устройство защиты от несанкционированного доступа к информации, хранимой в персональной эвм

Классы МПК:G06F12/14 защита от обращений к памяти посторонних пользователей
Автор(ы):, , ,
Патентообладатель(и):ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ УНИТАРНОЕ ПРЕДПРИЯТИЕ "КОНЦЕРН "СИСТЕМПРОМ" (RU)
Приоритеты:
подача заявки:
2003-11-28
публикация патента:

Изобретение относится к средствам защиты от несанкционированного доступа к информации, хранимой в персональной ЭВМ. Техническим результатом является возможность безопасного выполнения операций идентификации и аутентификации и повышение эффективности защиты от несанкционированного доступа к информации, хранимой в персональной ЭВМ. Устройство содержит внешний носитель (1) информации, выполненный в виде энергонезависимой памяти, выносной блок (2) считывания информации с внешнего носителя информации, содержащий выносной контактный узел (3) считывания информации с внешнего носителя информации и контроллер (4) обмена информацией с внешним носителем информации, и расположенные на общей плате (5) постоянное запоминающее устройство (6), процессор (7) идентификации и аутентификации, контроллер (8) обмена информацией с персональной ЭВМ, локальную шину (9), блок (10) интерфейса, блок (11) энергонезависимой памяти, устройство (12) контроля питания и устройство (13) блокировки общей шины (14) управления и обмена данными персональной ЭВМ. 2 ил. устройство защиты от несанкционированного доступа к информации,   хранимой в персональной эвм, патент № 2263950

устройство защиты от несанкционированного доступа к информации,   хранимой в персональной эвм, патент № 2263950 устройство защиты от несанкционированного доступа к информации,   хранимой в персональной эвм, патент № 2263950

Формула изобретения

Устройство защиты от несанкционированного доступа к информации, хранимой в персональной ЭВМ, содержащее внешний носитель информации и расположенные на общей плате постоянное запоминающее устройство, контроллер обмена информацией с персональной ЭВМ, блок интерфейса, блок энергонезависимой памяти, содержащий первую, вторую, третью и четвертую энергонезависимые памяти, устройство контроля питания и устройство блокировки общей шины управления и обмена данными персональной ЭВМ, магистральный выход которого предназначен для подключения к общей шине управления и обмена данными персональной ЭВМ, для подключения к которой предназначены внешние магистральные вход/выход блока интерфейса, внутренние магистральные вход/выход которого соединены с магистральными входом/выходом постоянного запоминающего устройства и с внешними магистральными входом/выходом контроллера обмена информацией с персональной ЭВМ, первый и второй управляющие выходы которого подключены соответственно к входу разрешения чтения/записи блока интерфейса и к входу разрешения доступа к памяти постоянного запоминающего устройства, выход контроля питания - к входу устройства контроля питания, а внутренние магистральные вход/выход - к магистрали локальной шины, входы/выходы первой, второй, третьей и четвертой энергонезависимых памятей являются соответственно первым, вторым, третьим и четвертым магистральными входами/выходами блока энергонезависимой памяти и соединены с магистралью локальной шины, и выносной блок считывания информации с внешнего носителя информации, содержащий контактный узел считывания информации с внешнего носителя информации и контроллер обмена информацией с внешним носителем информации, вход которого подключен к выходу выносного контактного узла считывания информации с внешнего носителя информации, а магистральные вход/выход являются магистральными входом/выходом выносного блока считывания информации с внешнего носителя информации, на общей плате также расположен процессор идентификации и аутентификации, внешние магистральные вход/выход которого соединены с магистральными входом/выходом выносного блока считывания информации с внешнего носителя информации, при этом управляющий выход процессора идентификации и аутентификации подключен к входу устройства блокировки общей шины управления и обмена данными персональной ЭВМ, сигнальный вход - к выходу устройства контроля питания, а внутренние магистральные вход/выход - к магистрали локальной шины.

Описание изобретения к патенту

Изобретение относится к защите от несанкционированного доступа к информации, хранимой в персональной ЭВМ, и может быть использовано в автоматизированных системах обработки конфиденциальной информации на базе персональных ЭВМ.

Использование современных информационных технологий при необходимости обеспечения конфиденциальности хранения и обработки данных является источником возникновения специфических угроз со стороны злоумышленников. С этим связана необходимость применения специальных средств защиты информационных систем от несанкционированного доступа к информации, хранимой в персональной ЭВМ.

Известны штатные средства защиты персональных ЭВМ от несанкционированного доступа к информации, например использование паролей пользователей, устанавливаемых с помощью документации к поставляемым ПЭВМ. Однако они не решают гарантированно данную задачу, так как имеется возможность отключить систему контроля путем принудительного разряда питающей батареи или раскрыть пароль пользователя с помощью специальной программы - "перехватчика паролей".

