сервиса.

В частном случае выполнения при обнаружении уязвимостей визуализируют информации по обнаруженным уязвимостям на клиентском устройстве и предлагают клиенту прекратить сеанс работы с основным сервисом для устранения уязвимостей. В случае отказа клиента визуализируют предупреждение о возможных последствиях принятого решения.

Сервер основного сервиса проверяет можно ли работать с такими уязвимостями. При принятии сервером основного сервиса решения, что с такими уязвимостями продолжать работу нельзя, информируют клиента о необходимости смены программного обеспечения (ПО) либо устройства и невозможности предоставления сервиса в текущем контексте. После чего принудительно завершают сеанс работы. При принятии решения о возможности продолжения работы сервером основного сервиса фиксируют факт отказа клиента от устранения уязвимостей и продолжают сеанс работы.

В одном из возможных вариантов интегрированный сервис работает на основе JC-WebClient & SurfPatrol=JC Web Patrol Service.

Рассмотрим данный вариант предлагаемых способа и системы со ссылками на представленную фигуру:

1. Клиент обращается к серверу основного сервиса. При этом используются средства организации защищенного соединения по протоколу TLS, доступные на используемом клиентом устройстве и при используемых клиентом ОС и браузере.

2. Производится строгая двухфакторная аутентификация клиента путем подписывания им специального запроса сервера (или другим эквивалентным способом) при помощи ключа электронной подписи, хранимого внутри токена или смарт-карты, доступ к которому открывается по паролю.

3. Сервер основного сервиса (ОСС), например, сервер ДБО, сервер портала государственных услуг, сервер электронной торговой площадки и т.д., проверяет, доступен ли Сервер Повышения Безопасности (СПБ). Если СПБ недоступен, перейти к 18.

4. Клиент адресуется на СПБ, для чего ему направляется URL последнего, подписанный ЭП сервера основного сервиса.

5. СПБ сканирует состояния ОС и браузера клиента на предмет известных уязвимостей. При отсутствии таких уязвимостей - перейти к 18.

6. СПБ сканирует состояния ОС и браузера клиента на предмет известных уязвимостей, которые считаются критическими. При отсутствии таких уязвимостей - перейти к 15.

7. СПБ проверяет по БД известных критичных уязвимостей возможно ли устранение обнаруженных у клиента критичных уязвимостей. При отсутствии такой возможности - перейти к 19.

8. СПБ информирует клиента об обнаруженных в его ОС и браузере «некритичных уязвимостях» и о «критичных уязвимостях», и предлагает ему принять решение о продолжении сессии. Перейти к 9.

9. Клиент, получив от СПБ информацию о найденных у него уязвимостях, принимает решение о продолжении сессии с ОСС. При решении о продолжении сессии - перейти к 10, при решении прервать сессию - перейти к 18.

10. СПБ информирует клиента о возможных последствиях и предлагает ему принять решение о продолжении сессии. Перейти к 11.

11. Клиент, получив от СПБ информацию о возможных последствиях, принимает решение о продолжении сессии с ОСС. Решение «да» предлагается подписать ЭП. При решении о продолжении сессии - перейти к 12, при решении прервать сессию - перейти к 18.

12. СПБ запрашивает у ОСС информацию о возможности продолжения сессии с такими «критичными уязвимостями». При наличие такой возможности - перейти к 13, в противном случае - перейти к 14.

13. СПБ фиксирует факт отказа клиента от устранения «критичных уязвимостей». Перейти к 18.

14. СПБ информирует клиента о недопустимости продолжения сессии с ОСС с такими «критичными уязвимостями» и необходимости смены устройства или ПО. Перейти к 18.

15. СПБ информирует клиента об обнаруженных в его ОС и браузере «некритичных уязвимостях», о возможности устранения обнаруженных уязвимостей. Перейти к 16.

