Компактный аппаратный электронный носитель информации с многоуровневым регулированием доступа к отдельным разделам памяти

Авторы патента:

Крячков Антон Викторович (RU)

Сабанов Алексей Геннадьевич (RU)

Демченко Константин Олегович (RU)

Груздев Сергей Львович (RU)

G06F21/62 - Обработка цифровых данных с помощью электрических устройств (вычислительные машины, в которых часть вычислений осуществляется гидравлическими или пневматическими устройствами G06D; оптическими средствами G06E; автономные внешние вводные и выводные устройства G06K; компьютерные системы, основанные на специфических вычислительных моделях G06N; цепи полного /активного и реактивного/ сопротивления H03H)

Владельцы патента RU 2635027:

Закрытое акционерное общество "Аладдин Р.Д." (RU)

Изобретение относится к защите информации, хранящейся на электронных носителях. Технический результат заключается в повышении уровня безопасности управления доступом. Носитель содержит энергонезависимую память (ЭНП), разделенную на несколько отдельных областей, в которых находится информация с различной степенью защиты. Доступ к каждой из этих областей памяти регулируется процессором ЭН отдельно. Процессор, управляющий доступом к ЭНП, управляет доступом к каждой из областей ЭНП по одновременному положительному результату по меньшей мере одной аутентификации каждой из сторон - пользователя ЭН и пользовательского вычислительного устройства, к которому подсоединен электронный носитель. Причем ЭН содержит средство для проведения дополнительной аутентификации пользователя при доступе к отдельным областям памяти устройства и процессор средств криптографической защиты информации, реализующий криптографические преобразования, для управления доступом к функциям которого предназначен процессор, управляющий доступом к ЭНП. Процессор, управляющий доступом к ЭНП, выполнен с возможностью получения результатов дополнительной аутентификации пользователя от средства дополнительной идентификации и обеспечения доступа только к части областей ЭНП, внешне неотличимо имитируя работу со всей памятью ЭН, при отрицательном результате дополнительной аутентификации, показывающей, что пользователь работает под внешним принуждением или контролем. 6 з.п. ф-лы, 5 табл., 4 ил.

Область техники

Изобретение относится к области компьютерной техники и информационных технологий, в частности к защите информации, хранящейся на электронных носителях.

Уровень техники

В указанной области техники весьма актуальна как проблема защиты от несанкционированного доступа (НСД) к информации, хранящейся в памяти того или иного материального носителя, так и проблема защиты от принудительного доступа законного пользователя под внешним контролем к важной, чувствительной или конфиденциальной информации, в частности криптографическим ключам, хранящимся на электронных носителях.

При анализе эффективности комплексного решения задачи защиты данных, хранимых в памяти устройства, необходимо учитывать все аспекты защиты: защищенность от НСД со стороны неавторизованного пользователя (человека), защищенность от НСД со стороны вредоносного ПО непосредственно из среды функционирования самого электронного носителя, прежде всего - компьютера, к которому подключен электронный носитель (ЭН), защищенность информации посредством различных способов и с различными процедурами доступа к отдельным областям памяти ЭН, а также возможность вынужденного доступа законного пользователя ЭН к отдельным разделам энергонезависимой памяти (ЭНП) при его работе под внешним принуждением или контролем с имитацией полного доступа ко всей памяти ЭН.

В настоящее время эффективное техническое решение найдено лишь для первого аспекта проблемы - защиты от НСД со стороны неавторизованного пользователя. Для решения этой проблемы используются, в частности, аппаратные носители, включающие кроме самой микросхемы памяти также микропроцессор, регулирующий непосредственно доступ к микросхеме памяти таким образом, что доступ к ней возможен только через этот микропроцессор. Таких решений известно достаточно много (см., например, аппаратные USB-токены [1, 2]).

Конфиденциальную информацию (ключи, пароли и т.п.) хранят в памяти компактных аппаратных носителей, так называемых «токенов» (в частности, наиболее распространенных на отечественном рынке марок: eTokenPRO, JaCarta, RuToken и др.), в которых предусмотрено обязательное проведение аутентификации пользователя системой перед исполнением устройством какой-либо операции с хранимой в памяти устройства информацией. В частности, предоставление доступа к информации, хранимой в их энергонезависимой памяти (ЭНП), осуществляется только по положительным результатам аутентификации [1, 2].

