Система и способ проверки подлинности идентичности личности, вызывающей данные через компьютерную сеть

Изобретение относится к системам проверки подлинности идентичности личности, регистрирующейся в компьютерной сети. Технический результат - улучшенная проверка подлинности идентичности личности, регистрирующейся в компьютерной сети. Система обработки данных включает в себя: базу данных; главный компьютер и компьютер пользователя, способные общаться друг с другом через сеть; компьютер пользователя отправляет сообщение-запрос по данным (RQ) главному компьютеру, запрос, содержащий информационные данные (RD), идентификационную информацию (RI) и аутентификационную информацию (А; VI), главный компьютер проверяет аутентификационную информацию и отправляет запрашиваемые данные, только если идентификационная информация (RI) определяет авторизованного пользователя и аутентификационная информация (А; VI) аутентифицирует информацию идентификации пользователя. 3 н. и 3 з.п. ф-лы, 5 ил.

 

Область техники, к которой относится изобретение

Настоящее изобретение, в целом, относится к системе проверки подлинности идентичности личности, регистрирующейся в компьютерной сети.

Предшествующий уровень техники изобретения

На фигуре 1 схематически показана информационная база данных, обозначенная ссылочным номером 1. Главный компьютер, соединенный с базой данных 4, обозначен ссылочным номером 3. Компьютер пользователя обозначен ссылочным номером 1. Компьютер пользователя 1 и главный компьютер 3 способны обмениваться друг с другом информацией посредством компьютерной сети 2, которая может включать в себя беспроводной канал связи и/или канал кабельного соединения, и который может включать в себя интернет.

В простой ситуации компьютер пользователя 1 отправляет запрос главному компьютеру 3 (далее здесь просто указанному как «хост»), идентифицирует требуемые данные, и хост 3 получает запрос, обрабатывает информацию, идентифицирующую запрашиваемые данные, получает запрашиваемые данные из базы данных 4, и отправляет ответное сообщение компьютеру пользователя 1, причем ответное сообщение содержит запрашиваемые данные.

Такая установка работает надлежащим образом, если данные являются общедоступными. Однако существует множество примеров, где доступ к данным ограничен только для авторизованных пользователей. Одним важным примером является информация о пациенте, где доступ ограничен в целях соблюдения конфиденциальности. Еще одним примером является компания, где сотрудники компании имеют доступ только к собственным файлам, но им не разрешен доступ к рабочим файлам других сотрудников, в то время как только некоторым сотрудникам разрешен доступ к учетным данным. Еще одним примером является банковский счет. Еще одним примером в меньшем масштабе является доступ к переносному компьютеру, USB накопителю или другому портативному устройству хранения данных. В таких случаях хост 3 обеспечен памятью 5 (см. фигуру 2), содержащей информацию (например, в форме таблицы), определяющей отношение между пользователями и данными, к которым им разрешен доступ. В запросе содержится идентификационная информация пользователя (например, имя или пароль для входа), устанавливающая личность пользователя, используя компьютер пользователя 1. Хост проверяет идентификационную информацию этого пользователя, чтобы убедиться в подлинности пользователя, определяет к каким данным пользователю разрешен доступ и проверяет, являются ли запрашиваемые данные частью данных доступных для данного пользователя.

Теперь проблема состоит в том, что хост 3 понятия не имеет, является ли пользователь, использующий компьютер 1, в действительности тем пользователем, за которого себя выдает. Для решения этой проблемы необходима своего рода процедура аутентификации, чтобы удостовериться в аутентичности идентификационной информации пользователя.

Существует много способов аутентификации пользовательского идентификатора. Один из самых простых представляет собой ввод пароля, например, используя клавиатуру или любой другой подходящий тип устройства ввода. Пароль должен быть известен только настоящему пользователю. Хост только получает пароль и не знает, введен ли этот пароль настоящим пользователем или недобросовестным пользователем (далее “злоумышленник”). Таким образом, сам факт, что хост 3 принимает правильный пароль, не является гарантией, что пользователь за компьютером 1 является авторизованным пользователем: возможно, что авторизованный пользователь передал (добровольно или нет) детали пароля третьему лицу, возможно, что злоумышленник подобрал пароль, и так же возможно что злоумышленник украл пароль, подсмотрев за пользователем или найдя его ноутбук с сохраненным паролем, к примеру.

