RU2635269C1 - Complex of hardware and software creating protected cloud environment with autonomous full-function logical control infrastructure with biometric-neural network identification of users and with audit of connected hardware - Google Patents
Complex of hardware and software creating protected cloud environment with autonomous full-function logical control infrastructure with biometric-neural network identification of users and with audit of connected hardware Download PDFInfo
- Publication number
- RU2635269C1 RU2635269C1 RU2016103325A RU2016103325A RU2635269C1 RU 2635269 C1 RU2635269 C1 RU 2635269C1 RU 2016103325 A RU2016103325 A RU 2016103325A RU 2016103325 A RU2016103325 A RU 2016103325A RU 2635269 C1 RU2635269 C1 RU 2635269C1
- Authority
- RU
- Russia
- Prior art keywords
- hardware
- complex
- software
- biometric
- module
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
- G06F15/16—Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
- G06F15/163—Interprocessor communication
- G06F15/173—Interprocessor communication using an interconnection network, e.g. matrix, shuffle, pyramid, star, snowflake
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
Landscapes
- Information Transfer Between Computers (AREA)
Abstract
Description
Изобретение относится к области информационной безопасности, а именно к программно-аппаратным средствам обеспечения информационной безопасности, и может быть использовано для исключения всего широкого спектра угроз информационной безопасности для телекоммуникационных систем органов государственного управления, организаций, госкорпораций и ведомств Российской Федерации, организованных на базе глобальной сети Интернет, со стороны зарубежных управляющих и контролирующих компаний.The invention relates to the field of information security, and in particular to software and hardware tools for ensuring information security, and can be used to eliminate the entire wide range of information security threats to telecommunication systems of government, organizations, state corporations and departments of the Russian Federation, organized on the basis of a global network Internet, from foreign management and controlling companies.
В дальнейшем при характеристике разработанного технического решения будут использованы следующие термины:In the future, when characterizing the developed technical solution, the following terms will be used:
- модуль безопасности, представляющий собой микроэлектронный чип или встраиваемый микроэлектронный модуль, предназначенный для выполнения функций согласно международных рекомендаций TCG (Trusted Computing Group), но на базе отечественных алгоритмов и норм безопасности, а также расширенный состав функций, требуемый отечественными руководящими документами в области информационной безопасности;- a security module, which is a microelectronic chip or an embedded microelectronic module, designed to perform functions in accordance with the international recommendations of TCG (Trusted Computing Group), but based on domestic algorithms and safety standards, as well as an expanded set of functions required by domestic information security guidelines ;
- модуль доверия (специализированный доверенный носитель информации), предназначенный для выполнения функций согласно международных рекомендаций TCG. Аналогом модуля доверия может быть признан программно-аппаратный комплекс (ПАК) «Личный секрет», http://www.okbsapr.ru/korobov_2010_1.html);- A trust module (specialized trusted storage medium) designed to perform functions in accordance with TCG international recommendations. An analogue of the trust module can be recognized as the Personal Secret software and hardware complex (PAC), http://www.okbsapr.ru/korobov_2010_1.html);
- модуль доверенных биометрико-нейросетевых вычислений (отпечаток пальца), представляющий собой малогабаритный USB модуль, включаемый между сканером рисунка отпечатка пальца (графическим планшетом) и настольным компьютером, ноутбуком. Аналогом модуля доверенных биометрико-нейросетевых вычислений может быть признан ПАК «Аккорд-Win32», http://www.accord.ru/bio.html).- module of trusted biometric-neural network computing (fingerprint), which is a small USB module that is connected between the fingerprint scanner (graphic tablet) and a desktop computer, laptop. PAC “Accord-Win32”, http://www.accord.ru/bio.html) can be recognized as an analogue of the module of trusted biometric-neural network computing.
Технологии облачных сервисов и механизмов доступа к ним через личные кабинеты в настоящее время используются многими предприятиями и организациями. При этом подавляющее большинство сервисов организовано на серверных платформах, находящихся за рубежом, а защита доступа к ним базируется только на логинах и паролях, выдаваемых клиенту при его регистрации владельцем ресурса. Примером могут служить облачные решения от компании Microsoft или Amazon, Google и др.Technologies of cloud services and mechanisms for accessing them through personal accounts are currently used by many enterprises and organizations. Moreover, the vast majority of services are organized on server platforms located abroad, and access protection to them is based only on logins and passwords issued to the client upon registration by the resource owner. An example is cloud solutions from Microsoft or Amazon, Google, etc.
Данные решения тесно связаны с концепцией PaaS (Platformas а Service - платформа как сервис). Один из видов PaaS-решений связан с технологиями распределенных вычислений, которые используются в инфраструктуре таких интернет-гигантов, как Google (файловая система GFS (Google File System), база данных BigTable) и Yahoo (Hadoop). Первым значимым предложением в этой сфере стала система Google Арр Engine. С ее появлением сторонние разработчики получили возможность размещать в инфраструктуре Google веб-приложения, которые могут масштабироваться и обслуживать миллионы веб-пользователей ничуть не хуже, чем приложения от самой Google. Однако взамен разработчики должны отказаться от некоторых инструментов. В частности, в Google Арр Engine нет реляционной системы управления базами данных (СУБД) и не поддерживается стандартный синтаксис «structured query language» (SQL), а вместо этого используется собственная база данных Big Table с синтаксисом Graph Query Language (GQL).These solutions are closely related to the concept of PaaS (Platformas and Service - platform as a service). One type of PaaS solution is associated with distributed computing technologies that are used in the infrastructure of Internet giants such as Google (GFS file system (Google File System), BigTable database) and Yahoo (Hadoop). The first significant proposal in this area was the Google Arp Engine system. With its appearance, third-party developers were able to host web applications on the Google infrastructure that can scale and serve millions of web users no worse than applications from Google itself. However, in return, developers should abandon some tools. In particular, the Google Arp Engine does not have a relational database management system (DBMS) and does not support the standard structured query language (SQL) syntax, but instead uses its own Big Table database with Graph Query Language (GQL) syntax.
Компания Salesforce.com шла с другой стороны: предлагаемая ей онлайновая CRM-платформа разрабатывалась таким образом, чтобы предоставить заказчикам максимум возможностей для доработки и адаптации, что вполне достаточно для создания полностью независимых приложений. Результатом ее деятельности является PaaS-платформа Force.com.Salesforce.com went the other way: its proposed online CRM platform was designed in such a way as to provide customers with the maximum opportunities for refinement and adaptation, which is quite enough to create completely independent applications. The result of its activities is the Force.com PaaS platform.