Кроме того, в данной области ставится и решается задача двойной аутентификации при доступе к информации, записанной в памяти токена: как со стороны пользователя, так и со стороны компьютера, к которому он подключен. В ряду аналогичных устройств наиболее близким к настоящему изобретению является мобильное устройство защиты информации (находящее применение, в частности, в качестве персонального компактного электронного носителя ключевой и конфиденциальной информации), которое содержит ЭНП, хранящую информацию, адаптер интерфейса и процессор, управляющий доступом к ЭНП по положительному результату не одной, а одновременно двух процедур аутентификации - аутентификации пользователя устройства (например, по PIN-коду) и аутентификации компьютера, к которому этот носитель присоединен, описанное в патенте на полезную модель [3]. Этим частично решается также второй аспект проблемы.

Однако часть аспектов защиты (разграничение областей ЭНП по различным процедурам аутентификации и возможность гарантировать защиту наиболее важной или наиболее чувствительной части информации от НСД даже при работе законного пользователя с ЭН под принуждением) остаются полностью нерешенными, поскольку такие устройства различают пользователей и, в определенных случаях, технические средства среды функционирования только на основе предъявляемых паролей или ПИН-кодов, но при верном вводе пароля дают полный доступ непосредственно ко всей области его ЭНП.

Таким образом, доступ ко всей памяти, хранящей конфиденциальные данные (ключи, пароли и т.п.), по запросу со стороны любого аутентифицированного внешнего средства вычислительной техники, в частности компьютера, к которому их подключил пользователь (в том числе, запрограммированного на НСД к таковым), предоставляется при любом корректном формате запроса и успешной его аутентификации.

Задачей настоящего изобретения является создание защищенного электронного носителя информации, обеспечивающего дополнительную аутентификацию для дополнительной проверки пользователя.

Сущность изобретения

Техническим результатом изобретения является повышение уровня безопасности управления доступом к информации, содержащейся в электронном носителе информации (ЭН).

Компактный аппаратный электронный носитель (ЭН) информации с многоуровневым регулированием доступа к хранимой информации содержит энергонезависимую память (ЭНП) и процессор, управляющий доступом к ЭНП по одновременному положительному результату, по меньшей мере, одной аутентификации каждой из сторон - пользователя ЭН и пользовательского вычислительного устройства, к которому подсоединен электронный носитель. Причем ЭН содержит средство для проведения дополнительной аутентификации пользователя. При этом ЭНП разделена на несколько отдельных областей, хранящих информацию с различной степенью защиты, доступ к каждой из которых осуществляется процессором отдельно в зависимости от результатов дополнительной аутентификации. Процессор выполнен с возможностью получения результатов дополнительной аутентификации пользователя и обеспечения доступа только к части областей ЭНП, внешне неотличимо имитируя работу со всей памятью ЭН при отрицательном результате дополнительной аутентификации, показывающем, что пользователь работает под внешним принуждением или контролем.

За счет разделения энергонезависимой памяти устройства на несколько отдельных областей, проведения дополнительной аутентификации пользователя и обеспечения доступа в зависимости от результата дополнительной аутентификации пользователя обеспечивается достижение технического результата: повышение уровня безопасности управления доступом к информации, содержащейся в электронном носителе информации (ЭН).

Краткое описание чертежей

На фигуре 1 представлена общая структурная схема устройства.

На фигуре 2 представлена структурная схема разделения памяти устройства на отдельные разделы.

На фигуре 3 представлена общая схема режимов работы устройства.

На фигуре 4 представлена общая схема соответствия субъектов доступа (пользователей) режимам работы СКЗИ электронного носителя в зависимости от варианта его использования.

Подробное описание изобретения

Состав компонентов заявляемого устройства представлен на Фиг. 1

В качестве основы для разработки устройства, представленного на Фиг. 1, может быть использована программно-аппаратная платформа «JaCarta» компании ЗАО «Аладдин Р.Д.» [1].

Аппаратный компонент электронного носителя на Фиг. 1 включает:

контроллер смарт-карты (в этом качестве может выступать, например, процессор NXPA7001). Контроллер смарт-карты на Фиг. 1 является аппаратной платформой для программного апплета, реализующего криптографические преобразования. Апплет обозначен на Фиг. 1 как СКЗИ «Криптотокен 2» как пример разработки компании ЗАО «Аладдин Р.Д.»;

контроллер общего назначения на Фиг. 1 (в этом качестве может выступать, например, процессор ARMCortex-M3 NXPLPC1822). Контроллер функционирует под управлением операционной системы JaCarta OS и предназначен для управления доступом к функциям СКЗИ и к разделам памяти заявляемого устройства;

модуль флеш-памяти (внешняя карта формата MicroSD). Модуль предназначен для хранения информации.