Известны программные средства защиты персональных ЭВМ от несанкционированного доступа к информации типа известной программы ADINF, обеспечивающей контроль целостности программного обеспечения и хранимых данных путем вычисления контрольной суммы файлов. Однако с помощью специально разработанных алгоритмов вычисления контрольных сумм файлов информация, хранимая в персональной ЭВМ, может быть несанкционированно изменена с сохранением прежнего значения контрольной суммы файлов. Таким образом, контроль целостности программ и данных на компьютере с помощью программных средств, размещенных на этом же компьютере и также требующих проверки на собственную целостность перед их запуском, однозначно не достигает поставленной цели.

Известны средства защиты персональных ЭВМ от несанкционированного доступа к информации, обеспечивающие создание изолированной программной среды, например система Unvisible Disk разработки фирмы ЛАН Крипто (см. А.Щербаков. Разрушающие программные воздействия. - М.: ЭДЕЛЬ, 1993). При использовании таких средств загрузка дисковой операционной системы производится с охраняемого от несанкционированного доступа гибкого диска, после чего уже могут быть использованы другие системы защиты от несанкционированного доступа к информации, хранимой в персональной ЭВМ, не имеющие возможностей по контролю над целостностью общих системных ресурсов ПЭВМ. Однако подобные средства не могут предотвратить несанкционированный доступ к чужим ресурсам и данным зарегистрированных пользователей и требуют дополнительных организационно-технических мер для хранения и верификации проверенной системной дискеты при передаче ее из рук в руки.

Известно устройство защиты от несанкционированного доступа к информации, хранимой в персональной ЭВМ, содержащее внешний носитель информации и расположенные на общей плате постоянное запоминающее устройство и контроллер обмена информацией с персональной ЭВМ, входы/выходы которых предназначены для подключения к персональной ЭВМ (см. Спесивцев А.В. и др. Защита информации в персональных ЭВМ. - М.: Радио и связь, 1992, с.25-26).

В качестве внешнего носителя информации в известном устройстве использована дискета, содержащая криптографические ключи запрашиваемых данных. На жесткий диск ПЭВМ предварительно записано необходимое программное обеспечение, поддерживающее интерфейс обмена данными между BIOS (basic input/output system) ПЭВМ и расположенными на общей плате постоянным запоминающим устройством и контроллером обмена информацией с персональной ЭВМ. Данное программное обеспечение переносится с жесткого диска в ОЗУ персональной ЭВМ во время загрузки компьютера (до загрузки дисковой операционной системы) и становится составной частью расширенной операционной системы для доступа к данным на жестком диске персональной ЭВМ. Указанное программное обеспечение поддерживает функции разграничения доступа к компьютеру и логическим дискам жесткого диска ПЭВМ и обеспечивает полное шифрование логических дисков жесткого диска. Известное устройство обеспечивает разграничение доступа к "персональным" данным, сохраняемым под персональными ключами шифрования, записываемыми на дискеты пользователей. Однако при этом общие ресурсы оказываются доступными всем зарегистрированным пользователям и в силу этого полностью отсутствует возможность разграничения доступа пользователей, например, к системным ресурсам, которые не могут шифроваться различными ключами.

Известно устройство защиты от несанкционированного доступа к информации, хранимой в персональной ЭВМ, содержащее внешний носитель информации, выполненный в виде энергонезависимой памяти, выносной контактный узел считывания информации с внешнего носителя информации и расположенные на общей плате постоянное запоминающее устройство, контроллер обмена информацией с внешним носителем информации и контроллер обмена информацией с персональной ЭВМ, внутренние магистральные входы/выходы которого соединены через магистрали локальной шины с внутренними магистральными входами/выходами контроллера обмена информацией с внешним носителем информации, вход считывания которого подключен к выходу выносного контактного узла считывания информации с внешнего носителя информации, причем внешние магистральные входы/выходы постоянного запоминающего устройства и контроллера обмена информацией с персональной ЭВМ предназначены для подключения к общей шине управления и обмена данными персональной ЭВМ (см. патент RU №2067313 С1, кл. G 06 F 12/14, 27.09.1996).

Известное устройство обеспечивает более высокую эффективность защиты от несанкционированного доступа к информации, хранимой в персональной ЭВМ, за счет создания для каждого пользователя собственной функционально замкнутой программно-логической среды. При этом каждому пользователю, имеющему право доступа к компьютеру, предоставляется возможность пользовать только назначенные ему программы, а расширение прав доступа может быть реализовано только администратором.

