Система разграничения доступа по расширениям файлов

Авторы патента:

G06F21/62 - Обработка цифровых данных с помощью электрических устройств (вычислительные машины, в которых часть вычислений осуществляется гидравлическими или пневматическими устройствами G06D; оптическими средствами G06E; автономные внешние вводные и выводные устройства G06K; компьютерные системы, основанные на специфических вычислительных моделях G06N; цепи полного /активного и реактивного/ сопротивления H03H)

Владельцы патента RU 2572385:

Закрытое акционерное общество "Научно-производственное предприятие "Информационные технологии в бизнесе" (RU)

Изобретение относится к средствам защиты от несанкционированного доступа к информации. Технический результат - реализация разграничения доступа по расширениям файлов. Система разграничения доступа содержит первый решающий блок, второй решающий блок, третий решающий блок, четвертый решающий блок, блок хранения прав доступа к файловым объектам, причем первый вход первого решающего блока соединен с первым входом системы, с первым входом второго решающего блока, с первым входом третьего решающего блока, второй вход - с первым выходом блока хранения прав доступа к файловым объектам, первый выход - с первым входом блока хранения прав доступа к файловым объектам, второй вход блока хранения прав доступа к файловым объектам соединен со вторым входом системы, второй выход первого решающего блока соединен с третьим входом четвертого решающего блока, второй вход которого - со вторым выходом второго решающего блока, первый вход - со вторым выходом третьего решающего блока, выход - с выходом системы, первый выход второго решающего блока - с третьим входом блока хранения прав доступа к файловым объектам, второй вход - со вторым выходом блока хранения прав доступа к файловым объектам, третий выход которого - со вторым входом третьего решающего блока, первый выход которого - с четвертым входом блока хранения прав доступа к файловым объектам. 2 ил.

Изобретение относится к области вычислительной техники, а именно к области защиты от несанкционированного доступа (НСД) к информации, создаваемой и хранимой в компьютерных системах (КС).

Важнейшей характеристикой файла в ОС Microsoft Windows является его расширение. Именно расширением файла определяется его тип, например, исполняемый файл имеет расширения ".exe", ".com", ".bat", ".sys" и т.д., файлы-скрипты: ".vbs" и ".vbe" (VBScript), ".js" и ".jse" (JavaScript), ".sept" (AppleScript) и т.д. To же относится к тестовым и иным обрабатываемым в КС файлам.

Как следствие, расширение файла может быть использовано в качестве объекта доступа в разграничительной политике, с целью реализации разграничения доступа к типам файлов.

При реализации подобной разграничительной политики появляется возможность решения множества важнейших задач защиты обработки информации в КС.

Рассмотрим лишь несколько из таких задач и возможность их решения, посредством разграничения доступа по расширениям файлов.

1. Защита от загрузки в КС и запуска вредоносных программ. Решается данная задача следующим образом:

- Разрешается исполнять файлы только с конкретными (заданными) расширениями. Опытным путем определен список расширений исполняемых файлов, которые необходимо разрешить на исполнения для корректной работы операционной системы - ".exe", ".bat", ".config", ".dll", ".manifest", ".drv", ".fon", ".ttf, ".sys" (файлы с данными расширениями в КС разрешаются на чтение и исполнение);

- Предотвращается возможность удаления и модификации разрешенных к исполнению файлов (файлов с заданными расширениями);

- Предотвращается возможность создания в КС новых разрешенных к исполнению файлов (файлов с заданными расширениями);

- Предотвращается возможность переименования разрешенных к исполнению файлов (файлов с заданными расширениями)

- Предотвращается возможность переименования иных файлов в файлы, разрешенные к исполнению (в файлы с заданными расширениями).

В результате в КС можно будет исполнить только санкционированные исполняемые файлы - исполняемые файлы вредоносных программ (с заданными расширениями) не смогут быть установлены в КС и затем исполнены.

Замечание. Подобные правила можно установить для всех пользователей (включая системных), можно же разрешить установку исполняемых файлов в КС только администратору.

2. Защита от несанкционированной модификации системных файлов (исполняемых файлов и файлов настройки ОС и приложений).

Предотвращается возможность несанкционированного удаления/модификации, переименования файлов с соответствующими расширениями.

Замечание. Подобные правила можно установить для всех интерактивных пользователей, можно же разрешить модификацию системных файлов в КС только администратору.

3. Защита от загрузки в КС вредоносных скриптовых файлов.

При прочтении подобного файла соответствующее приложение (например, интернет-браузер, Java-машина наделяются вредоносными свойствами.