Принципиальная разница подходов Google и Salesforce.com подчеркивается еще набором программных интерфейсов Force.com for GoogleAppEngine. Этот инструмент позволяет разработчикам Google Арр Engine обращаться к инфраструктуре Force.com в своих приложениях. Таким образом, Force.com и Google Арр Engine лишь теоретически позволяют решать одни и те же задачи - на практике эти системы ориентированы на два разных сегмента рынка (в первом случае - корпоративные пользователи Salesforce.com, во втором - разработчики, ориентированные на технологии от Google) и на текущем этапе практически не составляют друг другу конкуренции.The fundamental difference between the approaches of Google and Salesforce.com is underlined by the Force.com for GoogleAppEngine set of programming interfaces. This tool allows Google Arp Engine developers to access the Force.com infrastructure in their applications. Thus, Force.com and the Google Arp Engine only theoretically allow us to solve the same problems - in practice, these systems are focused on two different market segments (in the first case, corporate users of Salesforce.com, in the second, developers focused on technologies from Google) and at the current stage practically do not compete with each other.
Другой вариант развития PaaS-платформы связан с компанией Microsoft. Для нее PaaS-система WindowsAzure является закономерным этапом развития таких серверных технологий, как ОС WindowsServer, система виртуализации Hyper-V и СУБД SQL Server. Azure предоставляет интегрированный набор прикладных сервисов для разработки, размещения, управления и масштабирования приложений с использованием инфраструктуры центров обработки данных Microsoft. По этой причине WindowsAzure является не инфраструктурным, а платформенным - Platform as a Service (PaaS) решением.Another development option for the PaaS platform is associated with Microsoft. For her, the WindowsAzure PaaS system is a natural stage in the development of server technologies such as WindowsServer, the Hyper-V virtualization system, and SQL Server. Azure provides an integrated set of application services for developing, hosting, managing and scaling applications using the Microsoft data center infrastructure. For this reason, WindowsAzure is not an infrastructure, but a platform - Platform as a Service (PaaS) solution.
Аппаратные ресурсы всех перечисленных решений располагаются за рубежом, что с учетом Федерального закона ФЗ №152 «О персональных данных» накладывает серьезные ограничения на возможность их использования. Существуют и гибридные решения.The hardware resources of all these solutions are located abroad, which, subject to the Federal Law Federal Law No. 152 “On Personal Data”, imposes serious restrictions on the possibility of their use. There are hybrid solutions.
Гибридные «облака» представляют собой такое внедрение облачных вычислений, при котором часть системы размещается в публичном «облаке», т.е. на базе облачного провайдера, а часть - в приватном «облаке», т.е. на серверах, принадлежащих самой компании. По сути, гибридное «облако» не является самостоятельным типом облачных внедрений, а лишь указывает на тесную интеграцию публичных и приватных облачных систем. Например, такая интеграция возможна при вынесении системы резервного копирования в публичное «облако» или наоборот - при осуществлении резервного копирования данных из публичного «облака» на локальные серверы.Hybrid "clouds" are such an implementation of cloud computing, in which part of the system is placed in a public "cloud", i.e. based on a cloud provider, and some in a private "cloud", i.e. on servers owned by the company itself. In fact, a hybrid “cloud” is not an independent type of cloud deployments, but only indicates the close integration of public and private cloud systems. For example, such integration is possible when transferring a backup system to a public “cloud” or vice versa - when backing up data from a public “cloud” to local servers.
Существуют решения, позволяющие одновременно вести мониторинг вычислительных ресурсов, размещенных как внутри компании, так и на сторонней площадке, например, CloudKick от Rackspace. Другой вариант использования гибридного «облака» предполагает установку приложений на внутренних серверах компании с арендой дополнительных мощностей в «облаке» стороннего поставщика на случай непредвиденного повышения нагрузки.There are solutions that allow simultaneous monitoring of computing resources located both inside the company and on a third-party site, for example, CloudKick from Rackspace. Another option for using a hybrid “cloud” involves installing applications on the company's internal servers with the lease of additional capacity in a “cloud” of a third-party provider in case of an unexpected increase in load.
Многие российские компании, предоставляющие облачные услуги, также арендуют зарубежные дата центры и сервера. Примером могут служить облачные решения от 1C. Даже если оборудование располагается на территории РФ, используемые средства виртуализации являются зарубежными программными продуктами: Microsoft (WindowsAzurePack), VMware (vCloudSuite) и др.Many Russian companies providing cloud services also rent foreign data centers and servers. An example is cloud solutions from 1C. Even if the equipment is located on the territory of the Russian Federation, the virtualization tools used are foreign software products: Microsoft (WindowsAzurePack), VMware (vCloudSuite), etc.
Доступ к личному кабинету, а следовательно, ко всему пакету сервисов, которые доступны для данного клиента, является в существующих отечественных и зарубежных решениях отвлеченным от непосредственной личности человека, и предоставляется не фактическому владельцу кабинета, а предъявителю логина и пароля.Access to your personal account, and therefore to the entire package of services that are available for this client, is in existing domestic and foreign solutions abstracted from the person’s immediate identity, and is provided not to the actual owner of the account, but to the bearer of the login and password.
Частное решение достоверной идентификации и авторизации технических средств, при удаленном доступе рабочей станции к облаку, оговорено в международных спецификациях: «TCG: TNC - TrustedNetworkConnect». Для реализации соответствующих протоколов в сетевой инфраструктуре создается архитектурная надстройка, требования к которой регламентируются международными спецификациями. Однако на данный момент данным спецификациям следуют лишь немногие и исключительно зарубежные производители сетевого оборудования: Juniper, Cisco.A particular solution for reliable identification and authorization of technical means, with remote access to the cloud from the workstation, is specified in the international specifications: “TCG: TNC - TrustedNetworkConnect”. To implement the appropriate protocols in the network infrastructure, an architectural superstructure is created, the requirements for which are regulated by international specifications. However, at the moment, only a few and exclusively foreign manufacturers of network equipment follow these specifications: Juniper, Cisco.
Даже это решение может быть эффективно применено только на интерфейсе «машина-машина» и не решает рассматриваемой проблемы на интерфейсах «человек-машина» или «человек-облако». В случае, если за рабочей станцией находится человек-клиент, заявляющий права доступа к ресурсу (например, через личный кабинет), то его личность остается опосредованной, а доступ - условно персонализированным.Even this solution can be effectively applied only on the machine-machine interface and does not solve the problem under consideration on the man-machine or man-cloud interfaces. If there is a client person behind the workstation claiming access rights to the resource (for example, through a personal account), then his identity remains indirect, and access is conditionally personalized.
Эффективное решение рассматриваемой проблемы возможно только на базе технологий биометрической идентификации человека по его индивидуальным параметрам. В рамках данного проекта решение предлагается впервые не только среди отечественных организаций, но и на мировом уровне.An effective solution to this problem is possible only on the basis of biometric identification technologies for a person according to his individual parameters. Within the framework of this project, a solution is proposed for the first time not only among domestic organizations, but also at the global level.