Однако недостатком известного устройства является то, что в нем не обеспечивается безопасность хранения служебных данных, используемых при организации доступа пользователей к информации, хранимой в персональной ЭВМ, т.к. в известном устройстве на внешний носитель информации записывают как имя пользователя, так и вычисленные значения контрольных векторов контролируемых объектов, а на жесткий диск персональной ЭВМ - пароль пользователя, список контролируемых объектов и вычисленные значения контрольных векторов контролируемых объектов.

Наиболее близким к предлагаемому по совокупности признаков является устройство защиты от несанкционированного доступа к информации, хранимой в персональной ЭВМ, содержащее внешний носитель информации, выполненный в виде энергонезависимой памяти, выносной блок считывания информации с внешнего носителя информации, содержащий выносной контактный узел считывания информации с внешнего носителя информации, контроллер обмена информацией с внешним носителем информации, вход считывания которого подключен к выходу выносного контактного узла считывания информации с внешнего носителя информации, и расположенные на общей плате постоянное запоминающее устройство, контроллер обмена информацией с персональной ЭВМ, блок интерфейса, блок энергонезависимой памяти, содержащий первую, вторую, третью и четвертую энергонезависимые памяти, входы/выходы которых являются соответственно первым, вторым, третьим и четвертым магистральными входами/выходами блока энергонезависимой памяти, устройство контроля питания и устройство блокировки общей шины управления и обмена данными персональной ЭВМ, магистральный выход которого предназначен для подключения к общей шине управления и обмена данными персональной ЭВМ, для подключения к которой предназначены внешние магистральные вход/выход блока интерфейса, внутренние магистральные вход/выход которого соединены с магистральными входом/выходом постоянного запоминающего устройства и с внешними магистральными входом/выходом контроллера обмена информацией с персональной ЭВМ, первый и второй управляющие выходы которого подключены соответственно к входу разрешения чтения/записи блока интерфейса и к входу разрешения доступа к памяти постоянного запоминающего устройства, выход контроля питания - к входу устройства контроля питания, внутренние магистральные вход/выход - к магистрали локальной шины, при этом первый, второй и третий входы/выходы блока энергонезависимой памяти соединены соответственно с первым, вторым и третьим входами/выходами расширения памяти контроллера обмена информацией с персональной ЭВМ, а четвертый вход/выход блока энергонезависимой памяти - с входом/выходом расширения памяти контроллера обмена информацией с внешним носителем информации, который расположен на общей плате, управляющий выход контроллера обмена информацией с внешним носителем информации подключен к входу устройства блокировки общей шины управления и обмена данными персональной ЭВМ, сигнальный вход - к выходу устройства контроля питания (см. патент RU №2212705 С1, кл. G 06 F 12/14, 20.09.2003).

Известное устройство обеспечивает более высокую эффективность защиты от несанкционированного доступа к информации, хранимой в персональной ЭВМ, за счет исключения одновременного хранения на одном и том же носителе информации наиболее важных служебных данных (списка контролируемых объектов и вычисленных значений их контрольных векторов), используемых при работе устройства, что гарантирует безопасность их хранения. При этом на внешний носитель информации записывают лишь имя (регистрационный номер) конкретного пользователя, а также осуществляют ведение журнала регистрации всех событий и блокировку несанкционированного доступа к персональной ЭВМ на начальном этапе ее загрузки от включения до передачи управления программе расширения BIOS.

Однако недостатком известного устройства является то, что в нем не обеспечивается безопасность выполнения программ идентификации и аутентификации пользователей при организации их доступа к информации, хранимой в персональной ЭВМ. Действительно, в известном устройстве функции идентификации и аутентификации пользователей и все операции, связанные с ключевой информацией, а также ведение журнала регистрации событий выполняет процессор персональной ЭВМ.

В силу этого обстоятельства зарегистрированные пользователи системы, имеющие злоумышленные намерения, получают возможность внедрения в систему специальных программных "закладок", которые могут выполнять при работе других зарегистрированных пользователей самые различные действия, в том числе перехватывать конфиденциальные данные и сохранять их в ПЭВМ "до востребования".

Для устранения указанного недостатка необходимо перейти от выполнения программ идентификации и аутентификации пользователей в среде персональной ЭВМ (выполняемых процессором персональной ЭВМ) к их выполнению в доверенной среде (выполняемых процессором идентификации и аутентификации, расположенным на общей плате устройства).

Техническим результатом изобретения является обеспечение выполнения программ идентификации и аутентификации пользователей при организации их доступа к информации, хранимой в персональной ЭВМ, в доверенной среде с помощью процессора идентификации и аутентификации, расположенного на общей плате устройства, что обеспечивает безопасность их выполнения и повышение эффективности защиты от несанкционированного доступа к информации, хранимой в персональной ЭВМ.

