RU2533061C1 - System for controlling access to created encrypted files - Google Patents
System for controlling access to created encrypted files Download PDFInfo
- Publication number
- RU2533061C1 RU2533061C1 RU2013129406/08A RU2013129406A RU2533061C1 RU 2533061 C1 RU2533061 C1 RU 2533061C1 RU 2013129406/08 A RU2013129406/08 A RU 2013129406/08A RU 2013129406 A RU2013129406 A RU 2013129406A RU 2533061 C1 RU2533061 C1 RU 2533061C1
- Authority
- RU
- Russia
- Prior art keywords
- access
- input
- output
- file
- block
- Prior art date
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
Description
Изобретение относится к области вычислительной техники, а именно к области защиты от несанкционированного доступа (НСД) к информации, создаваемой и хранимой в компьютерных системах (КС).The invention relates to the field of computer technology, and in particular to the field of protection against unauthorized access (unauthorized access) to information created and stored in computer systems (CS).
Одной из ключевых задач защиты информации, обрабатываемой в КС, является шифрование/расшифрование создаваемых пользователями в процессе работы КС файлов, предназначенных для хранения обрабатываемой в КС информации, соответственно реализация контроля доступа (разграничительной политики доступа) к шифруемым создаваемым файлам.One of the key tasks of protecting information processed in the CS is the encryption / decryption of files created by users during the operation of the CS that are designed to store information processed in the CS, respectively, the implementation of access control (delimiting access policy) to encrypted files being created.
Анализ литературных источников позволяет отметить следующее. Несмотря на то что наиболее актуальной современной задачей защиты обрабатываемой в КС информации является реализация шифрования/расшифрования файлов, создаваемых определенными субъектами доступа (именно субъектом, с учетом его роли и допуска к категорированной информации, определяется критичность обрабатываемой им информации), на практике политика шифрования, соответственно разграничительная политика реализуются через объект (диск или папка). Т.е. первичным при назначении разграничений прав шифрования и прав доступа к шифруемым файлам в известных методах контроля доступа является объект, к нему назначаются и разграничиваются права доступа субъектов, в том числе и по автоматическому шифрованию создаваемых в этих объектах файлов. При этом в известных методах реализация контроля доступа к статичным и к создаваемым файловым объектам не различается. В любом случае реализуется контроль доступа к статичным (созданным до момента администрирования системы - назначения прав доступа к объектам субъектов) объектам, посредством назначения атрибутов объекту (прав доступа субъектов к объекту, включая и атрибуты шифрования, например, в файловых системах NTFS и EFS (шифрующая файловая система), являющейся надстройкой над NTFS). Т.о. для хранения шифруемой информации создается соответствующий контейнер (диск или папка), которому устанавливаются соответствующие атрибуты шифрования. Все создаваемые пользователями, сохраняемые в подобном контейнере файлы автоматически "прозрачно" для пользователя зашифровываются при записи и расшифровываются при чтении.Analysis of literary sources allows us to note the following. Despite the fact that the most urgent modern task of protecting the information processed in the CS is the implementation of encryption / decryption of files created by certain access subjects (the subject determines the criticality of the information processed by him, taking into account his role and access to categorized information), in practice, the encryption policy accordingly, the delineation policy is implemented through the object (disk or folder). Those. When assigning differentiation of encryption rights and access rights to encrypted files in the known access control methods, the object is primary; the access rights of subjects are assigned and delimited to it, including automatic encryption of files created in these objects. Moreover, in known methods, the implementation of access control to static and to created file objects does not differ. In any case, access control is implemented for static (created prior to the system administration - assignment of access rights to subjects' objects) objects by assigning attributes to an object (access rights of subjects to an object, including encryption attributes, for example, in NTFS and EFS file systems (encryption file system), which is an add-on for NTFS). T.O. To store encrypted information, an appropriate container (disk or folder) is created, to which the corresponding encryption attributes are set. All files created by users that are stored in such a container are automatically "transparently" encrypted for the user during writing and decrypted during reading.
Такой подход подразумевает дополнительное создание администратором включающего объекта (с назначением прав доступа к нему субъектов) для каждого субъекта (группы равноправных субъектов) доступа, что само по себе является сложной задачей администрирования. Задача администрирования многократно усложняется в случае, если в качестве субъекта доступа должна выступать не только учетная запись, но и непосредственно процесс (приложение), что, например, важно при реализации шифрованной обработки данных, создаваемых в рамках какой-либо информационной системы (в частном случае, приложением).This approach implies the additional creation by the administrator of an inclusive object (with the assignment of access rights to subjects for it) for each subject (group of equal subjects) of access, which in itself is a complex administrative task. The administration task is complicated many times if the subject of access should be not only an account, but also a process (application) itself, which, for example, is important when implementing encrypted processing of data created within an information system (in a particular case application).
Вторая проблема состоит в том, что в современных условиях именно интерактивный пользователь рассматривается в качестве потенциального злоумышленника, что выдвигает важнейшее требование к реализации принудительного для пользователя шифрования создаваемых им в современных КС файлов. Все файлы, создаваемые определенными пользователями, в обязательном порядке должны шифроваться при сохранении в КС или на внешних накопителях. Это многократно усложняет реализацию разграничительной политики доступа (администрирование средства защиты) и не гарантирует того, что вся информация, сохраняемая в КС, будет зашифрована. В том числе это связано с наличием в современных ОС и приложений не разделяемых между пользователями папок (объектов коллективного доступа). Например, это папки, предназначенные для хранения временных файлов. К таким папкам невозможно разграничить доступ между пользователями, как следствие, присутствует "канал" утечки критически важной информации.The second problem is that in modern conditions it is the interactive user that is considered as a potential attacker, which puts forward the most important requirement for the implementation of the encryption forced for the user to create files in modern CS. All files created by certain users must be encrypted when stored in the CS or on external drives. This many times complicates the implementation of a differentiating access policy (administration of a security tool) and does not guarantee that all information stored in the CS will be encrypted. This is also due to the presence of folders (shared access objects) in modern OS and applications that are not shared between users. For example, these are folders for storing temporary files. It is impossible to differentiate access to such folders between users, as a result, there is a “channel” for leakage of critical information.
В настоящее время известны различные системы контроля доступа к шифруемым создаваемым файлам. Создание защищенного (виртуального) диска, например, реализуется в таких системах, как Secret Disk 4 (www.aladdin-rd.ru), ViPNet SafeDisk (http://www.infotecs.ru) и др. Защищенный диск может создаваться для индивидуального или для коллективного доступа (в этом случае используется единый ключ шифрования). Владелец диска назначает права доступа к диску пользователям. Все содержимое виртуального диска хранится в одном файле-контейнере в зашифрованном виде. Подключенный виртуальный диск операционная система воспринимает как обычный диск. Для каждого пользователя должен создаваться свой виртуальный диск.Currently, various access control systems for encrypted generated files are known. Creating a protected (virtual) disk, for example, is implemented in systems such as Secret Disk 4 (www.aladdin-rd.ru), ViPNet SafeDisk (http://www.infotecs.ru), etc. A protected disk can be created for an individual or for collective access (in this case, a single encryption key is used). The owner of the disk assigns access rights to the disk to users. All contents of a virtual disk are stored in a single container file in encrypted form. The operating system perceives the connected virtual disk as a regular disk. For each user, a virtual disk must be created.