Предотвращается возможность несанкционированного удаления/модификации, переименования установленных в КС скриптовых файлов (по их расширениям), создания в КС новых скриптовых файлов, переименование созданного в КС файла в скриптовый файл.

Замечание. Подобные правила можно установить для всех интерактивных пользователей, можно же разрешить модификацию системных файлов в КС только администратору. Заданием разграничений для субъекта доступа (процесс) - в разграничительной политике задается полнопутевым именем его исполняемого файла, можно локализовать типы (по расширениям) скриптовых файлов, к которым будет разрешен доступ на чтение конкретному приложению.

4. Ограничение работы пользователя только с определенными типами файлов (по расширениям), в том числе исполняемых.

Например, можно запретить пользователю работу с файлами, имеющими расширения ".http", ".avi" и т.д.

Замечание. В качестве субъекта доступа в разграничительной политике здесь выступает пользователь.

5. Ограничение работы приложения только с определенными типами файлов (по расширениям), в том числе, исполняемых.

Например, можно запретить интернет-браузеру доступ к файлам, предназначенным для хранения в КС конфиденциальной информации, например к файлам, имеющим расширение ".doc" и т.д.

Замечание. В качестве субъекта доступа в разграничительной политике здесь выступает процесс.

Это лишь примеры решаемых задач, список которых может быть существенно расширен. Важным здесь является формирование требований к системе разграничения доступа по расширениям файлов:

- объект доступа должен задаваться расширением файла;

- субъект доступа в общем случае должен задаваться двумя сущностями -пользователь, процесс;

- должны задаваться правила доступа (чтение, запись, удаление, исполнение, переименование и т.д.) к файлам, задаваемым расширениями;

- должны задаваться правила доступа по созданию файлов с задаваемыми расширениями;

- должны задаваться правила доступа по переименованию файлов в файлы с задаваемыми расширениями.

Анализ литературных источников и описаний работы современных ОС и приложений позволяет отметить следующее. Несмотря на широкие возможности, предоставляемые разграничительной политике доступа к файлам, по их расширениям, в современных ОС и приложениях подобные принципы контроля доступа, в частности, выполняющие сформулированные требования к системе разграничения доступа к файлам по их расширениям, не реализованы.

В настоящее время известны различные системы разграничения доступа к файловым объектам.

Так, например, в системе разграничения доступа к ресурсам, Патент №2207619 (G06F 13/00), реализована возможность задавать разграничения доступа как для пользователей, так и для процессов. Однако это не позволяет реализовать разграничения доступа к файлам по их расширениям.

В заявке ЕПВ N 0192243 (кл. G06F 12/14, 1986) описан способ защиты системных файлов, в котором информация, определяющая права доступа системных пользователей, остается все время в безопасном процессоре. Это не позволяет реализовать разграничения доступа к файлам по их расширениям.

В патенте №2134931 (кл. H04L 9/32, G06F 12/14) описан способ обеспечения доступа к объектам в операционной системе основанный на назначении меток безопасности субъектам и объектам доступа, при этом для каждого объекта операционной системы заранее формируют и затем запоминают в памяти сигнал метки объекта, т.е. права доступа к объектам, назначаемые в виде меток безопасности, опять же должны присваиваться администратором статичным объектам (папкам). Это не позволяет реализовать разграничения доступа к файлам по их расширениям.

Наиболее близкой по техническому решению и выбранной авторами за прототип является система разграничения доступа к файловым объектам, реализуемая в ОС Microsoft Windows [М. Руссинович, Д. Соломон. Внутреннее устройство Microsoft Windows. - СПб.: Питер, 2005 - 992 с. (глава 8, рис.8.5. Пример проверки прав доступа)].

Система представлена на Фиг.1. Система контроля доступа к файловым объектам содержит решающий блок 1, блок хранения прав доступа к файловым объектам 2, причем первый вход решающего блока соединен с первым входом системы 3, второй вход - с выходом блока хранения прав доступа к файловым объектам 2, первый выход - с первым входом блока хранения прав доступа к файловым объектам 2, второй выход - с выходом системы 4, второй вход блока хранения прав доступа к файловым объектам 2 соединен со вторым входом системы 5.

