Система переформирования объекта в запросе доступа

Изобретение относится к вычислительной технике. Технический результат заключается в обеспечении возможности переформирования системой объекта доступа в запросе доступа при одновременной работе на компьютере нескольких пользователей. Система переформирования объекта в запросе доступа содержит блок формирования объекта доступа, блок формирования запроса доступа, причем в систему дополнительно введены блок хранения правил переформирования объекта в запросе доступа, блок выбора правила переформирования объекта в запросе доступа и блок замены объекта доступа и их связи. 2 ил., 2 табл.

 

Изобретение относится к области вычислительной техники, а именно к области защиты от несанкционированного доступа (НСД) к информации, создаваемой и хранимой в компьютерных системах (КС).

Одной из ключевых задач защиты информации, обрабатываемой в КС, является реализация контроля доступа (разграничительной политики доступа) к файловым объектам, которые могут быть предназначены как для хранения обрабатываемой на компьютере информации - создаваемые файлы, так и для хранения системных ресурсов - исполняемые файлы и файлы настройки ОС и приложений - системные файлы.

Корректно контроль доступа в средстве защиты информации реализован только в том случае, когда доступ к любому объекту (за исключением соответствующих системных объектов на чтение и исполнение соответствующими интерактивными пользователями) может быть разграничен между всеми субъектами, где в качестве субъектов могут выступать как пользователи, так и процессы (для процессов в общем случае могут назначаться собственные права доступа к объектам) [Щеглов А.Ю. Защита компьютерной информации от несанкционированного доступа. - СПб: Наука и техника, 2004. - 384 с.]. Необходимость корректной реализации контроля доступа связана с решением различных задач защиты информации. Например, под различными учетными записями, в том числе одним и тем же пользователем, может обрабатываться в различных режимах (с подключением либо нет сети, принтера, внешних накопителей и т.д.) информация различных уровней конфиденциальности либо выполняться различные по критичности роли в информационной системе. Поскольку санкционированный пользователь сегодня несет в себе одну из наиболее актуальных угроз несанкционированного доступа к информации (инсайдерские атаки), обработка информации между подобными учетными записями (предназначенными для обработки информации различных уровней конфиденциальности) должна быть полностью изолированной. То же относится и к процессам (приложениями). Различные процессы по ряду причин в различной мере подвержены атакам, как следствие, между некоторыми процессами (приложениями), запущенными в системе должна быть полностью изолирована обработка информации. Например, интернет-браузеры не должны иметь возможность доступа к обрабатываемой на компьютере другими приложениями конфиденциальной информации.

Анализ литературных источников и описаний работы современных ОС и приложений позволяет отметить следующее. Несмотря на очевидность выполнения подобных требований, в современных ОС и приложениях присутствуют файловые объекты, причем как папки, так и отдельные файлы (так называемые, коллективного использования), не разделяемые между пользователями и процессами. Это не позволяет построить безопасную систему защиты в общем случае, ввиду невозможности реализации корректной разграничительной политики доступа к файловым объектам, за счет невозможности разделения прав доступа субъектов к объектам в полном объеме.

В настоящее время известны различные системы контроля доступа к файловым объектам.

Так, например, в системе контроля доступа к файловым объектам, реализуемой в OC Microsoft Windows, использующей для хранения прав доступа к файлам (ACL) атрибутов файлов (в частности, Security Descriptor - этот атрибут содержит информацию о защите файла: список прав доступа ACL и поле аудита, которое определяет, какого рода операции над этим файлом нужно регистрировать) [М. Руссинович, Д. Соломон. Внутреннее устройство Microsoft Windows. - СПб.: Питер, 2005 - 992 с. (глава 8, рис.8.5. Пример проверки прав доступа)] невозможно корректно разграничить доступ к объектам, не разделяемым OC и приложениями (задание подобных разграничений приведет к некорректности работы OC или приложений). Установка разграничений доступа к файловым объектам для субъекта процесс здесь вообще невозможна.

В системе разграничения доступа к ресурсам, Патент №2207619 (G06F 13/00), реализована возможность задавать разграничения доступа как для пользователей, так и для процессов. Однако это не снимает проблему реализации разграничений доступа к объектам, не разделяемым ОС и приложениями.

Наиболее близкой по техническому решению и выбранной авторами за прототип является система разграничения прав доступа к файловым объектам, Патент №2234123 (G06F 13/00).