Шифрование папок (автоматическое шифрование файлов, располагаемых в папке), например, реализуется в таких системах, как Folder Lock 6.2.1 (http://www.newsoftwares.net). Encrypted Magic Folders, PC-Magic Software (http://www.pc-magic.com) и др.Folder encryption (automatic encryption of files located in a folder), for example, is implemented in systems such as Folder Lock 6.2.1 (http://www.newsoftwares.net). Encrypted Magic Folders, PC-Magic Software (http://www.pc-magic.com), etc.
Наиболее близкой по техническому решению и выбранной авторами за прототип является система контроля доступа к файлам, реализуемая в ОС Microsoft Windows с файловой системой NTFS и шифрующей файловой системой EFS, использующих для хранения прав доступа к файлам атрибутов файлов, в том числе атрибутов шифрования [М. Руссинович, Д. Соломон. Внутреннее устройство Microsoft Windows. - СПб.: Питер, 2005 - 992 с. (глава 8, рис.8-5. Пример проверки прав доступа; глава 12, рис.12-60. Схема работы EFS)]. Применительно к защите создаваемых в КС файлов используются атрибуты, устанавливаемые на папки, в том числе и атрибут автоматического шифрования/расшифрования создаваемых в папке файлов.Closest to the technical solution and chosen by the authors for the prototype is a file access control system implemented in Microsoft Windows with the NTFS file system and the EFS encryption file system, which use file attributes, including encryption attributes, to store access rights to files [M. Russinovich, D. Solomon. Microsoft Windows internal device. - St. Petersburg: Peter, 2005 - 992 p. (
Система контроля доступа к шифруемым создаваемым файлам представлена на Фиг.1. Система содержит блок контроля доступа 1, блок контроля шифрования/расшифрования 2, блок хранения атрибутов файлов 3, причем первый вход блока контроля доступа 1 соединен с первым входом блока контроля шифрования/расшифрования 2, с первым входом системы 4, второй вход блока контроля доступа 1 - с первым выходом блока хранения атрибутов файлов 3, первый выход - с первым выходом блока хранения атрибутов файлов 3, второй выход - с первым выходом системы 5, первый выход блока контроля шифрования/расшифрования 2 - со вторым входом блока хранения атрибутов файлов 3, второй вход - со вторым выходом блока хранения атрибутов файлов 3, второй выход - со вторым выходом системы 6, третий вход блока хранения атрибутов файлов 3 соединен со вторым входом системы 7.The access control system for encrypted generated files is presented in FIG. The system comprises an
Работает система следующим образом. Администратором или «Владельцем» файлового объекта со второго входа системы 7 (со входа задания атрибутов доступа к файлам) в блок хранения атрибутов файлов 3 устанавливаются атрибуты (права) доступа к файлам (к объектам) субъектов, в которых для каждого файла указывается, какие субъекты имеют право доступа и какие им разрешены права доступа к файлу (чтение, запись, исполнение, переименование, удаление и т.д.). Для создаваемых файлов эти атрибуты задаются для папок, реализуется наследование разграничений к файлам от папки. Кроме того, со входа 7 для папок, предназначенных для сохранения в них шифруемых файлов, задаются атрибуты шифрования. При запросе доступа, содержащего в своем составе имя субъекта (имя пользователя (учетной записи) и имя процесса, запрашивающих доступ, а также запрашиваемые права доступа - чтение, запись и т.д.), к файлу, запрос доступа с первого входа системы 4 (со входа запроса доступа к файлу) поступает в блоки 1 и 2. Для обработки запроса доступа блок 1 с первого выхода запрашивает у блока хранения атрибутов файлов 3 атрибуты файла, к которому запрошен доступ, получает их на второй вход и сравнивает запрошенные права доступа к файлу с разрешенными правами доступа к файлу, указанными в атрибутах файла. В результате сравнения решающий блок выдает на первый выход системы 5 (на управляющий выход контроля доступа) управляющий сигнал, разрешающий (если запрос не противоречит разрешениям) или отклоняющий запрошенный у системы с первого входа системы 4 доступ. Блоком 2 с первого выхода запрашивается у блока хранения атрибутов файлов 3 атрибуты шифрования файла, к которому запрошен доступ (наследуются от папки). Блок 2 получает их на второй вход и анализирует необходимость автоматического шифрования или расшифрования файла, к которому запрошен доступ. В результате данного анализа блоком 2 вырабатывается управляющий сигнал на второй выход системы 6, указывающий на то, необходимо ли автоматически шифровать или расшифровывать (в зависимости от запроса создание/запись или чтение) файл, к которому запрошен доступ.The system works as follows. The administrator or the “Owner” of the file object from the second input of the system 7 (from the input of the file access attributes setting) to the file
Недостатком прототипа является то, что он позволяет реализовать разграничительную политику доступа, в том числе и политику шифрования создаваемых файлов, исключительно к статичным объектам (к объектам, созданным администратором до назначения прав доступа, - к папкам), к создаваемым же в них файлам лишь опосредованно, через статичные объекты - папки. Вся разграничительная политика реализуется для двух равноправных сущностей - субъекта и объекта доступа, устанавливаются права доступа, включая шифрование, к объектам субъектов. В общем случае это требует создания множества папок-контейнеров (для каждого пользователя своей папки на жестком диске, внешних накопителей, разделенных в сети и т.д.) с разграничением к ним прав доступа. Это обусловливается тем, что опять же невозможна реализация корректной принудительной политики контроля доступа, т.к. не все папки могут быть разделены между пользователями (в КС существуют папки, не разделяемые между пользователями ОС и приложениями). В качестве субъекта доступа выступает сущность «пользователь», в то время как на практике актуальными являются задачи шифрования информации, обрабатываемой в рамках информационной системы (т.е. приложениями). Все это ограничивает функциональные возможности системы контроля доступа к шифруемым файлам и существенно усложняет ее администрирование.The disadvantage of the prototype is that it allows you to implement a delimiting access policy, including the encryption policy of created files, exclusively to static objects (to objects created by the administrator before assigning access rights to folders), to files created in them only indirectly , through static objects - folders. The entire demarcation policy is implemented for two equal entities - the subject and the access object; access rights, including encryption, to the objects of the subjects are established. In the general case, this requires the creation of many container folders (for each user of his own folder on the hard disk, external drives shared on the network, etc.) with the differentiation of access rights to them. This is due to the fact that, again, it is impossible to implement the correct forced access control policy, because not all folders can be divided between users (in the CS there are folders that are not shared between OS users and applications). The entity “user” acts as the subject of access, while in practice the tasks of encrypting information processed within the information system (ie, applications) are relevant. All this limits the functionality of the access control system for encrypted files and significantly complicates its administration.
В предлагаемом изобретении решаются задачи расширения функциональных возможностей контроля доступа к шифруемым создаваемым файлам и упрощения задачи администрирования системы контроля доступа.The present invention solves the problem of expanding the functionality of access control to encrypted generated files and simplifying the task of administering an access control system.
