×
29.06.2019
219.017.9ad4

УПРАВЛЕНИЕ ЗАЩИЩЕННОЙ ЛИНИЕЙ СВЯЗИ В ДИНАМИЧЕСКИХ СЕТЯХ

Вид РИД

Изобретение

Юридическая информация Свернуть Развернуть
№ охранного документа
0002297037
Дата охранного документа
10.04.2007
Краткое описание РИД Свернуть Развернуть
Аннотация: Изобретение относится к усовершенствованию линий передачи аудио/видеосигналов и данных в динамических сетях и вычислительных средах и, в частности, к установлению линий связи со средствами шифрования и защиты и управлению ими в таких средах. Изобретение обеспечивает упрощенное установление динамических защищенных линий связи между компьютером-клиентом и серверным устройством. Описан способ установления защищенных линий связи для передачи данных и управления ими посредством обмена защитными ключами, аутентификации и авторизации. Способ предусматривает установление защищенной линии связи с ограниченными привилегиями с использованием идентификатора мобильного вычислительного блока. Это особенно выгодно, если пользователь мобильного блока не имеет информации, идентифицирующей пользователя, подходящей для аутентификации. Кроме того, преимущество представления пользователем принятой по умолчанию информации, идентифицирующей пользователя, состоит в том, что оно инициирует вмешательство системного администратора вместо отказа по пустой строке. Эта децентрализованная процедура позволяет новым пользователям осуществлять доступ к сети без необходимости физического присутствия в центральном учреждении для предъявления своих мандатов. 6 н. и 28 з.п. ф-лы, 10 ил.
Реферат Свернуть Развернуть

Область техники

Данное изобретение относится, в целом, к усовершенствованию линий передачи аудио/видеосигналов и данных в динамических сетях и вычислительных средах и, в частности, относится к установлению линий связи со средствами шифрования и защиты и управлению ими в таких средах.

Предшествующий уровень техники

Феноменальный рост сетевой электронной торговли привел к возникновению многочисленных приложений, в том числе хостинга (услуг по размещению информации), проводки и управления удаленными линиями связи и сетями. Эти приложения позволяют пользователям взаимодействовать друг с другом в ходе деловых операций или отслеживания полезной информации с использованием защищенных линий связи.

На защищенных линиях связи или соединениях для обеспечения защищенного доступа к вычислительным ресурсам обычно используют одну или более из трех операций: аутентификации, авторизации и экаунтинга (ведение отчетности) (ААА). Таким образом, понятие защиты включает в себя способность аутентифицировать сторону и/или шифровать передачи во избежание подслушивания непредусмотренными получателями или третьими лицами. Защищенная сеть образована передачами по защищенным линиям связи. Однако следует понимать, что существует несколько доступных уровней аутентификации и шифрования, охватываемых объемом изобретения. Простая передача текста без аутентификации является незащищенной передачей, хотя, принимая решение о защищенности передачи, следует использовать порог, определяемый ситуацией.

Применительно к торговым операциям, важно аутентифицировать пользователя, затем авторизовать доступ аутентифицированного пользователя к ресурсам и создавать учетные записи по использованию этих ресурсов. С появлением «пользовательского роуминга», ставшего возможным благодаря развитию мобильных вычислительных систем и, в частности, беспроводных линий связи, задача ААА приобретает особое значение. В этой связи для обеспечения беспроводных линий связи и децентрализованных операций необходимы протоколы защиты. При осуществлении сетевого доступа к персональной вычислительной сети (ПВС), локальной вычислительной сети (ЛВС) или глобальной сети (ГС) можно столкнуться со значительной задержкой. Однако с учетом кратковременного характера взаимодействий с мобильными вычислительными блоками для обеспечения приемлемых условий работы в сети необходимы соединения с малой задержкой пакета. В частности, пользователи должны иметь возможность быстро устанавливать соединения по защищенным линиям связи, независимо от того, находится ли точка доступа в интранете или на внешней, динамически устанавливаемой линии связи. Новые пользователи или новые работники должны иметь возможность получать, по меньшей мере, ограниченные привилегии в использовании защищенной сети. Многие проблемы, в том числе вышеописанные, остаются при реализации защитных линий связи, на которых применяются усовершенствованные схемы управления сетевым доступом и шифрования/аутентификации или гибкие топологии конференции. Таковы новые проблемы в области сетевых серверных систем, поддерживающих беспроводную сеть.

Сущность изобретения

Настоящее изобретение призвано решить эти проблемы и облегчить создание компьютерной сети для установления динамических защищенных линий связи между компьютером-клиентом и серверным устройством в ходе установления защищенных соединений по более широкому диапазону сетевых линий связи. В частности, описаны протоколы для компьютеров-клиентов, обеспечивающие обмен информацией для установления защищенного соединения. Кроме того, способы и системы, согласно настоящему изобретению, предусматривают протокол обмена ключами в вычислительной среде с беспроводным соединением. Обмен ключами осуществляется путем надлежащего выбора протокола расширяемой аутентификации (ПРА) и защиты транспортного уровня (ЗТУ).

Рассмотрим способ формирования защищенных каналов передачи данных/аудио/видеосигналов и управления ими посредством обмена защитными ключами, аутентификации и авторизации. Способ предусматривает реализацию ЗТУ в ПРА. Вариант осуществления изобретения предусматривает, что машина устанавливает защищенные соединения с ограниченными привилегиями, если пользователь машины не предоставляет достаточной информации, идентифицирующей пользователя. Этот способ позволяет гибко управлять сетью, содержащей машины и сетевые линии связи с различными защитными возможностями и восприимчивостью. Кроме того, в случае, когда пользователь не в состоянии предоставить аутентификационную информацию, идентифицирующую пользователя, начинается процесс регистрации машины, что позволяет снизить требования, предъявляемые к обычному процессу регистрации, и обеспечить базовый уровень доступа, когда это необходимо.

Вариант осуществления изобретения предусматривает, что пользователь, подключенный к защищенной сети по незащищенной линии связи, пройдя аутентификацию, получает только ограниченный доступ к защищенной сети. Пользователь, зарегистрированный через незащищенную линию связи, получает более ограниченный набор привилегий, чем если бы он зарегистрировался через защищенную линию связи.

Согласно варианту осуществления изобретения, машина устанавливает защищенную линию связи без регистрации пользователя. Следовательно, в сети также могут находиться специализированные серверы, на которых пользователю не обязательно регистрироваться. И пользовательская регистрация не нарушает защищенный доступ машины.

Дополнительные признаки и преимущества изобретения явствуют из нижеследующего подробного описания иллюстративных вариантов осуществления, приведенного со ссылками на прилагаемые чертежи.

Краткое описание чертежей

Хотя признаки настоящего изобретения подробно изложены в прилагаемой формуле изобретения, чтобы лучше разобраться в изобретении, понять его задачи и преимущества, следует обратиться к нижеследующему подробному описанию, приведенному в сочетании с прилагаемыми чертежами, где:

фиг.1 - обобщенная блок-схема иллюстративной компьютерной системы, к которой относится настоящее изобретение;

фиг.2 - схема обычной вычислительной среды, в которой применен вариант осуществления изобретения;

фиг.3 - схема другой вычислительной среды, в которой применяется беспроводная линия связи между точкой доступа в защищенной сети и мобильным вычислительным блоком;

фиг.4 - схема вычислительной среды, поддерживающей удаленный доступ мобильного вычислительного блока к защищенной сети, причем аутентификацию мобильного вычислительного блока осуществляет удаленный прокси-сервер RADIUS, находящийся в отношениях доверительности с защищенной сетью или, по меньшей мере, известный ей;

фиг.5 - логическая блок-схема этапов способа получения доверенным пользователем идентификатора машины;

фиг.6 - логическая блок-схема этапов способа регистрации доверенной машины, причем для инициирования регистрации используется принятый по умолчанию идентификатор пользователя, с участием системного администратора, когда машина или пользователь не имеет надлежащего мандата;

фиг.7 - логическая блок-схема этапов способа получения доступа к вычислительным ресурсам защищенной сети с использованием идентификатора машины;

фиг.8 - логическая блок-схема этапов способа доступа к сети со стороны пользователя, неспособного предоставить достаточную информацию для аутентификации, с использованием принятого по умолчанию идентификатора пользователя, позволяющего запрашивать доступ у системного администратора без необходимости физического посещения центрального учреждения;

фиг.9 - логическая блок-схема этапов способа получения удаленным мобильным вычислительным блоком доступа к защищенной сети через прокси-сервер RADIUS и

фиг.10 - логическая блок-схема этапов способа аутентификации удаленного пользователя, запрашивающего доступ к ресурсам защищенной сети.

