Спосіб захисту інформації в мережах передачі даних та ідентифікації права доступу до неї

Спосіб захисту інформації в мережах передачі даних та ідентифікації права доступу до неї, що включає порівняння набору кодів, що подаються на ідентифікацію, з заданими кодами, який відрізняється тим, що інформацію після шифрування одним із відомих способів записують на носи інформації, структурують м по розділах, причому в кожному розділі розміщають тільки частину інформації, формують для кожного розділу тип доступу, який визначається категорією користувачів, що мають право доступу до даного розділу інформації, формують банк даних користувачів шляхом створення записів в банку даних користувачів, при цьому фіксують час реєстрації, формують унікальний ідентифікатор користувача і записують ці дані в запис користувача, записують також значення лопната пароль користувача, припустимі мережеві адреси, з яких користувачу дозволений цей до ступ, протоколи, за якими здійснюють взаємодію, період актуальності запису користувача, часовий період, протягом якого даний запис є актуальним, довідкову інформацію про користувача, створюють і записують у запис користувача криптографічні ключі та параметри криптографічних протоколів користувача, які використовують при ідентифікації та отриманні значень сеансових ключів, формують тип доступу для кожного користувача, при цьому в залежності від користувача формують для нього тип доступу, який може здійснюватись виключно через захищену локальну мережу обчислювальних машин, або тип доступу, який може здійснюватись по відкритих каналах зв'язку загального користування, а право на доступ до інформації користувачеві визначають шляхом виконання даних криптографічних протоколів, що використовують надані користувачеві при реєстрації та записані в банку дані користувачів, і по результатах їх виконання підтверджують право доступу до розділу інформації з даним типом доступу, що був сформований при реєстрації даного користувача, або відхиляють це право, при підтвердженні права доступу формують спільний з користувачем сеансовий ключ обміну даними, яким зчитану інформацію зашифровують і передають користувачеві, яку розшифровують за допомогою сеансового ключа, при цьому генерують новий сеансовий ключ при кожному новому сеансі обміну інформацією Винахід відноситься до інформаційних технологій, зокрема до області збереження інформації та передачі даних по комп'ютерних мережах, переважно таких, що обслуговують, як мінімум, окрему державну галузь, таку, наприклад, як освіту, податкову систему і т п В таких системах з використанням інформаційних технологій та комп'ютерних мереж найголовнішою вимогою є захист інформації та надання доступу до неї, такого, що повністю виключає можливість несанкціонованого доступу до інформації та внесення змін до неї До таких способів ставляться досить супереч ливі вимоги необхідність застосування простих прийомів та надійний захист інформації від несанкціонованого доступу Відомий спосіб надання доступу, що передбачає використання постійного коду (див патент ВНР №181176, опубл 311284р.7/10) Надійність такого способу не безумовна, особливо в разі крадіжки чи копіювання коду Відомий також спосіб надання права доступу до інформації, що містить в собі оперативний набір кодів (див патент РФ № 2097519 опубл 27 11 97р бюл №33) Цей спосіб дозволяє в порі 00 о> ю со ю 53598 внянні з вищевказаним способом значно збільшити КІЛЬКІСТЬ варіантів набору коду, що ідентифікуються при визначенні права доступу до інформації Цей спосіб вибрано як прототип Однак і цей спосіб має недолік, який полягає в тому, що наявність великої КІЛЬКОСТІ варіантів набору коду для користувача викликає труднощі в запам'ятовуванні і встановленні усього коду, який у більшості своїй має великий розмір При цьому не виключається можливість несанкціонованого доступу до інформації, внесення в и структуру небажаних змін та неправомірного використання її В основу даного винаходу покладена технічна задача створення такого способу захисту інформації та ідентифікації права доступу користувачів до неї, який з високою вірогідністю виключає можливість несанкціонованого доступу до інформації, внесення небажаних змін та неправомірного и використання Поставлена задача вирішується способом захисту інформації та надання доступу до неї, що оснований на використані криптографічних перетворень та протоколів, при цьому інформацію після шифрування одним із відомих способів, записують