Спосіб захисту інформації в мережах передачі даних та ідентифікації права доступу до неї

Спосіб захисту інформації в мережах передачі даних та ідентифікації права доступу до неї, який полягає в тому, що інформацію після шифрування записують у блок банку даних інформації, структурують її по розділах, формують для кожного розділу тип доступу, після цього формують банк даних користувачів шляхом створення індивідуальних записів в блоці банку даних користувачів, при цьому доступ до банку даних інформації здійснюють через захищену локальну мережу робочих станцій або по відкритих каналах зв'язку загального користування з виконанням криптографічних протоколів, по результатах виконання криптографічних протоколів користувачі підтверджують право доступу до U 2 (19) 1 3 47137 4 них протоколів користувачі підтверджують право користувачем сеансовий ключ обміну даними, доступу до розділу інформації з даним типом досяким зчитану інформацію зашифровують і перетупу, що був сформований при реєстрації даного дають на робочу станцію користувача. Користувач користувача, або відхиляють це право. При підтодержану інформацію розшифровує за допомогою вердженні права доступу формують спільний з сеансового ключа. При кожному новому сеансі користувачем сеансовий ключ обміну даними, обміну інформацією генерують новий сеансовий яким зчитану інформацію зашифровують і переключ. дають на робочу станцію користувача. Користувач При цьому, згідно із запропонованою корисною одержану інформацію розшифровує за допомогою моделлю, частині користувачів надають персонасеансового ключа. При кожному новому сеансі льний носій (наприклад старт-картку), який є незаобміну інформацією генерують новий сеансовий лежним автоматизованим пристроєм, має вбудоключ. вані внутрішні операційну систему, встановлене До недоліків вказаного способу можна віднеспрограмне забезпечення та систему захисту. Для ти: доступу до інформації, що зберігається на носії - недостатню надійність ідентифікації користукористувачу надають особистий PIN-код, який розвача; пізнається засобами носія і не може бути перехоп- відсутність додаткових ідентифікаторів корилений засобами робочої станції (комп'ютера, з стувача для альтернативних систем зчитування якого відбувається доступ до інформації, який інформації; працює в середовищі звичайної операційної сис- відсутність можливості актуалізації (подовтеми). На цьому носії розміщують та зберігають усі ження) інформації про статус користувача; необхідні програмні засоби й дані для генерації - можливість підглядання та підбирання декриптографічних ключів. Запис на носії або зчитуяких даних індивідуальних записів користувача; вання інформації з носія захищають одним з відо- можливість несанкціонованого отримання мих способів криптографічного захисту. Несанкціданих індивідуальних записів користувача засобаоновані запис на носій, зчитування інформації з ми робочої станції під час відсутності користувача, носія або його копіювання неможливі. В блоці зміабо програмне (наприклад вірусними програмами ни типу доступу та статусу за необхідністю актуаклавіатурними перехоплювачами), лізують інформацію про статус користувача та Технічною задачею, на вирішення якої напрайого тип доступу. влена запропонована корисна модель є створення Перераховані ознаки складають суть корисної способу захисту інформації в мережах передачі моделі та забезпечують досягнення технічного даних та ідентифікації права доступу до неї, що результату, а саме: забезпечує: - високий рівень захисту інформації, яка збері- високий рівень захисту; гається на носії; - підвищення швидкості передачі даних; - підвищення швидкості передачі даних; - можливість чітко ідентифікувати крадія під - високий рівень захисту інформації, яка перечас крадіжки даних; дається загальнодоступними каналами зв'язку; - швидку ідентифікацію користувача за допо- можливість чітко ідентифікувати крадія під могою різних систем зчитування інформації. час крадіжки даних; Поставлена технічна задача досягається шля- швидку ідентифікацію користувача за допохом створення способу захисту інформації в