Спосіб захисту баз даних з біометричною та персональною інформацією
Формула / Реферат
1. Спосіб захисту баз даних, що зберігають біометричні та/або персональні дані від зовнішнього вторгнення по каналах зв'язку, який відрізняється тим, що на шляху інформаційного потоку розміщують апаратно-програмний пристрій, що складається з обчислювального модуля з мережним інтерфейсом, буферного накопичувача, захищеного носія, перемикача інтерфейсів та блока живлення, в межах якого циклічний обмін даними автоматично виконують за допомогою апаратної комутації захищеного носія, який тимчасово зберігає блок даних.
2. Спосіб за п. 1, який відрізняється тим, що операційну систему та алгоритм роботи апаратно-програмного пристрою завантажують з окремого носія, захищеного від запису.
3. Спосіб за п. 1, який відрізняється тим, що по закінченні кожного циклу обміну даними виконують повну зупинку обчислювальної системи апаратно-програмного пристрою.
4. Спосіб за п. 1, який відрізняється тим, що комутація напрямку роботи апаратно-програмного пристрою у кожному циклі виконується перемикачем інтерфейсів, за сигналом, що свідчить про те, що здійснена повна зупинка обчислювальної системи апаратно-програмного пристрою.
5. Спосіб за п. 1 або п. 4, який відрізняється тим, що завантаження операційної системи та командного алгоритму апаратно-програмного пристрою на початку кожного циклу виконують за командою перемикача інтерфейсів, після виконання ним комутації напрямку роботи апаратно-програмного пристрою.
Текст
Реферат: Винахід належить до області інформаційної безпеки. Спосіб захисту баз даних, що зберігають біометричну та/або персональну інформацію, полягає в тому, що на шляху інформаційного потоку розміщують апаратно-програмний пристрій, що складається з обчислювального модуля з мережним інтерфейсом, буферного накопичувача, захищеного носія, перемикача інтерфейсів та блока живлення, в межах якого циклічний обмін даними автоматично виконують за допомогою апаратної комутації матеріального носія, який тимчасово зберігає блок даних. Технічним результатом, що досягається даним винаходом, є підвищення захисту персональної інформації від зовнішнього вторгнення. UA 109315 C2 (12) UA 109315 C2 UA 109315 C2 5 10 15 20 25 30 35 40 45 50 55 Запропонований винахід належить до галузі інформаційної безпеки і призначений для захисту баз даних, що містять біометричну інформацію та/або персональні дані, від зовнішніх загроз по каналах зв'язку. Збереження конфіденційності інформації, що зберігається в базах даних, досягається декількома основними способами. Нижче вони розставлені в порядку зменшення ефективності. 1. Повна ізоляція внутрішньої обчислювальної мережі від електронних каналів передачі даних, що ведуть у зовнішнє середовище, а також можливих джерел витоку інформації по каналах побічних електромагнітних випромінювань і наведень. 2. Створення для обміну даними власних закритих мереж, які не використовують загальнодоступні канали зв'язку, наприклад Інтернет. 3. Застосування апаратно-програмних засобів захисту, що працюють в режимі онлайн. Спосіб (1) дає найвищий ступінь захисту, але в сучасних умовах, що потребують розподіленої мережної взаємодії, він непридатний. Для роботи за таких умов може бути використаний спосіб (2) або (3). Сучасні системи захисту інформації орієнтовані переважно на використання способу (3), враховуючи вкрай високу вартість, проблемне масштабування, а також складність інтеграції способу (2) в існуючі системи обміну даними. В зв'язку з поширенням біометричних систем, питання захисту інформації, що зберігається в них, стають винятково актуальними. Специфіка біометричної інформації полягає в неможливості її заміни у випадку компрометації, внаслідок чого ступінь її захисту імовірно має відповідати способу (1). Однак такий спосіб не відповідає потребам систем біометричного розпізнавання, які вимагають оперативної роботи з віддаленими джерелами інформації. Для вирішення проблеми пропонується спосіб, якому автор дав назву: офлайн шлюзування. Захист реалізовано шляхом розміщення на шляху інформаційного потоку апаратно-програмного пристрою, що складається з обчислювального модуля з мережним інтерфейсом, буферного накопичувача, захищеного носія, перемикача інтерфейсів та блока живлення , в межах якого циклічний обмін даними автоматично виконують за допомогою апаратної комутації матеріального носія, який тимчасово зберігає блок даних. Апаратна комутація здійснюється лише після повної зупинки обчислювальної системи офлайн шлюзу, яка обов'язково завершує кожну фазу обміну даними. В результаті логічна структура безпечної зони стає повністю ізольованою, що робить неможливим як активне вторгнення ззовні, так і сам процес пошуку шляхів проникнення. Даний режим роботи є можливим з огляду на формат даних, що передаються в біометричних системах, та особливості їх обробки. В переважній більшості випадків це структуровані блоки в форматах, рекомендованих нормативними