Еще одна возможность проверки подлинности личности представляет собой использование машинно-распознаваемого объекта, например, магнитной карты с магнитной полоской, в таком случае пользователь ПК 1 будет оснащен устройством чтения карт 6 (см. фигуру 3).

Карты с магнитными полосками (или альтернативно - чип), содержащие информацию, а также соответствующие считыватели, по сути являются известными. Для другого типа объекта, несущего информацию, требуется соответствующий тип считывателя, как будет ясно специалистам в данной области. Этот подход включает уже в себя повышенную безопасность, но тем не менее возможно, что оригинальная карта была утеряна или скопирована.

Еще одна возможность для аутентификации личности пользователя представляет собой распознавание признаков тела, которые являются уникальными для действительного тела авторизованного лица. Например, сканеры отпечатков пальцев и сканеры радужной оболочки являются широко известными и коммерчески доступными. Однако в то время как кард-ридер может считывать информацию с карт и отправлять ее хосту 3, распознавание признаков тела обычно включает в себя процесс распознавания в сканере, который в режиме обучения отсканировал и сохранил особенности признаков тела, и, который в нормальном режиме сравнивает моментально отсканированную информацию с сохраненной информацией, и, в основном, генерирует информацию ДА/НЕТ для отправки хосту. Будет сложно осуществить подобную процедуру аутентификации, когда пользователь является подвижным и захочет использовать разные компьютеры в разных местах.

Таким образом, в общем, в может существовать несколько типов аутентификации, требующих различного вида информации и различного вида считыватели, в то же время пользователь не всегда может иметь при себе все носители информации (он может просто забыть взять с собой магнитную карту) и также возможно, что не все ПК 1 оснащены всеми типами считывателей. Кроме того, может оказаться, что для некоторого типа информации требуется более высокий уровень защиты, чем для других (информация о пациенте, например, может требовать гораздо более высокого уровня защиты от несанкционированного доступа, чем черновик статьи кадрового журнала).

Еще одним осложнением может быть, что некоторые носители информации являются или становятся менее надежными, чем другие. Например, в системе, основанной на использовании магнитных карт или чип-карт, имеется вероятность, что они могут быть от разных поставщиков. Правительство, например, может предоставлять удостоверения личности (паспорт, водительское удостоверение) очень высокого качества и выдавать определенному лицу, удостоверяющему свою личность. Компания, например, может использовать более дешевые карты более низкого качества. Или процесс выдачи может быть менее безопасным, потому что карты отсылаются по почте или отправляются в архив, откуда пользователь может их забрать. В дальнейшем можно предположить, что шифрование карт, которые являются безопасными сегодня, находятся под угрозой завтра, так как карты могут быть легко скопированы и, следовательно, являются менее безопасными.

Сущность изобретения

Целью настоящего изобретения является устранение или, по меньшей мере, снижение риска возникновения вышеописанных проблем.

В системе, соответствующей настоящему изобретению, пользователь ПК отправляет на хост не только информацию, касающуюся пользователя (имя), и информацию, касающуюся подлинности (например, пароль), но и вторичную информацию, касающуюся способа аутентификации (например, считыватель карт, сканер отпечатков пальцев), включая информацию об использующимся устройстве (производитель, тип) и информацию об использующейся карте (производитель, тип, возраст). В случае, если используется несколько способов аутентификации (пароль, а также карта), то эта информация также отправляется хосту. Хост оснащен вспомогательной памятью, которая содержит связь (например, в таблице) между вторичной информацией и показателем надежности. При использовании хост обрабатывает вторичную информацию, вычисляет показатель надежности, используя заявленную вторичную информацию и заявленную связь, сравнивает показатель надежности с порогом надежности и предоставляет доступ, только если показатель надежности так же высок, как и порог надежности.

Таким образом, помимо информации связанной с идентификацией пользователя (КТО является пользователем), и информацией, связанной с аутентификацией (доказательством идентичности), хост также получает информацию о надежности аутентификации, и предоставляет пользователю довольствоваться низким уровнем подлинности в одних случаях и требует высоконадежной подлинности в других случаях. Таким образом, вполне возможно, что какие-то данные доступны с помощью пароля, в то время, как другие данные доступны только при наличии чип-карты или биометрических данных. На усмотрение оператора сети определить порог надежности для целевых данных. Дополнительно, в случае, когда определенный тип процесса аутентификации становится нарушенным, например, определенный тип чип-карты был взломан, возможно, чтобы оператор сети просто и быстро понизил показатель надежности, ассоциированный с этим конкретным процессом аутентификации, таким образом, чтобы этот процесс более не принимался для обеспечения доступа к более чувствительным данным.

