Способ непрерывной аутентификации пользователя и защиты автоматизированного рабочего места от несанкционированного доступа
Владельцы патента RU 2762535:
Федеральное государственное казённое военное образовательное учреждение высшего образования "Военная академия воздушно-космической обороны имени Маршала Советского Союза Г.К. Жукова" Министерства обороны Российской Федерации (RU)
Изобретение относится к области вычислительной техники. Техническим результатом является повышение эффективности защиты автоматизированного рабочего места от несанкционированных действий на всех этапах его работы и обеспечение надежности защиты от несанкционированного доступа к информационным и техническим ресурсам. Способ непрерывной аутентификации пользователя включает сравнение параметров клавиатурного почерка пользователя с шаблонами почерка авторизованных пользователей из базы данных для принятия решения о допуске пользователя к работе с данными. При этом производится полная аутентификация пользователя, для чего пользователь проходит все операции доступа, включая биометрическую идентификацию по клавиатурному почерку. При положительных результатах аутентификации модуль принятия решения разрешает вход пользователя в систему, после чего осуществляется доступ пользователя к разрешенным ему ресурсам. В процессе работы пользователя ведется непрерывная пассивная биометрическая идентификация пользователя, фактически контролируя нахождение его на рабочем месте по клавиатурному почерку. 1 ил.
Изобретение относится к области вычислительной техники и предназначено для повышения эффективности защиты автоматизированного рабочего места (АРМ) от несанкционированного доступа (НСД) к информационным и техническим ресурсам.
Известны способы аутентификации пользователя (US 8660322, 25.02.2014 г. кл. G06K 9/62, RU 2691201, 09.02.2018 г.).
Наиболее близким к изобретению по назначению и технической сущности является способ аутентификации пользователя с использованием биометрической обратной связи /US 8660322/.
Известный способ аутентификации пользователя с использованием биометрической обратной связи /US 8660322/ состоит в следующем.
Для реализации метода выполняется регистрация эталонного образца лица пользователя в базе данных пользователей. Впоследствии в фазе аутентификации система доступа позволяет пользователю осуществить вход на АРМ и использовать вычислительный ресурс на основе распознавания изображения лица, представленного видеокамерой системы, сравнив его с зарегистрированным в базе изображением.
При совпадении проверяемых характеристик наблюдаемого изображения с характеристиками зарегистрированного эталонного образца АРМ работает, а при их несовпадении или отсутствии изображения (пользователь покинул АРМ) экран монитора АРМ автоматически блокируется. В случае временного отсутствия пользователя при его возвращении на АРМ видеокамера фиксирует изображение его лица, и система автоматически снимает блокировку монитора, допуская пользователя к работе без прохождения повторной аутентификации с вводом идентификатора учетной записи и/или пароля.
Система позволяет только распознанному пользователю получить доступ к данным. В течение времени работы пользователя система аутентификации не требует взаимодействия с пользователем и не прерывает работу.
Недостатком известного способа - прототипа /US 8660322/ является относительно невысокая степень эффективности защиты ПЭВМ от НСД и удорожание системы защиты информации. Указанные недостатки связанны с тем что:
- Блокируется не ПЭВМ, а только экран монитора путем блокировки/разблокировки выхода графического интерфейса системой непрерывной биометрической аутентификации;
- Использование дополнительного оборудования (видеокамеры) удорожает возможность создания системы защиты информации.
Указанные недостатки ограничивают применение известного способа аутентификации пользователя с использованием биометрической обратной связи в области вооружения, военной и специальной техники (ВВСТ) видов и родов Вооруженных сил Российской Федерации на автоматизированных системах управления.
Задачей и техническим результатом изобретения является повышение эффективности защиты автоматизированного рабочего места от несанкционированных действий на всех этапах его работы при использовании как в автономном режиме, так и в составе локальной сети и обеспечения надежности защиты от несанкционированного доступа к информационным и техническим ресурсам.
Достижение заявленного технического результата обеспечивается тем, что способ непрерывной аутентификации пользователя включает создание шаблонов клавиатурного почерка авторизованных пользователей, сравнение параметров клавиатурного почерка пользователя с шаблонами почерка авторизованных пользователей из базы данных для принятия решения о допуске пользователя к работе с данными.
Для решения поставленной задачи в заявляемом техническом решении предлагается интегрировать систему разграничения доступа и систему непрерывной биометрической аутентификации, состоящую из средства ввода-вывода информации и программного средства биометрической идентификации.