Для достижения технического результата в систему контроля доступа к шифруемым создаваемым файлам, содержащую блок контроля доступа, блок контроля шифрования/расшифрования, блок хранения атрибутов файлов, причем первый вход блока контроля доступа соединен с первым входом блока контроля шифрования/расшифрования, с первым входом системы, выход блока контроля доступа - с первым выходом системы, выход блока контроля шифрования/расшифрования - со вторым выходом системы, дополнительно введены блок хранения правил доступа к создаваемым шифруемым файлам, блок автоматической разметки создаваемых шифруемых файлов, блок выбора и анализа правил доступа, причем первый вход блока автоматической разметки создаваемых шифруемых файлов соединен с первым входом блока контроля доступа, второй вход - с первым выходом блока выбора и анализа правил доступа, третий вход - с выходом блока хранения атрибутов файлов, первый выход - с первым входом блока хранения атрибутов файлов, второй выход - со вторым входом блока хранения атрибутов файлов, третий выход - с первым входом блока выбора и анализа правил доступа, второй вход которого - с выходом блока хранения правил доступа к создаваемым шифруемым файлам, второй выход - со вторым входом блока контроля шифрования/расшифрования, третий выход - со вторым входом блока контроля доступа, вход блока хранения правил доступа к создаваемым шифруемым файлам - со вторым входом системы.To achieve a technical result, an access control system for encrypted generated files, comprising an access control unit, an encryption / decryption control unit, a file attribute storage unit, the first input of the access control unit being connected to the first input of the encryption / decryption control unit, with the first input of the system, access control unit output - with the first system output, encryption / decryption control unit output - with the second system output, an additional block for storing access rules to the created cipher has been introduced to my files, the block for automatically marking up the encrypted files being created, the block for selecting and analyzing access rules, the first input of the block for automatically marking up the encrypting files being created is connected to the first input of the access control block, the second input is for the first output of the block for selecting and analyzing access rules, the third with the output of the file attribute storage unit, the first output with the first input of the file attribute storage unit, the second output with the second input of the file attribute storage unit, the third output with the first input of the selection and analysis unit access rule, the second input of which is with the output of the access control block for the encrypted files being created, the second output is with the second input of the encryption / decryption control unit, the third output is with the second input of the access control unit, the input of the access rule storage block for encrypted files is with the second input of the system.
Новым в предлагаемом изобретении является снабжение системы контроля доступа к шифруемым создаваемым файлам блоком хранения правил доступа к создаваемым шифруемым файлам, блоком автоматической разметки создаваемых шифруемых файлов, блоком выбора и анализа правил доступа и их связей.New in the present invention is the provision of an access control system for encrypted generated files with a storage unit for access rules for created encrypted files, an automatic marking unit for created encrypted files, a selection and analysis unit for access rules and their relationships.
В результате проведенного заявителем анализа уровня техники, включая поиск по патентным и научно-техническим источникам информации и выявление источников, содержащих сведения об аналогах заявленного технического решения, не было обнаружено источника, характеризующегося признаками, тождественными всем существенным признакам заявленного технического решения. Определение из перечня выявленных аналогов прототипа как наиболее близкого по совокупности признаков аналога позволило установить совокупность существенных по отношению к усматриваемому заявителем техническому результату отличительных признаков заявленной системы контроля доступа к шифруемым создаваемым файлам. Следовательно, заявленное техническое решение соответствует критерию «новизна».As a result of the analysis of the prior art by the applicant, including a search by patent and scientific and technical sources of information and identification of sources containing information about analogues of the claimed technical solution, no source was found characterized by features identical to all the essential features of the claimed technical solution. The determination from the list of identified analogues of the prototype as the closest analogue in terms of the totality of features made it possible to establish a set of essential distinguishing features of the claimed access control system for encrypted generated files with respect to the technical result perceived by the applicant. Therefore, the claimed technical solution meets the criterion of "novelty."
Проведенный заявителем дополнительный поиск не выявил известные решения, содержащие признаки, совпадающие с отличительными от прототипа признаками заявленной системы контроля доступа к шифруемым создаваемым файлам. Заявленное техническое решение не вытекает для специалиста явным образом из известного уровня техники и не основано на изменении количественных признаков. Следовательно, заявленное техническое решение соответствует критерию «изобретательский уровень».An additional search carried out by the applicant did not reveal known solutions containing features that match the distinctive features of the claimed system for controlling access to encrypted generated files. The claimed technical solution does not follow for the specialist explicitly from the prior art and is not based on a change in quantitative characteristics. Therefore, the claimed technical solution meets the criterion of "inventive step".
Совокупность существенных признаков в предлагаемом изобретении позволила обеспечить расширение функциональных возможностей контроля доступа к шифруемым создаваемым файлам, а также упростить задачу администрирования системы контроля доступа.The combination of essential features in the present invention allowed to expand the functionality of access control to encrypted generated files, as well as to simplify the task of administering an access control system.
В результате можно сделать вывод о том, чтоAs a result, we can conclude that
- предлагаемое техническое решение обладает изобретательским уровнем, т.к. оно явным образом не следует из уровня техники;- the proposed technical solution has an inventive step, because it does not explicitly follow from the prior art;
- изобретение является новым, так как из уровня техники по доступным источникам информации не выявлено аналогов с подобной совокупностью признаков;- the invention is new, since the prior art on available sources of information did not reveal analogues with a similar set of features;
- изобретение является промышленно применимым, так как может быть использовано во всех областях, где требуется реализация контроля доступа к шифруемым создаваемым файлам.- the invention is industrially applicable, as it can be used in all areas where implementation of access control to encrypted generated files is required.
Предлагаемое изобретение поясняется чертежом, представленным на Фиг.2.The invention is illustrated by the drawing shown in Fig.2.
Заявляемая система контроля доступа к шифруемым создаваемым файлам содержит: блок контроля доступа 1, блок контроля шифрования/расшифрования 2, блок автоматической разметки создаваемых шифруемых файлов 3, блок хранения правил доступа к создаваемым шифруемым файлам 4, блок хранения атрибутов файлов 5, блок выбора и анализа правил доступа 6, причем первый вход блока контроля доступа 1 соединен с первым входом блока контроля шифрования/расшифрования 2, с первым входом блока автоматической разметки создаваемых шифруемых файлов 3, с первым входом системы 7, выход блока контроля доступа 1 - с первым выходом системы 8, выход блока контроля шифрования/расшифрования 2 - со вторым выходом системы 9, второй вход блока автоматической разметки создаваемых шифруемых файлов 3 - с первым выходом блока выбора и анализа правил доступа 6, третий вход - с выходом блока хранения атрибутов файлов 5, первый выход - с первым входом блока хранения атрибутов файлов 5, второй выход - со вторым входом блока хранения атрибутов файлов 5, третий выход - с первым входом блока выбора и анализа правил доступа 6, второй вход которого - с выходом блока хранения правил доступа к создаваемым шифруемым файлам 4, второй выход - со вторым входом блока контроля шифрования/расшифрования 2, третий выход - со вторым входом блока контроля доступа 1, вход блока хранения правил доступа к создаваемым шифруемым файлам 4 - со вторым входом системы 10.The inventive access control system for encrypted generated files contains: access control unit 1, encryption / decryption control unit 2, automatic markup unit for created encrypted files 3, storage block for access rules for created encrypted files 4, file attribute storage unit 5, selection and analysis unit access rules 6, and the first input of the access control unit 1 is connected to the first input of the encryption / decryption control unit 2, with the first input of the block for automatic marking of the created encrypted files 3, with the first input m of system 7, the output of the access control unit 1 - with the first output of the system 8, the output of the encryption / decryption control unit 2 - with the second output of the system 9, the second input of the block for automatically marking the created encrypted files 3 - with the first output of the block for selecting and analyzing access rules 6 , the third input - with the output of the file attribute storage unit 5, the first output - with the first input of the file attribute storage unit 5, the second output - with the second input of the file attribute storage unit 5, the third output - with the first input of the access rule selection and analysis unit 6, second input One of which - with the output of the block for storing access rules for the created encrypted files 4, the second output - with the second input of the block for encryption / decryption 2, the third output - with the second input of the block for access control 1, the input of the block for storing rules for access to the created encrypted files 4 - with the second input of the system 10.