В одном из вариантов реализации процесс аутентификации пользователя и пользовательского вычислительного устройства, к которому присоединен ЭН, осуществляется на основе симметричного шифрования данных на едином ключе, хранимом в памяти процессора устройства и вырабатываемом пользовательским вычислительным устройством из мастер-ключа по процедуре НМАС.

В другом варианте реализации процесс аутентификации пользователя и пользовательского вычислительного устройства, к которому присоединен ЭН, осуществляется на основе асимметричного криптографического преобразования, создания и проверки электронной подписи на закрытом ключе, хранимом в памяти процессора устройства, и открытом ключе проверки электронной подписи пользовательского вычислительного устройства, а на стороне пользовательского вычислительного устройства - на закрытом ключе электронной подписи, вырабатываемом пользовательским вычислительным устройством из мастер-ключа создания электронной подписи пользовательского вычислительного устройства, и открытого ключа пользователя.

Электронный носитель (ЭН) имеет следующие разделы памяти (Фиг. 2):

раздел CD-R - открытый раздел, доступный только для чтения (далее открытый CD-ROM);

скрытый защищенный раздел, доступный только для чтения (далее скрытый CD-ROM раздел);

раздел съемного диска CD-RW - открытый раздел, доступный для чтения и записи (далее открытый RW раздел);

скрытый защищенный раздел съемного диска CD-RW (Flash), доступный для чтения и записи (далее скрытый RW раздел);

скрытый системный раздел (далее служебный раздел).

Описание всех разделов памяти представлено в таблице 1.

Создание разделов памяти электронного носителя осуществляется с помощью утилиты «Администратор электронного носителя».

Программный компонент электронного носителя включает:

операционную систему JaCarta OS (Операционная система предназначена для управления функционированием электронного носителя, включая управление доступом к функциям модуля СКЗИ и разделам электронного носителя);

средство криптографической защиты информации «Криптотокен 2» (данное СКЗИ предназначено для реализации функций персонального средства электронной подписи).

Режимы функционирования заявляемого устройства.

Режимы функционирования изделия определяются режимами функционирования персонального СКЗИ и режимами доступа к разделам памяти электронного носителя. При этом допускается использовать устройство следующим образом (варианты использования):

только как СКЗИ (далее «как СКЗИ»);

только как электронный носитель для безопасного хранения информации (далее «как защищенный носитель»);

как комбинированное устройство СКЗИ + электронный носитель для безопасного хранения информации (далее «как комбинированное устройство»).

Режимы функционирования СКЗИ и описание функциональных возможностей СКЗИ в этих режимах представлено в таблице 2.

Режимы доступа к памяти электронного носителя и описание функциональных возможностей изделия в данных режимах представлено в таблице 3.

Варианты использования заявляемого устройства

Определяется следующий перечень субъектов доступа (пользователей) к функциональным возможностям Служебного токена:

Гость;

Пользователь электронного носителя (Пользователь ЭН);

Пользователь СКЗИ;

Администратор электронного носителя (Администратор ЭН);

Администратор СКЗИ;

Операционная система JaCarta OS.

Для субъектов доступа (пользователей), указанных в таблице 4, определены режимы функционирования изделия.

Общая схема соответствия субъектов доступа (пользователей) режимам СКЗИ и электронного носителя в зависимости от варианта использования заявляемого устройства представлена на Фиг. 4.

Возможности решения задач с помощью Служебного токена сообразно его назначению реализуются посредством следующих операций:

чтение информации с открытого CD-ROM раздела;

чтение информации со скрытого CD-ROM раздела;

чтение и запись информации на открытом RW разделе;

чтение и запись информации на скрытом RW разделе;

хранение ключевых контейнеров программных СКЗИ (CSP);

создание/проверка электронной подписи документов с помощью CSP;

запись информации на открытый CD-ROM раздел;

запись информации на скрытый CD-ROM раздел;

управление аутентификационной информацией (ПИН-коды, параметры аутентификации, ключ Администратора);

управление режимами работы изделия (разблокировка, инициализация и персонализация СКЗИ);

управление содержимым и размерами разделов электронного носителя;

управление механизмом авторизации автоматизированного рабочего места (АРМ) для работы с электронным носителем;

получение информации об изделии и его состоянии;

аудит безопасности (по системному журналу заявляемого устройства).