на носи інформації, структурують и по розділам, причому в кожному розділі розміщають тільки частину інформації, формують для кожного розділу тип доступу, який визначається категорією користувачів, що мають право доступу до даного розділу інформації, формують банк даних користувачів шляхом створення записів в банку даних користувачів, при цьому фіксують час реєстрації, формують унікальний ідентифікатор користувача і записують ці дані в запис користувача, записують також значення лопна та пароль користувача, припустимі мережеві адреси, з яких користувачу дозволений цей доступ, протоколи, за якими буде здійснюватися взаємодія, період актуальності запису користувача, часовий період, протягом якого даний запис є актуальним, довідкову інформацію про користувача, створюють і записують у запис користувача криптографічні ключі та параметри криптографічних протоколів користувача, які використовують при ідентифікації та отриманні значень сеансових ключів, формують тип доступу для кожного користувача, при цьому в залежності від користувача формують для нього тип доступу, який може здійснюватись виключно через захищену локальну мережу обчислювальних машин, або тип доступу, який може здійснюватись по відкритим каналам зв'язку загального користування, а право на доступ до інформації користувачеві визначають шляхом виконання криптографічних протоколів, що використовують дані, надані користувачеві при реєстрації та записаних в банку даних користувачів і по результатах їх виконання підтверджують право доступу до розділу інформації з даним типом доступу, що був сформований при реєстрації даного користувача, або відхиляють це право, при підтвердженні права доступу формують спільний з користувачем сеансовий ключ обміну даними, яким зчитану інформацію зашифровують і передають користувачеві, який одержану інформацію розшифровує за допомогою сеансового ключа, при цьому генерується новий сеансовий ключ при кожному новому сеансі обміну інформацією Запропонований спосіб захисту інформації та надання доступу до неї виконується в декілька етапів і полягає в наступному На першому етапі всю необхідну інформацію для даної галузі, наприклад, системи освіти, після шифрування одним із відомих способів, наприклад, криптографічним, записують на носи інформації При цьому ця інформація структурована по рівням доступу, тобто, кожний рівень інформації містить в собі тільки частину відомостей про дану галузь і містить також присвоєний цьому рівню тип доступу Тип доступу визначається категорією користувачів, які мають право доступу до даного рівня інформації Таких рівнів інформації в залежності від галузі та категорій користувачів може бути різним Зашифрована та записана інформація може зберігатися в банках даних, наприклад, в центральній обчислювальній машині розгалуженої системи обчислювальних машин, що обслуговує ту чи іншу галузь На другому етапі формується банк даних користувачів Це виконується таким чином Спочатку створюються записи в банку даних користувачів При цьому фіксують час реєстрації, формують унікальний ідентифікатор користувача і записують ці дані в запис користувача В запис користувача записують також значення лопна та пароль користувача, припустимі мережеві адреси, з яких користувачу дозволений цей доступ, період актуальності запису користувача, часовий період, протягом якого даний запис є актуальним, довідкову інформацію про користувача Далі створюють і записують у запис користувача в банку даних користувачів криптографічні ключі та параметри криптографічних протоколів користувача, які використовують при ідентифікації та отриманні значень сеансових ключів На основі вищевказаних даних формують тип доступу для кожного користувача При цьому в залежності від користувача формують для нього тип доступу, який може здійснюватись виключно через захищену локальну мережу обчислювальних машин, або тип доступу, який може здійснюватись по відкритим загальнодоступним каналам зв'язку Користувач має право доступу до інформації певний проміжок часу Його право доступу може бути поновленим Користувач має також обмеження на КІЛЬКІСТЬ сеансів доступу до інформації Все це дає можливість запобігти несанкціонованим сеансам доступу до інформації при неправомірних використаннях даних про користувачів На третьому етапі виконують саму процедуру доступу користувача до інформації, надання доступу до неї та захист інформації, що передається користувачеві Користувачі, що мають право доступу