Способ и система передачи данных на сервер с привлечением удостоверяющего центра

Авторы патента:

Лапушкин Антон Сергеевич (RU)

Ефремов Андрей Анатольевич (RU)

Ладиков Андрей Владимирович (RU)

Шмойлов Дмитрий Владимирович (RU)

H04L9/321 - Устройство для секретной или скрытой связи (способы расширения спектра вообще H04B 1/69)

H04L9/32 - со средствами для установления личности или полномочий пользователя системы (вычислительные системы G06F; безмонетные или подобные автоматы для карт с опознавательным кодом или для кредитных карт G07F 7/08)

G06F21/62 - Обработка цифровых данных с помощью электрических устройств (вычислительные машины, в которых часть вычислений осуществляется гидравлическими или пневматическими устройствами G06D; оптическими средствами G06E; автономные внешние вводные и выводные устройства G06K; компьютерные системы, основанные на специфических вычислительных моделях G06N; цепи полного /активного и реактивного/ сопротивления H03H)

Владельцы патента RU 2773624:

Акционерное общество "Лаборатория Касперского" (RU)

Изобретение относится к вычислительной технике. Технический результат заключается в обеспечении анонимности передаваемых данных без потери полноты и репрезентативности информации, необходимых серверу для анализа и построения статистики. Предлагается способ передачи преобразованных данных в клиент-серверной архитектуре, в котором: отправляют клиенту от средства сертификации ключ преобразования; разделяют структуру данных, предназначенную для отправки серверу, на по меньшей мере две подструктуры и осуществляют первичное преобразование подструктур данных на клиенте; отправляют указанные подструктуры данных от клиента к серверу по разным маршрутам; объединяют подструктуры данных на сервере после получения в структуру. 2 н. и 48 з.п. ф-лы, 22 ил., 1 табл.

Область техники

Изобретение относится к способам и системам обеспечения анонимности пользовательских данных при маршрутизации данных в клиент-серверной архитектуре.

Уровень техники

Изменения законодательства в мире (например, в РФ подписан закон, согласно которому персональные данные россиян, используемые онлайн-сервисами, должны храниться на территории России, в Швейцарии для банков требуется чтобы данные пользователей также не покидали территорию юрисдикции федерального правительства, в ряде стран персональные данные запрещается хранить в открытом виде) заставляют специалистов по информационной безопасности искать новые способы управления данными, уходящими от персональных электронных устройств. При этом разрабатываемые решения не должны усложнять работу пользователей компьютерных систем и работать для пользователей максимально прозрачно.

С введением в действие Общего регламента по защите данных (англ. The General Data Protection Regulation, сокр. GDPR) количество персональных данных хранимых в сетевой инфраструктуре на стороне различных сервисов и получаемых от пользователей становится минимальным. При этом необходимо обеспечить распределенное хранение и обработку данных, получаемых от пользователя без потери их уникальности.

Указанные причины вызывают сложности при внедрении облачной инфраструктуры в корпоративном и частном секторе, в результате на рынке появляются технические решения, позволяющие учитывать требования законодательства. Например, публикации:

• US 20122866 описывает способ хранения данных в облачных хранилищах, в котором любой файл от устройства пользователя поступает на прокси-сервер, на котором шифруется и передается в облачное хранилище;

• US 8739265 описывает способ обфускации и извлечения данных, где данные содержащие конфиденциальные данные, отправляемые с устройства, перехватываются, изменяются и передаются далее в облачное хранилище. При этом изменяются не все данные, а определенные в соответствии с правилами, установленными в сети, и эти данные могут не передаваться в облако, а извлекаться и сохранятся локально, а передаваться будут non sensitive data и токен вместо извлеченных данных;

• US 8601598 описывает технологию безопасного хранения данных в облачном хранилище, в которой данные, поступающие в облачное хранилище от устройств с установленным агентом, шифруются открытым ключом, при этом само хранилище может быть разделено в зависимости от типов данных и пользователей, использующих хранилище.

На основании анализа существующего уровня техники становится ясно, что описанные средства требуют установки на устройстве пользователя дополнительного агента, что затрудняет работу пользователя с удаленным сервером и делает взаимодействие непрозрачным. В другом случае, где агент не устанавливается, осуществляется тотальное шифрование исходящих данных без учета содержимого, что также не удобно и создает дополнительную нагрузку. Расположению клиента и сервера также не уделяется должного внимания. Требуется решение, которое будет способно решить указанные недостатки.

Раскрытие изобретения

Настоящее изобретение предназначено для отправки данных в клиент-серверной архитектуре с обеспечением анонимности передаваемых данных и без потери полноты и репрезентативности информации необходимых серверу для анализа и построения статистики.

Технический результат настоящего изобретения заключается в обеспечении передачи преобразованных данных в клиент-серверной архитектуре.

Объектом настоящего изобретения является способ передачи преобразованных данных в клиент-серверной архитектуре, в котором отправляют клиенту от средства сертификации ключ преобразования, а на клиенте разделяют структуру данных, предназначенную для отправки серверу, на по меньшей мере две подструктуры и осуществляют первичное преобразование подструктур данных на клиенте, при этом преобразование осуществляется с использованием ключа, полученного от средства сертификации. Полученные подструктуры данных отправляют от клиента к серверу по разным маршрутам, при этом:

- один из маршрутов включает узел сети со средством анонимизации, где

• средством анонимизации узла осуществляют вторичное преобразование каждой подструктуры данных, отправленной по этому маршруту;

На сервере, после получения, объединяют подструктуры данных в структуру.

В частном случае структуру данных разделяют на по меньшей мере две подструктуры:

- подструктуру, содержащую критические данные (далее КД), где

• критические данные - данные в отношении которых закон государства, в юрисдикции которого находится клиент, или уполномоченный субъект накладывает ограничения на сбор, хранение, доступ, распространение и обработку;

- подструктуру не содержащую КД.

Ключ преобразования для отправки клиенту могут выбирать из предварительно сформированного множества ключей. В частном случае ключ преобразования является ключом шифрования, и в таком случае в предварительно сформированном множестве ключей могут содержатся в том числе пары из открытых и закрытых ключей шифрования. Клиент от средства сертификации получает открытый ключ шифрования, а закрытый ключ шифрования сохраняет средство сертификации и преобразование может осуществляться посредством асимметричного шифрования.

В частном случае на клиенте преобразуют подструктуры данных содержащие КД, а маршрут для подструктуры, содержащей КД, включает узел со средством анонимизации.

В другом частном случае данные подструктуры, не содержащей КД, тоже преобразуют с использованием методов ассиметричного шифрования, где открытый ключ шифрования передают клиенту, а закрытый ключ шифрования сохраняют на сервере, в отличии от преобразования подструктур данных с КД, где закрытый ключ сохраняется средством сертификации

В частном случае первичное преобразование подструктур данных на клиенте осуществляют без возможности обратного преобразования данных средством преобразования и/или сервером и такому преобразованию могут подвергаться данные подструктуры, содержащей конфиденциальные данные. Также первичное преобразование подструктур данных на клиенте может осуществляться без возможности обратного преобразования данных вообще.

В частном случае средством преобразования вторичное преобразование проходящей подструктуры данных (например, содержащей КД и первично преобразованной на клиенте) осуществляют без возможности обратного преобразования на сервере и клиенте и средстве сертификации. Преобразование может осуществляться также методами асимметричного преобразования

Клиенты, серверы и узлы со средствами преобразования и сертификации могут располагаться различным образом:

• узел сети со средством преобразования, расположен в региональной сети отличной от региональной сети, в которой расположен сервер;

• узел сети со средством преобразования, расположен в региональной сети отличной от региональной сети, в которой расположен клиент;

• узел сети со средством сертификации, расположен в региональной сети отличной от региональной сети, в которой расположен узел со средством преобразования;

• узел сети со средством сертификации, не находится в одном Интранете с сервером или клиентом

• узел сети со средством сертификации, расположен в региональной сети отличной от региональной сети, в которой расположен сервер;

• узел сети со средством сертификации, расположен в региональной сети отличной от региональной сети, в которой расположен клиент;

• узел сети со средством сертификации, не находится в одном Интранете с узлом со средством преобразования.

В частном случае региональная сеть одновременно является национальной сетью.

В частном случае структура данных на клиенте, которую разделяют, является структурой данных запроса.

Другим объектом изобретения из группы объектов является система передачи преобразованных данных в клиент-серверной архитектуре, в которой:

б) средство сертификации предназначено для:

- создания ключей для преобразований данных;

- отправки ключа для преобразования клиенту;

в) клиент предназначен для:

- разделения структур данных, предназначенных для отправки серверу на по меньшей мере две подструктуры;

- первичного преобразования подструктур данных на основании ключа, полученного от средства сертификации;

- отправки указанных подструктур данных от клиента к серверу по разным маршрутам;

г) средство преобразования, предназначено для:

- вторичного преобразования каждой подструктуры данных, отправленной по маршруту, включающему узел сети средством преобразования;

д) сервер, предназначенный для объединения подструктуры данных на сервере после получения в структуру.

В частном случае структуру данных разделяют на по меньшей мере две подструктуры:

- подструктуру, содержащую критические данные (далее КД), где

- подструктуру не содержащую КД.

Клиенты, серверы и узлы со средствами преобразования и сертификации могут располагаться различным образом:

• узел сети со средством сертификации, не находится в одном Интранете с сервером или клиентом

• узел сети со средством сертификации, не находится в одном Интранете с узлом со средством преобразования.

