×
29.08.2018
218.016.80de

Результат интеллектуальной деятельности: Способ доставки сертификатов в защищенной сетевой вычислительной системе

Вид РИД

Изобретение

№ охранного документа
0002665247
Дата охранного документа
28.08.2018
Аннотация: Изобретение относится к технологиям сетевой связи. Технический результат заключается в повышении безопасности передачи данных. Способ доставки сертификатов в защищенной сетевой вычислительной системе, которая содержит сервер распространения, причем сервер включает установленное на нем средство распространения, выполненное с возможностью: хранить сертификаты; принимать запросы от компьютеров пользователей на загрузку сертификатов; передавать сертификаты в ответ на запросы от компьютеров пользователей; а также компьютеры пользователей, причем каждый компьютер включает средство установки сертификатов, выполненное с возможностью перехватывать запросы на загрузку сертификатов от компьютера пользователей к внешним по отношению к вычислительной системе удостоверяющим центрам; перенаправлять запросы на загрузку сертификатов от компьютера пользователя к средству распространения; принимать сертификаты; устанавливать сертификаты на компьютер пользователя.

Область техники, к которой относится изобретение

Изобретение относится к вычислительной технике, инфраструктуре открытых ключей и способам обновления списков аннулированных сертификатов и может быть использовано для доставки списков аннулированных сертификатов на компьютер пользователя.

Уровень техники

В настоящее время в сетевых вычислительных системах широко используются технологии на основе инфраструктуры открытых ключей (public key infrastructure, далее - PKI). Неотъемлемой частью PKI являются сертификаты, сформированные в электронном виде с использованием криптографического стандарта Х509. Такой сертификат подписывается закрытым ключом удостоверяющего центра (УЦ). Имея сертификат с открытым ключом, для УЦ не составляет труда убедиться, что проверяемый сертификат выпущен доверенным УЦ. В случае если секретный ключ был скомпрометирован, УЦ отзывает сертификат открытого ключа. После отзыва сертификата он считается недействительным. Использование недействительного сертификата несет угрозу информационной безопасности, поэтому сведения об отзыве сертификатов должны быть как можно более оперативно доставлены и установлены на персональные компьютеры (ПК) пользователей.

В настоящее время используются следующие способы проверки действительности сертификата:

1) на основе списка аннулированных сертификатов (САС), выпускаемых УЦ с некоторой периодичностью, при этом актуальный САС должен быть предварительно получен и использован системой, осуществляющей проверку сертификата;

2) на основе запроса к УЦ по протоколу OCSP (Online Certificate Status Protocol, https://tools.ietf.org/html/rfc4806) и последующего получения информации о статусе сертификата.

Известен способ пополнения базы данных доверенных сертификатов, использующейся при антивирусной проверке (патент РФ №2571381, приоритет от 17.10.2014 г.), в котором получают идентификатор конечного сертификата открытого ключа цифровой подписи файла, отсутствующий в базе данных доверенных сертификатов; получают файл; определяют содержащийся в полученном файле конечный сертификат открытого ключа цифровой подписи упомянутого файла; проверяют действительность конечных сертификатов; задают уровень доверия для конечных сертификатов; пополняют базу данных сертификатами и определенными уровнями доверия сертификатов.

Недостатком известного способа является невысокий уровень надежности проверки сертификата, если он получен от нескольких пользователей сети, а также необходимость запроса к УЦ, внешнего по отношению к внутренней сети.

Известен также способ проверки действительности цифровых сертификатов вычислительными объектами в системе обработки данных (патент США №7444509, приоритет от 27.05.2004 г.), в котором проверка действительности сертификатов осуществляется путем запроса к сетевой службе состояния САС и УЦ, причем в ходе проверки также может устанавливаться и проверяться вся цепочка сертификатов, вплоть до конечного.

Недостатком данного способа является двукратный запрос к УЦ, внешним по отношению к внутренней сети, что увеличивает сложность реализации, а также необходимость запроса к УЦ, внешнего по отношению к внутренней сети.

Этот способ принимается в качестве прототипа.

Известные способы, к сожалению, не подходят для случая, когда защищенная сетевая вычислительная система должны работать в закрытом контуре, внутри которого отсутствует доступ к внешним по отношению к системе УЦ и узлам, обеспечивающим сервис OCSP.

