RU2635269C1 - Complex of hardware and software creating protected cloud environment with autonomous full-function logical control infrastructure with biometric-neural network identification of users and with audit of connected hardware - Google Patents

Complex of hardware and software creating protected cloud environment with autonomous full-function logical control infrastructure with biometric-neural network identification of users and with audit of connected hardware Download PDF

Info

Publication number
RU2635269C1
RU2635269C1 RU2016103325A RU2016103325A RU2635269C1 RU 2635269 C1 RU2635269 C1 RU 2635269C1 RU 2016103325 A RU2016103325 A RU 2016103325A RU 2016103325 A RU2016103325 A RU 2016103325A RU 2635269 C1 RU2635269 C1 RU 2635269C1
Authority
RU
Russia
Prior art keywords
hardware
complex
software
biometric
module
Prior art date
Application number
RU2016103325A
Other languages
Russian (ru)
Inventor
Алексей Геннадьевич Радайкин
Евгений Анатольевич Сачков
Original Assignee
Алексей Геннадьевич Радайкин
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Алексей Геннадьевич Радайкин filed Critical Алексей Геннадьевич Радайкин
Priority to RU2016103325A priority Critical patent/RU2635269C1/en
Application granted granted Critical
Publication of RU2635269C1 publication Critical patent/RU2635269C1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • G06F15/16Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
    • G06F15/163Interprocessor communication
    • G06F15/173Interprocessor communication using an interconnection network, e.g. matrix, shuffle, pyramid, star, snowflake
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials

Landscapes

  • Information Transfer Between Computers (AREA)

Abstract

FIELD: information technology.
SUBSTANCE: complex of hardware and software, that creates a protected cloud environment with an autonomous full-function logical control infrastructure with biometric-neural network user identification and with the audit of the hardware used, contains server and network equipment, an administrator workstation, a large data storage, a secure access point, a security module, a trust module, a biometric-neural network computing module, and a mobile PC providing protection from theft and unauthorized access.
EFFECT: increase in the information security of cloud services.
8 cl, 2 dwg

Description

Изобретение относится к области информационной безопасности, а именно к программно-аппаратным средствам обеспечения информационной безопасности, и может быть использовано для исключения всего широкого спектра угроз информационной безопасности для телекоммуникационных систем органов государственного управления, организаций, госкорпораций и ведомств Российской Федерации, организованных на базе глобальной сети Интернет, со стороны зарубежных управляющих и контролирующих компаний.The invention relates to the field of information security, and in particular to software and hardware tools for ensuring information security, and can be used to eliminate the entire wide range of information security threats to telecommunication systems of government, organizations, state corporations and departments of the Russian Federation, organized on the basis of a global network Internet, from foreign management and controlling companies.

В дальнейшем при характеристике разработанного технического решения будут использованы следующие термины:In the future, when characterizing the developed technical solution, the following terms will be used:

- модуль безопасности, представляющий собой микроэлектронный чип или встраиваемый микроэлектронный модуль, предназначенный для выполнения функций согласно международных рекомендаций TCG (Trusted Computing Group), но на базе отечественных алгоритмов и норм безопасности, а также расширенный состав функций, требуемый отечественными руководящими документами в области информационной безопасности;- a security module, which is a microelectronic chip or an embedded microelectronic module, designed to perform functions in accordance with the international recommendations of TCG (Trusted Computing Group), but based on domestic algorithms and safety standards, as well as an expanded set of functions required by domestic information security guidelines ;

- модуль доверия (специализированный доверенный носитель информации), предназначенный для выполнения функций согласно международных рекомендаций TCG. Аналогом модуля доверия может быть признан программно-аппаратный комплекс (ПАК) «Личный секрет», http://www.okbsapr.ru/korobov_2010_1.html);- A trust module (specialized trusted storage medium) designed to perform functions in accordance with TCG international recommendations. An analogue of the trust module can be recognized as the Personal Secret software and hardware complex (PAC), http://www.okbsapr.ru/korobov_2010_1.html);

- модуль доверенных биометрико-нейросетевых вычислений (отпечаток пальца), представляющий собой малогабаритный USB модуль, включаемый между сканером рисунка отпечатка пальца (графическим планшетом) и настольным компьютером, ноутбуком. Аналогом модуля доверенных биометрико-нейросетевых вычислений может быть признан ПАК «Аккорд-Win32», http://www.accord.ru/bio.html).- module of trusted biometric-neural network computing (fingerprint), which is a small USB module that is connected between the fingerprint scanner (graphic tablet) and a desktop computer, laptop. PAC “Accord-Win32”, http://www.accord.ru/bio.html) can be recognized as an analogue of the module of trusted biometric-neural network computing.

Технологии облачных сервисов и механизмов доступа к ним через личные кабинеты в настоящее время используются многими предприятиями и организациями. При этом подавляющее большинство сервисов организовано на серверных платформах, находящихся за рубежом, а защита доступа к ним базируется только на логинах и паролях, выдаваемых клиенту при его регистрации владельцем ресурса. Примером могут служить облачные решения от компании Microsoft или Amazon, Google и др.Technologies of cloud services and mechanisms for accessing them through personal accounts are currently used by many enterprises and organizations. Moreover, the vast majority of services are organized on server platforms located abroad, and access protection to them is based only on logins and passwords issued to the client upon registration by the resource owner. An example is cloud solutions from Microsoft or Amazon, Google, etc.

Данные решения тесно связаны с концепцией PaaS (Platformas а Service - платформа как сервис). Один из видов PaaS-решений связан с технологиями распределенных вычислений, которые используются в инфраструктуре таких интернет-гигантов, как Google (файловая система GFS (Google File System), база данных BigTable) и Yahoo (Hadoop). Первым значимым предложением в этой сфере стала система Google Арр Engine. С ее появлением сторонние разработчики получили возможность размещать в инфраструктуре Google веб-приложения, которые могут масштабироваться и обслуживать миллионы веб-пользователей ничуть не хуже, чем приложения от самой Google. Однако взамен разработчики должны отказаться от некоторых инструментов. В частности, в Google Арр Engine нет реляционной системы управления базами данных (СУБД) и не поддерживается стандартный синтаксис «structured query language» (SQL), а вместо этого используется собственная база данных Big Table с синтаксисом Graph Query Language (GQL).These solutions are closely related to the concept of PaaS (Platformas and Service - platform as a service). One type of PaaS solution is associated with distributed computing technologies that are used in the infrastructure of Internet giants such as Google (GFS file system (Google File System), BigTable database) and Yahoo (Hadoop). The first significant proposal in this area was the Google Arp Engine system. With its appearance, third-party developers were able to host web applications on the Google infrastructure that can scale and serve millions of web users no worse than applications from Google itself. However, in return, developers should abandon some tools. In particular, the Google Arp Engine does not have a relational database management system (DBMS) and does not support the standard structured query language (SQL) syntax, but instead uses its own Big Table database with Graph Query Language (GQL) syntax.