Технический результат достигается тем, что в известное устройство защиты от несанкционированного доступа к информации, хранимой в персональной ЭВМ, содержащее внешний носитель информации, выполненный в виде энергонезависимой памяти, выносной блок считывания информации с внешнего носителя информации, содержащий выносной контактный узел считывания информации с внешнего носителя информации, контроллер обмена информацией с внешним носителем информации, вход считывания которого подключен к выходу выносного контактного узла считывания информации с внешнего носителя информации, и расположенные на общей плате постоянное запоминающее устройство, контроллер обмена информацией с персональной ЭВМ, блок интерфейса, блок энергонезависимой памяти, содержащий первую, вторую, третью и четвертую энергонезависимые памяти, входы/выходы которых являются соответственно первым, вторым, третьим и четвертым магистральными входами/выходами блока энергонезависимой памяти, устройство контроля питания и устройство блокировки общей шины управления и обмена данными персональной ЭВМ, магистральный выход которого предназначен для подключения к общей шине управления и обмена данными персональной ЭВМ, для подключения к которой предназначены внешние магистральные вход/выход блока интерфейса, внутренние магистральные вход/выход которого соединены с магистральными входом/выходом постоянного запоминающего устройства и с внешними магистральными входом/выходом контроллера обмена информацией с персональной ЭВМ, первый и второй управляющие выходы которого подключены соответственно к входу разрешения чтения/записи блока интерфейса и к входу разрешения доступа к памяти постоянного запоминающего устройства, выход контроля питания - к входу устройства контроля питания, внутренние магистральные вход/выход - к магистрали локальной шины, введен расположенный на общей плате процессор идентификации и аутентификации, вход/выход обмена данными которого соединены с входом/выходом обмена данными контроллера обмена информацией с внешним носителем информации, который расположен в выносном контактном узле считывания информации с внешнего носителя информации, управляющий выход процессора идентификации и аутентификации подключен к входу устройства блокировки общей шины управления и обмена данными персональной ЭВМ, сигнальный вход - к выходу устройства контроля питания, магистральные вход/выход - к магистрали локальной шины, с которой соединены первый, второй, третий и четвертый магистральные входы/выходы блока энергонезависимой памяти.

Проведенный заявителем анализ уровня техники, включая поиск по патентным и научно-техническим источникам информации и выявление источников, содержащих сведения об аналогах заявленного технического решения, позволил установить, что заявитель не обнаружил источник, характеризующийся признаками, тождественными (идентичными) всем существенным признакам заявленного технического решения. Определение из перечня выявленных аналогов прототипа, как наиболее близкого по совокупности признаков аналога, позволило установить совокупность существенных по отношению к усматриваемому заявителем техническому результату отличительных признаков заявленного устройства защиты от несанкционированного доступа к информации, хранимой в персональной ЭВМ, изложенных в формуле изобретения. Следовательно, заявленное техническое решение соответствует критерию "новизна".

Проведенный заявителем дополнительный поиск не выявил известные решения, содержащие признаки, совпадающие с отличительными от прототипа признаками заявленного устройства защиты от несанкционированного доступа к информации, хранимой в персональной ЭВМ. Заявленное техническое решение не вытекает для специалиста явным образом из известного уровня техники, поскольку из уровня техники, определенного заявителем, не выявлено влияние предусматриваемых существенными признаками заявленного технического решения преобразований для достижения технического результата. Заявленное техническое решение не основано на изменении количественного признака (признаков), представлении таких признаков во взаимосвязи либо изменении ее вида. Следовательно, заявленное техническое решение соответствует критерию "изобретательский уровень".

На фиг.1 показана электрическая структурная схема одного из возможных вариантов устройства защиты от несанкционированного доступа к информации, хранимой в персональной ЭВМ, а на фиг.2 - электрическая структурная схема прототипа.

Устройство защиты от несанкционированного доступа к информации, хранимой в персональной ЭВМ (см. фиг.1), содержит внешний носитель 1 информации, выполненный в виде энергонезависимой памяти, выносной блок 2 считывания информации с внешнего носителя информации, содержащий выносной контактный узел 3 считывания информации с внешнего носителя информации и контроллер 4 обмена информацией с внешним носителем информации, и расположенные на общей плате 5 постоянное запоминающее устройство 6, процессор 7 идентификации и аутентификации, контроллер 8 обмена информацией с персональной ЭВМ, локальную шину 9, блок 10 интерфейса, блок 11 энергонезависимой памяти, устройство 12 контроля питания и устройство 13 блокировки общей шины 14 управления и обмена данными персональной ЭВМ, причем блок 11 энергонезависимой памяти содержит первую 15, вторую 16, третью 17 и четвертую 18 энергонезависимые памяти, входы/выходы которых являются соответственно его первым, вторым, третьим и четвертым магистральными входами/выходами.

