Система управления доступом к локальным вычислительным сетям с использованием электронного индентификатора

Авторы патента:

G06F13 - Соединение запоминающих устройств, устройств ввода-вывода или устройств центрального процессора или передача информации или других сигналов между этими устройствами (схемы интерфейса для специальных устройств ввода-вывода G06F 3/00; мультипроцессорные системы G06F 15/16; передача цифровой информации вообще H04L; избирательные устройства H04Q)

Полезная модель относится к области управления компьютерными сетями и предназначена для управления доступом к локальным вычислительным сетям с использованием универсального идентификатора.

Технический результат - повышение уровня безопасности работы в локальных вычислительных сетях, упрощение администрирования локальных вычислительных сетей, возможность управление доступом пользователей к ресурсам локальных вычислительных сетей на основе персонального идентификатора.

Он достигается тем, что предлагаемое устройство содержит компьютер, соединенный с сервером доступа, службу аутентификации, службу авторизации, службу управления сетевым доступом, службу управления доступом к ресурсам сети, службу управления трафиком, картридер, соединенный с компьютером, устройство управления активным сетевым оборудованием, активное сетевое оборудование, через которое устанавливается связь с локальными вычислительными сетями.

Известна автоматизированная система для предоставления телекоммуникационных услуг, с использованием билета московского метрополитена с магнитной полосой (см. заявка РФ 99117300/09, 2000 г.). Однако эта система не содержит информации о пользователе на самой карте и не подразумевает многократного использования услуг с одной карты.

Наиболее близким по технической сущности является система предоставления доступа к сети Интернет (см. патент RU 98834 16.06.2010 г.), в котором при использовании смарт-карты происходит запрос о пользователе в базу данных, и при получении положительного ответа происходит автоматическое соединение с сетью Интернет, на предварительно выбранном компьютере.

Недостатком этой системы является отсутствие возможности предоставления доступа к ресурсам локальной вычислительной сети и установления соответствующих параметров трафика на основе прав доступа, имеющихся у пользователя персонального идентификатора (смарт-карты), система предназначена только для предоставления информации пользователю путем установления соединения с сетью Интернет на персональном компьютере при активации карты, если в базе данных иметься запись о сотруднике.

Техническая задача - создание устройства, позволяющего предоставить доступ пользователю персонального идентификатора (смарт-карты) к ресурсам нескольких локальных вычислительных сетей и установить параметры трафика между компьютером пользователя и выбранными сетями на основе прав доступа пользователя.

Система представлена на рисунке (функциональная схема).

Она содержит картридер 1, компьютер 2 с установленным программным обеспечением, управляемое активное сетевое оборудование 3, 4, 5, служба аутентификации 7, служба авторизации 8, система управления базой данных (СУБД) 9, служба сетевого доступа 10, служба доступа к ресурсам сети 11, служба управления трафиком 12, устройство управления активным сетевым оборудованием 13. Картридер 1 соединен с компьютером 2, компьютер 2 соединен сервером доступа 6. Сервер доступа 6 соединен со службой аутентификации 7, службой авторизации 8, службой сетевого доступа 10, службой доступа к ресурсам сети 11, службой управления трафиком 12 и СУБД 9. Служба управления сетевым доступом 10, служба управления доступом к ресурсам сети 11, служба управления трафиком 12 соединены с устройством управления активным сетевым оборудованием 13. Устройство управления активным сетевым оборудованием 13 соединено с активным сетевым оборудованием 3, 4, 5.

Система работает следующим образом. Картридер 1 подключен к компьютеру 2. На компьютере 2 установлено программное обеспечение. Компьютер 2 подключен к нескольким сетям (проводным и беспроводным) через активные сетевые устройства 3, 4, 5. Оборудование в сетях 1, n-1, n настроено таким образом, чтобы постоянно обеспечивать взаимодействие компьютера 2 с сервером доступа 6.