Подробное описание изобретения

Чертежи, на которых подобные элементы обозначены подобными позициями, иллюстрируют изобретение, реализуемое в подходящей вычислительной среде. Хотя это и не требуется, изобретение будет описано, в целом, применительно к выполняемым компьютером командам, например программным модулям, выполняемым в вычислительной среде. В целом, программные модули включают в себя процедуры, программы, объекты, компоненты, структуры данных и т.п., выполняющие отдельные задачи или реализующие отдельные абстрактные типы данных. Кроме того, специалистам в данной области очевидно, что изобретение можно применять к другим конфигурациям компьютерной системы, в том числе к переносным устройствам, многопроцессорным системам, бытовой электронике на основе процессора или с возможностью программирования, сетевым ПК, мини-компьютерам, универсальным компьютерам и т.п. Изобретение также осуществимо в распределенных вычислительных средах, где задачи выполняются удаленными обрабатывающими устройствами, связанными друг с другом через сеть связи. В распределенной вычислительной среде программные модули могут храниться как в локальных, так и удаленных запоминающих устройствах.

На фиг.1 показан пример среды 100 вычислительной системы, пригодной для реализации изобретения. Среда 100 вычислительной системы является всего лишь примером подходящей вычислительной среды и не налагает никаких ограничений на объем применения или принцип изобретения. Кроме того, вычислительную среду 100 не следует рассматривать как находящуюся в зависимости или подчиняющуюся требованиям, предъявляемым к одному или нескольким компонентам, указанным в иллюстративной операционной среде 100.

Изобретение применимо ко многим другим средам или конфигурациям вычислительных систем общего и специального назначения. Примеры общеизвестных вычислительных систем, сред и конфигураций, к которым можно применять изобретение, включают в себя, помимо прочего, персональные компьютеры, компьютеры-серверы, переносные или портативные устройства, многопроцессорные системы, системы на основе микропроцессора, приставки, программируемые бытовые электроприборы, сетевые ПК, мини-компьютеры, универсальные компьютеры и распределенные вычислительные среды, содержащие любые из вышеперечисленных систем или устройств.

Изобретение можно описать, в целом, применительно к командам, выполняемым на компьютере, например программным модулям, выполняемым на компьютере. В целом, программные модули включают в себя процедуры, программы, объекты, компоненты, структуры данных и т.п., выполняющие отдельные задачи или реализующие отдельные абстрактные типы данных. Изобретение также осуществимо в распределенных вычислительных средах, где задачи выполняются удаленными обрабатывающими устройствами, связанными друг с другом через сеть связи. В распределенной вычислительной среде программные модули могут храниться как на локальных, так и на удаленных компьютерных носителях для хранения информации, включающих в себя запоминающие устройства.

Согласно фиг.1, иллюстративная система для реализации изобретения содержит вычислительное устройство общего назначения в виде компьютера 110. Компоненты компьютера 110 могут включать в себя, помимо прочего, обрабатывающий модуль 120, системную память 130 и системную шину 121, посредством которой различные компоненты системы, включая системную память, подключаются к обрабатывающему модулю 120. Системная шина 121 может относиться к разным типам шинных структур, включающих в себя шину памяти или контроллер памяти, периферийную шину и локальную шину, с применением любой из разнообразных шинных архитектур. Такие архитектуры содержат, например, помимо прочих, шину ISA (промышленной стандартной архитектуры), шину МСА (микроканальной архитектуры), шину EISA (расширенной ISA), локальную шину VESA (Ассоциации производителей средств видеоэлектроники) и шину PCI (интерфейса периферийных устройств), также именуемую шиной второго уровня.

Компьютер 110 обычно содержит разнообразные считываемые компьютером носители. В качестве считываемых компьютером носителей могут выступать любые известные носители, доступ к которым осуществляется посредством компьютера 110, в том числе энергозависимые и энергонезависимые носители, сменные и стационарные носители. Считываемые компьютером носители могут включать в себя, например, помимо прочего, компьютерные носители для хранения данных и среды передачи данных. Компьютерные носители для хранения данных включают в себя энергозависимые и энергонезависимые, сменные и стационарные носители, реализованные посредством любого метода или технологии хранения информации, например считываемых компьютером команд, структур данных, программных модулей или иных данных. Компьютерные носители для хранения данных включают в себя, помимо прочего, оперативное запоминающее устройство (ОЗУ), постоянное запоминающее устройство (ПЗУ), ЭППЗУ (электронно-перепрограммируемое ПЗУ), флэш-память и другие запоминающие устройства, CD-ROM, цифровой универсальный диск (DVD) или иной оптический дисковый носитель данных, магнитные кассеты, магнитную ленту, магнитный дисковый носитель данных или иные магнитные запоминающие устройства или любой иной носитель, который можно использовать для хранения полезной информации и доступ к которому можно осуществлять посредством компьютера 110. Среды для передачи данных обычно реализуют считываемые компьютером команды, структуры данных, программные модули или иные данные в виде сигнала, модулируемого данными, например, несущей волны или иного транспортного механизма и содержат любую среду передачи информации. Термин «сигнал, модулируемый данными» означает сигнал, одну или несколько характеристик которого можно задавать или изменять таким образом, чтобы кодировать в нем информацию. Носители для передачи данных могут, например, без ограничения включать в себя проводные сети и беспроводные среды, например акустические, РЧ (радиочастотные), инфракрасные и другие оптические среды. Понятие считываемой компьютером среды охватывает любые комбинации вышеперечисленных носителей.

Системная память 130 включает в себя компьютерные носители для хранения данных в виде энергозависимой и энергонезависимой памяти, например ПЗУ 131 и ОЗУ 132. Базовая система ввода/вывода (BIOS) 133, содержащая базовые процедуры, обеспечивающие передачу информации между элементами компьютера 110, например, при запуске, обычно хранится в ПЗУ 131. В ОЗУ 132 обычно хранятся данные и программные модули, к которым обрабатывающий модуль 120 должен быстро обращаться или которые он обрабатывает в данный момент. На фиг.1 показаны, без ограничения общности, операционная система 134, прикладные программы 135, другие программные модули 136 и данные 137, используемые программами (программные данные). Для обслуживания прикладных программ 135 операционная система 134 нередко использует один или несколько ПИП (программных интерфейсов приложения) (не показаны). Поскольку такие услуги предусмотрены в операционной системе 134, разработчикам прикладных программ 135 нет нужды повторно разрабатывать программный код для реализации этих услуг. Примеры ПИП, обеспечиваемых операционными системами, например, системой WINDOWS фирмы Microsoft, известны из уровня техники.

