Способ построения распределенной компьютерной системы, защищенной от внешнего исследования

Изобретение относится к области защиты распределенных информационно-вычислительных систем. Техническим результатом является повышение защищенности распределенных информационно-вычислительных систем. Способ построения распределенной компьютерной системы, защищенной от внешнего исследования, заключается в том, что систему разделяют на блоки, имеющие информационный вход, выход и алгоритм преобразования значения входа в значения выхода, берут два таких блока, для которых выход одного является входом для другого, перед входом на второй блок добавляется новый блок (далее - блок прямого преобразования) с псевдослучайной функцией, для которого множество значений выхода полностью покрывает множество значений входа второго блока и для каждого значения выхода существует значение входа, после выхода первого блока устанавливается дополнительный блок (далее - блок обратного преобразования), который зеркально отражает преобразование входа и выхода блока прямого преобразования, то есть если по значению А входа блок прямого преобразования получает значение В на выходе, то блок обратного преобразования при значении В на входе должен получить значение А на выходе, блоки подключаются последовательно: первый блок - блок обратного преобразования - блок прямого преобразования - второй блок.

 

Изобретение относится к компьютерным технологиям, а именно к защите распределенных информационно-вычислительных систем от несанкционированного использования путем защиты данных систем от исследования.

Известен способ защиты локальной сети от исследования [1, 2] путем непрерывной модификации внешнего IP-адреса ресурса.

Известен способ [3] псевдослучайного распределения данных в памяти компьютера с целью защиты их от исследования.

Известен способ [4] защиты программного кода приложений интерпретируемых языков от исследования путем его модификации.

Предлагаемые способы защиты предполагают непрерывную модификацию программно-аппаратных систем с целью защиты их от внешнего исследования. Потенциальному злоумышленнику для реализации уязвимостей системы необходимо предварительно ее исследовать. Если система изменяется, то злоумышленник не имеет долговременной информации, которую можно использовать для ее атаки. Особенность приведенных способов защиты заключается в их узкой направленности на отдельные компоненты компьютерных систем, а именно адресацию в локальной сети [1, 2], защиту виртуальной памяти компьютера [3] и защиту программного кода интерпретируемого языка [4].

Задачей предлагаемого изобретения является защита от исследования любых информационных процессов в компьютерной системе, которые можно технически или программно разделить на блоки, имеющие вход, выход и алгоритм преобразования состояния входа в состояние выхода.

Сущность предлагаемого способа защиты заключается в том, что в промежутки между входом и выходом двух блоков добавляются еще два блока с прямым и обратным преобразованием. Преобразование выполняется псевдослучайно из множества возможных преобразований данного технического элемента.

Способ отличается тем, что он меняет данные, передаваемые на нужный функциональный блок, таким образом, что внешний (несанкционированный) пользователь, не зная функцию обратного блока преобразования, не может подать правильные данные на вход нужного блока и получить необходимый результат.

Такой способ построения компонентов информационной системы позволяет постоянно менять алгоритмы, выполняемые блоками, защищая тем самым систему от исследования в целях выявления уязвимостей с последующей компрометацией.

Предлагаемый способ характеризуется следующими существенными признаками:

1. Систему разделяют на блоки, имеющие информационный вход, выход и алгоритм преобразования значения входа в значения выхода.

2. Берут два таких блока, для которых выход одного является входом для другого.

3. Перед входом на второй блок добавляют новый блок (далее - блок прямого преобразования) с псевдослучайной функцией, для которого множество значений выхода полностью покрывает множество значений входа второго блока и для каждого значения выхода существует значение входа. Из множества возможных зависимостей состояний входа и выхода преобразование блока выбирается случайным (псевдослучайным) образом.

4. После выхода первого блока устанавливается дополнительный блок (далее - блок обратного преобразования). Данный блок зеркально отражает преобразование входа и выхода блока прямого преобразования, то есть если по значению А входа блок прямого преобразования получает значение В на выходе, то блок обратного преобразования при значении В на входе должен получить значение А на выходе.

5. Блоки подключаются последовательно: первый блок - блок обратного преобразования - блок прямого преобразования - второй блок.

6. Далее выбирают следующие два блока системы до тех пор, пока система не станет в достаточной степени защищенной от исследования.

Сопоставительный анализ заявленного способа защиты со способами, приведенными в [1, 2, 3, 4], показывает, что заявляемый способ защиты обладает новизной со следующими признаками:

1. Для защиты от исследования используются дополнительные аппаратные или программные блоки преобразований.

2. Используются блоки прямого и обратного преобразования.

3. Дополнительные блоки соединяются последовательно, что в результате позволяет системе функционировать корректно.