Работает система следующим образом. Администратором со второго входа системы 5 (со входа задания прав доступа к файловым объектам) в блок хранения прав доступа к файловым объектам 2 устанавливаются права доступа к файловым объектам субъектов (например, этот блок может хранить матрицу доступа в виде отдельного файла), в которых для файлового объекта указывается, какие субъекты имеют право доступа к нему и какие ему разрешены права доступа (чтение, запись, исполнение, переименование, удаление и т.д.). При запросе доступа, содержащем в своем составе имя субъекта (имя пользователя (учетной записи) и имя процесса, запрашивающих доступ, а также запрашиваемые права доступа - чтение, запись и т.д.) к файловому объекту, запрос доступа с первого входа системы 3 (со входа запроса доступа) поступает на решающий блок 1. Для обработки запроса доступа решающий блок с первого выхода запрашивает у блока хранения прав доступа к файловым объектам 2 атрибуты объекта, к которому запрошен доступ, получает их на второй вход и сравнивает запрошенные права доступа к файловому объекту с разрешенными (запрещенными) правами доступа к этому объекту, указанными в атрибутах файла. В результате сравнения решающий блок выдает на выход системы 4 (на управляющий выход разрешения/запрета доступа) управляющий сигнал, разрешающий (если запрос не противоречит разрешениям) или отклоняющий запрошенный у системы с первого входа системы 3 доступ.

Прототип, реализующий разграничение доступа к файловым объектам, не позволяет реализовать разграничения доступа к файлам по их расширениям, т.к. объект доступа, к которому разграничиваются права доступа, однозначно идентифицируется своим полнопутевым именем - не предоставляется возможности задания объекта доступа расширением (типом) файла, т.е. своего рода маской, которой заданием объекта доступа в разграничительной политике определяется не один конкретный файл, а все файлы определенного типа (подпадающие под эту маску).

В предлагаемом изобретении решается задача расширения функциональных возможностей системы разграничения доступа к файловым объектам за счет реализации разграничения доступа по расширениям файлов.

Для достижения технического результата в систему разграничения доступа к файловым объектам, содержащую первый решающий блок, блок хранения прав доступа к файловым объектам, причем первый вход первого решающего блока соединен с первым входом системы, второй вход - с первым выходом блока хранения прав доступа к файловым объектам, первый выход - с первым входом блока хранения прав доступа к файловым объектам, второй вход блока хранения прав доступа к файловым объектам соединен со вторым входом системы, дополнительно введены второй, третий и четвертый решающие блоки, причем второй выход первого решающего блока соединен с третьим входом четвертого решающего блока, второй вход которого - со вторым выходом второго решающего блока, первый вход - со вторым выходом третьего решающего блока, выход - с выходом системы, первый вход первого решающего блока соединен с первым входом третьего решающего блока, с первым входом второго решающего блока, первый выход которого - с третьим входом блока хранения прав доступа к файловым объектам, второй вход - со вторым выходом блока хранения прав доступа к файловым объектам, третий выход которого - со вторым входом третьего решающего блока, первый выход которого - с четвертым входом блока хранения прав доступа к файловым объектам.

Новым в предлагаемом изобретении является снабжение системы разграничения доступа к файловым объектам вторым, третьим и четвертым решающими блоками, и их связями.

В результате проведенного заявителем анализа уровня техники, включая поиск по патентным и научно-техническим источникам информации и выявление источников, содержащих сведения об аналогах заявленного технического решения, не было обнаружено источника, характеризующегося признаками, тождественными всем существенным признакам заявленного технического решения. Определение из перечня выявленных аналогов прототипа как наиболее близкого по совокупности признаков аналога позволило установить совокупность существенных по отношению к усматриваемому заявителем техническому результату отличительных признаков заявленной системы сессионного контроля доступа к файловым объектам. Следовательно, заявленное техническое решение соответствует критерию «новизна».

Проведенный заявителем дополнительный поиск не выявил известные решения, содержащие признаки, совпадающие с отличительными от прототипа признаками заявленной системы разграничения доступа по расширениям файлов. Заявленное техническое решение не вытекает для специалиста явным образом из известного уровня техники и не основано на изменении количественных признаков. Следовательно, заявленное техническое решение соответствует критерию «изобретательский уровень».

Совокупность существенных признаков в предлагаемом изобретении позволила обеспечить расширение функциональных возможностей системы разграничения доступа к файловым объектам за счет реализации разграничения доступа по расширениям файлов.

В результате можно сделать вывод о том, что:

- предлагаемое техническое решение обладает изобретательским уровнем, т.к. оно явным образом не следует из уровня техники;

- изобретение является новым, так как из уровня техники по доступным источникам информации не выявлено аналогов с подобной совокупностью признаков;

- изобретение является промышленно применимым, так как может быть использовано во всех областях, где требуется реализация контроля доступа (разграничений прав доступа) к файловым объектам.

Предлагаемое изобретение поясняется чертежом, представленным на Фиг.2.