Прикладные программы, при использовании сертификата стандарта Х509, должны осуществить проверку действительности сертификата. При этом обычно проверяются срок действия открытого ключа, срок действия закрытого ключа, параметры использования ключа, факт отзыва сертификата.

Адрес узла, по которому необходимо запросить сведения о сертификате (или несколько адресов разных узлов), относится, как правило, к глобальной сети Интернет, записан в сертификате и не подлежит изменению. Прикладная программа при проверке сертификата должна оперировать именно данным адресом.

Если адрес узла, по которому необходимо запросить сведения о сертификате, находится вне закрытого контура защищенной сети, то запрос становится невозможен, проверка сертификата не может быть осуществлена и возникает угроза информационной безопасности.

В таком случае системный администратор вынужден заранее получить сертификаты и/или САС за пределами закрытого контура, а затем последовательно вручную распространять полученные САС на ПК пользователей, что весьма трудоемко и затратно.

Раскрытие изобретения

Техническим результатом является:

1) обеспечение доставки сертификатов на ПК пользователей, находящихся в закрытом контуре и не имеющих доступа к внешним УЦ;

2) обеспечение автоматизации процесса установки сертификатов на ПК пользователей.

Для этого предлагается способ доставки сертификатов в защищенной сетевой вычислительной системе, которая содержит

• сервер распространения, причем сервер включает установленное на нем средство распространения, выполненное с возможностью

хранить сертификаты,

принимать запросы от компьютеров пользователей на загрузку сертификатов,

передавать сертификаты в ответ на запросы от компьютеров пользователей;

• компьютеры пользователей, причем каждый компьютер включает средство установки сертификатов, выполненное с возможностью

перехватывать запросы на загрузку сертификатов от компьютера пользователей к внешним по отношению к вычислительной системе удостоверяющим центрам,

перенаправлять запросы на загрузку сертификатов от компьютера пользователя к средству распространения;

принимать сертификаты;

устанавливать сертификаты на компьютер пользователя;

способ, заключающийся в том, что

• доставляют сертификаты в сервер распространения доверенным способом;

• вносят сведения о сервере распространения в средство установки каждого компьютера пользователя;

• перехватывают на каждом компьютере с помощью средства установки все запросы к внешним по отношению к вычислительной системе удостоверяющим центрам на загрузку сертификатов;

• перенаправляют все перехваченные запросы к серверу распространения;

• передают сертификаты в ответ на запросы с помощью средства распространения в компьютеры пользователей;

• принимают на компьютере пользователя с помощью средства установки сертификаты, полученные из средства распространения;

• устанавливают сертификаты на компьютере пользователя с помощью средства установки.

Необходимо отметить, что предлагаемый способ может быть использован как для доставки действующих сертификатов, так и САС.

Для реализации предлагаемого способа предварительно необходимо сформировать средство распространения и средство установки сертификатов, способные выполнять указанные выше функции, причем, в зависимости от различных конкретных факторов, эти средства могут быть программно-аппаратными или программными. После изготовления средство распространения устанавливается на выбранный в вычислительной системе сервер распространения, а средство установки сертификатов устанавливается на каждый компьютер пользователя в вычислительной системе.

Затем необходимо определить, какие сертификаты необходимы в вычислительной системе (действующие и/или САС), получить сертификаты из соответствующих УЦ и доверенным способом доставить сертификаты в сервер распространения.

Для этого системный администратор защищенной сетевой вычислительной системы проводит контроль программного обеспечения (ПО), установленного на ПК пользователей, и выявляет ПО, для работы которого необходима инфраструктура PKI. Для каждого такого ПО администратор выясняет список необходимых сертификатов УЦ, адреса точки распространения сертификатов для данных УЦ, которые обычно находятся в открытом доступе. Далее администратор за пределами защищенного контура получает сертификаты УЦ и/или САС, сохраняет их на носитель и доставляет в закрытый контур.

Затем системный администратор в закрытом контуре копирует файлы с носителя в выделенную папку на сервере распространения, предварительно авторизовавшись на нем. После копирования на сервер распространения администратор заполняет список узлов в защищенной сети, с которыми средство распространения будет работать, устанавливать и обновлять сертификаты УЦ или САС. Сертификаты УЦ и САС имеют ограниченный срок действия. Администратор должен осуществлять доставку сертификатов УЦ и САС в закрытый контур до истечения срока действия установленных сертификатов УЦ или САС на ПК пользователей.