Работы в области использования биометрических средств защиты проводятся за рубежом уже более 20 лет. Средний годовой темп развития биометрии составляет 40%, что является очень высоким показателем. В настоящее время биометрические системы контроля доступа к информации завоевывают все большую популярность в банках, фирмах, связанных с обеспечением безопасности в телекоммуникационных сетях, в информационных отделах фирм и т.д. Подобные системы на российском рынке появились благодаря фирмам "Identix", "SAC Technologies", "Eyedentify", "Вiometricldentificationlnc.", "RecognitionSystems", "Trans-Ameritech", "BioLink", "Sonda", "Elsys", "Эдванс", "AAM Системз", "Полми групп", "Маском".Work in the field of using biometric protective equipment has been carried out abroad for more than 20 years. The average annual rate of development of biometrics is 40%, which is a very high indicator. At present, biometric information access control systems are gaining more and more popularity in banks, companies involved in ensuring security in telecommunication networks, in information departments of companies, etc. Similar systems appeared on the Russian market thanks to the firms Identix, SAC Technologies, Eyedentify, Biometricldentificationlnc., RecognitionSystems, Trans-Ameritech, BioLink, Sonda, Elsys, Advance "," AAM Systems, "Half Band, Mask."
Все перечисленные выше технологии порождают риск утраты/хищения базы биометрических шаблонов в связи с тем, что они выполнены в соответствии с международными стандартами, которые не предусматривают механизмов защиты от компрометации. Этот принципиальный недостаток будет устранен в рамках предлагаемого технического решения через размещение биометрических данных в защищенных нейросетевых контейнерах. Каждый нейросетевой контейнер раскрывается только при предъявлении образа пользователя и не нуждается в дополнительном шифровании на общем ключе.All of the above technologies pose a risk of loss / theft of the base of biometric templates due to the fact that they are made in accordance with international standards that do not provide mechanisms for protection against compromise. This fundamental drawback will be eliminated in the framework of the proposed technical solution through the placement of biometric data in protected neural network containers. Each neural network container is opened only upon presentation of the user image and does not need additional encryption on a shared key.
В ходе проведения поиска по патентной и научно-технической литературе не выявлен источник информации, который мог бы быть использован в качестве ближайшего аналога разработанного технического решения.During the search for patent and scientific and technical literature, no source of information was identified that could be used as the closest analogue of the developed technical solution.
Ближайшим аналогом средств организации замкнутой среды внутри сетей общего пользования в том числе и Интернет являются VPN-решения, которые предлагаются многими производителями сетевого оборудования: Cisco, D-Link, Mikrotik, Junipera др. Однако VPN-сеть нельзя рассматривать как полноценное облако, поскольку она изначально не предполагает наличие сервисов и логической инфраструктуры. Также классические VPN-решения не используют технологию доверенных вычислений не говоря уже о биометрической идентификации пользователей.The closest analogue to organizing a closed environment inside public networks including the Internet are VPN solutions that are offered by many manufacturers of network equipment: Cisco, D-Link, Mikrotik, Junipera etc. However, a VPN network cannot be considered as a full-fledged cloud, since it initially does not imply the availability of services and logical infrastructure. Also, classic VPN solutions do not use trusted computing technology, not to mention biometric user identification.
Существуют решения, построенные «поверх» VPN. К наиболее масштабному примеру в России можно отнести систему межведомственного электронного взаимодействия (СМЭВ) разработанную в рамках программы «электронное правительство». Однако в силу специфических задач она тесно интегрирована с глобальным Интернет и не обеспечивают достаточной степени замкнутости, независимости и защиты от внешних и внутренних атак, что не позволяет использовать их в службах, управлениях и подразделениях РФ, где циркулирует секретная информация. СМЭВ строится внутри сегмента сети Интернет RSNet (RussianStateNetwork), зарегистрированного в RIPE NCC ( Network Coordination Centre) и контролируемого из Амстердама.There are solutions built on top of the VPN. The most ambitious example in Russia is the system of interagency electronic interaction developed in the framework of the e-government program. However, due to specific tasks, it is closely integrated with the global Internet and does not provide a sufficient degree of isolation, independence and protection from external and internal attacks, which does not allow their use in services, departments and divisions of the Russian Federation, where secret information circulates. SMEV is being built within the segment of the Internet network RSNet (RussianStateNetwork), registered in RIPE NCC ( Network Coordination Center) and controlled from Amsterdam.
Некоторые зарубежные решения, предлагаемые Интернет-гигантами (Google, Microsoft, Oracle и др.) могут рассматриваться как близкие аналоги, но они не могут использоваться в РФ в силу нахождения всей физической инфраструктуры (серверы, системы хранения данных) вне территории России.Some foreign solutions offered by Internet giants (Google, Microsoft, Oracle, etc.) can be considered as close analogues, but they cannot be used in the Russian Federation due to the fact that the entire physical infrastructure (servers, data storage systems) is located outside of Russia.
Аналогом разрабатываемой системы в части биометрии является система международных биометрических паспортов. Эта система не может быть использована электронным правительством и средствами дистанционного образования, так как в ней открыто хранятся биометрические шаблоны пользователей. Это противоречит ФЗ №152 «О персональных данных». Только в том случае, когда все персональные биометрические данные будут размещены в защищенные нейросетевые контейнеры (выполненные по ГОСТ P 52633.4-2012), разрабатываемая технология дистанционной биометрической авторизации сможет удовлетворить ФЗ №152 «О персональных данных» и применяться электронным правительством.An analogue of the developed system in terms of biometrics is the system of international biometric passports. This system cannot be used by e-government and distance education, as it contains openly stored biometric user templates. This contradicts Federal Law No. 152 “On Personal Data”. Only in the case when all personal biometric data will be placed in secure neural network containers (made in accordance with GOST P 52633.4-2012), the developed remote biometric authorization technology will be able to satisfy Federal Law No. 152 “On Personal Data” and be applied by electronic government.
Кроме того, аналогом являются обычные удостоверяющие центры формирования сертификатов открытого ключа, которые не способны оказывать услуг биометрической регистрации и аутентификации.In addition, the usual certification centers for generating public key certificates, which are not able to provide biometric registration and authentication services, are analogous.