Рассмотрим работу системы контроля доступа к шифруемым создаваемым файлам на различных примерахLet's consider the operation of the access control system for encrypted generated files using various examples
Пример 1. Права доступа к шифруемым создаваемым файлам реализуются для субъекта доступа «пользователь».Example 1. Access rights to encrypted generated files are implemented for the user access subject.
Со входа 10 администратором в блок 4 задаются правила доступа к шифруемым создаваемым файлам. Доступ к шифруемым создаваемым файлам может быть индивидуальным для пользователя или коллективным. Индивидуальный доступ предполагает, что к создаваемым пользователем шифруемым файлам имеет право доступа только этот пользователь. При этом для каждого пользователя в системе шифрования (в которую выдается управляющий сигнал с выхода 9 системы) создается свой ключ шифрования/расшифрования файлов. Задание прав доступа в данном случае в блоке 4 сводится к перечислению учетных записей, которыми создаваемые файлы будут автоматически шифроваться (расшифровываться впоследствии при обращении на чтение), например, User 1, User 2.From the
Запрос доступа со входа 7 (содержащий имя пользователя и полнопутевое имя исполняемого файла процесса, запросивших доступ, а также запрашиваемый тип доступа - запись/чтение и т.д.) поступает в блоки 1, 2, 3.Access request from input 7 (containing the user name and full path name of the executable file of the process that requested access, as well as the requested access type - write / read, etc.) is received in
Назначение блока 3 - это автоматическая разметка вновь создаваемых файлов (либо автоматическая разметка неразмеченных ранее модифицируемых файлов), а также наличие разметки у файла при повторном к нему обращении. В качестве разметки файла используется учетная информация субъекта доступа (в общем случае, пользователь, процесс, может быть метка безопасности, в данном примере - учетная запись пользователя (корректно идентифицируется SID пользователя). Блок 3 на основании запроса доступа, поступившего со входа 7, с первого выхода запрашивает у блока 5 атрибуты - разметку файла, к которому запрошен доступ (если файл создается вновь, атрибуты файла блоком 3 у блока 5 не запрашиваются), и получает их на третий вход. В результате, применительно к рассматриваемому примеру, блок 3 имеет учетную информацию - SID пользователя, создавшего файл, к которому происходит обращение (либо информацию об отсутствии разметки у файла - вновь создается, либо ранее не размечен) и учетную информацию информацию - SID пользователя, обращающегося к этому файлу. Данная информация блоком 3 передается в блок 6 с запросом выбора последним из блока 4 подходящего правила, и проведения его анализа.The purpose of
Выбор правила необходим ввиду того, что субъекты доступа в общем случае (увидим в последующих примерах) могут задаваться как точными указателями, так и масками (причем один запрос доступа в общем случае может покрываться несколькими правилами, из которых нужно выбрать одно, наиболее точно подходящее обрабатываемому запросу - по более точному описателю субъектов), анализ же необходим ввиду того, что данным блоком должна быть выдана соответствующая (различная) информация в блоки 1, 2, 3, для принятия ими соответствующих действий.The choice of the rule is necessary because access subjects in the general case (we will see in the following examples) can be specified by both exact pointers and masks (moreover, one access request in the general case can be covered by several rules, from which you need to choose the one that is most suitable for the process request - according to a more accurate description of the subjects), the analysis is necessary in view of the fact that this block must give the corresponding (different) information to
В блок 3 блоком 6 выдается информация о необходимости записи атрибутов (учетной информации пользователя, запросившего доступ) для файла, запрос доступа к которому анализируется. Запись атрибутов должна производиться в случае создания пользователем, которым создаваемые файлы шифруются исходя из заданных в блоке 4 правил (в нашем примере это файлы, создаваемые User 1 или User 2) при создании им нового файла либо при модификации им не размеченного ранее созданного файла (например, созданного пользователем User 3). На основании этого блоком 3 с первого выхода запрашивается запись атрибутов для соответствующего файла в блок 5, со второго выхода производится запись атрибутов (в данном примере учетная информация пользователя) для соответствующего файла.In
В блок 1 блоком 6 выдается информация о разрешении/запрете запрошенного у системы со входа 7 доступа. Для рассматриваемого примера доступ должен запрещаться в случае, если любой пользователь, кроме пользователя User 1, обращается к файлам, созданным User 1, соответственно любой пользователь, кроме пользователя User 2, обращается к файлам, созданным User 2. На основании данной информации блоком 1 вырабатывается сигнал на выход 8, разрешающий/запрещающий запрошенный доступ.In
В блок 2 блоком 6 выдается информация о необходимости шифрования/расшифрования файла, к которому у системы со входа 7 запрошен доступ. Для рассматриваемого примера файл должен шифроваться/расшифровываться в случае, если запрос доступа осуществляется пользователем User 1 или User 2. На основании данной информации блоком 2 вырабатывается сигнал на выход 9, указывающий на то, необходимо ли автоматически шифровать или расшифровывать (в зависимости от запроса создание/запись или чтение) файл, к которому запрошен доступ.In
В правилах также может быть предусмотрен коллективный доступ пользователей к создаваемым файлам. Рассмотрим пример. Пусть опять же пользователи User 1, User 2 имеют индивидуальный доступ к создаваемым ими файлам, а пользователи User 3, User 4, User 5, User 6 - коллективный доступ к создаваемым этими пользователями файлам (естественно, что в системе шифрования для всех этих пользователей (пользователей одной группы шифрования) должен быть задан одинаковый ключ шифрования/расшифрования файлов). При этом пусть в блоке 4 заданы следующие правила коллективного доступа к шифруемым создаваемым файлам: User 3 имеет право записи/чтения к файлам, созданным User 3, User 4 имеет право записи/чтения к файлам, созданным User 4, User 5 имеет право записи/чтения к файлам, созданным User 5, User 6 имеет право записи/чтения к файлам, созданным User 6, User 5 имеет право записи/чтения к файлам, созданным User 4, User 6 имеет право чтения к файлам, созданным User 3, User 4. Как видим, в данном случае появляется задача разграничения доступа среди пользователей одной группы шифрования - к коллективно используемым шифруемым создаваемым файлам).The rules may also provide for collective access of users to the created files. Consider an example. Suppose again that
Система работает аналогично тому, как это было рассмотрено в предыдущем случае. Отличие состоит в следующем. В блоке 4 со входа 10 размещаются правила, учитывающие и разграничение доступа к коллективно используемым создаваемым шифруемым файлам (для каждой группы шифрования).The system works in the same way as it was considered in the previous case. The difference is as follows. In
В отношении индивидуально используемых файлов и групп шифрования (в качестве индивидуума здесь уже выступает группа) анализ запроса осуществляется, как это было описано выше. Разграничения доступа внутри группы осуществляются следующим образом. Рассмотрим на примерах. Пусть User 6 запросил чтение файла, созданного (что следует при чтении блоком 3 его атрибутов из блока 5) пользователем User 3. На основании анализа выбранного блоком 6 из блока 4 правила (а будет выбрано правило, указывающее на то, что User 6 имеет право чтения к файлам, созданным User 3, User 4, User 6) данный доступ с выхода 8 будет разрешен, с выхода 9 будет выдан сигнал на расшифрование файла при его чтении. Разметка хранящегося файла не изменится. Пусть User 6 запросил чтение файла, созданного (что следует при чтении блоком 3 его атрибутов из блока 5) пользователем User 5. На основании анализа выбранного блоком 6 из блока 4 правила (а будет выбрано правило, указывающее на то, что User 6 имеет право чтения к файлам, созданным User 3, User 4, User 6) данный доступ с выхода 8 будет отклонен. Пусть User 5 запросил запись/модификацию файла, созданного (что следует при чтении блоком 3 его атрибутов из блока 5) пользователем User 4. На основании анализа выбранного блоком 6 из блока 4 правила (а будет выбрано правило, указывающее на то, что User 5 имеет право записи/модификации файлов, созданных User 4, User 5) данный доступ с выхода 8 будет разрешен, с выхода 9 будет выдан сигнал на шифрование файла при его записи. Очень важным является то, что в данном случае разметка хранящегося файла не изменится (поскольку файл изначально был создан пользователем User 4 и он был размечен).In relation to individually used files and encryption groups (a group already acts as an individual here), the request is analyzed as described above. Access control within a group is as follows. Let's look at examples. Let
Рассмотрим преимущества предложенного решения.Consider the advantages of the proposed solution.
