Система и способ контроля устройств и приложений при использовании многофакторной аутентификации

Авторы патента:

Зайцев Олег Владимирович (RU)

G06F21/00 - Обработка цифровых данных с помощью электрических устройств (вычислительные машины, в которых часть вычислений осуществляется гидравлическими или пневматическими устройствами G06D; оптическими средствами G06E; автономные внешние вводные и выводные устройства G06K; компьютерные системы, основанные на специфических вычислительных моделях G06N; цепи полного /активного и реактивного/ сопротивления H03H)

Владельцы патента RU 2495488:

Закрытое акционерное общество "Лаборатория Касперского" (RU)

Изобретение относится к области предотвращения неавторизованного доступа к защищенной информации. Технический результат настоящего изобретения заключается в повышении защиты информации от неавторизованного доступа путем применения правил контроля устройств и приложений. Согласно варианту реализации настоящего изобретения используется способ применения правил контроля устройств и приложений при использовании многофакторной аутентификации, в котором производят аутентификацию одного или более пользователей на компьютере при подключении к компьютеру одного или более токенов; отслеживают подключение/отключение по беспроводной связи одного или более транспондеров к одному или более токенам после успешной аутентификации пользователя; применяют правила контроля устройств и приложений для пользователя, который прошел процедуру аутентификации на компьютере, на основании информации о нахождении одного или более транспондеров в зоне приема упомянутого одного или более токенов. 2 н. и 16 з.п. ф-лы, 7 ил., 2 табл.

Область техники

Изобретение относится к системам и способам предотвращения неавторизованного доступа к защищенной информации.

Уровень техники

В современном обществе задачи защиты информационных систем от несанкционированного доступа как к системе в целом, так и к ее отдельным компонентам, приложениям и устройствам, становятся все более актуальными. В большинстве систем аутентификации пользователя с последующим предоставлением доступа к компьютеру используется однофакторная аутентификация, обычно предоставляющая возможность ввода логина и пароля или пин-кода. Однако для ответственных задач, в которых надежность системы однофакторной аутентификации является недостаточной, дополнительно используется второй фактор аутентификации. Таким фактором может быть наличие у пользователя некоторого физического устройства, подтверждающего его личность, например, токена или смарт-карты. Такие системы широко применяются в банковской сфере, а также для удаленного доступа к внутренним ресурсам предприятий. При правильном использовании системы двухфакторной аутентификации злоумышленнику довольно сложно получить доступ к персональному компьютеру (ПК) пользователя. Токен должен быть подключенным к ПК только во время работы пользователя. Если пользователь отходит от рабочего места, он должен забирать или хотя бы блокировать свой токен. Однако эти правила часто не соблюдаются пользователями. Таким образом, у такой технологии есть уязвимая составляющая - человеческий фактор. Например, когда пользователь ушел с рабочего места, забыв взять с собой токен или смарт-карту, злоумышленник может получить доступ к его компьютеру. Иногда даже минутного отсутствия достаточно, чтобы злоумышленник смог выполнить несанкционированные действия на ПК пользователя, например, получить физический или удаленный доступ к ПК, установить вредоносное программное обеспечение (ПО) на ПК пользователя, которое в будущем выполнит запрещенные действия. Часто бывают ситуации, когда к одному ПК подключено большое количество токенов с различными правами доступа к системе, приложениям и устройствам ПК. В такой ситуации, кроме злоумышленника несанкционированные действия могут выполнять также авторизованные пользователи токенов. Например, к ПК подключено два токена - бухгалтера и главного бухгалтера банка. Для запуска не связанных с переводом денег компонент системы «Клиент-Банк» нужно, чтобы был активирован (подключен и введен корректный пароль) токен бухгалтера. А для запуска приложения коммуникации с банком, разрешения Интернет-соединения для перевода платежей требуется еще и активированный токен главного бухгалтера. В случае если главный бухгалтер отошел от ПК, забыв заблокировать или забрать свой токен, бухгалтер может непреднамеренно или умышленно запустить приложение коммуникации с банком, осуществить перевод средств или совершить любое другое запрещенное ему действие. Подобные случаи и ситуации возникают довольно часто. Таким образом, человеческий фактор является критической уязвимостью при использовании двухфакторной аутентификации. Стоит отметить, что значительный процент всевозможных махинаций с системами «Клиент-Банк» выполняется именно по вышеприведенной схеме, когда пользователь отходит от рабочего места, забыв забрать или заблокировать свой токен.

Для решения проблемы влияния человеческого фактора применяются различные технологии, например, использующие беспроводные токены, которые постоянно находятся у пользователя. В результате ухода пользователя с рабочего места доступ к системе автоматически блокируется сразу или спустя некоторый промежуток времени. В патенте ЕР 1132800 описан бесконтактный интерфейс для криптографического модуля, с помощью которого предотвращается несанкционированный доступ к зашифрованным данным. В одном примере реализации этого изобретения в качестве бесконтактного токена для идентификации пользователя используется брелок-транспондер. В заявке US 20090006846 описано беспроводное устройство, предназначенное для аутентификации на ПК пользователя, при нахождении пользователя рядом с ПК (посредством Bluetooth или других протоколов связи). В патенте US 6871063 описывается метод получения доступа к компьютеру с помощью данных сим-карты телефона. При установлении связи (например, Bluetooth) телефона пользователя с ПК, первый передает необходимые данные для разблокировки доступа к ПК.

Для решения проблемы доступа к приложениям и устройствам с помощью токена используются различные технологии, например, фиксирующие факт нахождения беспроводного токена в зоне приема ПК.

В заявке US 20070179896 описан метод предотвращения запуска программ от имени неавторизованных пользователей (для защиты от пиратства), с помощью подключаемого к ПК токена. Также есть аналогичная заявка US 20030110388, в которой используется аппаратный ключ для предотвращения выполнения приложений и копирования информации на ПК пользователя. В заявке US 20110314539 описан метод блокировки устройства (мобильного телефона, автомобиля) с предустановленным ПО. Устройство разблокируется/блокируется, если в зоне приема встроенного в устройство трансивера находится/отсутствует специальный токен. Также блокировка может осуществляться по таймеру (если токен не находится заданное время в зоне приема). Токен имеет миниатюрные размеры и может обходиться без источников питания (например, пассивные RFID-метки). Само устройство может также использовать систему двухфакторной аутентификации, дополнительно запрашивая пароль или пин-код. Стоит отметить, что устройство, в случае если токен не находится поблизости, может блокировать некоторые свои аппаратные функции (в случае телефона - заблокировать клавиатуру, выключить экран и т.д.), а также может блокировать или удалять данные.