Выход выносного контактного узла 3 считывания информации с внешнего носителя информации подключен к входу считывания контроллера 4 обмена информацией с внешним носителем информации, магистральные вход/выход которого являются магистральными входом/выходом выносного блока 2 считывания информации с внешнего носителя информации, которые соединены с внешними магистральными входами/выходами процессора 7 идентификации и аутентификации.

Внутренние магистральные входы/выходы процессора 7 идентификации и аутентификации соединены через магистраль локальной шины 9 с внутренними магистральными входами/выходами контроллера 8 обмена информацией с персональной ЭВМ и с первым, вторым, третьим и четвертым магистральными входами/выходами блока 11 энергонезависимой памяти.

Внутренние магистральные вход/выход блока 10 интерфейса соединены с магистральными входами/выходами постоянного запоминающего устройства 6 и внешними магистральными входами/выходами контроллера 8 обмена информацией с персональной ЭВМ, первый и второй управляющие выходы которого подключены соответственно к входу разрешения чтения/записи блока 10 интерфейса и к входу разрешения доступа к памяти постоянного запоминающего устройства 6, выход контроля питания - к входу устройства 12 контроля питания, выход которого соединен с сигнальным входом процессора 7 идентификации и аутентификации, управляющий выход которого подключен к входу устройства 13 блокировки общей шины управления и обмена данными персональной ЭВМ.

Общую плату 5 с расположенными на ней устройствами устанавливают в свободный слот персональной ЭВМ и подключают к ее общей шине 14 управления и обмена данными через внешние магистральные вход/выход блока 10 интерфейса и магистральный выход устройства 13 блокировки общей шины управления и обмена данными персональной ЭВМ (как показано на фиг.1), при этом выносной блок 2 считывания информации с внешнего носителя информации закрепляют на внешней панели персональной ЭВМ.

Устройство защиты от несанкционированного доступа к информации, хранимой в персональной ЭВМ, после установки в персональную ЭВМ работает следующим образом.

Перед началом эксплуатации персональной ЭВМ с установленной системой защиты осуществляют регистрацию пользователей, для чего с помощью программного обеспечения системы защиты персональной ЭВМ от несанкционированного доступа в регистрационные файлы записывают переменные параметры - контрольную информацию, которая определяет права доступа каждого пользователя к ресурсам персональной ЭВМ:

- на жесткий диск персональной ЭВМ - список контролируемых объектов (список защищаемых от изменений файлов, а также полный путь к каждому контролируемому файлу и/или координаты каждого контролируемого загрузочного сектора (имя стартовой программы для данного пользователя));

- в постоянное запоминающее устройство 6 - таблицу контрольных векторов контролируемых объектов (значения контрольных сумм или вычисленное значение хэш-функции защищаемых от изменений файлов и/или загрузочных секторов жесткого диска;

- в первую энергонезависимую память 15 блока 11 энергонезависимой памяти - учетные данные пользователя в текущем сеансе работы (имя (регистрационный номер) пользователя, его полномочия, контрольный вектор (образ) пароля);

- во вторую энергонезависимую память 16 блока 11 энергонезависимой памяти - журнал регистрации всех событий (попытки санкционированного и несанкционированного доступа, действия администратора);

- в третью энергонезависимую память 17 блока 11 энергонезависимой памяти - настройки замка (список пользователей (имена - регистрационные номера), количество разрешенных попыток доступа к персональной ЭВМ);

- в четвертую энергонезависимую память 18 блока 11 энергонезависимой памяти - интервал времени от включения персональной ЭВМ до передачи управления программе расширения BIOS, записанной в постоянном запоминающем устройстве 6, необходимый для блокировки несанкционированного доступа к персональной ЭВМ на начальном этапе ее загрузки;

- на внешний носитель 1 информации - имя (регистрационный номер) пользователя.

При этом для первой энергонезависимой памяти 15 блока 11 энергонезависимой памяти разрешены чтение/запись для обмена служебной информацией с прикладными программами системы защиты персональной ЭВМ от несанкционированного доступа, выполняемыми при аутентификации пользователей.

В то же время управление доступом из персональной ЭВМ к содержимому второй энергонезависимой памяти 16, третьей энергонезависимой памяти 17 и четвертой энергонезависимой памяти 18 блока 11 энергонезависимой памяти осуществляет процессор 7 идентификации и аутентификации во взаимодействии с программой расширения BIOS, записанной в постоянном запоминающем устройстве 6.

Идентификацию и аутентификацию осуществляют при каждом входе пользователя в систему. Для этого при включении или перезагрузке персональной ЭВМ управление ее загрузкой вначале осуществляется в штатном режиме, затем во время выполнения системной BIOS программы тестирования аппаратной части персональной ЭВМ до начала загрузки операционной системы программа расширения BIOS, записанная в постоянном запоминающем устройстве 6, перехватывает управление начальной загрузкой персональной ЭВМ на том этапе, на котором уже возможно выполнять операции чтения/записи информации по секторам дорожек жесткого диска в персональной ЭВМ.

