×
29.08.2018
218.016.80de

Результат интеллектуальной деятельности: Способ доставки сертификатов в защищенной сетевой вычислительной системе

Вид РИД

Изобретение

№ охранного документа
0002665247
Дата охранного документа
28.08.2018
Аннотация: Изобретение относится к технологиям сетевой связи. Технический результат заключается в повышении безопасности передачи данных. Способ доставки сертификатов в защищенной сетевой вычислительной системе, которая содержит сервер распространения, причем сервер включает установленное на нем средство распространения, выполненное с возможностью: хранить сертификаты; принимать запросы от компьютеров пользователей на загрузку сертификатов; передавать сертификаты в ответ на запросы от компьютеров пользователей; а также компьютеры пользователей, причем каждый компьютер включает средство установки сертификатов, выполненное с возможностью перехватывать запросы на загрузку сертификатов от компьютера пользователей к внешним по отношению к вычислительной системе удостоверяющим центрам; перенаправлять запросы на загрузку сертификатов от компьютера пользователя к средству распространения; принимать сертификаты; устанавливать сертификаты на компьютер пользователя.

Область техники, к которой относится изобретение

Изобретение относится к вычислительной технике, инфраструктуре открытых ключей и способам обновления списков аннулированных сертификатов и может быть использовано для доставки списков аннулированных сертификатов на компьютер пользователя.

Уровень техники

В настоящее время в сетевых вычислительных системах широко используются технологии на основе инфраструктуры открытых ключей (public key infrastructure, далее - PKI). Неотъемлемой частью PKI являются сертификаты, сформированные в электронном виде с использованием криптографического стандарта Х509. Такой сертификат подписывается закрытым ключом удостоверяющего центра (УЦ). Имея сертификат с открытым ключом, для УЦ не составляет труда убедиться, что проверяемый сертификат выпущен доверенным УЦ. В случае если секретный ключ был скомпрометирован, УЦ отзывает сертификат открытого ключа. После отзыва сертификата он считается недействительным. Использование недействительного сертификата несет угрозу информационной безопасности, поэтому сведения об отзыве сертификатов должны быть как можно более оперативно доставлены и установлены на персональные компьютеры (ПК) пользователей.

В настоящее время используются следующие способы проверки действительности сертификата:

1) на основе списка аннулированных сертификатов (САС), выпускаемых УЦ с некоторой периодичностью, при этом актуальный САС должен быть предварительно получен и использован системой, осуществляющей проверку сертификата;

2) на основе запроса к УЦ по протоколу OCSP (Online Certificate Status Protocol, https://tools.ietf.org/html/rfc4806) и последующего получения информации о статусе сертификата.

Известен способ пополнения базы данных доверенных сертификатов, использующейся при антивирусной проверке (патент РФ №2571381, приоритет от 17.10.2014 г.), в котором получают идентификатор конечного сертификата открытого ключа цифровой подписи файла, отсутствующий в базе данных доверенных сертификатов; получают файл; определяют содержащийся в полученном файле конечный сертификат открытого ключа цифровой подписи упомянутого файла; проверяют действительность конечных сертификатов; задают уровень доверия для конечных сертификатов; пополняют базу данных сертификатами и определенными уровнями доверия сертификатов.

Недостатком известного способа является невысокий уровень надежности проверки сертификата, если он получен от нескольких пользователей сети, а также необходимость запроса к УЦ, внешнего по отношению к внутренней сети.

Известен также способ проверки действительности цифровых сертификатов вычислительными объектами в системе обработки данных (патент США №7444509, приоритет от 27.05.2004 г.), в котором проверка действительности сертификатов осуществляется путем запроса к сетевой службе состояния САС и УЦ, причем в ходе проверки также может устанавливаться и проверяться вся цепочка сертификатов, вплоть до конечного.

Недостатком данного способа является двукратный запрос к УЦ, внешним по отношению к внутренней сети, что увеличивает сложность реализации, а также необходимость запроса к УЦ, внешнего по отношению к внутренней сети.

Этот способ принимается в качестве прототипа.

Известные способы, к сожалению, не подходят для случая, когда защищенная сетевая вычислительная система должны работать в закрытом контуре, внутри которого отсутствует доступ к внешним по отношению к системе УЦ и узлам, обеспечивающим сервис OCSP.