Заявляемая система разграничения доступа по расширениям файлов содержит первый решающий блок 1, второй решающий блок 2, третий решающий блок 3, четвертый решающий блок 4, блок хранения прав доступа к файловым объектам 5, причем первый вход первого решающего блока 1 соединен с первым входом системы 6, с первым входом второго решающего блока 2, с первым входом третьего решающего блока 3, второй вход - с первым выходом блока хранения прав доступа к файловым объектам 5, первый выход - с первым входом блока хранения прав доступа к файловым объектам 5, второй вход блока хранения прав доступа к файловым объектам 5 соединен со вторым входом системы 7, второй выход первого решающего блока 1 соединен с третьим входом четвертого решающего блока 4, второй вход которого - со вторым выходом второго решающего блока 2, первый вход - со вторым выходом третьего решающего блока 3, выход - с выходом системы 8, первый выход второго решающего блока 2 - с третьим входом блока хранения прав доступа к файловым объектам 5, второй вход - со вторым выходом блока хранения прав доступа к файловым объектам 5, третий выход которого - со вторым входом третьего решающего блока 3, первый выход которого - с четвертым входом блока хранения прав доступа к файловым объектам 5.

Рассмотрим работу системы разграничения доступа по расширениям файлов.

Разграничительная политика доступа задается администратором со входа 7 системы в блоке 5, который представляет собой хранилище задаваемых администратором правил доступа субъектов к объектам, например отдельный файл, объект реестра и т.д. Атрибуты файла в данном случае не используются, поскольку объект доступа задается расширением файла, т.е. одним объектом доступа в разграничительной политике, например, ".ехе" может одновременно может описываться несколько файлов, имеющих одинаковые расширения. Итак, объект доступа задается расширением файла, например ".ехе", при этом могут использоваться маски, например, ".vbs" и ".vbe" могут задаваться маской ".vb*". Субъект доступа в общем случае задается парой сущностей: пользователь (идентифицируется SID), процесс (идентифицируется полнопутевым именем исполняемого файла процесса). При задании субъектов доступа могут использоваться маски и переменные среды окружения, например, маска * (Все) может использоваться для задания правил для любого (всех) пользователя, для любого (всех) процесса, что позволяет реализовывать разграничительную политику доступа как для отдельных сущностей, задающих субъект доступа (только для пользователей или только для процессов), так и для их комбинации (какому пользователю каким процессом разрешается/запрещается доступ к объекту). Маски могут использоваться и для задания процессов в субъекте доступа, например file://C:/Program Files\* (все процессы, запускаемые из каталога file://C:/Program Files). Принципиальным отличием задания правил доступа к объектам, идентифицируемым расширением файла, является то, что задаются не только разрешенные/запрещенные правила доступа к объекту (чтение, исполнение, удаление, переименование и т.д.), но и правило разрешения/запрета создания объекта (например, для объекта ".ехе" разрешается или запрещается создание новых подобных объектов - создание файлов с расширением. ехе) и правило разрешения/запрета переименования в объект (например, для объекта ".ехе" разрешается или запрещается переименование в подобный объект переименование любого файла в файл с расширением. ехе, по сути, переименование расширения файла). Таким образом контролируется, как переименование "из" (переименование объекта, имеющего заданное расширение), так и переименование "в" (переименование в объект, имеющий заданное расширение).

Запрос доступа субъекта к объекту поступает в первый 1, второй 2 и третий 3 решающие блоки со входа 6 системы. Из запроса доступа этими блока идентифицируется субъект доступа - какой пользователь каким процессов запросил доступ. Решающими блоками 1, 2, 3 определяется из запроса и обрабатывается различная информация. Первым решающим блоком 1 анализируется запрошенное субъектом действие над файлом, за исключением переименования (чтение, запись, исполнение, удаление и т.д.). При этом блок 1 определяет из запроса доступа полнопутевое имя файла, к которому запрашивается доступ и запрошенное субъектом действие над этим файлом. Из полнопутевого имени файла, полученного из запроса, блоком 1 выделяется его расширение (определяется объект доступа в разграничительной политике). После чего, по запросу с первого выхода, первым решающим блоком 1 на второй вход из блока 5 получаются разрешенные (либо запрещенные, если реализуется запретительная разграничительная политика доступа) правила доступа субъекта (субъект был выделен из запроса) к объекту. Первый решающий блок 1 анализирует на непротиворечивость запрос доступа заданным администратором правилам, в результате чего формирует и передает в четвертый решающий блок 4 управляющий сигнал разрешения или запрета доступа.

