Спосіб установлення зв’язку в комп’ютерних мережах

Спосіб установлення зв'язку в комп'ютерних мережах, який полягає в тому, що інформацію записують у блок банку даних інформації, формують банк даних користувачів в блоці банку даних користувачів, кожному з користувачів надають ознаку пріоритетності доступу, генерують і записують у блок банку даних користувачів відкриті криптографічні ключі, секретний ключ зберігається на особистій дискеті (носії) користувача, користувачів ідентифікують за електронним підписом, від U 1 3 спільний з користувачем сеансовий ключ обміну даними, яким зчитану інформацію зашифровують і передають на робочу станцію користувача, або приймають з робочої станції користувача. Користувач одержану інформацію розшифровує за допомогою сеансового ключа. При передачі інформації до блока банку даних інформації, користувач зашифровує інформацію за допомогою сеансового ключа. При кожному новому сеансі обміну інформацією генерують новий сеансовий ключ. До недоліків вказаного способу можна віднести: - уповільнення ідентифікації користувача; - можливість підглядання та підбирання деяких даних індивідуальних записів користувача; - можливість несанкціонованого отримання даних індивідуальних записів користувача засобами робочої станції під час відсутності користувача, або програмно (наприклад вірусними програмами клавіатурними перехоплювачами), - відсутність додаткових ідентифікаторів користувача для альтернативних систем зчитування інформації. Технічною задачею, на вирішення якої направлена запропонована корисна модель є створення способу установлення зв'язку в комп’ютерних мережах, що забезпечує: - високу надійність установлення зв'язку; - швидку та чітку ідентифікацію користувача; - високий рівень захисту інформації, - можливість застосування альтернативних систем зчитування для ідентифікації користувача. Поставлена технічна задача досягається шляхом створення способу установлення зв'язку в комп'ютерних мережах наприклад, при користуванні загальнодержавною інформаційновиробничою системою в галузі освіти ІВС "ОСВІТА", який полягає у наступному. Інформацію записують у блок банку даних інформації. Формують банк даних користувачів шляхом створення індивідуальних записів в блоці банку даних користувачів, для кожного з користувачів формують ознаку пріоритетності доступу. Ознака пріоритетності доступу передбачає першочергове установлення зв'язку для користувачів, що мають більш високий пріоритет, що був наданий при формуванні банку користувачів. В банк даних користувачів записують також значення логіна та пароль користувача. Генерують і записують у блок банку даних користувачів відкриті криптографічні ключі. Для ідентифікації користувачів використовують електронний підпис, який базується на основі пари ключів - секретного та відкритого. Секретний ключ зберігають на особистій дискеті (носії) користувача. Відкритий ключ формують на основі секретного ключа. Відкритий ключ передають користувачам. Для шифрування інформації генерують спільний з користувачем сеансовий ключ, яким зчитану інформацію зашифровують і передають на робочу станцію користувача, або приймають з робочої станції користувача. Користувач одержану інформацію розшифровує за допомогою сеансового ключа. При передачі інформації до блока банку даних інформації, користувач зашифровує інформацію за допомогою сеансового клю 48777 4 ча. При кожному новому сеансі обміну інформацією генерують новий сеансовий ключ. При цьому, згідно із запропонованою корисною моделлю, створений сеансовий ключ додатково зашифровують ключем шифрування. Ключ шифрування зберігається на особистому носії користувача та в блоці банку даних користувачів. Зашифрованим сеансовим ключем зашифровують інформацію перед передачею. В якості ключа шифрування може використовуватися відкритий ключ. Частині користувачів в якості особистого носія надають носій, який є незалежним автоматизованим пристроєм, має вбудовані внутрішні операційну систему, встановлене програмне забезпечення та систему захисту (наприклад смарт-картка). Для доступу до інформації, що зберігається на носії користувачу надають особистий PIN-код, який розпізнається засобами носія і не може бути перехоплений засобами робочої станції (комп'ютера, з якого відбувається доступ до інформації, який працює в середовищі звичайної операційної системи). На цьому носії розміщують та зберігають усі необхідні програмні засоби й дані для генерації криптографічних ключів. Запис на носій або зчитування ідентифікаційної інформації з носія захищають одним з відомих способів криптографічного захисту. Несанкціоновані запис на носій, зчитування інформації з носія або його копіювання неможливі. В блоці зміни ознаки пріоритетності за необхідністю актуалізують інформацію про ознаку пріоритетності користувача. Перераховані ознаки складають суть корисної моделі та забезпечують досягнення технічного результату, а саме: - високу надійність установлення зв'язку; - швидку та чітку ідентифікацію користувача; - високий рівень захисту інформації, - можливість застосування альтернативних систем зчитування для ідентифікації користувача. Причинно-наслідковий зв'язок ознак корисної моделі та технічного результату полягає у наступному: - автоматизація операцій, які повинен виконувати користувач (тільки вставити носій у відповідний зчитувач) забезпечує високу надійність установлення зв'язку, швидку та чітку ідентифікацію користувача; - додаткове шифрування сеансового ключа ключем шифрування, генерація та шифрування криптографічних ключів засобами носія виключає можливість їх перехоплення з робочої станції і забезпечує високий рівень захисту інформації, яка зберігається на носії та інформації, яка передається по загальнодоступних каналах зв'язку, - нанесення на носій-картку додаткових ідентифікаторів (індивідуального штрих-коду, фотокартки) забезпечує можливість застосування альтернативних систем зчитування для ідентифікації користувача. Запропонована корисна модель проілюстрована доданою фігурою на