Компьютер 110 может также содержать другие сменные/стационарные, энергозависимые/энергонезависимые компьютерные носители для хранения данных. Например, на фиг.1 изображены интерфейс 140 жесткого диска, который осуществляет считывание/запись данных из/в стационарного/ый энергонезависимого/ый магнитного/ый носителя/ь, привод 151 магнитного диска, который может быть внутренним или внешним и который осуществляет чтение/запись из/в сменного/ый энергонезависимого/ый магнитного/ый диска 152, и привод 155 оптического диска, который осуществляет чтение/запись из/в сменного/ый энергонезависимого/ый оптического/ий диска 156, например CD-ROM. В иллюстративной операционной среде можно также использовать другие сменные/стационарные, энергозависимые/энергонезависимые компьютерные носители для хранения данных, например, помимо прочих, кассеты с магнитной лентой, карты флэш-памяти, DVD, ленту для цифровой видеозаписи, ОЗУ на кристаллах и ПЗУ на кристаллах. Жесткий диск 141, который может быть внутренним или внешним, обычно подключается к системной шине 121 через стационарный интерфейс запоминающего устройства, например интерфейс 140, а привод 151 магнитного диска и привод 155 оптического диска обычно подключаются к системной шине 121 через сменный интерфейс запоминающего устройства, например интерфейс 150.

Вышеупомянутые и изображенные на фиг.1 приводы и соответствующие компьютерные носители для хранения данных обеспечивают хранение считываемых компьютером команд, структур данных, программных модулей и других данных для компьютера 110. Например, согласно фиг.1, на жестком диске 141 хранится операционная система 144, прикладные программы 145, другие программные модули 146 и программные данные 147. Заметим, что эти компоненты могут быть идентичны операционной системе 134, прикладным программам 135, другим программным модулям 136 и программным данным 137 или отличны от них. Операционная система 144, прикладные программы 145, другие программные модули 146 и программные данные 147 обозначены другими позициями, поскольку они могут представлять собой другие копии. Пользователь может вводить команды и информацию в компьютер 110 через устройства ввода, например клавиатуру 162 и указательное устройство 161, в качестве которого может выступать мышь, шаровой манипулятор или сенсорная панель. Другие устройства ввода (не показаны) могут включать в себя микрофон, джойстик, игровую панель, спутниковую тарелку и сканнер. Эти и другие устройства ввода обычно подключаются к обрабатывающему модулю 120 через интерфейс 160 пользовательского ввода, подключенный к системной шине, но могут подключаться посредством других интерфейсов и шинных структур, например параллельного порта, игрового порта или универсальной последовательной шины (USB). Монитор 191 или другое устройство отображения также подключено к системной шине 121 посредством интерфейса, например видеоинтерфейса 190. Помимо монитора компьютеры могут также содержать другие периферийные устройства вывода, например громкоговорители 197 или принтер 196, которые могут подключаться через интерфейс 195 периферийных устройств вывода.

Компьютер 110 может работать в сетевой среде, используя логические линии связи с одним или несколькими удаленными компьютерами, например удаленным компьютером 180. Удаленный компьютер 180 может представлять собой персональный компьютер, сервер, маршрутизатор, сетевой ПК, одноранговое устройство или другой общий узел сети и обычно содержит многие или все элементы, описанные выше применительно к компьютеру 110, хотя на фиг.1 изображено только запоминающее устройство 181. Логические линии связи, обозначенные на фиг.1, включают в себя локальную вычислительную сеть (ЛВС) 171 и глобальную сеть (ГС) 173, а также, возможно, и другие сети. Такие сетевые среды широко используются в учреждениях, шоу-бизнесе, интранетах и в Интернете.

При использовании сетевой среды ЛВС компьютер 110 подключается к ЛВС 171 посредством сетевого интерфейса или адаптера 170. При использовании сетевой среды ГС компьютер 110 обычно содержит модем 172 или другое средство установления связи через ГС 173, например Интернет. Модем 172, который может быть внутренним или внешним, может подключаться к системной шине 121 через интерфейс 160 пользовательского ввода или посредством другого подходящего механизма. В сетевой среде программные модули, указанные применительно к компьютеру 110, или их фрагменты могут храниться в удаленном запоминающем устройстве. Согласно фиг.1, но не в обязательном порядке, удаленные прикладные программы 185 хранятся в запоминающем устройстве 181, которое может быть внутренним или внешним по отношению к удаленному компьютеру 180. Следует понимать, что помимо сетевых линий связи, показанных в качестве примера, можно использовать другие средства установления линии связи между компьютерами.

В нижеследующем описании изобретение будет описано со ссылкой на действия и символические представления операций, осуществляемых одним или несколькими компьютерами, если не указано обратное. Поэтому очевидно, что такие действия или операции, которые иногда называют выполняемыми на компьютере, включают в себя манипуляцию обрабатывающим модулем компьютера электрическими сигналами, представляющими данные в структурированном виде. Эта манипуляция сводится к преобразованию данных или поддержке их в ячейках системы памяти компьютера, каковые данные переконфигурируют или иным образом изменяют работу компьютера, насколько это известно специалистам в данной области. Структуры данных, в которых поддерживаются данные, представляют собой физические ячейки памяти, конкретные свойства которых определяются форматом данных. Однако такой подход к описанию изобретения не является ограничительным, поскольку специалистам в данной области очевидна возможность аппаратной реализации описанных здесь разнообразных действий и операций.

В схеме аутентификации/шифрования для обеспечения сетевого доступа или связности прежде всего надлежит аутентифицировать одну или несколько сторон, пользующихся линией связи. Для этого обычно используют сертификат, выдаваемый доверенным источником. Применительно к защищенной конференции, стороне, запрашивающей подключение к защищенной конференции, нужно подтвердить свою заявленную идентичность. В некоторых вариантах осуществления для подтверждения идентичности может потребоваться конференсный узел. Сертификат содержит информацию о стороне, представляющей сертификат, и включает в себя защитные средства, позволяющие обнаруживать любые изменения, в том числе внесенные стороной, представляющей информацию.

Чтобы понять основную процедуру, рассмотрим схему шифрования асимметричным ключом. Согласно этой схеме, в процедуре шифрования/дешифрования используют два ключа, которые, для удобства, называют открытым ключом и личным ключом. Личный ключ держат в секрете, например хранят в защищенной ячейке памяти компьютера или на интеллектуальной карте. Открытый ключ доступен всем. Открытый и личный ключи математически связаны, но вычислить один из другого непросто. В частности, зная открытый ключ, невозможно вычислить личный ключ в течение обозримого промежутка времени. Кроме того, сообщение, зашифрованное с помощью одного из ключей, можно расшифровать только с помощью другого ключа.

Пользователь, нуждающийся в аутентификации своей идентичности, запрашивает у доверенной службы сертификации (СС) сертификат о своей идентичности. Этот запрос предпочтительно кодировать открытым ключом СС. Этой цели можно достичь разными путями, например сначала зашифровать заявляемую идентичность личным ключом пользователя, а затем зашифровать сообщение совместно с копией открытого ключа потенциального нового пользователя с помощью открытого ключа СС. Таким образом, СС будет знать, какой открытый ключ использовать для дальнейшего дешифрования после того, как расшифрует сообщение своим собственным личным ключом. Кроме того, успешное дешифрование сообщения гарантирует для СС то, что сообщение отправлено пользователем, поскольку для того, чтобы его можно было расшифровать открытым ключом пользователя, оно должно было быть закодировано личным ключом пользователя. Таким образом, СС, в частности, та, что выдала личный ключ пользователя, может проверить заявленную идентичность, сверившись с базой данных.

Затем СС шифрует информацию об идентичности пользователя, включающую в себя открытый ключ, соответствующий личному ключу, с помощью своего собственного личного ключа, чтобы сформировать сертификат аутентификации, возможно, с электронной подписью. Сторона, желающая аутентифицировать идентичность пользователя, дешифрует сертификат с помощью открытого ключа СС. Таким образом, преимущество сертификата состоит в том, что он также предоставляет стороне, желающей аутентифицировать идентичность пользователя, открытый ключ пользователя.