16. Клиент, получив от СПБ информацию о найденных у него уязвимостях и возможности их устранения, принимает решение о продолжении сессии с ОСС. Решение «да» предлагается подписать ЭП. При решении о продолжении сессии - перейти к 17, при решении прервать сессию - перейти к 18.

17. Продолжить работу клиента с ОСС.

18. ОСС, получив информацию о недоступности СПБ или информацию от СПБ о найденных у клиента критичных или некритичных уязвимостях и о возможности или невозможности их устранения, а также при желании клиента продолжить сессию без устранения уязвимостей и подписании клиентом этого решения, принимает решение о продолжении сессии с клиентом. При решении о продолжении сессии - перейти к 17. При решении прервать сессию или при отказе клиента подписать решение о продолжении сессии - перейти к 21.

19. СПБ запрашивает у ОСС информацию о возможности продолжения сессии с такими неустранимыми «критичными уязвимостями». При наличие такой возможности - перейти к 20, в противном случае - перейти к 14.

20. СПБ информирует клиента об обнаруженных в его ОС и браузере неустранимых «критичных уязвимостях» и устранимых «критичных уязвимостях». СПБ предлагает клиенту принять решение о продолжении сессии. Перейти к 9.

21. Завершить сеанс работы с клиентом.

В предлагаемом техническом решении не рассматривается способ проверки каждой из уязвимостей. Оптимальной, с точки зрения затрат ресурсов и времени, проверкой будет получение информации от браузера, антивирусного ПО и операционной системы о текущих версиях, датах обновления и сличение с данными поставщиков каждого конкретного ПО (или через сайты поставщиков ПО, например, через обращения к соответствующим центрам загрузки, или сличением с текущими показателями, хранящимися в специализированной базе данного сервиса).

Заявленное техническое решение одинаково применимо для таких популярных сервисов, как: дистанционное банковское обслуживание (ДБО), порталы государственных услуг (ПГУ), системы сдачи различных видов отчетности в государственные органы в электронном виде, системы электронного таможенного декларирования товаров, системы электронного документооборота, и им подобных.

Используемые в этой заявке термины "компонент" и "средство" относятся к компьютерной сущности, которая представляет собой либо оборудование, либо комбинацию оборудования и программного обеспечения, либо программное обеспечение, либо выполняемое программное обеспечение. Например, компонент/средство может представлять собой, но без ограничения, процесс, выполняющийся на процессоре, процессор, привод жесткого диска, множественные приводы (оптического и/или магнитного носителя), объект, выполнимый модуль, поток выполнения, программу и/или компьютер. В порядке иллюстрации, компонентом/средством может быть как приложение, выполняющееся на сервере, так и сам сервер. Один или несколько компонентов/средств могут размещаться с процессе и/или потоке выполнения, и компонент/средство может размещаться на одном компьютере и/или распределяться между двумя или несколькими компьютерами.

В общем случае, программные модули включают в себя процедуры, программы, объекты, компоненты, структуры данных и т.д., которые выполняют определенные задачи или реализуют определенные абстрактные типы данных. Кроме того, специалистам в данной области техники очевидно, что способ, отвечающий данному техническому решению, можно осуществлять на практике посредством других конфигураций компьютерной системы, в том числе однопроцессорных или многопроцессорных компьютерных систем, миникомпьютеров, универсальных компьютеров, а также персональных компьютеров, карманных вычислительных устройств, микропроцессорных или программируемых потребительских электронных приборов и пр., каждый их которых имеет необходимые компоненты и функции для выполнения поставленных задач.

Выше были описаны примеры раскрытой архитектуры. Конечно, невозможно описать все мыслимые комбинации компонентов или способов, но специалисту в данной области техники очевидно, что возможны многие дополнительные комбинации и перестановки. Соответственно, новая архитектура призвана охватывать все такие изменения, модификации и вариации, которые отвечают сущности и объему представленной формулы. Кроме того, в той степени, в которой термин "включает в себя" используется в подробном описании или в формуле изобретения, такой термин призван быть включительным аналогично термину "содержащий", поскольку "содержащий" интерпретируется при использовании в качестве переходного слова в формуле изобретения.