1. Кардинально упрощается задача администрирования системы контроля доступа к шифруемым создаваемым файлам. Не требуется создания каких-либо виртуальных дисков или папок-контейнеров с разграничением к ним доступа. Достаточно задать в блоке 4 простейшие правила доступа к создаваемым шифруемым файлам.1. The task of administering an access control system for encrypted generated files is radically simplified. It is not required to create any virtual disks or container folders with differentiated access to them. It is enough to set in
2. Полностью реализуется принудительное управление доступом к создаваемым шифруемым файлам. Все файлы, которые будут создаваться вне зависимости от места их записи на жестком диске, внешних файловых накопителях, в разделенных в сети файловых объектах пользователями, которыми создаваемые файлы шифруются по заданным в блоке 4 правилам контроля доступа, будут в обязательном порядке зашифровываться. При этом владелец создаваемого файла полностью исключен из схемы администрирования. Возможность корректной реализации принудительного управления доступом к создаваемым шифруемым файлам обусловливается и тем, что не требуется каким-либо образом шифровать неразделяемые системой и приложениями папки между пользователями (в известных решениях это невозможно, поскольку к подобным папкам необходимо разрешить доступ всем интерактивным пользователям, т.е. ключ шифрования для папки должен быть для них единым), т.к. шифруются непосредственно файлы, создаваемые пользователями в таких папках.2. Fully implemented forced access control to create encrypted files. All files that will be created regardless of where they are recorded on the hard drive, external file drives, in file objects shared on the network by users who encrypt the created files according to the access control rules specified in
Пример 2. Права доступа к шифруемым создаваемым файлам реализуются для субъекта «пользователь» с учетом меток безопасности (мандатов) пользователей, назначаемых им на основании категорирования обрабатываемой пользователями информации в соответствии с уровнями ее конфиденциальности.Example 2. Access rights to encrypted generated files are exercised for the “user” subject, taking into account the security labels (mandates) of users assigned to them based on the categorization of the information processed by users in accordance with its confidentiality levels.
Под мандатным контролем доступа в общем случае понимается способ обработки запросов доступа к файловым объектам, основанный на формальном сравнении, в соответствии с заданными правилами, меток безопасности (мандатов), назначаемых субъектам и объектам доступа (в общем случае группам субъектов и объектов). Метки безопасности, как правило, являются элементами линейно упорядоченного множества М={M1,…,Mk} и служат для формализованного представления каких-либо свойств субъектов и объектов.Mandatory access control in the general case is understood as a method of processing requests for access to file objects based on a formal comparison, in accordance with specified rules, of security labels (credentials) assigned to subjects and access objects (in general, groups of subjects and objects). Security labels, as a rule, are elements of a linearly ordered set M = {M1, ..., Mk} and serve to formalize any properties of subjects and objects.
Разграничение доступа реализуется на основе задаваемых правил, определяющих отношение линейного порядка на множестве М, где для любой пары элементов из множества М, задается один из типов отношения: больше, меньше, равно (на практике реализуется выбор подмножества М, изоморфного конечному подмножеству натуральных чисел - такой выбор делает естественным арифметическое сравнение меток безопасности). Правила сравнения меток также назначаются из каких-либо свойств субъектов и объектов применительно к решаемой задаче защиты информации.Access control is implemented based on the rules that define the linear order relation on the set M, where for any pair of elements from the set M, one of the types of relations is set: more, less, equal (in practice, the choice is made of a subset of M isomorphic to a finite subset of natural numbers - such a choice makes arithmetic comparison of security labels natural). Rules for comparing labels are also assigned from any properties of subjects and objects as applied to the task of protecting information.
Наиболее широкое практическое использование мандатного метода нашло применение практики секретного делопроизводства в компьютерной обработке информации. Основу реализации обработки категорированной информации составляет классификация информации по уровням конфиденциальности. Метки безопасности объектов отражают категорию конфиденциальности информации, которая может быть сохранена в соответствующих объектах. Метки безопасности субъектов отображают полномочия (по аналогии с формой допуска) субъектов, в части допуска к информации различных уровней конфиденциальности.The widest practical use of the credential method has been found to be the practice of secret paperwork in computer information processing. The basis for the implementation of the processing of categorized information is the classification of information by level of confidentiality. Object security labels reflect the confidentiality category of information that can be stored in the respective objects. The security labels of the subjects reflect the powers (by analogy with the admission form) of the subjects, in terms of access to information of various privacy levels.
Будем считать, что чем выше полномочия субъекта и уровень конфиденциальности объекта, тем меньше их порядковый номер в линейно полномочно упорядоченных множествах субъектов и объектов - С={С1,…,Ск} и О={O1,…,Ok}), тем меньшее значение метки безопасности Mi, i=1,…,k им присваивается, т.е.: M1 меньше М2 меньше М3 меньше … меньше Mk.We assume that the higher the subject’s authority and the level of confidentiality of the object, the lower their sequence number in the linearly authorized sets of subjects and objects - C = {C1, ..., Ck} and O = {O1, ..., Ok}), the smaller the value of the security label Mi, i = 1, ..., k is assigned to them, i.e.: M1 is less than M2 less than M3 is less ... less than Mk.
Таким образом, в качестве учетной информации субъектов и объектов доступа, кроме их идентификаторов - имен, каждому субъекту и объекту задаются метки безопасности из множества М.Thus, as the accounting information of subjects and access objects, in addition to their identifiers - names, each subject and object are assigned security labels from the set M.
Введем следующие обозначения:We introduce the following notation:
- Ms - метка безопасности субъекта (группы субъектов) доступа;- Ms - security label of the subject (group of subjects) of access;
- Мо - метка безопасности объекта (группы объектов) доступа.- Mo - security label of the access object (group of objects).