Компания Salesforce.com шла с другой стороны: предлагаемая ей онлайновая CRM-платформа разрабатывалась таким образом, чтобы предоставить заказчикам максимум возможностей для доработки и адаптации, что вполне достаточно для создания полностью независимых приложений. Результатом ее деятельности является PaaS-платформа Force.com.Salesforce.com went the other way: its proposed online CRM platform was designed in such a way as to provide customers with the maximum opportunities for refinement and adaptation, which is quite enough to create completely independent applications. The result of its activities is the Force.com PaaS platform.

Принципиальная разница подходов Google и Salesforce.com подчеркивается еще набором программных интерфейсов Force.com for GoogleAppEngine. Этот инструмент позволяет разработчикам Google Арр Engine обращаться к инфраструктуре Force.com в своих приложениях. Таким образом, Force.com и Google Арр Engine лишь теоретически позволяют решать одни и те же задачи - на практике эти системы ориентированы на два разных сегмента рынка (в первом случае - корпоративные пользователи Salesforce.com, во втором - разработчики, ориентированные на технологии от Google) и на текущем этапе практически не составляют друг другу конкуренции.The fundamental difference between the approaches of Google and Salesforce.com is underlined by the Force.com for GoogleAppEngine set of programming interfaces. This tool allows Google Arp Engine developers to access the Force.com infrastructure in their applications. Thus, Force.com and the Google Arp Engine only theoretically allow us to solve the same problems - in practice, these systems are focused on two different market segments (in the first case, corporate users of Salesforce.com, in the second, developers focused on technologies from Google) and at the current stage practically do not compete with each other.

Другой вариант развития PaaS-платформы связан с компанией Microsoft. Для нее PaaS-система WindowsAzure является закономерным этапом развития таких серверных технологий, как ОС WindowsServer, система виртуализации Hyper-V и СУБД SQL Server. Azure предоставляет интегрированный набор прикладных сервисов для разработки, размещения, управления и масштабирования приложений с использованием инфраструктуры центров обработки данных Microsoft. По этой причине WindowsAzure является не инфраструктурным, а платформенным - Platform as a Service (PaaS) решением.Another development option for the PaaS platform is associated with Microsoft. For her, the WindowsAzure PaaS system is a natural stage in the development of server technologies such as WindowsServer, the Hyper-V virtualization system, and SQL Server. Azure provides an integrated set of application services for developing, hosting, managing and scaling applications using the Microsoft data center infrastructure. For this reason, WindowsAzure is not an infrastructure, but a platform - Platform as a Service (PaaS) solution.

Аппаратные ресурсы всех перечисленных решений располагаются за рубежом, что с учетом Федерального закона ФЗ №152 «О персональных данных» накладывает серьезные ограничения на возможность их использования. Существуют и гибридные решения.The hardware resources of all these solutions are located abroad, which, subject to the Federal Law Federal Law No. 152 “On Personal Data”, imposes serious restrictions on the possibility of their use. There are hybrid solutions.

Гибридные «облака» представляют собой такое внедрение облачных вычислений, при котором часть системы размещается в публичном «облаке», т.е. на базе облачного провайдера, а часть - в приватном «облаке», т.е. на серверах, принадлежащих самой компании. По сути, гибридное «облако» не является самостоятельным типом облачных внедрений, а лишь указывает на тесную интеграцию публичных и приватных облачных систем. Например, такая интеграция возможна при вынесении системы резервного копирования в публичное «облако» или наоборот - при осуществлении резервного копирования данных из публичного «облака» на локальные серверы.Hybrid "clouds" are such an implementation of cloud computing, in which part of the system is placed in a public "cloud", i.e. based on a cloud provider, and some in a private "cloud", i.e. on servers owned by the company itself. In fact, a hybrid “cloud” is not an independent type of cloud deployments, but only indicates the close integration of public and private cloud systems. For example, such integration is possible when transferring a backup system to a public “cloud” or vice versa - when backing up data from a public “cloud” to local servers.

Существуют решения, позволяющие одновременно вести мониторинг вычислительных ресурсов, размещенных как внутри компании, так и на сторонней площадке, например, CloudKick от Rackspace. Другой вариант использования гибридного «облака» предполагает установку приложений на внутренних серверах компании с арендой дополнительных мощностей в «облаке» стороннего поставщика на случай непредвиденного повышения нагрузки.There are solutions that allow simultaneous monitoring of computing resources located both inside the company and on a third-party site, for example, CloudKick from Rackspace. Another option for using a hybrid “cloud” involves installing applications on the company's internal servers with the lease of additional capacity in a “cloud” of a third-party provider in case of an unexpected increase in load.

Многие российские компании, предоставляющие облачные услуги, также арендуют зарубежные дата центры и сервера. Примером могут служить облачные решения от 1C. Даже если оборудование располагается на территории РФ, используемые средства виртуализации являются зарубежными программными продуктами: Microsoft (WindowsAzurePack), VMware (vCloudSuite) и др.Many Russian companies providing cloud services also rent foreign data centers and servers. An example is cloud solutions from 1C. Even if the equipment is located on the territory of the Russian Federation, the virtualization tools used are foreign software products: Microsoft (WindowsAzurePack), VMware (vCloudSuite), etc.

Доступ к личному кабинету, а следовательно, ко всему пакету сервисов, которые доступны для данного клиента, является в существующих отечественных и зарубежных решениях отвлеченным от непосредственной личности человека, и предоставляется не фактическому владельцу кабинета, а предъявителю логина и пароля.Access to your personal account, and therefore to the entire package of services that are available for this client, is in existing domestic and foreign solutions abstracted from the person’s immediate identity, and is provided not to the actual owner of the account, but to the bearer of the login and password.

Частное решение достоверной идентификации и авторизации технических средств, при удаленном доступе рабочей станции к облаку, оговорено в международных спецификациях: «TCG: TNC - TrustedNetworkConnect». Для реализации соответствующих протоколов в сетевой инфраструктуре создается архитектурная надстройка, требования к которой регламентируются международными спецификациями. Однако на данный момент данным спецификациям следуют лишь немногие и исключительно зарубежные производители сетевого оборудования: Juniper, Cisco.A particular solution for reliable identification and authorization of technical means, with remote access to the cloud from the workstation, is specified in the international specifications: “TCG: TNC - TrustedNetworkConnect”. To implement the appropriate protocols in the network infrastructure, an architectural superstructure is created, the requirements for which are regulated by international specifications. However, at the moment, only a few and exclusively foreign manufacturers of network equipment follow these specifications: Juniper, Cisco.