Наличие этих признаков обеспечивает соответствие технического решения критерию "новизна".

При сравнении заявляемого решения с другими известными техническими решениями перечисленные признаки новизны не обнаружены, что позволяет сделать вывод о наличии существенных отличий заявляемого способа защиты от исследования компьютерных систем.

Предложенный способ защиты от исследования позволяет затруднить попытки компрометации компьютерной системы путем затруднения внешнего исследования функциональной структуры компьютерной системы.

Источники информации

1. Karen Trovato. IP hopping for secure data transfer (Patent US 20030069981 A1). 10 Apr 2003.

2. David Wright. Time based ip address hopping (Patent WO 2015009308 A1). Jan 22, 2015.

3. Multi-dimentional data randomization (Patent US 20150378890 A1). Dec 31, 2015

4. Diversified instruction set processing to enhance security (Patent WO 2014210277 A1). Dec 31, 2014.

Способ построения распределенной компьютерной системы, защищенной от внешнего исследования, отличающийся тем, что систему разделяют на блоки, имеющие информационный вход, выход и алгоритм преобразования значения входа в значения выхода, берут два таких блока, для которых выход одного является входом для другого, перед входом на второй блок добавляется новый блок (далее - блок прямого преобразования) с псевдослучайной функцией, для которого множество значений выхода полностью покрывает множество значений входа второго блока и для каждого значения выхода существует значение входа, после выхода первого блока устанавливается дополнительный блок (далее - блок обратного преобразования), который зеркально отражает преобразование входа и выхода блока прямого преобразования, то есть если по значению А входа блок прямого преобразования получает значение В на выходе, то блок обратного преобразования при значении В на входе должен получить значение А на выходе, блоки подключаются последовательно: первый блок - блок обратного преобразования - блок прямого преобразования - второй блок.



 

Похожие патенты:

Изобретение относится к обработке изображения идентифицированных отпечатков пальцев. Технический результат заключается в повышении уровня безопасности идентификации.

Изобретение относится к области телекоммуникации. Технический результат заключается в повышении эффективности управления пользователем учетными записями соответствующих приложений.

Изобретение относится к области встроенных защищенных элементов, таких как смарт-карты. Технический результат заключается в обеспечении обновления рабочей системы надежным и безопасным способом.

Изобретение относится к области защиты информационно-телекоммуникационных сетей (ИТКС) от пассивных компьютерных атак. Технический результат заключается в повышении коэффициента исправного действия ИТКС с учетом определения уровня информированности нарушителя о защищаемой ИТКС.

Изобретение относится к области систем защиты автоматизированных систем управления различного назначения от информационно-технических воздействий и может быть использовано для построения систем защиты автоматизированных систем управления (АСУ) от одного из основных видов информационно-технических воздействий - компьютерных атак.

Изобретение относится к области обновления функций. Техническим результатом является реализация динамического обновления функций патчами.

Изобретение относится к области радио- и аудиотехники, в частности к методам приема сигналов при их утечке из защищенного помещения по различным техническим каналам, и может преимущественно использоваться для дистанционного перехвата конфиденциальной акустической речевой информации, циркулирующей в защищенном помещении.

Изобретение относится к области защиты информации, циркулирующей в средствах вычислительной техники (СВТ). Техническим результатом является снижение сложности технической реализации защиты информации в СВТ от утечки по каналу побочных электромагнитных излучений и наводок (ПЭМИН).

Изобретение относится к способу и устройству управления устройствами. Технический результат заключается в обеспечении управления устройствами.

Изобретение относится к способу функционирования защищенной операционной системы (SecureOS) на многопроцессорных системах в мобильных устройствах. Технический результат заключается в повышении производительности SecureOS.

Изобретение относится к средствам установки, исполнения и/или обновления управляемых приложений путем генерации собственного кода из кода на промежуточном языке. Технический результат заключается в расширении арсенала средств установки, исполнения и/или обновления управляемых приложений. В способе генерации собственного кода из кода на промежуточном языке для приложения: принимают в вычислительном устройстве характерный для типа устройства установочный пакет для приложения от онлайн-провайдер, пакет включает в себя файлы на машинно-зависимом промежуточном языке MDIL-файлы, генерируемые онлайн-провайдером для приложения, список связывания, который включает в себя перечень MDIL-файлов приложения, которые подлежат связыванию для генерации собственного образа для приложения, и перечень набора из одной или более библиотек, которые подлежат связыванию с соответствующими MDIL-файлами, сохраняют собственный образ на вычислительном устройстве для использования при загрузке приложения для исполнения. 2 н. и 6 з.п. ф-лы, 10 ил.

