Способ адаптивного выбора путей передачи данных пользователя

Область техники

Изобретение относится к способам обеспечения анонимности при маршрутизации данных в клиент-серверной архитектуре.

Уровень техники

Изменения законодательства в мире (например, в РФ подписан закон, согласно которому персональные данные россиян, используемые онлайн-сервисами, должны храниться на территории России, в Швейцарии для банков требуется чтобы данные пользователей также не покидали территорию юрисдикции федерального правительства, в ряде стран персональные данные запрещается хранить в открытом виде) заставляют специалистов по информационной безопасности искать новые способы управления данными, уходящими от персональных электронных устройств. При этом разрабатываемые решения не должны усложнять работу пользователей компьютерных систем и работать для пользователей максимально прозрачно.

С введением в действие Общего регламента по защите данных (англ. The General Data Protection Regulation, сокр. GDPR) количество персональных данных хранимых в сетевой инфраструктуре на стороне различных сервисов и получаемых от пользователей становится минимальным. При этом необходимо обеспечить распределенное хранение и обработку данных, получаемых от пользователя без потери их уникальности.

Указанные причины вызывают сложности при внедрении облачной инфраструктуры в корпоративном и частном секторе, в результате на рынке появляются технические решения, позволяющие учитывать требования законодательства. Например, публикации:

• US 20122866 описывает способ хранения данных в облачных хранилищах, в котором любой файл от устройства пользователя поступает на прокси-сервер, на котором шифруется и передается в облачное хранилище;

• US 8739265 описывает способ обфускации и извлечения данных, где данные содержащие конфиденциальные данные, отправляемые с устройства, перехватываются, изменяются и передаются далее в облачное хранилище. При этом изменяются не все данные, а определенные в соответствии с правилами, установленными в сети, и эти данные могут не передаваться в облако, а извлекаться и сохранятся локально, а передаваться будут non sensitive data и токен вместо извлеченных данных;

• US 8601598 описывает технологию безопасного хранения данных в облачном хранилище, в которой данные, поступающие в облачное хранилище от устройств с установленным агентом, шифруются открытым ключом, при этом само хранилище может быть разделено в зависимости от типов данных и пользователей, использующих хранилище.

На основании анализа существующего уровня техники становится ясно, что описанные средства требуют установки на устройстве пользователя дополнительного агента, что затрудняет работу пользователя с удаленным сервером и делает взаимодействие непрозрачным. В другом случае, где агент не устанавливается, осуществляется тотальное шифрование исходящих данных без учета содержимого, что также не удобно и создает дополнительную нагрузку. Расположению клиента и сервера также не уделяется должного внимания. Требуется решение, которое будет способно решить указанные недостатки.

Раскрытие изобретения

Настоящее изобретение предназначено для отправки данных в клиент-серверной архитектуре с обеспечением анонимности передаваемых данных и без потери полноты и репрезентативности информации необходимых серверу для анализа и построения статистики.

Технический результат настоящего изобретения заключается в обеспечении передачи данных пользователя различной степени конфиденциальности от клиента серверу.

Объектом настоящего изобретения является способ передачи данных пользователя от клиента серверу (сервер-приемник), в котором на клиенте структуру с данными пользователя, предназначенную для передачи серверу, разделяют на две или более подструктур, при этом каждой подструктуре ставится в соответствие степень конфиденциальности. Разделение данных пользователя на подструктуры осуществляется, например, с использованием обученной модели кластеризации. Подструктура данных может содержать информацию о заданной области знаний о пользователе и тогда модель кластеризации обучается, в частном случае, таким образом, чтобы каждый кластер содержал максимальную информацию о заданной области знаний о пользователе, но при этом минимальную информацию о других областях знаний о пользователе, заданных для других подструктур. Способ по п. 1, в котором степень конфиденциальности представляет численное значение, характеризующее вероятность того, что по упомянутым данным можно определить пользователя, степень конфиденциальности определяется расположением клиента. Степень конфиденциальности, поставленная в соответствие подструктурам, представляет численное значение, которое в частном случае характеризует вероятность того, что по упомянутым данным можно определить пользователя. Подструктура данных дополнительно может содержать информацию о другой подструктуре данных, полученных при разделении тех же пользовательских данных.

Далее после разделения передают каждую подструктуру на узел со средством преобразования, из заданного списка узлов, при этом выбор узла определяется на основании степени конфиденциальности подструктуры и степени безопасности узла. В качестве одного из узлов со средством преобразования может выступать сервер-приемник, если степень его безопасности удовлетворяет требованиям. Список серверов содержит по меньшей мере один узел со средством преобразования, который преобразует подструктуры данных таким образом, что по преобразованным данным возможно выполнить идентификацию пользователя данных, но невозможно восстановить сами сырые данные до преобразования. Узел со средством преобразования и сервер выбираются в зависимости от местоположения клиента, каждому узлу со средством преобразования поставлена в соответствие степень безопасности, где степень безопасности представляет собой численное значение, характеризующее вероятность того, что упомянутый сервер способен обеспечивать информационную безопасность полученной подструктуры данных, при этом выбор узла определяется на основании степени конфиденциальности подструктуры и степени безопасности узла со средством преобразования.

На выбранных узлах подструктуры по мере прохождения преобразуются. Способы преобразования на узле со средством преобразования выбираются таким образом, чтобы обеспечивать заданный уровень информационной безопасности полученных данных, где заданный уровень определяется степенью конфиденциальности подструктуры. В частном случае параметры преобразования кластера на одном сервере конфиденциальности зависят от параметров преобразования кластера, выполненного ранее на другом сервере конфиденциальности.

На сервере-приемнике преобразованные подструктуры объединяются. Объединенные подструктуры могут использоваться для формирования защищенных пользовательских профилей, где защищенные пользовательские профили представляют собой функционально связанную совокупность преобразованных подструктур данных для пользователя, использующего клиент.

Краткое описание чертежей

Сопровождающие чертежи включены для обеспечения дополнительного понимания изобретения и составляют часть описания, показывают варианты осуществления изобретения и совместно с описанием необходимы для объяснения признаков изобретения.

Фиг. 1 - изображает систему маршрутизации данных в клиент-серверной архитектуре.

Фиг. 2 - изображает вариант способа маршрутизации данных в клиент-серверной архитектуре с разделением структуры данных на подструктуры клиентом.

Фиг. 3 - изображает вариант способа маршрутизации данных в клиент-серверной архитектуре при выполнении запроса с выделением в структуре данных подструктур средством анонимизации.

Фиг. 4 - изображает вариант способа маршрутизации данных в клиент-серверной архитектуре с выделением в структуре данных подструктур клиентом.

Фиг. 5 - изображает вариант способа маршрутизации данных в клиент-серверной архитектуре при выполнении запроса с разделением структуры данных на подструктуры клиентом.

Фиг. 6а - изображает пример осуществления способа маршрутизации данных в клиент-серверной архитектуре при отправке данных (для построения статистики) с разделением структуры данных на подструктуры клиентом.

Фиг. 6б - изображает пример осуществления способа маршрутизации данных в клиент-серверной архитектуре при обнаружении целевой атаки на клиента на основании собранной информации способом по Фиг. 6а.

Фиг. 7 - изображает пример осуществления способа маршрутизации данных в клиент-серверной архитектуре при выполнении запроса с выделением в структуре данных подструктур средством анонимизации.

Фиг. 8 - изображает пример осуществления способа маршрутизации данных в клиент-серверной архитектуре с выделением в структуре данных подструктур клиентом.

Фиг. 9 - изображает пример осуществления способа маршрутизации данных в клиент-серверной архитектуры при выполнении запроса с разделением структуры данных на подструктуры клиентом.

Фиг. 10 - изображает систему анонимного обмена данными в клиент-серверной архитектуре.

Фиг. 11 - изображает вариант способа обмена данными в клиент-серверной архитектуре, который используется для получения данных от клиентов для построения статистики на стороне сервера.