При этом способ реализации защиты от несанкционированного доступа и контроля доступа в режиме реального времени с использованием клавиатурного почерка пользователя включает следующие последовательно реализуемые действия:
1) регистрацию пользователя с записью в память устройства эталонной информации, необходимой для последующей аутентификации пользователя, а также информации, определяющей полномочия пользователя по доступу к аппаратным ресурсам ПЭВМ; регистрация пользователя включает также регистрацию его биометрической информации в базе шаблонов клавиатурного почерка авторизованных пользователей;
2) настройку правил разграничения доступа (ПРД) к ресурсам ПЭВМ на уровне операционной системы пользователя для пользователей и исполняемых от их имени процессов;
3) проведение аутентификации пользователя, осуществляющего вход в систему, на основе предъявляемой им контрольной информации, а также его клавиатурного почерка, передаваемого устройством ввода информации в реальном масштабе времени;
4) предоставление доступа к ресурсам ПЭВМ в соответствии с полномочиями аутентифицированного пользователя с последующим продолжением пассивной непрерывной биометрической идентификации пользователя системой непрерывной биометрической идентификации (СНБИ);
5) обеспечение разграничения доступа к ресурсам АРМ системой разграничения доступа (СРД) на основе ранее сформулированных ПРД;
6) блокировку операционной системы ПЭВМ системой разграничения доступа по информации СНБИ при отсутствии пользователя на рабочем месте в течении задаваемого временного интервала;
7) разблокирование операционной системы ПЭВМ системой разграничения доступа при своевременном возвращении пользователя без необходимости повторной аутентификации;
8) полную блокировку работы ПЭВМ, вплоть до его отключения, системой разграничения доступа с необходимостью повторной полой аутентификации при включении ПЭВМ или его разблокировке в случае длительного отсутствия пользователя, а также при несовпадении образца клавиатурного почерка, полученного СНБИ с шаблоном почерка пользователя, прошедшего аутентификацию.
Процессом блокировки ПЭВМ при работе АРМ управляет СРД, основные модули которой функционируют в режиме ядра ОС. В состав СРД входит специальный драйвер разграничения доступа, функционирующий в области модулей ядра ОС, недоступной пользовательским приложениям. При взаимодействии СРД с модулем принятия решения СНБИ 10 в СРД реализуется механизм режима «пауза неактивности», позволяющий отключить пользователя по прошествии заранее заданного интервала времени отсутствия. С помощью данного механизма можно предусмотреть многоуровневую реакцию на отсутствие пользователя в зависимости от длительности его отсутствия. Для уровня «пауза неактивности 1», когда пользователь отсутствует сравнительно небольшой заданный промежуток времени, блокируется только операционная система ПЭВМ с последующим ее разблокированием при своевременном возвращении пользователя. Для уровня «пауза неактивности 2», когда время отсутствия пользователя превысило допустимое значение времени, осуществляется полная блокировка ПЭВМ или его отключение, после которого для включения или разблокировки ПЭВМ пользователю необходимо повторно пройти полную аутентификацию.
Осуществление предлагаемого изобретения иллюстрируется структурной схемой, представленной на Фиг. 1.
На Фиг. 1 представлена система непрерывной аутентификации пользователя автоматизированного рабочего места, где:
1. Автоматизированное рабочее место;
2. ПЭВМ;
3. Клавиатура;
4. Порт USB;
5. Операционная система (ОС);
6. Средство непрерывной биометрической аутентификации (СНБИ);
7. Модули ядра ОС;
8. Система разграничения доступа (СРД);
9. Драйвер разграничения доступа (ДРД) СРД, функционирующий на уровне ядра ОС;
10. Модуль принятия решения СНБИ;
11. Модуль принятия решения СНБИ (для сетевого варианта);
12. Сервер аутентификации (для сетевого варианта).
Осуществление изобретения
В соответствии со структурной схемой, представленной на фиг. 1, предлагаемая система непрерывной аутентификации пользователя, обеспечивающая защиту от НСД ресурсов и информации, хранимой и обрабатываемой на АРМ, реализуется следующим образом.
Система включает в себя ПЭВМ 2, средство ввода информации подключено к USB-порту 4 ПЭВМ 2. В операционную систему 5 ПЭВМ 2 загружено программное средство непрерывной биометрической идентификации 6, взаимодействующее с клавиатурой 3.
В ОС 5 ПЭВМ 2 установлена СРД 8, драйвер разграничения доступа 9 которой функционирует в области 9 модулей ядра ОС 7, недоступной пользовательским приложениям, что существенно повышает уровень защиты от несанкционированного вмешательства. После загрузки ПЭВМ 2 функции защиты осуществляет СРД 8, в том числе взаимодействует с модулем принятия решения СНБИ 10 средства непрерывной биометрической идентификации 6.
В процессе работы пользователя заявляемая система отслеживает периоды отсутствия положительной идентификации клавиатурного почерка пользователя, периодически через небольшие интервалы времени передаваемого клавиатурой 3 и анализируется средством 6. При неполучении в течение заданного промежутка времени успешного результата аутентификации работающего в системе пользователя или в случае, если СНБИ 6 идентифицирует пользователя, как отличного от текущего пользователя, прошедшего аутентификацию при входе в систему, через модуль принятия решения СНБИ 10 СРД 8 активизирует механизм блокировки ПЭВМ, для чего используется, как отмечалось выше, режим «пауза неактивности», реализованный в СРД. В зависимости от длительности интервала времени, характеризующегося отсутствием положительной аутентификации работающего в системе пользователя, СРД 8 осуществляет соответствующий ему защитный механизм блокировки ПЭВМ 2.