Однако одной из главных проблем существующих систем и способов остается отсутствие полноценного контроля устройств и приложений. В существующих технологиях не используются условия наличия некоторого набора активных токенов или транспондеров для предоставления различных прав доступа к тем или иным приложениям и устройствам, а также для разрешения приложениям выполнять различные действия и получать доступ к определенным ресурсам операционной системы, персональным данным пользователя (например, файлам cookie, данным об активности пользователя), устройствам компьютера.

Анализ предшествующего уровня техники и возможностей, которые появляются при комбинировании существующих решений в одной системе, позволяет получить новый результат, а именно систему и способ применения правил контроля устройств и приложений при использовании многофакторной аутентификации.

Раскрытие изобретения

Настоящее изобретение предназначено для предотвращения неавторизованного доступа к защищенной информации.

Технический результат настоящего изобретения заключается в повышении защиты информации от неавторизованного доступа путем применении правил контроля устройств и приложений.

Согласно одному из вариантов реализации используется система применения правил контроля устройств и приложений при использовании многофакторной аутентификации, содержащая: компьютер, предназначенный для предоставления доступа к различному набору установленных приложений и подключаемых устройств пользователю, который прошел процедуру аутентификации; один или более токенов, подключаемые к компьютеру и предназначенные для аутентификации, по крайней мере, одного пользователя; по крайней мере, один транспондер, связанный посредством беспроводной связи с одним или более токенами, и, предназначенный для идентификации пользователя; средство контроля устройств и приложений, предназначенное для: отслеживания подключения/отключения по беспроводной связи одного или более транспондеров к одному или более токенам после успешной аутентификации пользователя; применения правил контроля устройств и приложений для пользователя одного или более токенов, который прошел процедуру аутентификации на компьютере, на основании информации о нахождении одного или более транспондеров в зоне приема упомянутого одного или более токенов.

Согласно одному из частных вариантов реализации средство контроля устройств и приложений является приложением на компьютере, а связь персонального компьютера с одним или более транспондерами осуществляется подключаемым к персональному компьютеру беспроводным приемопередатчиком.

Согласно другому частному варианту реализации средство контроля устройств и приложений является подключаемым к компьютеру модулем блокировки, осуществляющим связь с одним или более транспондерами.

Согласно еще одному частному варианту реализации контроля устройств и приложений встроено в токен, а связь упомянутого токена с одним или более транспондерами осуществляется встроенным в упомянутый токен беспроводным приемопередатчиком.

Согласно одному из частных вариантов реализации беспроводной приемо-передатчик, встроенный в токен, имеет, по крайней мере, две антенны для определения относительного местоположения одного или более транспондеров.

Согласно другому частному варианту реализации транспондер имеет, по крайней мере, две антенны, для определения токеном относительного местоположения транспондера.

Согласно еще одному частному варианту реализации транспондер выполняет все функции токена.

Согласно одному из частных вариантов реализации средство контроля устройств и приложений дополнительно отслеживает изменение даты и времени.

Согласно другому частному варианту реализации средство контроля устройств и приложений дополнительно отслеживает поступление сигналов с одного или более транспондеров.

Согласно варианту реализации используется способ применения правил контроля устройств и приложений при использовании многофакторной аутентификации, в котором: производят аутентификацию одного или более пользователей на компьютере при подключении к компьютеру одного или более токенов; отслеживают подключение/отключение по беспроводной связи одного или более транспондеров к одному или более токенам после успешной аутентификации пользователя; применяют правила контроля устройств и приложений для пользователя, который прошел процедуру аутентификации на компьютере, на основании информации о нахождении одного или более транспондеров в зоне приема упомянутого одного или более токенов.

Согласно одному из частных вариантов реализации при аутентификации одного или более токенов дополнительно запрашивается пароль.

Согласно другому частному варианту реализации условия применения правил дополнительно включают отсутствие одного или более транспондеров в зоне приема одного или более токенов.

Согласно еще одному частному варианту реализации условия применения правил дополнительно включают текущую дату и время.

Согласно одному из частных вариантов реализации условия применения правил дополнительно включают сигналы, поступающие с одного или более транспондеров.

Согласно другому частному варианту реализации условия применения правил дополнительно включают расстояние до одного или более транспондеров.

Согласно еще одному частному варианту реализации условия применения правил дополнительно включают относительное местоположение одного или более транспондеров.

Согласно одному из частных вариантов реализации условия применения правил дополнительно включает нахождение/отсутствие одного или более транспондеров в зоне приема токена в течение заданного администратором компьютера времени.

Согласно другому частному варианту реализации правила контроля устройств и приложений включают отправку информацию о выполнении условия применения правил контроля устройств и приложений администратору сети.

Краткое описание чертежей

Дополнительные цели, признаки и преимущества настоящего изобретения будут очевидными из прочтения последующего описания реализации изобретения со ссылкой на прилагаемые чертежи, на которых:

На Фиг.1 приведена общая схема системы многофакторной аутентификации.

Фиг.2А показывает возможный вариант реализации настоящей системы.

Фиг.2Б показывает возможный вариант реализации настоящей системы.

Фиг.3 иллюстрирует один из вариантов конструкции транспондера.

На Фиг.4 изображен алгоритм аутентификации пользователя токена.

На Фиг.5 изображен алгоритм работы средства контроля устройств и приложений.

Фиг.6 представляет пример компьютерной системы общего назначения, персональный компьютер или сервер.

Описание вариантов реализации изобретения

Объекты и признаки настоящего изобретения, способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам реализации. Однако настоящее изобретение не ограничивается примерными вариантами реализации, раскрытыми ниже, оно может воплощаться в различных видах. Сущность, приведенная в описании, является ничем иным, как конкретными деталями, обеспеченными для помощи специалисту в области техники в исчерпывающем понимании изобретения (полезной модели), и настоящее изобретение (полезная модель) определяется только в объеме приложенной формулы.