Матрица доступа субъектов к выполнению описанных операций представлена в таблице 5.

Таким образом, в связи с решением поставленной задачи обеспечивается создание защищенного хранилища важной или чувствительной информации, в частности ключевой и конфиденциальной информации, доступ к которой предоставляется не только исключительно легальным пользователям, но и исключительно с легальных (разрешенных) пользовательских вычислительных устройств (компьютеров, планшетов, ноутбуков и т.д.). Также обеспечивается применение различных способов регулирования доступа к различным областям памяти ЭН и имитация доступа ко всем разделам ЭНП, внешне неотличимая от реального доступа ко всей памяти, при работе законного пользователя под внешним принуждением лишь с частью областей памяти ЭН.

Для проведения дополнительной аутентификации пользователя используется средство дополнительной аутентификации - средство ввода ПИН-кода или ключа (в этом случае отрицательным результатом дополнительной аутентификации является намеренный ввод пользователем одного из заранее установленных неправильных ПИН-кодов, наборов символов или ключей), скрытый переключатель, установленный в корпусе ЭН (в этом случае отрицательным результатом дополнительной аутентификации является бездействие переключателя в процессе аутентификации, заранее установленные последовательности переключений и т.д.), средство ввода символов, установленное в корпусе ЭН (в этом случае отрицательным результатом дополнительной аутентификации является намеренный ввод пользователем одного из заранее установленных неправильных ПИН-кодов, наборов символов или ключей), средство сканирования отпечатков пальцев, установленное в корпусе ЭН (в этом случае отрицательным результатом дополнительной аутентификации является сканирование одного из заранее установленных отпечатков).

Результаты дополнительной аутентификации передаются в процессор ЭН. Процессор получает результаты дополнительной аутентификации и обеспечивает пользователю доступ только к части областей ЭНП, внешне неотличимо имитируя работу со всей памятью ЭН при отрицательном результате дополнительной аутентификации, показывающей, что пользователь работает под внешним принуждением или контролем. При положительном результате дополнительной аутентификации процессор обеспечивает пользователю доступ ко всем областям ЭНП, кроме служебного раздела.

ЭН может быть подключен к пользовательскому вычислительному устройству как непосредственно через физический USB-порт, так и по каналам Bluetooth, IP, NFC, GSM.

Все средства и модули, входящие в состав предлагаемого решения, могут быть практически воплощены с большим различием по сложности реализации и уровню защиты: от самых простых, например, список легальных (разрешенных к применению совместно с данным ЭН) пользовательских вычислительных устройств - в частности, в виде парольных сигналов, формируемых ими при подключении ЭН - может быть заранее (в процессе регистрации устройства в качестве авторизованного защищенного ЭН в конкретной системе) записан в энергонезависимой памяти ЭН и соответствующим образом обрабатываться его процессором, до криптографических способов защиты от НСД гарантированной стойкости, основанных на реализации процедуры подписывания запроса устройства ЭН электронной подписью пользовательского вычислительного устройства, а устройством ЭН - подписывания ответа на запрос пользовательского вычислительного устройства, к которому оно подсоединено [4].

При этом регулирование доступа к отдельным разделам ЭНП при работе законного пользователя под внешним принуждением также может быть реализовано на любом из перечисленных выше возможных уровней защиты. Тем самым задача изобретения в наиболее общей постановке оказывается решена полностью во всех аспектах.

В наиболее ответственных случаях, в частности при использовании данного ЭН в качестве защищенного хранилища криптографических ключей, целесообразно, чтобы в нем доступ к ключевой и конфиденциальной информации, хранящейся в ЭНП, осуществлялся бы через поддерживаемый процессором стандартизованный интерфейс работы с криптографическими ключами, регламентированный регулирующими документами.

Это отличие позволяет распространить на такой ЭН те же апробированные принципы криптографической защиты информации, которые поддерживаются их ранее рассмотренными аналогами - токенами, смарт-картами и устройствами доверенной загрузки.