Краткое описание чертежей

Эти и другие аспекты, особенности и преимущества настоящего изобретения будут в дальнейшем объясняться следующим описанием предпочтительных вариантов осуществления со ссылкой на чертежи, на которых одинаковые ссылочные позиции указывают на одинаковые или подобные части и в которых:

фигуры 1-3 представляют собой блок-схемы, схематически иллюстрирующие сеть в соответствии с уровнем техники;

фигура 4 представляет собой блок-схему, схематически иллюстрирующую сеть в соответствии с настоящим изобретением;

фигура 5 представляет собой блок-схему, схематически иллюстрирующую поток информации в сети в соответствии с настоящим изобретением.

Подробное описание изобретения

Со ссылкой на фигуры 4 и 5, система обработки данных 100 в соответствии с настоящим изобретением включает в себя хост 3, оснащенный памятью 10 определения значения надежности. Эта память 10 содержит таблицу (или другой вид соотношений), определяющей значение заданной надежности для определенных параметров аутентификации, такой параметр может относиться к типу процесса аутентификации, производителя носителя информации, процесс выдачи носителя информации, тип считывающего устройства и т.д. Хост 3 дополнительно оснащен памятью 20 определения порога надежности. Эта память 20 содержит таблицу (или другой тип соотношения), определяющую определенные части данных в базе данных 4, связанные пороги надежности.

Операция, как следует ниже, состоит из семи вспомогательных операций.

При первой вспомогательной операции 210 пользователь вводит запрашиваемую информацию в пользовательский ПК 1. Эта запрашиваемая информация включает в себя информацию о данных D (стадия 211), определяющую данные пользователя, желающего получить доступ, и информацию об идентичности I (стадия 212), определяющую идентичность пользователя (например, имя). Пользователь также вводит информацию аутентификации А в считыватель 6 (стадия 213), которая может быть паролем, чип-картой или даже биометрическими данными, как было описано выше. Считыватель 6 передает информацию пользователю ПК 1. Эта информация включает в себя информацию о сроках действия V (стадия 214), которая может быть информацией об аутентичности А самой по себе (в случае пароля), может быть данными, полученными с носителя данных (в случае чип-карты и т.п.), или информацию о том, что информация об аутентичности А была проверена (в случае биометрических данных). Информация также включает в себя тип информации Т аутентификации (стадия 215), определяющей один или несколько типов процессов аутентификации, производителя считывателя, тип считывателя, производителя носителя данных, протокол, через который носитель данных выдан пользователю и т.д.

При второй вспомогательной операции 220, пользователь ПК 1 отправляет запрос RQ хосту 3. Этот запрос RQ содержит, возможно, в зашифрованном виде, информацию о запрашиваемых данных (RD; стадия 221), информацию об идентичность пользователя (RI; 222), идентичность информации о сроках действия (RV; стадия 223), и информацию по типу аутентификации (RT; стадия 224). Стадии 221, 222, 223, 224 могут быть выполнены одновременно, т.е. данные являются мультиплексными или композитными, но также возможно, что Стадии 221, 222, 223, 224 осуществляют последовательно, в любом порядке.

При третьей вспомогательной операции 230, хост 3 обрабатывает информацию об идентичности пользователя RI, идентичность информации о сроках действия RV и выполняет проверки личности, ознакомившись с памятью 5 (IC; стадия 231), чтобы проверить, соответствует ли полученная информация авторизованному пользователю. Из памяти 5, хост 3 получает обратно информацию (АР, стадия 232), подтверждающую, авторизован ли пользователь и какие разделы базы данных ему доступны. Если пользователь не известен хосту (т.е. не авторизован), или проверка подлинности прошла неправомерно, то это будет отражено в АР информации и отправлено обратно хосту.

При четвертой вспомогательной операции 240 хост 3 обрабатывает информацию RT типа аутентификации как вводимое значение, чтобы обратиться к значению показателя надежности памяти 10 (стадия 241) и рассчитать значение надежности R (стадия 242) с основами соотношений, хранимых в надежных значениях выделенной памяти 10.