Даже это решение может быть эффективно применено только на интерфейсе «машина-машина» и не решает рассматриваемой проблемы на интерфейсах «человек-машина» или «человек-облако». В случае, если за рабочей станцией находится человек-клиент, заявляющий права доступа к ресурсу (например, через личный кабинет), то его личность остается опосредованной, а доступ - условно персонализированным.Even this solution can be effectively applied only on the machine-machine interface and does not solve the problem under consideration on the man-machine or man-cloud interfaces. If there is a client person behind the workstation claiming access rights to the resource (for example, through a personal account), then his identity remains indirect, and access is conditionally personalized.

Эффективное решение рассматриваемой проблемы возможно только на базе технологий биометрической идентификации человека по его индивидуальным параметрам. В рамках данного проекта решение предлагается впервые не только среди отечественных организаций, но и на мировом уровне.An effective solution to this problem is possible only on the basis of biometric identification technologies for a person according to his individual parameters. Within the framework of this project, a solution is proposed for the first time not only among domestic organizations, but also at the global level.

Работы в области использования биометрических средств защиты проводятся за рубежом уже более 20 лет. Средний годовой темп развития биометрии составляет 40%, что является очень высоким показателем. В настоящее время биометрические системы контроля доступа к информации завоевывают все большую популярность в банках, фирмах, связанных с обеспечением безопасности в телекоммуникационных сетях, в информационных отделах фирм и т.д. Подобные системы на российском рынке появились благодаря фирмам "Identix", "SAC Technologies", "Eyedentify", "Вiometricldentificationlnc.", "RecognitionSystems", "Trans-Ameritech", "BioLink", "Sonda", "Elsys", "Эдванс", "AAM Системз", "Полми групп", "Маском".Work in the field of using biometric protective equipment has been carried out abroad for more than 20 years. The average annual rate of development of biometrics is 40%, which is a very high indicator. At present, biometric information access control systems are gaining more and more popularity in banks, companies involved in ensuring security in telecommunication networks, in information departments of companies, etc. Similar systems appeared on the Russian market thanks to the firms Identix, SAC Technologies, Eyedentify, Biometricldentificationlnc., RecognitionSystems, Trans-Ameritech, BioLink, Sonda, Elsys, Advance "," AAM Systems, "Half Band, Mask."

Все перечисленные выше технологии порождают риск утраты/хищения базы биометрических шаблонов в связи с тем, что они выполнены в соответствии с международными стандартами, которые не предусматривают механизмов защиты от компрометации. Этот принципиальный недостаток будет устранен в рамках предлагаемого технического решения через размещение биометрических данных в защищенных нейросетевых контейнерах. Каждый нейросетевой контейнер раскрывается только при предъявлении образа пользователя и не нуждается в дополнительном шифровании на общем ключе.All of the above technologies pose a risk of loss / theft of the base of biometric templates due to the fact that they are made in accordance with international standards that do not provide mechanisms for protection against compromise. This fundamental drawback will be eliminated in the framework of the proposed technical solution through the placement of biometric data in protected neural network containers. Each neural network container is opened only upon presentation of the user image and does not need additional encryption on a shared key.

В ходе проведения поиска по патентной и научно-технической литературе не выявлен источник информации, который мог бы быть использован в качестве ближайшего аналога разработанного технического решения.During the search for patent and scientific and technical literature, no source of information was identified that could be used as the closest analogue of the developed technical solution.

Ближайшим аналогом средств организации замкнутой среды внутри сетей общего пользования в том числе и Интернет являются VPN-решения, которые предлагаются многими производителями сетевого оборудования: Cisco, D-Link, Mikrotik, Junipera др. Однако VPN-сеть нельзя рассматривать как полноценное облако, поскольку она изначально не предполагает наличие сервисов и логической инфраструктуры. Также классические VPN-решения не используют технологию доверенных вычислений не говоря уже о биометрической идентификации пользователей.The closest analogue to organizing a closed environment inside public networks including the Internet are VPN solutions that are offered by many manufacturers of network equipment: Cisco, D-Link, Mikrotik, Junipera etc. However, a VPN network cannot be considered as a full-fledged cloud, since it initially does not imply the availability of services and logical infrastructure. Also, classic VPN solutions do not use trusted computing technology, not to mention biometric user identification.

Существуют решения, построенные «поверх» VPN. К наиболее масштабному примеру в России можно отнести систему межведомственного электронного взаимодействия (СМЭВ) разработанную в рамках программы «электронное правительство». Однако в силу специфических задач она тесно интегрирована с глобальным Интернет и не обеспечивают достаточной степени замкнутости, независимости и защиты от внешних и внутренних атак, что не позволяет использовать их в службах, управлениях и подразделениях РФ, где циркулирует секретная информация. СМЭВ строится внутри сегмента сети Интернет RSNet (RussianStateNetwork), зарегистрированного в RIPE NCC (

Figure 00000001
Network Coordination Centre) и контролируемого из Амстердама.There are solutions built on top of the VPN. The most ambitious example in Russia is the system of interagency electronic interaction developed in the framework of the e-government program. However, due to specific tasks, it is closely integrated with the global Internet and does not provide a sufficient degree of isolation, independence and protection from external and internal attacks, which does not allow their use in services, departments and divisions of the Russian Federation, where secret information circulates. SMEV is being built within the segment of the Internet network RSNet (RussianStateNetwork), registered in RIPE NCC (
Figure 00000001
Network Coordination Center) and controlled from Amsterdam.

Некоторые зарубежные решения, предлагаемые Интернет-гигантами (Google, Microsoft, Oracle и др.) могут рассматриваться как близкие аналоги, но они не могут использоваться в РФ в силу нахождения всей физической инфраструктуры (серверы, системы хранения данных) вне территории России.Some foreign solutions offered by Internet giants (Google, Microsoft, Oracle, etc.) can be considered as close analogues, but they cannot be used in the Russian Federation due to the fact that the entire physical infrastructure (servers, data storage systems) is located outside of Russia.

Аналогом разрабатываемой системы в части биометрии является система международных биометрических паспортов. Эта система не может быть использована электронным правительством и средствами дистанционного образования, так как в ней открыто хранятся биометрические шаблоны пользователей. Это противоречит ФЗ №152 «О персональных данных». Только в том случае, когда все персональные биометрические данные будут размещены в защищенные нейросетевые контейнеры (выполненные по ГОСТ P 52633.4-2012), разрабатываемая технология дистанционной биометрической авторизации сможет удовлетворить ФЗ №152 «О персональных данных» и применяться электронным правительством.An analogue of the developed system in terms of biometrics is the system of international biometric passports. This system cannot be used by e-government and distance education, as it contains openly stored biometric user templates. This contradicts Federal Law No. 152 “On Personal Data”. Only in the case when all personal biometric data will be placed in secure neural network containers (made in accordance with GOST P 52633.4-2012), the developed remote biometric authorization technology will be able to satisfy Federal Law No. 152 “On Personal Data” and be applied by electronic government.