Хотя пользователь может считывать информацию, сертифицированную СС, пользователь не может изменять информацию так, чтобы это не было обнаружено, поскольку пользователь не знает личного ключа СС. Кроме того, СС может присоединить зашифрованную односторонне хешированную версию сообщения, чтобы получатель мог далее быть уверен в том, что все сообщение является аутентичным, даже если оно получено малыми частями. Функцию одностороннего хеширования часто применяют потому, что изменить сообщение и при этом сохранить тот же результат хеширования весьма непросто, чтобы потом можно было подтвердить аутентичность присоединенного сообщения. Иными словами, зашифрованные сообщения могут читать многие, поскольку ключ декодирования является открытым ключом, но их нельзя изменять, не изменив состояния, снабженного признаком. Кроме того, такой сертификат аутентификации и соответствующие ключи можно снабжать конечным временем действия во избежание преступных действий и инженерного анализа.

Дополнительные подробности, касающиеся обмена ключами, аутентификации и запросов авторизации, для обеспечения защищенной связи между клиентом и сервером, описаны в прилагаемых документах в приложении, озаглавленном "IEEE 802.11 Security White Paper", "IEEE 802.IX Supported Scenarios" и "Bluetooth Security Architecture Version 1.0", полностью включенных в данную заявку.

На фиг.2 показана иллюстративная вычислительная среда 200, содержащая совокупность динамических линий связи, совокупность статических линий связи и совокупность устройств. Вычислительная среда 200 включает в себя интранет 205, подключенный к маршрутизатору 210, который, в свою очередь, подключен к сети Интернет 215. По меньшей мере, один мобильный вычислительный блок 220 подключен к Интернет 215 посредством динамической линии связи 225. Альтернативно, мобильный вычислительный блок 215 может подключаться к интранет 205 посредством линии связи 230, наличие которой не исключает возможность существования динамической линии связи 225. Мобильный вычислительный блок 220 не обязательно является компьютером, но может представлять собой любое мобильное вычислительное устройство, например устройство мобильной связи или устройство, обеспечивающее аудио/видеоинформацию путем доступа к информации в онлайновом (оперативном) режиме и т.п. Совокупность устройств в вычислительной среде 200 включает в себя рабочую станцию 235, сервер 240 и принтер 245, управляемый сервером 240. Под статическими линиями связи понимают связи, образующие интранет 205, а под динамическими линиями связи понимают связи, для которых характерна высокая вероятность сбоя, например линия связи 225 или линия связи 230 между мобильным вычислительным блоком 220 и Интернет 215 или интранет 205 соответственно.

Гарантировать защищенность статической линии связи проще, чем обеспечить защищенную динамическую линию связи. Защиту динамических линий связи труднее реализовать в силу кратковременного характера динамической линии связи и более строгих ограничений на задержку и ширину полосы, действующих на таких линиях связи. Кроме того, в силу мобильного характера портативных вычислительных устройств, например вычислительного блока 220, необходима защита от несанкционированного сетевого доступа.

Стратегия расширения защищенных линий связи на доверенных пользователей и доверенные машины, связанные транзитивными отношениями доверительности, позволяет реализовать защищенную вычислительную среду без необходимости в централизованном управлении всеми отношениями защиты. Явные отношения доверительности позволяют отслеживать нарушения защиты. Кроме того, явные отношения доверительности упрощают управляемые процедуры аутентификации, в то же время сохраняя низкий уровень задержки при установлении защищенных соединений.

Ограничение доступа к доверенным пользователям и доверенным машинам, которые можно реализовать программно или аппаратно, имеет то преимущество, что позволяет только доверенным машинам осуществлять доступ к сети без доступа к сети аутентифицированных пользователей и в то же время позволяет доверенным пользователям осуществлять доступ к сети с любой машины. Эта стратегия предотвращает несанкционированный доступ со стороны пользователей и машин без приемлемой аутентификации. С другой стороны, возможность машинной аутентификации обеспечивает машину действительными стандартными уровнями мандата доступа для пользователя с действительным мандатом. Пользователь без действительного (достоверного) мандата получает ограниченный санкционированный доступ на машине без действительного мандата. Такой доступ обеспечивает неаутентифицированным пользователям базовый уровень доступа. Такими пользователями могут быть посетители, новые или бывшие работники и т.п., нуждающиеся в некотором доступе к защищенной сети. Доверенные пользователи могут осуществлять доступ к сетевым ресурсам через доверенные или недоверенные машины, подключенные к сети.

Предоставление ограниченной формы доступа новым пользователям или пользователям, введшим неправильный пароль или иначе неудачно зарегистрировавшимся, облегчает их адаптацию к вычислительной среде. Аналогично, обеспечение достаточного доступа, позволяющего новым пользователям и работникам непосредственно взаимодействовать с системным администратором, децентрализует процесс добавления и удаления пользователей, в то же время сохраняя централизованное управление.

Децентрализацию нужно понимать в том смысле, что новому работнику не приходится физически идти в центральное учреждение для получения авторизации ограниченного доступа к вычислительным ресурсам. Ограничения доступа, налагаемые на неаутентифицированных пользователей, регулируют так, чтобы избежать нарушения защиты сетевых ресурсов. Для этого один и тот же пользователь может иметь разные уровни авторизации, позволяющие лучше отражать относительные степени угрозы безопасности, связанные с обстоятельствами регистрации пользователя. Например, пользователь, осуществляющий доступ к вычислительным ресурсам с удаленного устройства, может иметь более ограниченные привилегии, чем пользователь, работающий на машине в здании, где развернут интранет 205, или пользователь доверенной машины. Таким образом, раскрытые способ и система позволяют пользователям с помощью мобильных вычислительных блоков осуществлять доступ к вычислительной среде с различными уровнями доступа, т.е. авторизацию, в зависимости от идентичности мобильного вычислительного блока и/или обстоятельств, при которых запрашивается доступ.

На фиг.3 показана вычислительная среда 300, способная поддерживать беспроводные линии связи. Мобильный вычислительный блок 305 по линии связи 310 может связываться с вычислительной средой 300, имеющей точку доступа 315. Точка доступа 315 выступает в качестве средства аутентификации для мобильного вычислительного блока 305, предоставляя ему доступ к вычислительным ресурсам вычислительной среды 300. Из точки доступа 315 идентификаторы и сертификаты, предоставленные мобильным вычислительным блоком 305, поступают на сервер 325 "службы аутентификации удаленных пользователей по коммутируемым линиям связи" (RADIUS), который осуществляет аутентификацию предоставленных идентификаторов. Запросы на идентификацию и подтверждение идентичности сервер 325 RADIUS пересылает на мобильный вычислительный блок 305 через точку доступа 315, во избежание любого непосредственного обмена между сервером 325 RADIUS и неаутентифицированным мобильным вычислительным блоком 305.

На фиг.4 показан мобильный вычислительный блок 400, который, будучи удаленным, пытается осуществить доступ к сети интранет 405. Мобильный вычислительный блок 400 связывается с точкой удаленного доступа 410, которая играет роль средства аутентификации, и использует прокси-сервер 415 RADUIS для аутентификации мобильного вычислительного блока 400. В случае успешной аутентификации точка доступа 410 направляет пакеты, адресованные в сеть, на коммутатор 420 ВЛВС (виртуальной ЛВС). Коммутатор 420 ВЛВС консультируется с сервером 430 регистрации, чтобы определить, разрешен ли мобильному вычислительному блоку 400 удаленный доступ к ВЛВС 425, подключенной к интранет 405. В случае успешной регистрации мобильного вычислительного блока 400 передачи, адресованные ВЛВС 425 или серверу 435, подключенному через интранет 504, надлежащим образом пересылаются. В случае неудачной аутентификации дальнейшее прохождение пакетов на ВЛВС 425 или сервер 435 блокируется.