В картридер 1 помещается смарт-карта пользователя. Компьютер 2 считывает идентификатор пользователя с картридера 1. После считывания идентификатора, компьютер 2 передает его серверу доступа 6. После получения идентификатора пользователя сервером доступа 6, сервер доступа 6 передает идентификатор пользователя службе аутентификации 7. Служба аутентификации 7 отправляет запрос на поиск абонента по идентификатору в СУБД 9. СУБД 9 производит поиск абонента в своей базе данных и возвращает результат поиска серверу доступа 6. Если результат пуст, т.е. не удалось установить личность абонента, то служба аутентификации 7 возвращает соответствующий код ошибки сервису доступа 6. Сервис доступа 6 сообщает компьютеру 2 об ошибке аутентификации, и пользователь на экране монитора компьютера 2 видит сообщение об отказе в предоставлении доступа. Если поиск вернул не нулевой результат, то служба аутентификации 7 возвращает данные абонента серверу доступа 6. После этого серверу доступа 6 отправляет запрос на получение списка прав доступа данного абонента службе авторизации 8. Служба авторизации 8 отправляет запрос на поиск прав доступа в СУБД 9. СУБД 9 производит поиск прав доступа в своей базе данных. Результат поиска СУБД 9 возвращает службе авторизации 8. Если результат пуст, т.е. не удалось получить права доступа для данного абонента, то служба авторизации 8 возвращает соответствующий код ошибки серверу доступа 6. Сервер доступа 6 сообщает компьютеру 2 об ошибке авторизации, и пользователь видит на экране монитора компьютера 2 сообщение об отказе в предоставлении доступа. Если поиск вернул не нулевой результат, то служба авторизации 8 возвращает права доступа абонента серверу доступа 6. После этого сервер доступа 6 отправляет службе управления сетевым доступом 10 запрос на предоставление доступа абоненту к сетям, согласно правам доступа, полученным от службы авторизации 8. Далее служба управления сетевым доступом 10 передает запрос на настройку активного сетевого оборудования 3, 4, 5 устройству управления активным сетевым оборудованием 13. Устройство управления активным сетевым оборудованием 13 производит настройку активного сетевого оборудования 3, 4, 5 по предоставлению доступа пользователя к сетям 1, n-1, n, согласно его правам доступа. После этого служба управления сетевым доступом 10 возвращает серверу доступа 6 сообщение о результате предоставления доступа. Если предоставление доступа к сетям оказалось успешным, то сервер доступа 6 отправляет службе управления доступом к ресурсам сети 11 запрос на предоставление доступа пользователю к ресурсам сетей устройству управления активным сетевым оборудованием 13, согласно правам доступа, полученным от сервиса авторизации 8. Устройство управления активным сетевым оборудованием 13 производит настройку активного сетевого оборудования 3, 4, 5 по предоставлению доступа пользователя к ресурсам сетей 1, n-1, n, согласно его правам доступа. После этого система управления доступом к ресурсам сети 11 возвращает серверу доступа 6 сообщение о результате предоставление доступа. Если предоставление доступа к ресурсам сетей оказалось успешным, то сервер доступа 6 отправляет системе управления трафиком 12 запрос на установку параметров трафика между пользователем и сетями 1, n-1, n, согласно правам доступа, полученным от сервиса авторизации 8. Далее система управления трафиком 12 передает запрос на настройку активного сетевого оборудования 3, 4, 5 устройству управления активным сетевым оборудованием 13. Устройство управления активным сетевым оборудованием 13 производит настройку параметров трафика между сетями 1, n-1, n, и компьютером 2, согласно правам доступа пользователя. После этого служба управления трафиком 12 возвращает серверу доступа 6 сообщение о результате установки параметров трафика. Если установка параметров трафика прошла успешно, то сервер доступа 6 отправляет компьютеру 2 сообщение об успешном предоставлении доступа к сетям и пользователь видит приглашение для работы в сети на экране монитора компьютера 2. Если при какой-нибудь операции предоставления доступа к сети, произошла ошибка, то сервер доступа 6 отправляет компьютеру 2 сообщение об ошибке, отменяет все выполненные изменения и пользователь на экране монитора компьютера 2 видит сообщение об отказе в предоставлении доступа.

Как только компьютер 2 зафиксирует отсутствие смарт-карты в картридере, то компьютер 2 отправляет сообщение серверу доступа 6 о необходимости отключения компьютера 2. При получении такого сообщения сервер доступа в отправляет запрос службе управления сетевым доступом 10, службе управления доступов к ресурсам сети 11 и службе управления трафиком 12 на отключение компьютера 2. Служба управления сетевым доступом 10, служба управления доступом к ресурсам сети 11 и служба управления трафиком 12 передает запрос устройству управления активным сетевым оборудованием 13 на отключение компьютера 2 от сетей 1, n, n-1. Устройство управления активным сетевым оборудованием 13 настраивает активное сетевое оборудование 3, 4, 5 на отключение компьютера 2 от сетей 1, n-1, n. После выполнения данных запросов доступ компьютера 2 ко всем сетям будет заблокирован.

При использовании смарт-карты в качестве авторизации пользователя, представленная система позволяет упростить администрирование локальных вычислительных сетей, обеспечить конфиденциальность доступа к ресурсам сети, повысить безопасность работы пользователя в сети и защитить сетевые ресурсы от использования пользователем без прав доступа.

Предлагаемое устройство позволяет повысить уровень обслуживания и контроля пользователей и повысить безопасность работы в локальных вычислительных сетях.

Система управления доступом к локальным вычислительным сетям с использованием электронного идентификатора, содержащая картридер, компьютер, отличающаяся тем, что устройство содержит сервер доступа, службу аутентификации, службу авторизации, службу управления сетевым доступом, службу управления доступом к ресурсам сети, службу управления трафиком, активное сетевое оборудование, через которое устанавливается связь с локальными вычислительными сетями и устройство управления активным сетевым оборудованием.