Кроме того, аналогом являются обычные удостоверяющие центры формирования сертификатов открытого ключа, которые не способны оказывать услуг биометрической регистрации и аутентификации.In addition, the usual certification centers for generating public key certificates, which are not able to provide biometric registration and authentication services, are analogous.

На данный момент за рубежом и в России нет аналогов, которые позволяют дистанционно контролировать биометрию человека, сохраняя все его персональные данные в тайне. Новизна состоит в том, что предлагаемая технология способна сохранять тайну используемой биометрии конкретного человека. Угроза хищения баз персональных биометрических данных исчезает. Человека узнают автоматы, извлечь из памяти автоматов биометрические данные человека нельзя. Хозяин биометрии пользуется своими правами, а злоумышленник не может воспользоваться чужими данными или хоты бы найти человека, являющегося их хозяином.At the moment, there are no analogues abroad and in Russia that allow you to remotely control a person’s biometrics, keeping all his personal data secret. The novelty lies in the fact that the proposed technology is able to maintain the secret of the biometrics used by a particular person. The threat of theft of personal biometric data bases disappears. Automata recognize a person; it is impossible to extract human biometric data from the automaton’s memory. The owner of biometrics uses his rights, and the attacker can not use other people's data or even want to find the person who is their master.

Сочетание в едином продукте облачных технологий, технологии доверенных вычислений (технологии информационной безопасности) и биометрической идентификации человека (технологии доверенной авторизации) является качественно новым свойством, выгодно отличающим создаваемую продукцию от всех аналогов, имеющихся на мировом рынке.The combination of cloud technologies, technology of trusted computing (information security technology) and biometric identification of a person (technology of trusted authorization) in a single product is a qualitatively new property that distinguishes the products being created from all analogues available on the world market.

Примером применения данного технического решения может являться создание полностью замкнутой облачной среды, предназначенной для создания защищенных систем электронного документооборота и использования в организациях с повышенными требованиями к защите информации (Фонд социального страхования, Пенсионный Фонд, Федеральная миграционная служба, нотариат, судопроизводство, электронные торговые площадки, наука, муниципалитет, учреждения высшего и среднего образования, банки, медицинские учреждения и т.д.)An example of the application of this technical solution can be the creation of a completely closed cloud environment designed to create secure electronic document management systems and use in organizations with high requirements for information security (Social Insurance Fund, Pension Fund, Federal Migration Service, notary office, legal proceedings, electronic trading platforms, science, municipality, institutions of higher and secondary education, banks, medical institutions, etc.)

Техническая задача, решаемая посредством разработанного аппаратно-программного комплекса, состоит в создании в России защищенной и доверенной облачной среды, использующей только транспортный уровень российского сегмента сети Интернет и не зависящую от зарубежных регуляторов и информационных ресурсов.The technical problem solved by the developed hardware-software complex is to create a secure and trusted cloud environment in Russia that uses only the transport level of the Russian segment of the Internet and is not dependent on foreign regulators and information resources.

Технический результат, достигаемый при реализации разработанного технического решения, состоит в создании полностью замкнутого информационного облачного пространства путем объединения известных облачных технологий с технологией доверенных вычислений и доверенного сетевого соединения с индивидуальными биометрическими характеристиками человека.The technical result achieved by the implementation of the developed technical solution consists in creating a fully enclosed information cloud space by combining well-known cloud technologies with trusted computing technology and a trusted network connection with individual human biometric characteristics.

Для достижения указанного технического результата предложено использовать аппаратно-программный комплекс разработанной архитектуры. Разработанный комплекс аппаратно-программных средств, создающий защищенную облачную среду с автономной полнофункциональной инфраструктурой логического управления с биометрико-нейросетевой идентификацией пользователей и с аудитом используемых технических средств содержит, по меньшей мере, комплекс технических средств, включающий серверное оборудование, сетевое оборудование, предназначенное для организации замкнутой защищенной информационной среды, для аудита подключаемых технических средств и доступа к ней стационарных и мобильных клиентов администратором, рабочее место администратора, хранилище информации большого объема, предназначенного для создания сетевых и системных ресурсов, по меньшей мере, одно рабочее место пользователя, каждое из рабочих мест пользователя содержит настольный компьютер, защищенный от несанкционированного доступа, а также хищения информации, управляемую и защищенную точку доступа, обеспечивающую доступ в облако и являющуюся шлюзом, отделяющим замкнутую мультисервисную среду от внешней сети, дополнительно оснащенный модулем безопасности, модулем доверия, модулем доверенных биометрико-нейро-сетевых вычислений, кроме того, комплекс содержит мобильную ПЭВМ (персональная электронно-вычислительная машина), обеспечивающая защиту данных от хищения и несанкционированного доступа, которая может представлять собой планшет (ноутбук), а также программное обеспечение, предназначенное для выполнения функций контроля доверенных вычислений с расширением стандартных функций TCG за счет биометрического контроля личности операторов в дополнение к контролю аппаратных и программных средств.To achieve the specified technical result, it is proposed to use the hardware-software complex of the developed architecture. The developed hardware and software complex that creates a secure cloud environment with an autonomous full-featured logical management infrastructure with biometric-neural network identification of users and with the audit of used technical means contains at least a complex of technical means, including server hardware, network equipment designed to organize closed secure information environment, for auditing plug-in hardware and access to it stationary and mobile administrator’s clients, the administrator’s workstation, a large volume of information storage intended for creating network and system resources, at least one user’s workstation, each of the user's workstations contains a desktop computer protected from unauthorized access, as well as information theft managed and a secure access point that provides access to the cloud and is a gateway that separates a closed multiservice environment from an external network, additionally equipped with a security module In addition, the complex contains a mobile PC (personal electronic computer), which protects data from theft and unauthorized access, which can be a tablet (laptop), as well as a software module, as well as a trust module, a trusted biometric-neural network computing module. software designed to perform trusted computing control functions with the extension of standard TCG functions due to biometric control of the operators' identities in addition to the control of hardware and software mnyh funds.

Модуль безопасности обычно представляет собой микроэлектронный чип или встраиваемый микроэлектронный модуль.A security module is typically a microelectronic chip or an embedded microelectronic module.

Модуль доверия обычно представляет собой защищенный носитель информации.A trust module is typically a secure storage medium.