1. Способ повышения безопасности электронных сетевых транзакций через Интернет в корпоративных системах и системах общего доступа, содержащий следующие этапы:
выполняют обращение с клиентского устройства на сервер основного сервиса;
устанавливаются защищенное соединение между клиентским устройством и сервером основного сервиса;
производят процедуру усиленной (многофакторной) аутентификации клиента для основного сервиса;
проверяют, доступен ли в данный момент сервер повышения безопасности сетевых транзакций (СПБ), при этом
при недоступном в данный момент СПБ принимают решение о возможности продолжении открытого сеанса работы с клиентом без проверки уязвимостей программной среды клиентского устройства, а при наличии доступа к СПБ в данный момент, направляют клиентскому устройству сетевой адрес СПБ, заверенный электронной подписью сервера основного сервиса, для переадресации клиента на СПБ;
после перехода клиента на СПБ производят сканирование программной среды клиентского устройства и выдают заключение об отсутствии или наличии на клиентском устройстве допустимых или не допустимых (критичных) с точки зрения безопасности уязвимостей, при этом
при отсутствии известных уязвимостей передают управление серверу основного сервиса, а при наличии у клиента каких-то из известных уязвимостей проверяют наличие каких-либо известных уязвимостей, считающихся критичными, причем
при отсутствии уязвимостей, признаваемых критичными с точки зрения безопасности, информацию об обнаруженных уязвимостях и возможности их устранения сохраняют в СПБ и передают серверу основного сервиса, после чего передают управление серверу основного сервиса; а
при наличии критичных уязвимостей проверяют - возможно ли в настоящий момент устранение этих уязвимостей путем установки дополнительных компонентов или обновления существующих компонентов программного обеспечения;
при наличии возможности устранения критичных уязвимостей предлагают клиенту произвести установку на клиентское устройство необходимых компонентов для устранения критичных уязвимостей, причем при отказе клиента от устранения критичных уязвимостей предлагают клиенту подписать электронной подписью принимаемое им решение;
сохраняют в СПБ подписанное клиентом решение или информацию об отказе клиента, после чего передают управление и право принятия решения о продолжении или принудительном закрытии открытого сеанса работы с клиентом серверу основного сервиса;
при обнаружении СПБ неустранимых в данный момент критичных уязвимостей передают информацию об этом и право принятия решения о продолжении или принудительном закрытии открытого сеанса работы с клиентом серверу основного сервиса;
при принятии сервером основного сервиса решения о продолжении сеанса, направляют клиенту требование подписать данное решение электронной подписью, причем
при согласии клиента подписать это решение копия его вместе с электронной подписью клиента передают в архив СПБ, а
при отказе клиента подписать это решение принудительно закрывают открытый сеанс сервером основного сервиса.

2. Способ по п.1, в котором при обнаружении уязвимостей визуализируют информации по обнаруженным уязвимостям на клиентском устройстве, и предлагают клиенту прекратить сеанс работы с основным сервисом для устранения уязвимостей.

3. Способ по п.2, в котором в случае отказа клиента визуализируют предупреждение о возможных последствиях принятого решения.

4. Способ по п.1, в котором сервер основного сервиса проверяет можно ли работать с обнаруженными уязвимостями.

5. Способ по п.4, в котором при принятии сервером основного сервиса решения, что с такими уязвимостями продолжать работу нельзя, информируют клиента о необходимости смены программного обеспечения (ПО) либо клиентского устройства и невозможности продолжения работы с сервисом с такими уязвимостями;
принудительно завершают сеанс работы с основным сервисом.

6. Способ по п.4, в котором при принятии решения о возможности продолжения работы сервером основного сервиса фиксируют факт отказа клиента от устранения уязвимостей и продолжают сеанс работы с основным сервисом.