На практике для мандатного контроля доступа, применяемого с целью защиты от нарушения конфиденциальности информации, широко используются следующие правила контроля доступа:In practice, the following access control rules are widely used for mandatory access control, which is used to protect against information privacy violations:
1. Субъект С имеет доступ к объекту О в режиме "Чтения" в случае, если выполняется условие: Мс не больше Мо.1. Subject C has access to object O in the "Read" mode if the condition is met: Ms is not more than Mo.
2. Субъект С имеет доступ к объекту О в режиме "Записи" в случае, если выполняется условие: Мс равно Мо.2. Subject C has access to object O in the "Record" mode if the condition is met: Ms is Mo.
3. В остальных случаях доступ субъекта С к объекту О запрещен.3. In other cases, access of subject C to object O is prohibited.
Однако возможны и иные правила, например правила полной изоляции обработки информации различных уровней конфиденциальности либо при исполнении пользователями в КС различных ролей (неиерархические метки):However, other rules are also possible, for example, rules for completely isolating the processing of information at various levels of confidentiality or when users perform various roles in the CS (non-hierarchical labels):
1. Субъект С имеет доступ к объекту О в режиме "Чтения", «Запись» в случае, если выполняется условие: Мс равно Мо.1. Subject C has access to object O in the "Read", "Write" mode if the condition is met: Ms is Mo.
2. В остальных случаях доступ субъекта С к объекту О запрещен.2. In other cases, access of subject C to object O is prohibited.
Задание разграничительной политики доступа к шифруемым создаваемым файлам при реализации мандатного контроля доступа для предлагаемого технического решения состоит исключительно в назначении меток безопасности субъектам Мс.The task of a delimiting policy of access to encrypted generated files during the implementation of mandatory access control for the proposed technical solution consists solely in assigning security labels to MS entities.
Контроль доступа состоит в следующем. При создании субъектом нового зашифрованного файла, файлом наследуется учетная информация субъекта доступа - его метка безопасности Мс (обозначим унаследованную метку Мсо, при создании файла Мсо принимается равным Мс субъекта, создающего файл). При запросе доступа к любому файлу анализируется наличие, а при наличии - собственно значение метки безопасности Мсо, унаследованной данным файлом. При наличии метки у файла Мсо эта метка сравнивается с меткой субъекта, запросившего доступ к файлу. Me - анализируется выполнение заданных правил контроля доступа. В результате анализа данной информации с учетом реализуемых правил контроля доступа либо разрешается запрошенный субъектом доступ к файлу, либо отказывается в нем.Access control is as follows. When a subject creates a new encrypted file, the file will inherit the access subject's credentials - its security label Мс (we will denote the inherited label МСО, when creating the file МСО is taken equal to Мс of the subject creating the file). When requesting access to any file, the presence is analyzed, and if available, the actual value of the MCO security label inherited by this file is analyzed. If the MCO file has a label, this label is compared with the label of the subject who requested access to the file. Me - analyzes the implementation of specified access control rules. As a result of the analysis of this information, taking into account the implemented access control rules, the access to the file requested by the subject is either allowed or denied.
Правила, направленные на защиту от понижения категории обрабатываемой информации, применительно к использованию заявленного технического решения (метки безопасности присваиваются только субъектам доступа) имеют следующий вид:The rules aimed at protecting against downgrading the category of processed information with regard to the use of the claimed technical solution (security labels are assigned only to access entities) are as follows:
1. Субъект С имеет доступ к объекту О в режиме "Чтения" в случае, если выполняется условие: Мс не больше Мсо.1. Subject C has access to object O in the "Read" mode if the condition is met: Мс not more than МСО.
2. Субъект С имеет доступ к объекту О в режиме "Записи" в случае, если выполняется условие: Мс равно Мсо.2. Subject C has access to object O in the "Record" mode if the condition is met: Ms is equal to Mso.
Система, по сути, работает в данном случае так же, как и в рассмотренном ранее примере. Рассмотрим лишь отличия, которые состоят в следующем. Со входа 10 в блоке 4 задаются уровни конфиденциальности - метки безопасности Мс информации (например, секретная информация, конфиденциальная информация), которая должна шифроваться при записи в файл, а также вводится соответствие меток безопасности субъектам доступа (назначаются метки безопасности Мс пользователям, причем только тем пользователям, которые обрабатывают защищаемую в КС информацию, как следствие, создаваемые файлы, которые должны автоматически шифроваться). Кроме того, в блоке 4 задаются правила сравнения меток Мс и Мсо, на отношении: больше, меньше, равно.The system, in fact, works in this case in the same way as in the example considered earlier. Consider only the differences, which are as follows. From
В атрибуты файла (в блок 5) при создании шифрованного файла или при модификации неразмеченного ранее файла (с его шифрованием) блоком 3 заносится метка Мс, которая при этом становится меткой Мсо размеченного зашифрованного файла. При обращении к размеченному файлу блоком 3 считывается из атрибутов файла, хранящихся в блоке 5, метка файла Мсо, к которому запрошен доступ, либо информация о том, что файл не размечен (метка отсутствует). Данная информация, а также информация о пользователе (из запроса доступа) поступают в блок 6. Блок 6 получает из блока 4 метку безопасности Мс для пользователя, определенного из запроса доступа, а также правило контроля доступа. На основании сравнения по данному правилу меток Мс и Мсо (получена из блока 3) блок 6 формирует решение о необходимости разметки файла блоком 3 (при необходимости, выдает в блок 3 метку безопасности Мс пользователя, запросившего доступ, разрешении доступа (о чем информирует блок 1), необходимости шифрования/расшифрования файла (о чем информирует блок 2). В результате вырабатываются соответствующие сигналы на выходы 8 и 9.When creating an encrypted file or when modifying a previously unallocated file (with its encryption) in
Как видим, предлагаемое техническое решение позволяет реализовать мандатную (с использованием меток безопасности) схему контроля доступа к создаваемым шифруемым файлам.As we see, the proposed technical solution allows implementing a mandatory (using security labels) access control scheme for the encrypted files being created.
При этом задача администрирования еще более упрощается, в блоке 4 требуется лишь назначить метки безопасности (числа) категориям обрабатываемой информации, которая должна зашифровываться при сохранении, присвоить метки безопасности пользователям и назначить правила их сравнения на больше, меньше, равно. Вот и все. При этом пользователям из одной группы шифрования должна назначаться одна метка Мс. Ключи шифрования присваиваются в системе шифрования уже соответственно не пользователям, а меткам безопасности.In this case, the administration task is even more simplified, in
Пример 3. Права доступа к шифруемым создаваемым файлам реализуются для субъекта «процесс».Example 3. Access rights to encrypted generated files are implemented for the subject “process”.
Работа системы полностью аналогична тому, как описана в примере 1. Отличие состоит в том, что субъектом доступа к создаваемым шифруемым файлам выступает сущность процесс (не пользователь), идентифицируемый полнопутевым именем его исполняемого файла. Имя процесса, запрашивающего доступ к файлу блоком 3, определяется из запроса доступа, поступающего на вход 7.The system’s operation is completely analogous to that described in Example 1. The difference is that the subject of access to the created encrypted files is the essence of the process (not the user), identified by the full path name of its executable file. The name of the process requesting access to the file by
В блоке 4 уже задаются правила доступа не для пользователей, а для процессов, которые также могут иметь как индивидуальный, так и коллективный доступ к шифруемым создаваемым файлам. При коллективном доступе могут задаваться разграничения между субъектами (процессами) одной группы шифрования.In
При этом в качестве учетной информации субъекта доступа, создавшего либо модифицировавшего ранее неразмеченный файл, в атрибуты доступа блоком 3 (в блок 5) записывается не SID (имя) пользователя, а полнопутевое имя процесса (полнопутевое имя его исполняемого файла).At the same time, as the accounting information of the access subject that created or modified the previously unallocated file, the access attributes in block 3 (in block 5) do not record the user's SID (name), but the full path name of the process (full path name of its executable file).