В общем случае система многофакторной аутентификации может иметь вид, показанный на Фиг.1. Система состоит из одного или нескольких пользовательских токенов для аутентификации 111-112 (например, токенов, смарт-карт), подключаемых к компьютеру 100 (например, персональному компьютеру, ноутбуку, планшету), а также одного или нескольких беспроводных транспондеров 121-122 (например, передатчиков, RFID-меток), идентифицирующих различных пользователей. Каждый из транспондеров 121-122 может иметь произвольную форму и размер, он может быть как малогабаритным, чтобы поместиться в карман пользователя, так и достаточно крупным. Транспондер 121 может иметь форму брелока, идентификационного значка или любую другую форму. Более того, Транспондер 121 может быть нанесен непосредственно на кожу пользователя. Уже сейчас существуют подобные технологии, например, основанные на использовании в качестве микрочипа дисульфида молибдена. Молибден по большинству своих параметров превосходит кремний, применяемый в большинстве современных электроприборов. Чип, изготовленный из этого материала, является более пластичным, имеет миниатюрные компоненты и потребляет меньше энергии. Также молибденовые транзисторы могут намного быстрее переключаться, поэтому вычислительные операции протекают с гораздо большей скоростью. Функциональность транспондера 121 также может быть встроена в другое устройство, такое как мобильный телефон, смартфон или карманный персональный компьютер (КПК). В одном примере реализации изобретения токены 111-112 могут иметь встроенный цифровой приемопередатчик для связи с передатчиками 121-122 посредством беспроводной связи (RFID, Bluetooth, IrDA или любой другой тип беспроводной связи). В этом случае токен 111 может сам себя заблокировать или разблокировать, а также применить правила контроля устройств и приложений на компьютере 100 в зависимости от результата связи с одним из транспондеров 121-122. Правила, действующие при связи различных токенов с различными транспондерами, могут отличаться (например, при связи токена 111 с транспондером 121 может действовать одно правило контроля устройств и приложений, а при связи токена 111 с транспондером 122 - другое). Для надежности связь и аутентификация транспондера 121 с токеном 111 может производиться с использованием различных систем шифрования. Например, может использоваться система ассиметричного шифрования, в этом случае связь будет двунаправленная. Токен 111 генерирует произвольную последовательность данных и шифрует ее открытым ключом токена 111. Далее, он посылает зашифрованную последовательность данных транспондеру 121, который в свою очередь, расшифровывает информацию своим секретным ключом. Затем транспондер 121 шифрует сообщение, в которое он может внести некоторые изменения (например, добавить номер транспондера, данные пользователя, уникальный идентификатор операции), своим открытым ключом и передает его обратно токену 111. Токен 111 расшифровывает полученные данные своим секретным ключом и производит верификацию. В этом случае пары секретных ключей генерируются при привязке транспондера к токену 111 и могут периодически меняться. В одном примере реализации токен 111 может дополнительно измерять расстояние до транспондера. Расстояние может быть измерено, например, по задержке полученных сообщений. В другом частном примере реализации токен 111 может также измерить относительное местоположение транспондера в пространстве. В этом случае токен 111 или транспондер 121 могут иметь две и более антенны для связи.

В примере реализации, изображенном на Фиг.2А, к компьютеру 100 может быть подключен модуль блокировки 200 (например, шина, сетевой концентратор, USB-концентратор), осуществляющий связь с транспондерами 121-122. Модуль блокировки 200 может как получать команды от ПК, так и самостоятельно отсылать команды на ПК. В одном примере реализации к модулю блокировки 200 могут подключаться один или несколько токенов 111-112, а также прочие устройства 113-114, имеющие соответствующий интерфейс для подключения (такими устройствами могут быть, например, флеш-карта, внешний модем, устройства ввода-вывода, такие как мышь или клавиатура). В этом примере реализации блокировку и разблокировку одного или нескольких токенов, а также применение правил контроля устройств и приложений на компьютере 100 осуществляет модуль блокировки 200. Модуль блокировки 200 может также обесточить одно или несколько подключаемых к нему устройств, таких как токены 111-112 и прочие подключаемые устройства 113-114, а также полностью заблокировать ПК. В другом примере реализации транспондер 121 может включать в себя функциональность токена 111, исключая таким образом необходимость для пользователя носить с собой два устройства - токен 111 и транспондер 121.

В другом примере реализации, изображенном на Фиг.2Б, к компьютеру 100 может быть подключен или встроен модуль-передатчик 210 (например, Bluetooth или любой другой беспроводной передатчик), который служит для двусторонней связи с транспондерами 121-122 (например, передатчиком или портативным устройством со встроенным Bluetooth-модулем или другим беспроводным модулем). К компьютеру 100 подключается один или несколько токенов 111-112, а также прочие устройства 113-114. В этом примере реализации блокировку и разблокировку токенов 111-112, а также применение правил контроля устройств и приложений на компьютере 100 осуществляет приложение, установленное на компьютере 100. Такой вариант реализации изобретения не требует специального аппаратного оснащения и является более простым и дешевым в реализации. Еще одним преимуществом этого варианта реализации является возможность осуществления централизованной конфигурации и настройки системы. В одном примере реализации транспондер 121 может включать в себя функциональность токена 111.

На Фиг.3 изображен один из вариантов реализации транспондера 121. Транспондер 121 состоит из центрального процессора 320 и модуля памяти 330, а также может включать некоторые другие устройства. Центральным процессором 320 может быть сопроцессор, микроконтроллер или любое другое устройство, имеющее вычислительные возможности. Процессор 320 служит для поддержания работоспособности системы и взаимодействия всех компонент транспондера. Модуль памяти 330, связанный с центральным процессором 320, может быть энергонезависимой памятью, способной хранить криптографические ключи, такие как электронная подпись, цифровой сертификат для аутентификации пользователя на одном из токенов 111-112 и прочую информацию. Модуль памяти 330 может хранить всю или часть информации в зашифрованном виде для обеспечения большей надежности. Приложение аутентификации пользователя может исполняться на процессоре 320. Транспондер 121 также включает источник питания 340 (например, аккумулятор, солевую или щелочную батарею), снабжающий электричеством процессор 320 и память 330, а также устройство ввода 350, которое может служить для ввода пароля или подачи экстренного сигнала (таким устройством может быть, например, клавиатура, одна или несколько кнопок). Транспондер также включает беспроводной интерфейс 310 для связи с токенами 111-112, модулем блокировки 200 или с модулем-передатчиком 210. Беспроводная связь между транспондерами 121-122 и перечисленными устройствами может осуществляться посредством беспроводных протоколов, таких как RFID, Bluetooth, ZigBee, Wi-Fi или с помощью любого другого протокола беспроводной связи. В одном из вариантов реализации изобретения компоненты 310-330 могут быть совмещены в одном контроллере с интегрированным модулем беспроводной связи.