ИСТОЧНИКИ ИНФОРМАЦИИ

1. Описание токенов компании ЗАО «Аладдин Р.Д.», www.aladdin-rd.ru

2. Описание токенов компании ООО «Актив», www.aktiv-company.ru

3. Патент РФ №147529 на полезную модель, дата публикации 10.11.2014.

4. Конявский В.А. Управление защитой информации на базе СЗИ НСД «Аккорд». - М.: Радио и связь, 1999 - 325 с.

1. Компактный аппаратный электронный носитель (ЭН) информации с многоуровневым регулированием доступа к хранимой информации, содержащий энергонезависимую память (ЭНП), адаптер интерфейса и процессор, управляющий доступом к ЭНП по одновременному положительному результату по меньшей мере одной аутентификации каждой из сторон - пользователя ЭН и пользовательского вычислительного устройства, к которому подсоединен ЭН, отличающийся тем, что он дополнительно содержит средство для проведения дополнительной аутентификации пользователя, процессор средств криптографической защиты информации, реализующий криптографические преобразования, для управления доступом к функциям которого предназначен процессор, управляющий доступом к ЭНП, при этом ЭНП разделена на несколько отдельных областей, хранящих информацию с различной степенью защиты, доступ к каждой из которых осуществляется процессором, управляющим доступом к ЭНП, отдельно в зависимости от результатов дополнительной аутентификации, причем процессор, управляющий доступом к ЭНП, выполнен с возможностью получения результатов дополнительной аутентификации пользователя от средства дополнительной идентификации и обеспечения доступа только к части областей ЭНП, внешне неотличимо имитируя работу со всей памятью ЭН при отрицательном результате дополнительной аутентификации, показывающей, что пользователь работает под внешним принуждением или контролем.

2. Компактный аппаратный электронный носитель (ЭН) по п. 1, отличающийся тем, что средством дополнительной аутентификации является средство ввода ПИН-кода или ключа.

3. Компактный аппаратный электронный носитель (ЭН) по п. 2, отличающийся тем, что отрицательным результатом дополнительной аутентификации является намеренный ввод пользователем одного из заранее установленных неправильных ПИН-кодов, наборов символов или ключей.

4. Компактный аппаратный электронный носитель (ЭН) по п. 1, отличающийся тем, что средством дополнительной аутентификации является скрытый переключатель, установленный в корпусе ЭН.

5. Компактный аппаратный электронный носитель (ЭН) по п. 1, отличающийся тем, что средством дополнительной аутентификации является средство ввода символов, установленное в корпусе ЭН.

6. Компактный аппаратный электронный носитель (ЭН) по п. 1, отличающийся тем, что средством дополнительной аутентификации является средство сканирования отпечатков пальцев, установленное в корпусе ЭН.

7. Компактный аппаратный электронный носитель (ЭН) по п. 6, отличающийся тем, что отрицательным результатом дополнительной аутентификации является сканирование одного из заранее установленных отпечатков.

Изобретение относится к устройствам обработки информации, которые применимы в случае, когда прикладную программу выполняют в соответствии с воспроизведением содержания, такого как телевизионная программа.

Система и способ обнаружения ошибок моделирования // 2634455

Изобретение относится к системам и способам защиты объектов критической инфраструктуры путем контроля состояния такого объекта критической инфраструктуры, как технологическая система, посредством кибернетической системы контроля.

Способ и система анализа протоколов взаимодействия вредоносных программ с центрами управления и выявления компьютерных атак // 2634211

Изобретение относится к системам и способам обнаружения компьютерных атак. Технический результат заключается в повышении эффективности выявления компьютерных атак.

Система и способ автогенерации решающих правил для систем обнаружения вторжений с обратной связью // 2634209

Изобретение относится к области обнаружения компьютерных атак. Техническим результатом является повышение эффективности выявления компьютерных атак.

Оценка процесса для выявления вредоносных программ в виртуальных машинах // 2634205

Изобретение относится к области защиты компьютерных систем от вредоносных программ. Техническим результатом является помещение компонента, обнаруживающего запуски процесса, за пределами соответствующей виртуальной машины на более высокий уровень привилегий процессора, чем уровень привилегий операционной системы, что обеспечивает возможность предотвращать сокрытие вредоносного программного обеспечения от компонентов защиты от вредоносных программ.