Система представлена на Фиг.1. Система разграничения прав доступа к файловым объектам содержит: блок авторизации пользователя 1, блок анализа объекта доступа 2, блок формирования объекта доступа 3, блок формирования запроса доступа 4, блок разграничения прав доступа к файловым объектам 5, причем вход/выход блока авторизации пользователя 1 соединен со входом/выходом авторизации пользователя 6, выход - с первым входом блока формирования объекта доступа 3, с первым входом блока разграничения прав доступа к файловым объектам 5, второй вход которого - с выходом блока формирования запроса доступа 4, первый вход которого - с первым выходом блока анализа объекта доступа 2, вход которого - со входом запроса доступа приложением к файловым объектам 7, второй выход - со вторым входом блока формирования объекта доступа 3, выход которого - со вторым входом блока формирования запроса доступа 4, первый выход блока разграничения прав доступа к файловым объектам 5 - с выходом разрешения запроса доступа приложением к файловым объектам 8, второй выход - с выходом запрета запроса доступа приложением к файловым объектам 9.

Работает система разграничения прав доступа к файловым объектам следующим образом. Для каждого каталога, создаваемого OC или приложениями, доступ к которому не может быть разграничен для пользователей, например, file://C:/RECYCLED, создаются соответствующие каталоги, например каталог file://C:/user 1 для первого пользователя, file://C:/user 2 для второго пользователя и т.д., к которым осуществляется переадресация запроса доступа, - каталог, доступ к которому не может быть разграничен для пользователей, становится виртуальным (физически в него не может быть записан, соответственно из него не может быть считан ни один файл). В блоке 5 прописываются разграничения доступа для данных каталогов, в частности к каталогу file://C:/RECYCLED разрешается полный доступ (чтение и запись) всем пользователям, к катологу file://C:/user 1 разрешается доступ только первому пользователю (остальным запрещается), к каталогу file://C:/user 2 разрешается доступ только второму пользователю (остальным запрещается) и т.д. Суть реализуемого подхода состоит в переадресации обращения к каталогу, доступ к которому не может быть разграничен для пользователей, в соответствующий пользовательский каталог, т.е., например, при обращении первого пользователя к каталогу file://C:/RECYCLED запрос пользователя будет переадресован к каталогу file://C:/user 1 (при этом физического обращения к каталогу file://C:/RECYCLED не произойдет). При обращении приложением (например, программой Word) к файловым объектам приложение выдает на вход 7 запрос доступа, в котором указывается, к какому файловому объекту запрашивается доступ и какую операцию необходимо выполнить над файловым объектом (чтение, запись, выполнение). При входе пользователя в систему (со входа 6) блоком 1 осуществляется его авторизация (проверяется имя и пароль). Имя текущего пользователя блоком 1 передается в блок 5, который содержит данные о разграничительной политике доступа каждого пользователя к файловым объектам (логическим дискам, каталогам, файлам) - к каким файловым объектам доступ разрешен пользователю и какие права доступа к файловому объекту ему разрешены - чтение, запись, выполнение (для исполняемых файлов - программ), и в блок 3, который формирует переадресацию запроса доступа для текущего пользователя. Блок 2 выявляет, к какому каталогу запрошен доступ, если к каталогу, к которому не производится переадресации, то блок 2 транслирует исходный запрос через блок 4 в блок 5, в противном случае передает запрос в блок 3. В блоке 3 для каждого каталога, доступ к которому переадресуется, содержится список переадресуемых каталогов, - для каждого пользователя задан переадресуемый каталог, например для каталога file://C:/RECYCLED задан следующий список каталогов file://C:/user 1 для первого пользователя, file://C:/user 2 для второго пользователя и т.д. Блоком 3 в исходный запрос вместо имени запрашиваемого каталога подстанавливается имя переадресуемого каталога для текущего пользователя (имя текущего пользователя поступает в блок 3 из блока 1), и сформированный таким образом запрос через блок 4 поступает в блок 5. Запрос приложения поступает в блок 5, который сравнивает параметры запроса с правами доступа текущего пользователя. Если запрашиваемый приложением доступ текущему пользователю разрешен, запрос выдается на выход 8, в противном случае на выход 9 блоком 5 формируется отказ приложению в запрашиваемом доступе.

Прототип, реализующий переформирование объекта в запросе доступа, обладает рядом принципиальных недостатков, существенно ограничивающих его функциональные возможности.