якій зображено структурну схему системи, яка реалізує спосіб установлення зв'язку в комп'ютерних мережах. Запропонована корисна модель може бути ре 5 алізована за допомогою системи, що складається з: блоку банку даних інформації 1 (наприклад блок банку даних інформації загальнодержавної інформаційно-виробничої системи в галузі освіти ІВС "ОСВІТА"), поєднаного з робочою станцією користувача 2 (наприклад персональні комп'ютери користувачів ІВС "ОСВІТА" всіх рівнів), яка під час сеансу зв'язку поєднана з персональним носієм користувача (наприклад смарт-карткою) та блоком банку даних користувачів 3 (наприклад блок банку даних користувачів ІВС "ОСВІТА"), який під час роботи пов'язаний з блоком банку даних інформації 1 та робочою станцією користувача 2. Блок банку даних користувачів 3 поєднаний з блоком зміни ознаки пріоритетності 4. Спосіб установлення зв'язку в комп'ютерних мережах реалізується таким чином: Інформацію записують у блок банку даних інформації 1. Формують банк даних користувачів 3 шляхом створення індивідуальних записів в блоці банку даних користувачів. Структурують по розділах інформацію банку даних користувачів 3, для кожного з користувачів формують ознаку пріоритетності доступу до блоку банка даних інформації, записують в блок банку даних користувачів також значення логінів та паролів. При цьому доступ до блоку банку даних інформації 1 здійснюють по відкритих каналах зв'язку загального користування з виконанням криптографічних протоколів, що використовують ідентифікаційні дані, надані користувачеві при реєстрації. При відправленні повідомлень формують сеансовий ключ обміну даними, який додатково шифрують ключем шифрування, інформацію зашифровують, підписують секретним ключем і передають на робочу станцію користувача 2, або приймають з робочої станції користувача 2. Користувач одержану інформацію розшифровує за допомогою ключа шифрування та сеансового ключа, перевіряє електронний підпис відкритим ключем. Частині користувачів надають персональний носій, який є незалежним автоматизованим пристроєм, має вбудовані внутрішні операційну систему, встановлене програмне забезпечення та систему захисту (наприклад смарт-картку). Для доступу до інформації, що зберігається на носії користувачу надають особистий PIN-код, який розпізнається засобами носія і не може бути перехоплений засобами робочої станції. На цьому носії розміщують та зберігають усі необхідні програмні засоби й дані для генерації криптографічних ключів. Запис на носій або зчитування ідентифікаційної інформації з носія захищають одним з відомих способів криптографічного захисту. Несанкціоновані запис на носій, зчитування ідентифікаційної інформації з носія або його копіювання неможливі. В блоці зміни ознаки пріоритетності 4 за необхідністю актуалізують інформацію про ознаку пріоритетності користувача. Спосіб установлення зв'язку в комп'ютерних мережах виконують в декілька етапів. На першому етапі інформацію записують у 48777 6 блок банку даних інформації. До встановлення зв'язку з користувачем формують банк даних користувачів, при цьому створюють записи в блоці банку даних користувачів 3, для кожного з користувачів формують ознаку пріоритетності доступу до інформації банку даних інформації, структурують їх за ознакою пріоритетності доступу, який передбачає першочергове установлення зв'язку для користувачів, що мають більш високий пріоритет, що був наданий при формуванні банку користувачів. На другому етапі в банк даних користувачів 3 записують значення логінів та паролів користувачів, створюють і записують у блок банку даних користувачів відкриті криптографічні ключі та параметри криптографічних протоколів користувача, які використовують при ідентифікації та отриманні значень сеансових ключів. Сеансовий ключ генерують при кожному новому сеансі обміну інформацією, додатково зашифровують його ключем шифрування та використовують для зашифрування інформації при передачі до блоку банку даних інформації. Електронний підпис базується на основі пари ключів - секретного та відкритого. Секретний ключ - це випадкове (унікальне) число довжиною 256біт. Він зберігається на особистому носії користувача (смарт-картці) та забезпечує підписування інформації. Відкритий ключ зберігається в банку даних користувачів та використовується для перевірки електронного підпису. Відкритий ключ є доступним іншим користувачам. На третьому етапі виконують саму процедуру зв'язку між робочою станцією користувача 2 та блоком банку даних інформації. За необхідністю змінюють ознаку пріоритетності користувача в блоці зміни ознаки пріоритетності 4. Цей спосіб можна проілюструвати на прикладі загальнодержавної інформаційно-виробничої системи в галузі освіти ІВС "Освіта". Ця система створює ефективний автоматизований комплекс для інформаційного забезпечення галузі освіти, підвищення ефективності управління навчальними закладами, створює: єдиний банк даних навчальних закладів держави, єдину базу даних учнів та студентів, що навчаються в навчальних закладах держави, надає можливість контролю статусу іноземних студентів, впорядковує надання пільг учням та студентам, забезпечує захист документів від підробок, забезпечує аутентифікацію виданих ІВС "Освіта" документів, забезпечує довідковоінформаційні послуги, забезпечує моніторинг діяльності освітніх закладів, видає статистичні дані. ІВС "Освіта" забезпечує надійний захищений зв'язок між банком даних інформації галузі освіти та робочими станціями користувачів системи (навчальними закладами, інформаційно-виробничими вузлами системи). З переліку функцій ІВС "Освіта" видно, яке велике значення має захист інформації та її достовірність при наданні доступу до інформації користувачами цієї системи. 7 Комп’ютерна верстка Л. Ціхановська 48777 8 Підписне Тираж 26 прим. Міністерство освіти і науки України Державний департамент інтелектуальної власності, вул. Урицького, 45, м. Київ, МСП, 03680, Україна ДП “Український інститут промислової власності”, вул. Глазунова, 1, м. Київ – 42, 01601