Фиг. 12 - изображает вариант способа обмена данными, который используется при выполнении запроса клиента к серверу.

Фиг. 13 - изображает пример осуществления способа обмена данными, при выполнении запроса клиента к серверу.

Фиг. 13а - изображает пример осуществления способа обмена данными, при выполнении запроса клиента к серверу в асинхронном режиме.

Фиг. 14 - изображает вариант способа передачи критических данных в клиент-серверной архитектуре.

Фиг. 14а - изображает пример осуществления способа передачи критических данных в клиент-серверной архитектуре.

Фиг. 15а - изображает вариант системы маршрутизации.

Фиг. 15б - изображает осуществление способа адаптивного выбора путей передачи данных от клиента к серверу.

Фиг. 15в - изображен пример осуществления способа адаптивного выбора маршрута адаптивного выбора путей передачи данных от клиента к серверу.

Фиг. 16 - изображает пример компьютерной системы общего назначения.

Осуществление изобретения

На Фиг. 1 изображена система маршрутизации данных между клиентом и сервером. Система включает клиент, сервер, узел сети со средством анонимизации. Сервер является частью облачной инфраструктуры (на фигуре не изображена), а клиент - это устройство пользователя. Узел со средством анонимизации расположен в региональной сети¹ (¹ Географически рассредоточенная сеть, коммуникационными средствами объединяющая в единое целое компьютеры в разных пунктах, совокупность региональных сетей образует глобальную сеть.) отличной от региональной сети, в которой расположен сервер² (² Это позволяет располагать элементы системы в независимых юрисдикциях) и, не находится в одном Интранете³ (³ ГОСТ Р ИСО 9241-151-2014) с сервером или клиентом. При этом в рамках данного изобретения разные региональные сети не только географически разнесены, но и находятся в разных юрисдикциях, поэтому, очевидно, в рамках данного изобретения разными региональными сетями могут быть в том числе, сети объединяющие узлы стран (национальные сети). Например, из Фиг. 1:

• региональная сеть 1 - сеть США;

• региональная сеть 2 - сеть Германии/ЕС;

• региональная сеть 3 - сеть Российской Федерации.

Глобальная сеть по Фиг. 1 это совокупность всех региональных сетей - мировая сеть - Интернет. В терминологии GDPR, например, региональная сеть РФ, в которой расположен сервер, будет считаться региональной сетью третьей страны.

В частном случае региональная сеть узла со средством анонимизации отлична также и от региональной сети клиента. Стрелки на Фиг. 1 отходят от сети, а не от клиента, так как в общем случае виден внешний IP-адрес за счет функционирования технологий сокрытий внутренних адресов, в частности: Proxy, NAT.

Клиент содержит средство модификации, предназначенное для разделения структур данных (которые формируются для отправки от клиента серверу) на подструктуры и выбора маршрута для полученных подструктур. Критерии разделения структуры данных на подструктуры могут быть различными, одним из таких критериев является наличие персональных данных (англ. Personal Identification Information) или их специальных категорий (по терминологии GDPR), при котором структура данных разделяется таким образом, что одна подструктура содержит персональные данные (далее ПДн, англ. PII) или их специальные категории, другая подструктура включает данные, не являющиеся персональными. Отношение данных к персональным определяется, например, законодательством страны, в юрисдикции которой находится пользователь, использующий устройство, являющееся в описываемой системе клиентом. Другими словами, по местоположению источника данных. Другим более общим критерием является наличие критических данных. К критическим данным (англ. critical data) относят данные в отношении которых закон или уполномоченный субъект накладывает ограничения на сбор, хранение, доступ, распространение и обработку. Эти данные, как правило чувствительны к разглашению, распространению, утечке, так как возникновение этих событий приводит к нарушению прав и охраняемых законом интересов субъектов и предусматривает ответственность для субъектов допустивших нарушения правил сбора, хранения, доступа, обработки предъявляемым к таким данным. Частным случаем критических данных являются конфиденциальные данные⁴ (⁴ или конфиденциальной информации, в рамках данной заявки конфиденциальные данные и конфиденциальная информация синонимы) (англ. sensitive data). Под конфиденциальными данными понимаются данные, которые охраняются в соответствии с законодательством страны, в юрисдикции которой находится пользователь, использующий устройство, являющееся в описываемой системе клиентом. К конфиденциальным данным в частном случае относятся персональные данные (ПДн) и данные содержащие:

• коммерческую тайну;

• налоговую тайну;

• банковскую тайну;

• врачебную тайну;

• нотариальную тайну;

• адвокатскую тайну;

• аудиторскую тайну;

• тайну связи;

• тайну страхования;

• тайну завещания;

• тайну усыновления;

• тайну исповеди;

• тайну следствия;

• тайну судопроизводства;

• сведения о защищаемых лицах

• государственную тайну.

Средство анонимизации предназначено для преобразования и обратного преобразования подструктур, маршрут которых проходит через узел со средством анонимизации. Под преобразованием подструктур в частном случае понимают преобразование данных, которые содержит подструктура. В частном случае способами преобразования данных подструктур являются:

• квантование;

• сортировка;

• слияние (склеивание);

• группировка;

• настройка набора данных;

• табличная подстановка значений;

• вычисляемые значения;

• кодирование данных;

• шифрование;

• нормализация (масштабирование).

Некоторые виды преобразования могут применятся не только к отдельным данным в подструктуре, но и к подструктуре в целом, например, токенизация и/или шифрование. При этом преобразование в частном случае осуществляется без возможности обратного преобразования⁵ (⁵ под обратным преобразованием понимается преобразование, позволяющее восстановить исходную форму объекта преобразования (данных, подструктуры) до преобразования) любыми средствами кроме средства анонимизации узла. Под преобразованием в общем случае понимается отображение (функция) множества в себя, или другими словами, преобразованиями называют отображения, переводящие некоторое множество в другое множество⁶ (⁶ Математический энциклопедический словарь. - М., 1988. - С. 487).

Подструктура от одного и того же клиента средством анонимизации может преобразовываться одним и тем же способом или разными способами. Если преобразование осуществляется одним и тем же способом, то преобразованная подструктура или данные подструктуры от одного и того же клиента будут выглядеть идентично, в противном случае будут отличаться и построить статистику по одному клиенту (выполнить профилирование) будет невозможно.

Сервер содержит средство объединения, предназначенное для объединения разделенной на клиенте структуры данных. Объединение возможно осуществить, например, на основании уникальных идентификаторов, которые присваиваются каждой подструктуре при разделении и идентичны для подструктур одной структуры. Средство объединения получает подструктуры, приходящие к серверу по разным сетевым маршрутам, и объединяет в структуру. Структура, очевидно, будет отлична от оригинальной, разделенной на клиенте, по причине того, что подструктуры, прошедшие через узел со средством анонимизации, будут преобразованы упомянутым средством. Полученная структура может сохраняться в базе данных (на фигурах не указана).

В частном случае средство анонимизации получает от клиента структуру, не разделенную на подструктуры средством модификации клиента (например, структуру запроса к серверу), в таком случае для передачи серверу средство анонимизации выделяет в полученной структуре подструктуры, содержащие ПДн и осуществляет преобразование данных подструктур, примеры указаны ниже.