Непосредственно перед реализацией предложенного способа необходимо определить параметры передачи данных между средством распространения и средством установки (протокол передачи данных, скорость передачи данных), параметры безопасности (защиты канала передачи данных, аутентификации и идентификации).

Затем пользователи могут непосредственно приступить к работе в защищенной сетевой вычислительной системе.

Если в процессе работы средства защиты информации на компьютерах пользователей высылают запросы к внешним по отношению к вычислительной системе удостоверяющим центрам на загрузку сертификатов, то на каждом компьютере с помощью средства установки все запросы к внешним по отношению к вычислительной системе удостоверяющим центрам на загрузку сертификатов перехватываются и перенаправляются к серверу распространения.

В ходе процесса перехвата в средстве установки проводится контроль адресов сетевых запросов и определение адресов, относящихся к внешним ресурсам, после чего адреса в запросах заменяются на адрес сервера распространения, и запросы отправляются по сети.

В ответ на запросы с помощью средства распространения сертификаты передаются в компьютеры пользователей, после чего сертификаты устанавливаются на компьютере пользователя с помощью средств установки.

В результате, средства защиты информации на компьютерах пользователей смогут автоматически проверять используемые сертификаты.

Предложенный способ позволяет автоматически доставить и установить САС на ПК пользователей, работающих в закрытом контуре, сократить трудозатраты системного администратора на установку САС на ПК пользователей, повышает безопасность систем, использующих PKI, путем снижения количества ошибок проверки сертификатов за счет ускорения процесса доставки и установки САС на ПК пользователей.

Осуществление изобретения

Для реализации предложенного способа в защищенной сетевой вычислительной системе необходимо сначала выделить какой-либо компьютер, который будет служить в качестве сервера распространения. Предпочтительно, это должен быть отдельный компьютер, подключенный к сети, с достаточными аппаратными ресурсами и установленным общесистемным и серверным ПО, например, это может быть компьютер на базе процессора Intel, имеющим тактовую частоту 3,5 ГГц, с оперативной памятью 16 Гбайт, с операционной системой Debian 8 и жестким диском объемом 2 Тбайт.

Для реализации предлагаемого способа предварительно необходимо сформировать средство распространения и средство установки сертификатов, способное выполнять указанные выше функции, причем, в зависимости от различных конкретных факторов, предпочтительно, эти средства выполняются в виде прикладных программ.

Сформировать программы, выполняющие функции средства распространения и средства установки сертификатов, может специалист в области программирования (программист).

После формирования и тестирования средство распространения устанавливается на сервер распространения, а средство установки сертификатов устанавливается на каждый компьютер пользователя в вычислительной системе.

Затем системный администратор определяет конкретный сетевой адрес, по которому будут поступать запросы в средство распространения на сервере распространения (из имеющегося в распоряжении списка доступных адресов в вычислительной системе), а также порт и протокол доступа (например, протокол TCP/IP). Непосредственно перед реализацией предложенного способа необходимо определить параметры передачи данных между средством распространения и средством установки (протокол передачи данных, скорость передачи данных), параметры безопасности (защиты канала передачи данных, аутентификации и идентификации).

После этого системный администратор проводит контроль ПО, установленного на ПК пользователей, и выявляет ПО, для работы которого необходима инфраструктура PKI. Для каждого такого ПО администратор выясняет список необходимых сертификатов УЦ, адреса точки распространения сертификатов для данных УЦ, которые обычно находятся в открытом доступе. Далее администратор за пределами защищенного контура получает сертификаты УЦ и/или САС, сохраняет их на носителе и доставляет в закрытый контур.

Затем системный администратор в закрытом контуре копирует файлы с носителя в выделенную папку на сервере распространения. После копирования на сервер распространения администратор заполняет список узлов в защищенной сети, с которыми средство распространения будет работать, устанавливать и обновлять сертификаты УЦ или САС.

Для хранения сертификатов УЦ и САС может быть использована какая-либо система управления базами данных, например PostgreSQL, или аналогичная.

После выполнения указанных выше предварительных действий предложенный способ может быть непосредственно выполнен.