7. Система повышения безопасности электронных сетевых транзакций через Интернет в корпоративных системах и системах общего доступа содержащая:
клиентские устройства, имеющие функцию доступа в Интернет;
сервер основного сервиса;
сервер (серверы) повышения безопасности сетевых транзакций (СПБ); при этом
каждое клиентское устройство содержит средство для обращения к серверу основного сервиса; средство для установки защищенного соединения с сервером основного сервиса; средство для выполнения процедуры усиленной (многофакторной) аутентификации на сервере основного сервиса, средство для присоединения электронной подписи к документам;
СПБ содержит средство сканирования программной среды клиентского устройства на отсутствие или наличие на клиентском устройстве допустимых или недопустимых (критичных) с точки зрения безопасности уязвимостей; базу «программных заплаток» или обновлений; средство проверки возможности устранения уязвимостей на клиентском устройстве; средство передачи информации об обнаруженных уязвимостях и возможности их устранения клиентскому устройству и серверу основного сервиса; архив, предназначенный для хранения информации об обнаруженных уязвимостях и возможности их устранения, решения о продолжении сеанса работы с сервером основного сервиса, несмотря на критичные уязвимости, информации об отказе клиента устранить уязвимости, электронной подписи клиента;
сервер основного сервиса содержит средство для установки защищенного соединения с клиентским устройством; средство для выполнения процедуры усиленной (многофакторной) аутентификации клиента; средство проверки, доступен ли в данный момент СПБ; при этом, в случае недоступности СПБ в данный момент, сервер основного сервиса выполнен с возможностью принимать решение о возможности продолжении открытого сеанса работы с клиентским устройством без проверки уязвимостей программной среды клиентского устройства, а при наличии доступа к СПБ в данный момент, сервер основного сервиса выполнен с возможностью автоматически направить клиента на сервер повышения безопасности, путем отправки клиентскому устройству сетевого адреса СПБ, заверенного электронной подписью сервера основного сервиса; причем
сервер основного сервиса выполнен с возможностью принятия решения о продолжении или принудительном закрытии открытого сеанса работы с клиентом при обнаружении критичных уязвимостей.

8. Система по п.7, в которой сервер основного сервиса дополнительно выполнен с возможностью завершать работу с клиентом в случаях, когда клиент принимает решение об устранении критичных уязвимостей.

Изобретение относится к средствам управления результатами измерений. Технический результат заключается в уменьшении времени обработки информации.

Способ трехмерного нелинейного преобразования замены // 2519004

Изобретение относится к вычислительной технике и электросвязи, предназначено для решения задач защиты компьютерной информации. Техническим результатом изобретения является повышение быстродействия за счет увеличения степени параллелизма.

Беспроводное устройство, способ запроса пользовательского клиента управления доступом и способ выполнения клиента управления доступом // 2518924

Изобретение относится к беспроводной связи, а именно к способу для безопасной передачи клиента управления доступом. Техническим результатом является повышение безопасности.

Устройство для отправки изображений и способ аутентификации в устройстве для отправки изображений // 2517713

Изобретение относится к устройству для отправки изображений, требующему аутентификации для использования данного устройства и обеспечиваемой в нем функции. Техническим результатом является обеспечение возможности установки наследования информации аутентификации для отправки изображений и отображения экрана для ввода информации аутентификации в соответствии со способом установки пункта назначения.

Распространение криптографического секретного ключа // 2517408

Изобретение относится к распространению криптографического секретного ключа между передающей и принимающей сторонами. Технический результат заключается в возможности автоматического регулирования защиты и времени ожидания генерации криптографического секретного ключа за счет установки числа итераций, на основании которого управляют числом сообщений, обмен которыми должен быть выполнен в течение генерации криптографического секретного ключа.