до інформації, підтверджують свої повноваження шляхом виконання спеціальних криптографічних протоколів, що використовують дані, надані користувачеві при реєстрації та записаних в банку даних користувачів Після підтвердження повноважень користувач має доступ до інформації, визначеної типом доступу, що був сформований при реєстрації даного користувача Сутність запропонованого способу захисту інформації та надання доступу до неї проілюстрована прикладами, що наведені нижче 53598 Розглянемо цей спосіб на прикладі інформаційно-виробничої системи, що може обслуговувати таку галузь держави, як освіта В подальшому цю систему будемо називати ІВС "Освіта" Ця система повинна - створити ефективний автоматизований комплекс для інформаційного забезпечення галузі освіти, - створити ефективний автоматизований комплекс для підвищення ефективності управління навчальними закладами, - створити єдину базу даних навчальних закладів держави, - створити єдину базу даних учнів та студентів, що навчаються в навчальних закладах держави, - створити можливість контролю статусу іноземних студентів, - впорядкувати надання пільг учням та студентам, - підвищити захист документів від підробок, - забезпечити автентифікацію виданих ІВС "Освіта" документів, - забезпечити довідково - інформаційні послуги, - забезпечити моніторинг ДІЯЛЬНОСТІ ОСВІТНІХ закладів, - видавати статистичні дані З переліку функцій ІВС "Освіта" видно, яке велике значення має захист інформації та достовірність при наданні доступу до неї користувачами цієї системи Інформаційні ресурси ІВС "Освіта" зберігаються у базі даних у зашифрованому вигляді Для ІВС "Освіта" визначено сім типів користувачів, які мають право доступу до ВІДПОВІДНОГО розділу інформації Процедура надання доступу для користувачів, що мають перший тип доступу, характерною є можливість отримання доступу до будь-якої інформації бази даних ІВС "Освіта" Доступ для такої категорії користувачів може здійснюватись виключно через захищену мережу ІВС "Освіта" Щоб отримати дані користувач повинен підтвердити свої повноваження вище описаним способом При підтвердженні своїх повноважень такий користувач отримує право на здійснення певних дій в системі безпосередньо через комп'ютери системи Процедура надання доступу для користувачів, що мають другий тип доступу аналогічна процедурі надання доступу користувачам, що мають пер ший тип доступу ВІДМІННІСТЮ Є те, що такі користувачі не мають доступу до інформації по абітурієнтам та студентам-шоземцям Процедура надання доступу для користувачів, що мають третій тип доступу характерна тим, що вони мають можливість отримання доступу до особистих даних учнів та студентів та отримання статистичної інформації по всім навчальним закладам Процедура надання доступу для користувачів, що мають четвертий тип доступу характерна тим, що вони мають можливість отримання регіональної статистичної інформації по всім навчальним закладам Доступ для такої категорії користувачів може здійснюватись через сайт ІВС "Освіта" (www osvita net) Процедура надання доступу для користувачів, що мають п'ятий тип доступу характерна тим, що вони мають можливість отримання доступу до особистих даних учнів та студентів та отримання статистичної інформації по всім навчальним закладам Доступ для такої категорії користувачів може здійснюватись через сайт ІВС "Освіта" (www osvita net) Процедура надання доступу для користувачів, що мають шостий тип доступу характерна тим, що вони мають можливість подачі заявок на виготовлення документів про освіту та отримання статистичної інформації щодо їх навчального закладу Доступ для такої категорії користувачів може здійснюватись через сайт ІВС "Освіта" (www osvita net) Процедура надання доступу для незареєстрованих користувачів (сьомий тип доступу) Доступ для такої категорії користувачів може здійснюватись через сайт ІВС "Освіта" (www osvita net) до доступних для цієї категорії інформаційних ресурсів (дані щодо документів про освіту та довідкова інформація) Треба ВІДМІТИТИ, що вся інформація про сеанси обміну, в тому числі і помилкові, фіксуються системою Як показали виробничі випробовування запропонованого способу захисту інформації та надання доступу до неї в ІВС "Освіта" показали велику надійність Виключена повністю можливість несанкціонованого доступу до інформаційних ресурсів ІВС "Освіта" та внесення небажаних змін до них ТОВ "Міжнародний науковий комітет" вул Артема, 77, м Київ, 04050, Україна (044)236-47-24