На данный момент за рубежом и в России нет аналогов, которые позволяют дистанционно контролировать биометрию человека, сохраняя все его персональные данные в тайне. Новизна состоит в том, что предлагаемая технология способна сохранять тайну используемой биометрии конкретного человека. Угроза хищения баз персональных биометрических данных исчезает. Человека узнают автоматы, извлечь из памяти автоматов биометрические данные человека нельзя. Хозяин биометрии пользуется своими правами, а злоумышленник не может воспользоваться чужими данными или хоты бы найти человека, являющегося их хозяином.At the moment, there are no analogues abroad and in Russia that allow you to remotely control a person’s biometrics, keeping all his personal data secret. The novelty lies in the fact that the proposed technology is able to maintain the secret of the biometrics used by a particular person. The threat of theft of personal biometric data bases disappears. Automata recognize a person; it is impossible to extract human biometric data from the automaton’s memory. The owner of biometrics uses his rights, and the attacker can not use other people's data or even want to find the person who is their master.
Сочетание в едином продукте облачных технологий, технологии доверенных вычислений (технологии информационной безопасности) и биометрической идентификации человека (технологии доверенной авторизации) является качественно новым свойством, выгодно отличающим создаваемую продукцию от всех аналогов, имеющихся на мировом рынке.The combination of cloud technologies, technology of trusted computing (information security technology) and biometric identification of a person (technology of trusted authorization) in a single product is a qualitatively new property that distinguishes the products being created from all analogues available on the world market.
Примером применения данного технического решения может являться создание полностью замкнутой облачной среды, предназначенной для создания защищенных систем электронного документооборота и использования в организациях с повышенными требованиями к защите информации (Фонд социального страхования, Пенсионный Фонд, Федеральная миграционная служба, нотариат, судопроизводство, электронные торговые площадки, наука, муниципалитет, учреждения высшего и среднего образования, банки, медицинские учреждения и т.д.)An example of the application of this technical solution can be the creation of a completely closed cloud environment designed to create secure electronic document management systems and use in organizations with high requirements for information security (Social Insurance Fund, Pension Fund, Federal Migration Service, notary office, legal proceedings, electronic trading platforms, science, municipality, institutions of higher and secondary education, banks, medical institutions, etc.)
Техническая задача, решаемая посредством разработанного аппаратно-программного комплекса, состоит в создании в России защищенной и доверенной облачной среды, использующей только транспортный уровень российского сегмента сети Интернет и не зависящую от зарубежных регуляторов и информационных ресурсов.The technical problem solved by the developed hardware-software complex is to create a secure and trusted cloud environment in Russia that uses only the transport level of the Russian segment of the Internet and is not dependent on foreign regulators and information resources.
Технический результат, достигаемый при реализации разработанного технического решения, состоит в создании полностью замкнутого информационного облачного пространства путем объединения известных облачных технологий с технологией доверенных вычислений и доверенного сетевого соединения с индивидуальными биометрическими характеристиками человека.The technical result achieved by the implementation of the developed technical solution consists in creating a fully enclosed information cloud space by combining well-known cloud technologies with trusted computing technology and a trusted network connection with individual human biometric characteristics.
Для достижения указанного технического результата предложено использовать аппаратно-программный комплекс разработанной архитектуры. Разработанный комплекс аппаратно-программных средств, создающий защищенную облачную среду с автономной полнофункциональной инфраструктурой логического управления с биометрико-нейросетевой идентификацией пользователей и с аудитом используемых технических средств содержит, по меньшей мере, комплекс технических средств, включающий серверное оборудование, сетевое оборудование, предназначенное для организации замкнутой защищенной информационной среды, для аудита подключаемых технических средств и доступа к ней стационарных и мобильных клиентов администратором, рабочее место администратора, хранилище информации большого объема, предназначенного для создания сетевых и системных ресурсов, по меньшей мере, одно рабочее место пользователя, каждое из рабочих мест пользователя содержит настольный компьютер, защищенный от несанкционированного доступа, а также хищения информации, управляемую и защищенную точку доступа, обеспечивающую доступ в облако и являющуюся шлюзом, отделяющим замкнутую мультисервисную среду от внешней сети, дополнительно оснащенный модулем безопасности, модулем доверия, модулем доверенных биометрико-нейро-сетевых вычислений, кроме того, комплекс содержит мобильную ПЭВМ (персональная электронно-вычислительная машина), обеспечивающая защиту данных от хищения и несанкционированного доступа, которая может представлять собой планшет (ноутбук), а также программное обеспечение, предназначенное для выполнения функций контроля доверенных вычислений с расширением стандартных функций TCG за счет биометрического контроля личности операторов в дополнение к контролю аппаратных и программных средств.To achieve the specified technical result, it is proposed to use the hardware-software complex of the developed architecture. The developed hardware and software complex that creates a secure cloud environment with an autonomous full-featured logical management infrastructure with biometric-neural network identification of users and with the audit of used technical means contains at least a complex of technical means, including server hardware, network equipment designed to organize closed secure information environment, for auditing plug-in hardware and access to it stationary and mobile administrator’s clients, the administrator’s workstation, a large volume of information storage intended for creating network and system resources, at least one user’s workstation, each of the user's workstations contains a desktop computer protected from unauthorized access, as well as information theft managed and a secure access point that provides access to the cloud and is a gateway that separates a closed multiservice environment from an external network, additionally equipped with a security module In addition, the complex contains a mobile PC (personal electronic computer), which protects data from theft and unauthorized access, which can be a tablet (laptop), as well as a software module, as well as a trust module, a trusted biometric-neural network computing module. software designed to perform trusted computing control functions with the extension of standard TCG functions due to biometric control of the operators' identities in addition to the control of hardware and software mnyh funds.
Модуль безопасности обычно представляет собой микроэлектронный чип или встраиваемый микроэлектронный модуль.A security module is typically a microelectronic chip or an embedded microelectronic module.
Модуль доверия обычно представляет собой защищенный носитель информации.A trust module is typically a secure storage medium.
Модуль доверенных биометрико-нейро-сетевых вычислений предпочтительно содержит малогабаритный USB модуль, установленный между сканером рисунка отпечатка пальца и настольным компьютером,The trusted biometric-neuro-network computing module preferably comprises a small-sized USB module installed between a fingerprint scanner and a desktop computer,
Персональные биометрические данные преимущественно размещены в защищенные нейросетевые контейнеры, выполненные по ГОСТ P 52633.4-2012.Personal biometric data is mainly placed in secure neural network containers made in accordance with GOST P 52633.4-2012.
Обычно каждый нейросетевой контейнер выполнен с возможностью раскрытия только при предъявлении образа пользователя без дополнительного шифрования на общем ключе.Typically, each neural network container is capable of disclosure only upon presentation of a user image without additional encryption on a shared key.
Комплекс аппаратно-програмных средств может иметь частную модель развертывания.The hardware-software complex may have a private deployment model.
Обычно комплекс изолирован от глобальной сети Интернет.Usually the complex is isolated from the global Internet.