Устройство обработки информации, способ обработки информации, программа и носитель записи // 2515204

Изобретение относится к устройству и способу обработки информации и носителю записи с программой для управления устройством обработки информации. Технический результат заключается в повышении быстродействия обработки данных.

Система управления правами доступа к бортовым прикладным программам и данным и способ, применяемый этой системой // 2514783

Изобретение касается системы, предназначенной для управления правами доступа пользователя к информации, связанной с полетом и безопасностью летательного аппарата.

Способ эмуляции вызовов системных функций для обхода средств противодействия эмуляции // 2514141

Изобретение относится к способам эмуляции вызовов системных функций для обхода средств противодействия эмуляции. Технический результат заключается в обеспечении возможности эмуляции вызовов системных функций.

Система и способ увеличения качества обнаружений вредоносных объектов с использованием правил и приоритетов // 2514140

Изобретение относится к вычислительной технике. Технический результат заключается в повышении качества обнаружения вредоносного программного обеспечения.

Система и способ создания правил фильтрации незначительных событий для анализа протоколов событий // 2514139

Изобретение относится к средствам создания правил фильтраций незначительных событий для анализа протоколов событий. Технический результат заключается в уменьшении ложных срабатываний при выявления вредоносных объектов.

Криптография на эллиптической кривой // 2520379

Изобретение относится к способу и устройству выполнения криптографического преобразования в электронном компоненте. Технический результат заключается в повышении безопасности установки соединений с аутентификацией пароля за счет повышения эффективности выполнения криптографического преобразования. В способе выполняют получение точки P(X,Y) исходя из параметра t на эллиптической кривой, удовлетворяющей выражению Y2=f(X), и исходя из многочленов X1(t), X2(t), Х3(t) и U(t), удовлетворяющих равенству f(X1(t)).f(X2(t)).f(X3(t))=U(t)2 в Fq, при этом q=3 mod 4, далее получают значение параметра t и определяют точку Р путем выполнения подэтапов, на которых (i) вычисляют Х1=X1(t), X2=X2(t), Х3=Х3(t) и U=U(t), (ii) если элемент f(X1).f(X2) является квадратом, то проверяют, является ли элемент f(X3) квадратом в Fq, и если является, то вычисляют квадратный корень из элемента f(X3), чтобы получить точку Р(Х3), (iii) иначе проверяют, является ли элемент f(X1) квадратом, и если является, вычисляют квадратный корень из f(X1), чтобы получить точку P(X1), (iv) иначе вычисляют квадратный корень элемента f(X2), чтобы получить точку P(X2), и далее эту точку Р используют в криптографическом приложении. 2 н. и 6 з.п. ф-лы, 3 ил.

Способ и система для контроля системы, связанной с безопасностью // 2520395

Группа изобретений относится к средствам контроля по меньшей мере одного процесса, происходящего в системе, связанной с безопасностью. Технический результат заключается в обеспечении возможности гибкой и обобщенной сертификации связанных с безопасностью систем. Для этого предложен способ контроля связанной с безопасностью системы посредством устройства контроля, обеспеченного для контроля связанной с безопасностью системы, в котором осуществляется: выбор первого процесса из множества процессов, исполняемых на устройстве контроля, формирование вызова первым процессом; передачу вызова к устройству, формирующему по меньшей мере часть связанной с безопасностью системы; выбор второго процесса из множества процессов, исполняемых на связанной с безопасностью системе; вычисление, посредством второго процесса, результата обработки путем применения по меньшей мере одной предварительно определенной функции к вызову; передача, вторым процессом, результата обработки в первый процесс; проверку, первым процессом, результата обработки, вычисленного вторым процессом, с результатом обработки, вычисленным первым процессом, причем результат обработки, вычисленный первым процессом, применяет ту же самую по меньшей мере одну предопределенную функцию; и оценивание связанной с безопасностью системы как находящейся в безопасном состоянии, если результат обработки, вычисленный первым процессом, и результат обработки, вычисленный вторым процессом, согласуются. 3 н. и 8 з.п. ф-лы, 2 ил.