Описанная система используется для анонимизации запросов, отправляемых серверу и ответов на эти запросы, отправляемых клиенту, а также для получения данных от клиентов, которые используются для построения статистики. На Фиг. 2 изображен способ маршрутизации данных в клиент-серверной архитектуре, который в частном случае используется для получения данных от клиентов для построения статистики. На этапе 200 средством модификации разделяют структуру, предназначенную для отправки серверу в соответствии с критериями, одним из таких критериев может являться наличие ПДн в структуре, в результате разделения получают подструктуру, содержащую ПДн (на Фиг. 2 для примера это подструктура 1) и не содержащую ПДн (на Фиг. 2 это, соответственно, подструктура 2). Здесь и далее для примера в качестве критерия будет использоваться наличие ПДн, а не наличие критических или конфиденциальных данных, хотя что справедливо для ПДн, справедливо и для критических или конфиденциальных данных в общем в примерах осуществления изобретения, в рамках данной заявки. В частном случае подструктур первого и второго вида может быть больше чем одна, как и критериев по которым осуществляется разделение. На этапе 210 средство модификации отправляет полученные подструктуры серверу, при этом отправка осуществляется по разным маршрутам (маршрут А и маршрут В), где один из маршрутов включает узел сети со средством анонимизации (маршрут А), расположенный в региональной сети отличной от сети, которой расположен сервер и, не находящийся в одном Интранете с сервером или клиентом. Когда одна из подструктур, предназначенная для отправки серверу, содержит ПДн, она направляется к серверу через узел со средством анонимизации (маршрут А). Далее на этапе 220 подструктуры, проходящие через узел со средством анонимизации преобразуются указанным средством и передаются далее серверу (этап 221) в преобразованном виде. В общем случае подструктуры от одного и того же клиента в разные моменты времени преобразуются различно (например ID Клиента ->AnonymizedID1 ≠ AnonymizedID2 ≠ AnonymizedID3 и т.д), это относится ко всем примерам, но в частном случае, когда для некоторых систем безопасности необходимо накопить информацию (построить статистику) по определенному клиенту для подструктуры от одного и того же клиента, преобразование будет идентично (например ID Клиента ->AnonymizedID1 = AnonymizedID2 = AnonymizedID3 и т.д). В заключении на этапе 230 полученные от клиента подструктуры объединяются в структуру (Структура'). Очевидно, что итоговая структура (Структура') отличается от исходной, так как, по меньшей мере одна подструктура был преобразована средством анонимизации. Итоговая структура в базе данных и будет использоваться средствами инфраструктуры⁷ (⁷ Средства и база данных на данной фигуре не указаны. Отдельные элементы инфраструктуры такие как средство обработки запроса и средство обнаружения атаки указаны на других фигурах) на стороне сервера. Преобразование подструктур и/или данных подструктур средством анонимизации выполняется способом, исключающим возможность обратного преобразования подструктур и/или данных подструктур любыми средствами, отличными от средств узла сети со средством анонимизации.

На Фиг. 3 изображен способ маршрутизации, который в частном случае используется при выполнении запроса клиента к серверу. На этапе 300 сформированный на клиенте запрос отправляют средством модификации от клиента к серверу, при этом маршрут включает узел сети со средством анонимизации, расположенный в региональной сети отличной от сети, которой расположен сервер и, не находящийся в одном Интранете с сервером или клиентом. В частном случае часть данных запроса (не содержащая конфиденциальные данные) может быть преобразована средством модификации на клиенте, при этом преобразование может быть выполнено таким образом, чтобы средством анонимизации было невозможно выполнить обратное преобразование (этап 311 на Фиг. 4) и обратное преобразование возможно выполнить только средствами сервера (этап 325 на Фиг. 4)⁸ (⁸ такую возможность может предоставить в частности асимметричное шифрование, когда клиент имеет открытый ключ, а сервер закрытый ключ). Далее на этапе 310 средством анонимизации выделяют в структуре данных запроса, предназначенной для отправки серверу, подструктуры, в соответствии с критериями, одним из таких критериев может являться наличие ПДн, в результате выделения получают подструктуру, содержащую ПДн (на Фиг. 3, по аналогии с предыдущим примером, это подструктура 1) и не содержащую ПДн (на Фиг. 3 это подструктура 2). На этапе 320 средством анонимизации осуществляют преобразование⁹ (⁹ если не указано иное при использовании понятия преобразование понимается именно прямое преобразование.) (прямое преобразование из оригинальных к преобразованным) подструктуры данных (и/или данных в подструктуре), содержащей ПДн, средством анонимизации и полученную структуру данных запроса с преобразованной подструктурой, содержащей ПДн, отправляют серверу (этап 321). На полученный запрос сервером на этапе 330 формируют ответ, средством обработки запроса. При этом, в отношении тех данных запроса, которые в частном случае могли быть преобразованы клиентом сервер выполняет предварительно обратное преобразование (этап 325 на Фиг. 4). Структура данных ответа на запрос, в нашем примере с ПДн содержит подструктуры:

• содержащие ПДн преобразованные средством анонимизации (подструктура 1', извлеченная из структуры запроса);

• не содержащие ПДн (подструктура 3, содержащая тело ответа на запрос или полезную нагрузку ответа¹⁰ (¹⁰ от англ. payload)).

При этом данные, не содержащие ПДн (подструктура 3), могут быть преобразованы (прямое преобразование) без возможности обратного преобразования средством анонимизации (подструктура 3') это осуществляется на этапе 340. Обратное преобразование этих данных может быть выполнено только средством модификации клиента¹¹ (¹¹ такую возможность может предоставить, в частности, асимметричное шифрование, где сервер имеет открытый ключ, а клиент закрытый ключ.), на этапе 350 отправляют полученную структуру данных ответа на запрос от сервера узлу сети со средством анонимизации. Средством анонимизации на этапе 360 осуществляют обратное преобразование подструктур данных ответа на запрос, содержащих ПДн (подструктура 1'). Обратное преобразование выполняют в отношении тех данных, которые были преобразованы на этапе 320 (обратное преобразование из преобразованных данных к оригинальным данным, содержащимися в запросе от клиента изначально). Полученную структуру данных перенаправляют клиенту (этап 370) и средством модификации клиента на этапе 380 осуществляют обратное преобразование подструктур данных ответа на запрос, не содержащих ПДн, преобразованных сервером на этапе 340.

Фиг. 4 изображает вариант способа, изображенного на Фиг. 3, но в этом варианте этап 310 по выделению подструктур осуществляют не средством анонимизации, а средством модификации клиента, с последующим преобразованием подструктуры на этапе 311. Где по аналогии с вариантом на Фиг. 3 преобразованию подвергают подструктуру, не содержащую ПДн (подструктура 2). Поэтому этап 300' на Фиг. 4 отличается от аналогичного этапа 300 способа на Фиг. 3 тем, что передают не оригинальную структуру данных запроса узлу со средством анонимизации, а преобразованную, после выполнения этапов 310 и 311. Соответственно в данном варианте добавляется этап 325, где выполняют предварительно обратное преобразование подструктуры (в нашем примере это подструктура 2', не содержащая ПДн) преобразованной на этапе 311, прежде чем выполнить этап 330.

Фиг. 5 изображает вариант способа маршрутизации данных в клиент-серверной архитектуре, в которой этапы с 200 по 230 аналогичны этапам способа, изображенного на Фиг. 2, а этапы с 300 по 380 аналогичны этапам способа, изображенного на Фиг. 3. В частном случае подструктура 2 перед отправкой напрямую серверу может быть предварительно преобразована, по аналогии с шагом 311 на Фиг. 4, тогда в изображении способа помимо этапа 311 добавляется этап 325.

В частном случае во всех реализациях способа, изображенных на Фиг. 3 - Фиг. 5 структура данных, отправляемая клиенту узлом со средством анонимизации на этапе 370 не содержит подструктуры данных с ПДн (в наших примерах это подструктура 1). Данную подструктуру необходимо сохранять до этого этапа, чтобы определить адресата ответа, далее в частном случае в ней нет необходимости.

Фиг. 6а изображает пример работы способа, изображенного на Фиг. 2. Устройство с клиентом подключено к системе удаленного детектирования целевых атак, находящейся на стороне сервера, поэтому от клиента необходимо: получать информацию об обнаруженных в разное время файлах с вредоносным кодом (вредоносных файлах) и на основании полученной информации строить статистику (часто в соответствии с национальным законодательством о персональных данных это еще необходимо делать анонимно). При обнаружении нескольких определенных вредоносных файлов¹² (¹² информация о которых получена от клиента) на сервере делают вывод обнаружении целевой атаки на клиента.