На Фиг.4 показан алгоритм аутентификации пользователя токена в одном из вариантов реализации изобретения. После подключения токена 111 к ПК 100 на шаге 400, на следующем этапе 405 происходит аутентификация пользователя этого токена 111 на компьютере 100. У пользователя может дополнительно запрашиваться пароль на этапе 405, в случае необходимости его ввода на ПК 100. Если пользователь неавторизованный, токен 111 не активируется, и на этапе 415 средство контроля устройств и приложений применяет новые правила в соответствии с условиями применения правил. На шаге 410 устанавливается связь со всеми доступными транспондерами, находящимися в зоне приема токена 111, блокирующего устройства 200 или внешнего/внутреннего приемопередатчика 210. В случае присутствия необходимого набора транспондеров 121-122, имеющих права доступа к токену 111, в зоне приема указанного токена, после их идентификации, на этапе 420 средством контроля устройств и приложений будут применены соответствующие правила блокировки/активации токена 111, компьютера 100 или модуля блокировки 200, а также правила контроля устройств и приложений. Эти правила зависят от: наличия конкретных транспондеров 121-122 или их комбинаций в зоне приема ПК 100, модуля блокировки 200, одного или нескольких токенов 111-112; времени отсутствия или присутствия одного или комбинации транспондеров 121-122 в зоне приема вышеупомянутых устройств; текущего времени и даты; сообщений, поступающих с одного или нескольких транспондеров 121-122. В случае отсутствия необходимого набора транспондеров 121-122 в зоне приема токена 111, токен 111 не будет активирован, после чего будут применены соответствующие правила контроля устройств и приложений на этапе 415. Правила, условия срабатывания и приоритеты правил устанавливаются администратором компьютера 100. Стоит отметить, что блок-схема, приведенная на Фиг.4, изображает один из вариантов реализации изобретения. В другом примере реализации транспондер 121 может включать в себя функциональность токена 111. В этом случае этап 400 будет отсутствовать, т.к. функционал токена встроен в транспондер. Аутентификация пользователя транспондера 121 будет производиться на шаге 405. при его наличии в зоне приема ПК 100. После авторизации пользователя на ПК 100 средством контроля устройств и приложений будут применены соответствующие правила блокировки/активации компьютера 100 или модуля блокировки 200, а также правила контроля устройств и приложений.

На Фиг.5 показан алгоритм работы средства контроля устройств и приложений. На этапе 500 производится аутентификация всех подключеных к компьютеру 100 токенов 111-112 с помощью алгоритма, изображенного на Фиг.4. На этапе 505 производится применение правил контроля устройств и приложений в соответствии с уже подключенными к компьютеру токенами 111-112, связанными с токенами 111-112 транспондерами 121-122, временем и прочими условиями. Далее, на этапах 510, 515, 520, 525 проводится мониторинг событий. На этапе 510 проверяется изменение количества транспондеров 121-122 в зоне приема токена 111. В случае изменения их количества на этапе 505 применяются новые правила контроля устройств и приложений. В случае если на этапе 510 не была установлена связь с транспондерами из-за неисправности или отсутствия приемника токена 111, ПК 100 или модуля блокировки 210, следующим этапом назначается шаг 505, где в качестве условия применения правил может выступать условие неисправности передатчика. В одном примере реализации данное условие может быть равносильным условию отсутствия связи всех токенов 111-112 со всеми транспондерами 121-122 и применяться аналогичные правила. В другом примере реализации правила контроля устройств и приложений могут дополнительно включать в себя создание и отправку сообщения администратору сети или службе охраны, т.к. зачастую сбои устройства-передатчика могут быть связаны со злонамеренными действиями. Если на этапе 510 изменений не произошло, то на шаге 515 проверяется, поступил ли какой-либо сигнал с устройства ввода одного или нескольких транспондеров 121-122. Если такой сигнал поступил, на этапе 505 применяются соответствующие правила. Если же никаких сигналов не поступало, на шаге 520 проверяется, были ли какие-либо из присутствующих в зоне приема транспондеров 121-122 активны дольше заданного времени. Если ни один из присутствующих в зоне приема транспондеров 121-122 не был активен дольше заданного времени, работа продолжается на этапе 525. Если же один или более транспондеров 121-122 были активны дольше некоторого заданного времени, применяется соответствующее правило на этапе 505. Стоит отметить, что если связи с транспондером 121 не было, например, более 10-60 секунд, можно считать, что транспондер 121 не активен, т.к. пользователь транспондера 121 действительно отошел от рабочего места. Если же, например, это время меньше 10-30 секунд, можно предположить, что пользователь транспондера 121 не отходил, и транспондер 121 продолжал быть активным, но могли быть сбои связи или пользователь отошел на короткое время. Время неактивности транспондера 121 для применения правил контроля устройств и приложений может быть задано администратором сети и может отличаться для разных транспондеров или изменяться в зависимости от времени или даты, а также прочих условий. На этапе 525 проверяется, изменилось ли текущее значение даты и времени таким образом, чтобы можно было применить новые правила контроля устройств и приложений. В случае если по текущему значению даты и времени следует применить новое правило, оно применяется на шаге 505. Иначе продолжается мониторинг событий на шаге 510. В качестве возможного примера таким правилом может быть блокировка доступа пользователя к ПК 100 и генерация сообщения охране, если транспондер главного бухгалтера банка находится в зоне приема токена более 8 часов подряд, т.к. эта ситуация является нетипичной и может быть следствием мошеннических действий главного бухгалтера. В вышеупомянутом примере случаи отсутствия связи с транспондером менее некоторого заданного времени могут не считаться отсутствием транспондера в зоне приема. Т.е. непродолжительное отсутствие связи (например, менее 10-30 секунд) может быть вызвано перебоями связи или непродолжительным отходом пользователя со своим транспондером от рабочего места.

В одном примере реализации между шагами 525 и 500 может быть добавлен дополнительный шаг для определения расстояния до транспондеров 121-122. Также может быть добавлен шаг, в котором производят определение относительного местоположения транспондеров 121-122. В этом случае правила контроля устройств и приложений, применяемые на шаге 505, дополнительно могут включать условия применения правил, такие как расстояние от токена 111 до транспондера 121 или группы транспондеров 121-122 (в случае если соответствующие транспондеры 121-122 находятся в зоне приема токена 111), местоположение в пространстве транспондера 121 или группы транспондеров 121-122 относительно токена 111, а также всевозможные комбинации упомянутых выше условий применения правил контроля устройств и приложений (например, текущий день недели и текущее расстояние до транспондера). Стоит отметить, что в случае подключения нового токена к ПК или в случае отключения одного из токенов, мониторинг событий, производимый на этапах 510, 515, 520, 525, может осуществляться параллельно с процедурой аутентификации токена, производимой на этапах 400-420, т.к. в некоторых случаях аутентификация может происходить длительное время (например, когда пользователь долго вводит пароль), а в это время могут произойти некоторые события, например, подключение или отключение нового транспондера и т.д. Также параллельно может осуществляться подключение и аутентификация нескольких токенов к компьютеру 100 или модулю блокировки 200.

Ниже, в Таблице 1, приведен пример возможной таблицы правил контроля устройств и приложений.