Модуль доверенных биометрико-нейро-сетевых вычислений предпочтительно содержит малогабаритный USB модуль, установленный между сканером рисунка отпечатка пальца и настольным компьютером,The trusted biometric-neuro-network computing module preferably comprises a small-sized USB module installed between a fingerprint scanner and a desktop computer,

Персональные биометрические данные преимущественно размещены в защищенные нейросетевые контейнеры, выполненные по ГОСТ P 52633.4-2012.Personal biometric data is mainly placed in secure neural network containers made in accordance with GOST P 52633.4-2012.

Обычно каждый нейросетевой контейнер выполнен с возможностью раскрытия только при предъявлении образа пользователя без дополнительного шифрования на общем ключе.Typically, each neural network container is capable of disclosure only upon presentation of a user image without additional encryption on a shared key.

Комплекс аппаратно-програмных средств может иметь частную модель развертывания.The hardware-software complex may have a private deployment model.

Обычно комплекс изолирован от глобальной сети Интернет.Usually the complex is isolated from the global Internet.

Схема разработанного комплекса представлена на фиг. 1The scheme of the developed complex is presented in FIG. one

Модуль безопасности (фиг. 2) представляет собой микроэлектронный чип или встраиваемый микроэлектронный модуль и предназначен для выполнения специфицированных функций согласно международных рекомендаций TCG, но на базе отечественных алгоритмов и норм безопасности, а также расширенный состав функций, требуемый отечественными руководящими документами в области информационной безопасности. Модуль безопасности применяется в составе рабочих мест клиентов на базе ПЭВМ (мобильной ПЭВМ). Модуль безопасности имеет следующие характеристики (в качестве модуля безопасности может быть использован контроллер производства ОКБ «САПР» «Аккорд-5.5», http://www.accord.ru/accord55.html).The security module (Fig. 2) is a microelectronic chip or an embedded microelectronic module and is designed to perform specified functions according to international recommendations of TCG, but based on domestic algorithms and safety standards, as well as an expanded set of functions required by domestic guidance documents in the field of information security. The security module is used as part of customer jobs on the basis of a personal computer (mobile personal computer). The security module has the following characteristics (as a security module, the controller manufactured by the Design Bureau "CAD" "Accord-5.5", http://www.accord.ru/accord55.html can be used).

Figure 00000002
Figure 00000002

Figure 00000003
Figure 00000003

Figure 00000004
Figure 00000004

3. Модуль доверия (специализированный доверенный носитель информации) предназначен для выполнения специфицированных функций согласно международных рекомендаций TCG. Модуль доверия применяется в составе рабочих мест клиентов на базе ПЭВМ (мобильной ПЭВМ). Модуль доверия имеет следующие характеристики (в качестве модуля доверия может быть использован программно-аппаратный комплекс (ПАК) «Личный секрет», http://www.okbsapr.ru/korobov_2010_1.html):3. The trust module (specialized trusted storage medium) is designed to perform the specified functions in accordance with the international recommendations of TCG. The trust module is used as part of customer jobs based on personal computers (mobile personal computers). The trust module has the following characteristics (the “Personal Secret” software and hardware complex (PAC) can be used as the trust module, http://www.okbsapr.ru/korobov_2010_1.html):

Figure 00000005
Figure 00000005

Figure 00000006
Figure 00000006

Модуль доверенных биометрико-нейросетевых вычислений (отпечаток пальца) включает в себя малогабаритный USB модуль, включаемый между сканером рисунка отпечатка пальца (графическим планшетом) и настольным компьютером, ноутбуком (в качестве модуля доверенных биометрико-нейросетевых вычислений может быть использован ПАК «Аккорд-Win32», http://www.accord.ru/bio.html). Все криптографические операции и операции нейросетевого распознавания биометрических образов, осуществляются внутри модуля доверенных вычислений и представляет собой нейросетевой контейнер (защищенная таблица обученной нейронной сети), выполненные по ГОСТ P 52633.4-2012. Каждый нейросетевой контейнер раскрывается только при предъявлении образа пользователя и не нуждается в дополнительном шифровании на общем ключе. Модуль предназначен для выполнения биометрико-нейросетевых преобразований аутентификации в доверенной вычислительной среде USB модуля. Модуль применяется в составе рабочих мест клиентов на базе ПЭВМ (мобильной ПЭВМ).The trusted biometric-neural network computing module (fingerprint) includes a small-sized USB module that is connected between the fingerprint drawing scanner (graphic tablet) and a desktop computer, laptop (Accord-Win32 PAK can be used as a trusted biometric-neural network computing module , http://www.accord.ru/bio.html). All cryptographic operations and operations of neural network recognition of biometric images are carried out inside the trusted computing module and is a neural network container (protected table of a trained neural network) performed in accordance with GOST P 52633.4-2012. Each neural network container is opened only upon presentation of the user image and does not need additional encryption on a shared key. The module is designed to perform biometric-neural network authentication transformations in the trusted computing environment of the USB module. The module is used as part of customer jobs on the basis of a personal computer (mobile personal computer).

Мобильная ПЭВМ в виде планшета (ноутбук) обеспечивает защиту данных от хищения и несанкционированного доступа и предназначена для обеспечения доступа мобильного пользователя к порталу с информационными облачными сервисами. Вариант исполнения - планшет (ноутбук). Доступ в мультисервисную среду портала - по беспроводным каналам связи 3G (HSDPA, HSUPA, UMTS), EDGE, GPRS, LTE, 4G. Питание: автономное, от встроенных источников питания. Авторизация доступа - биометрическая. ПЭВМ применяется в составе создаваемого комплекса и используется на мобильных рабочих местах пользователей.A mobile PC in the form of a tablet (laptop) provides data protection from theft and unauthorized access and is designed to provide mobile user access to a portal with informational cloud services. Variant of execution - tablet (laptop). Access to the portal’s multiservice environment - via 3G wireless channels (HSDPA, HSUPA, UMTS), EDGE, GPRS, LTE, 4G. Power: autonomous, from built-in power sources. Access authorization - biometric. A personal computer is used as part of the created complex and is used on users' mobile workstations.

ПЭВМ, защищенная от хищения информации, предназначена для обеспечения доступа пользователя к порталу с информационными облачными сервисами. ПЭВМ, применяемая в составе создаваемого комплекса, предназначена для использования на рабочих местах пользователей. Вариант исполнения - настольный компьютер. Доступ в Интернет: беспроводной 3G (HSDPA, HSUPA, UMTS), EDGE, GPRS, LTE; проводной - Ethernet (100BASE-TX). Авторизация доступа - биометрическая.PC, protected from information theft, is designed to provide user access to the portal with information cloud services. The personal computer used as part of the created complex is intended for use at users' workplaces. An option is a desktop computer. Internet access: wireless 3G (HSDPA, HSUPA, UMTS), EDGE, GPRS, LTE; wired - Ethernet (100BASE-TX). Access authorization - biometric.

