Способ и устройство для подключения к сети высокого уровня безопасности

Авторы патента:

ЛАРУА Бруно (FR)

КУЭТТ Седрик (FR)

РОБИН Лионель (FR)

МОНО Тома (FR)

H04L29/06 - отличающиеся процедурой регистрации и коммутации сообщений

Владельцы патента RU 2602388:

Сажем Дефенс Секюрите (FR)

Изобретение относится к области доступа к сети высокого уровня безопасности. Технический результат заключается в обеспечении возможности подключения к сети высокого уровня безопасности оборудования технического обслуживания без нарушения системы защиты. Технический результат достигается за счет системы для выполнения технического обслуживания системы высокого уровня безопасности посредством приложения технического обслуживания в режиме клиент-сервер, при этом система для выполнения технического обслуживания содержит терминал технического обслуживания и соединительное устройство, которое, в свою очередь, включает проприетарный клиент технического обслуживания и сервер удаленных соединений, который выполнен с возможностью выгружать в указанный терминал визуальное отображение, формируемое указанным клиентом технического обслуживания, а система высокого уровня безопасности содержит сервер технического обслуживания. 6 з.п. ф-лы, 6 ил.

Настоящее изобретение относится к области доступа к сети высокого уровня безопасности, а более конкретно - к устройству, предоставляющему безопасный доступ, например, для выполнения операций эксплуатации и технического обслуживания.

Во многих областях уязвимые объекты управляются информационной системой, требующей обеспечения высокого уровня безопасности и, следовательно, управления доступом с высокой степенью безопасности. К примерам таких объектов относятся атомные электростанции, космические установки, воздушные судна как гражданские, так и военные, подводные лодки и т.д.

К информационным системам, которые управляют этими объектами, также предъявляются строгие требования обеспечения надежности и безопасности. Под безопасностью, помимо прочего, понимаются такие различные аспекты, как целостность, конфиденциальность, доступность, надежность, защита от вторжений и возможность отслеживания попыток вмешательства в работу системы. Эти системы удовлетворяют строгим техническим требованиям, направленным на обеспечение такого уровня безопасности.

В частности, систему, оборудование или даже пользователя называют надежными (доверенными), если они удовлетворяют заданным требованиям и управление ими осуществляется согласно предписанным процедурам обеспечения безопасности. С другой стороны, система или оборудование, не отвечающее требованиям этих процедур, является ненадежным.

Информационные системы высокого уровня безопасности могут, таким образом, считаться надежными и удовлетворяющими техническим требованиям обеспечения безопасности. В нормальном режиме работы эти системы обычно изолированы, и, таким образом, их уровень безопасности может быть гарантирован.

Однако эти системы должны подвергаться техническому обслуживанию. К операциям технического обслуживания относятся управление системой, изменение параметров и операции по адаптации системы. К ним также относится извлечение рабочих данных (зарегистрированных данных). Наконец, к ним относится операция обновления программных модулей, позволяющая совершенствовать систему. Эти действия достаточно опасны в том, что касается безопасности, поскольку надежные системы модифицируются и, следовательно, в такой ситуации важно гарантировать, что надежность системы не может быть нарушена при выполнении такой операции.

Такие операции технического обслуживания требуют соединения с системой, внешней по отношению к системе высокого уровня безопасности. Эта внешняя система может сама быть надежной, то есть может управляться в соответствии с точно определенными техническими требованиями, согласующимися с системой высокого уровня безопасности и гарантирующими безопасность при выполнении технического обслуживания.

На фиг.1 показана такая система. Система 1.1 включает в свой состав сеть 1.3 связи, которая соединяет несколько подсистем, обычно - компьютеров 1.4 и 1.5, отвечающих за управление объектом. Точка 1.6 доступа также соединена с сетью связи. Эта точка 1.6 доступа позволяет подключаться по требованию терминалу 1.7, предназначенному для технического обслуживания системы. Соединение между терминалом 1.7 технического обслуживания и точкой 1.6 доступа может выполняться посредством проводного соединения, такого как Ethernet-соединение, или беспроводного соединения, такого как WiFi и т.п. В целом точка 1.6 доступа оснащена межсетевым экраном, ограничивающим данные, передаваемые по соединительной линии 1.8, только необходимыми потоками, предназначенными для технического обслуживания системы. Терминал технического обслуживания обычно представляет собой портативный компьютер, подключаемый к сети безопасной системы. Обычно, если соединительная линия 1.8 связи не является непосредственной проводной линией связи, например, если она представляет собой беспроводную линию связи или сетевую линию связи, то соединение 1.8 защищается посредством шифрованного туннеля, устанавливаемого между терминалом 1.7 и точкой 1.6 доступа.

Защищенный периметр определяется как граница, разделяющая с одной стороны систему высокого уровня безопасности и ее периферийное оборудование, все элементы которого должны быть защищены, а с другой стороны - внешнее оборудование и сети, не удовлетворяющие таким ограничениям.