Согласно изобретению, существуют два возможных состояния регистрации для пользователя и машины соответственно: пользователь с действительным (достоверным) мандатом; пользователь без действительного мандата; машина с действительным мандатом и машина без действительного мандата. Состояния регистрации машины и пользователя совместно порождают четыре возможных состояния регистрации. Изобретение включает в себя варианты осуществления, выражающие предпочтение одному из возможных состояний регистрации перед другими возможными состояниями регистрации.

Согласно варианту изобретения, в случае невозможности аутентифицировать идентичность пользователя машина, на которой работает пользователь, может предоставить идентификатор, позволяющий осуществить машинную процедуру регистрации для обеспечения ограниченного доступа. На фиг.5, которую не следует рассматривать как единственно возможный вариант способа, показана возможная последовательность этапов, осуществляя которые, доверенная машина может зарегистрироваться на основании своего машинного идентификатора. Для этого доверенный пользователь первоначально устанавливает статус доверительности машины. Согласно фиг.5, на этапе 500 доверенный пользователь запрашивает идентификатор машины, на которой работает пользователь. Сетевой сервер, например контроллер домена, определяет, является ли пользователь доверенным, на этапе 505, и уполномоченным, на этапе 510, делать такой запрос. Если пользователь уполномочен делать запрос, то сетевой сервер предоставляет уникальный идентификатор машины (этап 515). В противном случае на этапе 520 сетевой сервер отказывает в выполнении запроса. На этапе 525 сетевой сервер запрашивает СС предоставить сертификат, подтверждающий идентичность машины, и на этапе 530 направляет сертификат на машину. На этапе 535 идентификатор машины и сертификат предпочтительно сохраняют на машине для последующего использования.

Согласно варианту осуществления, проиллюстрированному на фиг.6, аутентификация машины и аутентификация пользователя осуществляются либо с использованием подходящего мандата или с использованием принятого по умолчанию ИД пользователя, что позволяет системному администратору вмешиваться в процесс аутентификации машины или пользователя. На этапе 600 делают запрос на доступ к сети. При наличии мандата машины переходят от этапа 605 к этапу 610 аутентификации машины. Хотя в данном варианте осуществления пользователя нельзя аутентифицировать на той же машине, этот факт не следует рассматривать как ограничение объема изобретения. Этап 610 особенно полезен для запуска серверов в сети без необходимости одновременной регистрации пользователя. Более того, некоторые машины в привилегированных местоположениях могут даже не обеспечивать пользовательский интерфейс. Этап 615 соответствует случаю неудачной аутентификации машины. С другой стороны, если машина не имеет мандата, то от этапа 605 переходят к этапу 620. На этапе 620 машина использует принятый по умолчанию идентификатор пользователя, чтобы инициировать аутентификацию машины, которая завершается либо успешно на этапе 625, либо неудачно на этапе 630. По завершении этапов 620, 625 и 630 переходят к этапу 635. На этапе 635 выполняются команды, инициирующие регистрацию пользователя. При наличии мандата пользователя переходят к этапу 645, который соответствует успешной аутентификации пользователя, после чего процедура завершается. С другой стороны, если мандат пользователя неприемлем, то на этапе 650 фиксируют неудачную аутентификацию пользователя, и на этом процедура прекращается. В случае выявления отсутствия мандата пользователя на этапе 640 переходят к этапу 655 успешного использования принятого по умолчанию идентификатора пользователя. Если не удается аутентифицировать пользователя посредством принятого по умолчанию идентификатора пользователя, переходят к этапу 660 и, соответственно, завершают процедуру.

Иллюстративный вариант осуществления среды, совместимой с протоколом расширяемой аутентификации (ПРА), предусматривает использование начального сообщения ПРА. Конечно, в других средах можно использовать другие начальные сообщения, например, для уменьшения суммарного количества сообщений, применяемых для проведения начальных транзакций.

На фиг.7 проиллюстрирован вариант осуществления процедуры аутентификации в отношении доверенной машины. На этапе 700 пользователь выдает начальное сообщение, выражающее запрос доступа к вычислительной среде. Точка беспроводного доступа принимает начальное сообщение для установления беспроводной линии связи. Реализация точки беспроводного доступа не позволяет ей пересылать трафик данных, поступающий из соединения, не прошедшего аутентификацию, ни в нижележащую проводную сеть, ни на другое беспроводное мобильное вычислительное устройство. Точка доступа, выступая в роли средства аутентификации, обеспечивает ограниченное взаимодействие для аутентификации запрашивающей стороны до установления подходящей линии связи. Для этого на этапе 705 точка доступа запрашивает идентификацию запрашивающей стороны, чтобы инициировать процедуру аутентификации в случае недостатка информации для идентификации, например, в начальном сообщении. В ответ на такой запрос на этапе 710 запрашивающая сторона предоставляет идентифицирующую информацию, достаточную для аутентификации, если таковая доступна. При таком определении применяется период перерыва. Альтернативно, запрашивающая сторона явно указывает неспособность предоставить запрашиваемую идентифицирующую информацию.

При доступности запрашиваемой идентифицирующей информации на этапе 715 осуществляется стандартная процедура аутентификации. В стандартной процедуре точка доступа направляет заявленную идентичность на сервер RADIUS. Сервер RADIUS передает запрос на точку доступа, которая, в свою очередь, пересылает его на мобильный вычислительный блок. Мобильный вычислительный блок и сервер RADIUS не могут непосредственно связываться друг с другом, что гарантирует защиту сетевых ресурсов. Однако в случае отсутствия достаточной идентифицирующей информации доверенная машина предоставляет идентификатор машины на этапе 720. Точка доступа направляет идентификатор доверенной машины на сервер RADIUS, который, в свою очередь, обеспечивает запрос, пересылаемый точкой доступа на мобильный вычислительный блок.

На этапе 725 точка доступа запрашивает заявленную идентичность, запрашивая подтверждение заявленной идентичности в соответствии с запросом, поступившим от сервера RADIUS. На этапе 730 мобильный вычислительный блок предоставляет точке доступа сертификат, подтверждающий заявленную идентичность машины. На этапе 735 точка доступа предоставляет ограниченный доступ, соответствующий заявленной и аутентифицированной идентичности машины, если сертификат действителен.

На фиг.8 проиллюстрирован способ использования принятого по умолчанию идентификатора пользователя для обеспечения вмешательства системного администратора. Этот способ выгодно применять при аутентификации и регистрации новых пользователей без необходимости их физического присутствия в центральном учреждении. После выдачи начального сообщения на этапе 800 для запрашивания доступа к вычислительной среде на этапе 805 запрашивают идентификацию. На этапе 810 пользователь предоставляет принятый по умолчанию идентификатор пользователя, который может быть пустой строкой. Получив принятый по умолчанию идентификатор пользователя, система не отказывает пользователю в доступе, а вместо этого вызывает системного администратора, который решает, предоставить ли пользователю доступ к вычислительной среде, и определяет уровень авторизации на этапе 815. Если системный администратор подтверждает идентичность пользователя, т.е. аутентифицирует пользователя, то контроллер домена позволяет пользователю зарегистрироваться на этапе 830. Затем контроллер домена получает сертификат для предоставления идентификатора пользователя на этапе 835. На этапе 840 сертификат сохраняют для подтверждения идентичности пользователя при последующих попытках доступа к вычислительным ресурсам без необходимости обращаться к системному администратору.