Схема разработанного комплекса представлена на фиг. 1The scheme of the developed complex is presented in FIG. one
Модуль безопасности (фиг. 2) представляет собой микроэлектронный чип или встраиваемый микроэлектронный модуль и предназначен для выполнения специфицированных функций согласно международных рекомендаций TCG, но на базе отечественных алгоритмов и норм безопасности, а также расширенный состав функций, требуемый отечественными руководящими документами в области информационной безопасности. Модуль безопасности применяется в составе рабочих мест клиентов на базе ПЭВМ (мобильной ПЭВМ). Модуль безопасности имеет следующие характеристики (в качестве модуля безопасности может быть использован контроллер производства ОКБ «САПР» «Аккорд-5.5», http://www.accord.ru/accord55.html).The security module (Fig. 2) is a microelectronic chip or an embedded microelectronic module and is designed to perform specified functions according to international recommendations of TCG, but based on domestic algorithms and safety standards, as well as an expanded set of functions required by domestic guidance documents in the field of information security. The security module is used as part of customer jobs on the basis of a personal computer (mobile personal computer). The security module has the following characteristics (as a security module, the controller manufactured by the Design Bureau "CAD" "Accord-5.5", http://www.accord.ru/accord55.html can be used).
3. Модуль доверия (специализированный доверенный носитель информации) предназначен для выполнения специфицированных функций согласно международных рекомендаций TCG. Модуль доверия применяется в составе рабочих мест клиентов на базе ПЭВМ (мобильной ПЭВМ). Модуль доверия имеет следующие характеристики (в качестве модуля доверия может быть использован программно-аппаратный комплекс (ПАК) «Личный секрет», http://www.okbsapr.ru/korobov_2010_1.html):3. The trust module (specialized trusted storage medium) is designed to perform the specified functions in accordance with the international recommendations of TCG. The trust module is used as part of customer jobs based on personal computers (mobile personal computers). The trust module has the following characteristics (the “Personal Secret” software and hardware complex (PAC) can be used as the trust module, http://www.okbsapr.ru/korobov_2010_1.html):
Модуль доверенных биометрико-нейросетевых вычислений (отпечаток пальца) включает в себя малогабаритный USB модуль, включаемый между сканером рисунка отпечатка пальца (графическим планшетом) и настольным компьютером, ноутбуком (в качестве модуля доверенных биометрико-нейросетевых вычислений может быть использован ПАК «Аккорд-Win32», http://www.accord.ru/bio.html). Все криптографические операции и операции нейросетевого распознавания биометрических образов, осуществляются внутри модуля доверенных вычислений и представляет собой нейросетевой контейнер (защищенная таблица обученной нейронной сети), выполненные по ГОСТ P 52633.4-2012. Каждый нейросетевой контейнер раскрывается только при предъявлении образа пользователя и не нуждается в дополнительном шифровании на общем ключе. Модуль предназначен для выполнения биометрико-нейросетевых преобразований аутентификации в доверенной вычислительной среде USB модуля. Модуль применяется в составе рабочих мест клиентов на базе ПЭВМ (мобильной ПЭВМ).The trusted biometric-neural network computing module (fingerprint) includes a small-sized USB module that is connected between the fingerprint drawing scanner (graphic tablet) and a desktop computer, laptop (Accord-Win32 PAK can be used as a trusted biometric-neural network computing module , http://www.accord.ru/bio.html). All cryptographic operations and operations of neural network recognition of biometric images are carried out inside the trusted computing module and is a neural network container (protected table of a trained neural network) performed in accordance with GOST P 52633.4-2012. Each neural network container is opened only upon presentation of the user image and does not need additional encryption on a shared key. The module is designed to perform biometric-neural network authentication transformations in the trusted computing environment of the USB module. The module is used as part of customer jobs on the basis of a personal computer (mobile personal computer).
Мобильная ПЭВМ в виде планшета (ноутбук) обеспечивает защиту данных от хищения и несанкционированного доступа и предназначена для обеспечения доступа мобильного пользователя к порталу с информационными облачными сервисами. Вариант исполнения - планшет (ноутбук). Доступ в мультисервисную среду портала - по беспроводным каналам связи 3G (HSDPA, HSUPA, UMTS), EDGE, GPRS, LTE, 4G. Питание: автономное, от встроенных источников питания. Авторизация доступа - биометрическая. ПЭВМ применяется в составе создаваемого комплекса и используется на мобильных рабочих местах пользователей.A mobile PC in the form of a tablet (laptop) provides data protection from theft and unauthorized access and is designed to provide mobile user access to a portal with informational cloud services. Variant of execution - tablet (laptop). Access to the portal’s multiservice environment - via 3G wireless channels (HSDPA, HSUPA, UMTS), EDGE, GPRS, LTE, 4G. Power: autonomous, from built-in power sources. Access authorization - biometric. A personal computer is used as part of the created complex and is used on users' mobile workstations.
ПЭВМ, защищенная от хищения информации, предназначена для обеспечения доступа пользователя к порталу с информационными облачными сервисами. ПЭВМ, применяемая в составе создаваемого комплекса, предназначена для использования на рабочих местах пользователей. Вариант исполнения - настольный компьютер. Доступ в Интернет: беспроводной 3G (HSDPA, HSUPA, UMTS), EDGE, GPRS, LTE; проводной - Ethernet (100BASE-TX). Авторизация доступа - биометрическая.PC, protected from information theft, is designed to provide user access to the portal with information cloud services. The personal computer used as part of the created complex is intended for use at users' workplaces. An option is a desktop computer. Internet access: wireless 3G (HSDPA, HSUPA, UMTS), EDGE, GPRS, LTE; wired - Ethernet (100BASE-TX). Access authorization - biometric.
Программное обеспечение (ПО) предназначено для выполнения функций контроля доверенных вычислений с расширением стандартных функций TCG за счет биометрического контроля личности операторов в дополнение к контролю аппаратных и программных средств (в качестве ПО применяется ПО из состава ПАК «Аккорд-Win32», http://www.accord.ru/bio.html). ПО обрабатывает данные стандартных сканеров биометрических данных (отпечаток пальца). ПО применяется в составе рабочих мест клиентов на базе ПЭВМ (мобильной ПЭВМ), например, настольного компьютера, ноутбука, планшетного компьютера, работающих под OC Windows или OC Linux (версии ОС уточняются при поставках).The software (software) is designed to perform the functions of trusted computing control with the extension of the standard TCG functions due to the biometric control of the identity of operators in addition to the control of hardware and software (software used from the PAK Accord-Win32 software, http: // www.accord.ru/bio.html). The software processes data from standard biometric data scanners (fingerprint). The software is used as part of client workstations based on a personal computer (mobile personal computer), for example, a desktop computer, laptop, tablet computer operating under OC Windows or OC Linux (OS versions are specified upon delivery).