Устройство программно-аппаратного комплекса формирования ключевой информации и радиоданных для радиостанции // 2634202

Изобретение относится к радиотехнике и вычислительной технике. Технический результат заключается в повышение надежности защиты ключевой информации и радиоданных.

Способ верификации безопасного распределения пользовательских задач по узлам грид-системы // 2634184

Изобретение относится к вычислительной технике и может быть использовано в распределенных вычислительных сетях. Техническим результатом является повышение защищенности грид-системы и сокращение временных затрат на поддержание надежного функционирования грид-систем за счет сокращения времени простоя оборудования, вызванного его отказом вследствие осуществления компьютерных атак на ресурсы грид-систем.

Способ противодействия несправедливым оценкам приложений // 2634182

Изобретение относится к области контроля выставления оценок приложений, а именно к способам противодействия несправедливым оценкам приложений. Техническим результатом является обеспечение защиты от неавторизированной оценки приложения в магазине приложений при помощи вычислительного устройства, которое достигается путем предоставления доступа к элементам интерфейса на странице приложения в магазине приложений, если данные для авторизации удовлетворяют условию разблокирования.

Система и способ обнаружения вредоносных компьютерных систем // 2634181

Изобретение относится к области обнаружения вредоносных компьютерных систем. Техническим результатом является выявление вредоносных компьютерных систем за счет использования системы признания компьютерной системы вредоносной, при этом вредоносной компьютерной системой является компьютерная система, на которой работают вредоносные приложения.

Способ и система для доверенного доведения информации до пользователя // 2634179

Изобретение относится к средствам защиты от подмены электронных документов на вычислительных устройствах. Технический результат – уменьшение возможности подмены информации, отображаемой на экране компьютера, за счет корреляции указанной информации с информацией, фиксируемой на внешнем портативном устройстве в реальном времени.

Способ и аппарат для безопасного сенсорного ввода // 2635224

Изобретение относится к обеспечению защиты информации, вводимой через сенсорный экран. Технический результат – предотвращение утечки информации, вводимой через сенсорный экран. Способ безопасного сенсорного ввода, содержащий этапы, на которых визуализируют первый экран в рабочей области, имеющей первый уровень защиты, используя безопасный основной процессор, визуализируют второй экран в рабочей области, имеющей второй уровень защиты, используя небезопасный основной процессор, причем первый уровень защиты выше, чем второй уровень защиты, и выводят экран безопасного ввода с помощью отображения первого экрана в качестве наложения сверху второго экрана посредством модуля безопасности сенсорного ввода, хранимого в безопасной области блока хранения, конфигурируют часть блока хранения как безопасную область, запрещают доступ небезопасного основного процессора к безопасной области блока хранения и поддерживают доступ безопасного основного процессора к безопасной области блока хранения. 3 н. и 24 з.п. ф-лы, 8 ил.

Комплекс аппаратно-программных средств, создающий защищенную облачную среду с автономной полнофункциональной инфраструктурой логического управления с биометрико-нейросетевой идентификацией пользователей и с аудитом подключаемых технических средств // 2635269

Изобретение относится к области информационной безопасности. Технический результат направлен на повышение информационной безопасности облачных сервисов. Комплекс аппаратно-программных средств, создающий защищенную облачную среду с автономной полнофункциональной инфраструктурой логического управления с биометрико-нейросетевой идентификацией пользователей и с аудитом используемых технических средств, содержит серверное и сетевое оборудование, рабочее место администратора, хранилище информации большого объема, защищенную точку доступа, дополнительно оснащен модулем безопасности, модулем доверия, модулем биометрико-нейросетевых вычислений и мобильной ПЭВМ, обеспечивающей защиту данных от хищения и несанкционированного доступа. 7 з.п. ф-лы, 2 ил.

Способ категоризации сборок и зависимых образов // 2635271

Изобретение относится к области категоризации неизвестных образов сборок, созданных на устройстве. Техническим результатом является повышение безопасности устройства, путем ограничения доступа образа машинного кода, имеющего категорию доверия недоверенный, к ресурсам, предоставляемым операционной системой. Раскрыт способ ограничения доступа образа машинного кода к ресурсам, предоставляемым операционной системой, в котором: а) получают образ машинного кода; б) определяют родительскую сборку, где родительской сборкой является сборка, на основании которой создан полученный образ; в) устанавливают соответствие между полученным образом машинного кода и определенной родительской сборкой, где соответствие гарантирует неизменность образа машинного кода после создания; г) определяют категорию доверия определенной на этапе ранее родительской сборки; д) определяют категорию доверия полученного образа машинного кода на основании категории доверия родительской сборки, где полученному образу машинного кода, для которого на шаге в) установлено соответствие, назначают категорию доверия родительской сборки; е) ограничивают доступ полученного образа машинного кода, имеющего категорию доверия недоверенный, к ресурсам, предоставляемым операционной системой. 1 з.п. ф-лы, 9 ил., 2 табл.

