Съемный носитель информации, использование которого в компьютерной системе исключает несанкционированный перенос служебной информации на данный носитель

Авторы патента:

G11B9 - Запись или воспроизведение с помощью способов или средств, не отнесенных ни к одной из групп в интервале G11B 3/00- G11B 7/00; носители записи для этих целей (G11B 11/00 имеет преимущество; конструктивные элементы устройства сканирующего зонда вообще G12B 21/00)

Служебный носитель представляет собой специальное внешнее устройство, работающее в двух режимах: внешнем - в носителе доступен минимальный объем памяти, возможно защищенный от записи, и рабочем - устройство открыто внутренним сигналом собственного микроконтроллера после выполнения аутентификации на максимальный объем имеющейся в нем памяти, доступной на чтение и запись. Функционирование специального съемного носителя информации в компьютерной системе исключает несанкционированный перенос служебной информации на данный носитель и обеспечивает высокую защищенность компьютерной системы за счет предотвращения хищения служебной информации путем ее копирования на внешний носитель.

Настоящая полезная модель относится к области компьютерной техники и информационных технологий.

В области техники настоящей полезной модели существует острая потребность в предотвращении копирования больших массивов служебной информации на съемные носители, в первую очередь, на бытовую флеш-память.

Обычно предотвращение такого рода действий производится путем блокирования разъемов подключения внешних устройств к компьютерам (обычно USB-портов) организационно-техническим (заклеивание или удаление) и/или программными (блокирование или запрет записи специальной программой) способами. Однако, такого рода способы малонадежны и резко понижают удобство работы пользователей и функциональность компьютерной системы.

Разработка специального съемного носителя информации и способа его использования в компьютерной системе, исключающий несанкционированный перенос служебной информации на данный носитель, обеспечила бы высокую защищенность компьютерной системы за счет предотвращения хищения служебной информации путем ее копирования на внешний носитель.

Для более ясного понимания сущности настоящей полезной модели ниже приведены определения основных использованных в настоящем описании терминов.

Служебный носитель - специальное внешнее устройство, работающее в двух режимах: внешнем - в носителе доступен минимальный объем памяти, возможно защищенный от записи, и рабочем - устройство открыто внутренним сигналом собственного микроконтроллера после выполнения аутентификации на максимальный объем имеющейся в нем памяти, доступной на чтение и запись.

IDj - идентификатор j-ой изолированной компьютерной подсистемы, к которой может быть подключен i-й служебный носитель;

Si - случайный вектор, используемый для i-го носителя и инициализируемый на этапе производства;

IDFi - уникальный идентификатор i-го носителя, создаваемый на стадии производства, условно неперезаписывемый;

Ki - ключ аутентификации i-го носителя;

Pi - пароль, опционально устанавливаемый для возможности аутентификации лица, использующего носитель;

Oi - образец для проверки пароля i-го носителя;

y=E(x,k) - отображение, соответствующее режиму зашифрования ГОСТ 28147-89 в режиме простой замены, отображающее двоичный вектор x длиной 8 байт в вектор y длиной 8 байт зависящий от параметра к длиной 32 байта;

x=D(y,k) - отображение, соответствующее режиму расшифрования ГОСТ 28147-89 в режиме простой замены, отображающее двоичный вектор y длиной 8 байт в вектор x длиной 8 байт зависящий от параметра k длиной 32 байта, причем x=D(E(x,k),k).

В том случае, если длина шифруемого вектора больше, чем 8 байт, преобразование применяется последовательно нужное число раз.

Операция «+» обозначает суммирование двоичных векторов по mod2.

Компрометация носителя - любой факт утраты носителя, ставший известным администратору j-й изолированной компьютерной подсистемы.

В j-й изолированной компьютерной подсистеме выделяются администратор, его административный носитель, сервер аутентификации и регистрационный компьютер (возможно, регистрационный компьютер и сервер аутентификации могут быть объединены функционально, поскольку административный носитель должен постоянно присутствовать в нормально функционирующей изолированной компьютерной подсистеме), а также компьютеры пользователей. На каждом компьютере изолированной подсистемы устанавливаются программные агенты, передающие данные от носителя, подключаемого к пользовательскому компьютеру к серверу аутентификации и обратно.

Стоп-лист включает идентификаторы скомпрометированных носителей.

Производство специальных внешних носителей

В процессе производства в носитель из датчика случайных чисел (ДСЧ) вносятся Si и уникальный IDFi, возможно с фиксацией IDFi в базе данных производителя. Поля Ki и Oi фиксируются в производстве нулевыми векторами. В этом режиме все пространство носителя открыто всегда, он может быть подключен к любому компьютеру.

Регистрация специальных внешних носителей

Для регистрации используется регистрационный компьютер и административный носитель, присоединенный к нему.

При регистрации i-го носителя на него передается случайный вектор R, который преобразуется в носителе как Ki=E(R, Si), таким образом формируется ключ аутентификации носителя, после чего на носитель передается от административного носителя V=E(Kadm,R), и затем Kadm=D(V,R) сохраняется на i-м носителе. После этого случайный вектор R гарантированно уничтожается на регистрационном компьютере.