Техническое обслуживание в соответствии с правилами безопасности требует расширения защищенного периметра 1.1 таким образом, чтобы он включал периметр 1.2, ограничивающий оборудование технического обслуживания. Обычно оборудование технического обслуживания определяется как надежное и должно соответствовать строгим правилам управления. Обычно это оборудование должно содержать только предписанные программные модули, и операции с ним должны выполняться только уполномоченным персоналом со строго определенными обязанностями. Устройство должно храниться в защищенном от доступа пространстве, например в сейфе, вне зоны проведения операций технического обслуживания. Описанные здесь правила представляют собой только один из примеров правил, применимых в конкретном случае. В любом случае управление этим оборудованием технического обслуживания на практике представляет собой сложный и ограниченный по возможностям процесс для оператора, управляющего системой высокого уровня безопасности.

Настоящее изобретение предназначено для решения указанных выше проблем с помощью соединительного устройства, позволяющего любому оборудованию технического обслуживания подключаться к сети высокого уровня безопасности без нарушения защиты системы. Устройство содержит клиента приложения технического обслуживания, только входные/выходные данные которого выгружаются в оборудование технического обслуживания. Устройство оснащено средствами аутентификации и средствами выполнения протокольного разрыва между оборудованием технического обслуживания и системой высокого уровня безопасности. Таким образом, только соединительное устройство должно быть надежным, и техническое обслуживание может выполняться с любого терминала.

Настоящее изобретение относится к соединительному устройству, содержащему: первую соединительную линию, позволяющую указанному устройству подключаться к системе высокого уровня безопасности; вторую соединительную линию, позволяющую указанному устройству подключаться к терминалу; клиента технического обслуживания, способного взаимодействовать через первую соединительную линию с сервером технического обслуживания в пределах указанной системы высокого уровня безопасности; сервер удаленных соединений, позволяющий пользователю управлять клиентом технического обслуживания с указанного терминала; при этом устройство не содержит каких-либо средств маршрутизации, позволяющих передавать поток данных между указанным терминалом и указанной системой высокого уровня безопасности.

В соответствии с конкретным вариантом осуществления настоящего изобретения устройство также содержит межсетевой экран, подключенный к первой соединительной линии связи и предназначенный для управления потоками между указанным устройством и указанной системой высокого уровня безопасности, и межсетевой экран, подключенный ко второй соединительной линии связи и предназначенный для управления потоками между указанным устройством и терминалом.

В соответствии с конкретным вариантом осуществления настоящего изобретения устройство также содержит средства аутентификации, предназначенные для аутентификации пользователя.

В соответствии с конкретным вариантом осуществления настоящего изобретения устройство также содержит средства для выполнения запуска системы в зависимости от успешности аутентификации пользователя.

В соответствии с конкретным вариантом осуществления настоящего изобретения устройство содержит средства для установления шифрованного туннеля между указанным устройством и указанной системой высокого уровня безопасности в зависимости от результатов успешности аутентификации пользователя.

В соответствии с конкретным вариантом осуществления настоящего изобретения устройство содержит микропроцессорную карту для хранения данных для аутентификации и криптографические средства, необходимые для установления шифрованного туннеля между указанным устройством и системой высокого уровня безопасности.

В соответствии с конкретным вариантом осуществления настоящего изобретения устройство также содержит средства для монтирования доступного тома в указанном терминале с целью предоставления доступа к нему клиенту технического обслуживания.

Настоящее изобретение также относится к способу подключения терминала технического обслуживания к серверу технического обслуживания в системе высокого уровня безопасности с помощью ранее описанного соединительного устройства, при этом способ включает шаг подключения указанного устройства к терминалу; шаг установления туннеля между указанным устройством и указанной системой высокого уровня безопасности; шаг установления удаленного соединения из указанного терминала с указанным устройством и шаг соединения указанного клиента технического обслуживания с сервером технического обслуживания через указанное удаленное соединение.

В соответствии с конкретным вариантом осуществления настоящего изобретения способ также включает шаг аутентификации пользователя и шаг выполнения запуска системы устройства в зависимости от успешности выполнения шага аутентификации пользователя.

В соответствии с конкретным вариантом осуществления настоящего изобретения способ также включает шаг аутентификации пользователя и шаг установления указанного туннеля в зависимости от успешности выполнения шага аутентификации.

Признаки изобретения, указанные выше, а также иные его признаки станут более очевидными после прочтения последующего описания примеров осуществления настоящего изобретения, проиллюстрированного прилагающимися чертежами, на которых:

на фиг.1 показана общая архитектура системы высокого уровня безопасности и связанного с ней оборудования технического обслуживания в соответствии с известным уровнем техники.

На фиг.2 показана общая архитектура системы в соответствии с настоящим изобретением.

На фиг.3 показана архитектура программного обеспечения системы в соответствии с настоящим изобретением.

На фиг.4 показана архитектура программного обеспечения типового варианта устройства в соответствии с настоящим изобретением.

На фиг.6 показан способ подключения терминала технического обслуживания к системе высокого уровня безопасности в соответствии с примером осуществления настоящего изобретения.