В частном случае региональная сеть одновременно является национальной сетью.

Краткое описание чертежей

Сопровождающие чертежи включены для обеспечения дополнительного понимания изобретения и составляют часть описания, показывают варианты осуществления изобретения и совместно с описанием необходимы для объяснения признаков изобретения.

Фиг. 1 - изображает систему маршрутизации данных в клиент-серверной архитектуре.

Фиг. 1а - изображает систему маршрутизации данных с удостоверяющим центром в клиент-серверной архитектуре.

Фиг. 2 - изображает вариант способа маршрутизации данных в клиент-серверной архитектуре с разделением структуры данных на подструктуры клиентом.

Фиг. 3 - изображает вариант способа маршрутизации данных в клиент-серверной архитектуре при выполнении запроса с выделением в структуре данных подструктур средством анонимизации.

Фиг. 4 - изображает вариант способа маршрутизации данных в клиент-серверной архитектуре с выделением в структуре данных подструктур клиентом.

Фиг. 5 - изображает вариант способа маршрутизации данных в клиент-серверной архитектуре при выполнении запроса с разделением структуры данных на подструктуры клиентом.

Фиг. 6а - изображает пример осуществления способа маршрутизации данных в клиент-серверной архитектуре при отправке данных (для построения статистики) с разделением структуры данных на подструктуры клиентом.

Фиг. 6б - изображает пример осуществления способа маршрутизации данных в клиент-серверной архитектуре при обнаружении целевой атаки на клиента на основании собранной информации способом по Фиг. 6а.

Фиг. 7 - изображает пример осуществления способа маршрутизации данных в клиент серверной архитектуре при выполнении запроса с выделением в структуре данных подструктур средством анонимизации.

Фиг. 8 - изображает пример осуществления способа маршрутизации данных в клиент серверной архитектуре с выделением в структуре данных подструктур клиентом.

Фиг. 9 - изображает пример осуществления способа маршрутизации данных в клиент серверной архитектуры при выполнении запроса с разделением структуры данных на подструктуры клиентом.

Фиг. 10 - изображает систему анонимного обмена данными в клиент-серверной архитектуре.

Фиг. 11 - изображает вариант способа обмена данными в клиент-серверной архитектуре, который используется для получения данных от клиентов для построения статистики на стороне сервера.

Фиг. 12 - изображает вариант способа обмена данными, который используется при выполнении запроса клиента к серверу.

Фиг. 13 - изображает пример осуществления способа обмена данными, при выполнении запроса клиента к серверу.

Фиг. 13а - изображает пример осуществления способа обмена данными, при выполнении запроса клиента к серверу в асинхронном режиме.

Фиг. 14 - изображает вариант способа передачи критических данных в клиент-серверной архитектуре.

Фиг. 14а - изображает пример осуществления способа передачи критических данных в клиент-серверной архитектуре.

Фиг. 15 - изображает вариант способа передачи преобразованных данных в клиент-серверной архитектуре с привлечением удостоверяющего центра.

Фиг. 15а - изображает пример осуществления способа передачи преобразованных данных в клиент-серверной архитектуре с привлечением удостоверяющего центра.

Фиг. 16 - изображает пример компьютерной системы общего назначения.

Осуществление изобретения

На Фиг. 1 изображена система маршрутизации данных между клиентом и сервером. Система включает клиент, сервер, узел сети со средством анонимизации. Сервер является частью облачной инфраструктуры (на фигуре не изображена), а клиент - это устройство пользователя. Узел со средством анонимизации расположен в региональной сети¹ (¹Географически рассредоточенная сеть, коммуникационными средствами объединяющая в единое целое компьютеры в разных пунктах, совокупность региональных сетей образует глобальную сеть.) отличной от региональной сети, в которой расположен сервер² (²Это позволяет располагать элементы системы в независимых юрисдикциях) и, не находится в одном Интранете³ (³ ГОСТ Ρ ИСО 9241-151-2014) с сервером или клиентом. При этом в рамках данного изобретения разные региональные сети не только географически разнесены, но и находятся в разных юрисдикциях, поэтому, очевидно, в рамках данного изобретения разными региональными сетями могут быть в том числе, сети объединяющие узлы стран (национальные сети). Например, из Фиг. 1:

• региональная сеть 1 - сеть США;

• региональная сеть 2 - сеть Германии/ЕС;

• региональная сеть 3 - сеть Российской Федерации.

Глобальная сеть по Фиг. 1 это совокупность всех региональных сетей - мировая сеть - Интернет. В терминологии GDPR, например, региональная сеть РФ, в которой расположен сервер, будет считаться региональной сетью третьей страны.

В частном случае региональная сеть узла со средством анонимизации отлична также и от региональной сети клиента. Стрелки на Фиг. 1 отходят от сети, а не от клиента, так как в общем случае виден внешний IP-адрес за счет функционирования технологий сокрытий внутренних адресов, в частности: Proxy, NAT.

Клиент содержит средство модификации, предназначенное для разделения структур данных (которые формируются для отправки от клиента серверу) на подструктуры и выбора маршрута для полученных подструктур. Критерии разделения структуры данных на подструктуры могут быть различными, одним из таких критериев является наличие персональных данных (англ. Personal Identification Information) или их специальных категорий (по терминологии GDPR), при котором структура данных разделяется таким образом, что одна подструктура содержит персональные данные (далее ПДн, англ. PII) или их специальные категории, другая подструктура включает данные, не являющиеся персональными. Отношение данных к персональным определяется, например, законодательством страны, в юрисдикции которой находится пользователь, использующий устройство, являющееся в описываемой системе клиентом. Другими словами, по местоположению источника данных. Другим более общим критерием является наличие критических данных. К критическим данным (англ. critical data) относят данные в отношении которых закон или уполномоченный субъект накладывает ограничения на сбор, хранение, доступ, распространение и обработку. Эти данные, как правило чувствительны к разглашению, распространению, утечке, так как возникновение этих событий приводит к нарушению прав и охраняемых законом интересов субъектов и предусматривает ответственность для субъектов допустивших нарушения правил сбора, хранения, доступа, обработки предъявляемым к таким данным. Частным случаем критических данных являются конфиденциальные данные⁴ ⁽⁴ или конфиденциальной информации, в рамках данной заявки конфиденциальные данные и конфиденциальная информация синонимы) (англ. sensitive data). Под конфиденциальными данными понимаются данные, которые охраняются в соответствии с законодательством страны, в юрисдикции которой находится пользователь, использующий устройство, являющееся в описываемой системе клиентом. К конфиденциальным данным в частном случае относятся персональные данные (ПДн) и данные содержащие:

• коммерческую тайну;

• налоговую тайну;

• банковскую тайну;

• врачебную тайну;

• нотариальную тайну;

• адвокатскую тайну;

• аудиторскую тайну;

• тайну связи;

• тайну страхования;

• тайну завещания;

• тайну усыновления;

• тайну исповеди;

• тайну следствия;

• тайну судопроизводства;

• сведения о защищаемых лицах

• государственную тайну.

Средство анонимизации предназначено для преобразования и обратного преобразования подструктур, маршрут которых проходит через узел со средством анонимизации. Под преобразованием подструктур в частном случае понимают преобразование данных, которые содержит подструктура. В частном случае способами преобразования данных подструктур являются:

• квантование;

• сортировка;

• слияние (склеивание);

• группировка;

• настройка набора данных;

• табличная подстановка значений;

• вычисляемые значения;

• кодирование данных;

• шифрование;

• нормализация (масштабирование).

Некоторые виды преобразования могут применятся не только к отдельным данным в подструктуре, но и к подструктуре в целом, например, токенизация и/или шифрование. При этом преобразование в частном случае осуществляется без возможности обратного преобразования⁵ (⁵ под обратным преобразованием понимается преобразование, позволяющее восстановить исходную форму объекта преобразования (данных, подструктуры) до преобразования) любыми средствами кроме средства анонимизации узла. Под преобразованием в общем случае понимается отображение (функция) множества в себя, или другими словами, преобразованиями называют отображения, переводящие некоторое множество в другое множество⁶ (⁶ Математический энциклопедический словарь. - М., 1988. - С. 487.).

Подструктура от одного и того же клиента средством анонимизации может преобразовываться одним и тем же способом или разными способами. Если преобразование осуществляется одним и тем же способом, то преобразованная подструктура или данные подструктуры от одного и того же клиента будут выглядеть идентично, в противном случае будут отличаться и построить статистику по одному клиенту (выполнить профилирование) будет невозможно.

Сервер содержит средство объединения, предназначенное для объединения разделенной на клиенте структуры данных. Объединение возможно осуществить, например, на основании уникальных идентификаторов, которые присваиваются каждой подструктуре при разделении и идентичны для подструктур одной структуры. Средство объединения получает подструктуры, приходящие к серверу по разным сетевым маршрутам, и объединяет в структуру. Структура, очевидно, будет отлична от оригинальной, разделенной на клиенте, по причине того, что подструктуры, прошедшие через узел со средством анонимизации, будут преобразованы упомянутым средством. Полученная структура может сохраняться в базе данных (на фигурах не указана).

В частном случае средство анонимизации получает от клиента структуру, не разделенную на подструктуры средством модификации клиента (например, структуру запроса к серверу), в таком случае для передачи серверу средство анонимизации выделяет в полученной структуре подструктуры, содержащие ПДн и осуществляет преобразование данных подструктур, примеры указаны ниже.