Для первичной регистрации административного носителя на регистрационном компьютере на него также передается случайный вектор R, который преобразуется в носителе как Kadm=E(R, Sadm), таким образом формируется ключ аутентификации административного носителя, a IDFadm запоминается для опознания административного носителя. После этого случайный вектор R гарантированно уничтожается на регистрационном компьютере.

Далее в пользовательском носителе формируется G=E(Ki, Kadm) и F=E(IDFi,Kadm), а в административном носителе H=E(IDj,Kadm), после чего G и F передают в административный носитель, а Н передают в пользовательский носитель.

В административном носителе получают Ki=D(G,Kadm) и IDFi=D(F,Kadm), т.е. ключ аутентификации i-го носителя и его идентификатор расшифровываются на ключе аутентификации административного носителя и помещаются на хранение в защищенную область хранения административного носителя. В пользовательском носителе сохраняют расшифрованный идентификатор j-й подсистемы.

Пользователь может также установить пароль на свой носитель.

Для этого используется специальная утилита, которая формирует Oi=E(IDFi,Pi) на носителе. У администратора также имеется специальная утилита, которая для всех зарегистрированных в подсистеме носителей после процедуры аутентификации сбрасывает Oi в нулевой вектор на случай забывания пароля.

Способ использования носителя в компьютерной системе, исключающий несанкционированный перенос служебной информации на данный носитель

Пользователь присоединяет носитель, при этом проверяется, не нулевой ли Oi, и если не нулевой, то запрашивается пароль. Введенный пароль Р проверяется следующим образом. O=E(IDFi,P) вычисляется и сравнивается с Oi, в случае совпадения пароль считается верным, и работа продолжается, в противном случае носитель блокируется.

Далее производится аутентификация с административным носителем, установленным на сервере аутентификации на предмет возможности работы в подсистеме IDj.

Для аутентификации первоначально на сервер аутентификации передают IDFi, по которому сервер аутентификации проверяет следующее:

- не входит ли этот идентификатор в стоп-лист,

- имеется ли он в базе данных административного носителя,

после чего, при положительном исходе обеих проверок, сервер аутентификации по IDFi определяет номер пользователя i и передает обратно случайный вектор Z=E(z,Kadm+Ki), где z - случайное число, выработанное на сервере аутентификации, и после получения этого вектора в носителе, который подключается к j-й подсистеме, V=E(IDj+z, Ki+Kadm+z), где z=D(Z,Ki+Kadm), вычисляется и передается на сервер аутентификации.

Сервер аутентификации вычисляет B=D(V, Ki+Kadm+z)+z и проверяет его равенство с IDj. Равенство означает, что носитель может быть использован в подсистеме j, а неравенство означает отказ в подключении носителя. При равенстве для подтверждения носителю направляется M=(IDFi+z,Ki+Kadm+z), и в носителе D(M, Ki+Kadm+z)+z вычисляется и сравнивается с IDFi, и при совпадении носитель подключается, а при несовпадении - блокируется, о чем открытым сигналом сообщается на сервер аутентификации, и данный факт фиксируется в журнале. После этого ключ носителя Ki заменяется на Ki+z как в пользовательском, так и на административном носителе.

1. Служебный носитель, представляющий собой внешнее устройство, работающее в двух режимах: внешнем - в носителе доступен минимальный объем памяти, возможно защищенный от записи, и рабочем - устройство открыто внутренним сигналом собственного микроконтроллера после выполнения аутентификации на максимальный объем имеющейся в нем памяти, доступной на чтение и запись.

2. Носитель по п.1, функционирующий в компьютерной системе по следующей схеме:

когда пользователь присоединяет носитель к компьютеру, входящему с состав изолированной компьютерной подсистемы, проверяется не нулевой ли Oi, и если не нулевой, то запрашивается пароль;

введенный пароль Р проверяется следующим образом: O=E(IDFi,P) вычисляется и сравнивается с Oi, в случае совпадения пароль считается верным, и работа продолжается, в противном случае носитель блокируется;

далее производится аутентификация с административным носителем, установленным на сервере аутентификации на предмет возможности работы в подсистеме IDj;

для аутентификации первоначально на сервер аутентификации передают IDFi, по которому сервер аутентификации проверяет следующее:

не входит ли этот идентификатор в стоп-лист,

имеется ли он в базе данных административного носителя,

после чего при положительном исходе обеих проверок сервер аутентификации по IDFi определяет номер пользователя i и передает обратно случайный вектор Z=E(z,Kadm+Ki), где z - случайное число, выработанное на сервере аутентификации, и после получения этого вектора в носителе, который подключается к j-й подсистеме, V=E(IDj+z,Ki+Kadm+z), где z=D(Z,Ki+Kadm), вычисляется и передается на сервер аутентификации;

сервер аутентификации вычисляет B=D(V,Ki+Kadm+z)+z и проверяет его равенство с IDj, причем равенство означает, что носитель может быть использован в подсистеме j, а неравенство означает отказ в подключении носителя; при равенстве для подтверждения носителю направляется M=(IDFi+z,Ki+Kadm+z), и в носителе D(M, Ki+Kadm+z)+z вычисляется и сравнивается с IDFi, и при совпадении носитель подключается, а при несовпадении - блокируется, о чем открытым сигналом сообщается на сервер аутентификации, и данный факт фиксируется в журнале,

после этого ключ носителя Ki заменяется на Ki+z как в пользовательском, так и на административном носителе.