Настоящее изобретение основано на использовании соединительного устройства 2.9, которое позволяет терминалу 2.7 технического обслуживания подключаться к сети высокого уровня безопасности с помощью точки 2.6 доступа к этой сети. В отличие от решений известного уровня техники, которые требуют расширения защищенного периметра 1.1 за счет добавления к нему периметра 1.2, в котором располагается терминал технического обслуживания 1.7, в рамках настоящего изобретения допускается расширение защищенного периметра 2.10, который не включает указанное соединительное устройство или непосредственно терминал технического обслуживания. Благодаря такой структуре, процедуры обеспечения безопасности, которые должны применяться при управлении этим соединительным устройством для поддержки защиты, выполняются проще, чем те процедуры, которые должны применяться в отношении надежного терминала. Любой терминал может использоваться для операций технического обслуживания без необходимости применения каких-либо специальных средств управления, поскольку он не входит в защищенный периметр.

Общая архитектура программного обеспечения в соответствии с настоящим изобретением показана на фиг.3. На этом чертеже более подробно показана схема, приведенная на фиг.2. На чертеже показан защищенный периметр 3.1, который содержит непосредственно систему 3.2 высокого уровня безопасности и соединительное устройство 3.3. Терминал 3.4 технического обслуживания, расположенный вне защищенного периметра, позволяет оператору управлять операциями технического обслуживания системы. Управление операциями технического обслуживания осуществляется в режиме клиент-сервер. Система высокого уровня безопасности управляет сервером 3.5 технического обслуживания, который взаимодействует с клиентом 3.8 технического обслуживания, управление которым осуществляет соединительное устройство. Обычно клиентское программное обеспечение позволяет отображать меню функций технического обслуживания для выбора требуемых операций технического обслуживания, при этом меню содержит, например, пункты для установки параметров, извлечения рабочих данных и обновления программных модулей в системе 3.2.

Управление соединительной линией связи между устройством 3.3 и системой 3.2 осуществляется модулями 3.6 и 3.7 управления линией связи. Эта соединительная линия может быть реализована в соответствии с технологией любого типа - проводной или беспроводной, с помощью непосредственного соединения или соединения по сети связи. Обычно такое соединение устанавливается по сети Ethernet или с помощью технологии WiFi и дополнительно проходит по сети оператора, управляющего системой. Рассматриваемая сеть не обязательно является надежной сетью. Это объясняется тем, что модули 3.6 и 3.7 устанавливают шифрованный туннель между надежным устройством и системой. Этот шифрованный туннель гарантированно обеспечивает защищенный периметр между двумя аппаратными элементами, независимо от того, какой нижележащий транспортный уровень используется. В предпочтительном варианте осуществления модули управления линией связи также включают в свой состав модуль межсетевого экрана, обеспечивающий передачу по линии связи только потоков данных, которыми обмениваются клиент 3.8 и сервер 3.5 технического обслуживания.

Соединительное устройство 3.3 обычно не содержит каких-либо средств ввода/вывода, за исключением соединительных линий, подключающих с одной стороны устройство к системе, а с другой стороны - к терминалу технического обслуживания. В соответствии с предпочтительным вариантом осуществления в качестве устройства используется простое устройства типа “USB-ключа”. Таким образом, для того чтобы пользователь мог управлять процессом технического обслуживания, необходимо обеспечить возможность управления клиентом 3.8 с терминала 3.4 технического обслуживания. С этой целью соединительное устройство также содержит терминал 3.9 удаленных соединений, который позволяет выгружать информацию, отображаемую клиентом 3.8, в терминал 3.4 технического обслуживания. С другой стороны, входная информация терминала перенаправляется в сервер 3.9 удаленных соединений для работы с клиентом 3.8. Эти данные обычно вводятся с клавиатуры или с помощью периферийного указательного устройства, такого как мышь и т.п.

При этом может использоваться протокол RDP (Remote Desktop Protocol, протокол удаленного рабочего стола), разработанный компанией Microsoft, или протоколы, предлагаемые компанией CITRIX.

Линия связи между соединительным устройством 3.3 и терминалом 3.4 может быть реализована в соответствии с любой технологией. В описании настоящего изобретения приводится пример соединения, устанавливаемого с помощью последовательной линии связи, например соединения посредством USB (Universal Serial Bus, универсальная последовательная шина), однако с этой целью может использоваться любая другая технология, например, проводная, такая как Ethernet, или беспроводная, такая как Bluetooth. В предпочтительном варианте осуществления настоящего изобретения межсетевой экран 3.10 гарантирует передачу только ожидаемых входных-выходных потоков данных через линию связи, установленную между терминалом и соединительным устройством 3.10.

Устройство функционирует под управлением операционной системы, которая поддерживает операции, выполняемые описанными модулями. В предпочтительном варианте осуществления настоящего изобретения устройство также содержит средства для аутентификации пользователя, например считыватель отпечатков пальцев. В процессе запуска операционной системы или обычного установления туннеля с системой высокого уровня безопасности может выполняться проверка данных аутентификации. Устройство также содержит средства для аутентификации, например в виде цифровых сертификатов, для установления указанного туннеля. В соответствии с определенным вариантом осуществления настоящего изобретения средства для аутентификации и криптографические средства, необходимые для установления туннеля, встроены в устройство в виде микропроцессорной карты. В соответствии с другим вариантом осуществления настоящего изобретения, вся архитектура устройства встроена в микропроцессорную карту.