Для доступа в облако используют управляемую и защищенную точку доступа (УЗТД) (Точка доступа Cisco W API 21 Wireless-N с единой точкой настройки, http://www.cisco.com/c/en/us/products/collateral/wireless/wap121-wireless-n-access-point-single-point-setup/c78-697404_data_sheet.html) являющуюся шлюзом, отделяющим замкнутую мультисервисную среду от внешней сети. При своих малых габаритах УЗТД имеет в своем составе как проводные (Ethernet, оптоволокно) так и беспроводные (Wi-Fi) интерфейсы, позволяющие получить доступ к мультисервисной среде как со стационарных, так и с мобильных объектов.To access the cloud, use a managed and secure access point (UTTD) (Cisco W API 21 Wireless-N Access Point with a single configuration point, http://www.cisco.com/c/en/us/products/collateral/wireless/ wap121-wireless-n-access-point-single-point-setup / c78-697404_data_sheet.html) is a gateway that separates a closed multiservice environment from an external network. With its small dimensions, the UZTD incorporates both wired (Ethernet, fiber) and wireless (Wi-Fi) interfaces, allowing access to the multiservice environment from both stationary and mobile objects.
Благодаря автономному воспроизведению всей логической инфраструктуры сети Интернет, работа в мультисервисной среде аналогична работе в глобальном Интернете. Доступ к электронным ресурсам, выполненный в виде веб-приложений, осуществляется через обычный браузер. При этом на клиентском техническом средстве не устанавливается никакого дополнительного программного обеспечения или плагинов. В адресной строке вводятся привычные буквенные адреса, электронная почта имеет знакомый формат: (в качестве символьного обозначения домена первого уровня могут быть использованы любые аббревиатуры, также как привычная .ru, так и любая другая .aa, .bb и прочие).Thanks to the autonomous reproduction of the entire logical infrastructure of the Internet, work in a multiservice environment is similar to work in the global Internet. Access to electronic resources, made in the form of web applications, is carried out through a regular browser. However, no additional software or plug-ins are installed on the client hardware. In the address bar, the usual letter addresses are entered, the e-mail has a familiar format: (as a symbol of the first level domain any abbreviations can be used, as well as the usual .ru, as well as any other .aa, .bb and others).
Для установления соединений в диапазоне «серых» IP-адресов на серверах дублируется вся логическая инфраструктура сети Интернет (DNS-серверы, серверы времени, процессы выделения IP-адресов и др.), что делает возможным использование стандартных интернет-технологий внутри замкнутой среды передачи данных. Данный подход упрощает как низкоуровневый обмен данными, например, за счет использования сервиса гарантированной доставки сообщений по принципу «канал-подписчик» (publish-subscribe), так и высокоуровневый доступ к структурированным данным (к базам данных, к сетевым ресурсам).To establish connections in the range of “gray” IP addresses on servers, the entire logical infrastructure of the Internet is duplicated (DNS servers, time servers, IP address allocation processes, etc.), which makes it possible to use standard Internet technologies inside a closed data transmission medium . This approach simplifies both low-level data exchange, for example, through the use of the guaranteed message delivery service according to the “publish-subscribe” principle, as well as high-level access to structured data (databases, network resources).
Функционирование мобильных и стационарных объектов в сегменте осуществляется в динамических («серых») адресах любых местных операторов. При этом IP-адреса объектов сети будут находиться в общем числе динамических адресов, которые предоставляются всем пользователям сетей сотовой связи и сети интернет.The functioning of mobile and stationary objects in the segment is carried out in the dynamic ("gray") addresses of any local operators. In this case, the IP addresses of network objects will be in the total number of dynamic addresses that are provided to all users of cellular networks and the Internet.
В отличие от глобального интернета, где связь «точка-точка» возможна только для любой пары из диапазона белых IP-адресов, в созданной мультисервисной среде криптографическая подсистема имеет возможность организации иерархической структуры подсетей по принципу «старший-подчиненный». Причем внутренние IP-адреса не меняются при смене внешних адресов (провайдеров) или способа доступа УЗТД в сеть (Ethernet/4G/Wi-Fi), что особенно актуально при использовании в качестве транспортной среды глобальной сети Интернет.Unlike the global Internet, where point-to-point communication is possible only for any pair from the range of white IP addresses, in the created multi-service environment, the cryptographic subsystem has the ability to organize a hierarchical structure of subnets according to the senior-subordinate principle. Moreover, the internal IP addresses do not change when changing external addresses (providers) or the way the UTTD accesses the network (Ethernet / 4G / Wi-Fi), which is especially true when using the global Internet as a transport medium.
Данные, передаваемые в каналах связи, идентичны стандартному VPN-трафику.Data transmitted over communication channels is identical to standard VPN traffic.
Использование современных телекоммуникационных технологий при реализации рассматриваемого системного проекта позволит обеспечить возможность функционирования в едином защищенном информационном поле:The use of modern telecommunication technologies in the implementation of the system project under consideration will ensure the possibility of functioning in a single secure information field:
- комплексов удаленного доступа к системным ресурсам:- complexes of remote access to system resources:
а) к базам данных;a) to databases;
б) к базам навигационной информации;b) to the bases of navigation information;
в) к базам аудио-, видеоинформации;c) to the bases of audio and video information;
г) к сервисам дистанционного автоматизированного управления систем электронного документооборота с цифровой подписью;d) to remote automated control services of electronic document management systems with digital signature;
- систем электронной почты и мгновенных сообщений, в том числе с цифровой подписью;- e-mail and instant messaging systems, including digitally signed;
- систем передачи данных и телеметрической информации;- data transmission systems and telemetric information;
- систем обмена аудио-, видеоинформацией (в том числе видео с высокой разрешающей способностью);- systems for the exchange of audio, video information (including high-resolution video);
- различных разнородных сетей и радиосетей связи;- various heterogeneous communication networks and radio networks;
- систем навигации и позиционирования;- navigation and positioning systems;
- систем сотовой связи.- cellular communication systems.
При этом доступ к единой информационной среде как со стороны сопрягаемых систем, так и со стороны отдельных корреспондентов может быть осуществлен в защищенных режимах с проводным и беспроводным (мобильным) доступом, в том числе в режимах удаленного доступа по широкополосным радиоканалам.At the same time, access to a unified information environment both from the side of interfaced systems and from individual correspondents can be carried out in secure modes with wired and wireless (mobile) access, including remote access modes over broadband radio channels.