При этом на начальном этапе загрузки персональной ЭВМ после ее включения до передачи управления записанной в постоянном запоминающем устройстве 6 программе расширения BIOS процессор 7 идентификации и аутентификации обеспечивает блокировку доступа (по истечении интервала времени блокировки доступа) к общей шине 14 управления и обмена данными персональной ЭВМ через устройство 13 блокировки общей шины управления и обмена данными персональной ЭВМ. Информацию об интервале времени блокировки доступа на начальном этапе загрузки персональной ЭВМ процессор 7 идентификации и аутентификации получает из четвертой энергонезависимой памяти 18 блока 11 энергонезависимой памяти через локальную шину 9.

После перехвата управления начальной загрузкой персональной ЭВМ на себя программа расширения BIOS, записанная в постоянном запоминающем устройстве 6, во взаимодействии с процессором 7 идентификации и аутентификации осуществляет идентификацию пользователя, для чего выдает на дисплей персональной ЭВМ приглашение пользователю ввести информацию с его носителя 1 информации в персональную ЭВМ, а затем с помощью выносного контактного узла 3 считывания информации и контроллера 4 обмена информацией с внешним носителем информации считывает с носителя 1 информации имя (регистрационный номер) пользователя.

В случае, когда предъявленный носитель 1 информации не зарегистрирован в регистрационном файле в третьей энергонезависимой памяти 17 блока 11 энергонезависимой памяти, программа расширения BIOS, записанная в постоянном запоминающем устройстве 6, во взаимодействии с процессором 7 идентификации и аутентификации выдает на дисплей персональной ЭВМ предупреждение и повторное приглашение к проведению идентификации пользователя. После предопределенного в третьей энергонезависимой памяти 17 блока 11 энергонезависимой памяти числа неудачных попыток идентификации вход в систему пользователю запрещается, а в журнале регистрации событий во второй энергонезависимой памяти 16 блока 11 энергонезависимой памяти регистрируется попытка несанкционированного доступа к персональной ЭВМ.

В случае, когда предъявленный носитель 1 информации зарегистрирован в регистрационном файле в третьей энергонезависимой памяти 17 блока 11 энергонезависимой памяти, программа расширения BIOS, записанная в постоянном запоминающем устройстве 6, во взаимодействии с процессором 7 идентификации и аутентификации осуществляет аутентификацию пользователя, для чего выдает на дисплей персональной ЭВМ приглашение пользователю ввести свой пароль с клавиатуры персональной ЭВМ.

После ввода пользователем пароля программа расширения BIOS, записанная в постоянном запоминающем устройстве 6, во взаимодействии с процессором 7 идентификации и аутентификации определяет контрольный вектор (образ) введенного пароля и сравнивает его с контрольным вектором (образом) пароля, зарегистрированного для данного пользователя в регистрационном файле в первой энергонезависимой памяти 15 блока 11 энергонезависимой памяти.

В случае, когда контрольный вектор (образ) предъявленного пароля не совпадает с зарегистрированным в регистрационном файле в первой энергонезависимой памяти 15 блока 11 энергонезависимой памяти, программа расширения BIOS, записанная в постоянном запоминающем устройстве 6, во взаимодействии с процессором 7 идентификации и аутентификации выдает на дисплей персональной ЭВМ предупреждение и повторное приглашение к проведению аутентификации пользователя. После предопределенного в третьей энергонезависимой памяти 17 блока 11 энергонезависимой памяти числа неудачных попыток аутентификации вход в систему пользователю запрещается, а в журнале регистрации событий во второй энергонезависимой памяти 16 блока 11 энергонезависимой памяти регистрируется попытка несанкционированного доступа к персональной ЭВМ.

В случае, когда контрольный вектор (образ) предъявленного пароля совпадает с зарегистрированным в регистрационном файле в первой энергонезависимой памяти 15 блока 11 энергонезависимой памяти, программа расширения BIOS, записанная в постоянном запоминающем устройстве 6, во взаимодействии с процессором 7 идентификации и аутентификации осуществляет проверку целостности контролируемых объектов (файлов и/или загрузочных секторов жесткого диска) для данного пользователя. Для этого указанная программа вычисляет значения контрольных векторов объектов (значения контрольных сумм или значение хэш-функции файлов и/или загрузочных секторов жесткого диска), занесенных в список контролируемых объектов на жестком диске персональной ЭВМ, затем сравнивает полученные значения с соответствующими значениями контрольных векторов, занесенных ранее в таблицу контрольных векторов контролируемых объектов, хранящуюся в постоянном запоминающем устройстве 6.

