Способ построения распределенной компьютерной системы, защищенной от внешнего исследования

Авторы патента:

Овсянников Александр Александрович (RU)

Золотарев Вячеслав Владимирович (RU)

G06F21/75 - Обработка цифровых данных с помощью электрических устройств (вычислительные машины, в которых часть вычислений осуществляется гидравлическими или пневматическими устройствами G06D; оптическими средствами G06E; автономные внешние вводные и выводные устройства G06K; компьютерные системы, основанные на специфических вычислительных моделях G06N; цепи полного /активного и реактивного/ сопротивления H03H)

Владельцы патента RU 2643482:

Закрытое акционерное общество "РТК-Сибирь" (ЗАО "РТК-Сибирь") (RU)

Изобретение относится к области защиты распределенных информационно-вычислительных систем. Техническим результатом является повышение защищенности распределенных информационно-вычислительных систем. Способ построения распределенной компьютерной системы, защищенной от внешнего исследования, заключается в том, что систему разделяют на блоки, имеющие информационный вход, выход и алгоритм преобразования значения входа в значения выхода, берут два таких блока, для которых выход одного является входом для другого, перед входом на второй блок добавляется новый блок (далее - блок прямого преобразования) с псевдослучайной функцией, для которого множество значений выхода полностью покрывает множество значений входа второго блока и для каждого значения выхода существует значение входа, после выхода первого блока устанавливается дополнительный блок (далее - блок обратного преобразования), который зеркально отражает преобразование входа и выхода блока прямого преобразования, то есть если по значению А входа блок прямого преобразования получает значение В на выходе, то блок обратного преобразования при значении В на входе должен получить значение А на выходе, блоки подключаются последовательно: первый блок - блок обратного преобразования - блок прямого преобразования - второй блок.

Изобретение относится к компьютерным технологиям, а именно к защите распределенных информационно-вычислительных систем от несанкционированного использования путем защиты данных систем от исследования.

Известен способ защиты локальной сети от исследования [1, 2] путем непрерывной модификации внешнего IP-адреса ресурса.

Известен способ [3] псевдослучайного распределения данных в памяти компьютера с целью защиты их от исследования.

Известен способ [4] защиты программного кода приложений интерпретируемых языков от исследования путем его модификации.

Предлагаемые способы защиты предполагают непрерывную модификацию программно-аппаратных систем с целью защиты их от внешнего исследования. Потенциальному злоумышленнику для реализации уязвимостей системы необходимо предварительно ее исследовать. Если система изменяется, то злоумышленник не имеет долговременной информации, которую можно использовать для ее атаки. Особенность приведенных способов защиты заключается в их узкой направленности на отдельные компоненты компьютерных систем, а именно адресацию в локальной сети [1, 2], защиту виртуальной памяти компьютера [3] и защиту программного кода интерпретируемого языка [4].

Задачей предлагаемого изобретения является защита от исследования любых информационных процессов в компьютерной системе, которые можно технически или программно разделить на блоки, имеющие вход, выход и алгоритм преобразования состояния входа в состояние выхода.

Сущность предлагаемого способа защиты заключается в том, что в промежутки между входом и выходом двух блоков добавляются еще два блока с прямым и обратным преобразованием. Преобразование выполняется псевдослучайно из множества возможных преобразований данного технического элемента.

Способ отличается тем, что он меняет данные, передаваемые на нужный функциональный блок, таким образом, что внешний (несанкционированный) пользователь, не зная функцию обратного блока преобразования, не может подать правильные данные на вход нужного блока и получить необходимый результат.

Такой способ построения компонентов информационной системы позволяет постоянно менять алгоритмы, выполняемые блоками, защищая тем самым систему от исследования в целях выявления уязвимостей с последующей компрометацией.

Предлагаемый способ характеризуется следующими существенными признаками:

1. Систему разделяют на блоки, имеющие информационный вход, выход и алгоритм преобразования значения входа в значения выхода.

2. Берут два таких блока, для которых выход одного является входом для другого.