Второй решающий блок 2 аналогичным образом обрабатывает запрос на создание файла. В случае если на вход 6 системы поступает запрос на создание файла, он идентифицируется вторым решающим блоком 2. Этим блоком из полнопутевого имени создаваемого файла, определяемого из запроса доступа, выделяется его расширение (определяется объект доступа в разграничительной политике). После чего, по запросу с первого выхода, вторым решающим блоком 2 на второй вход из блока 5 получаются разрешенные (либо запрещенные, если реализуется запретительная разграничительная политика доступа) правила создания субъектом (субъект был выделен из запроса) файлов. Второй решающий блок 2 анализирует на непротиворечивость запрос доступа заданным администратором правилам создания субъектами файлов с определенными расширениями, в результате чего формирует и передает в четвертый решающий блок 4 управляющий сигнал разрешения или запрета запрошенного доступа на создание файла.

Третий решающий блок 3 аналогичным образом обрабатывает запрос на переименование файла. В случае если на вход 6 системы поступает запрос на переименование файла, он идентифицируется третим решающим блоком 3. Этим блоком из полнопутевого имени переименуемого файла и из полнопутевого имени, в которое переименуется исходный файл, определяемый из запроса доступа, выделяются их расширения (определяются объекты доступа в разграничительной политике). После чего, по запросу с первого выхода, третьим решающим блоком 3 на второй вход из блока 5 получаются разрешенные (либо запрещенные, если реализуется запретительная разграничительная политика доступа) правила переименования субъектом (субъект был выделен из запроса) файлов. Третий решающий блок 3 анализирует на непротиворечивость запрос доступа заданным администратором правилам переименования субъектами файлов с определенными расширениями, в результате чего формирует и передает в четвертый решающий блок 4 управляющий сигнал разрешения или запрета запрошенного доступа на переименование файла. При этом блоком 3 анализируются два правила в отношении двух объектов доступа. Анализируется, можно ли переименовывать исходный объект (переименовывать файл с соответствующим расширением) и можно ли переименовывать в запрошенный объект (переименовывать в файл с соответствующим расширением).

Четвертый решающий блок 4 формирует управляющий сигнал разрешения или запрета запрошенного доступа на выход 8 системы. Если хотя бы одним из решающих блоков 1, 2, 3 в четвертый решающий блок 4 был выдан управляющий сигнал запрета запрошенного доступа, блоком 4 на выход 8 системы формируется управляющий сигнал запрета запрошенного доступа.

Оценим достижение поставленной цели - решение задачи расширения функциональных возможностей системы разграничения доступа к файловым объектам, за счет реализации разграничения доступа по расширениям файлов. Видим, что в полном объеме реализованы требования к системе разграничения доступа по расширениям файлов:

- объект доступа должен задаваться расширением файла;

- субъект доступа в общем случае должен задаваться двумя сущностями - пользователь, процесс;

- должны задаваться правила доступа по созданию файлов с задаваемыми расширениями;

- должны задаваться правила доступа по переименованию файлов в файлы с задаваемыми расширениями.

Это позволяет в полном объеме решать рассмотренные задачи защиты информации.

Изобретение является промышленно применимым в части возможности технической реализации включенных в систему блоков.

Техническая реализация всех блоков системы основана на типовых решениях по хранению и обработке данных (включая их выборку и анализ), по обработке запросов доступа к файловым объектам. Все используемые блоки технически реализуемы, и их реализация достигается стандартными средствами.

Данное решение апробировано заявителем при построении опытного образца средства защиты компьютерной информации.

Таким образом, в предлагаемом изобретении решены задачи расширения функциональных возможностей системы разграничения доступа к файловым объектам за счет реализации разграничения доступа по расширениям файлов.

С учетом современного уровня развития вычислительной техники оно технически реализуемо.

Система разграничения доступа к файловым объектам, содержащая первый решающий блок, блок хранения прав доступа к файловым объектам, причем первый вход первого решающего блока соединен с первым входом системы, второй вход - с первым выходом блока хранения прав доступа к файловым объектам, первый выход - с первым входом блока хранения прав доступа к файловым объектам, второй вход блока хранения прав доступа к файловым объектам соединен со вторым входом системы, отличающаяся тем, что в нее дополнительно введены второй, третий и четвертый решающие блоки, причем второй выход первого решающего блока соединен с третьим входом четвертого решающего блока, второй вход которого - со вторым выходом второго решающего блока, первый вход - со вторым выходом третьего решающего блока, выход - с выходом системы, первый вход первого решающего блока соединен с первым входом третьего решающего блока, с первым входом второго решающего блока, первый выход которого - с третьим входом блока хранения прав доступа к файловым объектам, второй вход - со вторым выходом блока хранения прав доступа к файловым объектам, третий выход которого - со вторым входом третьего решающего блока, первый выход которого - с четвертым входом блока хранения прав доступа к файловым объектам.