1. Может применяться только в однопользовательских OC. Это обусловлено тем, что если в блоке 1 со входа - выход 6 будет авторизовано (пройдут идентификацию и аутентификацию) одновременно несколько пользователей (многопользовательская система, к каким сегодня относится большинство универсальных OC), то невозможно будет сделать выбор правила переадресации запроса в блоке 3.

2. Может применяться только для разделения каталогов. На практике также требуется разделять между субъектами отдельные файлы. Задача же разделения между субъектами только отдельных файлов в каталоге вообще неразрешима, что обусловливает невозможность корректного использования известной системы в общем случае.

3. Может разделять объекты только между пользователями. На практике также требуется разделять объекты между различными процессами (приложениями), при коллективном доступе процессов (приложений) к одним и тем же файловым объектам, в части реализации защиты от атак на приложения (процессы), запускаемые под одной учетной записью. Данная задача неразрешима.

В предлагаемом изобретении решается задача расширения функциональных возможностей системы переформирования объекта в запросе доступа.

Для достижения технического результата в систему разграничения прав доступа к файловым объектам, реализующую переформирование объекта в запросе доступа, содержащую блок формирования объекта доступа, блок формирования запроса доступа, причем выход блока формирования объекта доступа соединен со вторым входом блока формирования запроса доступа, дополнительно введены блок хранения правил переформирования объекта в запросе доступа, блок выбора правила переформирования объекта в запросе доступа, блок замены объекта доступа, причем первый вход системы соединен с первым входом блока формирования запроса доступа, с первым входом блока формирования объекта доступа, с первым входом блока замены объекта доступа, с первым входом блока выбора правила переформирования объекта в запросе доступа, второй вход которого - с выходом блока хранения правил переформирования объекта в запросе доступа, первый выход - со вторым входом блока хранения правил переформирования объекта в запросе доступа, первый вход которого - со вторым входом системы, второй выход блока выбора правила переформирования объекта в запросе доступа соединен с третьим входом блока формирования запроса доступа, третий выход - со вторым входом блока формирования объекта доступа, четвертый выход - со вторым входом блока замены объекта доступа, выход которого - с четвертым входом блока формирования запроса доступа, выход которого - с выходом системы.

Новым в предлагаемом изобретении является снабжение системы блоком хранения правил переформирования объекта в запросе доступа, блоком выбора правила переформирования объекта в запросе доступа, блоком замены объекта доступа, и их связей.

В результате проведенного заявителем анализа уровня техники, включая поиск по патентным и научно-техническим источникам информации и выявления источников, содержащих сведения об аналогах заявленного технического решения, не было обнаружено источника, характеризующегося признаками, тождественными всем существенным признакам заявленного технического решения. Определение из перечня выявленных аналогов прототипа, как наиболее близкого по совокупности признаков аналога, позволило установить совокупность существенных по отношению к усматриваемому заявителем техническому результату отличительных признаков заявленной системы переформирования объекта в запросе доступа. Следовательно, заявленное техническое решение соответствует критерию «новизна».

Проведенный заявителем дополнительный поиск не выявил известные решения, содержащие признаки, совпадающие с отличительными от прототипа признаками заявленной системы переформирования объекта в запросе доступа. Заявленное техническое решение не вытекает для специалиста явным образом из известного уровня техники и не основано на изменении количественных признаков. Следовательно, заявленное техническое решение соответствует критерию «изобретательский уровень».

Совокупность существенных признаков в предлагаемом изобретении позволила обеспечить расширение функциональных возможностей системы переформирования объекта в запросе доступа.

В результате можно сделать вывод о том, что:

- предлагаемое техническое решение обладает изобретательским уровнем, т.к. оно явным образом не следует из уровня техники;

- изобретение является новым, так как из уровня техники по доступным источникам информации не выявлено аналогов с подобной совокупностью признаков;

- изобретение является промышленно применимым, так как может быть использовано во всех областях, где требуется реализация контроля доступа (разграничений прав доступа) к файловым объектам.

Предлагаемое изобретение поясняется чертежом, представленным на Фиг.2.