Пользователи сети работают на своих ПК в сети в обычном режиме.

В случае, если в процессе работы средства защиты информации на ПК пользователей высылают запросы к внешним по отношению к вычислительной системе УЦ на загрузку сертификатов, то на ПК с помощью средства установки все запросы к внешним по отношению к вычислительной системе УЦ на загрузку сертификатов перехватываются и перенаправляются к серверу распространения.

В ходе процесса перехвата в средстве установки проводится контроль адресов сетевых запросов и определение адресов, относящихся к внешним ресурсам, после чего адреса в запросах заменяются на адрес сервера распространения, и запросы отправляются по сети.

В ответ на запросы с помощью средства распространения сертификаты передаются в компьютеры пользователей, после чего сертификаты устанавливаются на компьютере пользователя с помощью средств установки.

Соответственно средства защиты информации на компьютерах пользователей смогут автоматически проверять используемые сертификаты.

В результате обеспечивается доставка сертификатов на ПК пользователей, находящихся в закрытом контуре и не имеющих доступа к внешним УЦ, и обеспечивается автоматизация процесса установки сертификатов на ПК пользователей.

Для пользователей процедуры проверки и установки сертификатов проходят незаметно, поскольку все действия способа выполняются автоматически.

Способ доставки сертификатов в защищенной сетевой вычислительной системе, которая содержит: сервер распространения, причем сервер включает установленное на нем средство распространения, выполненное с возможностью хранить сертификаты, принимать запросы от компьютеров пользователей на загрузку сертификатов, передавать сертификаты в ответ на запросы от компьютеров пользователей; компьютеры пользователей, причем каждый компьютер включает средство установки сертификатов, выполненное с возможностью перехватывать запросы на загрузку сертификатов от компьютера пользователей к внешним по отношению к вычислительной системе удостоверяющим центрам, перенаправлять запросы на загрузку сертификатов от компьютера пользователя к средству распространения, принимать сертификаты, устанавливать сертификаты на компьютер пользователя, заключающийся в том, что доставляют сертификаты в сервер распространения доверенным способом, вносят сведения о сервере распространения в средство установки каждого компьютера пользователя, перехватывают на каждом компьютере с помощью средства установки все запросы к внешним по отношению к вычислительной системе удостоверяющим центрам на загрузку сертификатов, перенаправляют все перехваченные запросы к серверу распространения, передают сертификаты в ответ на запросы с помощью средства распространения в компьютеры пользователей, принимают на компьютере пользователя с помощью средства установки сертификаты, полученные из средства распространения, устанавливают сертификаты на компьютере пользователя с помощью средства установки.
Источник поступления информации: Роспатент

Showing 21-30 of 56 items.
19.01.2018
№218.016.0388

Способ кодирования и вычисления даты с использованием упрощенного формата в цифровых устройствах

Изобретение относится к вычислительной технике и может быть использовано для кодирования и преобразования даты в цифровых устройствах. Техническим результатом является увеличение диапазона возможных значений даты. Способ содержит этапы, на которых выделяют для хранения данных о дате,...
Тип: Изобретение
Номер охранного документа: 0002630421
Дата охранного документа: 07.09.2017
19.01.2018
№218.016.03c5

Способ обнаружения аномальной работы сетевого сервера (варианты)

Изобретение относится к области мониторинга и защиты информационных систем. Технический результат заключается в повышении безопасности передачи данных. Способ заключается в том, что запускают сервер в режиме контролируемой нормальной работы; формируют нейронную сеть в средстве обнаружения...
Тип: Изобретение
Номер охранного документа: 0002630415
Дата охранного документа: 07.09.2017
19.01.2018
№218.016.0475

Способ управления конфигурацией прикладного программного обеспечения в компьютере пользователя

Изобретение относится к управлению конфигурацией прикладного программного обеспечения (ПО) в компьютере пользователя. Технический результат заключается в снижении количества ошибок пользователя, сокращении трудозатрат пользователя в ходе проведения конфигурации ПО; упрощении процесса...
Тип: Изобретение
Номер охранного документа: 0002630591
Дата охранного документа: 11.09.2017
20.01.2018
№218.016.1611

Способ маршрутизации ip-пакетов при использовании vpls совместно с dhcp в сети с коммутацией пакетов