Прикладные программы, при использовании сертификата стандарта Х509, должны осуществить проверку действительности сертификата. При этом обычно проверяются срок действия открытого ключа, срок действия закрытого ключа, параметры использования ключа, факт отзыва сертификата.

Адрес узла, по которому необходимо запросить сведения о сертификате (или несколько адресов разных узлов), относится, как правило, к глобальной сети Интернет, записан в сертификате и не подлежит изменению. Прикладная программа при проверке сертификата должна оперировать именно данным адресом.

Если адрес узла, по которому необходимо запросить сведения о сертификате, находится вне закрытого контура защищенной сети, то запрос становится невозможен, проверка сертификата не может быть осуществлена и возникает угроза информационной безопасности.

В таком случае системный администратор вынужден заранее получить сертификаты и/или САС за пределами закрытого контура, а затем последовательно вручную распространять полученные САС на ПК пользователей, что весьма трудоемко и затратно.

Раскрытие изобретения

Техническим результатом является:

1) обеспечение доставки сертификатов на ПК пользователей, находящихся в закрытом контуре и не имеющих доступа к внешним УЦ;

2) обеспечение автоматизации процесса установки сертификатов на ПК пользователей.

Для этого предлагается способ доставки сертификатов в защищенной сетевой вычислительной системе, которая содержит

• сервер распространения, причем сервер включает установленное на нем средство распространения, выполненное с возможностью

хранить сертификаты,

принимать запросы от компьютеров пользователей на загрузку сертификатов,

передавать сертификаты в ответ на запросы от компьютеров пользователей;

• компьютеры пользователей, причем каждый компьютер включает средство установки сертификатов, выполненное с возможностью

перехватывать запросы на загрузку сертификатов от компьютера пользователей к внешним по отношению к вычислительной системе удостоверяющим центрам,

перенаправлять запросы на загрузку сертификатов от компьютера пользователя к средству распространения;

принимать сертификаты;

устанавливать сертификаты на компьютер пользователя;

способ, заключающийся в том, что

• доставляют сертификаты в сервер распространения доверенным способом;

• вносят сведения о сервере распространения в средство установки каждого компьютера пользователя;

• перехватывают на каждом компьютере с помощью средства установки все запросы к внешним по отношению к вычислительной системе удостоверяющим центрам на загрузку сертификатов;

• перенаправляют все перехваченные запросы к серверу распространения;

• передают сертификаты в ответ на запросы с помощью средства распространения в компьютеры пользователей;

• принимают на компьютере пользователя с помощью средства установки сертификаты, полученные из средства распространения;

• устанавливают сертификаты на компьютере пользователя с помощью средства установки.

Необходимо отметить, что предлагаемый способ может быть использован как для доставки действующих сертификатов, так и САС.

Для реализации предлагаемого способа предварительно необходимо сформировать средство распространения и средство установки сертификатов, способные выполнять указанные выше функции, причем, в зависимости от различных конкретных факторов, эти средства могут быть программно-аппаратными или программными. После изготовления средство распространения устанавливается на выбранный в вычислительной системе сервер распространения, а средство установки сертификатов устанавливается на каждый компьютер пользователя в вычислительной системе.

Затем необходимо определить, какие сертификаты необходимы в вычислительной системе (действующие и/или САС), получить сертификаты из соответствующих УЦ и доверенным способом доставить сертификаты в сервер распространения.

Для этого системный администратор защищенной сетевой вычислительной системы проводит контроль программного обеспечения (ПО), установленного на ПК пользователей, и выявляет ПО, для работы которого необходима инфраструктура PKI. Для каждого такого ПО администратор выясняет список необходимых сертификатов УЦ, адреса точки распространения сертификатов для данных УЦ, которые обычно находятся в открытом доступе. Далее администратор за пределами защищенного контура получает сертификаты УЦ и/или САС, сохраняет их на носитель и доставляет в закрытый контур.

Затем системный администратор в закрытом контуре копирует файлы с носителя в выделенную папку на сервере распространения, предварительно авторизовавшись на нем. После копирования на сервер распространения администратор заполняет список узлов в защищенной сети, с которыми средство распространения будет работать, устанавливать и обновлять сертификаты УЦ или САС. Сертификаты УЦ и САС имеют ограниченный срок действия. Администратор должен осуществлять доставку сертификатов УЦ и САС в закрытый контур до истечения срока действия установленных сертификатов УЦ или САС на ПК пользователей.