Таблица 1.
Пример правил контроля устройств и приложений
Приоритет	Условие применения правил	Правила
0	всегда	Разрешить запуск приложения [компонент операционной системы]
1	всегда	Разрешить запуск приложения [Microsoft Office]
2	всегда	Разрешить запуск приложения [1C]
3	обеденное время	Разрешить запуск приложения [Пасьянс Косынка, Сапер]
4	рабочее время + в зоне приема транспондер бухгалтера Сидоровой	Разрешить запуск приложения [Клиент Сбербанк]
5	рабочее время + в зоне приема транспондер бухгалтера Сидоровой или Ивановой	Разрешить запуск приложения [Клиент Банк Москвы]
6	в зоне приема транспондер главного бухгалтера	Разрешить запуск приложения [Клиент Сбербанк, Клиент Банк Москвы]
7	всегда	Запретить всем все

Таблица может включать следующие столбцы: приоритет правила; условие применения правила; список правил, которые будут запрещены или разрешены. На этапе 505 просматривается таблица правил контроля устройств и приложений. Поиск правила идет в порядке приоритета (в нашем примере 0 - наивысший приоритет). Сначала проверяются условия применения правил (если они есть). Если условие применения правил есть и оно не выполняется - правило пропускается и рассматривается следующее по порядку приоритета правило. Если условия применения правил нет (в примере, приведенном на Таблице 1, это соответствует условию «всегда»), или же оно есть и выполняется - правило применяется и проверяется, выполняется оно или нет. Если выполняется - это значит, что в правиле задано действие (например, разрешить запуск приложения, запретить запуск приложения, отправить запрос администратору сети) которое следует применить. Если правило не выполняется (т.е. никаких действий в правиле не задано) - то никакие действия не применяются. Далее просматривается следующее по порядку приоритета правило. Поиск заканчивается, в случае если рассматриваемое правило является последним в таблице (обычно последнее правило не содержит условия применения правил и каких либо проверок (т.е. имеет вид: "разрешить/запретить любые действия всем пользователям всегда"). При этом последнее правило применяется только в том случае, когда не было применено ни одно другое правило. В одном примере реализации, возможно применение стационарных правил, т.е. таких правил, которые проверяются всегда (в Таблице 1 - правила с приоритетом 0-2). В рассматриваемом примере в Таблице 1 при запуске ПК, будут сразу применены правила 0-2, что позволит произвести запуск компонент операционной системы и двух приложений - Microsoft Office и 1C. При наступлении обеденного времени (это событие будет определено на шаге 525 на Фиг.5), на шаге 505 будет произведен поиск по Таблице 1, где будет найдено и применено правило с приоритетом 3.

В Таблице 1 правила с приоритетом 0-2 используются для того, чтобы компьютер загрузился и чтобы за ним можно было выполнять минимально необходимый набор действий. Правило с приоритетом 3 - возможный пример применения правил контроля устройств и приложений с условием срабатывания по времени. Правила 4-5 - пример применения правил с условием срабатывания, зависящим от времени и от наличия транспондера в зоне приема токена. При этом правило 6 работает в совокупности с правилами 4-5 (будет применено либо одно из правил 4-5, если работает бухгалтер, либо будет применено правило 6, если в зоне приема токена находится транспондер главного бухгалтера). Правило 7 блокирует доступ ко всем приложениям и устройствам всем авторизованным пользователям в любое время и будет применено в случае, если не были применены правила 0-6.

В Таблице 2 приведен другой пример заполнения таблицы правил контроля устройств и приложений. По сравнению с Таблицей 1, в Таблице 2 добавлено новое правило с приоритетом 4, и убрано предпоследнее правило, имевшее приоритет 6.

Таблица 2.
Пример правил контроля устройств и приложений
Приоритет	Условие применения правил	Правила
0	всегда	Разрешить запуск приложения [компонент операционной системы]
1	всегда	Разрешить запуск приложения [Microsoft Office]
2	всегда	Разрешить запуск приложения [1C]
3	обеденное время	Разрешить запуск приложения [Пасьянс Косынка, Сапер]
4	в зоне приема нет транспондера главного бухгалтера	Запретить все всем
5	рабочее время + в зоне приема транспондер бухгалтера Сидоровой	Разрешить запуск приложения [Клиент Сбербанк]
6	рабочее время + в зоне приема транспондер бухгалтера Сидоровой или Ивановой	Разрешить запуск приложения [Клиент Банк Москвы]
7	всегда	Запретить всем все

Правило 4 демонстрирует логику запрета доступа при отсутствии транспондера главного бухгалтера в зоне приема токена. В таком случае оба бухгалтера без присутствия главного бухгалтера не смогут работать в системе «Клиент-Банк».

Стоит отметить, что таблица правил контроля устройств и приложений может включать дополнительные столбцы, не указанные в приведенных выше примерах. Также действия, содержащиеся в правиле, могут дополнительно запрещать или разрешать доступ пользователю или группе пользователей к устройствам компьютера. В одном примере реализации такими устройствами могут являться носители информации (например, жесткие диски, съемные носители информации, ленточные накопители, CD/DVD-диски), инструменты передачи информации (например, модемы), устройства перевода информации из электронного вида на физический носитель (например, принтеры) или интерфейсы, с помощью которых устройства подключаются к компьютеру (например, USB, Bluetooth, IrDA). Также действия в правилах контроля устройств и приложений могут регламентировать доступ программ к персональным данным пользователя и ресурсам операционной системы. К таким данным могут относиться, например, файлы пользователя (например, папка «Мои документы» в ОС Windows, файлы cookie, данные об активности пользователя), а также файлы, папки и ключи реестра, содержащие параметры работы и важные данные наиболее часто используемых программ. Также действия в правилах контроля устройств и приложений могут регулировать запуск пользователями операционной системы и различных приложений, установленных на ПК.

Фиг.6 представляет пример компьютерной системы общего назначения, персональный компьютер или сервер 20, содержащий центральный процессор 21, системную память 22 и системную шину 23, которая содержит разные системные компоненты, в том числе память, связанную с центральным процессором 21. Системная шина 23 реализована, как любая известная из уровня техники шинная структура, содержащая в свою очередь память шины или контроллер памяти шины, периферийную шину и локальную шину, которая способна взаимодействовать с любой другой шинной архитектурой. Системная память содержит постоянное запоминающее устройство (ПЗУ) 24, память с произвольным доступом (ОЗУ) 25. Основная система ввода/вывода (BIOS) 26, содержит основные процедуры, которые обеспечивают передачу информации между элементами персонального компьютера 20, например, в момент загрузки операционной системы с использованием ПЗУ 24.