Изобретение относится к области цифровых сетей передачи данных с коммутацией пакетов (IP). Техническим результатом является упрощение настройки маршрутизации, снижение нагрузки на сервис DPLS и в целом на сеть, устранение ограничений на расположение и реализацию DHCP сервера. Способ...
Тип: Изобретение
Номер охранного документа: 0002635216
Дата охранного документа: 09.11.2017
20.01.2018
№218.016.1646

Способ подключения компьютера пользователя к виртуальной частной сети через локальную сеть провайдера

Изобретение относится к способам обеспечения безопасности в сетях передачи данных и, в частности, к способам организации защищенного канала взаимодействия с сервером. Техническим результатом является повышение безопасности компьютера пользователя. Раскрыт способ подключения компьютера...
Тип: Изобретение
Номер охранного документа: 0002635215
Дата охранного документа: 09.11.2017
20.01.2018
№218.016.1bed

Способ выбора маршрутов, получаемых по протоколу dhcp, в сети с коммутацией пакетов

Изобретение относится к технологиям сетевой связи. Технический результат заключается в повышении скорости передачи данных в сети. В способе запрашивают и получают сетевые адреса и сетевые маршруты от удаленных DHCP серверов по протоколу DHCP; обрабатывают полученные таблицы маршрутов в средстве...
Тип: Изобретение
Номер охранного документа: 0002636403
Дата охранного документа: 27.11.2017
13.02.2018
№218.016.2527

Способ выбора шумовых диодов с использованием измерительного устройства для генератора случайных чисел

Изобретение относится к генераторам случайных чисел (ГСЧ) и может быть использовано для генерации случайных цифровых последовательностей в различной радиоизмерительной аппаратуре и системах тестирования каналов обмена информацией, датчиков случайных чисел, средств криптографической защиты...
Тип: Изобретение
Номер охранного документа: 0002642351
Дата охранного документа: 24.01.2018
10.05.2018
№218.016.405f

Способ защиты вычислительной сети от несанкционированного сканирования и блокирования сетевых служб

Изобретение относится к способу защиты вычислительной сети от несанкционированной передачи информации, сканирования и блокирования сетевых служб. Техническим результатом является повышение защищенности вычислительной сети. Способ защиты вычислительной сети от несанкционированной передачи...
Тип: Изобретение
Номер охранного документа: 0002648949
Дата охранного документа: 28.03.2018
28.06.2018
№218.016.6886

Способ управления доступом к данным с защитой учетных записей пользователей

Изобретение относится к области информационной безопасности. Технический результат – обеспечение децентрализованного контроля над правами доступа к данным. Способ заключается в том, что со стороны администратора защищаемого объекта с данными объекта генерируют уникальный идентификатор ИД...
Тип: Изобретение
Номер охранного документа: 0002658894
Дата охранного документа: 25.06.2018
29.08.2018
№218.016.8071

Способ управления интерференционной картиной в однопроходной системе квантовой криптографии

Изобретение относится к области квантовой криптографии. Технический результат – исключение прерывания передачи ключей в режиме квазиоднофотонных состояний для управления интерференционной картиной. Способ заключается в том, что генерируют случайную последовательность нулей и единиц с помощью...
Тип: Изобретение
Номер охранного документа: 0002665249
Дата охранного документа: 28.08.2018
Showing 1-2 of 2 items.
19.01.2018
№218.016.0475

Способ управления конфигурацией прикладного программного обеспечения в компьютере пользователя

Изобретение относится к управлению конфигурацией прикладного программного обеспечения (ПО) в компьютере пользователя. Технический результат заключается в снижении количества ошибок пользователя, сокращении трудозатрат пользователя в ходе проведения конфигурации ПО; упрощении процесса...
Тип: Изобретение
Номер охранного документа: 0002630591
Дата охранного документа: 11.09.2017
15.11.2019
№219.017.e2c9

Способ обеспечения криптографической защиты информации в сетевой информационной системе

Изобретение относится к области защиты информации. Технический результат заключается в расширении арсенала средств. Способ обеспечения криптографической защиты информации в сетевой информационной системе, которая содержит сервер распространения, защищаемые сетевые устройства (ЗСУ), причем...
Тип: Изобретение
Номер охранного документа: 0002706176
Дата охранного документа: 14.11.2019
+ добавить свой РИД