Для отправки серверу информации об обнаруженном вредоносном файле (в рассматриваемом примере информация о файле это MD5 файла) формируют структуру данных, которая включает ID клиента и MD5 обнаруженного вредоносного файла. На этапе 200 средство модификации разделяет сформированную структуру, предназначенную для отправки серверу на подструктуры, в результате разделения получают подструктуру, содержащую ID клиента и подструктуру, содержащую MD5 файла, чтобы понимать, частью какой структуры являются подструктуры им присваивается идентификатор (на фигуре идентификатор отмечен как StructureID). На этапе 210 средство модификации клиента отправляет полученные подструктуры серверу, при этом отправка осуществляется по разным маршрутам (маршруту А и маршруту В), где один из маршрутов (маршрут А) включает узел сети со средством анонимизации, расположенный в региональной сети отличной от сети, которой расположен сервер и, не находящийся в одном Интранете с сервером или клиентом. Подструктура, содержащая ID клиента, направляется к серверу через узел со средством анонимизации (маршрут А). На этапе 220 средством анонимизации осуществляют преобразование ID клиента, где ID клиента сохраняется на узле, а в подструктуре его замещает токен AnonymizedID (в частном случае ID Клиента может быть зашифрован). Полученную подструктуру, отправляют серверу (этап 221). В заключении на этапе 230 полученные от клиента подструктуры объединяются в структуру. Очевидно, что итоговая структура отличается от исходной, так как, по меньшей мере одна подструктура был преобразована средством анонимизации. Итоговая структура сохраняется на сервере (или в любой базе данных инфраструктуры к которой принадлежит сервер) и будет использоваться сервером для накопления информации (на фигуре обозначена как STATISTICS) по клиенту от которого получена структура. На этапе 240 накопленная информация будет использоваться средством обнаружения атак и если средством будет обнаружена атака, то на этапе 250 средством сформируют структуру содержащую подструктуру с AnonymizedID и подструктуру, содержащую информацию об атаке (на фигуре обозначена как AttackID), полученная структура будет направлена клиенту для уведомления об атаке.

Пример способа отправки изображен на Фиг. 6б, этапы с 340 по 380 аналогичны этапам из примера, изображенного на Фиг. 8. В частном случае информация об атаке может не преобразовываться, а отправляться в открытом виде, тогда в примере будут отсутствовать этапы 340 и 380.

На Фиг. 7 изображен другой пример работы описанного изобретения. На устройстве с клиентом обнаружен новый файл, который необходимо проверить на наличие вредоносного кода средствами сервера. Для этого необходимо отправить серверу информацию о файле, в рассматриваемом примере это MD5 файла, для этого клиент формирует структуру запроса. Для того чтобы серверу знать кому отправлять ответ в структуру данных запроса вставляется ID клиента, таким образом структура данных запроса включает ID клиента и MD5 файла. На этапе 300 сформированный на клиенте запрос отправляется средством модификации к серверу, при этом маршрут включает узел сети со средством анонимизации, расположенный в региональной сети отличной от сети, которой расположен сервер и, не находящийся в одном Интранете с сервером или клиентом. Далее на этапе 310 средством анонимизации выделяют в структуре, предназначенной для отправки серверу, подструктуры, в результате выделения получают подструктуру, содержащую ID клиента и подструктуру, содержащую MD5 файла. На этапе 320 средством анонимизации осуществляют преобразование ID клиента, где ID клиента сохраняется на узле, а в подструктуре его замещает токен AnonymizedID (в частном случае ID клиента может быть зашифрован). Полученную структуру данных запроса с преобразованной подструктурой, отправляют серверу (этап 321). На полученный запрос на этапе 330 формируют ответ средством обработки запроса сервера. Средство обработки запроса извлекает из структуры MD5 файла и выдает вердикт, например, BAD (файл вредоносный). Структура данных ответа на запрос содержит подструктуры:

• содержащую токен AnonymizedID (или зашифрованный средством анонимизации ID клиента);

• содержащую вердикт для файла (MD5-BAD).

При этом вердикт на этапе 340 преобразуют средствами сервера без возможности обратного преобразования средством анонимизации, например, зашифровав открытым ключом (на фигуре преобразованный вердикт отмечен как EncryptedVer), закрытый ключ хранится на клиенте и обратное преобразование может быть выполнено только средством модификации клиента. На этапе 350 отправляют полученную структуру данных ответа на запрос от сервера узлу сети со средством анонимизации. Средством анонимизации на этапе 360 осуществляют обратное преобразование подструктуры данных ответа на запрос, содержащую токен AnonymizedID, средством анонимизации, где в случае с токеном, токен заменяется на сохраненный ранее ID клиента, в случае если ID клиента был зашифрован, то он расшифровывается. Таким образом преобразование выполняют в отношении тех данных, которые были преобразованы на этапе 320. Полученную структуру данных перенаправляют клиенту (этап 370) и средством модификации клиента на этапе 380 осуществляют обратное преобразование вердикта, преобразованного сервером на этапе 340, в нашем случае расшифровывают при помощи закрытого ключа. В частном случае AnonymizedID для одного и того же ID Клиента, но в разных отправках будут отличаться.

Фиг. 8 изображает вариант примера, изображенного на Фиг. 7, в этом варианте этап 310 по выделению подструктур осуществляет не средство анонимизации, а средство модификации клиента с последующим преобразование подструктуры, хранящей информацию о файле (MD5 файла) путем шифрования открытым ключом (на фигуре преобразованная информация о файле отмечена как EncryptedMD5) закрытый ключ хранится на сервере и обратное преобразование может быть выполнено только на сервере. Таким образом этап 300' примера на Фиг. 8 отличается от аналогичного этапа примера на Фиг. 7 тем, что передают не оригинальную структуру запроса узлу со средством анонимизации, а преобразованную, после выполнения этапов 310 и 311. Соответственно поэтому добавляется этап 325, где выполняется предварительно, прежде чем выполнить этап 330, обратное преобразование зашифрованной информации о файле путем ее расшифровки при помощи закрытого ключа.

Фиг. 9 изображает пример маршрутизации данных в клиент-серверной архитектуре, в котором этапы с 200 по 230 аналогичны этапам примера, изображенного на Фиг. 6а, а этапы с 330 по 380 аналогичны этапам примера, изображенного на Фиг. 7. В частном случае информация о файле перед отправкой напрямую серверу может быть предварительно преобразована, по аналогии с этапом 311 в примере Фиг. 8, тогда в примере помимо этапа 311 добавляется этап 325.

Средство модификации клиента перехватывает структуры, предназначенные для отправки серверу, разделяет эти структуры в соответствии с установленными правилами и выбирает маршруты для этих подструктур также в соответствии с правилами. Правила, по которым работает средство модификации устанавливается в частном случае действующим законодательством государства в юрисдикции которого функционирует устройство с клиентом (источник). Поэтому для применения правил средство модификации клиента определяет местоположение устройства (источника), тип данных в сформированной структуре, назначение структуры (тип передачи: запрос или статистика¹³ (¹³ отправление данных серверу для построения на стороне сервера статистики)), местоположение приемника данных и на основании этого в соответствии с правилами выбирает маршрут для данных, вариант разделения и способ преобразования на клиенте. Вариант формализованных правил представлен в Таблице 1, где способ:

• 1 - разделение структуры на клиенте (см. Фиг. 2);

• 2 - выделение структуры на узле со средством анонимизации (см. Фиг. 3);

• 3 - выделение структуры на клиенте (см. Фиг. 4).