Ключ же шифрования в системе шифрования уже сопоставляется не с пользователем (группой пользователей), а с процессом (группой процессов).The encryption key in the encryption system is already mapped not with the user (group of users), but with the process (group of processes).
В остальном система работает так же, как и в случае контроля доступа к создаваемым шифруемым файлам для пользователей, что описано в примере 1.Otherwise, the system works in the same way as in the case of controlling access to created encrypted files for users, which is described in example 1.
Использование сущности «процесс» в качестве субъекта доступа к шифруемым создаваемым файлам кардинально расширяет функциональные возможности системы защиты, позволяя обеспечивать криптографическую защиту информации, обрабатываемой не конкретными пользователями, а в рамках конкретных информационных систем (конкретными процессами, в том числе и системными, и приложениями).Using the essence of the “process” as the subject of access to encrypted files being created dramatically expands the functionality of the protection system, allowing cryptographic protection of information processed not by specific users, but within specific information systems (specific processes, including system and applications) .
При этом опять же система крайне проста в администрировании (все администрирование системы проводится по аналогии с примером 1, только для субъекта доступа «процесс»).In this case, again, the system is extremely easy to administer (all system administration is carried out by analogy with example 1, only for the subject of access is “process”).
Пример 4. Права доступа к шифруемым создаваемым файлам реализуются для субъекта «пользователь, процесс».Example 4. Access rights to encrypted generated files are implemented for the subject “user, process”.
По своей сути данный пример объединяет в себе пример 1 и пример 3. Субъект доступа задается сущностью «пользователь, процесс», что имеет физический смысл - какой пользователь каким процессом создает шифруемый файл. Работа системы полностью аналогична работе, описанной в примерах 1, 3, но уже применительно к заданию субъекта доступа сущностью «пользователь, процесс».At its core, this example combines Example 1 and Example 3. The access subject is defined by the entity “user, process”, which has a physical meaning - which user creates the encrypted file by which process. The operation of the system is completely similar to the work described in examples 1, 3, but already in relation to the task of the access subject by the entity “user, process”.
Использование сущности «пользователь, процесс» в качестве субъекта доступа к шифруемым создаваемым файлам еще более расширяет функциональные возможности системы защиты, позволяя обеспечивать криптографическую защиту информации, обрабатываемой не конкретными пользователями и не конкретными процессами, а конкретными пользователями в рамках конкретных информационных систем.The use of the “user, process” entity as the subject of access to encrypted generated files further expands the functionality of the protection system, allowing cryptographic protection of information processed not by specific users and not specific processes, but by specific users within specific information systems.
При этом опять же система крайне проста в администрировании (все администрирование системы проводится по аналогии с примерами 1, 2, только уже для субъекта доступа «пользователь, процесс»).In this case, again, the system is extremely easy to administer (all system administration is carried out by analogy with examples 1, 2, only for the “user, process” access subject).
Таким образом, рассмотренные примеры наглядно иллюстрируют достижение поставленной цели - решение задачи расширения функциональных возможностей контроля доступа к шифруемым создаваемым файлам, а также упрощения задачи администрирования системы контроля доступа.Thus, the examples considered illustrate the achievement of the goal - the solution to the problem of expanding the functionality of access control to encrypted files being created, as well as simplifying the task of administering the access control system.
Изобретение является промышленно применимым в части возможности технической реализации включенных в систему блока автоматической разметки файлов и блока хранения правил доступа к файлам.The invention is industrially applicable in terms of the possibility of technical implementation included in the system block automatic markup files and block storage rules for accessing files.
Техническая реализация блока хранения правил доступа к создаваемым шифруемым файлам, блока выбора и анализа правил доступа представляет собою достаточно типовое решение по хранению и обработке данных (таблицы (матрицы) доступа).The technical implementation of the block for storing access rules for the encrypted files being created, the block for selecting and analyzing access rules is a fairly standard solution for storing and processing data (access table (matrix)).
Техническая же реализация блока автоматической разметки создаваемых шифруемых файлов зависит от того, с какой файловой системой и каким образом взаимодействует заявленное решение. Рассмотрим пример технической реализации при работе системы с файловой системой NTFS Microsoft Windows (здесь возможны и иные технические реализации).The technical implementation of the block for automatic marking of the created encrypted files depends on which file system and how the claimed solution interacts. Consider an example of a technical implementation when the system works with the Microsoft Windows NTFS file system (other technical implementations are possible here).
Данное решение апробировано заявителем при построении опытного образца средства защиты информации.This decision was tested by the applicant when building a prototype of a means of information protection.
Для того чтобы заявленная система не конфликтовала с разграничительной политикой, реализуемой ОС, системой не используются для хранения данных автоматической разметки файлов непосредственно атрибуты, используемые ОС. Для хранения создаваемых системой атрибутов файлов, используемых системой для реализации контроля доступа (для автоматической записи/чтения учетных данных разметки файлов) использованы, так называемые, «альтернативные потоки данных».In order for the claimed system not to conflict with the delimitation policy implemented by the OS, the system does not directly use the attributes used by the OS to store data for automatic file marking. To store the file attributes created by the system that are used by the system to implement access control (for automatically writing / reading file markup credentials), so-called “alternative data streams” are used.
Альтернативный поток - это создаваемая, «жестко» привязанная к конкретному файлу область памяти, в которую можно производить запись, соответственно из которой можно считывать информацию. Альтернативный поток может быть удален и удаляется при удалении файла, для которого он создан.An alternative stream is a memory area created “rigidly” attached to a specific file, into which it is possible to write, respectively, from which information can be read. An alternative stream can be deleted and deleted when the file for which it is created is deleted.
В NTFS реализована и документирована (описанная штатная возможность ОС) поддержка альтернативных потоков данных (Alternate Data Streams) - была добавлена в NTFS для совместимости с файловой системой HFS от Macintosh, которая использовала поток ресурсов для хранения иконок и другой информации о файле. Использование альтернативных потоков позволяет хранить данные о файле скрытно от пользователя и не доступными обычными средствами. Проводник и другие приложения работают со стандартным потоком (файлом) и не могут читать данные из альтернативных потоков.NTFS implemented and documented (described the native OS feature) support for alternative data streams (Alternate Data Streams) - it was added to NTFS for compatibility with the Macintosh HFS file system, which used a resource stream to store icons and other file information. Using alternative streams allows you to store data about the file discreetly from the user and not accessible by conventional means. Explorer and other applications work with a standard stream (file) and cannot read data from alternative streams.
Создание альтернативных потоков это документированная возможность. Создать их можно, например, следующим образом из командной строки. Сначала следует создать базовый файл, к которому и будет прикреплен поток.Creating alternative threads is a documented opportunity. You can create them, for example, as follows from the command line. First you need to create a base file to which the stream will be attached.