Следует отметить, что устройство не выполняет функции шлюза. Оно не содержит каких-либо средств маршрутизации, которые могут использоваться для передачи потока данных между терминалом 3.4 технического обслуживания и системой 3.2 высокого уровня безопасности. Этот протокольный разрыв важен для обеспечения безопасности системы.

На фиг.4 показана архитектура программного обеспечения соединительного устройства 4.1 в соответствии с примером осуществления настоящего изобретения. В этом примере с терминалом технического обслуживания устанавливается линия 4.2 связи по протоколу USB. В качестве операционной системы используется свободно распространяемая система, основанная на функциях системы “Linux”. Управление линией связи осуществляется модулями 4.6, 4.7 и 4.8, реализованными в ядре операционной системы, показанном в виде прямоугольника, ограниченного пунктирными линиями. Модуль 4.6 представляет собой драйвер, управляющий линией связи USB. Модуль 4.7 поддерживает сетевой уровень TCP/IP, обеспечивающий связь с терминалом. Этот модуль основан, например, на протоколе Microsoft RNDIS (Remote Network Driver Interface Specifications, спецификации удаленного сетевого интерфейса управления). Для получения сетевых параметров, обычно IP-адреса, этот модуль взаимодействует с локальным сервером 4.9 DHCP (Dynamic Host Control Protocol, протокол динамической конфигурации хоста). В предпочтительном варианте для обеспечения безопасности работа модуля изолирована в пределах системы. Процедура изоляции включает отдельное выполнение процесса в своем собственном пространстве в операционной системе. Например, с этой целью можно использовать принятый в системе Linux механизм обеспечения изолированного пространства (Jail). Преимущество использования такого механизма заключается в том, что взломщик, получивший возможность управлять процессом, остается изолированным и не может наблюдать за остальными процессами в системе.

Модуль 4.8 выполняет функцию фильтрации приложения или межсетевого экрана, ограничивающего потоки, которыми обменивается терминал, авторизованными потоками, обычно передаваемыми по протоколу RDP.

В этом примере сервер 4.5 удаленных соединений функционирует согласно протоколу RDC. Благодаря этому терминал может отображать интерфейс клиента 4.4 и взаимодействовать с ним. Клиент 4.4 является проприетарным клиентом, который зависит от соответствующей системы высокого уровня безопасности. Он разработан для подключения к соответствующему серверу технического обслуживания в системе высокого уровня безопасности. Модуль 4.5 сервера удаленных соединений и модуль 4.4 клиента технического обслуживания функционируют в пространстве прикладных программ операционной системы.

Связь с системой управляется модулями 4.10, 4.11, 4.12 и 4.13, реализованными в пределах ядра операционной системы. Модуль 4.11 формирует шифрованный туннель совместно с сервером 4.14 туннелирования. В предпочтительном варианте сервер туннелирования также работает в изолированном пространстве. При этом может использоваться любой протокол туннелирования, например IPsec (Internet Protocol Security, защита Интернет-протокола), а также SSL (Secure Socket Layer, уровень защищенных сокетов), PPTP (Point to Point Tunnelling Protocol, двухточечный протокол туннелирования) и т.п. Модуль 4.13 представляет собой сетевой драйвер, обычно Ethernet-драйвер, который устанавливает линию связи с системой высокого уровня безопасности совместно с другим сервером 4.15 сетевой конфигурации в соответствии с протоколом DHCP. Последний сервер также предпочтительно находится в изолированном пространстве. Линия 4.3 связи формирует физическое соединение с системой высокого уровня безопасности. Эта линия связи может представлять собой проводную линию, например Ethernet-линию и т.п. Она может также представлять собой беспроводную линию, например линию WiFi или радиочастотную линию. В предпочтительном варианте осуществления устройство оснащено физическим портом для подключения кабеля и беспроводным интерфейсом, причем оба этих средства применяются в соответствии с требованиями пользователя.

Модули 4.10 и 4.12 являются модулями фильтрации (типа межсетевого экрана), служащими для управления потоками обмена, поступающими из интерфейса 4.3: модуль 4.10 выполняет фильтрацию содержимого потоков (фильтрацию по типу приложения, фильтрацию верхнего уровня), в то время как модуль 4.12 пропускает только потоки, соответствующие сетевым критериям.

Средства аутентификации пользователя (не показанные на чертеже) предпочтительно осуществляют запуск системы или установление туннеля в зависимости от результата аутентификации. С этой целью могут использоваться различные средства. В качестве некоторых примеров таких средств можно привести считыватель отпечатков пальцев или другой биометрический датчик, систему для ввода персонального кода, считыватель радиочастотных меток (RFID).