Изобретение относится к средствам фильтрации бинауральных воздействий в аудиопотоках и к средствам защиты индивидуального, группового и массового сознания граждан от скрытых вредоносных воздействий в аудиопотоках.

Система и способ управления параметрами приложений на компьютерных устройствах пользователя // 2571725

Изобретение относится к вычислительной технике. Технический результат заключается в повышении эффективности управления параметрами приложений на множестве разнообразных компьютерных устройств.

Система и способ полнодискового шифрования с проверкой совместимости загрузочного диска // 2571724

Изобретение относится к области полнодискового шифрования с проверкой совместимости загрузочного диска со средством шифрования. Технический результат - обеспечение совместимости загрузочного диска со средством шифрования.

Система и способ для снижения нагрузки на операционную систему при работе антивирусного приложения // 2571723

Изобретение относится к области антивирусных систем. Техническим результатом является уменьшение количества требующих анализа событий, связанных с выполнением процесса, при антивирусной проверке.

Система и способ обнаружения мошеннических онлайн-транзакций // 2571721

Изобретение относится к компьютерной безопасности, а более конкретно к системам и способам обеспечения безопасности онлайн-транзакций. Технический результат настоящего изобретения заключается в обеспечении безопасности пользовательских транзакций за счет обнаружения вредоносных программ, используемых для мошеннических транзакций.

Устройство управления лицензиями, система для управления лицензиями, способ управления лицензиями и программа для управления лицензиями // 2571609

Изобретение относится к области управления лицензиями. Технический результат - эффективное управление лицензиями.

Система и способ защиты от вредоносного программного обеспечения, связывающаяся с сервером // 2571594

Настоящее описание относится к системе и способу предотвращения влияния вредоносных, шпионских программ, а также других нежелательных приложений на мобильные устройства связи.

Способ передачи другому водителю ключей транспортного средства и система для его осуществления // 2571395

Изобретение относится к области транспортных средств. Технический результат - обеспечение правомерного использования транспортного средства за счет аутентификации вводимых параметров пользователя.

Способ и устройство для использования информации идентификации для цифровой подписи и целостности зашифрованного содержания и аутентичности в сетях, ориентированных на содержание // 2571394

Изобретение относится к области передачи данных. Технический результат - снятие нагрузки с абонента по проверки степени доверия к открытому ключу издания.

Система и способ антивирусной проверки в зависимости от уровня доверия сертификата // 2571382

Изобретение относится к информационной безопасности. Технический результат заключается в увеличении производительности антивирусной проверки путем антивирусной проверки, процесс выполнения которой зависит от уровня доверия сертификата, определенного с использованием базы данных доверенных сертификатов.

Устройство и способ для основанной на аппаратных средствах безопасной обработки данных с использованием правил диапазона адресов буферной памяти // 2573215

Изобретение относится к вычислительной технике. Технический результат заключается в безопасной обработке данных. Процессор для обработки потока данных из множества источников мультимедийного контента для устройства отображения содержит блок защиты, который определяет, основаны ли выходные данные, подлежащие записи из видеокодека в буферную память, на входных данных из по меньшей мере одной защищенной ячейки, ассоциированной с защищенным диапазоном адресов буферной памяти, и в ответ на определение: i) разрешает запись выходных данных в одну или более защищенных ячеек буферной памяти, причем защищенные ячейки ассоциированы с защищенным диапазоном адресов буферной памяти; и ii) блокирует запись выходных данных в одну или более незащищенных ячеек буферной памяти, причем незащищенные ячейки ассоциированы с незащищенным диапазоном адресов буферной памяти. 5 н. и 29 з.п. ф-лы, 7 ил.

Система и способ проверки подлинности идентичности личности, вызывающей данные через компьютерную сеть // 2573235

Изобретение относится к системам проверки подлинности идентичности личности, регистрирующейся в компьютерной сети. Технический результат - улучшенная проверка подлинности идентичности личности, регистрирующейся в компьютерной сети. Система обработки данных включает в себя: базу данных; главный компьютер и компьютер пользователя, способные общаться друг с другом через сеть; компьютер пользователя отправляет сообщение-запрос по данным (RQ) главному компьютеру, запрос, содержащий информационные данные (RD), идентификационную информацию (RI) и аутентификационную информацию (А; VI), главный компьютер проверяет аутентификационную информацию и отправляет запрашиваемые данные, только если идентификационная информация (RI) определяет авторизованного пользователя и аутентификационная информация (А; VI) аутентифицирует информацию идентификации пользователя. 3 н. и 3 з.п. ф-лы, 5 ил.