Создадим файл: C:\>echo Just a plan text file>sample.txtCreate a file: C: \> echo Just a plan text file> sample.txt
Далее, используя двоеточие в качестве оператора, создадим альтернативный поток:Next, using the colon as the operator, create an alternative stream:
C:\>echo You can't see me>sample.txt:secret.txtC: \> echo You can't see me> sample.txt: secret.txt
Для просмотра содержимого можно использовать следующие команды:You can use the following commands to view the contents:
С:\ more<sample.txt:secret.txtC: \ more <sample.txt: secret.txt
илиor
С:\ notepad sample.txt:secret.txtC: \ notepad sample.txt: secret.txt
Если все сделано правильно, то увидим текст: You can't see me, при открытии из проводника данный текст виден не будет.If everything is done correctly, then we will see the text: You can't see me, when you open it from the explorer, this text will not be visible.
Альтернативный поток позволяет записывать в него неограниченное количество информации, при этом он «жестко» связан с базовым файлом (к которому прикрепляется поток) - может быть удален и будет удален только при удалении файла.An alternative stream allows you to write an unlimited amount of information into it, while it is "rigidly" connected to the base file (to which the stream is attached) - it can be deleted and will be deleted only when the file is deleted.
Замечание. Альтернативные потоки данных можно прикрепить не только к файлу, но и к папке.Comment. Alternative data streams can be attached not only to a file, but also to a folder.
Таким образом, альтернативный поток - это создаваемая, «жестко» связанная с конкретным файлом область памяти, в которую можно производить запись, соответственно из которой можно считывать информацию (известными, описанными способами), при этом записываемые в альтернативном потоке данные хранятся скрытно от пользователя и не доступны обычными средствами.Thus, an alternative stream is a memory area created “rigidly” connected with a particular file into which it is possible to write, from which information can be read (by known, described methods), while the data recorded in the alternative stream are stored secretly from the user and not available by conventional means.
Как следствие, данная документированная возможность - описанная возможность создания альтернативного потока (защищенного от пользователей) для файла с возможностью хранения в нем служебной информации (для заявляемой системы - для хранения данных разметки создаваемых шифруемых файлов), описана, технически реализуема и может быть использована при реализации заявляемого технического решения, что было апробировано заявителем при создании опытного образца средства защиты информации.As a result, this documented feature - the described ability to create an alternative stream (protected from users) for a file with the ability to store service information in it (for the claimed system - for storing markup data for encrypted files created), is described, technically feasible and can be used in implementation the claimed technical solution, which was tested by the applicant when creating a prototype of a means of information protection.
Все используемые блоки технически реализуемы и их реализация достигается стандартными средствами.All used blocks are technically feasible and their implementation is achieved by standard means.
Таким образом, в предлагаемом изобретении решены задачи расширения функциональных возможностей контроля доступа к шифруемым создаваемым файлам и упрощения задачи администрирования системы контроля доступа. С учетом современного уровня развития вычислительной техники оно технически реализуемо.Thus, in the present invention solved the problem of expanding the functionality of access control to encrypted generated files and simplifying the task of administering the access control system. Given the current level of development of computer technology, it is technically feasible.
Claims (1)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2013129406/08A RU2533061C1 (en) | 2013-06-26 | 2013-06-26 | System for controlling access to created encrypted files |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2013129406/08A RU2533061C1 (en) | 2013-06-26 | 2013-06-26 | System for controlling access to created encrypted files |
Publications (1)
Publication Number | Publication Date |
---|---|
RU2533061C1 true RU2533061C1 (en) | 2014-11-20 |
Family
ID=53382600
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
RU2013129406/08A RU2533061C1 (en) | 2013-06-26 | 2013-06-26 | System for controlling access to created encrypted files |
Country Status (1)
Country | Link |
---|---|
RU (1) | RU2533061C1 (en) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2647643C1 (en) * | 2017-01-25 | 2018-03-16 | Акционерное общество "Кросс технолоджис" | System for establishing a confidentiality mark in an electronic document, accounting and control of work with confidential electronic documents |
WO2018147827A1 (en) * | 2017-02-07 | 2018-08-16 | Hewlett-Packard Development Company, L.P. | Determining cash drawer access |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2142674C1 (en) * | 1995-08-25 | 1999-12-10 | Интел Корпорейшн | Access control using parameter-controlled hash function |
RU96435U1 (en) * | 2010-03-22 | 2010-07-27 | Федеральное государственное унитарное предприятие "18 Центральный научно-исследовательский институт" Министерства обороны Российской Федерации | AUTOMATED WORKPLACE PROTECTED FROM UNAUTHORIZED ACCESS |
-
2013
- 2013-06-26 RU RU2013129406/08A patent/RU2533061C1/en not_active IP Right Cessation
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2142674C1 (en) * | 1995-08-25 | 1999-12-10 | Интел Корпорейшн | Access control using parameter-controlled hash function |
RU96435U1 (en) * | 2010-03-22 | 2010-07-27 | Федеральное государственное унитарное предприятие "18 Центральный научно-исследовательский институт" Министерства обороны Российской Федерации | AUTOMATED WORKPLACE PROTECTED FROM UNAUTHORIZED ACCESS |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2647643C1 (en) * | 2017-01-25 | 2018-03-16 | Акционерное общество "Кросс технолоджис" | System for establishing a confidentiality mark in an electronic document, accounting and control of work with confidential electronic documents |
WO2018147827A1 (en) * | 2017-02-07 | 2018-08-16 | Hewlett-Packard Development Company, L.P. | Determining cash drawer access |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR100450402B1 (en) | Access control method by a token with security attributes in computer system | |
Gerl et al. | LPL, towards a GDPR-compliant privacy language: formal definition and usage | |
EP1946238B1 (en) | Operating system independent data management | |
US20070016771A1 (en) | Maintaining security for file copy operations | |
US20070011749A1 (en) | Secure clipboard function | |
JP4892179B2 (en) | Zone-based security management for data items | |
US8452740B2 (en) | Method and system for security of file input and output of application programs | |
US10013570B2 (en) | Data management for a mass storage device | |
KR20080033376A (en) | Dual layered access control list | |
EP2511848A2 (en) | Multiple independent encryption domains | |
RU2533061C1 (en) | System for controlling access to created encrypted files | |
JP3976738B2 (en) | Confidential document management apparatus, confidential document management method, and confidential document management program | |
Hasani et al. | Criteria specifications for the comparison and evaluation of access control models | |
RU2543556C2 (en) | System for controlling access to files based on manual and automatic markup thereof | |
RU2583759C1 (en) | System for controlling access to files based on automatic markup thereof with arrangement of account data of access subject to created file | |
KR20120016482A (en) | Output control system and method for the data in the secure zone | |
RU2524566C1 (en) | System for controlling file access based on automatic tagging thereof | |
EP2535832B1 (en) | A method for operating a virtual machine over a file system | |
KR20110075059A (en) | Encryption and decryption method for file using extended attribute in file system and access control system for applications to encrypted files supporting for real-time encryption and decryption for files | |
CN107688732B (en) | Resource permission configuration and acquisition method and device | |
RU2583757C2 (en) | System for session-based control of access to created files | |
Koot | Introduction to Access Control (v4) | |
Wang et al. | Towards Android Application Protection via Kernel Extension | |
RU2534599C1 (en) | Access control system to resources of computer system with subject of access "user, processes" | |
RU2543561C1 (en) | System for session-based resource access control |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
MM4A | The patent is invalid due to non-payment of fees |
Effective date: 20160627 |