документами NIST, CBEFF та іншими, що зберігають необроблені біометричні дані. Обробка таких даних виконується на експертному рівні, що вимагає певних витрат часу. Зважаючи на це, стає очевидним, що передача таких даних в режимі онлайн не є необхідністю. Апаратно-програмний пристрій (Схема 2), складається з обчислювального модуля з мережним інтерфейсом (1), буферного накопичувача (2), захищеного носія (3), перемикача інтерфейсів (4) та блока живлення (5). Приклад реалізації перемикача інтерфейсів приведено на (Схема 3). Вміст пакетного файлу приведено на (Схема 4). Алгоритм роботи офлайн шлюзу: Крок 1: Завантаження операційної системи з захищеного носія, автоматичний запуск пакетного файлу. Крок 2: Вивантаження вихідних даних з буферного накопичувача. Крок 3: Завантаження вхідних даних в буферний накопичувач. Крок 4: Завершення роботи командою на вимкнення обчислювальної системи. Крок 5: "Датчик-стоп" (Схема 2, елемент. 4.1) комутатора інтерфейсів виявляє вимкнення обчислювальної системи і віддає керуючий сигнал на "Тригер" (Схема 2, елемент. 4.2)та формує сигнал "PWR_ON". Крок 6: "Тригер" отримує від "Датчик-стоп" керуючий сигнал, формує команду на перемикання інтерфейсів і комутатор переходить в протилежний стійкий стан, перемикаючи напрямок обміну даними. Крок 7: За сигналом "PWR_ON" відбувається запуск обчислювальної системи. Крок 8: Перехід до "Крок 1". Таким чином виконується циклічний обмін даними від небезпечної зони (Схема 1, елемент. 3) через апаратно-програмний пристрій (Схема 1, елемент. 2) до захищеної зони (Схема 1, елемент. 1). На (Схема 1, Фіг. 1) продемонстровано фазу обміну даними між небезпечною зоною (Схема 1, елемент. 3) та апаратно-програмний пристрій (Схема 1, елемент. 2). На (Схема 1 UA 109315 C2 5 10 1, Фіг. 2) продемонстровано фазу обміну даними між апаратно-програмним пристроєм (Схема 1, елемент. 2) та захищеною зоною (Схема 1, елемент. 1). Очевидно, що з небезпечного простору (Схема 1, елемент. 4) потенційному зловмиснику неможливо отримати прямий доступ до захищеної зони (Схема 1, елемент. 1) ні за яких умов. Крім того процес офлайн, що виконується в апаратно-програмному пристрої, з абсолютною надійністю деактивує будь-які вірусні або закладні елементи, що можуть призвести до порушень процесів обробки інформації або до витоку інформації назовні. Апаратно-програмний пристрій ефективно діє, незалежно від рівня обізнаності потенційного зловмисника з принципами його побудови. Автором створено та випробувано діючий прототип апаратно-програмного пристрою, що відповідає наведеному вище опису. ФОРМУЛА ВИНАХОДУ 15 20 25 30 1. Спосіб захисту баз даних, що зберігають біометричні та/або персональні дані від зовнішнього вторгнення по каналах зв'язку, який відрізняється тим, що на шляху інформаційного потоку розміщують апаратно-програмний пристрій, що складається з обчислювального модуля з мережним інтерфейсом, буферного накопичувача, захищеного носія, перемикача інтерфейсів та блока живлення, в межах якого циклічний обмін даними автоматично виконують за допомогою апаратної комутації захищеного носія, який тимчасово зберігає блок даних. 2. Спосіб за п. 1, який відрізняється тим, що операційну систему та алгоритм роботи апаратнопрограмного пристрою завантажують з окремого носія, захищеного від запису. 3. Спосіб за п. 1, який відрізняється тим, що по закінченні кожного циклу обміну даними виконують повну зупинку обчислювальної системи апаратно-програмного пристрою. 4. Спосіб за п. 1, який відрізняється тим, що комутація напрямку роботи апаратно-програмного пристрою у кожному циклі виконується перемикачем інтерфейсів, за сигналом, що свідчить про те, що здійснена повна зупинка обчислювальної системи апаратно-програмного пристрою. 5. Спосіб за п. 1 або п. 4, який відрізняється тим, що завантаження операційної системи та командного алгоритму апаратно-програмного пристрою на початку кожного циклу виконують за командою перемикача інтерфейсів, після виконання ним комутації напрямку роботи апаратнопрограмного пристрою. 2 UA 109315 C2 3 UA 109315 C2 4 UA 109315 C2 5 UA 109315 C2 Комп’ютерна верстка А. Крулевський Державна служба інтелектуальної власності України, вул. Василя Липківського, 45, м. Київ, МСП, 03680, Україна ДП “Український інститут інтелектуальної власності”, вул. Глазунова, 1, м. Київ – 42, 01601 6
ДивитисяДодаткова інформація
МПК / Мітки
МПК: G06F 21/00, H04L 9/32, G06F 21/60, H04L 9/00
Мітки: даних, захисту, баз, біометричною, персональною, спосіб, інформацією
Код посилання
<a href="https://ua.patents.su/8-109315-sposib-zakhistu-baz-danikh-z-biometrichnoyu-ta-personalnoyu-informaciehyu.html" target="_blank" rel="follow" title="База патентів України">Спосіб захисту баз даних з біометричною та персональною інформацією</a>
Попередній патент: Пристрій та спосіб для хімічного оброблення алюмінієвого дроту
Наступний патент: Пристрій для дозування сипких гігроскопічних продуктів
Випадковий патент: Різьбове з'єднання