Программное обеспечение (ПО) предназначено для выполнения функций контроля доверенных вычислений с расширением стандартных функций TCG за счет биометрического контроля личности операторов в дополнение к контролю аппаратных и программных средств (в качестве ПО применяется ПО из состава ПАК «Аккорд-Win32», http://www.accord.ru/bio.html). ПО обрабатывает данные стандартных сканеров биометрических данных (отпечаток пальца). ПО применяется в составе рабочих мест клиентов на базе ПЭВМ (мобильной ПЭВМ), например, настольного компьютера, ноутбука, планшетного компьютера, работающих под OC Windows или OC Linux (версии ОС уточняются при поставках).The software (software) is designed to perform the functions of trusted computing control with the extension of the standard TCG functions due to the biometric control of the identity of operators in addition to the control of hardware and software (software used from the PAK Accord-Win32 software, http: // www.accord.ru/bio.html). The software processes data from standard biometric data scanners (fingerprint). The software is used as part of client workstations based on a personal computer (mobile personal computer), for example, a desktop computer, laptop, tablet computer operating under OC Windows or OC Linux (OS versions are specified upon delivery).

Для доступа в облако используют управляемую и защищенную точку доступа (УЗТД) (Точка доступа Cisco W API 21 Wireless-N с единой точкой настройки, http://www.cisco.com/c/en/us/products/collateral/wireless/wap121-wireless-n-access-point-single-point-setup/c78-697404_data_sheet.html) являющуюся шлюзом, отделяющим замкнутую мультисервисную среду от внешней сети. При своих малых габаритах УЗТД имеет в своем составе как проводные (Ethernet, оптоволокно) так и беспроводные (Wi-Fi) интерфейсы, позволяющие получить доступ к мультисервисной среде как со стационарных, так и с мобильных объектов.To access the cloud, use a managed and secure access point (UTTD) (Cisco W API 21 Wireless-N Access Point with a single configuration point, http://www.cisco.com/c/en/us/products/collateral/wireless/ wap121-wireless-n-access-point-single-point-setup / c78-697404_data_sheet.html) is a gateway that separates a closed multiservice environment from an external network. With its small dimensions, the UZTD incorporates both wired (Ethernet, fiber) and wireless (Wi-Fi) interfaces, allowing access to the multiservice environment from both stationary and mobile objects.

Благодаря автономному воспроизведению всей логической инфраструктуры сети Интернет, работа в мультисервисной среде аналогична работе в глобальном Интернете. Доступ к электронным ресурсам, выполненный в виде веб-приложений, осуществляется через обычный браузер. При этом на клиентском техническом средстве не устанавливается никакого дополнительного программного обеспечения или плагинов. В адресной строке вводятся привычные буквенные адреса, электронная почта имеет знакомый формат:

Figure 00000007
(в качестве символьного обозначения домена первого уровня
Figure 00000008
могут быть использованы любые аббревиатуры, также как привычная .ru, так и любая другая .aa, .bb и прочие).Thanks to the autonomous reproduction of the entire logical infrastructure of the Internet, work in a multiservice environment is similar to work in the global Internet. Access to electronic resources, made in the form of web applications, is carried out through a regular browser. However, no additional software or plug-ins are installed on the client hardware. In the address bar, the usual letter addresses are entered, the e-mail has a familiar format:
Figure 00000007
(as a symbol of the first level domain
Figure 00000008
any abbreviations can be used, as well as the usual .ru, as well as any other .aa, .bb and others).

Для установления соединений в диапазоне «серых» IP-адресов на серверах дублируется вся логическая инфраструктура сети Интернет (DNS-серверы, серверы времени, процессы выделения IP-адресов и др.), что делает возможным использование стандартных интернет-технологий внутри замкнутой среды передачи данных. Данный подход упрощает как низкоуровневый обмен данными, например, за счет использования сервиса гарантированной доставки сообщений по принципу «канал-подписчик» (publish-subscribe), так и высокоуровневый доступ к структурированным данным (к базам данных, к сетевым ресурсам).To establish connections in the range of “gray” IP addresses on servers, the entire logical infrastructure of the Internet is duplicated (DNS servers, time servers, IP address allocation processes, etc.), which makes it possible to use standard Internet technologies inside a closed data transmission medium . This approach simplifies both low-level data exchange, for example, through the use of the guaranteed message delivery service according to the “publish-subscribe” principle, as well as high-level access to structured data (databases, network resources).

Функционирование мобильных и стационарных объектов в сегменте осуществляется в динамических («серых») адресах любых местных операторов. При этом IP-адреса объектов сети будут находиться в общем числе динамических адресов, которые предоставляются всем пользователям сетей сотовой связи и сети интернет.The functioning of mobile and stationary objects in the segment is carried out in the dynamic ("gray") addresses of any local operators. In this case, the IP addresses of network objects will be in the total number of dynamic addresses that are provided to all users of cellular networks and the Internet.

В отличие от глобального интернета, где связь «точка-точка» возможна только для любой пары из диапазона белых IP-адресов, в созданной мультисервисной среде криптографическая подсистема имеет возможность организации иерархической структуры подсетей по принципу «старший-подчиненный». Причем внутренние IP-адреса не меняются при смене внешних адресов (провайдеров) или способа доступа УЗТД в сеть (Ethernet/4G/Wi-Fi), что особенно актуально при использовании в качестве транспортной среды глобальной сети Интернет.Unlike the global Internet, where point-to-point communication is possible only for any pair from the range of white IP addresses, in the created multi-service environment, the cryptographic subsystem has the ability to organize a hierarchical structure of subnets according to the senior-subordinate principle. Moreover, the internal IP addresses do not change when changing external addresses (providers) or the way the UTTD accesses the network (Ethernet / 4G / Wi-Fi), which is especially true when using the global Internet as a transport medium.

Данные, передаваемые в каналах связи, идентичны стандартному VPN-трафику.Data transmitted over communication channels is identical to standard VPN traffic.

Использование современных телекоммуникационных технологий при реализации рассматриваемого системного проекта позволит обеспечить возможность функционирования в едином защищенном информационном поле:The use of modern telecommunication technologies in the implementation of the system project under consideration will ensure the possibility of functioning in a single secure information field:

- комплексов удаленного доступа к системным ресурсам:- complexes of remote access to system resources:

а) к базам данных;a) to databases;

б) к базам навигационной информации;b) to the bases of navigation information;

в) к базам аудио-, видеоинформации;c) to the bases of audio and video information;

г) к сервисам дистанционного автоматизированного управления систем электронного документооборота с цифровой подписью;d) to remote automated control services of electronic document management systems with digital signature;

- систем электронной почты и мгновенных сообщений, в том числе с цифровой подписью;- e-mail and instant messaging systems, including digitally signed;

- систем передачи данных и телеметрической информации;- data transmission systems and telemetric information;

- систем обмена аудио-, видеоинформацией (в том числе видео с высокой разрешающей способностью);- systems for the exchange of audio, video information (including high-resolution video);

- различных разнородных сетей и радиосетей связи;- various heterogeneous communication networks and radio networks;

- систем навигации и позиционирования;- navigation and positioning systems;

- систем сотовой связи.- cellular communication systems.