Правила как указывалось выше могут задаваться требованиями законодательства (например, GDPR) и как любая правовая норма включает гипотезу и диспозицию, что на алгоритмическом языке соответствует конструкции если - то. Таким образом указанная таблица формализует правило вида

ЕСЛИ [тип, источник, приемник, персональные данные (есть/нет)] ТО [способ, местонахождение узла анонимизации, способ преобразования для данных]

Например, тип передачи - запрос, источник (клиент) Германия, приемник (сервер) РФ, структура содержит персональные данные. В соответствии с правилами средству модификации необходимо выделить подструктуру с ПДн на клиенте (как на этапе 310 Фиг. 4 - способ 2) и отправить через США, подструктуру без ПДн зашифровать открытым ключом (как этапе 311 на Фиг. 4), персональные данные преобразовать средством анонимизации посредством шифрования

В другом варианте реализации к системе, изображенной на Фиг. 1 добавляется узел сети со средством хранения, система с указанным узлом изображен на Фиг. 10. Узел сети со средством хранения расположен в региональной сети отличной от региональной сети, в которой расположен сервер и не находится в одном Интранете с сервером или клиентом. В частном случае узел сети со средством хранения может находится в одной региональной сети с узлом сети со средством анонимизации, такая сеть на Фиг. 10 указана как региональная сеть N. Назначение узла сети со средством хранения скрывать внешний IP адрес клиента от сервера и снимать нагрузку с узла, на котором располагается средство анонимизации, так как объем траффика, идущего через узел со средством анонимизации сокращается. Узел сети со средством хранения является промежуточным хранилищем для данных, которыми обменивается клиент с сервером, бытовым аналогом данного узла является абонентский ящик (англ. post office box).

Система, изображенная на Фиг. 10 используется для анонимного обмена данными между клиентом и сервером, в том числе для отправки данных от клиентов, которые используются для построения статистики и для клиент-серверного взаимодействия типа - «запрос-ответ». На Фиг. 11 изображен способ анонимного обмена данными между клиентом и сервером, который в частном случае используется для получения данных от клиентов для построения статистики на стороне сервера. Этапы 200, 221, 220, 230 аналогичны этапам, изображенным на Фиг. 2. От аналогичного отличается этап 210' и добавляется этап 222. На Фиг. 2 маршрут В лежал напрямую от клиента к серверу, в описываемой реализации данный маршрут разрывается, и клиентом подструктура 2 отправляется не серверу, а узлу со средством хранения. Далее на этапе 222 данная подструктура будет получена сервером. Инициатором отправки данной подструктуры серверу на этапе 222 может являться как сам узел со средством хранения, так и сервера, который по требованию загрузит подструктуру 2, когда по маршруту А получит подструктуру 1' с идентификатором подструктуры 2, сохраненной узлом сети со средством хранения.

На Фиг. 12 изображен способ обмена данными, который в частном случае используется при выполнении запроса клиента к серверу. Этапы 200, 221, 220, 230 аналогичны этапам, изображенным на Фиг. 2, этапы 210', 222 аналогичны этапам, изображенным на Фиг. 11, этап 330 аналогичен этому же этапу на Фиг. 3. Таким образом отправка запроса серверу аналогична отправке данных серверу для построения статистики изображенной на Фиг. 11, отличия заключаются от всего описанного ранее в том, как отправляется ответ, подготовленный на этапе 330. Структура ответа на запрос, сформированная на этапе 330 разбивается на по меньшей мере две подструктуры на этапе 331:

• содержащую ПДн преобразованные средством анонимизации (подструктура 1', извлеченная из структуры запроса);

• не содержащую ПДн (подструктура 3, содержащая тело ответа на запрос или полезную нагрузку ответа).

На этапе 350а подструктура, содержащая ПДн отправляется от сервера узлу со средством анонимизации, где на этапе 360 будет выполнено преобразование обратное преобразованию выполненному на этапе 220. А подструктура, не содержащая ПДн (на Фиг. 12 подструктура 3), на этапе 350б отправляется узлу сети со средством хранения. Далее подструктура, не содержащая ПДн будет передана клиенту на этапе 371. Варианты по каким клиент получает подструктуру на этапе 371 могут быть отличны. Если этап 350а осуществляется, то после преобразования на этапе 360 узел со средством анонимизации отправит нотификацию (уведомление) клиенту на этапе 370а о том, что ответ готов, клиент после этого обратится к узлу со средством хранения и получит подструктуру, не содержащую ПДн, от узла со средством хранения. Нотификация на этапе 370а может содержать, например, уникальный идентификатор присвоенный подструктуре 3 в процессе разделения структуры ответа на запрос на этапе 331, подструктуру с таким идентификатором клиент и запросит у узла сети со средством хранения. В частном случае этапы 350а, 360, 370а могут не выполняться. В этом случае идентификатор, присваиваемый подструктурам в процессе разделения на этапе 200 будет аналогичен идентификатору, присваиваемому на этапе 331 и клиент на этапе 371 получит подструктуру 3 периодически опрашивая узел со средством хранения на предмет поступления туда подструктуры с соответствующим идентификатором. Если этапы 350а, 360, 370а не выполняются, структура ответа на запрос тождественна подструктуре, не содержащей ПДн (подструктура 3), которой присвоен уникальный идентификатор. В другом частном случае узел со средством хранения самостоятельно отправляет на этапе 371 подструктуру 3 клиенту, в этом случае используется идентификатор сессии (сеанса) которая была установлена между клиентом и узлом со средством хранения для выполнения этапа 210, в данном случае уникальный идентификатор, присваиваемый подструктурам на этапах 200 и 331 равны и равны они идентификатору сессии. В этом случае, когда узел получит подструктуру 3 на этапе 350б, он прочитает идентификатор подструктуры 3 и переправит ее клиенту, сессия с которым имеет тот же самый идентификатор, главным условием осуществления данного варианта является удерживание сессии между клиентом и узлом со средством хранения до конца обмена данными между клиентом и сервером при выполнении запроса и отправки ответа.

В частном случае, схема, описанная на Фиг. 12 может работать в асинхронном режиме, в этом случае этап 330 осуществляется без выполнения этапа 230, используются данные подструктуры 2 и полученная подструктура 3, минуя этап 331, отправляется узлу со средством хранения (этап 350б). Этап 230 будет выполнен независимо от этапа 330. Такой режим повышает скорость реакции сервера и используется в том случае, когда для обработки запроса необходимы только данные содержащиеся в подструктуре, не содержащей КД. Объединение подструктур (этап 230) в таких случаях необходимо лишь для построения статистики, как в примере, изображенном на Фиг. 12а.