Прибор и способ управления лицензируемым объектом // 2573251

Изобретение относится к области лицензирования. Технический результат - эффективное управление лицензируемым объектом. Устройство и способ управления лицензируемым элементом включают в себя получение доступа к политике лицензирования, относящейся к управлению лицензируемым элементом, и агенту лицензии, создающему определение, чтобы действовать для обеспечения соблюдения политики лицензирования или осуществления первоначальной связи с сервером перед действием для обеспечения соблюдения политики лицензирования. Дополнительно, прибор и способ включают в себя обеспечение соблюдения политики лицензирования в соответствии с определением действовать для обеспечения соблюдения политики лицензирования или осуществлять первоначальную связь с сервером перед действием. 5 н. и 36 з.п. ф-лы, 12 ил.

Устройство администрирования лицензий и способ администрирования лицензий // 2573258

Изобретение относится к области лицензирования. Технический результат - эффективное управление разрешением и запрещением функций на множестве устройств лицензиата, выполняющих функции согласно информации ключей. Устройство лицензиата хранит информацию ключей, зашифрованную ключом шифра, с тем, чтобы выдавать запрос изменения лицензии, активизирующий или ограничивающий предопределенную дополнительную функцию. После приема запроса изменения лицензии, ограничивающего предопределенную дополнительную функцию, устройство администрирования лицензий перезаписывает информацию ключей устройства лицензиата ключом по умолчанию. Впоследствии, после приема запроса изменения лицензии, активизирующего предопределенную дополнительную функцию, устройство администрирования лицензий применяет ключ повышения уровня к информации ключей устройства лицензиата. Ключ по умолчанию или ключ повышения уровня могут быть дешифрованы с использованием ключа шифра, уникального для устройства лицензиата. Устройство администрирования лицензий управляет максимальным значением выданной лицензии для предопределенной дополнительной функции и отражает приращение или отрицательное приращение для максимального значения лицензирования, применяя ключ по умолчанию или ключ повышения уровня. 6 н. и 6 з.п. ф-лы, 7 ил.

Способ выявления ложных положительных результатов сканирования файлов на вредоносное по // 2573265

Изобретение относится к области обнаружения ложных положительных результатов (ложных тревог) при анализе систем на присутствие вредоносного программного обеспечения. Техническим результатом является минимизация ложных положительных результатов. Способ сканирования файлов для поиска вредоносного ПО в компьютерной системе содержит прием в систему файла, подлежащего сканированию, и использование по меньшей мере одного средства сканирования файла для поиска вредоносного ПО с целью выявления, обладает ли файл свойствами, указывающими на его вредоносность. Если установлено, что файл обладает свойствами, свидетельствующими о его вредоносности, то способ предусматривает использование по меньшей мере одного средства сканирования для проверки чистоты с целью определения, обладает ли файл свойствами, указывающими на его чистоту. Если установлено, что файл обладает свойствами, свидетельствующими о его чистоте, то производится формирование сигнала ложной тревоги. 3 н. и 2 з.п. ф-лы, 2 ил.

Способ сравнительной оценки структур информационно-вычислительной сети // 2573267

Изобретение относится к области информационной безопасности информационно-вычислительных сетей (ИВС) и систем связи и может быть использовано при сравнительной оценке структур ИВС на предмет их устойчивости к отказам, вызванным воздействиями случайных и преднамеренных помех. Техническим результатом от использования изобретения является повышение достоверности результатов сравнительной оценки структур ИВС в условиях воздействия случайных и преднамеренных помех за счет формирования альтернативных маршрутов к включенным в структуру ИВС узлам управления сервисами и определения более безопасного маршрута. Способ заключается в следующем: дополнительно задают совокупность М узлов управления сервисами, после приема ответных сообщений от узлов управления сервисами выделяют и запоминают идентификаторы и адреса узлов управления сервисами, а также множество L маршрутов передачи сообщений, после чего вычисляют критическое соотношение ранее запомненных «опасных» и «безопасных» узлов p к l для каждого l-го маршрута передачи сообщения между абонентом и всеми узлами управления сервисами, при котором невозможен информационный обмен в ИВС, для чего вычисляют первоначальное соотношение «опасных» и «безопасных» узлов pl, и последовательно увеличивают его на величину Δp до выполнения условия, при котором невозможен информационный обмен между абонентом и узлами управления сервисами ИВС, затем выбирают из сформированного множества L маршрутов передачи сообщений маршруты с максимальным значением p к l ко всем имеющимся узлам управления сервисами ИВС от данного абонента, после чего выбирают из них тот маршрут передачи сообщений, у которого значение длины маршрута минимально. 3 ил.