При пятой вспомогательной операции 250, хост 3 обрабатывает информацию о запрашиваемых данных RD как вводимое значение, обращается к памяти 20 определения порога надежности (стадия 251) и извлекает из этой памяти заранее заданное значение порога надежности RTV (стадия 252), установленное для данных, запрашиваемых посредством запроса.

При шестой вспомогательной операции 260, хост 3 выполняет сравнение с шагом 261, в котором хост сравнивает надежность значения R с значением порога надежности RTV. Если результат сравнения показывает, что значение надежности R ниже требуемого значения порога надежности RTV, то хост прервет процесс поиска данных, в противном случае хост перейдет с седьмой вспомогательной операции 270, в которой хост обрабатывает информацию о запрашиваемых данных RD как вводимое значение, для обращения к базе данных 4 для получения запрашиваемых данных DD из базы данных (стадия 272), и сообщает эти данные DD пользователю ПК 1 (стадия 273), где эти данные DD становятся доступными для пользователя, например, выводятся на экран (для простоты не показано) или печатаются на принтере (для простоты не показано).

Таким образом, настоящее изобретение относится к системе обработки данных 100, которая включает в себя:

базу данных 4;

главный компьютер 3 и компьютер пользователя 1, способные к сообщению друг с другом через сеть 2;

при этом компьютер пользователя отправляет сообщение-запрос по данным RQ главному компьютеру 3, запрос, содержащий информационные данные RD, информацию об идентичности RI и информацию об аутентичности VI, где главный компьютер 3 проверяет информацию об аутентичности и отправляет запрашиваемые данные, только если информация об идентичности RI определяет авторизованного пользователя и информация об аутентичности VI аутентифицирует информацию идентификации пользователя.

Сообщение-запрос дополнительно содержит вторичную информацию RT и главный компьютер 3 считает, исходя из дополнительной информации, значение надежности R, сравнивает вычисленное значение надежности с заданным порогом надежности, и отправляет запрашиваемые данные, только если значение надежности является, по меньшей мере, таким же высоким, как и порог надежности.

Специалисту в данной области должно быть понятно, что настоящее изобретение не ограничивается описанными выше примерными вариантами осуществления, но некоторые вариации и модификации возможны в пределах объема защиты изобретения, как определено в прилагаемой формуле изобретения.

Например, отмечено, что памяти 5, 10 и 20 могут представлять собой отдельные памяти, но также могут быть и разделами одной и той же памяти, и даже интегрированы с базой данных 4.

Дополнительно отмечено, что третья, четвертая и пятая вспомогательные операции 230, 240, 250 могут протекать параллельно, но также могут выполняться последовательно, в любом порядке. Очевидно, что информация АР, полученная обратно хостом 3 на стадии 232, указывает на то, что пользователь не авторизован, больше нет необходимости выполнять вспомогательные операции 240 и 250.

Дополнительно отмечают, что вместо доступа данных к базе данных, таким же образом можно применить физический доступ к защищаемым пространствам (зданиям, этажам, комнатам).

В описании выше, настоящее изобретение было пояснено со ссылкой на блок-схемы, которые изображают функциональные блоки устройства в соответствии с настоящим изобретением. Следует понимать, что один или несколько этих функциональных блоков могут быть осуществлены в аппаратных средствах, где функция этого функционального блока осуществляется отдельными аппаратными компонентами, но также возможно, что один или несколько из этих функциональных блоков реализуется в программном обеспечении, таким образом, что функция такого функционального блока выполняется в одну или несколько строк компьютерной программы или программируемым устройством, таким как микропроцессор, микроконтроллер, процессор для цифровой обработки сигналов и т.д.