Система и способ обнаружения угроз в коде, исполняемом виртуальной машиной // 2522019

Изобретение относится к системам и способам обнаружения вредоносного программного обеспечения, код которого исполняется виртуальной машиной. Технический результат заключается в повышении безопасности виртуальной машины. Модифицируют код виртуальной машины для отслеживания исключений внутри виртуальной машины и управления виртуальной машиной. Отслеживают исключения внутри виртуальной машины. Останавливают виртуальную машину при наступлении исключения. Получают информацию о контексте исключения, содержащего данные о событиях виртуальной машины, приведших к этому исключению. Анализируют контекст исключения на наличие поведения, характерного для угрозы. Обнаруживают угрозу на основании анализа. 2 н. и 7 з.п. ф-лы, 4 ил.

Способ подписания электронных документов аналого-цифровой подписью с дополнительной верификацией // 2522024

Изобретение относится к области подписания электронных документов аналого-цифровой подписью с дополнительной верификацией. Техническим результатом является снижение риска подмены электронного документа. При подписании электронного документа путем ввода аналого-цифровой информации через устройство ввода биометрической информации пользователь указывает свой адрес электронной почты. Затем в устройстве для подписи формируют цифровую подпись, устанавливают зашифрованное соединение с сервером и отправляют на сервер файл запроса на подтверждение подписи, в который включают электронный адрес пользователя, файлы электронного документа и аналого-цифровой информации о пользователе и цифровую подпись. На сервере формируют конечный файл запроса на подтверждение подписи, из которого исключают цифровую подпись и временно сохраняют ее в памяти сервера, и отправляют конечный файл запроса на электронный адрес пользователя. После чего пользователь получает возможность проверить содержание электронного документа, который он подписывал, и подтвердить свою подпись. В случае подтверждения - цифровая подпись с сервера передается пользователю, в случае не подтверждения - цифровая подпись удаляется. 23 з.п. ф-лы, 2 ил.

Система и способ выбора оптимального типа антивирусной проверки при доступе к файлу // 2523112

Изобретение относится к средствам выбора оптимального типа антивирусной проверки при обращении к файлу. Технический результат заключается в повышении вероятности обнаружения вируса. Определяют идентификатор и текущие значения атрибутов проверяемого файла. Осуществляют поиск хранимых значений атрибутов файла в базе данных файлов по идентификатору. Определяют результат изменений значения каждого атрибута файла и совокупность изменений файла. Определяют на основе совокупности изменений файла правило выбора оптимального типа проверки, синхронной или асинхронной. Выполняют антивирусную проверку файла в соответствии с назначенным типом проверки. 2 н. и 18 з.п. ф-лы, 6 ил.

Способ анализа вредоносной активности в сети интернет, выявления вредоносных узлов сети и ближайших узлов-посредников // 2523114

Настоящее изобретение относится к антивирусной области, а именно к способам выявления инфраструктуры злоумышленников. Технический результат - выявление инфраструктуры злоумышленника за счет исследования связей между узлами сети, построения графа связи между узлами сети и автоматического анализа силы связи между узлами. Способ обнаружения узлов-посредников в вычислительной сети, через которое распространяется вредоносное ПО, при этом узлы-посредники подключены к сети Интернет, к которой также подключены вредоносные узлы. В данном способе используется комплекс вычислительных средств, сервисы выяснения маршрута следования трафика в сети, сервис WHOIS доступа к регистрационной информации о владельце домена или IP-адреса с последующим построением графа распространения вредоносного ПО от вредоносного сайта по информационным каналам связи, выполняют оценку интенсивности использования канала связи для распространения вредоносного ПО, выявляют и блокируют промежуточный узел-посредник, используемый для неправомерных действий, дополнительно предусмотрена разблокировка узла-посредника, если со временем значительно снижается интенсивность распространения вредоносного ПО или перестает представлять угрозу сайт, который непосредственно содержал вредоносное ПО. 16 з.п. Ф-лы, 9 ил., 3 табл.