3. Перед входом на второй блок добавляют новый блок (далее - блок прямого преобразования) с псевдослучайной функцией, для которого множество значений выхода полностью покрывает множество значений входа второго блока и для каждого значения выхода существует значение входа. Из множества возможных зависимостей состояний входа и выхода преобразование блока выбирается случайным (псевдослучайным) образом.

4. После выхода первого блока устанавливается дополнительный блок (далее - блок обратного преобразования). Данный блок зеркально отражает преобразование входа и выхода блока прямого преобразования, то есть если по значению А входа блок прямого преобразования получает значение В на выходе, то блок обратного преобразования при значении В на входе должен получить значение А на выходе.

5. Блоки подключаются последовательно: первый блок - блок обратного преобразования - блок прямого преобразования - второй блок.

6. Далее выбирают следующие два блока системы до тех пор, пока система не станет в достаточной степени защищенной от исследования.

Сопоставительный анализ заявленного способа защиты со способами, приведенными в [1, 2, 3, 4], показывает, что заявляемый способ защиты обладает новизной со следующими признаками:

1. Для защиты от исследования используются дополнительные аппаратные или программные блоки преобразований.

2. Используются блоки прямого и обратного преобразования.

3. Дополнительные блоки соединяются последовательно, что в результате позволяет системе функционировать корректно.

Наличие этих признаков обеспечивает соответствие технического решения критерию "новизна".

При сравнении заявляемого решения с другими известными техническими решениями перечисленные признаки новизны не обнаружены, что позволяет сделать вывод о наличии существенных отличий заявляемого способа защиты от исследования компьютерных систем.

Предложенный способ защиты от исследования позволяет затруднить попытки компрометации компьютерной системы путем затруднения внешнего исследования функциональной структуры компьютерной системы.

Источники информации

1. Karen Trovato. IP hopping for secure data transfer (Patent US 20030069981 A1). 10 Apr 2003.

2. David Wright. Time based ip address hopping (Patent WO 2015009308 A1). Jan 22, 2015.

3. Multi-dimentional data randomization (Patent US 20150378890 A1). Dec 31, 2015

4. Diversified instruction set processing to enhance security (Patent WO 2014210277 A1). Dec 31, 2014.

Способ построения распределенной компьютерной системы, защищенной от внешнего исследования, отличающийся тем, что систему разделяют на блоки, имеющие информационный вход, выход и алгоритм преобразования значения входа в значения выхода, берут два таких блока, для которых выход одного является входом для другого, перед входом на второй блок добавляется новый блок (далее - блок прямого преобразования) с псевдослучайной функцией, для которого множество значений выхода полностью покрывает множество значений входа второго блока и для каждого значения выхода существует значение входа, после выхода первого блока устанавливается дополнительный блок (далее - блок обратного преобразования), который зеркально отражает преобразование входа и выхода блока прямого преобразования, то есть если по значению А входа блок прямого преобразования получает значение В на выходе, то блок обратного преобразования при значении В на входе должен получить значение А на выходе, блоки подключаются последовательно: первый блок - блок обратного преобразования - блок прямого преобразования - второй блок.

Изобретение относится к обработке изображения идентифицированных отпечатков пальцев. Технический результат заключается в повышении уровня безопасности идентификации.

Способ и устройство для взаимодействия с приложением // 2643461

Изобретение относится к области телекоммуникации. Технический результат заключается в повышении эффективности управления пользователем учетными записями соответствующих приложений.

Обновление рабочей системы для защищенного элемента // 2643457

Изобретение относится к области встроенных защищенных элементов, таких как смарт-карты. Технический результат заключается в обеспечении обновления рабочей системы надежным и безопасным способом.

Способ защиты информационно-телекоммуникационной сети от пассивных компьютерных атак // 2642403

Изобретение относится к области защиты информационно-телекоммуникационных сетей (ИТКС) от пассивных компьютерных атак. Технический результат заключается в повышении коэффициента исправного действия ИТКС с учетом определения уровня информированности нарушителя о защищаемой ИТКС.