Подобные системные решения позволят при решении задач сопряжения в единой информационной среде разнородных систем и сетей специальной связи абстрагироваться от вопросов реализации протоколов и интерфейсов сопряжения в каждом конкретном случае и сосредоточиться на решении общих системных задач сопряжения, рассматривая их одновременно, в комплексе с задачами информационной безопасности. Кроме того, сервис-ориентированная архитектура позволит использовать те же единые системные подходы для реализации системных служб и сервисов с учетом современных требований по безопасности.Such systemic solutions will allow, when solving pairing problems in a single information environment of heterogeneous systems and special communication networks, to abstract from the implementation of pairing protocols and interfaces in each specific case and focus on solving common pairing system problems, considering them simultaneously, in conjunction with information security tasks. In addition, a service-oriented architecture will allow the use of the same unified system approaches for the implementation of system services and services, taking into account modern security requirements.
Перспективным представляется использование в аппаратных средствах мультисервисной среды отечественных аналогов доверенного модуля ТРМ. Применительно к задачам организации доверенной среды передачи данных, модуль ТРМ выполняет такие задачи как:It seems promising to use domestic hardware of the TPM trusted module in the multiservice environment hardware. In relation to the tasks of organizing a trusted data transmission medium, the TPM module performs such tasks as:
- хранение электронного отпечатка системы;- storage of the electronic fingerprint of the system;
- аудит клиентской конфигурации;- audit of client configuration;
- назначение и применение политик безопасности до установления связи с замкнутой средой;- the appointment and application of security policies before establishing communication with a closed environment;
- проверка выполнения клиентом необходимых критериев для доступа в защищенную среду.- checking that the client fulfills the necessary criteria for access to a secure environment.
Применение модуля ТРМ позволит исключить доступ в защищенную мультисервисную среду с устройства при измененной конфигурации системы, произведенной вредоносным ПО или самим пользователем.The use of the TPM module will make it possible to exclude access to the protected multiservice environment from the device with a modified system configuration produced by malware or by the user.
Принципиально важной характеристикой рассматриваемых системных решений является то, что в качестве транспортной среды реализации может быть использована любая среда передачи данных с коммутацией пакетов, при этом глобальная сеть Интернет может рассматриваться - только как частный, но наиболее характерный случай.A fundamentally important characteristic of the considered system solutions is that any medium with packet-switched data can be used as a transport medium for implementation, while the global Internet can be considered only as a special, but most characteristic case.
Суть технологии заключается в том, что механизмы информационной безопасности опускаются на самый низкий уровень аппаратных платформ и служат фундаментом для выстраивания на их основе иерархической доверенной вычислительной среды вплоть до приложений пользователя.The essence of the technology is that information security mechanisms descend to the lowest level of hardware platforms and serve as the foundation for building a hierarchical trusted computing environment on their basis up to user applications.
Целевые задачи технологии в составе средств вычислительной техники (СВТ) достигаются путем внедрения на аппаратную платформу или даже непосредственно в вычислительное ядро центрального процессора (CPU), специализированного агента информационной безопасности, придаваемого в помощь CPU для решения специализированных задач информационной безопасности. На уровне сетевых и инфраструктурных решений, облачных технологий, на виртуальных и мобильных платформах целевые задачи технологии достигаются путем специальных архитектурных решений и соответствующих многочисленных протоколов.The technology targets as part of computer technology (SVT) are achieved by introducing on the hardware platform or even directly into the computer core the central processor (CPU), a specialized information security agent that is provided to help the CPU to solve specialized information security problems. At the level of network and infrastructure solutions, cloud technologies, on virtual and mobile platforms, technology targets are achieved through special architectural solutions and the corresponding numerous protocols.
Агенты информационной безопасности реализуются в виде специализированного микроэлектронного чипа или встраиваемого микроэлектронного модуля, который называется ТРМ.Information security agents are implemented in the form of a specialized microelectronic chip or an embedded microelectronic module called TPM.
В программно-аппаратной среде СВТ модуль ТРМ выполняет следующие задачи:In the SVT firmware environment, the TPM module performs the following tasks:
- контроль целостности и заданной конфигурации платформы, а также состав подключенных к ней периферийных технических средств;- monitoring the integrity and predetermined configuration of the platform, as well as the composition of peripheral hardware connected to it;
- контроль подлинности платформы, на которую установлен модуль ТРМ (аутентификация платформы);- authentication of the platform on which the TPM module is installed (platform authentication);
- контроль целостности BIOS;- BIOS integrity monitoring;
- контроль целостности и заданной конфигурации программной среды, включая операционную систему;- integrity control and a given configuration of the software environment, including the operating system;
- аутентификацию пользователя (аутентификация может быть однофакторная или многофакторная);- user authentication (authentication can be single-factor or multi-factor);
- динамический контроль целостности и санкционированный запуск программ, включая программы операционной системы и приложения пользователя;- dynamic integrity control and authorized launch of programs, including operating system programs and user applications;
- генерация и хранение с защитой от несанкционированного доступа (НСД) ключей шифрования и ключей электронной цифровой подписи (ЭЦП);- generation and storage with protection against unauthorized access (NSD) of encryption keys and keys of electronic digital signature (EDS);
- хранение с защитой от НСД критических данных о платформе и о ее программной среде, поступающих от BIOS, от ОС, а также данных пользователя, имеющих ограниченное распространение;- storage with protection against unauthorized access of critical data about the platform and its software environment coming from the BIOS, from the OS, as well as user data having limited distribution;
- выполнение функций аппаратного поставщика криптографических сервисов (критопровайдера) для ОС и приложений пользователя.- Performing the functions of a hardware cryptographic services provider (crit provider) for the OS and user applications.
Предлагаемый техническое решение можно частично отнести к категории SaaS (Software-as-a-Service) - программное обеспечение как услуга. Отличием является то, что пользователю не просто предоставляется доступ к облачным сервисам, наряду с обычной работой в Интернет. В данном случае пользователю предоставляется возможность пользования сервисами, если только он уже находится в замкнутом пространстве облака, которое не имеет выход в открытый Интернет и наоборот. Замкнутость предлагаемой облачной архитектуры достигается помимо классических криптографических подходов комбинацией с технологией доверенных вычислений и биометрико-нейросетевой идентификации. Дублирование системных и прикладных сервисов глобального Интернет внутри защищенного облака делает работу пользователя аналогичной работе в Интернет и не требует дополнительных навыков.The proposed technical solution can be partially attributed to the category of SaaS (Software-as-a-Service) - software as a service. The difference is that the user is not only provided with access to cloud services, along with the usual work on the Internet. In this case, the user is given the opportunity to use the services, if only he is already in the closed space of the cloud, which does not have access to the open Internet and vice versa. Closedness of the proposed cloud architecture is achieved in addition to classical cryptographic approaches by a combination with technology of trusted computing and biometric-neural network identification. Duplication of system and application services of the global Internet inside a protected cloud makes the user’s work similar to working on the Internet and does not require additional skills.