Непосредственно перед реализацией предложенного способа необходимо определить параметры передачи данных между средством распространения и средством установки (протокол передачи данных, скорость передачи данных), параметры безопасности (защиты канала передачи данных, аутентификации и идентификации).

Затем пользователи могут непосредственно приступить к работе в защищенной сетевой вычислительной системе.

Если в процессе работы средства защиты информации на компьютерах пользователей высылают запросы к внешним по отношению к вычислительной системе удостоверяющим центрам на загрузку сертификатов, то на каждом компьютере с помощью средства установки все запросы к внешним по отношению к вычислительной системе удостоверяющим центрам на загрузку сертификатов перехватываются и перенаправляются к серверу распространения.

В ходе процесса перехвата в средстве установки проводится контроль адресов сетевых запросов и определение адресов, относящихся к внешним ресурсам, после чего адреса в запросах заменяются на адрес сервера распространения, и запросы отправляются по сети.

В ответ на запросы с помощью средства распространения сертификаты передаются в компьютеры пользователей, после чего сертификаты устанавливаются на компьютере пользователя с помощью средств установки.

В результате, средства защиты информации на компьютерах пользователей смогут автоматически проверять используемые сертификаты.

Предложенный способ позволяет автоматически доставить и установить САС на ПК пользователей, работающих в закрытом контуре, сократить трудозатраты системного администратора на установку САС на ПК пользователей, повышает безопасность систем, использующих PKI, путем снижения количества ошибок проверки сертификатов за счет ускорения процесса доставки и установки САС на ПК пользователей.

Осуществление изобретения

Для реализации предложенного способа в защищенной сетевой вычислительной системе необходимо сначала выделить какой-либо компьютер, который будет служить в качестве сервера распространения. Предпочтительно, это должен быть отдельный компьютер, подключенный к сети, с достаточными аппаратными ресурсами и установленным общесистемным и серверным ПО, например, это может быть компьютер на базе процессора Intel, имеющим тактовую частоту 3,5 ГГц, с оперативной памятью 16 Гбайт, с операционной системой Debian 8 и жестким диском объемом 2 Тбайт.

Для реализации предлагаемого способа предварительно необходимо сформировать средство распространения и средство установки сертификатов, способное выполнять указанные выше функции, причем, в зависимости от различных конкретных факторов, предпочтительно, эти средства выполняются в виде прикладных программ.

Сформировать программы, выполняющие функции средства распространения и средства установки сертификатов, может специалист в области программирования (программист).

После формирования и тестирования средство распространения устанавливается на сервер распространения, а средство установки сертификатов устанавливается на каждый компьютер пользователя в вычислительной системе.

Затем системный администратор определяет конкретный сетевой адрес, по которому будут поступать запросы в средство распространения на сервере распространения (из имеющегося в распоряжении списка доступных адресов в вычислительной системе), а также порт и протокол доступа (например, протокол TCP/IP). Непосредственно перед реализацией предложенного способа необходимо определить параметры передачи данных между средством распространения и средством установки (протокол передачи данных, скорость передачи данных), параметры безопасности (защиты канала передачи данных, аутентификации и идентификации).

После этого системный администратор проводит контроль ПО, установленного на ПК пользователей, и выявляет ПО, для работы которого необходима инфраструктура PKI. Для каждого такого ПО администратор выясняет список необходимых сертификатов УЦ, адреса точки распространения сертификатов для данных УЦ, которые обычно находятся в открытом доступе. Далее администратор за пределами защищенного контура получает сертификаты УЦ и/или САС, сохраняет их на носителе и доставляет в закрытый контур.

Затем системный администратор в закрытом контуре копирует файлы с носителя в выделенную папку на сервере распространения. После копирования на сервер распространения администратор заполняет список узлов в защищенной сети, с которыми средство распространения будет работать, устанавливать и обновлять сертификаты УЦ или САС.

Для хранения сертификатов УЦ и САС может быть использована какая-либо система управления базами данных, например PostgreSQL, или аналогичная.

После выполнения указанных выше предварительных действий предложенный способ может быть непосредственно выполнен.