Изобретение относится к системе безопасности данных для обеспечения безопасности критических данных системы бортовой авиационной электроники самолета, установленной на борту самолета. Технический результат заключается в повышении защищенности и безопасности самолета. В предложенной системе критические данные хранятся в средстве хранения данных, которое содержит средство управления доступом для управления доступом к указанным данным по меньшей мере для одного пользователя/по меньшей мере одним пользователем, для того чтобы подтвердить или не подтвердить доступ к указанным данным на основе информации, связанной с безопасностью, при этом информация, связанная с безопасностью, выбрана из группы, включающей в себя, в частности: список авторизованных пользователей, которым разрешен доступ к данным; максимальное количество разрешенных доступов к данным, а также типов разрешенных доступов к указанным данным; временное окно, имеющее ограниченную длительность разрешения доступа к указанным данным; последовательности/каскадные соединения, разрешенные при доступе различных пользователей к указанным данным; иерархическую приоритезацию областей, связанных со средством хранения данных. 11 з.п. ф-лы, 1 ил.

Группа изобретений относится к области электроники и может быть использована для управления памятью в электронных устройствах. Техническим результатом является обеспечение возможности энергонезависимой памяти эмулировать атрибуты энергозависимой памяти при сбросе питания. Контроллер памяти содержит логику для извлечения глобального порядкового номера из устройства памяти; приема запроса на чтение данных, хранящихся по адресу логического блока в устройстве памяти; извлечения медиа порядкового номера из адреса логического блока в устройстве памяти и возврата пустого ответа вместо данных, хранящихся по адресу логического блока, когда медиа порядковый номер старше глобального порядкового номера. 3 н. и 22 з.п. ф-лы, 11 ил.

Изобретение относится к области потокового шифрования текстов при их передаче и хранении в различных системах и устройствах, требующих защиты информации от вмешательства посторонних лиц и контроля с их стороны. Технический результат - повышение уровня защиты при передаче каждого символа. Способ шифрования текста методом расщепления заключается в том, что каждый отдельный символ текста, представленный в виде целого числа в соответствии с выбранной кодовой таблицей, предварительно преобразуют посредством новой математической операции - операции расщепления, которая в простейшем варианте позволяет превратить выбранный код символа с помощью очередного псевдослучайного числа, порождаемого генератором псевдослучайных чисел (ГПСЧ), в последовательность двух (или более) положительных целых чисел, из которых второе (или оба числа) снова подвергаются действию операции расщепления, создавая, таким образом, для каждого передаваемого символа конечную последовательность из трех, четырех и более положительных целых чисел, а затем все члены указанной конечной последовательности для каждого символа текста независимо шифруют с применением операции исключающее ИЛИ и соответствующей гаммы чисел, получаемых от ГПСЧ. 2 ил.

Группа изобретений относится к распределенным запоминающим системам и может быть использована для сохранения данных в кэш-памяти или памяти другого типа. Техническим результатом является обеспечение улучшенного использования ресурсов кэш-памяти и ресурсов других типов памяти. Система содержит множество взаимосвязанных узлов, которые коллективно управляют сохранением данных, содержащее первый узел, имеющий процессор выполнения логики, при этом логика выполнена с возможностью: приема данных от ресурса, имеющего сообщение с множеством взаимосвязанных узлов, при этом принятые данные предназначены для сохранения в репозитории для сохранения данных, который включает в себя ресурс энергонезависимой кэш-памяти и ресурс энергонезависимой памяти, не являющейся кэш-памятью; создания первых метаданных, основанных на принятых данных; и пересылки первых метаданных управляющей логике сохранения данных для побуждения управляющей логики сохранить принятые данные в репозитории на основании информации, включенной в первые метаданные. 3 н. и 22 з.п. ф-лы, 9 ил.

Группа изобретений относится к системам связи и характеризует технологии управления авторизацией виртуальной очереди вывода. Техническим результатом является осуществление шейпинга трафика с агрегацией множества пользовательских сервисов согласно информации о состоянии шейпинга. Предложен способ управления авторизацией виртуальной очереди вывода (VOQ). Способ содержит этап, на котором, согласно алгоритму планирования в планировщике блока планирования, непосредственно связанного с физическим портом, и согласно весу и приоритету блока планирования на следующем уровне планирования относительно текущего уровня планирования, определяют индекс блока планирования на следующем уровне планирования относительно текущего уровня планирования. Далее, осуществляют получение информации о списке связей планирования для каждого планировщика в блоке планирования на следующем уровне планирования относительно текущего уровня планирования согласно индексу блока планирования на следующем уровне планирования относительно текущего уровня планирования и определяют индекс авторизуемого планировщика, соответствующего классу обслуживания, который совпадает с текущей авторизацией в блоке планирования на следующем уровне планирования, согласно информации о списке связей планирования. 3 н. и 10 з.п. ф-лы, 5 ил.