Описанная система используется для анонимизации запросов, отправляемых серверу и ответов на эти запросы, отправляемых клиенту, а также для получения данных от клиентов, которые используются для построения статистики. На Фиг. 2 изображен способ маршрутизации данных в клиент-серверной архитектуре, который в частном случае используется для получения данных от клиентов для построения статистики. На этапе 200 средством модификации разделяют структуру, предназначенную для отправки серверу в соответствии с критериями, одним из таких критериев может являться наличие ПДн в структуре, в результате разделения получают подструктуру, содержащую ПДн (на Фиг. 2 для примера это подструктура 1) и не содержащую ПДн (на Фиг. 2 это, соответственно, подструктура 2). Здесь и далее для примера в качестве критерия будет использоваться наличие ПДн, а не наличие критических или конфиденциальных данных, хотя что справедливо для ПДн, справедливо и для критических или конфиденциальных данных в общем в примерах осуществления изобретения, в рамках данной заявки. В частном случае подструктур первого и второго вида может быть больше чем одна, как и критериев по которым осуществляется разделение. На этапе 210 средство модификации отправляет полученные подструктуры серверу, при этом отправка осуществляется по разным маршрутам (маршрут А и маршрут В), где один из маршрутов включает узел сети со средством анонимизации (маршрут А), расположенный в региональной сети отличной от сети, которой расположен сервер и, не находящийся в одном Интранете с сервером или клиентом. Когда одна из подструктур, предназначенная для отправки серверу, содержит ПДн, она направляется к серверу через узел со средством анонимизации (маршрут А). Далее на этапе 220 подструктуры, проходящие через узел со средством анонимизации преобразуются указанным средством и передаются далее серверу (этап 221) в преобразованном виде. В общем случае подструктуры от одного и того же клиента в разные моменты времени преобразуются различно (например ID Клиента ->AnonymizedID1 ≠ AnonymizedID2 ≠ AnonymizedID3 и т.д.), это относится ко всем примерам, но в частном случае, когда для некоторых систем безопасности необходимо накопить информацию (построить статистику) по определенному клиенту для подструктуры от одного и того же клиента, преобразование будет идентично (например ID Клиента ->AnonymizeID1 = AnonymizedID2 = AnonymizedID3 и т.д.). В заключении на этапе 230 полученные от клиента подструктуры объединяются в структуру (Структура'). Очевидно, что итоговая структура (Структура') отличается от исходной, так как, по меньшей мере одна подструктура был преобразована средством анонимизации. Итоговая структура в базе данных и будет использоваться средствами инфраструктуры⁷ (⁷ Средства и база данных на данной фигуре не указаны. Отдельные элементы инфраструктуры такие как средство обработки запроса и средство обнаружения атаки указаны на других фигурах) на стороне сервера. Преобразование подструктур и/или данных подструктур средством анонимизации выполняется способом, исключающим возможность обратного преобразования подструктур и/или данных подструктур любыми средствами, отличными от средств узла сети со средством анонимизации.

На Фиг. 3 изображен способ маршрутизации, который в частном случае используется при выполнении запроса клиента к серверу. На этапе 300 сформированный на клиенте запрос отправляют средством модификации от клиента к серверу, при этом маршрут включает узел сети со средством анонимизации, расположенный в региональной сети отличной от сети, которой расположен сервер и, не находящийся в одном Интранете с сервером или клиентом. В частном случае часть данных запроса (не содержащая конфиденциальные данные) может быть преобразована средством модификации на клиенте, при этом преобразование может быть выполнено таким образом, чтобы средством анонимизации было невозможно выполнить обратное преобразование (этап 311 на Фиг. 4) и обратное преобразование возможно выполнить только средствами сервера (этап 325 на Фиг. 4)⁸ (⁸ такую возможность может предоставить в частности асимметричное шифрование, когда клиент имеет открытый ключ, а сервер закрытый ключ). Далее на этапе 310 средством анонимизации выделяют в структуре данных запроса, предназначенной для отправки серверу, подструктуры, в соответствии с критериями, одним из таких критериев может являться наличие ПДн, в результате выделения получают подструктуру, содержащую ПДн (на Фиг. 3, по аналогии с предыдущим примером, это подструктура 1) и не содержащую ПДн (на Фиг. 3 это подструктура 2). На этапе 320 средством анонимизации осуществляют преобразование⁹ (⁹ если не указано иное при использовании понятия преобразование понимается именно прямое преобразование.) (прямое преобразование из оригинальных к преобразованным) подструктуры данных (и/или данных в подструктуре), содержащей ПДн, средством анонимизации и полученную структуру данных запроса с преобразованной подструктурой, содержащей ПДн, отправляют серверу (этап 321). На полученный запрос сервером на этапе 330 формируют ответ, средством обработки запроса. При этом, в отношении тех данных запроса, которые в частном случае могли быть преобразованы клиентом сервер выполняет предварительно обратное преобразование (этап 325 на Фиг. 4). Структура данных ответа на запрос, в нашем примере с ПДн содержит подструктуры:

• содержащие ПДн преобразованные средством анонимизации (подструктура Г, извлеченная из структуры запроса);

• не содержащие ПДн (подструктура 3, содержащая тело ответа на запрос или полезную нагрузку ответа¹⁰ (¹⁰ от англ. payload)).

При этом данные, не содержащие ПДн (подструктура 3), могут быть преобразованы (прямое преобразование) без возможности обратного преобразования средством анонимизации (подструктура 3') это осуществляется на этапе 340. Обратное преобразование этих данных может быть выполнено только средством модификации клиента¹¹ (¹¹ такую возможность может предоставить, в частности, асимметричное шифрование, где сервер имеет открытый ключ, а клиент закрытый ключ.), на этапе 350 отправляют полученную структуру данных ответа на запрос от сервера узлу сети со средством анонимизации. Средством анонимизации на этапе 360 осуществляют обратное преобразование подструктур данных ответа на запрос, содержащих ПДн (подструктура 1'). Обратное преобразование выполняют в отношении тех данных, которые были преобразованы на этапе 320 (обратное преобразование из преобразованных данных к оригинальным данным, содержащимися в запросе от клиента изначально). Полученную структуру данных перенаправляют клиенту (этап 370) и средством модификации клиента на этапе 380 осуществляют обратное преобразование подструктур данных ответа на запрос, не содержащих ПДн, преобразованных сервером на этапе 340.

Фиг. 4 изображает вариант способа, изображенного на Фиг. 3, но в этом варианте этап 310 по выделению подструктур осуществляют не средством анонимизации, а средством модификации клиента, с последующим преобразованием подструктуры на этапе 311. Где по аналогии с вариантом на Фиг. 3 преобразованию подвергают подструктуру, не содержащую ПДн (подструктура 2). Поэтому этап 300' на Фиг. 4 отличается от аналогичного этапа 300 способа на Фиг. 3 тем, что передают не оригинальную структуру данных запроса узлу со средством анонимизации, а преобразованную, после выполнения этапов 310 и 311. Соответственно в данном варианте добавляется этап 325, где выполняют предварительно обратное преобразование подструктуры (в нашем примере это подструктура 2', не содержащая ПДн) преобразованной на этапе 311, прежде чем выполнить этап 330.

Фиг. 5 изображает вариант способа маршрутизации данных в клиент-серверной архитектуре, в которой этапы с 200 по 230 аналогичны этапам способа, изображенного на Фиг. 2, а этапы с 300 по 380 аналогичны этапам способа, изображенного на Фиг. 3. В частном случае подструктура 2 перед отправкой напрямую серверу может быть предварительно преобразована, по аналогии с шагом 311 на Фиг. 4, тогда в изображении способа помимо этапа 311 добавляется этап 325.

В частном случае во всех реализациях способа, изображенных на Фиг. 3 - Фиг. 5 структура данных, отправляемая клиенту узлом со средством анонимизации на этапе 370 не содержит подструктуры данных с ПДн (в наших примерах это подструктура 1). Данную подструктуру необходимо сохранять до этого этапа, чтобы определить адресата ответа, далее в частном случае в ней нет необходимости.

Фиг. 6а изображает пример работы способа, изображенного на Фиг. 2. Устройство с клиентом подключено к системе удаленного детектирования целевых атак, находящейся на стороне сервера, поэтому от клиента необходимо: получать информацию об обнаруженных в разное время файлах с вредоносным кодом (вредоносных файлах) и на основании полученной информации строить статистику (часто в соответствии с национальным законодательством о персональных данных это еще необходимо делать анонимно). При обнаружении нескольких определенных вредоносных файлов¹² (¹² информация о которых получена от клиента) на сервере делают вывод обнаружении целевой атаки на клиента.