1. Система обработки данных (100), содержащая:
базу данных (4); главный компьютер (3), ассоциированный с базой данных; компьютер пользователя (1); причем компьютер пользователя (1) и главный компьютер (3) выполнены с возможностью сообщения друг с другом через сеть (2); причем компьютер пользователя (1) выполнен с возможностью направления данных сообщения-запроса (RQ) в главный компьютер (3) и причем главный компьютер (3) выполнен с возможностью обработки сообщения-запроса, извлекая запрашиваемые данные из базы данных (4) и отправляя ответное сообщение, содержащее запрашиваемые данные, компьютеру пользователя (1); причем сообщение-запрос (RQ) содержит информацию о данных (RD), определяющую запрашиваемые данные, информацию об идентичности (RI), определяющую идентичность пользователя, и информацию об аутентичности (А; VI), аутентифицирующую информацию идентификации пользователя, причем главный компьютер (3) сконструирован для проверки информации аутентификации и для отправки запрашиваемых данных только если информация об идентичности (RI) определяет авторизованного пользователя и информация аутентификации (А; VI) аутентифицирует информацию идентификации пользователя; причем сообщение-запрос дополнительно содержит вторичную информацию (RT), касающуюся используемого способа аутентификации; причем главный компьютер (3) оборудован памятью (10) определения значения надежности, содержащей соотношение между вторичной информацией и значением надежности; причем главный компьютер (3) сконструирован для расчета, из вторичной информации в полученном сообщении-запросе (RQ), значения надежности (R), используя указанное соотношение в указанной памяти (10) определения значения надежности, для сравнения вычисленного значения надежности с заданным порогом надежности и для отправки запрашиваемых данных только в том случае, если значение надежности является, по меньшей мере, таким же высоким, как и порог надежности; причем главный компьютер (3) оборудован памятью (20) порога значения надежности, содержащей соотношение между данными в базе данных и порогом надежности для этих данных; причем главный компьютер (3) сконструирован для обработки информации о данных (RD), для расчета порога надежности для запрашиваемых данных; и причем главный компьютер (3) сконструирован для сравнения значения надежности аутентификации с порогом надежности для запрашиваемых данных и отправки запрашиваемых данных только в том случае, если значение надежности является, по меньшей мере, таким же высоким, как и порог надежности.

2. Система по п. 1, в которой информация об аутентичности (А; VI) определяет используемый способ аутентификации (например, считыватель карт, сканер отпечатков пальцев) и включает в себя информацию, определяющую используемое устройство (производитель, тип), и информацию, определяющую используемую карту (производитель, тип, возраст).

3. Система по п. 1, в которой сеть (2) включает в себя беспроводной канал связи и/или проводной канал связи, и которая может включать в себя интернет.

4. Система по п. 2, в которой сеть (2) включает в себя беспроводной канал связи и/или проводной канал связи, и которая может включать в себя интернет.

5. Способ обработки запроса на поиск данных, содержащий этапы:
проверки идентичности пользователя; проверки аутентичности идентичности пользователя; и определения значения надежности для способа аутентификации; и причем запрашиваемые данные извлекают из базы данных только тогда, если: идентичность пользователя соответствует личности, авторизованной, чтобы иметь доступ к запрашиваемым данным; и аутентичность идентичности пользователя является бескомпромиссной; и значение надежности для способа аутентификации является достаточно высоким.

6. Главный компьютер (3) для системы по любому из пп. 1-4, причем главный компьютер (3) является ассоциированным с базой данных (4); причем главный компьютер (3) выполнен с возможностью принимать данные сообщения-запроса (RQ) от компьютера пользователя (1); причем главный компьютер (3) выполнен с возможностью обрабатывать сообщение-запрос, извлекая запрашиваемые данные из базы данных (4) и отправляя ответное сообщение, содержащее запрашиваемые данные, компьютеру пользователя (1); причем главный компьютер (3) сконструирован для вывода информации об идентичности (RI) и информации об аутентичности (А; VI) из сообщения-запроса (RQ), для проверки информации об идентичности (RI) и информации аутентификации и отправки запрашиваемых данных, только если информация об идентичности (RI) определяет авторизованного пользователя и информация аутентификации (А; VI) аутентифицирует информацию идентификации пользователя; причем главный компьютер (3) сконструирован для вывода вторичной информации (RT) из сообщения-запроса (RQ), для расчета значения надежности (R) из вторичной информации в полученном сообщении-запросе (RQ), для сравнения вычисленного значения надежности с заданным порогом надежности и отправки запрашиваемых данных только в том случае, если значение надежности является, по меньшей мере, таким же высоким, как и порог надежности.



 

Похожие патенты:

Изобретение относится к вычислительной технике. Технический результат заключается в безопасной обработке данных.

Изобретение относится к средствам защиты от несанкционированного доступа к информации. Технический результат - реализация разграничения доступа по расширениям файлов.

Изобретение относится к средствам фильтрации бинауральных воздействий в аудиопотоках и к средствам защиты индивидуального, группового и массового сознания граждан от скрытых вредоносных воздействий в аудиопотоках.

Изобретение относится к вычислительной технике. Технический результат заключается в повышении эффективности управления параметрами приложений на множестве разнообразных компьютерных устройств.