Claims (8)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2016103325A RU2635269C1 (en) | 2016-02-02 | 2016-02-02 | Complex of hardware and software creating protected cloud environment with autonomous full-function logical control infrastructure with biometric-neural network identification of users and with audit of connected hardware |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2016103325A RU2635269C1 (en) | 2016-02-02 | 2016-02-02 | Complex of hardware and software creating protected cloud environment with autonomous full-function logical control infrastructure with biometric-neural network identification of users and with audit of connected hardware |
Publications (1)
Publication Number | Publication Date |
---|---|
RU2635269C1 true RU2635269C1 (en) | 2017-11-09 |
Family
ID=60263882
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
RU2016103325A RU2635269C1 (en) | 2016-02-02 | 2016-02-02 | Complex of hardware and software creating protected cloud environment with autonomous full-function logical control infrastructure with biometric-neural network identification of users and with audit of connected hardware |
Country Status (1)
Country | Link |
---|---|
RU (1) | RU2635269C1 (en) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2703150C1 (en) * | 2018-09-14 | 2019-10-15 | Общество с ограниченной ответственностью "А3" | Access service platform |
RU196279U1 (en) * | 2019-08-01 | 2020-02-21 | Общество с ограниченной ответственностью "Научно-производственная компания "Техника дела" (ООО "НПК "Техника Дела") | BIOMETRIC USER IDENTIFICATION DEVICE |
RU2727932C1 (en) * | 2019-12-04 | 2020-07-27 | Публичное Акционерное Общество "Сбербанк России" (Пао Сбербанк) | Method and system for detecting malicious files by generating ads on online trading platforms |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20080046581A1 (en) * | 2006-08-18 | 2008-02-21 | Fujitsu Limited | Method and System for Implementing a Mobile Trusted Platform Module |
RU2346397C1 (en) * | 2007-06-26 | 2009-02-10 | Александр Иванович Иванов | Method of protecting personal biometrical identification and authentification data |
US20100125898A1 (en) * | 2006-07-31 | 2010-05-20 | Fortinet, Inc. | Use of authentication information to make routing decisions |
US20100153752A1 (en) * | 2008-12-16 | 2010-06-17 | Yasumichi Tsukamoto | Computers Having a Biometric Authentication Device |
US20110246196A1 (en) * | 2010-03-30 | 2011-10-06 | Aspen Networks, Inc. | Integrated voice biometrics cloud security gateway |
US20130004033A1 (en) * | 2010-03-16 | 2013-01-03 | Carlo Trugenberger | Authentication system, method for authenticating an object, apparatus for producing an identication device, method for producing an identification device |
-
2016
- 2016-02-02 RU RU2016103325A patent/RU2635269C1/en active IP Right Revival
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20100125898A1 (en) * | 2006-07-31 | 2010-05-20 | Fortinet, Inc. | Use of authentication information to make routing decisions |
US20080046581A1 (en) * | 2006-08-18 | 2008-02-21 | Fujitsu Limited | Method and System for Implementing a Mobile Trusted Platform Module |
RU2346397C1 (en) * | 2007-06-26 | 2009-02-10 | Александр Иванович Иванов | Method of protecting personal biometrical identification and authentification data |
US20100153752A1 (en) * | 2008-12-16 | 2010-06-17 | Yasumichi Tsukamoto | Computers Having a Biometric Authentication Device |
US20130004033A1 (en) * | 2010-03-16 | 2013-01-03 | Carlo Trugenberger | Authentication system, method for authenticating an object, apparatus for producing an identication device, method for producing an identification device |
US20110246196A1 (en) * | 2010-03-30 | 2011-10-06 | Aspen Networks, Inc. | Integrated voice biometrics cloud security gateway |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2703150C1 (en) * | 2018-09-14 | 2019-10-15 | Общество с ограниченной ответственностью "А3" | Access service platform |
RU196279U1 (en) * | 2019-08-01 | 2020-02-21 | Общество с ограниченной ответственностью "Научно-производственная компания "Техника дела" (ООО "НПК "Техника Дела") | BIOMETRIC USER IDENTIFICATION DEVICE |
RU2727932C1 (en) * | 2019-12-04 | 2020-07-27 | Публичное Акционерное Общество "Сбербанк России" (Пао Сбербанк) | Method and system for detecting malicious files by generating ads on online trading platforms |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9787659B2 (en) | Techniques for secure access management in virtual environments | |
US9367703B2 (en) | Methods and systems for forcing an application to store data in a secure storage location | |
US11048823B2 (en) | Secure file sharing over multiple security domains and dispersed communication networks | |
US8839234B1 (en) | System and method for automated configuration of software installation package | |
US8583920B1 (en) | Secure administration of virtual machines | |
CN113316783A (en) | Two-factor identity authentication using a combination of active directory and one-time password token | |
US20100146608A1 (en) | Multi-Level Secure Collaborative Computing Environment | |
CN105379223A (en) | Validating the identity of a mobile application for mobile application management | |
JP2017510013A (en) | Techniques for providing network security with just-in-time provisioned accounts | |
US20220078005A1 (en) | Systems and methods for non-deterministic multi-party, multi-user sender-receiver authentication and non-repudiatable resilient authorized access to secret data | |
Chang et al. | User authentication in cloud computing | |
US20120072972A1 (en) | Secondary credentials for batch system | |
US11233776B1 (en) | Providing content including sensitive data | |
RU2635269C1 (en) | Complex of hardware and software creating protected cloud environment with autonomous full-function logical control infrastructure with biometric-neural network identification of users and with audit of connected hardware | |
CN114207616A (en) | Logging in multiple accounts with a single gesture | |
JP2023539168A (en) | Self-authentication identifier and its applications | |
KR102362327B1 (en) | Method and apparatus for providing virtual desktop environment based on biometric information of user | |
US20100043049A1 (en) | Identity and policy enabled collaboration | |
CN109923525A (en) | System and method for executing carrying out safety backup operation | |
Qaddour | Multifactor Biometric Authentication for Cloud Computing | |
Bommala et al. | Client Authentication as a Service in Microsoft Azure | |
Jovanović et al. | THE ARCHITECTURE OF INTEGRATED IDENTITY MANAGEMENT AND MULTIMODAL BIOMETRIC SYSTEM | |
Lad | Infrastructure Security Patterns | |
Rajpurohit et al. | A Review on Cloud Computing and its Security Issues | |
Maggini | RESHAPING ORGANIZATIONAL PROCESSES AND WORKFLOWS THROUGH INTEGRATION OF BLOCKCHAIN TECHNOLOGY |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
MM4A | The patent is invalid due to non-payment of fees |
Effective date: 20200203 |
|
NF4A | Reinstatement of patent |
Effective date: 20210114 |
|
PC41 | Official registration of the transfer of exclusive right |
Effective date: 20210924 |