Устройство управления передачей, программа, система управления передачей и способ управления передачей // 2573649

Изобретение относится к системам передачи информации. Техническим результатом является обеспечение высококачественной передачи данных при обеспечении безопасности данных, передаваемых и принимаемых посредством системы передачи данных. Результат достигается тем, что устройство управления передачей включает в себя приемный модуль, который принимает от первого передающего терминала 10 запрос на осуществление связи для связи со вторым передающим терминалом 10; первый модуль хранения, который ассоциированным образом сохраняет идентификационную информацию терминала для идентификации передающих терминалов 10 и идентификационную информацию ретрансляционного устройства для идентификации ретрансляционного устройства 30, которое ретранслирует данные, которые должны быть переданы и приняты посредством первого передающего терминала 10; модуль выбора ретрансляционного устройства, который выбирает ретрансляционное устройство 30, ассоциированное с идентификационной информацией терминала для первого передающего терминала 10 в первом модуле хранения; второй модуль хранения, который ассоциированным образом сохраняет идентификационную информацию ретрансляционного устройства и информацию необходимости шифрования; и модуль определения необходимости шифрования, который определяет, необходимо ли или нет шифрование, на основе информации необходимости шифрования, ассоциированной во втором модуле хранения, с ретрансляционным устройством 30, выбранным посредством модуля выбора ретрансляционного устройства. 4 н. и 4 з.п. ф-лы, 17 ил.

Способ защиты видеоматериалов от несанкционированного воспроизведения и копирования // 2573768

Изобретение относится к области защиты от копирования видеоматериалов. Технический результат - обеспечение повышения степени защиты от несанкционированного воспроизведения и копирования видеоматериалов. В способе защиты видеоматериалов от копирования и несанкционированного воспроизведения предварительно проводят подготовку видеоматериала, для этого кадры, составляющие исходный видеоряд, разбивают на фрагменты, таким образом обрабатывают весь исходный видеоряд, с формированием управляющей информации для воспроизведения видеоматериала; после фрагментирования и обработки фрагментов получают производные видеоряды, составленные из фрагментов кадров, при этом организацию производного видеоряда выполняют статичной или динамической, которая в то же время может быть линейной или дискретной; при воспроизведении с помощью управляющей информации из синхронно воспроизводимых производных видеорядов, сопровождаемых аудиодорожкой, восстанавливают видеоинформацию до идентичной по восприятию с исходной. 14 з.п. ф-лы, 27 ил.

Устройство аутентификации, способ аутентификации и программа // 2573772

Изобретение относится к области аутентификации. Технический результат - эффективная защита цифровой подписи. Устройство аутентификации, включающее в себя модуль хранения ключей для хранения L(L≥2) секретных ключей si(i = от 1 до L) и L открытых ключей yi, удовлетворяющих условию yi=F(si) в отношении набора F многочленов нескольких переменных n-го порядка (n≥2), и модуль выполнения интерактивного протокола, предназначенный для выполнения с помощью проверяющего интерактивного протокола для проверки знания (L-1) секретных ключей si, удовлетворяющих условию yi=F(si). Модуль выполнения интерактивного протокола включает в себя модуль приема вызовов для приема L вызовов Chi от проверяющего, модуль выбора вызовов для произвольного выбора (L-1) вызовов Chi из L вызовов Chi, принимаемых модулем приема вызовов, модуль генерирования ответов для генерирования, с использованием секретных ключей si, (L-1) ответов Rspi, соответственно, для (L-1) вызовов Chi, выбираемых модулем выбора вызовов, и модуль передачи ответов для передачи проверяющему (L-1) ответов Rspi, генерируемых модулем генерирования ответа. 6 н. и 2 з.п. ф-лы, 21 ил.

Устройство управления содержимым // 2573777

Изобретение относится к вычислительной технике. Технический результат заключается в обеспечении защищенного временного доступа к элементам содержимого, перечисленным в чарте, исключающий несанкционированный доступ пользователя к элементам содержимого, в том числе во время распределения элементов содержимого. Устройство для предоставления чарта элементов содержимого множеству пользовательских устройств содержит интерфейс пользовательского устройства для связи с приложениями пользовательских устройств; модуль разрешений для определения разрешений пользователям на доступ, включая временные разрешения; распределительный модуль для осуществления разрешений, определенных в модуле разрешений; распределительный модуль дополнительно содержит фрагментирующий модуль, предназначенный для фрагментации каждого элемента из одного или нескольких элементов содержимого на множество фрагментов. 6 н. и 84 з.п. ф-лы, 7 ил.