Изобретение относится к области полнодискового шифрования с проверкой совместимости загрузочного диска со средством шифрования. Технический результат - обеспечение совместимости загрузочного диска со средством шифрования.

Изобретение относится к области антивирусных систем. Техническим результатом является уменьшение количества требующих анализа событий, связанных с выполнением процесса, при антивирусной проверке.

Изобретение относится к компьютерной безопасности, а более конкретно к системам и способам обеспечения безопасности онлайн-транзакций. Технический результат настоящего изобретения заключается в обеспечении безопасности пользовательских транзакций за счет обнаружения вредоносных программ, используемых для мошеннических транзакций.

Изобретение относится к области управления лицензиями. Технический результат - эффективное управление лицензиями.

Настоящее описание относится к системе и способу предотвращения влияния вредоносных, шпионских программ, а также других нежелательных приложений на мобильные устройства связи.

Изобретение относится к области транспортных средств. Технический результат - обеспечение правомерного использования транспортного средства за счет аутентификации вводимых параметров пользователя.

Изобретение относится к области лицензирования. Технический результат - эффективное управление лицензируемым объектом. Устройство и способ управления лицензируемым элементом включают в себя получение доступа к политике лицензирования, относящейся к управлению лицензируемым элементом, и агенту лицензии, создающему определение, чтобы действовать для обеспечения соблюдения политики лицензирования или осуществления первоначальной связи с сервером перед действием для обеспечения соблюдения политики лицензирования. Дополнительно, прибор и способ включают в себя обеспечение соблюдения политики лицензирования в соответствии с определением действовать для обеспечения соблюдения политики лицензирования или осуществлять первоначальную связь с сервером перед действием. 5 н. и 36 з.п. ф-лы, 12 ил.

Изобретение относится к области лицензирования. Технический результат - эффективное управление разрешением и запрещением функций на множестве устройств лицензиата, выполняющих функции согласно информации ключей. Устройство лицензиата хранит информацию ключей, зашифрованную ключом шифра, с тем, чтобы выдавать запрос изменения лицензии, активизирующий или ограничивающий предопределенную дополнительную функцию. После приема запроса изменения лицензии, ограничивающего предопределенную дополнительную функцию, устройство администрирования лицензий перезаписывает информацию ключей устройства лицензиата ключом по умолчанию. Впоследствии, после приема запроса изменения лицензии, активизирующего предопределенную дополнительную функцию, устройство администрирования лицензий применяет ключ повышения уровня к информации ключей устройства лицензиата. Ключ по умолчанию или ключ повышения уровня могут быть дешифрованы с использованием ключа шифра, уникального для устройства лицензиата. Устройство администрирования лицензий управляет максимальным значением выданной лицензии для предопределенной дополнительной функции и отражает приращение или отрицательное приращение для максимального значения лицензирования, применяя ключ по умолчанию или ключ повышения уровня. 6 н. и 6 з.п. ф-лы, 7 ил.

Изобретение относится к области обнаружения ложных положительных результатов (ложных тревог) при анализе систем на присутствие вредоносного программного обеспечения. Техническим результатом является минимизация ложных положительных результатов. Способ сканирования файлов для поиска вредоносного ПО в компьютерной системе содержит прием в систему файла, подлежащего сканированию, и использование по меньшей мере одного средства сканирования файла для поиска вредоносного ПО с целью выявления, обладает ли файл свойствами, указывающими на его вредоносность. Если установлено, что файл обладает свойствами, свидетельствующими о его вредоносности, то способ предусматривает использование по меньшей мере одного средства сканирования для проверки чистоты с целью определения, обладает ли файл свойствами, указывающими на его чистоту. Если установлено, что файл обладает свойствами, свидетельствующими о его чистоте, то производится формирование сигнала ложной тревоги. 3 н. и 2 з.п. ф-лы, 2 ил.