АРМ 1 может работать не автономно, а в составе локальной сети, оснащенной специальным сервером аутентификации 12. Как также отмечалось выше, в этом случае СНБИ разделяется на два модуля: транспортный модуль (ТМ СНБИ), который размещается в ОС 5 ПЭВМ 2 на месте средства 6 и отвечает за канал взаимодействия с СРД 8 и средством ввода 3, и модуль принятия решений (МПР СНБИ) 11, который размещается на специальном сервере аутентификации 12, проводит анализ передаваемых с средства ввода информации данных и сравнивает их с эталонами клавиатурного почерка в базе данных, после чего передает результаты биометрической идентификации пользователя через ТМ СНБИ в СРД 8.
Перед началом эксплуатации ПЭВМ 2 осуществляют регистрацию данных пользователя, его права на доступ к ресурсам ПЭВМ и информацию, необходимую для его аутентификации. Аналогично с помощью СНБИ в базу данных системы биометрической идентификации вносятся эталонные образцы клавиатурного почерка пользователей для проведения дополнительной биометрической идентификации в процессе аутентификации пользователя.
При включении ПЭВМ 2 осуществляется инициализация всех компонентов необходимых для его работы и начинает штатную работу. В процессе загрузки ОС активируются компоненты системы защиты, клавиатура 3, систему непрерывной биометрической идентификации пользователя 6 и СРД 8.
Затем производится полная аутентификация пользователя, для чего пользователь проходит все операции доступа, включая биометрическую идентификацию по клавиатурному почерку, проводимую клавиатурой 3 с СНБИ 6. При положительных результатах аутентификации, модуль принятия решения 10 разрешает вход пользователя в систему, после чего СРД 8 открывает доступ пользователя к разрешенным ему ресурсам.
В процессе работы пользователя СНБИ 6 ведет непрерывную пассивную биометрическую идентификацию пользователя, фактически контролируя нахождение его на рабочем месте по клавиатурному почерку, периодически передаваемому через незначительные интервалы времени клавиатурой.
В результате проведенного анализа уровня техники, включая поиск по патентным и научно-техническим источникам информации и выявление источников, содержащих сведения об аналогах заявленного технического решения, не было обнаружено источника, характеризующегося признаками, тождественными всем существенным признакам заявленного технического решения. Определение из перечня выявленных аналогов прототипа, как наиболее близкого по совокупности признаков аналога, позволило установить совокупность существенных по отношению к усматриваемому заявителем техническому результату отличительных признаков заявленной системы непрерывной аутентификации пользователя и защиты от НСД к информации, хранимой и обрабатываемой на АРМ. Следовательно, заявленное техническое решение соответствует критерию «новизна».
Проведенный дополнительный поиск не выявил известные решения, содержащие признаки, совпадающие с отличительными от прототипов признаками заявленного устройства защиты от НСД к информации, хранимой и обрабатываемой на ЭВМ. Заявленное техническое решение не вытекает для специалиста явным образом из известного уровня техники и не основано на изменении количественных признаков. Следовательно, заявленное техническое решение соответствует критерию «изобретательский уровень».
Источники, принятые во внимание при составлении описания и формулы изобретения:
1. Патент США US 8660322, кл. G06K 9/62, от 25.08.2011 г., опубл. 25.02.2014 г. (прототип способа).
2. Патент RU №2691201, кл. G06F 21/57, 09.02.2018 г, опубл. 11.06.2019 г. (прототип системы).
Способ непрерывной аутентификации пользователя и защиты АРМ от НСД заключается в создании шаблонов клавиатурного почерка авторизованных пользователей, сравнение параметров клавиатурного почерка пользователя с шаблонами почерка авторизованных пользователей из базы данных для принятия решения о допуске пользователя к работе с данными, отличающийся тем, что перед началом эксплуатации ПЭВМ 2 осуществляют регистрацию данных пользователя, его права на доступ к ресурсам ПЭВМ и информацию, необходимую для его аутентификации, аналогично с помощью средства непрерывной биометрической аутентификации 6 в базу данных системы биометрической идентификации вносятся эталонные образцы клавиатурного почерка пользователей для проведения дополнительной биометрической идентификации в процессе аутентификации пользователя,
при включении ПЭВМ 2 осуществляется инициализация всех компонентов, необходимых для его работы, и начинают штатную работу; в процессе загрузки ОС активируются компоненты системы защиты, клавиатура 3, система непрерывной биометрической идентификации пользователя 6 и система разграничения доступа 8,
затем производится полная аутентификация пользователя, для чего пользователь проходит все операции доступа, включая биометрическую идентификацию по клавиатурному почерку, проводимую клавиатурой 3 с средством непрерывной биометрической аутентификации 6; при положительных результатах аутентификации модуль принятия решения 10 разрешает вход пользователя в систему, после чего система разграничения доступа 8 открывает доступ пользователя к разрешенным ему ресурсам,
в процессе работы пользователя средство непрерывной биометрической аутентификации 6 ведет непрерывную пассивную биометрическую идентификацию пользователя, фактически контролируя нахождение его на рабочем месте по клавиатурному почерку, периодически передаваемому через незначительные интервалы времени клавиатурой.