Изобретение относится к технологиям связи с использованием мобильного терминала, и более конкретно, к технологии, предназначенной для использования в мобильном терминале или в программе мобильного терминала, которая осуществляет информационный обмен с устройством или прибором, имеющим функцию устройства считывания/записи для метки радиочастотной идентификации (RFID), и которая служит в качестве пассивной метки RFID, и к системе управления пункта проверки или к способу управления пункта проверки, который использует такой мобильный терминал. Технический результат – обеспечение мобильного терминала, имеющего возможность осуществления информационного обмена с множеством типов устройств считывания/записи, каждое из которых включает в себя управляющую программу, имеющую функцию идентификации или аутентификации метки RFID. Мобильный терминал включает в себя программное приложение, блок GPS обработки, блок обработки метки RFID, устройство считывания/записи, контроллер терминала, обеспечивающие передачу соответствующей информации на сервер приложений. 5 н. и 11 з.п. ф-лы, 18 ил.

Изобретение относится к области терминальных технологий и, в частности, к способу аутентификации пользователя и терминала. Техническим результатом является повышение защиты терминала. Способ аутентификации пользователя включает в себя: получение объекта аутентификации взаимодействия и объекта помех взаимодействия после приема запроса на аутентификацию, где объект аутентификации взаимодействия является объектом реального взаимодействия, хранящимся в терминале, объект помех взаимодействия является объектом виртуального взаимодействия, созданным с помощью терминала, и объект помех взаимодействия имеет аналогичный признак с объектом аутентификации взаимодействия, чтобы создавать помехи для пользователя, когда пользователь выбирает объект аутентификации взаимодействия; отображение объекта аутентификации взаимодействия и объекта помех взаимодействия на интерфейсе аутентификации для пользователя для их выбора; получение результата выбора и определение, является ли результат выбора объектом аутентификации взаимодействия; и определение, когда результат выбора является объектом аутентификации взаимодействия, что процесс аутентификации выполнен успешно. 2 н. и 10 з.п. ф-лы, 12 ил.

Изобретение относится к средствам для проведения онлайнового платежа с применением мобильного устройства покупателя и кассовой системы продавца. Техническим результатом является расширение арсенала технических средств проведения онлайнового платежа. Способ осуществляют с применением мобильного устройства покупателя и кассовой системы продавца, которые соединены по беспроводной сети, включающий следующие этапы: генерация одноразового уникального кода, являющегося инструментом идентификации транзакции, кассовой системой продавца, передачей его на мобильное устройство покупателя, подключение к беспроводной сети продавца после генерации одноразового уникального кода; передача уникального номера мобильного устройства покупателя в кассовой системе продавца через беспроводную сеть продавца; после получения информации от мобильного устройства покупателя следует одобрение транзакции кассовой системой продавца. 2 н. и 7 з.п. ф-лы, 4 ил.

Изобретение относится к средствам защиты платежа, осуществляемого при помощи платежной карты. Техническим результатом является повышение безопасности платежа, осуществляемого с помощью платежной карты. Способ защиты платежа, осуществляемого при помощи платежной карты, связанной с идентификационными данными и с защитной криптограммой, отличается тем, что содержит этапы: осуществления доступа к средству, образующему банковский сервер, для динамического генерирования криптограммы защиты платежа, осуществления платежа с помощью платежной карты с использованием сгенерированной криптограммы защиты платежа; при этом криптограмма защиты платежа генерируется динамически по запросу пользователя и не наносится посредством печати на платежную карту. 2 н. и 8 з.п. ф-лы, 12 ил.

Изобретение относится к области защиты распределенных информационно-вычислительных систем. Техническим результатом является повышение защищенности распределенных информационно-вычислительных систем. Способ построения распределенной компьютерной системы, защищенной от внешнего исследования, заключается в том, что систему разделяют на блоки, имеющие информационный вход, выход и алгоритм преобразования значения входа в значения выхода, берут два таких блока, для которых выход одного является входом для другого, перед входом на второй блок добавляется новый блок с псевдослучайной функцией, для которого множество значений выхода полностью покрывает множество значений входа второго блока и для каждого значения выхода существует значение входа, после выхода первого блока устанавливается дополнительный блок, который зеркально отражает преобразование входа и выхода блока прямого преобразования, то есть если по значению А входа блок прямого преобразования получает значение В на выходе, то блок обратного преобразования при значении В на входе должен получить значение А на выходе, блоки подключаются последовательно: первый блок - блок обратного преобразования - блок прямого преобразования - второй блок.

Наверх