Персональный компьютер 20 в свою очередь содержит жесткий диск 27 для чтения и записи данных, привод магнитных дисков 28 для чтения и записи на сменные магнитные диски 29 и оптический привод 30 для чтения и записи на сменные оптические диски 31, такие как CD-ROM, DVD-ROM и иные оптические носители информации. Жесткий диск 27, привод магнитных дисков 28, оптический привод 30 соединены с системной шиной 23 через интерфейс жесткого диска 32, интерфейс магнитных дисков 33 и интерфейс оптического привода 34 соответственно. Приводы и соответствующие компьютерные носители информации представляют собой энергонезависимые средства хранения компьютерных инструкций, структур данных, программных модулей и прочих данных персонального компьютера 20.

Настоящее описание раскрывает реализацию системы, которая использует жесткий диск 27, сменный магнитный диск 29 и сменный оптический диск 31, но следует понимать, что возможно применение иных типов компьютерных носителей информации 56, которые способны хранить данные в доступной для чтения компьютером форме (твердотельные накопители, флеш карты памяти, цифровые диски, память с произвольным доступом (ОЗУ) и т.п.), которые подключены к системной шине 23 через контроллер 55.

Компьютер 20 имеет файловую систему 36, где хранится записанная операционная система 35, а также дополнительные программные приложения 37, другие программные модули 38 и данные программ 39. Пользователь имеет возможность вводить команды и информацию в персональный компьютер 20 посредством устройств ввода (клавиатуры 40, манипулятора «мышь» 42). Могут использоваться другие устройства ввода (не отображены): микрофон, джойстик, игровая консоль, сканнер и т.п. Подобные устройства ввода по своему обычаю подключают к компьютерной системе 20 через последовательный порт 46, который в свою очередь подсоединен к системной шине, но могут быть подключены иным способом, например, при помощи параллельного порта, игрового порта или универсальной последовательной шины (USB). Монитор 47 или иной тип устройства отображения также подсоединен к системной шине 23 через интерфейс, такой как видеоадаптер 48. В дополнение к монитору 47, персональный компьютер может быть оснащен другими периферийными устройствами вывода (не отображены), например, колонками, принтером и т.п.

Персональный компьютер 20 способен работать в сетевом окружении, при этом используется сетевое соединение с другим или несколькими удаленными компьютерами 49. Удаленный компьютер (или компьютеры) 49 являются такими же персональными компьютерами или серверами, которые имеют большинство или все упомянутые элементы, отмеченные ранее при описании существа персонального компьютера 20, представленного на Фиг.6. В вычислительной сети могут присутствовать также и другие устройства, например, маршрутизаторы, сетевые станции, пиринговые устройства или иные сетевые узлы.

Сетевые соединения могут образовывать локальную вычислительную сеть (LAN) 50 и глобальную вычислительную сеть (WAN). Такие сети применяются в корпоративных компьютерных сетях, внутренних сетях компаний и, как правило, имеют доступ к сети Интернет. В LAN- или WAN-сетях персональный компьютер 20 подключен к локальной сети 50 через сетевой адаптер или сетевой интерфейс 51. При использовании сетей персональный компьютер 20 может использовать модем 54 или иные средства обеспечения связи с глобальной вычислительной сетью, такой как Интернет. Модем 54, который является внутренним или внешним устройством, подключен к системной шине 23 посредством последовательного порта 46. Следует уточнить, что сетевые соединения являются лишь примерными и не обязаны отображать точную конфигурацию сети, т.е. в действительности существуют иные способы установления соединения техническими средствами связи одного компьютера с другим.

В заключение следует отметить, что приведенные в описании сведения являются примерами, которые не ограничивают объем настоящего изобретения, определенного формулой. Специалисту в данной области становится понятным, что могут существовать и другие варианты реализации настоящего изобретения, согласующиеся с сущностью и объемом настоящего изобретения.

1. Система применения правил контроля устройств и приложений при использовании многофакторной аутентификации, содержащая:
а) компьютер, предназначенный для предоставления доступа к различному набору установленных приложений и подключаемых устройств пользователю, который прошел процедуру аутентификации;
б) один или более токенов, подключаемых к компьютеру и предназначенных для аутентификации, по крайней мере, одного пользователя;
в) по крайней мере, один транспондер, связанный посредством беспроводной связи с одним или более токенами и предназначенный для идентификации пользователя;
г) средство контроля устройств и приложений, предназначенное для:
- отслеживания подключения/отключения по беспроводной связи одного или более транспондеров к одному или более токенам после успешной аутентификации пользователя;
- применения правил контроля устройств и приложений для пользователя одного или более токенов, который прошел процедуру аутентификации на компьютере, на основании информации о нахождении одного или более транспондеров в зоне приема упомянутого одного или более токенов.

2. Система по п.1, в которой средство контроля устройств и приложений является приложением на компьютере, а связь персонального компьютера с одним или более транспондерами осуществляется подключаемым к персональному компьютеру беспроводным приемопередатчиком.

3. Система по п.1, в которой средство контроля устройств и приложений является подключаемым к компьютеру модулем блокировки, осуществляющим связь с одним или более транспондерами.

4. Система по п.1, в которой средство контроля устройств и приложений встроено в токен, а связь упомянутого токена с одним или более транспондерами осуществляется встроенным в упомянутый токен беспроводным приемопередатчиком.

5. Система по п.4, в которой беспроводной приемопередатчик, встроенный в токен, имеет, по крайней мере, две антенны для определения относительного местоположения одного или более транспондеров.

6. Система по п.1, в которой транспондер имеет, по крайней мере, две антенны для определения токеном относительного местоположения транспондера.

7. Система по п.1, в которой транспондер выполняет все функции токена.

8. Система по п.1, в которой средство контроля устройств и приложений дополнительно отслеживает изменение даты и времени.

9. Система по п.8, в которой средство контроля устройств и приложений дополнительно отслеживает поступление сигналов с одного или более транспондеров.

10. Способ применения правил контроля устройств и приложений при использовании многофакторной аутентификации, в котором:
а) производят аутентификацию одного или более пользователей на компьютере при подключении к компьютеру одного или более токенов;
б) отслеживают подключение/отключение по беспроводной связи одного или более транспондеров к одному или более токенам после успешной аутентификации пользователя;
в) применяют правила контроля устройств и приложений для пользователя, который прошел процедуру аутентификации на компьютере, на основании информации о нахождении одного или более транспондеров в зоне приема упомянутого одного или более токенов.

11. Способ по п.10, в котором при аутентификации одного или более токенов дополнительно запрашивается пароль.

12. Способ по п.10, в котором условия применения правил дополнительно включают отсутствие одного или более транспондеров в зоне приема одного или более токенов.

13. Способ по п.10, в котором условия применения правил дополнительно включают текущую дату и время.