Способ построения системы защиты от компьютерных атак для автоматизированных систем управления // 2642374

Изобретение относится к области систем защиты автоматизированных систем управления различного назначения от информационно-технических воздействий и может быть использовано для построения систем защиты автоматизированных систем управления (АСУ) от одного из основных видов информационно-технических воздействий - компьютерных атак.

Способ, устройство и носитель информации для динамического внесения изменений в функцию // 2642362

Изобретение относится к области обновления функций. Техническим результатом является реализация динамического обновления функций патчами.

Способ дистанционного перехвата конфиденциальной речевой информации, циркулирующей в защищенном помещении // 2642034

Изобретение относится к области радио- и аудиотехники, в частности к методам приема сигналов при их утечке из защищенного помещения по различным техническим каналам, и может преимущественно использоваться для дистанционного перехвата конфиденциальной акустической речевой информации, циркулирующей в защищенном помещении.

Способ защиты средств вычислительной техники от утечки информации по каналу побочных электромагнитных излучений и наводок // 2642032

Изобретение относится к области защиты информации, циркулирующей в средствах вычислительной техники (СВТ). Техническим результатом является снижение сложности технической реализации защиты информации в СВТ от утечки по каналу побочных электромагнитных излучений и наводок (ПЭМИН).

Способ и аппаратура для управления устройствами // 2641257

Изобретение относится к способу и устройству управления устройствами. Технический результат заключается в обеспечении управления устройствами.

Способ функционирования secureos на многопроцессорных системах в мобильных устройствах // 2641226

Изобретение относится к способу функционирования защищенной операционной системы (SecureOS) на многопроцессорных системах в мобильных устройствах. Технический результат заключается в повышении производительности SecureOS.

Генерация собственного кода из кода на промежуточном языке для приложения // 2643484

Изобретение относится к средствам установки, исполнения и/или обновления управляемых приложений путем генерации собственного кода из кода на промежуточном языке. Технический результат заключается в расширении арсенала средств установки, исполнения и/или обновления управляемых приложений. В способе генерации собственного кода из кода на промежуточном языке для приложения: принимают в вычислительном устройстве характерный для типа устройства установочный пакет для приложения от онлайн-провайдер, пакет включает в себя файлы на машинно-зависимом промежуточном языке MDIL-файлы, генерируемые онлайн-провайдером для приложения, список связывания, который включает в себя перечень MDIL-файлов приложения, которые подлежат связыванию для генерации собственного образа для приложения, и перечень набора из одной или более библиотек, которые подлежат связыванию с соответствующими MDIL-файлами, сохраняют собственный образ на вычислительном устройстве для использования при загрузке приложения для исполнения. 2 н. и 6 з.п. ф-лы, 10 ил.

Система для защиты критических данных бортовой системы самолета // 2643491

Изобретение относится к системе безопасности данных для обеспечения безопасности критических данных системы бортовой авиационной электроники самолета, установленной на борту самолета. Технический результат заключается в повышении защищенности и безопасности самолета. В предложенной системе критические данные хранятся в средстве хранения данных, которое содержит средство управления доступом для управления доступом к указанным данным по меньшей мере для одного пользователя/по меньшей мере одним пользователем, для того чтобы подтвердить или не подтвердить доступ к указанным данным на основе информации, связанной с безопасностью, при этом информация, связанная с безопасностью, выбрана из группы, включающей в себя, в частности: список авторизованных пользователей, которым разрешен доступ к данным; максимальное количество разрешенных доступов к данным, а также типов разрешенных доступов к указанным данным; временное окно, имеющее ограниченную длительность разрешения доступа к указанным данным; последовательности/каскадные соединения, разрешенные при доступе различных пользователей к указанным данным; иерархическую приоритезацию областей, связанных со средством хранения данных. 11 з.п. ф-лы, 1 ил.