Изобретение относится к области информационной безопасности информационно-вычислительных сетей (ИВС) и систем связи и может быть использовано при сравнительной оценке структур ИВС на предмет их устойчивости к отказам, вызванным воздействиями случайных и преднамеренных помех. Техническим результатом от использования изобретения является повышение достоверности результатов сравнительной оценки структур ИВС в условиях воздействия случайных и преднамеренных помех за счет формирования альтернативных маршрутов к включенным в структуру ИВС узлам управления сервисами и определения более безопасного маршрута. Способ заключается в следующем: дополнительно задают совокупность М узлов управления сервисами, после приема ответных сообщений от узлов управления сервисами выделяют и запоминают идентификаторы и адреса узлов управления сервисами, а также множество L маршрутов передачи сообщений, после чего вычисляют критическое соотношение ранее запомненных «опасных» и «безопасных» узлов p к l для каждого l-го маршрута передачи сообщения между абонентом и всеми узлами управления сервисами, при котором невозможен информационный обмен в ИВС, для чего вычисляют первоначальное соотношение «опасных» и «безопасных» узлов pl, и последовательно увеличивают его на величину Δp до выполнения условия, при котором невозможен информационный обмен между абонентом и узлами управления сервисами ИВС, затем выбирают из сформированного множества L маршрутов передачи сообщений маршруты с максимальным значением p к l ко всем имеющимся узлам управления сервисами ИВС от данного абонента, после чего выбирают из них тот маршрут передачи сообщений, у которого значение длины маршрута минимально. 3 ил.

Изобретение относится к системам передачи информации. Техническим результатом является обеспечение высококачественной передачи данных при обеспечении безопасности данных, передаваемых и принимаемых посредством системы передачи данных. Результат достигается тем, что устройство управления передачей включает в себя приемный модуль, который принимает от первого передающего терминала 10 запрос на осуществление связи для связи со вторым передающим терминалом 10; первый модуль хранения, который ассоциированным образом сохраняет идентификационную информацию терминала для идентификации передающих терминалов 10 и идентификационную информацию ретрансляционного устройства для идентификации ретрансляционного устройства 30, которое ретранслирует данные, которые должны быть переданы и приняты посредством первого передающего терминала 10; модуль выбора ретрансляционного устройства, который выбирает ретрансляционное устройство 30, ассоциированное с идентификационной информацией терминала для первого передающего терминала 10 в первом модуле хранения; второй модуль хранения, который ассоциированным образом сохраняет идентификационную информацию ретрансляционного устройства и информацию необходимости шифрования; и модуль определения необходимости шифрования, который определяет, необходимо ли или нет шифрование, на основе информации необходимости шифрования, ассоциированной во втором модуле хранения, с ретрансляционным устройством 30, выбранным посредством модуля выбора ретрансляционного устройства. 4 н. и 4 з.п. ф-лы, 17 ил.

Изобретение относится к области защиты от копирования видеоматериалов. Технический результат - обеспечение повышения степени защиты от несанкционированного воспроизведения и копирования видеоматериалов. В способе защиты видеоматериалов от копирования и несанкционированного воспроизведения предварительно проводят подготовку видеоматериала, для этого кадры, составляющие исходный видеоряд, разбивают на фрагменты, таким образом обрабатывают весь исходный видеоряд, с формированием управляющей информации для воспроизведения видеоматериала; после фрагментирования и обработки фрагментов получают производные видеоряды, составленные из фрагментов кадров, при этом организацию производного видеоряда выполняют статичной или динамической, которая в то же время может быть линейной или дискретной; при воспроизведении с помощью управляющей информации из синхронно воспроизводимых производных видеорядов, сопровождаемых аудиодорожкой, восстанавливают видеоинформацию до идентичной по восприятию с исходной. 14 з.п. ф-лы, 27 ил.

Изобретение относится к области аутентификации. Технический результат - эффективная защита цифровой подписи. Устройство аутентификации, включающее в себя модуль хранения ключей для хранения L(L≥2) секретных ключей si(i = от 1 до L) и L открытых ключей yi, удовлетворяющих условию yi=F(si) в отношении набора F многочленов нескольких переменных n-го порядка (n≥2), и модуль выполнения интерактивного протокола, предназначенный для выполнения с помощью проверяющего интерактивного протокола для проверки знания (L-1) секретных ключей si, удовлетворяющих условию yi=F(si). Модуль выполнения интерактивного протокола включает в себя модуль приема вызовов для приема L вызовов Chi от проверяющего, модуль выбора вызовов для произвольного выбора (L-1) вызовов Chi из L вызовов Chi, принимаемых модулем приема вызовов, модуль генерирования ответов для генерирования, с использованием секретных ключей si, (L-1) ответов Rspi, соответственно, для (L-1) вызовов Chi, выбираемых модулем выбора вызовов, и модуль передачи ответов для передачи проверяющему (L-1) ответов Rspi, генерируемых модулем генерирования ответа. 6 н. и 2 з.п. ф-лы, 21 ил.