На фиг.9 представлен иллюстративный способ предоставления пользователю ограниченного доступа с удаленного и незащищенного устройства, причем способ сводится к запросу на использование одной или нескольких машин, идентичность которых неизвестна или которые физически расположены вне сети интранет. В таком сценарии предпочтительно обеспечивать ограниченный доступ, который не отражает все привилегии, которые мог бы иметь конкретный пользователь, работая на защищенном узле или защищенной машине. На этапе 900 направляют запрос доступа точке удаленного доступа через прокси-сервер, после чего на этапе 905 запрашивают заявленную идентичность обычным образом. Получив на этапе 910 идентификатор, который может быть идентификатором пользователя или машины, запрашивают на этапе 915 подтверждение заявленной идентичности. На этапе 920 запрашивающая сторона подтверждает заявленную идентичность, предоставляя сертификат, выданный доверенной службой сертификации. Прокси-сервер RADIUS проводит соответствующие транзакции, и сервер RADIUS, снабженный функцией проверки защиты, предоставляет пользователю унифицированный указатель ресурса (URL), фактически адрес порта, обеспечивая доступ к вычислительным ресурсам на этапе 925. Этот URL обычно обеспечивает пользователя более низкой степенью доступа к сетевым ресурсам по сравнению с той, которую бы он получил через точку доступа в сети.

На фиг.10 приведены этапы другого варианта осуществления изобретения для удаленного доступа к защищенному вычислительному ресурсу. На этапе 1000 удаленный пользователь запрашивает доступ к ресурсу защищенной вычислительной среды. Этот запрос можно делать в точке доступа другой сети и через Интернет. Сервер RADIUS обрабатывает запрос и предоставляет URL на этапе 1005, чтобы обеспечить аутентификацию запрашивающей стороны на удаленном вычислительном устройстве. Это соединение, вероятно, является защищенным соединением, что указано на этапе 1010, и может использовать SSL (уровень защищенных гнезд) и другие подобные технологии для аутентификации запрашивающей стороны. Кроме того, веб-страница, используемая для аутентификации, может также запрашивать и получать информацию для целей экаунтинга. Такая информация включает в себя номера кредитных карт, время и характер запрашиваемых ресурсов и т.п. На этапе 1015 определяют наличие или отсутствие запрашиваемых услуг. При наличии услуг и успешной аутентификации на этапе 1020 предоставляется авторизация для доступа к запрашиваемым ресурсам, после чего процедура заканчивается. С другой стороны, при отсутствии запрашиваемых ресурсов переходят от этапа 1015 к этапу 1030, чтобы сообщить запрашивающей стороне об отсутствии ресурса или доступа, после чего процедура заканчивается на этапе 1025.

Вышеописанные способы обеспечивают автоматическое администрирование совокупностью пользователей, некоторые из которых имеют мобильные вычислительные блоки, в сети, имеющей динамические линии связи, за счет машинной или пользовательской аутентификации, объединенной с различными уровнями авторизации, отражающими относительную угрозу безопасности для различных пользователей и линий связи.

Защищенная линия связи, установленная описанными здесь способами, включает в себя шифрование. Шифрование обеспечивается обменом, по меньшей мере, одним ключом и генерацией дополнительных ключей точкой доступа и мобильным вычислительным блоком, для создания защищенной связи. Эти ключи могут быть симметричными или асимметричными. Каждое шифрование предусматривает частые смены ключа для повышения уровня защиты. Кроме того, в случае нарушения защищенной линии связи с последующим ее восстановлением в новой точке доступа, подключенной к ранее использованной точке доступа, мобильный вычислительный блок всего лишь представляет идентичность ранее использованной точки доступа и заявляет свою идентичность. Новая точка доступа подтверждает предыдущую аутентификацию мобильного вычислительного блока и разрешает доступ, не требуя повторной аутентификации мобильного вычислительного блока. Эта стратегия в сочетании с перерывом обеспечивает лучшие условия работы в сети благодаря уменьшению задержки за счет времени, необходимого для аутентификации нового мобильного блока.

Ввиду большого количества возможных вариантов осуществления, к которым применимы принципы этого изобретения, следует понимать, что вариант осуществления, описанный здесь со ссылками на чертежи, носит исключительно иллюстративный характер и не должен рассматриваться как ограничение объема изобретения. Например, специалистам в данной области очевидно, что элементы проиллюстрированного варианта осуществления, показанные в виде программного обеспечения, можно реализовать в виде аппаратного обеспечения и наоборот или что проиллюстрированный вариант осуществления можно модифицировать в отношении структуры и деталей, не выходя за рамки сущности изобретения. Поэтому описанное здесь изобретение охватывает все подобные варианты осуществления и соответствует объему нижеприведенной формулы изобретения и ее эквивалентов.

Все приведенные здесь ссылки, в том числе на патенты, патентные заявки и публикации, включены в настоящее описание изобретения во всей полноте посредством ссылки.