На фиг.5 показана архитектура программного обеспечения, управляющего подключением устройства в системе высокого уровня безопасности в соответствии с примером осуществления настоящего изобретения. Эта архитектура в значительной степени схожа с симметричной архитектурой устройства, в том что касается управления линией связи между двумя объектами. В этой архитектуре также используется Ethernet-драйвер 5.2, который взаимодействует с сервером 5.3 сетевой конфигурации в соответствии с протоколом DHCP. В нисходящем направлении модуль 5.4 межсетевого экрана управляет проходящими через него потоками. Модуль 5.5 управления шифрованным туннелем управляет туннелем на стороне системы совместно с сервером 5.6 туннелирования. Второй межсетевой экран 5.7 выполняет фильтрацию дешифрованных потоков, исходящих из туннеля. В предпочтительном варианте осуществления поток данных между клиентом 4.4 технического обслуживания и сервером 5.9 технического обслуживания проходит через промежуточный модуль (прокси-модуль) 5.8, позволяющий избежать непосредственного соединения и выполнять фильтрацию данных обмена. Модули DHCP, сервер туннелирования и промежуточный модуль в предпочтительном варианте функционируют в соответствующих изолированных пространствах.

На фиг.6 показан способ подключения терминала технического обслуживания к серверу технического обслуживания в системе высокого уровня безопасности в соответствии с одним из примеров осуществления настоящего изобретения. На шаге 6.1 устройство подключается к терминалу. В некоторых вариантах осуществления настоящего изобретения это подключение выполняется через соединительную линию связи в соответствии с типом линии связи между терминалом и устройством. В предпочтительном варианте осуществления на шаге 6.2 выполняется аутентификация пользователя через средства аутентификации. Если этот процесс завершается успешно, то выполняется запуск системы. На этом этапе может включаться питание, подаваться питание на системную плату, запускаться система или просто выполняться авторизация для установления туннеля. Затем на шаге 6.4 устанавливается туннель между устройством и хост-системой. На шаге 6.5 запускается сервер удаленных соединений, и между терминалом и устройством устанавливается соединение. Этот шаг может выполняться перед или после установления туннеля. На шаге 6.6 пользователь через удаленное соединение использует клиента технического обслуживания, управляемого устройством, для установления соединения с сервером технического обслуживания.

В предпочтительном варианте осуществления операционная система устройства также позволяет монтировать том, внешний по отношению к устройству. Таким образом, клиент технического обслуживания может осуществлять доступ к указанному тому. Этот том может служить для чтения версий программного обеспечения, которые могут загружаться в систему высокого уровня безопасности для программных обновлений. Такие обновления в предпочтительном варианте представляют собой зашифрованные и подписанные модули, для которых может обеспечиваться конфиденциальность, надежность источника и целостность. Удаленный том также может служить для сохранения рабочих данных, полученных из системы высокого уровня безопасности. В соответствии с вариантом осуществления настоящего изобретения, удаленный том, доступный для соединительного устройства, может представлять собой предварительно сформированный локальный том терминала технического обслуживания или доступное только для чтения оптическое считывающее устройство, которое, таким образом, не позволяет осуществлять запись информации. В качестве такого тома может также использоваться том, доступный в сети оператора, к которой может подключаться терминал технического обслуживания. Процесс монтирования может выполняться в соответствии с любым стандартным протоколом монтирования удаленного тома, например посредством NFS (Network File System, сетевая файловая система) или реализации протокола SMB/CIFS (Server Message Block/Common Internet File System, блок серверных сообщений/общий протокол доступа к Интернет-файлам), такого как Samba.

1. Система для выполнения технического обслуживания системы высокого уровня безопасности посредством приложения технического обслуживания в режиме клиент-сервер, при этом указанная система для выполнения технического обслуживания содержит терминал технического обслуживания, а указанная система высокого уровня безопасности содержит сервер технического обслуживания указанного клиент-серверного приложения технического обслуживания, и указанная система для выполнения технического обслуживания также содержит соединительное устройство, не имеющее никаких средств ввода/вывода, кроме первой соединительной линии (4.3), позволяющей указанному соединительному устройству подключаться к системе высокого уровня безопасности, и второй соединительной линии (4.2), позволяющей указанному соединительному устройству подключаться к терминалу технического обслуживания (3.4), при этом соединительное устройство также включает:
проприетарный клиент (3.8) технического обслуживания, который зависит от системы высокого уровня безопасности и соединяется через первую соединительную линию с сервером (3.5) технического обслуживания указанной системы высокого уровня безопасности для управления указанным сервером (3.5) технического обслуживания и для формирования визуального отображения в результате операций управления указанным сервером (3.5) технического обслуживания системы высокого уровня безопасности, и
сервер (3.9) удаленных соединений, соединенный через вторую соединительную линию (4.2) с указанным терминалом (3.4) технического обслуживания,
при этом сервер (3.9) удаленных соединений выполнен с возможностью выгружать в указанный терминал (3.4) технического обслуживания визуальное отображение, формируемое указанным клиентом (3.8) технического обслуживания в результате операции управления указанным сервером (3.5) технического обслуживания указанной системы высокого уровня безопасности, и выгружать в указанный клиент (3.8) технического обслуживания входные данные, вводимые с клавиатуры или посредством указательного периферийного устройства указанного терминала (3.4) технического обслуживания, после чего указанный клиент (3.8) технического обслуживания управляет указанным сервером (3.5) технического обслуживания согласно указанным входным данным.

2. Система по п. 1, в которой соединительное устройство также содержит:
межсетевой экран, подключенный к первой соединительной линии связи для управления потоками между указанным устройством и указанной системой высокого уровня безопасности; и
межсетевой экран, подключенный ко второй соединительной линии связи для управления потоками между указанным устройством и указанным терминалом.