При этом доступ к единой информационной среде как со стороны сопрягаемых систем, так и со стороны отдельных корреспондентов может быть осуществлен в защищенных режимах с проводным и беспроводным (мобильным) доступом, в том числе в режимах удаленного доступа по широкополосным радиоканалам.At the same time, access to a unified information environment both from the side of interfaced systems and from individual correspondents can be carried out in secure modes with wired and wireless (mobile) access, including remote access modes over broadband radio channels.

Подобные системные решения позволят при решении задач сопряжения в единой информационной среде разнородных систем и сетей специальной связи абстрагироваться от вопросов реализации протоколов и интерфейсов сопряжения в каждом конкретном случае и сосредоточиться на решении общих системных задач сопряжения, рассматривая их одновременно, в комплексе с задачами информационной безопасности. Кроме того, сервис-ориентированная архитектура позволит использовать те же единые системные подходы для реализации системных служб и сервисов с учетом современных требований по безопасности.Such systemic solutions will allow, when solving pairing problems in a single information environment of heterogeneous systems and special communication networks, to abstract from the implementation of pairing protocols and interfaces in each specific case and focus on solving common pairing system problems, considering them simultaneously, in conjunction with information security tasks. In addition, a service-oriented architecture will allow the use of the same unified system approaches for the implementation of system services and services, taking into account modern security requirements.

Перспективным представляется использование в аппаратных средствах мультисервисной среды отечественных аналогов доверенного модуля ТРМ. Применительно к задачам организации доверенной среды передачи данных, модуль ТРМ выполняет такие задачи как:It seems promising to use domestic hardware of the TPM trusted module in the multiservice environment hardware. In relation to the tasks of organizing a trusted data transmission medium, the TPM module performs such tasks as:

- хранение электронного отпечатка системы;- storage of the electronic fingerprint of the system;

- аудит клиентской конфигурации;- audit of client configuration;

- назначение и применение политик безопасности до установления связи с замкнутой средой;- the appointment and application of security policies before establishing communication with a closed environment;

- проверка выполнения клиентом необходимых критериев для доступа в защищенную среду.- checking that the client fulfills the necessary criteria for access to a secure environment.

Применение модуля ТРМ позволит исключить доступ в защищенную мультисервисную среду с устройства при измененной конфигурации системы, произведенной вредоносным ПО или самим пользователем.The use of the TPM module will make it possible to exclude access to the protected multiservice environment from the device with a modified system configuration produced by malware or by the user.

Принципиально важной характеристикой рассматриваемых системных решений является то, что в качестве транспортной среды реализации может быть использована любая среда передачи данных с коммутацией пакетов, при этом глобальная сеть Интернет может рассматриваться - только как частный, но наиболее характерный случай.A fundamentally important characteristic of the considered system solutions is that any medium with packet-switched data can be used as a transport medium for implementation, while the global Internet can be considered only as a special, but most characteristic case.

Суть технологии заключается в том, что механизмы информационной безопасности опускаются на самый низкий уровень аппаратных платформ и служат фундаментом для выстраивания на их основе иерархической доверенной вычислительной среды вплоть до приложений пользователя.The essence of the technology is that information security mechanisms descend to the lowest level of hardware platforms and serve as the foundation for building a hierarchical trusted computing environment on their basis up to user applications.

Целевые задачи технологии в составе средств вычислительной техники (СВТ) достигаются путем внедрения на аппаратную платформу или даже непосредственно в вычислительное ядро центрального процессора (CPU), специализированного агента информационной безопасности, придаваемого в помощь CPU для решения специализированных задач информационной безопасности. На уровне сетевых и инфраструктурных решений, облачных технологий, на виртуальных и мобильных платформах целевые задачи технологии достигаются путем специальных архитектурных решений и соответствующих многочисленных протоколов.The technology targets as part of computer technology (SVT) are achieved by introducing on the hardware platform or even directly into the computer core the central processor (CPU), a specialized information security agent that is provided to help the CPU to solve specialized information security problems. At the level of network and infrastructure solutions, cloud technologies, on virtual and mobile platforms, technology targets are achieved through special architectural solutions and the corresponding numerous protocols.

Агенты информационной безопасности реализуются в виде специализированного микроэлектронного чипа или встраиваемого микроэлектронного модуля, который называется ТРМ.Information security agents are implemented in the form of a specialized microelectronic chip or an embedded microelectronic module called TPM.

В программно-аппаратной среде СВТ модуль ТРМ выполняет следующие задачи:In the SVT firmware environment, the TPM module performs the following tasks:

- контроль целостности и заданной конфигурации платформы, а также состав подключенных к ней периферийных технических средств;- monitoring the integrity and predetermined configuration of the platform, as well as the composition of peripheral hardware connected to it;

- контроль подлинности платформы, на которую установлен модуль ТРМ (аутентификация платформы);- authentication of the platform on which the TPM module is installed (platform authentication);

- контроль целостности BIOS;- BIOS integrity monitoring;

- контроль целостности и заданной конфигурации программной среды, включая операционную систему;- integrity control and a given configuration of the software environment, including the operating system;

- аутентификацию пользователя (аутентификация может быть однофакторная или многофакторная);- user authentication (authentication can be single-factor or multi-factor);

- динамический контроль целостности и санкционированный запуск программ, включая программы операционной системы и приложения пользователя;- dynamic integrity control and authorized launch of programs, including operating system programs and user applications;

- генерация и хранение с защитой от несанкционированного доступа (НСД) ключей шифрования и ключей электронной цифровой подписи (ЭЦП);- generation and storage with protection against unauthorized access (NSD) of encryption keys and keys of electronic digital signature (EDS);

- хранение с защитой от НСД критических данных о платформе и о ее программной среде, поступающих от BIOS, от ОС, а также данных пользователя, имеющих ограниченное распространение;- storage with protection against unauthorized access of critical data about the platform and its software environment coming from the BIOS, from the OS, as well as user data having limited distribution;

- выполнение функций аппаратного поставщика криптографических сервисов (критопровайдера) для ОС и приложений пользователя.- Performing the functions of a hardware cryptographic services provider (crit provider) for the OS and user applications.