Заявляемая система переформирования объекта в запросе доступа содержит блок хранения правил переформирования объекта в запросе доступа 1, блок выбора правила переформирования объекта в запросе доступа 2, блок формирования объекта доступа 3, блок замены объекта доступа 4, блок формирования запроса доступа 5, причем первый вход системы 6 соединен с первым входом блока формирования запроса доступа 5, с первым входом блока формирования объекта доступа 3, с первым входом блока замены объекта доступа 4, с первым входом блока выбора правила переформирования объекта в запросе доступа 2, второй вход которого - с выходом блока хранения правил переформирования объекта в запросе доступа 1, первый выход - со вторым входом блока хранения правил переформирования объекта в запросе доступа 1, первый вход которого - со вторым входом системы 7, второй выход блока выбора правила переформирования объекта в запросе доступа 2 соединен с третьим входом блока формирования запроса доступа 5, второй вход которого - с выход блока формирования объекта доступа 3, третий выход блока выбора правила переформирования объекта в запросе доступа 2 соединен со вторым входом блока формирования объекта доступа 3, четвертый выход - со вторым входом блока замены объекта доступа 4, выход которого - с четвертым входом блока формирования запроса доступа 5, выход которого - с выходом системы 8.

Рассмотрим работу системы система переформирования объекта в запросе доступа.

На первый вход системы 6 поступает запрос доступа субъекта к объекту, содержащий имя (SID) пользователя, запрашивающего доступ, полнопутевое имя процесса (приложения) - имя исполняемого файла процесса, запрашивающего доступ, полнопутевое имя объекта, к которому запрашивается доступ и запрашиваемые действия субъекта над объектом (чтение, исполнение, запись, переименование и т.д.).

Целью системы является переформирование запроса доступа для разделения неразделяемых OC и приложениями объектов между субъектами, посредством переназначения полнопутевого имени объекта, с учетом запрашиваемого доступ субъекта. Переформированный (в случае переформирования системой) таким образом запрос доступа поступает на выход системы 8 (именно этот переформированный запрос и будет далее использоваться при контроле (реализации разграничений) доступа субъектов к объектам).

Запрос доступа со входа 6 поступает в блоки 2, 3, 4, 5. Важным отличием от прототипа является то, что субъект доступа блоком 2, в частности пользователь, определяется непосредственно из запроса доступа, а не из блока аутентификации, что позволяет использовать систему в многопользовательских OC, когда в системе одновременно зарегистрировано несколько интерактивных пользователей, каждый из которых может запрашивать доступ к объектам, т.к. каждый обрабатываемый запрос может быть однозначно связан системой с пользователем, сгенерировавшим этот запрос.

В блок 1 со входа системы 7 администратором задаются правила переформирования объекта в запросе доступа 1. Здесь в общем случае субъект доступа задается парой сущностей: имя (SID) пользователя, полнопутевое имя процесса. Для задания субъектов могут использоваться маски и регулярные выражения. В зависимости от решаемых задач объект, для которого переформируется запрос доступа, может задаваться как каталогом, так и файлом (в зависимости от этого указанное имя объекта будет формироваться вновь блоком 3 либо заменяться блоком 4).

Примеры задания правил переформирования объекта в запросе доступа представлены в табл.1.

Таблица 1
Примеры задания правил переформирования объекта в запросе доступа
Правило
доступа
Субъект доступа (имя пользователя,
имя процесса)
Исходный объект в запросе доступа Сформированный системой объект в запросе доступа
1 User1,* file://C:/Documents and Setitngs\All Users file://C:/Documents and Setitngs\User1
2 User2, file://C:/ProgramFiles\Internet file://Explorer/Iexplore.exe file://C:/ProgramFiles\Internet Explorer\Iexplore. exe file://C:/ProgramFiles\Internet Explorer\Iexplore2.exe

Первое правило, см. табл.1, предполагает перенаправление системой исходного запроса доступа к каталогу C:\Documents and Setitngs\All Users, генерируемого пользователем User1 любым процессом (маска «*») в каталог C:\Documents and Setitngs\User1 (естественно, что предварительно каталог C:\Documents and Setitngs\User1 должен быть создан администратором (иначе системе некуда будет перенаправить запрос), и в него должно быть помещено (скопировано) содержимое каталога С:\Documents and Setitngs\All Users).