3. Система по п. 1 или 2, в которой соединительное устройство также содержит средства аутентификации для аутентификации пользователя.

4. Система по п. 3, в которой соединительное устройство содержит средства для выполнения запуска системы в зависимости от успешности аутентификации пользователя.

5. Система по п. 3, в которой соединительное устройство содержит средства для установления шифрованного туннеля между указанным устройством и указанной системой высокого уровня безопасности в зависимости от успешности аутентификации пользователя.

6. Система по п. 3, в которой соединительное устройство содержит микропроцессорную карту для хранения данных для аутентификации и криптографические средства, необходимые для установления шифрованного туннеля между указанным соединительным устройством и системой высокого уровня безопасности.

7. Система по п. 3, в которой соединительное устройство также содержит средства для монтирования доступного тома указанного терминала технического обслуживания для предоставления доступа к нему клиенту технического обслуживания.

Похожие патенты:

Обеспечение службы-свидетеля // 2601863

Изобретение относится к области сетей связи. Техническим результатом является сокращение времени ожидания клиента при обнаружении отказа.

Способ и устройство передачи/приема мультимедиа-содержимого в системе мультимедиа // 2601442

Изобретение относится к способу и устройству передачи и/или приема мультимедиа-содержимого с использованием различных блоков передачи и технологии по стандарту передачи мультимедиа Экспертной группы по киноизображению (MPEG MMT).

Способ и устройство для анализа пакетов данных // 2601201

Изобретение относится к технологиям сетевой связи. Технический результат заключается в повышении безопасности передачи данных.

Способ и система передачи данных от контроллера радиосети к пользовательскому устройству // 2601175

Изобретение относится к области связи. Технический результат - поддержка более высокой пропускной способности.

Способ переключения сеанса связи подсистемы мультимедийных услуг на базе семейства протоколов интернета и объект пересылки экстренных вызовов // 2600526

Изобретение относится к переключению сеанса связи сети подсистемы мультимедийных услуг на базе семейства протоколов Интернета (IMS) и объекту пересылки экстренных вызовов (EATF).

Сетевой объект и способ управления передачей данных протокола инициализации сеанса связи объекту пользователя в сети связи // 2600105

Изобретение относится к области управления передачей данных протокола инициализации сеанса связи объекту пользователя в сети связи. Техническим результатом является предоставление эффективной концепции для распределения данных пользователей в сети связи.

Способ и устройство для обработки сервиса неструктурированных дополнительных сервисных данных // 2599962

Изобретение относится к обработке сервиса неструктурированных дополнительных сервисных данных (USSD). Технический результат - возможность запуска USSD от стороны существующей сети к стороне UE сети передачи голоса VoLTE.

Системы, устройства и способы для совместного и распределенного управления экстренными мультимедийными данными // 2598819

Изобретение относится к технологиям сетевой связи. Технический результат заключается в повышении надежности передачи данных в сети.

Способ для динамической адаптации частоты следования битов при приеме и соответствующий приемник // 2598805

Изобретение относится к области приемников аудиовизуальных программ. Технический результат заключается в обеспечении динамического управления полосой пропускания, используемой во время передачи аудиовизуальных программ для стандартных инфраструктур IPTV, используя протокол управления/перемещения в реальном времени.

Способы связи в реальном времени, обеспечивающие паузу и возобновление, и связанные с ними устройства // 2597490

Изобретение относится к технологиям сетевой связи. Технический результат заключается в повышении скорости передачи данных.

Способ управления полосой пропускания и соответсвующее устройство // 2604416

Изобретение относится к распределению контента потоковой передачи видео. Технический результат - улучшение качества отображаемого видео. Для этого устройство содержит первый интерфейс в первой сети, содержащей сервер адаптивной потоковой передачи, второй интерфейс для второй сети, содержащей, по меньшей мере, одно клиентское устройство адаптивной потоковой передачи, идентификатор потока для обнаружения, по меньшей мере, одного контента потоковой передачи, запрошенного, по меньшей мере, одним клиентским устройством адаптивной потоковой передачи, причем этот, по меньшей мере, один контент потоковой передачи является доступным на более, чем одной скорости передачи данных, администратор полосы пропускания для выбора скорости передачи данных среди более чем одной скорости передачи данных, планировщик для передачи на втором интерфейсе этого, по меньшей мере, одного контента потоковой передачи, по меньшей мере, одному клиентскому устройству на скорости передачи данных выше упомянутой выбранной скорости передачи данных, но ниже любой более высокой скорости передачи данных, доступной для упомянутого контента потоковой передачи. 3 н. и 10 з.п. ф-лы, 4 ил.