Пользователи сети работают на своих ПК в сети в обычном режиме.

В случае, если в процессе работы средства защиты информации на ПК пользователей высылают запросы к внешним по отношению к вычислительной системе УЦ на загрузку сертификатов, то на ПК с помощью средства установки все запросы к внешним по отношению к вычислительной системе УЦ на загрузку сертификатов перехватываются и перенаправляются к серверу распространения.

В ходе процесса перехвата в средстве установки проводится контроль адресов сетевых запросов и определение адресов, относящихся к внешним ресурсам, после чего адреса в запросах заменяются на адрес сервера распространения, и запросы отправляются по сети.

В ответ на запросы с помощью средства распространения сертификаты передаются в компьютеры пользователей, после чего сертификаты устанавливаются на компьютере пользователя с помощью средств установки.

Соответственно средства защиты информации на компьютерах пользователей смогут автоматически проверять используемые сертификаты.

В результате обеспечивается доставка сертификатов на ПК пользователей, находящихся в закрытом контуре и не имеющих доступа к внешним УЦ, и обеспечивается автоматизация процесса установки сертификатов на ПК пользователей.

Для пользователей процедуры проверки и установки сертификатов проходят незаметно, поскольку все действия способа выполняются автоматически.

Способ доставки сертификатов в защищенной сетевой вычислительной системе, которая содержит: сервер распространения, причем сервер включает установленное на нем средство распространения, выполненное с возможностью хранить сертификаты, принимать запросы от компьютеров пользователей на загрузку сертификатов, передавать сертификаты в ответ на запросы от компьютеров пользователей; компьютеры пользователей, причем каждый компьютер включает средство установки сертификатов, выполненное с возможностью перехватывать запросы на загрузку сертификатов от компьютера пользователей к внешним по отношению к вычислительной системе удостоверяющим центрам, перенаправлять запросы на загрузку сертификатов от компьютера пользователя к средству распространения, принимать сертификаты, устанавливать сертификаты на компьютер пользователя, заключающийся в том, что доставляют сертификаты в сервер распространения доверенным способом, вносят сведения о сервере распространения в средство установки каждого компьютера пользователя, перехватывают на каждом компьютере с помощью средства установки все запросы к внешним по отношению к вычислительной системе удостоверяющим центрам на загрузку сертификатов, перенаправляют все перехваченные запросы к серверу распространения, передают сертификаты в ответ на запросы с помощью средства распространения в компьютеры пользователей, принимают на компьютере пользователя с помощью средства установки сертификаты, полученные из средства распространения, устанавливают сертификаты на компьютере пользователя с помощью средства установки.
Источник поступления информации: Роспатент

Showing 41-50 of 56 items.
13.07.2019
№219.017.b397

Способ аутентифицированного шифрования

Изобретение относится к криптографии и средствам защиты информации. Технический результат – повышение криптографической стойкости способа аутентифицированного шифрования. Способ аутентифицированного шифрования сообщения с использованием блочного шифрования, ключа шифрования K, ключа финализации...
Тип: Изобретение
Номер охранного документа: 0002694336
Дата охранного документа: 11.07.2019
17.07.2019
№219.017.b5b2

Способ обработки тср протокола в кластере сетевой вычислительной системы

Изобретение относится к способу обработки пакетов TCP протокола, проходящих через кластер шлюзов безопасности сетевой вычислительной системы. Техническим результатом является повышение защиты кластера от DoS-атак. Формируют в оперативной памяти каждого шлюза таблицу для хранения трех ключей и...
Тип: Изобретение
Номер охранного документа: 0002694584
Дата охранного документа: 16.07.2019
17.07.2019
№219.017.b5c3

Способ создания защищенного l2-соединения между сетями с коммутацией пакетов

Изобретение относится к области вычислительной техники. Технический результат заключается в обеспечение возможности создания кластера криптомаршрутизаторов без ограничений на их количество. Способ содержит этапы, на которых: формируют ключевую информацию для всех криптомаршрутизаторов; выделяют...
Тип: Изобретение
Номер охранного документа: 0002694585
Дата охранного документа: 16.07.2019
01.08.2019
№219.017.baf4