Проверка изменения конфигурации (ied) // 2523927

Изобретение относится к системам управления технологическими процессами и автоматизации подстанций, а именно к наблюдению за аспектами безопасности во время конфигурирования и параметризации отдельных устройств в таких системах. Технический результат - осуществление проверки достоверности, когда подтверждающая сторона недоступна, что минимизирует задержку во времени, создаваемую процедурой проверки. Способ проверки изменения конфигурации интеллектуального электронного устройства (IED) в системах управления технологическим процессом (РСТ) или автоматизации подстанции (SA) содержит аутентификацию, выполняемую IED перед приемом запроса на изменение конфигурации, подтверждающей стороны, независимой от клиента, и сохранение в памяти IED проверки достоверности, изменения конфигурации, заданной подтверждающей стороной, при этом проверка достоверности представляет собой план обслуживания IED, набор правил, или экспертную систему, которая оценивает возможность принятия изменений, вносимых в конфигурацию, и принятие или отклонение запроса на изменение конфигурации на основе результата проверки достоверности, используемой для конкретных случаев, относящихся к запросу на изменение конфигурации. 2 н. и 4 з.п. ф-лы, 1 ил.

Способ устранения конфликта доступа к центру и реализующая способ система // 2523935

Изобретение относится к вычислительной технике. Технический результат заключается в повышении скорости устранения конфликтов доступа. Способ устранения конфликта доступа к устройству, обеспечивающему бесконфликтный обмен сообщениями (УБОС), в котором используют УБОС и нумерованные объекты, посылающие УБОС и получающие от него оптические сигналы по отдельному для каждого объекта беспроводному каналу на трех возможных частотах, причем сигнал первой частоты импульсный, используемый объектами для определения времени распространения сигнала от объекта до УБОС, сигнал второй частоты импульсный одной из четырех длительностей ν, ρ, σ, τ, связанных соотношением 3ν<σ<ρ<τ, посылаемый одновременно только одним из объектов, сигнал третьей частоты постоянный, посылаемый УБОС объектами и возвращаемый им УБОС с прерыванием на время получения УБОС сигнала второй частоты от объекта, при этом УБОС проводит отсчет времени, прерываемый и начинающийся заново при приходе сигнала второй частоты, или при достижении заранее заданного значения отсчета времени. 2 н. и 7 з.п. ф-лы, 3 ил.

Способ защиты данных безопасности, передаваемых устройством передатчика в устройство приемника // 2523952

Изобретение относится к способу защиты данных безопасности, передаваемых передатчиком в приемник, заключающемуся в периодической передаче в приемник, поочередно с упомянутыми данными безопасности, нейтральных данных, предназначенных для недопущения фильтрации данных безопасности. 5 н. и 11 з.п. ф-лы.

Способ и устройство для получения ключа безопасности в ретрансляционной системе // 2523954

Изобретение относится к технологиям связи. Технический результат - эффективное обеспечение безопасности данных в каждом сегменте радиоинтерфейса. Способ для получения ключа безопасности в ретрансляционной системе, в котором узел в ретрансляционной системе получает начальный ключ, в соответствии с начальным ключом узел получает корневой ключ ключа защиты радиоинтерфейса между узлом и другим узлом, который непосредственно граничит с узлом, и в соответствии с корневым ключом узел получает ключ защиты радиоинтерфейса между узлом и упомянутым другим узлом, который непосредственно граничит с узлом. Поэтому в соответствии с начальным ключом каждый узел нижнего уровня получает корневой ключ ключа защиты радиоинтерфейса между каждым узлом нижнего уровня, так что можно соответствующим образом защитить данные UE на линии связи интерфейса Un. 5 н. и 7 з.п. ф-лы, 11 ил.