Второе правило, см. табл.1, предполагает перенаправление системой исходного запроса доступа к файлу C:\Program Files\Internet Explorer\Iexplore.exe, осуществляемого пользователем User2 процессом Files\Internet Explorer\Iexplore.exe, что происходит, например, при автоматическом обновлении браузера, в файл С:\Program Files\Internet Explorer\Iexplore2.exe (естественно, что предварительно файл C:\Program Files\Internet Explorer\Iexplore2.exe должен быть создан администратором (иначе системе некуда будет перенаправить запрос), и в него должно быть записано (скопировано) содержимое файла C:\Program Files\Internet Explorer\Iexplore.exe).

Для первого правила, предполагающего перенаправление системой исходного запроса доступа к каталогу, блоком 3, исходя из запроса доступа и выбранного правила из блока 1, формируется объект доступа в запросе доступа. Формирование объекта доступа состоит в том, что в полнопутевом имени исходного объекта заменяется только та часть имени (имя каталога) к которому переадресуется доступ. Остальная часть имени в сформированном запросе, включая непосредственно имя файла с его расширением, используются из исходного запроса доступа. Например, для правила 1, см. табл.1, объект в запросе доступа может иметь вид C:\Documents and Setitngs\All file://UsersMf36paHH0e/l.doc, сформированный системой (блоком 3) объект доступа, в соответствии с правилом 1, примет вид C:\Documents and file://SetitngsMJserlMi36paHH0e/l.doc.

Для второго же правила, предполагающего перенаправление системой исходного запроса доступа к файлу, блоком 4, исходя из запроса доступа и выбранного правила из блока 1, полностью заменяется объект доступа в запросе доступа (заменяется полнопутевое имя файла на полнопутевое имя файла).

В общем случае возможна ситуация, когда один запрос подпадает одновременно под несколько правил, в этом случае блоком 2 выбирается правило, более точное подходящее под описатель объекта доступа. Например, подобная ситуация может возникнуть в случае, если для какого-либо субъекта каталог переадресуется, а отдельные находящиеся в нем папка или файл переадресовываться не должны. Для этих объектов, которые не должны переадресовыться, располагающихся в переадресовываемом каталоге, должны задаваться правила (с более точным указателем объекта), отменяющие для них передаресацию (переформирование) объекта доступа. Пример задания подобных правил представлен в табл.2.

Таблица 2
Примеры задания правил переформирования объекта в запросе доступа, под которые может попасть один и тот же запрос доступа
Правило
доступа
Субъект доступа Исходный объект в запросе доступа Сформированный системой объект в запросе доступа
1 User1,* file://C:/Documents and Setitngs\All Users file://C:/Documents and Setitngs\User1
2 User1,* file://C:/Documents and Setitngs\All Users\Избранное file://C:/Documents and Setitngs\All Users\Избранное

Например, в случае если пользователь User1 будет запрашивать доступ к папке file://C:/Pocuments and Setitngs\All Users\Общие документы, системой (в соответствии с первым правилом, см. табл.2) будет переформирован запрос доступа file://C:/Documents and Setitngs\ User1\Общие документы, если же к папке file://C:/Documents and Setitngs\All Users\Избранное, то в соответствии со вторым правилом (более точно, чем первое правило соответствует описателю объекта в в данном запросе доступа) исходный запрос доступа системой переформировываться (заменяться) не будет. При задании правил, представленных в табл.2, администратору при создании каталога file://C:/Documentsand Setitngs\User1 и при копировании в этот каталог содержимого из каталога file://C:/Documents and Setitngs\All Users (для последующей переадресации в эти созданные объекты системой запросов доступа) не требуется копировать в него папку «Избранное» из каталога file://C:/Documents and Setitngs\All Users\Избранное, поскольку переадресации запроса в эту папку системой не осуществляется.

При запросе доступа со входа 6, блок 2 запрашивает с первого выхода у блока 1 правила переформирования объекта в запросе доступа, заданные для субъекта, запрашивающего доступ (субъект доступа блоком 2 определяется из запроса доступа). Блок 2 по наиболее точному описателю объекта доступа выбирает правило, определяя, потребуется переформирование или замена объекта в запросе доступа. После чего, блок 2 выдает выбранное правило в блок 3, если требуется переформирование объекта в запросе доступа, либо в блок 4, если требуется замена объекта доступа в запросе доступа. Если же ни одного подходящего для субъекта, запросившего доступа, правила переформирования (замены) объекта в запросе доступа блоком 2 не выявлено, блок 2 сообщает об этом (со второго выхода) блоку 5, который в этом случае транслирует исходный запрос доступа на выход системы 8. Если переформирование требуется, блоком 5 исходный запрос доступа на выход системы 8 не пропускается. В зависимости от способа переформирования объекта в запросе доступа, запрос доступа, переформированный системой, выдается либо с выхода блока 3, либо с выхода блока 4 (в которых исходный запрос переформировывается), и через блок 5 поступает на выход системы 8. В результате на выходе системы 8 оказывается либо исходный запрос доступа, либо переформированный системой запрос доступа.