мемогою різних систем зчитування інформації. режах передачі даних та ідентифікації права досПричинно-наслідковий зв'язок ознак корисної тупу до неї, наприклад, при користуванні моделі та технічного результату полягає у наступзагальнодержавною інформаційно-виробничою ному: системою в галузі освіти 1 ВС «ОСВІТА», який - наявність на носії власної внутрішньої систеполягає у наступному: ми доступу, на яку не впливає операційна система Інформацію після шифрування одним із відоробочої станції забезпечує високий рівень захисту мих способів, записують у блок банку даних інфоідентифікаційних даних, які зберігаються на носії рмації, структурують її по розділам, формують для та передаються по каналах зв'язку; кожного розділу тип доступу, який визначається - автоматизація операцій, які повинен виконукатегорією користувачів, що мають право доступу вати користувач (тільки вставити носій у відповіддо певного розділу інформації. Після цього форний зчитувач) забезпечує простоту реалізації спомують банк даних користувачів шляхом створення собу, високий рівень захисту інформації, яка індивідуальних записів в блоці банку даних корисзберігається на носії та передається по каналах тувачів. При цьому доступ до банку даних інфорзв'язку, підвищення швидкості передачі даних, мації здійснюють через захищену локальну мерешвидку ідентифікацію користувача; жу робочих станцій, або по відкритим каналам - генерація та шифрування криптографічних зв'язку загального користування з виконанням ключів засобами носія виключає їх перехоплення з криптографічних протоколів, що використовують робочої станції, що забезпечує високий рівень заідентифікаційні дані, надані користувачеві при рехисту інформації, яка зберігається на носії та пеєстрації. По результатах виконання криптографічредається по загальнодоступних каналах зв'язку; них протоколів користувачі підтверджують право - чітка ідентифікація носія надає можливість доступу до розділу інформації з даним типом досідентифікувати крадія під час крадіжки даних. тупу, що був сформований при реєстрації даного Запропонована корисна модель проілюстрокористувача, або відхиляють це право. При підтвана доданою фігурою на якій зображено структувердженні права доступу формують спільний з рну схему способу реалізації системи захисту ін 5 47137 6 формації в мережах передачі даних та ідентифіканосії або зчитування інформації з носія захищають ції права доступу до неї. одним з відомих способів криптографічного захисЗапропонована корисна модель може бути рету. Несанкціоновані запис на носій, зчитування алізована за допомогою системи, що складається з: інформації з носія або його копіювання неможливі. блоку банку даних інформації 1 (наприклад В блоці зміни типу доступу та статусу 4 за необблок банку даних інформації загальнодержавної хідністю актуалізують інформацію про статус кориінформаційно-виробничої системи в галузі освіти стувача та його тип доступу. ІВС «ОСВІТА»), поєднаного з робочою станцією Спосіб захисту інформації в мережах передачі користувача 2 (наприклад персональні комп'ютери даних та ідентифікації права доступу до неї викокористувачів ІВС «ОСВІТА» всіх рівнів), яка під час нують в декілька етапів. На першому етапі всю сеансу зв'язку поєднана з персональним носієм необхідну інформацію для даної галузі, наприклад, користувача (наприклад смарт-карткою) та блоком галузі освіти, після шифрування одним із відомих банку даних користувачів З (наприклад блок банку способів, записують в блок банку даних інформації даних користувачів ІВС «ОСВІТА»), який під час 1. При цьому цю інформацію структурують по рівроботи пов'язаний з блоком банку даних інформаням доступу, тобто, кожний рівень інформації місції 1 та робочою станцією користувача 2. Блок батить в собі тільки частину відомостей про дану нку даних користувачів 3 поєднаний з блоком змігалузь і містить також присвоєний цьому рівню тип ни типу доступу та статусу 4. доступу. Тип доступу визначають категорією кориСпосіб захисту інформації в мережах передастувачів, які мають право доступу до даного рівня чи даних та ідентифікації права