Для отправки серверу информации об обнаруженном вредоносном файле (в рассматриваемом примере информация о файле это MD5 файла) формируют структуру данных, которая включает ID клиента и MD5 обнаруженного вредоносного файла. На этапе 200 средство модификации разделяет сформированную структуру, предназначенную для отправки серверу на подструктуры, в результате разделения получают подструктуру, содержащую ID клиента и подструктуру, содержащую MD5 файла, чтобы понимать, частью какой структуры являются подструктуры им присваивается идентификатор (на фигуре идентификатор отмечен как StructureID). На этапе 210 средство модификации клиента отправляет полученные подструктуры серверу, при этом отправка осуществляется по разным маршрутам (маршруту А и маршруту В), где один из маршрутов (маршрут А) включает узел сети со средством анонимизации, расположенный в региональной сети отличной от сети, которой расположен сервер и, не находящийся в одном Интранете с сервером или клиентом. Подструктура, содержащая ID клиента, направляется к серверу через узел со средством анонимизации (маршрут А). На этапе 220 средством анонимизации осуществляют преобразование ID клиента, где ID клиента сохраняется на узле, а в подструктуре его замещает токен AnonymizedID (в частном случае ID Клиента может быть зашифрован). Полученную подструктуру, отправляют серверу (этап 221). В заключении на этапе 230 полученные от клиента подструктуры объединяются в структуру. Очевидно, что итоговая структура отличается от исходной, так как, по меньшей мере одна подструктура был преобразована средством анонимизации. Итоговая структура сохраняется на сервере (или в любой базе данных инфраструктуры к которой принадлежит сервер) и будет использоваться сервером для накопления информации (на фигуре обозначена как STATISTICS) по клиенту от которого получена структура. На этапе 240 накопленная информация будет использоваться средством обнаружения атак и если средством будет обнаружена атака, то на этапе 250 средством сформируют структуру содержащую подструктуру с AnonymizedID и подструктуру, содержащую информацию об атаке (на фигуре обозначена как AttackID), полученная структура будет направлена клиенту для уведомления об атаке.

Пример способа отправки изображен на Фиг. 6б, этапы с 340 по 380 аналогичны этапам из примера, изображенного на Фиг. 8. В частном случае информация об атаке может не преобразовываться, а отправляться в открытом виде, тогда в примере будут отсутствовать этапы 340 и 380.

На Фиг. 7 изображен другой пример работы описанного изобретения. На устройстве с клиентом обнаружен новый файл, который необходимо проверить на наличие вредоносного кода средствами сервера. Для этого необходимо отправить серверу информацию о файле, в рассматриваемом примере это MD5 файла, для этого клиент формирует структуру запроса. Для того чтобы серверу знать кому отправлять ответ в структуру данных запроса вставляется ID клиента, таким образом структура данных запроса включает ID клиента и MD5 файла. На этапе 300 сформированный на клиенте запрос отправляется средством модификации к серверу, при этом маршрут включает узел сети со средством анонимизации, расположенный в региональной сети отличной от сети, которой расположен сервер и, не находящийся в одном Интранете с сервером или клиентом. Далее на этапе 310 средством анонимизации выделяют в структуре, предназначенной для отправки серверу, подструктуры, в результате выделения получают подструктуру, содержащую ID клиента и подструктуру, содержащую MD5 файла. На этапе 320 средством анонимизации осуществляют преобразование ID клиента, где ID клиента сохраняется на узле, а в подструктуре его замещает токен AnonymizedID (в частном случае ID клиента может быть зашифрован). Полученную структуру данных запроса с преобразованной подструктурой, отправляют серверу (этап 321). На полученный запрос на этапе 330 формируют ответ средством обработки запроса сервера. Средство обработки запроса извлекает из структуры MD5 файла и выдает вердикт, например, BAD (файл вредоносный). Структура данных ответа на запрос содержит подструктуры:

• содержащую токен AnonymizedID (или зашифрованный средством анонимизации ID клиента);

• содержащую вердикт для файла (MD5-BAD).

При этом вердикт на этапе 340 преобразуют средствами сервера без возможности обратного преобразования средством анонимизации, например, зашифровав открытым ключом (на фигуре преобразованный вердикт отмечен как EncryptedVer), закрытый ключ хранится на клиенте и обратное преобразование может быть выполнено только средством модификации клиента. На этапе 350 отправляют полученную структуру данных ответа на запрос от сервера узлу сети со средством анонимизации. Средством анонимизации на этапе 360 осуществляют обратное преобразование подструктуры данных ответа на запрос, содержащую токен AnonymizedID, средством анонимизации, где в случае с токеном, токен заменяется на сохраненный ранее ID клиента, в случае если ID клиента был зашифрован, то он расшифровывается. Таким образом преобразование выполняют в отношении тех данных, которые были преобразованы на этапе 320. Полученную структуру данных перенаправляют клиенту (этап 370) и средством модификации клиента на этапе 380 осуществляют обратное преобразование вердикта, преобразованного сервером на этапе 340, в нашем случае расшифровывают при помощи закрытого ключа. В частном случае AnonymizedID для одного и того же ID Клиента, но в разных отправках будут отличаться.

Фиг. 8 изображает вариант примера, изображенного на Фиг. 7, в этом варианте этап 310 по выделению подструктур осуществляет не средство анонимизации, а средство модификации клиента с последующим преобразование подструктуры, хранящей информацию о файле (MD5 файла) путем шифрования открытым ключом (на фигуре преобразованная информация о файле отмечена как EncryptedMD5) закрытый ключ хранится на сервере и обратное преобразование может быть выполнено только на сервере. Таким образом этап 300' примера на Фиг. 8 отличается от аналогичного этапа примера на Фиг. 7 тем, что передают не оригинальную структуру запроса узлу со средством анонимизации, а преобразованную, после выполнения этапов 310 и 311. Соответственно поэтому добавляется этап 325, где выполняется предварительно, прежде чем выполнить этап 330, обратное преобразование зашифрованной информации о файле путем ее расшифровки при помощи закрытого ключа.

Фиг. 9 изображает пример маршрутизации данных в клиент-серверной архитектуре, в котором этапы с 200 по 230 аналогичны этапам примера, изображенного на Фиг. 6а, а этапы с 330 по 380 аналогичны этапам примера, изображенного на Фиг. 7. В частном случае информация о файле перед отправкой напрямую серверу может быть предварительно преобразована, по аналогии с этапом 311 в примере Фиг. 8, тогда в примере помимо этапа 311 добавляется этап 325.

Средство модификации клиента перехватывает структуры, предназначенные для отправки серверу, разделяет эти структуры в соответствии с установленными правилами и выбирает маршруты для этих подструктур также в соответствии с правилами. Правила, по которым работает средство модификации устанавливается в частном случае действующим законодательством государства в юрисдикции которого функционирует устройство с клиентом (источник). Поэтому для применения правил средство модификации клиента определяет местоположение устройства (источника), тип данных в сформированной структуре, назначение структуры (тип передачи: запрос или статистика¹³ (¹³ отправление данных серверу для построения на стороне сервера статистики)), местоположение приемника данных и на основании этого в соответствии с правилами выбирает маршрут для данных, вариант разделения и способ преобразования на клиенте. Вариант формализованных правил представлен в Таблице 1, где способ:

• 1 - разделение структуры на клиенте (см. Фиг. 2);

• 2 - выделение структуры на узле со средством анонимизации (см. Фиг. 3);

• 3 - выделение структуры на клиенте (см. Фиг. 4).

Правила как указывалось выше могут задаваться требованиями законодательства (например, GDPR) и как любая правовая норма включает гипотезу и диспозицию, что на алгоритмическом языке соответствует конструкции если-то. Таким образом указанная таблица формализует правило вида

ЕСЛИ [тип, источник, приемник, персональные данные(есть/нет)] ТО [способ, местонахождение узла анонимизации, способ преобразования для данных]

Например, тип передачи - запрос, источник (клиент) Германия, приемник (сервер) РФ, структура содержит персональные данные. В соответствии с правилами средству модификации необходимо выделить подструктуру с ПДн на клиенте (как на этапе 310 Фиг. 4 - способ 2) и отправить через США, подструктуру без ПДн зашифровать открытым ключом (как этапе 311 на Фиг. 4), персональные данные преобразовать средством анонимизации посредством шифрования

В другом варианте реализации к системе, изображенной на Фиг. 1 добавляется узел сети со средством хранения, система с указанным узлом изображен на Фиг. 10. Узел сети со средством хранения расположен в региональной сети отличной от региональной сети, в которой расположен сервер и не находится в одном Интранете с сервером или клиентом. В частном случае узел сети со средством хранения может находится в одной региональной сети с узлом сети со средством анонимизации, такая сеть на Фиг. 10 указана как региональная сеть N. Назначение узла сети со средством хранения скрывать внешний IP адрес клиента от сервера и снимать нагрузку с узла, на котором располагается средство анонимизации, так как объем траффика, идущего через узел со средством анонимизации сокращается. Узел сети со средством хранения является промежуточным хранилищем для данных, которыми обменивается клиент с сервером, бытовым аналогом данного узла является абонентский ящик (англ. post office box).

Система, изображенная на Фиг. 10 используется для анонимного обмена данными между клиентом и сервером, в том числе для отправки данных от клиентов, которые используются для построения статистики и для клиент-серверного взаимодействия типа - «запрос-ответ». На Фиг. 11 изображен способ анонимного обмена данными между клиентом и сервером, который в частном случае используется для получения данных от клиентов для построения статистики на стороне сервера. Этапы 200, 221, 220, 230 аналогичны этапам, изображенным на Фиг. 2. От аналогичного отличается этап 210' и добавляется этап 222. На Фиг. 2 маршрут В лежал напрямую от клиента к серверу, в описываемой реализации данный маршрут разрывается, и клиентом подструктура 2 отправляется не серверу, а узлу со средством хранения. Далее на этапе 222 данная подструктура будет получена сервером. Инициатором отправки данной подструктуры серверу на этапе 222 может являться как сам узел со средством хранения, так и сервера, который по требованию загрузит подструктуру 2, когда по маршруту А получит подструктуру 1' с идентификатором подструктуры 2, сохраненной узлом сети со средством хранения.