Способ фильтрации защищенных сетевых соединений в цифровой сети передачи данных

Изобретение относится к технике фильтрации защищенных сетевых соединений. Технический результат - расширение контроля сетевых соединений и повышение защищенности контролируемой сети передачи данных. Данный способ определяет запрещенный для использования сетевой протокол прикладного уровня (F),...
Тип: Изобретение
Номер охранного документа: 0002695983
Дата охранного документа: 29.07.2019
20.08.2019
№219.017.c182

Способ передачи сообщения через вычислительную сеть с применением аппаратуры квантового распределения ключей

Изобретение относится к области защищенных информационных сетей с квантовым распределением криптографических ключей. Техническим результатом является повышение защищенности передаваемого сообщения. Способ заключается в том, что (А) зашифровывают сообщение в блоке обработки выходного узла k-го...
Тип: Изобретение
Номер охранного документа: 0002697696
Дата охранного документа: 16.08.2019
18.10.2019
№219.017.d7da

Способ обнаружения несанкционированного использования сетевых устройств ограниченной функциональности из локальной сети и предотвращения исходящих от них распределенных сетевых атак

Изобретение относится к области вычислительной техники. Техническим результатом является обнаружение несанкционированного использования сетевых устройств ограниченной функциональности из локальной сети и предотвращение исходящих от них распределенных сетевых атак на сетевые узлы в глобальной...
Тип: Изобретение
Номер охранного документа: 0002703329
Дата охранного документа: 16.10.2019
01.11.2019
№219.017.dd05

Способ распараллеливания программ в среде агентно-ориентированного программирования в вычислительной системе

Изобретение относится к вычислительной технике. Технический результат заключается в расширении класса решаемых задач, включая задачи, которые не обладают списочным гомоморфизмом. В способе распараллеливания программ в среде агентно-ориентированного программирования в вычислительной системе...
Тип: Изобретение
Номер охранного документа: 0002704533
Дата охранного документа: 29.10.2019
15.11.2019
№219.017.e2bb

Способ квантового распределения ключей в однопроходной системе квантового распределения ключей

Изобретение относится к области квантовой криптографии. Технический результат заключается в обеспечении возможности получения секретного ключа заданной длины при установленной длине линии связи и неизменной системе КРК. Технический результат достигается за счет способа квантового распределения...
Тип: Изобретение
Номер охранного документа: 0002706175
Дата охранного документа: 14.11.2019
15.11.2019
№219.017.e2c9

Способ обеспечения криптографической защиты информации в сетевой информационной системе

Изобретение относится к области защиты информации. Технический результат заключается в расширении арсенала средств. Способ обеспечения криптографической защиты информации в сетевой информационной системе, которая содержит сервер распространения, защищаемые сетевые устройства (ЗСУ), причем...
Тип: Изобретение
Номер охранного документа: 0002706176
Дата охранного документа: 14.11.2019
12.12.2019
№219.017.ec6e

Способ формирования ключа между узлами вычислительной сети с использованием системы квантового распределения ключей

Изобретение относится к области квантовой криптографии. Технический результат заключается в повышении защищенности передаваемого ключа, возможности использования разных алгоритмов шифрования на каждом участке вычислительной сети, снижении возможности проведения атак, основанных на сборе...
Тип: Изобретение
Номер охранного документа: 0002708511
Дата охранного документа: 09.12.2019
Showing 1-2 of 2 items.
19.01.2018
№218.016.0475

Способ управления конфигурацией прикладного программного обеспечения в компьютере пользователя

Изобретение относится к управлению конфигурацией прикладного программного обеспечения (ПО) в компьютере пользователя. Технический результат заключается в снижении количества ошибок пользователя, сокращении трудозатрат пользователя в ходе проведения конфигурации ПО; упрощении процесса...
Тип: Изобретение
Номер охранного документа: 0002630591
Дата охранного документа: 11.09.2017
15.11.2019
№219.017.e2c9

Способ обеспечения криптографической защиты информации в сетевой информационной системе

Изобретение относится к области защиты информации. Технический результат заключается в расширении арсенала средств. Способ обеспечения криптографической защиты информации в сетевой информационной системе, которая содержит сервер распространения, защищаемые сетевые устройства (ЗСУ), причем...
Тип: Изобретение
Номер охранного документа: 0002706176
Дата охранного документа: 14.11.2019
+ добавить свой РИД