Способ, система и устройство для обмена данными между устройствами-клиентами // 2604423

Изобретение относится к области обмена данными. Техническим результатом является повышение эффективности обмена данными между устройствами-клиентами. Раскрыт способ, выполняемый в серверной системе, имеющей процессор и память для хранения одной или более программ, исполняемых процессором, и предназначенный для обмена данными между двумя устройствами-клиентами, при этом способ содержит этапы, на которых получают от первого устройства-клиента первый запрос получения данных, причем первый запрос получения данных включает в себя (i) идентификатор устройства, идентифицирующий второе устройство-клиент, отличное от первого устройства-клиента, и (ii) идентификатор параметра поиска, идентифицирующий тип параметра поиска, значение которого должно предоставляться вторым устройством-клиентом; идентифицируют второе устройство-клиент из множества устройств-клиентов в соответствии с идентификатором устройства; выдают второй запрос получения данных на второе устройство-клиент, причем второй запрос получения данных включает в себя идентификатор параметра поиска; получают от второго устройства-клиента параметр поиска в соответствии с идентификатором параметра поиска, при этом второе устройство-клиент определяет значение параметра поиска на основе типа параметра поиска; получают один или более результатов поиска в соответствии с параметром поиска; и подают по меньшей мере один результат поиска из этих одного или более результатов поиска на первое устройство-клиент для отображения пользователю первого устройства-клиента. 3 н. и 27 з.п. ф-лы, 15 ил.

Способ синтаксического анализа сервиса, гибко адаптированный к тегу ims системы // 2604983

Изобретение относится к области синтаксического анализа сервиса, гибко адаптированного к тегу IMS мультимедийной системы. Техническим результатом является способность терминала IMS SIP адаптироваться к различным методам отражения услуг множества производителей серверов МСМ одновременно, тем самым повышая совместимость терминала, расширяя адаптационную способность и диапазон применения. Способ включает в себя следующие шаги: определение шаблона мульти-сервисного тега, определение множества примеров первоначальных мульти-сервисных тегов в предварительном конфигурационном файле устройства; ввод файла предварительной настройки в терминал IMS SIP в процессе эксплуатации, добавление правила согласования, генерация выполнения множества мульти-сервисных тегов, и хранение. Используя механизм сообщения о заказе, терминал IMS SIP оформляет заказ на услугу, и по полученному уведомлению производится согласование в соответствии с согласующим правилом, соответствующим множеству примеров мульти-сервисных тегов для выполнения синтаксического анализа и анализа сервиса. 5 з.п. ф-лы, 3 ил.

Способ и устройство отображения push-сообщений // 2605919

Изобретение относится к способу и устройству отображения push-сообщений. Технический результат заключается в эффективном использовании ресурсов пользовательского оборудования. Предлагается способ, в котором получают инициирующее событие для загрузки нового контента, определяют наличие пустого участка для загрузки нового контента на текущей отображаемой странице, где пустой участок для загрузки нового контента представляет собой отображаемую область текущей страницы дисплея, который появляется до того, как новый контент полностью загружен; и в случае если на текущей отображаемой странице имеется пустой участок для загрузки, отображают push-сообщение на пустом участке для загрузки. 2 н. и 12 з.п. ф-лы, 7 ил.

Потоковая передача с управлением качеством // 2606064

Изобретение относится к области связи. Технический результат – достижение эффективности при использовании полосы пропускания сети путем адаптации к сложности и качеству кодированного видеосигнала. Для этого, чтобы обеспечивать коммутацию на основе качества в клиенте потоковой передачи, клиент может иметь доступ к информации относительно качества кодированного сегмента и/или субсегмента. Связанная с качеством информация может включать в себя любое число дополнительных показателей качества, связанных с кодированным сегментом и/или субсегментом кодированного видеопотока. Добавление связанной с качеством информации может быть выполнено посредством включения связанной с качеством информации в файл манифеста, включающий в себя связанную с качеством информацию, в индексы сегментов, сохраненные в индексном файле сегментов, и/или предоставления дополнительных файлов со связанной с качеством информации сегментов и предоставления ссылки на информацию из MPD-файла. После приема связанной с качеством информации клиент может запрашивать и принимать поток, который имеет более низкую скорость передачи битов, за счет этого экономя полосу пропускания при одновременном поддержании качества потокового контента. 2 н. и 15 з.п. ф-лы, 22 ил., 2 табл.

Устройство связи, способ связи, программа и система связи // 2606563

Изобретение относится к устройству связи, способу связи и системе связи. Технический результат заключается в сокращении времени ожидания до установления соединения. Устройство связи содержит: блок бесконтактной связи для осуществления бесконтактной связи; блок беспроводной связи для осуществления беспроводной связи; и блок управления, выполненный с возможностью, при обнаружении блоком бесконтактной связи посредством бесконтактной связи по меньшей мере одного другого устройства связи, выполнения по меньшей мере части процесса соединения для беспроводной связи с указанным другим устройством беспроводной связи с использованием бесконтактной связи параллельно с активацией первого режима связи блока беспроводной связи, и управления процессом установки соединения посредством беспроводной связи между блоком бесконтактной связи и другим устройством связи без прохождения точки доступа. При этом процесс установки соединения включает в себя процесс принятия решения об устройстве связи, функционирующем в качестве руководителя группы, и процесс аутентификации. 4 н. и 5 з.п. ф-лы, 14 ил.