На Фиг. 12 изображен способ обмена данными, который в частном случае используется при выполнении запроса клиента к серверу. Этапы 200, 221, 220, 230 аналогичны этапам, изображенным на Фиг. 2, этапы 210', 222 аналогичны этапам, изображенным на Фиг. 11, этап 330 аналогичен этому же этапу на Фиг. 3. Таким образом отправка запроса серверу аналогична отправке данных серверу для построения статистики изображенной на Фиг. 11, отличия заключаются от всего описанного ранее в том, как отправляется ответ, подготовленный на этапе 330. Структура ответа на запрос, сформированная на этапе 330 разбивается на по меньшей мере две подструктуры на этапе 331:

• содержащую ПДн преобразованные средством анонимизации (подструктура 1', извлеченная из структуры запроса);

• не содержащую ПДн (подструктура 3, содержащая тело ответа на запрос или полезную нагрузку ответа).

На этапе 350а подструктура, содержащая ПДн отправляется от сервера узлу со средством анонимизации, где на этапе 360 будет выполнено преобразование обратное преобразованию выполненному на этапе 220. А подструктура, не содержащая ПДн (на Фиг. 12 подструктура 3), на этапе 350б отправляется узлу сети со средством хранения. Далее подструктура, не содержащая ПДн будет передана клиенту на этапе 371. Варианты по каким клиент получает подструктуру на этапе 371 могут быть отличны. Если этап 350а осуществляется, то после преобразования на этапе 360 узел со средством анонимизации отправит нотификацию (уведомление) клиенту на этапе 370а о том, что ответ готов, клиент после этого обратится к узлу со средством хранения и получит подструктуру, не содержащую ПДн, от узла со средством хранения. Нотификация на этапе 370а может содержать, например, уникальный идентификатор присвоенный подструктуре 3 в процессе разделения структуры ответа на запрос на этапе 331, подструктуру с таким идентификатором клиент и запросит у узла сети со средством хранения. В частном случае этапы 350а, 360, 370а могут не выполняться. В этом случае идентификатор, присваиваемый подструктурам в процессе разделения на этапе 200 будет аналогичен идентификатору, присваиваемому на этапе 331 и клиент на этапе 371 получит подструктуру 3 периодически опрашивая узел со средством хранения на предмет поступления туда подструктуры с соответствующим идентификатором. Если этапы 350а, 360, 370а не выполняются, структура ответа на запрос тождественна подструктуре, не содержащей ПДн (подструктура 3), которой присвоен уникальный идентификатор. В другом частном случае узел со средством хранения самостоятельно отправляет на этапе 371 подструктуру 3 клиенту, в этом случае используется идентификатор сессии (сеанса) которая была установлена между клиентом и узлом со средством хранения для выполнения этапа 210, в данном случае уникальный идентификатор, присваиваемый подструктурам на этапах 200 и 331 равны и равны они идентификатору сессии. В этом случае, когда узел получит подструктуру 3 на этапе 350б, он прочитает идентификатор подструктуры 3 и переправит ее клиенту, сессия с которым имеет тот же самый идентификатор, главным условием осуществления данного варианта является удерживание сессии между клиентом и узлом со средством хранения до конца обмена данными между клиентом и сервером при выполнении запроса и отправки ответа.

В частном случае, схема, описанная на Фиг. 12 может работать в асинхронном режиме, в этом случае этап 330 осуществляется без выполнения этапа 230, используются данные подструктуры 2 и полученная подструктура 3, минуя этап 331, отправляется узлу со средством хранения (этап 350б). Этап 230 будет выполнен независимо от этапа 330. Такой режим повышает скорость реакции сервера и используется в том случае, когда для обработки запроса необходимы только данные содержащиеся в подструктуре, не содержащей КД. Объединение подструктур (этап 230) в таких случаях необходимо лишь для построения статистики, как в примере, изображенном на Фиг. 12а.

На Фиг. 13 изображен пример использования способа, изображенного на Фиг. 12, для получения вердикта (опасный/вредоносны или безопасный) для файла, обнаруженного на клиенте, от сервера. Для отправки серверу информации об обнаруженном файле (в рассматриваемом примере информация о файле это MD5 файла) формируют структуру данных, которая включает ID клиента и MD5 обнаруженного файла. На этапе 200 средство модификации разделяет сформированную структуру, предназначенную для отправки серверу на подструктуры, в результате разделения получают подструктуру, содержащую ID клиента и подструктуру, содержащую MD5 файла, чтобы понимать, частью какой структуры являются подструктуры им присваивается идентификатор (на фигуре идентификатор отмечен как StructureID). На этапе 210 средство модификации клиента отправляет полученные подструктуры. Отправка осуществляется по разным маршрутам (маршруту А и маршруту В) и разным приемникам. По маршруту А подструктура отправляется серверу, при этом маршрут А включает узел сети со средством анонимизации, расположенный в региональной сети отличной от сети, которой расположен сервер и, не находящийся в одном Интранете с сервером или клиентом. Подструктура, содержащая ID клиента, направляется к серверу через узел со средством анонимизации (маршрут А). По маршруту В подструктуру отправляют узлу сети со средством хранения, расположенному в региональной сети отличной от сети, которой расположен сервер и, не находящийся в одном Интранете с сервером или клиентом. Подструктура, содержащая MD5 файла, направляется узлу сети со средством хранения (маршрут В). На этапе 220 средством анонимизации осуществляют преобразование ID клиента, где ID клиента сохраняется на узле, а в подструктуре его замещает токен AnonymizedID (в частном случае ID Клиента может быть зашифрован). Полученную подструктуру, отправляют серверу (этап 221). На этапе 222 подструктура с MD5 файла будет получена сервером. Если способ осуществляется в синхронном режиме, то на этапе 230 подструктуры, полученные сервером на этапе 221 и этапе 222, будут объединены и на этапе 330 будет обработан запрос. В нашем примере MD5 будет проверен по базе вредоносных и безопасных файлов и по результатам проверки получат вердикт и сформируют ответ на запрос (в приведенном примере файл оказался вредоносным - MD5-BAD). Сформированный ответ на запрос разделяют на этапе 331 на две подструктуры в результате разделения получают подструктуру, содержащую ID клиента и подструктуру, содержащую вердикт (MD5), чтобы понимать, частью какой структуры являются подструктуры им присваивается идентификатор (на фигуре идентификатор отмечен как StructureID), в частном случае идентификатор может быть идентичен идентификатору, присвоенному подструктурам на этапе 200. На этапе 350б подструктуру с вердиктом отправляют узлу сети со средством хранения, который либо пересылает подструктуру клиенту на этапе 371 (если StructureID соответствует ID сессии между узлом и клиентом, установленной на этапе 210), либо сохраняет до востребования. Востребована указанная подструктура может быть клиентом в случае получения им нотификации от узла со средством анонимизации получаемой клиентов в результате выполнения этапов 350а, 360, 370а. Либо клиент постоянно опрашивает узел сети со средством хранения на предмет наличия у узла подструктуры ответа (в данном случае StructureID присвоенные подструктурам на этапах 200 и 331 должны быть идентичны). На этапе 372 клиент обрабатывает ответ. Если способ выполняется в асинхронном режиме (Фиг. 13а), то этап 230 и этап 330 выполняются независимо, StructureID на этапе 330 не изменяется и идентичен StructureID на этапе 200, а в частном случае равен ID сессии между клиентом и узлом со средством хранения этапа 210, в рамках которой также будет осуществлена передача подструктуры на этапе 371.

Заявленное изобретение позволяет децентрализовать данные идущие от клиента, что обеспечивает анонимность для пользователя, устройство которого является клиентом, данные которыми обменивается клиент с сервером невозможно связать с клиентом при доступе к серверу. Часть данных известна только серверу, часть только узлу сети со средством анонимизации и без одновременного доступа к этим компонентам системы невозможно деанонимизировать данные, а невозможность одновременного доступа к компонентам, в том числе и государственными структурами обеспечивается распределением компонентов системы по различным региональным сетям, отличных как по географическому признаку, так и по признаку территориальной юрисдикции. Также заявленное изобретение при использовании узла со средством хранения позволяет скрыть внешний IP адрес клиента от сервера (сервер забирает подструктуру не напрямую от клиента, а через узел со средством хранения), а также снизить нагрузку на узел со средством анонимизации.