При несовпадении вычисленных значений контрольных векторов объектов для данного пользователя с соответствующими значениями контрольных векторов, хранимыми в постоянном запоминающем устройстве 6, программа расширения BIOS, записанная в постоянном запоминающем устройстве 6, во взаимодействии с процессором 7 идентификации и аутентификации запрещает этому пользователю доступ к персональной ЭВМ, запуск операционной системы также запрещается.

При совпадении вычисленных значений контрольных векторов объектов для данного пользователя с соответствующими значениями контрольных векторов, хранимыми в постоянном запоминающем устройстве 6, программа расширения BIOS, записанная в постоянном запоминающем устройстве 6, во взаимодействии с процессором 7 идентификации и аутентификации разрешает этому пользователю доступ к персональной ЭВМ, запуск операционной системы также разрешается.

Далее программа расширения BIOS, записанная в постоянном запоминающем устройстве 6, во взаимодействии с процессором 7 идентификации и аутентификации запрещает возможность загрузки операционной системы со съемных носителей (гибкого диска и CD ROM диска) путем блокирования доступа к устройству чтения гибких дисков и устройству чтения CD ROM дисков при запуске персональной ЭВМ.

После этого записанная в постоянном запоминающем устройстве 6 программа расширения BIOS передает управление штатным программно-аппаратным средствам персональной ЭВМ для завершения работы BIOS, загрузки операционной системы с жесткого диска персональной ЭВМ.

После успешного завершения загрузки операционной системы в персональную ЭВМ специальной программой-драйвером, входящей в состав программного обеспечения системы защиты персональной ЭВМ от несанкционированного доступа, восстанавливается доступ к устройству чтения гибких дисков и устройству чтения CD ROM дисков.

После входа пользователя в систему и загрузки операционной системы в персональную ЭВМ в ходе дальнейшей работы пользователя устройство 12 контроля питания осуществляет допусковый контроль напряжения питания на шине питания контроллера 8 обмена информацией с персональной ЭВМ. В случае возникновения отклонений напряжения питания от номинального значения больше чем на 10% на выходе устройства 12 контроля питания формируют сигнал тревоги, который подают через процессор 7 идентификации и аутентификации на вход устройства 13 блокировки общей шины управления и обмена данными персональной ЭВМ, что обеспечивает отражение атак со сбоями питания путем блокировки общей шины 145 управления и обмена данными персональной ЭВМ.

Блок 10 интерфейса выполняет стандартные функции магистрального приемопередатчика и обеспечивает даже при 5-6 занятых слотах стандартные электрические параметры сигналов, используемых для информационного обмена между постоянным запоминающим устройством 6 и контроллером 8 обмена информацией с персональной ЭВМ, с одной стороны, и общей шиной 14 управления и обмена данными персональной ЭВМ, с другой стороны.

Предлагаемое устройство защиты от несанкционированного доступа к информации, хранимой в персональной ЭВМ, может быть реализовано с помощью известных функциональных элементов.

Вариант выполнения внешнего носителя 1 информации в виде размещенного в металлическом корпусе идентификатора Touch Memory (TM), выносного контактного узла 3 считывания информации с внешнего носителя информации, постоянного запоминающего устройства 6, контроллеров 4 и 8 обмена информацией с внешним носителем информации и обмена информацией с персональной ЭВМ - в виде стандартных контроллеров обмена информацией известен из аналога (см. патент RU №2067313 С1, кл. G 06 F 12/14, 27.09.1996).

Другой вариант выполнения внешнего носителя 1 информации в виде электронной карточки типа М64 (семейство SMART CARD), выносного контактного узла 3 считывания информации с внешнего носителя - в виде стандартного устройства SMART CARD CONNECTOR, постоянного запоминающего устройства 6 - на микросхеме Flash ROM 29FO10A, контроллера 4 обмена информацией с внешним носителем информации - на микроконтроллере PIC 16с65, контроллера 8 обмена информацией с персональной ЭВМ - на программируемой логической матрице ЕРМ 7128, блока 10 интерфейса - в виде шинного формирователя 74LS245 для общей шины 14 управления и обмена данными персональной ЭВМ типа ISA, первой 15, второй 16, третьей 17 и четвертой 18 энергонезависимой памяти - на микросхемах SEEPROM 24LC16, 24LC256, 24LC64, устройства 12 контроля питания - в виде стандартного устройства POWER MANAGER MCP101, а устройства 13 блокировки общей шины управления и обмена данными персональной ЭВМ - на транзисторе ВС 947, реализованный заявителем в электронном замке "ЩИТ", известен из прототипа (см. фиг.2).