предоставляютсертификатблокуаутентификациидляподтвержденияидентичностимобильноговычислительногоблока,причемблокаутентификацииуправляетдоступомквычислительномуресурсу,иустанавливаютдоступквычислительномуресурсусиспользованиеминформацииавторизации,полученнойотблокааутентификации,причеминформацияавторизациисоответствуетаутентифицированнойидентичностимобильноговычислительногоблока.принимаютотаутентифицирующегопрокси-сервераадресдляпередачииприемаданныхнавычислительныйресурсиотнего.1.Способпредоставлениямобильномувычислительномублокупривилегированногодоступаквычислительномуресурсу,способсодержитэтапы,накоторыхобнаруживаютнеудачнуюпопыткупользователямобильноговычислительногоблоказарегистрироватьсядлядоступаквычислительномуресурсуизатемполучаютсертификатсуникальнымидентификатороммобильноговычислительногоблокадляоблегченияаутентификацииидентичностиупомянутогоблока,предоставляютсертификатблокуаутентификациидляподтвержденияидентичностимобильноговычислительногоблока,причемблокаутентификацииуправляетдоступомквычислительномуресурсу,иустанавливаютограниченныйдоступквычислительномуресурсусиспользованиеминформацииавторизации,полученнойотблокааутентификации,причеминформацияавторизациисоответствуетаутентифицированнойидентичностимобильноговычислительногоблока.12.Способпоп.1,отличающийсятем,чтомобильныйвычислительныйблоксвязываетсясвычислительнымресурсомсиспользованием,поменьшеймере,однойбеспроводнойлиниисвязи.23.Способпоп.1,отличающийсятем,чтоинформацияавторизациивключаетвсебяключдляшифрованияпередачсмобильноговычислительногоблоканавходнойпорт.34.Способпоп.3,отличающийсятем,чтоключявляетсясимметричнымсеансовымключом.45.Способпоп.1,отличающийсятем,чтодополнительносодержитэтап,накоторомопределяют,чтомобильныйвычислительныйблокнеимеетсертификата,подтверждающегоидентичностьмашины,ивответвыполняютэтапполучениясертификата.56.Способпоп.1,отличающийсятем,чтодополнительносодержитэтап,накоторомсохраняютуникальныйидентификатормашинынамобильномвычислительномблокедляпоследующегоиспользования.67.Способпоп.1,отличающийсятем,чтодополнительносодержитэтап,накоторомсохраняютсертификатнамобильномвычислительномблоке.78.Способпоп.1,отличающийсятем,чтодополнительносодержитэтап,накоторомпринимаютуникальныйидентификатормашины.89.Способпоп.1,отличающийсятем,чтодополнительносодержитэтапы,накоторыхконтроллердоменаполучаетсертификатотслужбысертификацииипринимаютсертификатотконтроллерадомена.910.Способпоп.9,отличающийсятем,чтоконтроллердоменаполучаетсертификатвответнапользовательскийзапрос,поступившийотпользователя,причемпользовательиспользуетмобильныйвычислительныйблокдлядоступаквычислительномуресурсу.1011.Способпредоставленияпользователюпривилегированногодоступаквычислительномуресурсу,причемдоступквычислительномуресурсуявляетсяограниченным,способсодержитэтапы,накоторыхзапрашиваютдоступквычислительномуресурсу,предоставляютпринятыйпоумолчаниюидентификаторпользователя,чтобыинициироватьпроцессрегистрациидляполученияограниченногодоступаквычислительномуресурсу,принимаютпосредствомадминистраторапринятыйпоумолчаниюидентификаторпользователя,подтверждаютпосредствомадминистратораидентичностьпользователяивответпредоставляютинформациюдляполучениядоступаквычислительномуресурсу,ипередаютипринимаютданныенавычислительныйресурсиотнегодлязавершенияпроцессарегистрации.1112.Способпоп.11,отличающийсятем,чтодополнительносодержитэтап,накоторомполучаютдоступквычислительномуресурсу,приусловииуспешнойрегистрациинаконтроллередомена,причемконтроллердоменасоответствуетвычислительномуресурсу.1213.Способпоп.11,отличающийсятем,чтодополнительносодержитэтапы,накоторыхконтроллердоменаполучаетсертификатдляаутентификациипользователя,ипользовательпринимаетотконтроллерадоменасертификатдляаутентификациипользователя.1314.Способпоп.11,отличающийсятем,чтопользовательосуществляетдоступквычислительномуресурсусиспользованием,поменьшеймере,однойбеспроводнойлиниисвязи.1415.Способпредоставленияпользователюзащищенногодоступаквычислительномуресурсусвнешнегоустройства,способсодержитэтапы,накоторыхпосылаютзапросдоступаквычислительномуресурсу,предоставляютидентификаторпользователяаутентифицирующемупрокси-серверучерезточкуудаленногодоступа,причемидентификаторпользователясоответствуетзаявленнойидентичности,вответназапроспредоставляютаутентифицирующемупрокси-серверучерезточкуудаленногодоступасертификатдляаутентификациизаявленнойидентичностиипринимаютотаутентифицирующегопрокси-сервераадресдляпередачииприемаданныхнавычислительныйресурсиотнего,причемадрессоответствуетограниченномудоступуквычислительномуресурсу.1516.Способпоп.15,отличающийсятем,чтоадресдляпередачииприемаданныхпредставляетсобойунифицированныйуказательресурса.1617.Способпоп.16,отличающийсятем,чтопользовательдополнительнопринимаетключдляшифрованияпередачнавычислительныйресурс.1718.Способпоп.17,отличающийсятем,чтодополнительноиспользуютключдлядешифрованияпередачотвычислительногоресурса.1819.Считываемыйкомпьютеромноситель,содержащийвыполняемыекомпьютеромкомандыдляосуществленияэтаповспособапредоставленияпривилегированногодоступаотмобильноговычислительногоблокаквычислительномуресурсу,причемспособсодержитэтапы,накоторыхобнаруживаютнеудачнуюпопыткупользователямобильноговычислительногоблоказарегистрироватьсядлядоступаквычислительномуресурсуизатемполучаютсертификатсуникальнымидентификатороммобильноговычислительногоблокадляоблегченияаутентификацииидентичностимобильноговычислительногоблока,1920.Считываемыйкомпьютеромносительпоп.19,содержащийвыполняемыекомпьютеромкомандыдляосуществленияэтапаиспользованияидентификаторамашинывслучае,когдапользователюмашинынеудаетсязарегистрироватьсядлядоступаквычислительномуресурсу.2021.Считываемыйкомпьютеромносительпоп.19,содержащийвыполняемыекомпьютеромкоманды,отличающийсятем,чтомобильныйвычислительныйблоксвязываетсясвычислительнымресурсомсиспользованием,поменьшеймере,однойбеспроводнойлиниисвязи.2122.Считываемыйкомпьютеромносительпоп.19,содержащийвыполняемыекомпьютеромкоманды,отличающийсятем,чтоинформацияавторизациивключаетвсебяключдляшифрованияпередачсмобильноговычислительногоблоканавходнойпорт.2223.Считываемыйкомпьютеромносительпоп.19,содержащийвыполняемыекомпьютеромкомандыдляосуществлениядополнительногоэтапасохраненияуникальногоидентификаторамашинынамобильномвычислительномблокедляпоследующегоиспользования.2324.Считываемыйкомпьютеромносительпоп.19,содержащийвыполняемыекомпьютеромкоманды,дляосуществлениядополнительногоэтапасохранениясертификатанамобильномвычислительномблоке.2425.Считываемыйкомпьютеромносительпоп.19,содержащийвыполняемыекомпьютеромкомандыдляосуществлениядополнительныхэтаповполученияконтроллеромдоменасертификатаотслужбысертификациииприемасертификатаотконтроллерадомена.2526.Считываемыйкомпьютеромносительпоп.25,содержащийвыполняемыекомпьютеромкоманды,отличающийсятем,чтоконтроллердоменаполучаетсертификатвответнапользовательскийзапрос,поступившийотпользователя,наиспользованиевычислительногоресурса.2627.Считываемыйкомпьютеромноситель,содержащийвыполняемыекомпьютеромкоманды,дляосуществленияэтаповспособапредоставленияпользователюпривилегированногодоступаквычислительномуресурсу,приэтомдоступквычислительномуресурсуявляетсяограниченным,причемспособсодержитэтапы,накоторыхзапрашиваютдоступквычислительномуресурсу,предоставляютпринятыйпоумолчаниюидентификаторпользователя,чтобыинициироватьпроцессрегистрациидляполученияограниченногодоступаквычислительномуресурсупринимаютпосредствомадминистраторапринятыйпоумолчаниюидентификаторпользователя,ивответпредоставляютинформациюдляполучениядоступаквычислительномуресурсуипередаютипринимаютданныенавычислительныйресурсиотнегодлязавершенияпроцессарегистрации.2728.Считываемыйкомпьютеромносительпоп.27,содержащийвыполняемыекомпьютеромкоманды,дляосуществленияэтапаполучениядоступаквычислительномуресурсу,приусловииуспешнойрегистрациинаконтроллередомена,причемконтроллердоменасоответствуетвычислительномуресурсу.2829.Считываемыйкомпьютеромносительпоп.27,содержащийвыполняемыекомпьютеромкоманды,дляосуществленияэтаповполученияконтроллеромдоменасертификатадляаутентификациипользователяиприемапользователемсертификатадляаутентификациипользователяотконтроллерадомена.2930.Считываемыйкомпьютеромносительпоп.27,содержащийвыполняемыекомпьютеромкоманды,отличающийсятем,чтопользовательосуществляетдоступквычислительномуресурсусиспользованием,поменьшеймере,однойбеспроводнойлиниисвязи.3031.Считываемыйкомпьютеромноситель,содержащийвыполняемыекомпьютеромкомандыдляосуществленияэтаповспособапредоставленияпользователюзащищенногодоступаквычислительномуресурсусвнешнегоустройства,причемспособсодержитэтапы,накоторыхпосылаютзапросдоступаквычислительномуресурсу,предоставляютидентификаторпользователя,причемидентификаторпользователясоответствуетзаявленнойидентичности,чтобыинициироватьрегистрациюдлядоступаквычислительномуресурсу,предоставляютвответназапроссертификатдляаутентификациизаявленнойидентичностидляполучениядоступаквычислительномуресурсуи3132.Считываемыйкомпьютеромносительпоп.31,содержащийвыполняемыекомпьютеромкоманды,отличающийсятем,чтоадресдляпередачииприемаданныхпредставляетсобойунифицированныйуказательресурса.3233.Считываемыйкомпьютеромносительпоп.32,содержащийвыполняемыекомпьютеромкоманды,дляосуществленияэтапаприемаключадляшифрованияпередачнавычислительныйресурс.3334.Считываемыйкомпьютеромносительпоп.33,содержащийвыполняемыекомпьютеромкоманды,дляосуществленияэтапаиспользованияключадлядешифрованияпередачотвычислительногоресурса.34
Источник поступления информации: Роспатент