Обмен сигнальными сообщениями в сети связи с интернет-протоколом между объектами, применяющими объектно-ориентированную обработку сигнальных сообщений // 2606754

Изобретение относится к области передачи сигналов в сети связи с Интернет-протоколом (IP). Техническим результатом является повышение эффективности обмена сигнальными сообщениями в сети IP-связи. Раскрыт способ обмена сериализованными сигнальными сообщениями в сети связи с Интернет-протоколом (IP), причем упомянутая сеть IP-связи содержит цепочку из по меньшей мере двух объектов, применяющих объектно-ориентированную обработку сигнальных сообщений, при этом обмен упомянутыми сигнальными сообщениями между по меньшей мере двумя объектами упомянутой сети IP-связи содержит транспортировку сериализованных объектов данных между упомянутыми по меньшей мере двумя объектами, причем упомянутая транспортировка упомянутых сериализованных объектов данных содержит транспортировку сериализованных объектов данных JAVA, причем экземпляр упомянутых сигнальных сообщений, обмениваемых между упомянутыми по меньшей мере двумя объектами, применяющими объектно-ориентированную обработку сигнальных сообщений, содержит строку обозначения, указывающую, что упомянутый экземпляр содержит сериализованный объект данных, после интерпретации строки обозначения обеспечивается десериализация принимаемых сериализованных объектов данных объектом из упомянутой цепочки для применения объектно-ориентированной обработки упомянутого объекта данных. 3 н. и 11 з.п. ф-лы, 4 ил.

Устройство обработки информации и способ управления устройством обработки информации // 2607279

Изобретение относится к обработке информации. Технический результат - упрощение управления множеством пользовательских учетных записей для пользователя. Устройство обработки информации, содержащее: блок хранения пользовательской информации, сконфигурированный с возможностью хранения пароля, связанного с идентификатором пользователя; множество серверов, каждый из которых осуществляет связь с клиентами, используя отличные друг от друга протоколы связи; блок хранения информации аутентификации, выполненный с возможностью хранения типа обработки аутентификации для по меньшей мере одного из множества серверов; блок приема, сконфигурированный с возможностью приема запроса процесса аутентификации пользователя от одного из множества серверов как вызывающего модуля; первый блок получения, выполненный с возможностью получения типа обработки аутентификации для сервера как вызывающего модуля, хранимого в блоке хранения информации аутентификации; второй блок получения, выполненный с возможностью получения пароля, хранимого в блоке хранения пользовательской информации и связанного с идентификатором пользователя, полученным из запроса; блок аутентификации, выполненный с возможностью осуществления процесса аутентификации, используя пароль, полученный вторым блоком получения, в соответствии с типом обработки аутентификации сервера как вызывающего модуля, полученным первым блоком получения. 3 н. и 11 з.п. ф-лы, 12 ил.

Обработка закодированной информации // 2608002

Изобретение относится к области обработки закодированной информации. Технический результат – эффективная защита персональных данных пользователя. Способ содержит этапы, на которых посредством портативного устройства получают элемент графической закодированной информации, который отображают на дисплее вычислительного устройства, декодируют закодированную информацию из элемента закодированной информации и передают первое сообщения на первый сервер, причем первое сообщение включает в себя декодированную информацию и первый идентификатор, идентифицирующий устройство или пользователя устройства, при этом декодированная информация включает в себя элемент идентификационной информации устройства, позволяющий идентифицировать вычислительное устройство, и посредством первого сервера принимают первое сообщение от устройства, устанавливают подлинность пользователя устройства, причем при установке подлинности пользователя используют первый идентификатор для определения, зарегистрирован ли пользователь первым сервером, в ответ на установление подлинности пользователя, авторизируют пользователя для доступа к службе и предоставляют службу пользователю через вычислительное устройство с использованием элемента идентификационной информации устройства или посылают второе сообщение второму серверу, причем второе сообщение включает в себя элемент идентификационной информации устройства и указывает, что пользователь авторизирован для доступа к службе, предоставляемой вторым сервером, при этом второй сервер отвечает на прием второго сообщения предоставлением службы пользователю через вычислительное устройство с использованием элемента идентификационной информации устройства. 10 н. и 32 з.п. ф-лы, 3 ил.

Связь между клиентским устройством и беспроводным периферийным устройством // 2608241

Изобретение относится к способу связи между клиентским устройством и беспроводным периферийным устройством в системе связи. Технический результат заключается в обеспечении связи между клиентским устройством и периферийным устройством и ее защиты. Периферийное устройство выполнено с возможностью осуществления связи с хост-устройством, используя пакеты первого типа, передаваемые между периферийным устройством и хост-устройством в соответствии с первым режимом связи, причем хост-устройство выполнено с возможностью осуществления связи с клиентским устройством, используя пакеты второго типа, передаваемые между хост-устройством и клиентским устройством в соответствии со вторым режимом связи. Способ содержит этапы, на которых в хост-устройстве: инкапсулируют контент первых пакетов первого типа в первые пакеты второго типа и передают их клиентскому устройству; восстанавливают контент вторых пакетов первого типа, предназначенных периферийному устройству и содержащихся во вторых пакетах второго типа, принятых от клиентского устройства, и направляют для передачи хост-устройством периферийному устройству. При этом в хост-устройстве на уровне приложений обеспечивают по меньшей мере одну дополнительную функцию, связанную с защитой связи. 3 н. и 10 з.п. ф-лы, 1 ил.