Управление памятью // 2643499

Группа изобретений относится к области электроники и может быть использована для управления памятью в электронных устройствах. Техническим результатом является обеспечение возможности энергонезависимой памяти эмулировать атрибуты энергозависимой памяти при сбросе питания. Контроллер памяти содержит логику для извлечения глобального порядкового номера из устройства памяти; приема запроса на чтение данных, хранящихся по адресу логического блока в устройстве памяти; извлечения медиа порядкового номера из адреса логического блока в устройстве памяти и возврата пустого ответа вместо данных, хранящихся по адресу логического блока, когда медиа порядковый номер старше глобального порядкового номера. 3 н. и 22 з.п. ф-лы, 11 ил.

Способ шифрования методом расщепления // 2643502

Изобретение относится к области потокового шифрования текстов при их передаче и хранении в различных системах и устройствах, требующих защиты информации от вмешательства посторонних лиц и контроля с их стороны. Технический результат - повышение уровня защиты при передаче каждого символа. Способ шифрования текста методом расщепления заключается в том, что каждый отдельный символ текста, представленный в виде целого числа в соответствии с выбранной кодовой таблицей, предварительно преобразуют посредством новой математической операции - операции расщепления, которая в простейшем варианте позволяет превратить выбранный код символа с помощью очередного псевдослучайного числа, порождаемого генератором псевдослучайных чисел (ГПСЧ), в последовательность двух (или более) положительных целых чисел, из которых второе (или оба числа) снова подвергаются действию операции расщепления, создавая, таким образом, для каждого передаваемого символа конечную последовательность из трех, четырех и более положительных целых чисел, а затем все члены указанной конечной последовательности для каждого символа текста независимо шифруют с применением операции исключающее ИЛИ и соответствующей гаммы чисел, получаемых от ГПСЧ. 2 ил.

Использование кэш-памяти и памяти другого типа в распределённой запоминающей системе // 2643642

Группа изобретений относится к распределенным запоминающим системам и может быть использована для сохранения данных в кэш-памяти или памяти другого типа. Техническим результатом является обеспечение улучшенного использования ресурсов кэш-памяти и ресурсов других типов памяти. Система содержит множество взаимосвязанных узлов, которые коллективно управляют сохранением данных, содержащее первый узел, имеющий процессор выполнения логики, при этом логика выполнена с возможностью: приема данных от ресурса, имеющего сообщение с множеством взаимосвязанных узлов, при этом принятые данные предназначены для сохранения в репозитории для сохранения данных, который включает в себя ресурс энергонезависимой кэш-памяти и ресурс энергонезависимой памяти, не являющейся кэш-памятью; создания первых метаданных, основанных на принятых данных; и пересылки первых метаданных управляющей логике сохранения данных для побуждения управляющей логики сохранить принятые данные в репозитории на основании информации, включенной в первые метаданные. 3 н. и 22 з.п. ф-лы, 9 ил.

Способ и устройство для управления авторизацией виртуальной очереди вывода, а также компьютерный носитель информации // 2643666

Группа изобретений относится к системам связи и характеризует технологии управления авторизацией виртуальной очереди вывода. Техническим результатом является осуществление шейпинга трафика с агрегацией множества пользовательских сервисов согласно информации о состоянии шейпинга. Предложен способ управления авторизацией виртуальной очереди вывода (VOQ). Способ содержит этап, на котором, согласно алгоритму планирования в планировщике блока планирования, непосредственно связанного с физическим портом, и согласно весу и приоритету блока планирования на следующем уровне планирования относительно текущего уровня планирования, определяют индекс блока планирования на следующем уровне планирования относительно текущего уровня планирования. Далее, осуществляют получение информации о списке связей планирования для каждого планировщика в блоке планирования на следующем уровне планирования относительно текущего уровня планирования согласно индексу блока планирования на следующем уровне планирования относительно текущего уровня планирования и определяют индекс авторизуемого планировщика, соответствующего классу обслуживания, который совпадает с текущей авторизацией в блоке планирования на следующем уровне планирования, согласно информации о списке связей планирования. 3 н. и 10 з.п. ф-лы, 5 ил.