Оценим достижение поставленной цели - решение задачи расширения функциональных возможностей системы переформирования объекта в запросе доступа.

1. Система может применяться в многопользовательских OC. Это достигается тем, что субъект доступа определяется непосредственно из запроса доступа, что обеспечивает возможность корректного переформирования системой объекта доступа в запросе доступа при одновременной работе на компьютере нескольких пользователей.

2. Система может применяться для разделения как каталогов, так и файлов. При этом могут не только разделяться между субъектами отдельные файлы в неразделяемом каталоге, но и, наоборот, могут не разделяться отдельные папки и файлы в разделяемых между субъектами доступа каталогах.

3. Система может разделять объекты (каталоги и файлы) как между пользователями, так и между процессами, а также между субъектами доступа, определяемыми одновременно двумя сущностями: пользователь, процесс.

Изобретение является промышленно применимым в части возможности технической реализации включенных в систему блоков.

Техническая реализация всех блоков системы основана на типовых решениях по хранению и обработке данных, по обработке данных (включая их выборку), хранящихся в таблицах. Все используемые блоки технически реализуемы и их реализация достигается стандартными средствами.

Данное решение апробировано заявителем при построении опытного образца средства защиты компьютерной информации.

Таким образом, в предлагаемом изобретении решены задачи расширения функциональных возможностей системы переформирования объекта в запросе доступа.

С учетом современного уровня развития вычислительной техники, оно технически реализуемо.

Система переформирования объекта в запросе доступа, содержащая блок формирования объекта доступа, блок формирования запроса доступа, причем выход блока формирования объекта доступа соединен со вторым входом блока формирования запроса доступа, отличающаяся тем, что в нее дополнительно введены блок хранения правил переформирования объекта в запросе доступа, блок выбора правила переформирования объекта в запросе доступа, блок замены объекта доступа, причем первый вход системы соединен с первым входом блока формирования запроса доступа, с первым входом блока формирования объекта доступа, с первым входом блока замены объекта доступа, с первым входом блока выбора правила переформирования объекта в запросе доступа, второй вход которого - с выходом блока хранения правил переформирования объекта в запросе доступа, первый выход - со вторым входом блока хранения правил переформирования объекта в запросе доступа, первый вход которого - со вторым входом системы, второй выход блока выбора правила переформирования объекта в запросе доступа соединен с третьим входом блока формирования запроса доступа, третий выход - со вторым входом блока формирования объекта доступа, четвертый выход - со вторым входом блока замены объекта доступа, выход которого - с четвертым входом блока формирования запроса доступа, выход которого - с выходом системы.



 

Похожие патенты:

Изобретение относится к области защиты информации, хранимой в информационных системах персональных данных (ИСПДн), от несанкционированного доступа (НСД) и может быть использовано на стадиях разработки и оптимизации ИСПДн в защищенном исполнении.

Изобретение относится к средствам для предотвращения несанкционированного доступа к платежному приложению, установленному на мобильном платежном устройстве. Техническим результатом является предотвращение несанкционированного доступа к платежному приложению, установленному на мобильном платежном устройстве, или к данным транзакции, хранящимся в этом устройстве.

Изобретение относится к вычислительной технике. Технический результат заключается в повышении эффективности защиты компьютера от несанкционированных действий на всех этапах его работы.

Изобретение относится к вычислительной технике. Технический результат заключается в обнаружении компьютерных атак разных видов, комбинированных одновременных атак разных видов и определении видов атак.

Изобретение относится к способу и системе для аутентификации воспринимающего устройства и пользователя. Техническим результатом является повышение надежности аутентификации воспринимающего устройства и пользователя, удостоверяющей, что данные, происходящие из устройства, происходят от конкретного устройства и от конкретного пользователя.

Изобретение относится к беспроводной связи. Технический результат - обеспечение безопасности пользовательского оборудования.