На Фиг. 13 изображен пример использования способа, изображенного на Фиг. 12, для получения вердикта (опасный/вредоносны или безопасный) для файла, обнаруженного на клиенте, от сервера. Для отправки серверу информации об обнаруженном файле (в рассматриваемом примере информация о файле это MD5 файла) формируют структуру данных, которая включает ID клиента и MD5 обнаруженного файла. На этапе 200 средство модификации разделяет сформированную структуру, предназначенную для отправки серверу на подструктуры, в результате разделения получают подструктуру, содержащую ID клиента и подструктуру, содержащую MD5 файла, чтобы понимать, частью какой структуры являются подструктуры им присваивается идентификатор (на фигуре идентификатор отмечен как StructureID). На этапе 210 средство модификации клиента отправляет полученные подструктуры. Отправка осуществляется по разным маршрутам (маршруту А и маршруту В) и разным приемникам. По маршруту А подструктура отправляется серверу, при этом маршрут А включает узел сети со средством анонимизации, расположенный в региональной сети отличной от сети, которой расположен сервер и, не находящийся в одном Интранете с сервером или клиентом. Подструктура, содержащая ID клиента, направляется к серверу через узел со средством анонимизации (маршрут А). По маршруту В подструктуру отправляют узлу сети со средством хранения, расположенному в региональной сети отличной от сети, которой расположен сервер и, не находящийся в одном Интранете с сервером или клиентом. Подструктура, содержащая MD5 файла, направляется узлу сети со средством хранения (маршрут В). На этапе 220 средством анонимизации осуществляют преобразование ID клиента, где ID клиента сохраняется на узле, а в подструктуре его замещает токен AnonymizedID (в частном случае ID Клиента может быть зашифрован). Полученную подструктуру, отправляют серверу (этап 221). На этапе 222 подструктура с MD5 файла будет получена сервером. Если способ осуществляется в синхронном режиме, то на этапе 230 подструктуры, полученные сервером на этапе 221 и этапе 222, будут объединены и на этапе 330 будет обработан запрос. В нашем примере MD5 будет проверен по базе вредоносных и безопасных файлов и по результатам проверки получат вердикт и сформируют ответ на запрос (в приведенном примере файл оказался вредоносным - MD5-BAD). Сформированный ответ на запрос разделяют на этапе 331 на две подструктуры в результате разделения получают подструктуру, содержащую ID клиента и подструктуру, содержащую вердикт (MD5), чтобы понимать, частью какой структуры являются подструктуры им присваивается идентификатор (на фигуре идентификатор отмечен как StructureID), в частном случае идентификатор может быть идентичен идентификатору, присвоенному подструктурам на этапе 200. На этапе 350б подструктуру с вердиктом отправляют узлу сети со средством хранения, который либо пересылает подструктуру клиенту на этапе 371 (если StructureID соответствует ID сессии между узлом и клиентом, установленной на этапе 210), либо сохраняет до востребования. Востребована указанная подструктура может быть клиентом в случае получения им нотификации от узла со средством анонимизации получаемой клиентов в результате выполнения этапов 350а, 360, 370а. Либо клиент постоянно опрашивает узел сети со средством хранения на предмет наличия у узла подструктуры ответа (в данном случае StructureID присвоенные подструктурам на этапах 200 и 331 должны быть идентичны). На этапе 372 клиент обрабатывает ответ. Если способ выполняется в асинхронном режиме (Фиг. 13а), то этап 230 и этап 330 выполняются независимо, StructureID на этапе 330 не изменяется и идентичен StructureID на этапе 200, а в частном случае равен ID сессии между клиентом и узлом со средством хранения этапа 210, в рамках которой также будет осуществлена передача подструктуры на этапе 371.

Заявленное изобретение позволяет децентрализовать данные идущие от клиента, что обеспечивает анонимность для пользователя, устройство которого является клиентом, данные которыми обменивается клиент с сервером невозможно связать с клиентом при доступе к серверу. Часть данных известна только серверу, часть только узлу сети со средством анонимизации и без одновременного доступа к этим компонентам системы невозможно деанонимизировать данные, а невозможность одновременного доступа к компонентам, в том числе и государственными структурами обеспечивается распределением компонентов системы по различным региональным сетям, отличных как по географическому признаку, так и по признаку территориальной юрисдикции. Также заявленное изобретение при использовании узла со средством хранения позволяет скрыть внешний IP адрес клиента от сервера (сервер забирает подструктуру не напрямую от клиента, а через узел со средством хранения), а также снизить нагрузку на узел со средством анонимизации.

В некоторых случаях после того, как структура данных разделена на две подструктуры данных, одна из которых содержит конфиденциальные данные появляется необходимость дополнительного разделения данной подструктуры. Это в частном случае делается тогда, данные являются критическими только находясь совместно, например, IP-адрес и временная метка совместно являются персональными данными, разделив подструктуру в которой содержится данная связка на подструктуру с IP адресом и подструктуру с временной меткой данные утрачивают свойство персональности и могут обрабатываться узлом, который не имеет возможности эти структуры объединить, без ограничений, накладываемых законодательство на обработку критических (в данном случае персональных) данных. Но в таком случае усложняется механизм передачи данных на сервер. На Фиг. 14 изображен способ передачи критических данных в клиент-серверной архитектуре, который в частном случае используется для получения данных от клиентов для построения статистики. На этапе 200 средством модификации разделяют структуру, предназначенную для отправки серверу в соответствии с критериями, одним из таких критериев может являться наличие критических (например, конфиденциальных, в том числе персональных) данных в структуре, в результате разделения получают подструктуру, содержащую критические данные (на Фиг. 14 для примера это подструктура 1) и не содержащую таких данных (на Фиг. 14 это, соответственно, подструктура 2). На этапе 201 средством модификации дополнительно разделяют подструктуру, содержащую критические данные, на по меньшей мере две подструктуры (на Фиг. 14 для примера это подструктура 3 и подструктура 4). На этапе 210 средство модификации отправляет подструктуру 2 серверу по маршруту В. На этапе 211 подструктуры, полученные при разделении подструктуры, содержащей критические данные, последовательно отправляют по другому маршруту, отличному от маршрута В, где альтернативный маршрут включает узел сети со средством преобразования (в примере на Фиг. 14 это маршрут А), и расположенный в частном случае в региональной сети отличной от сети, которой расположен сервер и, не находящийся в одном Интранете с сервером или клиентом. Далее на этапе 220 подструктуры, проходящие через узел со средством преобразования, преобразуются указанным средством и передаются далее серверу (этап 223) в преобразованном виде. В общем случае подструктуры от одного и того же клиента в разные моменты времени преобразуются различно (например ID Клиента -> AnonymizedID1 ≠ AnonymizedID2 ≠ AnonymizedID3 и т.д), это относится ко всем примерам, но в частном случае, когда для некоторых систем безопасности необходимо накопить информацию (построить статистику) по определенному клиенту для подструктуры от одного и того же клиента, преобразование будет идентично (например ID Клиента -> AnonymizedID1 = AnonymizedID2 = AnonymizedID3 и т.д). В заключении на этапе 230 полученные от клиента подструктуры объединяются в структуру (Структура'). Очевидно, что итоговая структура (Структура') отличается от исходной, так как, по меньшей мере две подструктуры были преобразованы средством анонимизации. Итоговая структура в базе данных и будет использоваться средствами инфраструктуры¹⁴ (¹⁴ Средства и база данных на данной фигуре не указаны. Отдельные элементы инфраструктуры такие как средство обработки запроса и средство обнаружения атаки указаны на других фигурах) на стороне сервера, например при построении профиля. Преобразование подструктур и/или данных подструктур средством преобразования выполняется способом, исключающим возможность обратного преобразования подструктур и/или данных подструктур любыми средствами, отличными от средств узла сети со средством преобразования.

На Фиг. 14а показан пример осуществления способа передачи критических данных. На клиенте формируется структура для отправки на сервер, структура содержит IP адрес клиента, временную метку (англ. TimeStamp) и MD5 некоторого файла. На этапе 200 средством модификации разделяют структуру, предназначенную для отправки серверу, в результате разделения получают: подструктуру, содержащую IP адрес и временную метку, и подструктуру, которая содержит MD5 файла. На этапе 201 средством модификации дополнительно разделяют подструктуру, содержащую IP адрес и временную метку на две подструктуры (на Фиг. 14а это подструктура с IP адресом и подструктура с временной меткой). Чтобы понимать, с какой подструктурой, содержащей MD5, связаны подструктура IP и подструктура TimeStamp им присваиваются идентификаторы (на фигуре идентификаторы отмечены как StructureID1, StructureID2) и эти же идентификаторы помещаются в подструктуру MD5. На этапе 210 средство модификации отправляет подструктуру с MD5 серверу по маршруту В, а на этапе 211 последовательно отправляют подструктуру с IP адресом и подструктуру с временной меткой по другому маршруту, отличному от маршрута В, где альтернативный маршрут включает узел сети со средством преобразования (в примере на Фиг. 14а это маршрут А), где узел со средством преобразования расположен в частном случае в региональной сети отличной от сети, в которой расположен сервер и, не находящийся в одном Интранете с сервером или клиентом. Далее на этапе 220 подструктура с IP адресом и подструктура с временной меткой преобразуются и передаются далее серверу (этап 223) в преобразованном виде. Преобразование осуществляется по мере получения подструктур. В заключении на этапе 230 полученные от клиента подструктуры объединяются в структуру, которая содержит преобразованный IP адрес, преобразованную временную метку и MD5.