В некоторых случаях после того, как структура данных разделена на две подструктуры данных, одна из которых содержит конфиденциальные данные появляется необходимость дополнительного разделения данной подструктуры. Это в частном случае делается тогда, данные являются критическими только находясь совместно, например, IP-адрес и временная метка совместно являются персональными данными, разделив подструктуру в которой содержится данная связка на подструктуру с IP адресом и подструктуру с временной меткой данные утрачивают свойство персональности и могут обрабатываться узлом, который не имеет возможности эти структуры объединить, без ограничений, накладываемых законодательство на обработку критических (в данном случае персональных) данных. Но в таком случае усложняется механизм передачи данных на сервер. На Фиг. 14 изображен способ передачи критических данных в клиент-серверной архитектуре, который в частном случае используется для получения данных от клиентов для построения статистики. На этапе 200 средством модификации разделяют структуру, предназначенную для отправки серверу в соответствии с критериями, одним из таких критериев может являться наличие критических (например, конфиденциальных, в том числе персональных) данных в структуре, в результате разделения получают подструктуру, содержащую критические данные (на Фиг. 14 для примера это подструктура 1) и не содержащую таких данных (на Фиг. 14 это, соответственно, подструктура 2). На этапе 201 средством модификации дополнительно разделяют подструктуру, содержащую критические данные, на по меньшей мере две подструктуры (на Фиг. 1 для примера это подструктура 3 и подструктура 4). На этапе 210 средство модификации отправляет подструктуру 2 серверу по маршруту В. На этапе 211 подструктуры, полученные при разделении подструктуры, содержащей критические данные, последовательно отправляют по другому маршруту, отличному от маршрута В, где альтернативный маршрут включает узел сети со средством преобразования (в примере на Фиг. 14 это маршрут А), и расположенный в частном случае в региональной сети отличной от сети, которой расположен сервер и, не находящийся в одном Интранете с сервером или клиентом. Далее на этапе 220 подструктуры, проходящие через узел со средством преобразования, преобразуются указанным средством и передаются далее серверу (этап 223) в преобразованном виде. В общем случае подструктуры от одного и того же клиента в разные моменты времени преобразуются различно (например ID Клиента ->AnonymizedID1 ≠ AnonymizedID2 ≠ AnonymizedID3 и т.д.), это относится ко всем примерам, но в частном случае, когда для некоторых систем безопасности необходимо накопить информацию (построить статистику) по определенному клиенту для подструктуры от одного и того же клиента, преобразование будет идентично (например ID Клиента ->AnonymizedID1 = AnonymizedID2 = AnonymizedID3 и т.д.). В заключении на этапе 230 полученные от клиента подструктуры объединяются в структуру (Структура'). Очевидно, что итоговая структура (Структура') отличается от исходной, так как, по меньшей мере две подструктуры были преобразованы средством анонимизации. Итоговая структура в базе данных и будет использоваться средствами инфраструктуры¹⁴ (¹⁴ Средства и база данных на данной фигуре не указаны. Отдельные элементы инфраструктуры такие как средство обработки запроса и средство обнаружения атаки указаны на других фигурах) на стороне сервера, например при построении профиля. Преобразование подструктур и/или данных подструктур средством преобразования выполняется способом, исключающим возможность обратного преобразования подструктур и/или данных подструктур любыми средствами, отличными от средств узла сети со средством преобразования.

На Фиг. 14а показан пример осуществления способа передачи критических данных. На клиенте формируется структура для отправки на сервер, структура содержит IP адрес клиента, временную метку (англ. TimeStamp) и MD5 некоторого файла. На этапе 200 средством модификации разделяют структуру, предназначенную для отправки серверу, в результате разделения получают: подструктуру, содержащую IP адрес и временную метку, и подструктуру, которая содержит MD5 файла. На этапе 201 средством модификации дополнительно разделяют подструктуру, содержащую IP адрес и временную метку на две подструктуры (на Фиг. 14а это подструктура с IP адресом и подструктура с временной меткой). Чтобы понимать, с какой подструктурой, содержащей MD5, связаны подструктура IP и подструктура TimeStamp им присваиваются идентификаторы (на фигуре идентификаторы отмечены как StructureID1, StructureID2) и эти же идентификаторы помещаются в подструктуру MD5. На этапе 210 средство модификации отправляет подструктуру с MD5 серверу по маршруту В, а на этапе 211 последовательно отправляют подструктуру с IP адресом и подструктуру с временной меткой по другому маршруту, отличному от маршрута В, где альтернативный маршрут включает узел сети со средством преобразования (в примере на Фиг. 14а это маршрут А), где узел со средством преобразования расположен в частном случае в региональной сети отличной от сети, в которой расположен сервер и, не находящийся в одном Интранете с сервером или клиентом. Далее на этапе 220 подструктура с IP адресом и подструктура с временной меткой преобразуются и передаются далее серверу (этап 223) в преобразованном виде. Преобразование осуществляется по мере получения подструктур. В заключении на этапе 230 полученные от клиента подструктуры объединяются в структуру, которая содержит преобразованный IP адрес, преобразованную временную метку и MD5.

На Фиг. 1 изображена система маршрутизации данных между клиентом и сервером. На Фиг. 1а изображена та же система, только в этой системе присутствует дополнительный узел со средством сертификации -удостоверяющий центр. В этой системе также, как и в системе на Фиг. 10 может присутствовать узел со средством хранения. Удостоверяющий центр (далее УЦ) используется для того, чтобы создавать ключи преобразования для первичного преобразования конфиденциальных данных на клиенте, в частном случае, если используется для преобразования ассиметричная схема шифрования (будет описана ниже), то независимый, доверенный УЦ используется для создания пары ключей, состоящей из открытого ключа (public key) и закрытого ключа (private key), с передачей открытого ключа клиенту и сохранения закрытого ключа в УЦ. Алгоритм анонимизации предполагает шифрование идентификаторов, передаваемых устройством пользователя (клиентом), с использованием открытого ключа, созданного доверенным УЦ. Данная процедура гарантирует, что никто на стороне узла со средством анонимизации не сможет узнать реальные идентификаторы пользователей (для их раскрытия необходимо обладать закрытой частью ключа от корневого сертификата УЦ, что недопустимо и приводит к его дискредитации, как следствие удостоверяющий центр не раскрывает данный ключ никому), узел со средством сертификации располагается в Интранете отличном от Интранета клиента, сервера и средства преобразования. В частном случае данный узел располагается в региональной сети отличной от региональной сети сервера и/или региональной сети узла со средством анонимизации и/или клиента.

На Фиг. 15 изображен способ передачи критических данных в клиент-серверной архитектуре с привлечением удостоверяющего центра. На этапе 410 (на фигуре не указан) средством сертификации создаются ключи преобразования. Далее на этапе 420 ключ преобразования передается клиенту. Далее ключ используется на клиенте для первичного преобразования, в частном случае конфиденциальных данных, отправляемых с клиента, например идентификаторов, IP адресов, адресов почты, ссылок на профили в социальной сети, временных меток, номеров телефонов и т.д. На этапе 200 средством модификации клиента разделяют структуру, предназначенную для отправки серверу в соответствии с критериями, одним из таких критериев может являться наличие критических (например, конфиденциальных, в том числе персональных) данных в структуре, в результате разделения получают подструктуру, содержащую критические данные (на Фиг. 15 для примера это подструктура 1) и не содержащую таких данных (на Фиг. 15 это, соответственно, подструктура 2). На этапе 201 средством модификации дополнительно разделяют подструктуру, содержащую критические данные, на по меньшей мере две подструктуры (на Фиг. 15 для примера это подструктура 3 и подструктура 4). На этапе 202 полученные подструктуры с использованием средства модификации и полученного ключа преобразования преобразуют и получают подструктуру 3' и подструктуру 4'. На этапе 210 средство модификации отправляет подструктуру 2 серверу по маршруту В. На этапе 211 подструктуру 3' и подструктуру 4', полученные при разделении подструктуры, содержащей критические данные, и первичного преобразования с использованием ключа преобразования, последовательно отправляют по другому маршруту, отличному от маршрута В, где альтернативный маршрут включает узел сети со средством преобразования (в примере на Фиг. 15 это маршрут А), и расположенный в частном случае в региональной сети отличной от сети, которой расположен сервер и/или, не находящийся в одном Интранете с сервером или клиентом. Далее на этапе 220 подструктуры, проходящие через узел со средством преобразования, вторично преобразуются указанным средством (в примере на Фиг. 15 в подструктуру 3'' и подструктуру 4'') и передаются далее серверу (этап 223) в преобразованном виде. В общем случае подструктуры от одного и того же клиента в разные моменты времени преобразуются различно (например ID Клиента' ->AnonymizedID1 ≠ AnonymizedID2 ≠ AnonymizedID3 и т.д.), это относится ко всем примерам, но в частном случае, когда для некоторых систем безопасности необходимо накопить информацию (построить статистику) по определенному клиенту для подструктуры от одного и того же клиента, преобразование будет идентично (например ID Клиента' ->AnonymizedID1 = AnonymizedID2 = AnonymizedID3 и т.д.). В заключении на этапе 230 полученные от клиента подструктуры объединяются в структуру (Структура'). Очевидно, что итоговая структура (Структура') отличается от исходной, так как, по меньшей мере две подструктуры были преобразованы средством анонимизации. Итоговая структура в базе данных и будет использоваться средствами инфраструктуры¹⁵ (¹⁵ Средства и база данных на данной фигуре не указаны. Отдельные элементы инфраструктуры такие как средство обработки запроса и средство обнаружения атаки указаны на других фигурах) на стороне сервера, например при построении профиля. Преобразование подструктур и/или данных подструктур средством преобразования выполняется способом, исключающим возможность обратного преобразования подструктур и/или данных подструктур любыми средствами, отличными от средств узла сети со средством преобразования. Преобразование подструктур и/или данных подструктур средством модификации с использованием ключа преобразования от средства сертификации выполняется способом, исключающим возможность обратного преобразования подструктур и/или данных подструктур любыми средствами, отличными от средств узла сети со средством сертификации или в частном случае клиентом, в другом частном случае обратное преобразование невозможно ни одним из средств.