Мобильный терминал, программа мобильного терминала, система управления пункта проверки и способ управления пункта проверки // 2644073

Изобретение относится к технологиям связи с использованием мобильного терминала, и более конкретно, к технологии, предназначенной для использования в мобильном терминале или в программе мобильного терминала, которая осуществляет информационный обмен с устройством или прибором, имеющим функцию устройства считывания/записи для метки радиочастотной идентификации (RFID), и которая служит в качестве пассивной метки RFID, и к системе управления пункта проверки или к способу управления пункта проверки, который использует такой мобильный терминал. Технический результат – обеспечение мобильного терминала, имеющего возможность осуществления информационного обмена с множеством типов устройств считывания/записи, каждое из которых включает в себя управляющую программу, имеющую функцию идентификации или аутентификации метки RFID. Мобильный терминал включает в себя программное приложение, блок GPS обработки, блок обработки метки RFID, устройство считывания/записи, контроллер терминала, обеспечивающие передачу соответствующей информации на сервер приложений. 5 н. и 11 з.п. ф-лы, 18 ил.

Способ аутентификации пользователя и терминал // 2644117

Изобретение относится к области терминальных технологий и, в частности, к способу аутентификации пользователя и терминала. Техническим результатом является повышение защиты терминала. Способ аутентификации пользователя включает в себя: получение объекта аутентификации взаимодействия и объекта помех взаимодействия после приема запроса на аутентификацию, где объект аутентификации взаимодействия является объектом реального взаимодействия, хранящимся в терминале, объект помех взаимодействия является объектом виртуального взаимодействия, созданным с помощью терминала, и объект помех взаимодействия имеет аналогичный признак с объектом аутентификации взаимодействия, чтобы создавать помехи для пользователя, когда пользователь выбирает объект аутентификации взаимодействия; отображение объекта аутентификации взаимодействия и объекта помех взаимодействия на интерфейсе аутентификации для пользователя для их выбора; получение результата выбора и определение, является ли результат выбора объектом аутентификации взаимодействия; и определение, когда результат выбора является объектом аутентификации взаимодействия, что процесс аутентификации выполнен успешно. 2 н. и 10 з.п. ф-лы, 12 ил.

Система электронных платежей // 2644128

Изобретение относится к средствам для проведения онлайнового платежа с применением мобильного устройства покупателя и кассовой системы продавца. Техническим результатом является расширение арсенала технических средств проведения онлайнового платежа. Способ осуществляют с применением мобильного устройства покупателя и кассовой системы продавца, которые соединены по беспроводной сети, включающий следующие этапы: генерация одноразового уникального кода, являющегося инструментом идентификации транзакции, кассовой системой продавца, передачей его на мобильное устройство покупателя, подключение к беспроводной сети продавца после генерации одноразового уникального кода; передача уникального номера мобильного устройства покупателя в кассовой системе продавца через беспроводную сеть продавца; после получения информации от мобильного устройства покупателя следует одобрение транзакции кассовой системой продавца. 2 н. и 7 з.п. ф-лы, 4 ил.

Способ и система защиты платежа, осуществляемого при помощи платежной карты // 2644144

Изобретение относится к средствам защиты платежа, осуществляемого при помощи платежной карты. Техническим результатом является повышение безопасности платежа, осуществляемого с помощью платежной карты. Способ защиты платежа, осуществляемого при помощи платежной карты, связанной с идентификационными данными и с защитной криптограммой, отличается тем, что содержит этапы: осуществления доступа к средству, образующему банковский сервер, для динамического генерирования криптограммы защиты платежа, осуществления платежа с помощью платежной карты с использованием сгенерированной криптограммы защиты платежа; при этом криптограмма защиты платежа генерируется динамически по запросу пользователя и не наносится посредством печати на платежную карту. 2 н. и 8 з.п. ф-лы, 12 ил.