В общем случае узлов сети со средствами преобразования (в частном случае средствами анонимизации) может быть более чем один. Это обусловлено тем, что подструктуры данных на которые разбиваются структуры могут иметь разную ценность, степень конфиденциальности и размер. И один узел, например, обрабатывает незначительные по размеру данные, имеющие наивысшею степень конфиденциальности, например идентификаторы или специальные категории персональных данных, а другой узел обрабатывает большой объем данных, но имеющих низкую степень конфиденциальности, например, абсолютные сетевые адреса в составе которых могут встречаться персональные данные, и задача данного узла эти данные либо извлекать либо преобразовывать. Также использование более чем одного узла сети со средством преобразования обусловлено гибкостью работы системы маршрутизации изображенной на Фиг. 15а, где выбор узла со средством преобразования определяется в том числе и местоположением клиента (в частном случае региональной сетью), сервера назначения и требованиями местного законодательства, например, если клиент отправляет данные из Российской Федерации система выберет узел со средством преобразования, расположенный в США, а если данные отправляются из США будет выбран узел со средством преобразования в Швейцарии.

Система маршрутизации изображенная на Фиг. 15а используется для осуществления способа адаптивного выбора путей передачи данных от клиента к серверу (Фиг. 15б). На этапе 200' данные, предназначенные для отправки, разбиваются на подструктуры в зависимости от критичности и подструктурам присваивается степень конфиденциальности. Разделение данных может осуществляться любым известным из уровня техники способом, в том числе методами обработки естественного языка, кластеризации, также разбиение может происходить на основании источника (приложения, документы, информации от системы и т.д.), типа данных (поисковые запросы, абсолютные сетевые адреса, свертки HTML документов, комментарии, отзывы), области знаний о пользователе (например, место покупки отделяется от информации о самой покупки). Если разделение происходит на основании типа данных или источников подструктура наследует степень конфиденциальности источника или типа данных, которым она присваивается при подготовке спецификаций на собираемые данные. Разделение также средством модификации может осуществляться на основании области знаний - свойств и характеристик, описывающих пользователя, например, необходимо передать информацию о месте приобретения товара и приобретенном товаре, в результате разделения одна подструктура будет содержать данные о месте приобретения, другая подструктура о приобретенном товаре, а третья структура идентификатор покупателя. Разделить по областям знаний возможно, например, с использованием моделей кластеризации, модель кластеризации обучается таким образом, чтобы каждый кластер содержал максимальную информацию о заданной области знаний о пользователе, но при этом минимальную информацию о других областях знаний о пользователе, заданных для других подструктур. Для полученных подструктур на этапе 210' выбирают маршруты по которым подструктуры будут пересланы серверу. Маршрут определяется степенью конфиденциальности, которая поставлена в соответствие подструктуре. Выбираемый маршрут должен содержать узел со средством преобразования, который способен обеспечить информационную безопасность, проходящей через него подструктуры, безопасность узла определяется степенью безопасности и узел на выбранном маршруте должен иметь степень безопасности не меньшую той, которая требуется для заданной степени конфиденциальности подструктуры. Если степень безопасности сервера соответствует требуемой, подструктура отправляется на сервер в обход дополнительных узлов со средством преобразования. Степень конфиденциальности представляет численное значение, характеризующее вероятность того, что по упомянутым данным можно определить пользователя, а степень безопасности представляет собой численное значение, характеризующее вероятность того, что упомянутый сервер способен обеспечивать информационную безопасность полученной подструктуры данных, при этом выбор узла определяется на основании степени конфиденциальности подструктуры и степени безопасности узла со средством преобразования.

Выбрав маршрут, подструктуры отправляются и преобразуются на узлах со средствами преобразования (этап 220), преобразования осуществляются способами, описанными выше. После преобразования подструктуры отправляются на этапе 221' на сервер и на этапе 230 объединяются. Объединенные подструктуры могут быть использованы для формирования анонимных и защищенных профилей пользователя.

На Фиг. 15в изображен пример осуществления способа адаптивного выбора маршрута адаптивного выбора путей передачи данных от клиента к серверу. На клиенте формируется структура данных для отправки, она содержит ClientID - Ivan1234 и несколько сетевых адресов которые посещал пользователь:

https://vk.com/ivan_ivanov/video?q=UFC

https://octagon-shop.com/ivan_ivanov/napravleniya-sporta/mix_fight/perchatki_dlya_mma/

Далее на этапе 200' структура данных разбивается на две подструктуры на основании степеней конфиденциальности, где например, для идентификаторов по умолчанию установлена степень конфиденциальности 10 (наивысшая), а для сетевых адресов степень конфиденциальности - 5, эти степени указаны в конфигурационном файле средства модификации и используется средством модификации при разбиении на подструктуры. В результате получают две подструктуры, одна из которых содержит идентификатор, вторая содержит сетевые адреса. На этапе 210' осуществляется выбор маршрутов, на основании степени конфиденциальности данных в подструктурах и степеней безопасности доступных узлов со средством преобразования. Узел со средством преобразования на маршруте А имеет степень безопасности 10, а узел со средством преобразования на маршруте В имеет степень безопасности 6, так как выше указывалось, что степень безопасности узла должна быть не меньше степени конфиденциальности данных для отправки подструктуры с идентификатором выбираю маршрут А, а для отправки подструктуры с сетевыми адресами выбираю маршрут В. На этапе 220 данные преобразовываются. На маршруте А идентификатор в подструктуре средством преобразования узла шифруется и превращается Ivan1234 - > 416b69ce0b706e26442e41ca51fff5ec, и соответствует ProfileID на сервере. На маршруте В сетевые адреса в подструктуре средством преобразования узла анонимизиру ется:

https://vk.com/FFFFFF/video?q=UFC

https://octagon-shop.com/FFFFFF/napravleniya-sporta/mix_fight/perchatki_dlya_mma/

Преобразованные данные на этапе 221' пересылаются на сервер, где на этапе 230 обединяются и присоединяются к другим данным из профиля с идентификатором 416b69се0b706е26442е41са51fff5ec.

Под средством модификации, средством анонимизации, средством объединения, средством обработки запроса, средством обнаружения атаки, средством хранения в настоящем изобретении понимаются реальные устройства, системы, компоненты, группа компонентов, реализованные с использованием аппаратных средств, таких как интегральные микросхемы (англ. application-specific integrated circuit, ASIC) или программируемой вентильной матрицы (англ. field-programmable gate array, FPGA) или, например, в виде комбинации программных и аппаратных средств, таких как микропроцессорная система и набор программных инструкций, а также на нейроморфных чипах (англ. neurosynaptic chips) Функциональность указанных средств может быть реализована исключительно аппаратными средствами, а также в виде комбинации, где часть функциональности реализована программными средствами, а часть аппаратными. В некоторых вариантах реализации средства могут быть исполнены на процессоре компьютера общего назначения (например, который изображен на Фиг. 16). Базы данных могут быть реализованы всеми возможными способами и содержаться как на одном физическом носителе, так и на разных, располагаться как локально, так и удаленно.