14. Способ по п.10, в котором условия применения правил дополнительно включают сигналы, поступающие с одного или более транспондеров.

15. Способ по п.10, в котором условия применения правил дополнительно включают расстояние до одного или более транспондеров.

16. Способ по п.10, в котором условия применения правил дополнительно включают относительное местоположение одного или более транспондеров.

17. Способ по п.10, в котором условия применения правил дополнительно включает нахождение/отсутствие одного или более транспондеров в зоне приема токена в течение заданного администратором компьютера времени.

18. Способ по п.10, в котором правила контроля устройств и приложений включают отправку информацию о выполнении условия применения правил контроля устройств и приложений администратору сети.

Изобретение относится к системам и способам для передачи доверия при обновлении разрешенного программного обеспечения. Технический результат, заключающийся в обновлении программного обеспечения, запуск которого разрешен для какого-либо пользователя какого-либо ПК в сети, достигается за счет определения того факта, что, по меньшей мере, один новый объект, который появился на ПК во время процесса обновления разрешенного программного обеспечения, обладает доверием.

Способ анализа и выявления вредоносных промежуточных узлов в сети // 2495486

Настоящее изобретение относится к антивирусной области, а именно к способам выявления промежуточных узлов в вычислительной сети, через которые осуществляется доступ к доверенным узлам.

Способ защиты информации // 2494553

Изобретение относится к защите информации, а именно к способам шифрования с открытым (публичным) ключом. Техническим результатом является повышение безопасности.

Устройство шифрования данных по стандартам гост 28147-89 и aes // 2494471

Изобретение относится к шифровальным устройствам на основе стандарта шифрования данных, более конкретно к шифрованию данных по стандарту ГОСТ 28147-89 и AES. Техническим результатом предлагаемого изобретения является сокращение объема памяти, необходимой для шифрования данных по стандартам ГОСТ 28147-89 и AES, т.е.

Способ, устройство и компьютерный программный продукт для управления версиями программного обеспечения // 2494456

Изобретение относится к вычислительной технике. Технический результат заключается в предотвращении выполнения устройствами несанкционированных версий программного обеспечения.

Электронная сертификация, индентификация и передача информации с использованием кодированных графических изображений // 2494455

Изобретение относится к вычислительной технике. Технический результат заключается в повышении безопасности пользователя в сети за счет уменьшения количества регистрации пользователя.

Способ и устройство диагностики первого приема идентификатора, способ детектирования, носитель записи и компьютерная программа для этого способа // 2494454

Изобретение относится к способу и устройству автоматической диагностики первого приема идентификатора. Техническим результатом является повышение точности диагностики за счет определение предела как функции количества уже принятых идентификаторов, большего, чем максимум М идентификаторов.

Способ распределенного выполнения задач компьютерной безопасности // 2494453

Изобретение относится к способам распределенного выполнения задач компьютерной безопасности. Технический результат - уменьшение времени выполнения задач компьютерной безопасности.

Использование защищенного устройства для обеспечения безопасной передачи данных в небезопасных сетях // 2494448

Изобретение относится к системам и способам безопасной передачи данных в небезопасных сетях. Технический результат заключается в повышении уровня защиты данных при передаче в небезопасных сетях.

Система мобильной связи, мобильная станция и базовая радиостанция // 2493675

Группа изобретений относится к мобильной связи, а именно к способам защиты информации в мобильной связи. Техническим результатом является повышение быстродействия при выполнении операции защиты информации.

Способ и устройство для осуществления связи со сквозным шифрованием // 2495532

Изобретение относится к телекоммуникациям, а именно к способам осуществления связи со сквозным шифрованием. Техническим результатом является повышение безопасности передачи данных. Технический результат достигается тем, что способ осуществления связи со сквозным шифрованием, включает: хранение в пользовательском терминале комплекта ключей, пригодных для сквозного шифрования коммуникаций, при этом один или более ключей ассоциированы с индикатором действительности, определяющим криптографическую группу из двух или более пользовательских терминалов, в которой должен применяться соответствующий ключ, и период, в течение которого указанный ключ применим в указанной криптографической группе; подсоединение, на пользовательском терминале, к коммуникации криптографической группы и выбор подлежащего использованию ключа из хранящегося комплекта ключей на основе указанной криптографической группы и текущего времени в соответствии с ассоциированными индикаторами действительности. 4 н. и 16 з.п. ф-лы, 8 ил.

Система, способ и клиент для присоединения к группе // 2495535

Заявленное изобретение относится к области обмена мгновенными сообщениями, в частности к системе, способу и клиенту для присоединения к группе. Технический результат заключается в предоставлении возможности любому пользователю, т.е. когда он даже и не является администратором группы, добавлять в группу другого пользователя, что, в свою очередь, приводит к облегчению выполнения пользовательских действий по присоединению к группе. Для этого предусмотрено получение групповым сервером рекомендательного запроса на добавление к группе и добавление к указанной группе пользователя, рекомендованного на добавление в группу согласно рекомендательному запросу. 4 н. и 3 з.п. ф-лы, 8 ил.

Способы и устройства передачи зашифрованного мультимедийного контента в пакетном режиме, носитель записи для осуществления таких способов // 2496140

Настоящее изобретение относится к способу передачи зашифрованного мультимедийного контента в пакетном режиме, согласно которому замена (ПО; 140) текущего ключа TEKj шифрования другим текущим ключом TEKj+1 для шифрования сегмента Pj мультимедийного контента задерживается до некоторого наступления tdi+TSTKM либо переносится вперед к моменту tdi или к моменту ранее момента tdi, в ответ на обмен (82) синхросигналом между генератором пакетов и синхронизатором, способным заменить текущий ключ в конце каждого криптопериода, причем указанная продолжительность TSTKM не меньше промежутка времени, необходимого приемнику для дешифровки криптограммы текущего ключа, содержащейся в пакете Sj, и строго меньше выбранной продолжительности Т.5 н. и 4 з.п. ф-лы, 7 ил.

Система и способ для обнаружения вредоносных программ // 2497189

Изобретение относится к вычислительной технике, в частности к способам защиты информации от вредоносных программ. Техническим результатом является обеспечение безопасности вычислительных устройств за счет автоматизированного анализа исполняемого кода. Способ автоматической идентификации вредоносных программ включает в себя прием, посредством базы знаний экспертной системы, последовательности на языке ассемблера из двоичного файла. Далее согласно способу осуществляют идентификацию последовательности инструкций из принимаемой последовательности. А также осуществляют классификацию, посредством базы знаний экспертной системы, последовательности инструкций как угрожающей, неугрожающей или не поддающейся классификации посредством применения одного или более правил базы знаний экспертной системы к последовательности инструкций. При этом последовательность инструкций классифицируют как угрожающую, если она включает в себя: процедуры шифрования, процедуры расшифровки, инструкции для репликации части последовательности инструкций. Если последовательность инструкций классифицирована как угрожающая, информация может быть передана в компонент анализа кода, и пользователь может быть уведомлен о том, что двоичный файл включает в себя вредоносные программы. 5 н. и 16 з.п. ф-лы, 6 ил.