Показаны записи 1-10 из 465.
10.01.2013
№216.012.1a40

Архитектура для онлайновых коллективных и объединенных взаимодействий

Изобретение относится к различным аспектам архитектуры онлайновых коллективных и объединенных взаимодействий. Технический результат изобретения заключается в обеспечении возможности кроссплатформенного взаимодействия между множеством вычислительных устройств. Данный технический результат...
Тип: Изобретение
Номер охранного документа: 0002472212
Дата охранного документа: 10.01.2013
10.01.2013
№216.012.1a42

Интеллектуальное редактирование реляционных моделей

Изобретение относится к средствам редактирования реляционных моделей. Технический результат заключается в упрощении процесса редактирования пользователем моделей. Принимают жест пользователя, указывающего редактирование, которое будет выполняться, по меньшей мере, для одного целевого объекта в...
Тип: Изобретение
Номер охранного документа: 0002472214
Дата охранного документа: 10.01.2013
20.01.2013
№216.012.1dc2

Создание и развертывание распределенных расширяемых приложений

Изобретение относится к средствам создания распределенного приложения. Технический результат заключается в улучшении расширяемости распределенного приложения. Выбирают службы из списка служб, доступных на удаленном кластере серверов, при этом каждая служба предоставляет различные функциональные...
Тип: Изобретение
Номер охранного документа: 0002473112
Дата охранного документа: 20.01.2013
20.01.2013
№216.012.1dc6

Использование устройства флэш-памяти для препятствования несанкционированному использованию программного обеспечения

Изобретение относится к области использования устройства флэш-памяти для препятствования несанкционированному использованию программного обеспечения. Техническим результатом является обеспечение препятствования несанкционированному использованию приложения программного обеспечения....
Тип: Изобретение
Номер охранного документа: 0002473116
Дата охранного документа: 20.01.2013
20.01.2013
№216.012.1dc8

Гибкое редактирование гетерогенных документов

Изобретение относится к способу, системе для гибкого редактирования гетерогенных документов. Техническим результатом является расширение функциональных возможностей обработки документов за счет организации единого рабочего пространства. Различные типы документов можно организовывать на...
Тип: Изобретение
Номер охранного документа: 0002473118
Дата охранного документа: 20.01.2013
20.01.2013
№216.012.1dcc

Доверительная среда для обнаружения вредоносных программ

Изобретение относится к области обнаружения вредоносных программ. Техническим результатом является повышение эффективности обнаружения вредоносных программ. В одной реализации доверительная среда, которая включает в себя доверительную операционную систему и доверительное антивирусное...
Тип: Изобретение
Номер охранного документа: 0002473122
Дата охранного документа: 20.01.2013
20.01.2013
№216.012.1dd1

Интеграция рекламы и расширяемые темы для операционных систем

Предложены компьютерная система и способ обеспечения интеграции рекламы с пользовательским интерфейсом. Устройство содержит компонент получения, компонент выбора и компонент конфигурации. Компонент получения получает рекламный контент, включающий в себя рекламу продукта или услуги, от...
Тип: Изобретение
Номер охранного документа: 0002473127
Дата охранного документа: 20.01.2013
20.02.2013
№216.012.284d

Перемещение сущностей, обладающих учетными записями, через границы безопасности без прерывания обслуживания

Изобретение относится к области управления сетью. Техническим результатом является повышение эффективности аутентификации принципалов в сетевой среде. Усовершенствованная сетевая архитектура использует суперуполномоченного, имеющего каталог идентификационной информации для направления задач...
Тип: Изобретение
Номер охранного документа: 0002475837
Дата охранного документа: 20.02.2013
20.02.2013
№216.012.284f

Криптографическое управление доступом к документам

Изобретение относится к криптографическому управлению доступом к документам. Технический результат заключается в повышении защиты документов от несанкционированного доступа с использованием криптографического шифрования. Устройство содержит блок обработки данных, состоящий из запрашивающего...
Тип: Изобретение
Номер охранного документа: 0002475839
Дата охранного документа: 20.02.2013
20.02.2013
№216.012.2850

Предоставление цифровых удостоверений

Изобретение относится к области защиты информации и может быть использовано для создания и предоставления цифровых удостоверений пользователю. Техническим результатом является улучшение точности и увеличение надежности систем предоставления данных цифровой идентификации. Способ содержит этапы...
Тип: Изобретение
Номер охранного документа: 0002475840
Дата охранного документа: 20.02.2013
Показаны записи 1-7 из 7.
10.12.2013
№216.012.8a3c

Протокол коммутации смеси мультимедийных данных для управления мультимедийными данными

Изобретение относится к области коммутации потоков мультимедийных данных и задания режима смешивания в узле управления многосторонней связью. Техническим результатом является обеспечение эффективного и гибкого протокола для коммутации потоков мультимедийных данных и задания режима смешивания в...
Тип: Изобретение
Номер охранного документа: 0002501070
Дата охранного документа: 10.12.2013
09.06.2018
№218.016.5f5f

Геотентификация на основе новой структуры сетевого пакета

Изобретение относится к области радиосвязи. Технический результат заключается в снижении и уменьшении атак по перехвату данных сети и атак типа «отказ в обслуживании». Система для защиты маршрутизации данных содержит сетевой узел-источник, сетевой узел-адресат, один сетевой узел-маршрутизатор,...
Тип: Изобретение
Номер охранного документа: 0002656832
Дата охранного документа: 06.06.2018
25.06.2018
№218.016.66ea

Организация системы управления в режиме реального времени

Группа изобретений относится к способу отслеживания поведения и обнаружения аномалий встроенных систем управления, компьютерной системе и обрабатывающему устройству. Для отслеживания и обнаружения аномалий создают поведенческую обучающую последовательность определенным образом, отслеживают...
Тип: Изобретение
Номер охранного документа: 0002658392
Дата охранного документа: 21.06.2018
20.03.2019
№219.016.e625

Архитектура и система для обеспечения информированности о местоположении

Изобретение относится к компьютерным системам, в частности к обеспечению информированности о местоположении компьютерных систем и компьютерных устройств. Техническим результатом является обеспечение информации о местоположении для обеспечения возможности работать с услугой различным типам...
Тип: Изобретение
Номер охранного документа: 0002358282
Дата охранного документа: 10.06.2009
02.05.2019
№219.017.48b6

Беспроводная датчиковая система и способ ее использования

Группа изобретений относится к устройству для отслеживания параметров текучей среды, топливной датчиковой системе воздушного судна, датчиковой системе для отслеживания параметров текучей среды, двум способам генерирования датчиковых данных. Устройство для отслеживания параметров содержит группу...
Тип: Изобретение
Номер охранного документа: 0002686805
Дата охранного документа: 30.04.2019
31.05.2020
№220.018.22f0

Система и способ контекстно-зависимой фильтрации в сети

Изобретение относится к способу и системе автоматической фильтрации сетевых сообщений в авиационной сети летательного аппарата на основании текущего системного контекста. Технический результат заключается в обеспечении фильтрации сетевых сообщений. В способе принимают сетевое сообщение,...
Тип: Изобретение
Номер охранного документа: 0002722366
Дата охранного документа: 29.05.2020
12.04.2023
№223.018.4841

Применение автоматизации завода к узлу самолета и способу его сборки

Изобретение относится к сборке самолетов. Способ автоматизации на уровне гибкой производственной ячейки и завода включает в себя выполнение одного или более измерений расстояний до одного или более объектов в пределах гибкой производственной ячейки с использованием по меньшей мере одного...
Тип: Изобретение
Номер охранного документа: 0002729914
Дата охранного документа: 13.08.2020
+ добавить свой РИД