Система и способ выявления подозрительной активности пользователя при взаимодействии пользователя с различными банковскими сервисами // 2635275

Изобретение относится к системам и способам выявления подозрительной активности пользователя при взаимодействии с банковскими сервисами. Технический результат заключается в повышении безопасности взаимодействия пользователя с банковскими сервисами посредством аккаунта пользователя при помощи устройства, которое предоставляет банковские сервисы. Система содержит средство сбора данных, работающее на устройстве, которое предоставляет банковские сервисы, и предназначенное для сбора информации о прошедших активностях, определения устройства, которое используется при взаимодействии через аккаунт пользователя с банковским сервисом; средство построения модели, предназначенное для создания модели поведения пользователя на основании собранной информации, вычисления вероятности мошенничества для прошедшей активности пользователя, аккаунта пользователя и устройства; средство анализа, предназначенное для формирования шаблонов подозрительного поведения пользователя, выявления подозрительной активности пользователя на основании сформированных шаблонов подозрительного поведения; средство блокировки, предназначенное для выполнения действия по предотвращению мошенничества в случае выявления подозрительной активности. 2 н. и 4 з.п. ф-лы, 4 ил.

Безопасная аутентификация по логину и паролю в сети интернет с использованием дополнительной двухфакторной аутентификации // 2635276

Изобретение относится к области защиты данных от несанкционированного доступа, а более конкретно, к системам безопасной аутентификации. Техническим результатом является обеспечение защищенной передачи данных пользователя на сайт в сети Интернет. Система для защищенной передачи аутентификационных данных пользователя на сайт в сети Интернет содержит следующие средства: плагин в браузере, установленный на компьютере пользователя, при этом плагин предназначен для определения, что пользователь с помощью упомянутого браузера произвел соединение с сайтом, при взаимодействии с которым требуется защищать получаемые и передаваемые аутентификационные данные (далее - защищаемый сайт), и передачи информации о том, что произошло соединение с защищаемым сайтом, антивирусному приложению; антивирусное приложение, установленное на упомянутом компьютере, предназначенное для проверки операционной системы, установленной на упомянутом компьютере, на наличие уязвимостей и вредоносных приложений после получения упомянутой информации от плагина и передачи информации о проведенной проверке, а также информации, полученной от плагина, на устройство для безопасной передачи данных, и применения настроек безопасного канала передачи данных; устройство для безопасной передачи данных, предназначенное для: выбора настроек безопасного канала передачи данных между устройством для безопасной передачи данных и защищаемым сайтом на основании информации о проведенной антивирусным приложением проверке, передачи по безопасному каналу передачи данных между устройством для безопасной передачи данных и защищаемым сайтом аутентификационных данных пользователя на защищаемый сайт для аутентификации на данном сайте, при этом передача происходит на основании информации о том, что пользователь с помощью браузера произвел соединение с защищаемым сайтом, при этом аутентификационные данные хранятся на устройстве для безопасной передачи данных в зашифрованном виде. 2 н. и 6 з.п. ф-лы, 5 ил.

Система аутентификации аппарата обработки изображения и аппарат обработки изображения // 2635869

Изобретение относится к системе аутентификации аппарата обработки изображения. Технический результат заключается в обеспечении централизованного управления аутентификацией пользователей аппаратов обработки изображения без использования выделенного сервера аутентификации. Система содержит множество соединенных друг с другом аппаратов обработки изображения, каждый из которых содержит блок ввода информации идентификации пользователя, блок хранения информации аутентификации и блок аутентификации, при этом один из аппаратов служит в качестве главного устройства, а другие - в качестве локальных; главное устройство содержит блок редактирования информации аутентификации и блок передачи информации аутентификации; каждое из локальных устройств содержит блок приема информации аутентификации, блок обновления информации аутентификации, блок настройки доступности аутентификации, который, когда информация аутентификации не принята от главного устройства, выбирает и устанавливает, разрешить ли блоку аутентификации локального устройства выполнить аутентификацию, и блок хранения настройки доступности аутентификации. 3 н. и 7 з.п. ф-лы, 9 ил.