На Фиг. 15в изображен пример осуществления способа адаптивного выбора маршрута адаптивного выбора путей передачи данных от клиента к серверу. На клиенте формируется структура данных для отправки, она содержит ClientID - Ivan1234 и несколько сетевых адресов которые посещал пользователь:

https://vk.com/ivan_ivanov/video?q=UFC

https://octagon-shop.com/ivan_ivanov/napravleniya-sporta/mix_fight/perchatki_dlya_mma/

Далее на этапе 200' структура данных разбивается на две подструктуры на основании степеней конфиденциальности, где например, для идентификаторов по умолчанию установлена степень конфиденциальности 10 (наивысшая), а для сетевых адресов степень конфиденциальности - 5, эти степени указаны в конфигурационном фйле средства модификации и используется кластеризатором при разбиении на подструктуры

Фиг. 16 представляет пример компьютерной системы общего назначения, персональный компьютер или сервер 20, содержащий центральный процессор 21, системную память 22 и системную шину 23, которая содержит разные системные компоненты, в том числе память, связанную с центральным процессором 21. Системная шина 23 реализована, как любая известная из уровня техники шинная структура, содержащая в свою очередь память шины или контроллер памяти шины, периферийную шину и локальную шину, которая способна взаимодействовать с любой другой шинной архитектурой. Системная память содержит постоянное запоминающее устройство (ПЗУ) 24, память с произвольным доступом (ОЗУ) 25. Основная система ввода/вывода (BIOS) 26, содержит основные процедуры, которые обеспечивают передачу информации между элементами персонального компьютера 20, например, в момент загрузки операционной системы с использованием ПЗУ 24.

Персональный компьютер 20 в свою очередь содержит жесткий диск 27 для чтения и записи данных, привод магнитных дисков 28 для чтения и записи на сменные магнитные диски 29 и оптический привод 30 для чтения и записи на сменные оптические диски 31, такие как CD-ROM, DVD-ROM и иные оптические носители информации. Жесткий диск 27, привод магнитных дисков 28, оптический привод 30 соединены с системной шиной 23 через интерфейс жесткого диска 32, интерфейс магнитных дисков 33 и интерфейс оптического привода 34 соответственно. Приводы и соответствующие компьютерные носители информации представляют собой энергонезависимые средства хранения компьютерных инструкций, структур данных, программных модулей и прочих данных персонального компьютера 20.

Настоящее описание раскрывает реализацию системы, которая использует жесткий диск 27, сменный магнитный диск 29 и сменный оптический диск 31, но следует понимать, что возможно применение иных типов компьютерных носителей информации 56, которые способны хранить данные в доступной для чтения компьютером форме (твердотельные накопители, флеш карты памяти, цифровые диски, память с произвольным доступом (ОЗУ) и т.п.), которые подключены к системной шине 23 через контроллер 55.

Компьютер 20 имеет файловую систему 36, где хранится записанная операционная система 35, а также дополнительные программные приложения 37, другие программные модули 38 и данные программ 39. Пользователь имеет возможность вводить команды и информацию в персональный компьютер 20 посредством устройств ввода (клавиатуры 40, манипулятора «мышь» 42). Могут использоваться другие устройства ввода (не отображены): микрофон, джойстик, игровая консоль, сканнер и т.п. Подобные устройства ввода по своему обычаю подключают к компьютерной системе 20 через последовательный порт 46, который в свою очередь подсоединен к системной шине, но могут быть подключены иным способом, например, при помощи параллельного порта, игрового порта или универсальной последовательной шины (USB). Монитор 47 или иной тип устройства отображения также подсоединен к системной шине 23 через интерфейс, такой как видеоадаптер 48. В дополнение к монитору 47, персональный компьютер может быть оснащен другими периферийными устройствами вывода (не отображены), например, колонками, принтером и т.п.

Персональный компьютер 20 способен работать в сетевом окружении, при этом используется сетевое соединение с другим или несколькими удаленными компьютерами 49. Удаленный компьютер (или компьютеры) 49 являются такими же персональными компьютерами или серверами, которые имеют большинство или все упомянутые элементы, отмеченные ранее при описании существа персонального компьютера 20, представленного на Фиг. 16. В вычислительной сети могут присутствовать также и другие устройства, например, маршрутизаторы, сетевые станции, пиринговые устройства или иные сетевые узлы.

Сетевые соединения могут образовывать локальную вычислительную сеть (LAN) 50 и глобальную вычислительную сеть (WAN). Такие сети применяются в корпоративных компьютерных сетях, внутренних сетях компаний и, как правило, имеют доступ к сети Интернет. В LAN- или WAN-сетях персональный компьютер 20 подключен к локальной сети 50 через сетевой адаптер или сетевой интерфейс 51. При использовании сетей персональный компьютер 20 может использовать модем 54 или иные средства обеспечения связи с глобальной вычислительной сетью, такой как Интернет. Модем 54, который является внутренним или внешним устройством, подключен к системной шине 23 посредством последовательного порта 46. Следует уточнить, что сетевые соединения являются лишь примерными и не обязаны отображать точную конфигурацию сети, т.е. в действительности существуют иные способы установления соединения техническими средствами связи одного компьютера с другим.

В заключение следует отметить, что приведенные в описании сведения являются примерами, которые не ограничивают объем настоящего изобретения, определенного формулой. Специалисту в данной области становится понятным, что могут существовать и другие варианты осуществления настоящего изобретения, согласующиеся с сущностью и объемом настоящего изобретения.

1. Способ передачи данных пользователя от клиента серверу, в котором:

а) на клиенте структуру с данными пользователя, предназначенную для передачи серверу, разделяют на две или более подструктур, при этом каждой подструктуре ставится в соответствие степень конфиденциальности,

б) передают каждую подструктуру на узел со средством преобразования, из заданного списка узлов, при этом выбор узла определяется на основании степени конфиденциальности подструктуры и степени безопасности узла;

в) на выбранном узле преобразуют полученную подструктуру;

г) на сервере объединяют преобразованные подструктуры.

2. Способ по п. 1, по которому подструктура данных содержит информацию о заданной области знаний о пользователе.

3. Способ по п. 1, по которому подструктура данных дополнительно содержит информацию по меньшей мере о другой подструктуре данных, полученных при разделении тех же пользовательских данных.

4. Способ по п. 1, по которому разделение данных пользователя на подструктуры осуществляется с использованием обученной модели кластеризации.

5. Способ по п. 4, в котором модель кластеризации обучается таким образом, чтобы каждый кластер содержал максимальную информацию о заданной области знаний о пользователе, но при этом минимальную информацию о других областях знаний о пользователе, заданных для других подструктур.

6. Способ по п. 1, по которому в качестве одного из узлов со средством преобразования выступает сервер.

7. Способ по п. 1, по которому список серверов содержит по меньшей мере один узел со средством преобразования, который преобразует подструктуры данных таким образом, что по преобразованным данным возможно выполнить идентификацию пользователя данных, но невозможно восстановить сами данные.

8. Способ по п. 1, по которому способ преобразования на узле со средством преобразования выбирается таким образом, чтобы обеспечивать заданный уровень информационной безопасности полученных данных, где заданный уровень определяется степенью конфиденциальности подструктуры.

9. Способ по п. 8, по которому параметры преобразования кластера на одном сервере конфиденциальности зависят от параметров преобразования кластера, выполненного ранее на другом сервере конфиденциальности.

10. Способ по п. 1, в котором степень конфиденциальности представляет численное значение, характеризующее вероятность того, что по упомянутым данным можно определить пользователя.

11. Способ по п. 10, в котором каждому узлу со средством преобразования поставлена в соответствие степень безопасности, где степень безопасности представляет собой численное значение, характеризующее вероятность того, что упомянутый сервер способен обеспечивать информационную безопасность полученной подструктуры данных, при этом выбор узла определяется на основании степени конфиденциальности подструктуры и степени безопасности узла со средством преобразования.

12. Способ по п. 1, в котором степень конфиденциальности определяется расположением клиента.

13. Способ по п. 1 в котором узел со средством преобразования и сервер выбираются в зависимости от местоположения клиента.

14. Способ по п. 1, в котором объединенные подструктуры используются для формирования защищенных пользовательских профилей.

15. Способ по п. 14, в котором защищенные пользовательские профили представляют собой функционально связанную совокупность преобразованных подструктур данных для пользователя, использующего клиент.