Изобретение относится к комплексной системе аудита и мониторинга информационной безопасности локальной вычислительной сети предприятия. Технический результат заключается в повышении точности обнаружения несанкционированного доступа к информации предприятия за счет введения дополнительных модулей аудита.

Изобретение относится к вычислительной технике. Технический результат заключается в защите информационных и вычислительных ресурсов грид-систем от несанкционированного доступа.

Изобретение относится к области оптимизации антивирусной проверки. Техническим результатом является увеличение скорости антивирусной проверки.

Изобретение относится к средствам обнаружения подложной информации. Технический результат заключается в уменьшении количества запросов, поступающих с компьютерного устройства на удаленный сервер.

Изобретение относится к вычислительной технике. Технический результат заключается в повышении эффективности защиты компьютера от несанкционированных действий на всех этапах его работы.

Изобретение относится к области защиты хранилища данных компьютера. Техническим результатом является повышение эффективности защиты хранилища данных.

Изобретение относится к области защиты компьютера от вредоносных программ. Техническим результатом является повышение безопасности компьютера.

Изобретение относится к области запуска гипервизора в компьютерной системе на ранней стадии загрузки компьютера. Техническим результатом является повышение безопасности компьютера.

Изобретение относится к области запуска гипервизора в компьютерной системе на ранней стадии загрузки компьютера. Техническим результатом является повышение безопасности компьютера.

Изобретение относится к системе защиты от несанкционированного доступа к информации. Технический результат заключается в расширении функциональных возможностей контроля доступа к ресурсам.

Изобретение относится к вычислительной технике. Технический результат заключается в расширение функциональных возможностей контроля доступа к ресурсам, за счет использования субъекта доступа «Исходный пользователь, Эффективный пользователь, Процесс».

Изобретение относится к области защиты от несанкционированного доступа к информации. Технический результат заключается в упрощении задачи администрирования системы контроля доступа.

Изобретение относится к средствам хранения конфиденциальных данных, записанных в области энергонезависимой памяти. Технический результат заключается в повышении защищенности данных.

Способ разрушения интегральных схем памяти носителей информации, предназначенный для предотвращения утечки информации, составляющей коммерческую тайну, при попытках несанкционированного изъятия носителей с записанной на них информацией.

Изобретение относится к области аутентификации пользователей. Техническим результатом является повышение эффективности аутентификации пользователей. Способ аутентификации пользователей с защитой от подсматривания заключается в предварительном формировании набора из N графических символов, где N - натуральное число, значение которого ограничено возможным количеством графических символов, которые могут быть размещены на экране с качеством, позволяющим распознать эти графические символы, предоставлении пользователю выбора из этого набора для запоминания группы S секретных графических символов sk, где k=1…К, где К - количество графических символов в группе S, выбираемое с учетом удобства запоминания пользователем, проведении i-го этапа ввода аутентификационной информации, при этом i=1…I, где I - общее число этапов, путем выведения на экран выбранных из набора произвольным образом Ni графических символов, среди которых в произвольном месте располагается si-й секретный символ, выбранный из группы S секретных символов, формировании невидимой секретной области Аi, фиксировании точки hi воздействия пользователя на экран, формировании положительного результата проведения i-го этапа ввода аутентификационной информации при выполнении условия принадлежности зафиксированной точки воздействия невидимой секретной области hi∈Ai и отрицательного - в противном случае, формировании положительного решения об аутентификации после получения положительных результатов проведения всех I этапов ввода пользователем аутентификационной информации и отрицательного - в противном случае, при этом графические символы из набора N располагают на экране в виде таблицы, в которой символы имеют случайные координаты (Xsi,Ysi), где Xsi=1…а и Ysi=1…b (а - количество строк в таблице, b - количество столбцов в таблице), пользователю предоставляют дополнительно для запоминания жест из базы секретных жестов, каждый из которых сформирован парой чисел (d1,d2), где d1 и d2 - натуральные числа, причем d1 и d2 меньше или равно большему значению из а и b (d1,d2≤max{a,b}), при проведении i-го этапа аутентификации, невидимую секретную область Аi формируют в виде совокупности графических символов таблицы, имеющих координаты (ХSi±md1, YSi±md2), где m -натуральное число, при этом md1 и md2 меньше или равны большему значению из а и b (md1,md2≤max{a,b}), а фиксацию точек воздействия пользователя на экран осуществляют путем выбора любого символа из невидимой секретной области. 4 ил.
Наверх