Способ и система для сокрытия существования шифрования данных в канале связи // 2497289

Предлагаются система, способ и сетевой интерфейс для сокрытия существования шифрованного трафика данных в сети связи. Набор знаков генерируют за счет использования набора ключей шифрования для ввода псевдослучайной функции. Каждый знак соответствует значению указателя. Шифрованные детали разделяют на множество частей. Каждую часть секционируют на множество групп и кодируют за счет отображения каждой группы знаком в наборе знаков в соответствии с его значением указателя. Отображенные знаки передают через сеть связи. 3 н. и 17 з.п.ф-лы, 4 ил.

Предотвращение нарушения авторского права в системах управления правами на цифровые материалы // 2498405

Изобретение относится к управлению правами на цифровые материалы (DRM). Техническим результатом является обеспечение защиты авторских прав контента при переносе цифрового контента из одной системы DRM в другую. В способе распространения контента в мультимедийном устройстве, коммуникативно связанном с сетью, получают защищенный контент, который происходит из первой системы DRM, причем защищенный контент имеет ограниченное право использования, привязанное к нему. Получают пролонгацию ограниченного права использования, когда удовлетворяется условие, причем условие удовлетворяется в момент входа мультимедийного устройства во вторую систему DRM, которая отличается от первой системы DRM, из которой происходит защищенный контент, и пролонгация ограниченного права использования получается от объекта, отличного от мультимедийного устройства. Передают в момент входа во вторую систему DRM случайные данные защищенного контента объекту, от которого получается пролонгация. Принимают пролонгацию от объекта выявления аномалии, соединенного с первой системой DRM и второй системой DRM, в ответ на передачу случайных данных, причем объект выявления аномалии назначает пролонгацию защищенному контенту. Привязывают пролонгацию к защищенному контенту. 2 н. и 12 з.п. ф-лы, 4 ил.

Устройство и способ обеспечения целостности данных транспортного средства в реальном масштабе времени и система чёрного ящика транспортного средства с их использованием // 2500027

Изобретение относится к вычислительной технике. Технический результат заключается в обеспечении целостности данных транспортного средства. Устройство обеспечения целостности данных транспортного средства в реальном масштабе времени содержит модуль объединения данных в блоки, предназначенный для разделения входящих потоков данных об измерительной информации о транспортном средстве в блоки данных заданного размера; модуль генерирования исходных данных аутентификации (ИДА), предназначенный для генерирования ИДА путем подписи исходных блоков данных во входящих потоках данных с помощью ключа подписи; первый модуль хэширования, предназначенный для генерирования первого хэш-значения каждого разделенного блока данных по порядку, первый модуль хэширования генерирует первое хэш-значение текущего блока данных путем конкатенирования и хэширования значения текущего блока данных и первого хэш-значения предыдущего блока данных; и второй модуль хэширования, предназначенный для генерирования второго хэш-значения путем хэширования первого хэш-значения текущего блока данных и выдачи второго хэш-значения как данных проверки целостности текущего блока данных, в котором первый модуль хэширования использует значение ИДА как первое хэш-значение исходного блока данных. 3 н. и 12 з.п. ф-лы, 6 ил.

Многофакторная защита контента // 2501081

Изобретение относится, в общем, к компьютерной технике и, более конкретно, к защите контента в вычислительных окружениях. Техническим результатом является повышение надежности защиты контента. Получатель принимает контент от издателя. Некоторый контент регулируется сервером доступа. Сервер доступа управляет пользованием управляемого контента со стороны получателя посредством взаимодействия с доверенным агентом на получателе. Контент шифруется по ключу контента, и контент связан с информацией политики. Информация политики включает в себя ключ контента для дешифрования контента. Информация политики шифруется по ключу сервера доступа, что позволяет серверу доступа дешифровать информацию политики. Ключ контента принимается от сервера доступа. Ключ контента шифруется по ключу доверенного агента. Ключ контента дополнительно шифруется по дополнительному фактору(ам), задающему дополнительную защиту контента помимо обеспеченной доверенным агентом. Ключ контента дешифруется с использованием ключа доверенного агента и, по меньшей мере, одного дополнительного фактора. Контент дешифруется с использованием ключа контента. 3 н. и 17 з.п. ф-лы, 4 ил.

Управление доступом к документам с использованием блокировок файла // 2501082

Изобретение относится к средствам совместной разработки файловых документов множеством пользователей. Техническим результатом является обеспечение обратной совместимости при разграничении доступа к файловому документу множеством приложений. Система содержит один или более файлов (304) документов, хранимых на сервере (104) документов, модуль (302) обработки доступа к документу, содержащий модуль (402) обработки совместного использования файлов, определяющий статус совместной разработки программного приложения (202, 204) клиентского компьютера, модуль (404) обработки блокировки файла, в которой модуль обработки доступа к документу использует статус совместной разработки программного приложения (202, 204) и статус блокировки файла (304) документа, чтобы определить, разрешен ли программному приложению (202, 204) доступ на запись к файлу (304) документа. 3 н. и 8 з.п. ф-лы, 6 ил.

Представление безопасности на основе ячеек для доступа к данным // 2501083

Изобретение относится к вычислительной технике. Технический результат заключается в обеспечении селективного ограничения доступа к данным. Реализуемая компьютером система защиты данных, содержащая запоминающее устройство, хранящее выполняемые компьютером компоненты, включающие в себя: компонент определения для определения атрибутов защиты уровня ячейки для ячеек таблицы данных, имеющей строки и столбцы, причем атрибуты защиты уровня ячейки для ячейки, которая находится в строке, имеющей одну или более других ячеек, и в столбце, имеющем одну или более других ячеек, могут быть определены для блокирования доступа к данным этой ячейки, но разрешения доступа к данным других ячеек в этой строке и данным других ячеек в этом столбце; компонент хранения для хранения атрибутов защиты уровня ячейки в качестве метаданных защиты, и компонент защиты для применения метаданных защиты к результатам запроса от пользователя для возвращения фильтрованных результатов на основании упомянутого пользователя, и процессор для выполнения упомянутых выполняемых компьютером компонентов, хранимых в памяти. 3 н. и 17 з.п. ф-лы, 10 ил.