Наконец, в варианте выполнения предлагаемого устройства защиты от несанкционированного доступа к информации, хранимой в персональной ЭВМ, реализованном заявителем в опытном экземпляре устройства защиты информации (электронном замке) "ЩИТ-М", внешний носитель 1 информации выполнен в виде электронной карточки типа РИК (Российские интеллектуальные карты), процессор 7 идентификации и аутентификации - на микропроцессоре Am186ER, блок 10 интерфейса - на микросхеме АМСС S5920 для общей шины 14 управления и обмена данными персональной ЭВМ типа PCI, блок 11 энергонезависимой памяти - на двух микросхемах флэш-памяти Am29F200 (другие узлы выполнены так же, как в электронном замке "ЩИТ", известном из прототипа).

Проведенные заявителем испытания опытного экземпляра предлагаемого устройства защиты от несанкционированного доступа к информации, хранимой в персональной ЭВМ (электронного замка "ЩИТ-М"), подтвердили возможность его реализации с достижением указанного положительного технического результата.

Изложенные выше сведения свидетельствуют о выполнении при использовании заявленного технического решения следующей совокупности условий:

- средства, воплощающие заявленное устройство при его осуществлении, предназначены для использования в промышленности, а именно в автоматизированных системах обработки информации на базе персональных ЭВМ для защиты обрабатываемой информации от несанкционированного доступа,

- для заявленного устройства в том виде, как оно охарактеризовано в независимом пункте изложенной формулы изобретения, подтверждена возможность его осуществления с помощью описанных в заявке или известных до даты приоритета средств. Следовательно, заявленное техническое решение соответствует критерию "промышленная применимость".

При использовании предлагаемого устройства защиты от несанкционированного доступа к информации, хранимой в персональной ЭВМ, за счет создания для каждого пользователя собственной функционально замкнутой программно-логической среды обеспечивается предотвращение доступа к информационным ресурсам незарегистрированных пользователей.

На внешний носитель 1 информации записывают лишь имя (регистрационный номер) конкретного пользователя, список контролируемых объектов хранят на жестком диске персональной ЭВМ, таблицу контрольных векторов контролируемых объектов - в постоянном запоминающем устройстве 6, имена (регистрационные номера) пользователей, контрольные векторы (образы) их паролей, настройки устройства - в блоке 11 энергонезависимой памяти, что исключает считывание с одного и того же носителя информации наиболее важных служебных данных, используемых при работе предлагаемого устройства.

При этом программы идентификации и аутентификации пользователей выполняются расположенным на общей плате 5 устройства процессором 7 идентификации и аутентификации во взаимодействии с программой расширения BIOS, записанной в постоянном запоминающем устройстве 6, также расположенным на общей плате 5 устройства, чем и достигается положительный технический результат - выполнение программ идентификации и аутентификации пользователей при организации их доступа к информации, хранимой в персональной ЭВМ, в доверенной среде, что обеспечивает безопасность их выполнения и повышение эффективности защиты от несанкционированного доступа к информации, хранимой в персональной ЭВМ.

Кроме того, предлагаемое устройство защиты от несанкционированного доступа к информации, хранимой в персональной ЭВМ, за счет перемещения контроллера 4 обмена информацией с внешним носителем информации с общей платы 5 в выносной блок 2 считывания информации с внешнего носителя информации обеспечивает дополнительный положительный технический результат - универсальность монтируемой в персональную ЭВМ общей платы 5 по отношению к типу применяемого внешнего носителя 1 информации.

Класс G06F12/14 защита от обращений к памяти посторонних пользователей

способ скрытного хранения конфиденциальных данных в защищенной энергонезависимой памяти и устройство для его реализации -  патент 2527758 (10.09.2014)
способ разрушения интегральных схем памяти носителей информации -  патент 2527241 (27.08.2014)
система контроля доступа к файлам на основе их автоматической разметки -  патент 2524566 (27.07.2014)
устройство для внедрения водяного знака в информационное представление, детектор для обнаружения водяного знака в информационном представлении, способ и компьютерная программа и информационный сигнал -  патент 2510937 (10.04.2014)
способ обнаружения вредоносного программного обеспечения в ядре операционной системы -  патент 2510075 (20.03.2014)
система и способ проверки исполняемого кода перед его выполнением -  патент 2510074 (20.03.2014)
устройство хранения данных (варианты) -  патент 2506633 (10.02.2014)
система защиты информации от несанкционированного доступа к информации, содержащей сведения, составляющие государственную тайну -  патент 2504835 (20.01.2014)
система и способ для обнаружения вредоносных программ -  патент 2497189 (27.10.2013)
использование защищенного устройства для обеспечения безопасной передачи данных в небезопасных сетях -  патент 2494448 (27.09.2013)
Наверх