Изобретение относится к вычислительной технике. Технический результат заключается в обеспечении защищенного временного доступа к элементам содержимого, перечисленным в чарте, исключающий несанкционированный доступ пользователя к элементам содержимого, в том числе во время распределения элементов содержимого. Устройство для предоставления чарта элементов содержимого множеству пользовательских устройств содержит интерфейс пользовательского устройства для связи с приложениями пользовательских устройств; модуль разрешений для определения разрешений пользователям на доступ, включая временные разрешения; распределительный модуль для осуществления разрешений, определенных в модуле разрешений; распределительный модуль дополнительно содержит фрагментирующий модуль, предназначенный для фрагментации каждого элемента из одного или нескольких элементов содержимого на множество фрагментов. 6 н. и 84 з.п. ф-лы, 7 ил.

Изобретение относится к информационной безопасности. Технический результат заключается в обеспечении безопасности корпоративной сети. Система настройки компьютерной системы в соответствии с политикой безопасности содержит средство применения политик для определения данных о конфигурации компьютерной системы и их последующей передачи средству формирования инструкций, настройки компьютерной системы в соответствии с выбранной политикой безопасности, выполнения проверки корректности работы компьютерной системы после настройки; базу данных политик безопасности; средство формирования инструкций для выбора политики безопасности в соответствии с определенной конфигурацией компьютерной системы и существующими политиками безопасности из базы данных политик безопасности, формирования инструкции по изменению определенной конфигурации компьютерной системы, где создают по крайней мере одну исполняемую инструкцию в виде самозапускающегося файла, в созданную инструкцию добавляют файлы и дистрибутивы для корректного выполнения созданной исполняемой инструкции. 2 н. и 8 з.п. ф-лы, 3 ил.

Изобретение относится к области защиты компьютерных устройств и данных конечных пользователей от несанкционированного доступа. Техническим результатом является повышение уровня защиты информации от неавторизованного доступа путем применения правил доступа к файлам при их передаче между компьютерами. Система применения правил доступа к файлам при их передаче между компьютерами содержит 1) средство определения правил доступа, установленное на локальном компьютере, предназначенное для: перехвата запросов пользователя удаленного компьютера на получение доступа к файлу локального компьютера; определения параметров по крайней мере следующих объектов: пользователя удаленного компьютера, файла, удаленного компьютера; при этом параметры удаленного компьютера включают по крайней мере следующие: показатели, определяющие для каждого из дисков, является ли диск зашифрованным; уровень безопасности, зависящий по крайней мере от одного из следующих параметров: дата последнего обновления антивирусных баз, наличие незакрытых уязвимостей на компьютере, дата последней антивирусной проверки, результаты последней антивирусной проверки, список установленных на компьютере приложений; тип шифрования дисков, который принимает одно из двух значений: шифрование файлов диска, шифрование диска целиком; определения правила доступа с помощью базы данных политик доступа на основе упомянутых определенных параметров, при этом упомянутое правило доступа является одним из следующих: запретить доступ, предоставить прозрачный доступ к зашифрованному файлу, предоставить зашифрованные файлы в виде шифротекста; передачи правила доступа средству применения правил доступа, установленному на удаленном компьютере; 2) упомянутое средство применения правил доступа, связанное со средством определения правил доступа и предназначенное для применения упомянутого определенного правила доступа к файлу локального компьютера в зависимости от установленных параметров объектов; 3) упомянутую базу данных политик доступа, содержащую правила доступа к файлам локального компьютера для удаленного компьютера в зависимости от параметров объектов. 2 н. и 21 з.п. ф-лы, 5 ил., 1 табл.

Изобретение относится к системам проверки подлинности идентичности личности, регистрирующейся в компьютерной сети. Технический результат - улучшенная проверка подлинности идентичности личности, регистрирующейся в компьютерной сети. Система обработки данных включает в себя: базу данных; главный компьютер и компьютер пользователя, способные общаться друг с другом через сеть; компьютер пользователя отправляет сообщение-запрос по данным главному компьютеру, запрос, содержащий информационные данные, идентификационную информацию и аутентификационную информацию, главный компьютер проверяет аутентификационную информацию и отправляет запрашиваемые данные, только если идентификационная информация определяет авторизованного пользователя и аутентификационная информация аутентифицирует информацию идентификации пользователя. 3 н. и 3 з.п. ф-лы, 5 ил.

Наверх