Способ обеспечения безопасных транзакций электронной коммерции // 2635874

Изобретение относится к системе и способу обеспечения безопасных транзакций электронной коммерции. Технический результат заключается в повышении безопасности транзакций электронной коммерции. В способе создают зашифрованный цифровой сертификат объекта для объекта и сохраняют его в базе данных, создают зашифрованный цифровой сертификат продавца для продавца объекта и сохраняют его в базе данных, присваивают активный, приостановленный или аннулированный статус сертификату объекта согласно первому заданному критерию и сертификату продавца согласно второму заданному критерию и сохраняют статусы в базе данных, создают зашифрованный цифровой сертификат продажи путем агрегирования элементов, содержащих сертификат объекта и сертификат продавца и сохраняют сертификат в базе данных, присваивают аннулированный статус сертификату продажи, если оба статуса сертификата продавца и сертификата объекта не являются активными, и активный статус в противном случае и сохраняют статус в базе данных, публикуют сертификат продажи и его статус в онлайн-магазине. 2 н. и 7 з.п. ф-лы, 5 ил.

Способ и устройство для отображения целевого объекта // 2635904

Изобретение относится к технологиям сетевой связи. Технический результат заключается в повышении точности передачи данных. Способ, включающий обнаружение события многоточечного прикосновения к целевому объекту; определение того, является ли обнаруженное событие многоточечного прикосновения заранее заданным первым событием многоточечного прикосновения, причем первое событие многоточечного прикосновения используют для запуска переключения целевого объекта в режим безопасного отображения; переключение целевого объекта в режим безопасного отображения, в котором отображается только целевой объект, если обнаруженное событие многоточечного прикосновения является первым событием многоточечного прикосновения, при этом целевой объект содержит графический объект, текстовый объект, объект мультимедиа или оконный объект. 3 н. и 10 з.п. ф-лы, 13 ил.

Устройство программно-аппаратного комплекса формирования ключевой информации и радиоданных для радиостанции // 2636092

Изобретение относится к технологиям сетевой связи. Технический результат заключается в повышении безопасности передачи данных. Устройство содержит модуль вычислительный (МВ), выполненный из блока выдачи видеоинформации, интерфейса внешних устройств, блока разуплотнения потока данных для передачи во внешние устройства, блока хранения и обмена данными шумовой последовательности, блока формирования и хранения ключей и масок шифрования, контроллера памяти, администратора состояний, блока шифрования, маскирования, демаскирования и дешифрации данных, модуль контроля управления и индикации (МКУИ), выполненный из контроллера состояния батареи питания, блока контроля напряжений питания, блока контроля вскрытия корпуса, блока управления элементами дополнительной индикации, контроллера ввода данных с клавиатуры, модуль интерфейсов (МИ), выполненный из внешних устройств - блока взаимодействия с радиоаппаратурой, контроллера взаимодействия с устройством ввода радиоданных (УВРД), блока взаимодействия с персональной электронно-вычислительной машиной (ПЭВМ), клавиатуру и дисплей. 1 ил.

Формирование ключа в зависимости от параметра // 2636105

Изобретение относится к области аутентификации пользователей. Технический результат – эффективное управление безопасностью вычислительных ресурсов. Способ управления доступом к одному или более вычислительным ресурсам провайдера вычислительных ресурсов содержит: под управлением одной или более компьютерных систем, функционирующих на основе выполняемых команд, прием от первого объекта запроса делегирования, выполнение которого включает в себя разрешение второму объекту привилегии доступа к вычислительному ресурсу; генерирование ключа сеанса на основе, по меньшей мере частично, ограничения и секретного сертификата, совместно используемого с первым объектом; предоставление ключа сеанса первому объекту; прием от второго объекта запроса доступа на осуществление доступа к вычислительному ресурсу, причем запрос доступа включает в себя ключ сеанса, предоставленный первому объекту; подтверждение запроса доступа на основе, по меньшей мере частично, ключа сеанса, содержащегося в запросе доступа; и разрешение второму объекту доступа к вычислительному ресурсу. 3 н. и 17 з.п. ф-лы, 24 ил.