На Фиг. 15а показан пример осуществления способа передачи критических данных с привлечением удостоверяющего центра. На этапе 410 на стороне удостоверяющего центра создаются пары из открытых и закрытых ключей. На этапе 411 выбирается одна пара из открытого и закрытого ключа. На этапе 420 открытый ключ отправляют клиенту, а закрытый ключ сохраняют средством сертификации на стороне удостоверяющего центра. На клиенте формируется структура для отправки на сервер, структура содержит IP адрес клиента, временную метку (англ. Timestamp) и MD5 некоторого файла. На этапе 200 средством модификации разделяют структуру, предназначенную для отправки серверу, в результате разделения получают: подструктуру, содержащую IP адрес и временную метку, и подструктуру, которая содержит MD5 файла. На этапе 201 средством модификации дополнительно разделяют подструктуру, содержащую IP адрес и временную метку на две подструктуры (на Фиг. 15а это подструктура с IP адресом и подструктура с временной меткой). Чтобы понимать, с какой подструктурой, содержащей MD5, связаны подструктура IP и подструктура Timestamp им присваиваются идентификаторы (на фигуре идентификаторы отмечены как StructureID1, StructureID2) и эти же идентификаторы помещаются в подструктуру MD5. На этапе 202 данные подструктуры, содержащие IP адрес, и данные подструктуры с Timestamp шифруются средством модификации с использованием открытого ключа полученного от УЦ. На этапе 210 средство модификации отправляет подструктуру с MD5 серверу по маршруту В, а на этапе 211 последовательно отправляют подструктуру с зашифрованным IP адресом и подструктуру с зашифрованной временной меткой по другому маршруту, отличному от маршрута В, где альтернативный маршрут включает узел сети со средством преобразования (в примере на Фиг. 15а это маршрут А), где узел со средством преобразования расположен в частном случае в региональной сети отличной от сети, в которой расположен сервер и, не находящийся в одном Интранете с сервером или клиентом. Далее на этапе 220 подструктура с зашифрованным IP адресом и подструктура с зашифрованной временной меткой преобразуются повторно и передаются далее серверу (этап 223) в преобразованном виде. Преобразование осуществляется по мере получения подструктур. В заключении на этапе 230 полученные от клиента подструктуры объединяются в структуру, которая содержит преобразованный зашифрованный IP адрес, преобразованную зашифрованную временную метку и MD5.

Под средством сертификации, средством модификации, средством анонимизации, средством объединения, средством обработки запроса, средством обнаружения атаки, средством хранения в настоящем изобретении понимаются реальные устройства, системы, компоненты, группа компонентов, реализованные с использованием аппаратных средств, таких как интегральные микросхемы (англ. application-specific integrated circuit, ASIC) или программируемой вентильной матрицы (англ. field-programmable gate array, FPGA) или, например, в виде комбинации программных и аппаратных средств, таких как микропроцессорная система и набор программных инструкций, а также на нейроморфных чипах (англ. neurosynaptic chips) Функциональность указанных средств может быть реализована исключительно аппаратными средствами, а также в виде комбинации, где часть функциональности реализована программными средствами, а часть аппаратными. В некоторых вариантах реализации средства могут быть исполнены на процессоре компьютера общего назначения (например, который изображен на Фиг. 16). Базы данных могут быть реализованы всеми возможными способами и содержаться как на одном физическом носителе, так и на разных, располагаться как локально, так и удаленно.

Фиг. 16 представляет пример компьютерной системы общего назначения, персональный компьютер или сервер 20, содержащий центральный процессор 21, системную память 22 и системную шину 23, которая содержит разные системные компоненты, в том числе память, связанную с центральным процессором 21. Системная шина 23 реализована, как любая известная из уровня техники шинная структура, содержащая в свою очередь память шины или контроллер памяти шины, периферийную шину и локальную шину, которая способна взаимодействовать с любой другой шинной архитектурой. Системная память содержит постоянное запоминающее устройство (ПЗУ) 24, память с произвольным доступом (ОЗУ) 25. Основная система ввода/вывода (BIOS) 26, содержит основные процедуры, которые обеспечивают передачу информации между элементами персонального компьютера 20, например, в момент загрузки операционной системы с использованием ПЗУ 24.

Персональный компьютер 20 в свою очередь содержит жесткий диск 27 для чтения и записи данных, привод магнитных дисков 28 для чтения и записи на сменные магнитные диски 29 и оптический привод 30 для чтения и записи на сменные оптические диски 31, такие как CD-ROM, DVD-ROM и иные оптические носители информации. Жесткий диск 27, привод магнитных дисков 28, оптический привод 30 соединены с системной шиной 23 через интерфейс жесткого диска 32, интерфейс магнитных дисков 33 и интерфейс оптического привода 34 соответственно. Приводы и соответствующие компьютерные носители информации представляют собой энергонезависимые средства хранения компьютерных инструкций, структур данных, программных модулей и прочих данных персонального компьютера 20.

Настоящее описание раскрывает реализацию системы, которая использует жесткий диск 27, сменный магнитный диск 29 и сменный оптический диск 31, но следует понимать, что возможно применение иных типов компьютерных носителей информации 56, которые способны хранить данные в доступной для чтения компьютером форме (твердотельные накопители, флеш карты памяти, цифровые диски, память с произвольным доступом (ОЗУ) и т.п.), которые подключены к системной шине 23 через контроллер 55.

Компьютер 20 имеет файловую систему 36, где хранится записанная операционная система 35, а также дополнительные программные приложения 37, другие программные модули 38 и данные программ 39. Пользователь имеет возможность вводить команды и информацию в персональный компьютер 20 посредством устройств ввода (клавиатуры 40, манипулятора «мышь» 42). Могут использоваться другие устройства ввода (не отображены): микрофон, джойстик, игровая консоль, сканнер и т.п.Подобные устройства ввода по своему обычаю подключают к компьютерной системе 20 через последовательный порт 46, который в свою очередь подсоединен к системной шине, но могут быть подключены иным способом, например, при помощи параллельного порта, игрового порта или универсальной последовательной шины (USB). Монитор 47 или иной тип устройства отображения также подсоединен к системной шине 23 через интерфейс, такой как видеоадаптер 48. В дополнение к монитору 47, персональный компьютер может быть оснащен другими периферийными устройствами вывода (не отображены), например, колонками, принтером и т.п.

Персональный компьютер 20 способен работать в сетевом окружении, при этом используется сетевое соединение с другим или несколькими удаленными компьютерами 49. Удаленный компьютер (или компьютеры) 49 являются такими же персональными компьютерами или серверами, которые имеют большинство или все упомянутые элементы, отмеченные ранее при описании существа персонального компьютера 20, представленного на Фиг. 14. В вычислительной сети могут присутствовать также и другие устройства, например, маршрутизаторы, сетевые станции, пиринговые устройства или иные сетевые узлы.

Сетевые соединения могут образовывать локальную вычислительную сеть (LAN) 50 и глобальную вычислительную сеть (WAN). Такие сети применяются в корпоративных компьютерных сетях, внутренних сетях компаний и, как правило, имеют доступ к сети Интернет. В LAN- или WAN-сетях персональный компьютер 20 подключен к локальной сети 50 через сетевой адаптер или сетевой интерфейс 51. При использовании сетей персональный компьютер 20 может использовать модем 54 или иные средства обеспечения связи с глобальной вычислительной сетью, такой как Интернет. Модем 54, который является внутренним или внешним устройством, подключен к системной шине 23 посредством последовательного порта 46. Следует уточнить, что сетевые соединения являются лишь примерными и не обязаны отображать точную конфигурацию сети, т.е. в действительности существуют иные способы установления соединения техническими средствами связи одного компьютера с другим.

В заключение следует отметить, что приведенные в описании сведения являются примерами, которые не ограничивают объем настоящего изобретения, определенного формулой. Специалисту в данной области становится понятным, что могут существовать и другие варианты осуществления настоящего изобретения, согласующиеся с сущностью и объемом настоящего изобретения.

1. Способ передачи преобразованных данных в клиент-серверной архитектуре, в котором:

а) отправляют клиенту от средства сертификации ключ преобразования;

б) разделяют структуру данных, предназначенную для отправки серверу, на по меньшей мере две подструктуры и осуществляют первичное преобразование подструктур данных на клиенте, где:

– преобразование осуществляется с использованием ключа пары, полученного от средства сертификации, где пара создается средством сертификации, а средство сертификации, расположено в региональной сети, отличной от региональной сети клиента и средства анонимизации;

в) отправляют указанные подструктуры данных от клиента к серверу по разным маршрутам, при этом:

– один из маршрутов включает узел сети со средством преобразования, где

• средством преобразования узла осуществляют вторичное преобразование каждой подструктуры данных, отправленной по этому маршруту;

г) объединяют подструктуры данных на сервере после получения в структуру.

2. Способ по п. 1, в котором структуру данных разделяют на по меньшей мере две подструктуры:

– подструктуру, содержащую критические данные (далее КД), где

• критические данные – данные, в отношении которых закон государства, в юрисдикции которого находится клиент, или уполномоченный субъект накладывает ограничения на сбор, хранение, доступ, распространение и обработку;

– подструктуру, не содержащую КД.

3. Способ по п. 1, в котором ключ преобразования для отправки выбирают из предварительно сформированного множества ключей.

4. Способ по п. 1, в котором ключ преобразования является ключом шифрования.

5. Способ по пп. 3 и 4, в котором в предварительно сформированном множестве ключей содержатся пары из открытых и закрытых ключей шифрования.

6. Способ по п. 5, в котором клиент от средства сертификации получает открытый ключ шифрования, а закрытый ключ шифрования сохраняет средство сертификации.