доступу до неї інформації. Таких рівнів інформації в залежності реалізується таким чином: від галузі та категорій користувачів може бути деІнформацію після шифрування одним із відокілька. Зашифровану та записану інформацію збемих способів, записують у блок банку даних інфорігають в блоці банку даних 1, наприклад, на серрмації 1, структурують її по розділам, формують вері, що обслуговує ту чи іншу галузь. На другому для кожного розділу тип доступу, який визначаєтьетапі формують банк даних користувачів. При ся категорією користувачів, що мають право досцьому створюють записи в блоці банку даних котупу до певного розділу інформації. Після цього ристувачів 3. При цьому в залежності від користуформують банк даних користувачів шляхом ствовача доступ здійснюють через захищену локальну рення індивідуальних записів в блоці банку даних мережу робочих станцій 2, або по відкритим загакористувачів 3. При цьому доступ до блоку банку льнодоступним каналам зв'язку. Користувачу наданих інформації 1 здійснюють через захищену дають право доступу до інформації на певний локальну мережу робочих станцій, або по відкрипроміжок часу. Його право доступу за необхідністю тим каналам зв'язку загального користування з поновлюють. На третьому етапі виконують саму виконанням криптографічних протоколів, що викопроцедуру доступу користувача з робочої станції ристовують ідентифікаційні дані, надані користукористувача 2 до інформації та захист інформації, вачеві при реєстрації. По результатах виконання що передається користувачеві, змінюють, за необкриптографічних протоколів користувачі підтверхідності, тип доступу та інформацію про статус джують право доступу до розділу інформації з дакористувача. ним типом доступу, що був сформований при реЦей спосіб можна проілюструвати на прикладі єстрації даного користувача, або відхиляють це загальнодержавної інформаційно-виробничої сисправо. При підтвердженні права доступу формутеми в галузі освіти 1 ВС "Освіта". Ця система ють спільний з користувачем сеансовий ключ обстворює ефективний автоматизований комплекс міну даними, яким зчитану інформацію зашифродля інформаційного забезпечення галузі освіти, вують і передають на робочу станцію користувача підвищення ефективності управління навчальними 2. Користувач одержану інформацію розшифровує закладами, створює: єдину базу даних навчальних за допомогою сеансового ключа. При кожному закладів держави, єдину базу даних учнів та стуновому сеансі обміну інформацією генерують нодентів, що навчаються в навчальних закладах вий сеансовий ключ. Частині користувачів надають держави, надає можливість контролю статусу іноперсональний носій (наприклад смарт-картку), земних студентів, впорядковує надання пільг учякий є незалежним автоматизованим пристроєм, ням та студентам, забезпечує захист документів має вбудовані внутрішні операційну систему, від підробок, забезпечує аутентифікацію виданих встановлене програмне забезпечення та систему ІВС "Освіта" документів, забезпечує довідковозахисту. Для доступу до інформації, що зберігаінформаційні послуги, забезпечує моніторинг діяється на носії користувачу надають особистий PINльності освітніх закладів, видає статистичні дані. З код, який розпізнається засобами носія і не може переліку функцій ІВС "Освіта" видно, яке велике бути перехоплений засобами робочої станції 2 значення має захист інформації та її достовірність (комп'ютера, з якого відбувається доступ до інфопри наданні доступу до інформації користувачами рмації, який працює в середовищі звичайної опецієї системи. Для ІВС "Освіта" визначено сім типів раційної системи). На цьому носії розміщують та користувачів, які мають право доступу до відповідзберігають усі необхідні програмні засоби й дані них розділів інформації. для генерації криптографічних ключів. Запис на 7 Комп’ютерна верстка Г. Паяльніков 47137 8 Підписне Тираж 28 прим. Міністерство освіти і науки України Державний департамент інтелектуальної власності, вул. Урицького, 45, м. Київ, МСП, 03680, Україна ДП “Український інститут промислової власності”, вул. Глазунова, 1, м. Київ – 42, 01601