7. Способ по п. 6, в котором преобразование осуществляется посредством асимметричного шифрования.

8. Способ по пп. 2 и 7, в котором преобразуют подструктуры данных, содержащие КД.

9. Способ по п. 2, в котором маршрут для подструктуры, содержащей КД, включает узел со средством анонимизации.

10. Способ по п. 2, в котором данные подструктуры, не содержащей КД, преобразуют с использованием методов асимметричного шифрования, где открытый ключ шифрования передают клиенту, а закрытый ключ шифрования сохраняют на сервере.

11. Способ по п. 1, в котором первичное преобразование подструктур данных на клиенте осуществляют без возможности обратного преобразования данных средством преобразования.

12. Способ по пп. 2 и 11, в котором преобразуют данные подструктуры, содержащей конфиденциальные данные.

13. Способ по п. 1, в котором первичное преобразование подструктур данных на клиенте осуществляют без возможности обратного преобразования данных сервером.

14. Способ по пп. 2 и 13, в котором преобразуют данные подструктуры, содержащей конфиденциальные данные.

15. Способ по п. 1, в котором первичное преобразование подструктур данных на клиенте осуществляют без возможности обратного преобразования данных.

16. Способ по пп. 2 и 15, в котором преобразуют данные подструктуры, содержащей конфиденциальные данные.

17. Способ по п. 11, или 13, или 15, в котором средством преобразования вторичное преобразование проходящей подструктуры данных осуществляют без возможности обратного преобразования на сервере и клиенте и средстве сертификации.

18. Способ по п. 11, или 13, или 17, в котором преобразование осуществляется посредством асимметричного шифрования.

19. Способ по п. 1, в котором узел сети со средством преобразования расположен в региональной сети, отличной от региональной сети, в которой расположен сервер.

20. Способ по п. 1, в котором узел сети со средством преобразования расположен в региональной сети, отличной от региональной сети, в которой расположен клиент.

21. Способ по п. 1, в котором узел сети со средством сертификации расположен в региональной сети, отличной от региональной сети, в которой расположен узел со средством преобразования.

22. Способ по п. 1, в котором узел сети со средством сертификации не находится в одном Интранете с сервером или клиентом.

23. Способ по п. 1, в котором узел сети со средством сертификации расположен в региональной сети, отличной от региональной сети, в которой расположен сервер.

24. Способ по п. 1, в котором узел сети со средством сертификации не находится в одном Интранете с узлом со средством преобразования.

25. Способ по п. 1, или 19, или 20, или 23, в котором региональная сеть одновременно является национальной сетью.

26. Способ по п. 1, в котором структура данных на клиенте, которую разделяют, является структурой данных запроса.

27. Система передачи преобразованных данных в клиент-серверной архитектуре, в которой:

а) средство сертификации, расположенное в региональной сети, отличной от региональной сети, в которой расположен клиент, и региональной сети, в которой расположено средство преобразования, предназначено для:

– создания пары ключей для преобразований данных;

– отправки ключа для преобразования клиенту;

б) клиент предназначен для:

– разделения структур данных, предназначенных для отправки серверу на по меньшей мере две подструктуры;

– первичного преобразования подструктур данных на основании ключа, полученного от средства сертификации;

– отправки указанных подструктур данных от клиента к серверу по разным маршрутам;

в) средство преобразования предназначено для:

– вторичного преобразования каждой подструктуры данных, отправленной по маршруту, включающему узел сети со средством преобразования;

г) сервер предназначен для объединения подструктуры данных на сервере после получения в структуру.

28. Система по п. 27, в которой структуру данных разделяют на по меньшей мере две подструктуры:

– подструктуру, содержащую критические данные (далее КД),

– где

– подструктуру, не содержащую КД.

29. Система по п. 27, в которой ключ преобразования для отправки выбирают из предварительно сформированного множества ключей.

30. Система по п. 29, в которой в предварительно сформированном множестве ключей содержатся пары из открытых и закрытых ключей шифрования.

31. Система по п. 30, в которой клиент от средства сертификации получает открытый ключ шифрования, а закрытый ключ шифрования сохраняет средство сертификации.

32. Система по п. 31, в которой преобразование осуществляется посредством асимметричного шифрования.

33. Система по пп. 28 и 32, в которой преобразуют подструктуры данных, содержащие КД.

34. Система по п. 28, в которой маршрут для подструктуры, содержащей КД, включает узел со средством преобразования.

35. Система по п. 28, в которой данные подструктуры, не содержащей КД, преобразуют с использованием методов асимметричного шифрования, где открытый ключ передают клиенту, а закрытый ключ сохраняют на сервере.

36. Система по п. 27, в которой первичное преобразование подструктур данных на клиенте осуществляют без возможности обратного преобразования данных средством преобразования.

37. Система по пп. 28 и 36, в которой преобразуют данные подструктуры, содержащей конфиденциальные данные.

38. Система по п. 27, в которой первичное преобразование подструктур данных на клиенте осуществляют без возможности обратного преобразования данных сервером.

39. Система по пп. 28 и 38, в которой преобразуют данные подструктуры, содержащей конфиденциальные данные.

40. Система по п. 27, в которой первичное преобразование подструктур данных на клиенте осуществляют без возможности обратного преобразования данных.

41. Система по пп. 28 и 40, в которой преобразуют данные подструктуры, содержащей конфиденциальные данные.

42. Система по п. 36, или 38, или 40, в которой средством преобразования вторичное преобразование проходящей подструктуры данных осуществляют без возможности обратного преобразования на сервере и клиенте и средстве сертификации.

43. Система по п. 36, или 38, или 42, в которой преобразование осуществляется посредством асимметричного шифрования.

44. Система по п. 27, в которой узел сети со средством преобразования расположен в региональной сети, отличной от региональной сети, в которой расположен сервер.

45. Система по п. 27, в которой узел сети со средством преобразования расположен в региональной сети, отличной от региональной сети, в которой расположен клиент.

46. Система по п. 27, в которой узел сети со средством сертификации расположен в региональной сети, отличной от региональной сети, в которой расположен узел со средством преобразования.

47. Система по п. 27, в которой узел сети со средством сертификации не находится в одном Интранете с сервером или клиентом.

48. Система по п. 27, в которой узел сети со средством сертификации расположен в региональной сети, отличной от региональной сети, в которой расположен сервер.

49. Система по п. 27, в которой узел сети со средством сертификации не находится в одном Интранете с узлом со средством преобразования.

50. Система по п. 36, или 47, или 48, или 49, в которой региональная сеть одновременно является национальной сетью.

Изобретение относится к вычислительной технике. Технический результат заключается в обеспечении предоставления доступа к данным пользователя средству обработки.

Способ предоставления доступа к криптоконтейнеру с данными пользователя средству обработки // 2772073

Изобретение относится к вычислительной технике. Технический результат заключается в обеспечении доступа средству обработки к криптоконтейнеру.

Безопасный обмен данными, обеспечивающий прямую секретность // 2771928

Изобретение относится к области связи, а именно обмена данными. Технический результат заключается в повышении безопасности обмена данных.

Система, устройство и способ генерирования ключа // 2771619

Изобретение относится к средствам генерирования ключа. Технический результат – осуществление защиты безопасности для голосовой услуги.

Способ снижения эффективности систем извлечения информации, использующих индивидуальную структуру излучаемых сигналов // 2768255

Изобретение относится к радиотехнике. Технический результат – снижение эффективности несанкционированного приема информации системами извлечения информации, использующими индивидуальную структуру сигналов.

Устройство для регистрации оптического сигнала от спутника (варианты) // 2767290

Устройство для регистрации оптического сигнала от спутника может быть использовано в квантовой криптографии и средствах для регистрации оптического сигнала от спутника. Устройство содержит монтировку, на которой размещено два телескопа, на каждом из которых размещен приемный узел, содержащий волновой поляризационный контроллер, размещенный перед светоделительным элементом; светоделительный элемент, размещенный перед двумя сопряженными базисами, и полуволновую пластину, размещенную перед одним из базисов.

Система взаимной аутентификации // 2766440

Изобретение относится к системе беспроводной связи, которая обеспечивает одностороннюю аутентификацию устройства–ответчика посредством устройства–инициатора и взаимную аутентификацию обоих устройств. Технический результат заключается в недопущении длительных периодов тайм–аута во время беспроводной связи при одновременном обеспечении возможности инициатору также сообщать ошибки связи пользователю в течение короткого времени.

Система управления питанием и способ управления питанием // 2766417

Изобретение относится к информационным технологиям, а именно к системам управления интерфейсами питания. Технический результат направлен на снижение потерь энергии во время передачи энергии от блока питания.

Способ формирования ключа шифрования / дешифрования // 2766319

Изобретение относится к области криптографии. Технический результат заключается в повышении стойкости к компрометации ключа шифрования/дешифрования со стороны нарушителя.

Способ скрытой защищенной передачи телеметрических данных в робототехнических комплексах // 2765811

Изобретение относится к телеметрии, технике связи и может быть использовано в системах передачи телеметрических данных в робототехнических комплексах. Технический результат заключается в обеспечении скрытности факта передачи телеметрических данных.

Способ обновления данных пользователя на средстве хранения // 2772570

Настоящее техническое решение относится к области вычислительной техники. Технический результат заключается в открытости механизмов обновления для пользователя его данных на средстве хранения с одновременным сохранением безопасности.