Предлагаемый техническое решение можно частично отнести к категории SaaS (Software-as-a-Service) - программное обеспечение как услуга. Отличием является то, что пользователю не просто предоставляется доступ к облачным сервисам, наряду с обычной работой в Интернет. В данном случае пользователю предоставляется возможность пользования сервисами, если только он уже находится в замкнутом пространстве облака, которое не имеет выход в открытый Интернет и наоборот. Замкнутость предлагаемой облачной архитектуры достигается помимо классических криптографических подходов комбинацией с технологией доверенных вычислений и биометрико-нейросетевой идентификации. Дублирование системных и прикладных сервисов глобального Интернет внутри защищенного облака делает работу пользователя аналогичной работе в Интернет и не требует дополнительных навыков.The proposed technical solution can be partially attributed to the category of SaaS (Software-as-a-Service) - software as a service. The difference is that the user is not only provided with access to cloud services, along with the usual work on the Internet. In this case, the user is given the opportunity to use the services, if only he is already in the closed space of the cloud, which does not have access to the open Internet and vice versa. Closedness of the proposed cloud architecture is achieved in addition to classical cryptographic approaches by a combination with technology of trusted computing and biometric-neural network identification. Duplication of system and application services of the global Internet inside a protected cloud makes the user’s work similar to working on the Internet and does not require additional skills.

Claims (8)

1. Комплекс аппаратно-программных средств, создающий защищенную облачную среду с автономной полнофункциональной инфраструктурой логического управления с биометрико-нейросетевой идентификацией пользователей и с аудитом используемых технических средств, характеризуемый тем, что он содержит, по меньшей мере, комплекс технических средств, причем комплекс технических средств включает серверное оборудование, сетевое оборудование, предназначенное для организации замкнутой защищенной информационной среды, для аудита подключаемых технических средств и доступа к ней стационарных и мобильных клиентов администратором, рабочее место администратора, хранилище информации большого объема, предназначенного для создания сетевых и системных ресурсов, по меньшей мере, одно рабочее место пользователя, каждое из рабочих мест пользователя содержит настольный компьютер, защищенный от несанкционированного доступа, а также хищения информации, управляемую и защищенную точку доступа, обеспечивающую доступ в облако и являющуюся шлюзом, отделяющим замкнутую мультисервисную среду от внешней сети, дополнительно оснащенный модулем безопасности, модулем доверия, модулем доверенных биометрико-нейросетевых вычислений, кроме того, комплекс содержит мобильную ПЭВМ, обеспечивающую защиту данных от хищения и несанкционированного доступа, а также программное обеспечение, предназначенное для выполнения функций контроля доверенных вычислений с расширением стандартных функций TCG за счет биометрического контроля личности операторов в дополнение к контролю аппаратных и программных средств.1. A hardware-software complex that creates a secure cloud environment with an autonomous full-featured logical management infrastructure with biometric-neural network identification of users and with an audit of the technical means used, characterized in that it contains at least a complex of technical means, and a complex of technical means includes server equipment, network equipment designed to organize a closed secure information environment, for auditing connected technologies tools and access to it for stationary and mobile clients by the administrator, administrator’s workstation, large-scale information storage intended for creating network and system resources, at least one user’s workstation, each user’s workstation contains a desktop computer protected from unauthorized access, as well as information theft, a managed and secure access point that provides access to the cloud and is a gateway that separates a closed multiservice environment from the network, additionally equipped with a security module, a trust module, a module of trusted biometric-neural network computing, in addition, the complex contains a mobile PC that protects data from theft and unauthorized access, as well as software designed to perform trusted computing control functions with the extension of standard TCG functions through biometric control of the identity of operators in addition to the control of hardware and software. 2. Комплекс аппаратно-программных средств по п. 1, отличающийся тем, что модуль безопасности представляет собой микроэлектронный чип или встраиваемый микроэлектронный модуль.2. The hardware and software complex of claim 1, wherein the security module is a microelectronic chip or an embedded microelectronic module. 3. Комплекс аппаратно-программных средств по п. 1, отличающийся тем, что модуль доверия представляет собой защищенный носитель информации.3. The complex of hardware and software according to claim 1, characterized in that the trust module is a secure storage medium. 4. Комплекс аппаратно-программных средств по п. 1, отличающийся тем, что модуль доверенных биометрико-нейросетевых вычислений содержит малогабаритный USB модуль, установленный между сканером рисунка отпечатка пальца и настольным компьютером.4. The hardware and software complex according to claim 1, characterized in that the trusted biometric-neural network computing module contains a small-sized USB module installed between the fingerprint scanner and the desktop computer. 5. Комплекс аппаратно-програмных средств по п. 1, отличающийся тем, что персональные биометрические данные размещены в защищенные нейросетевые контейнеры, выполненные по ГОСТ Р 52633.4-2012.5. The hardware and software complex according to claim 1, characterized in that the personal biometric data is placed in secure neural network containers made in accordance with GOST R 52633.4-2012. 6. Комплекс аппаратно-програмных средств по п. 5, отличающийся тем, что каждый нейросетевой контейнер выполнен с возможностью раскрытия только при предъявлении образа пользователя без дополнительного шифрования на общем ключе.6. The hardware-software complex according to claim 5, characterized in that each neural network container is capable of being disclosed only upon presentation of a user image without additional encryption on a shared key. 7. Комплекс аппаратно-програмных средств по п. 1, отличающийся тем, что имеет частную модель развертывания.7. The complex of hardware and software tools under item 1, characterized in that it has a private deployment model. 8. Комплекс аппаратно-програмных средств по п. 1, отличающийся тем, что он изолирован от глобальной сети Интернет.8. The complex of hardware and software tools under item 1, characterized in that it is isolated from the global Internet.
RU2016103325A 2016-02-02 2016-02-02 Complex of hardware and software creating protected cloud environment with autonomous full-function logical control infrastructure with biometric-neural network identification of users and with audit of connected hardware RU2635269C1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2016103325A RU2635269C1 (en) 2016-02-02 2016-02-02 Complex of hardware and software creating protected cloud environment with autonomous full-function logical control infrastructure with biometric-neural network identification of users and with audit of connected hardware

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2016103325A RU2635269C1 (en) 2016-02-02 2016-02-02 Complex of hardware and software creating protected cloud environment with autonomous full-function logical control infrastructure with biometric-neural network identification of users and with audit of connected hardware

Publications (1)

Publication Number Publication Date
RU2635269C1 true RU2635269C1 (en) 2017-11-09

Family

ID=60263882

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2016103325A RU2635269C1 (en) 2016-02-02 2016-02-02 Complex of hardware and software creating protected cloud environment with autonomous full-function logical control infrastructure with biometric-neural network identification of users and with audit of connected hardware

Country Status (1)

Country Link
RU (1) RU2635269C1 (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2703150C1 (en) * 2018-09-14 2019-10-15 Общество с ограниченной ответственностью "А3" Access service platform
RU196279U1 (en) * 2019-08-01 2020-02-21 Общество с ограниченной ответственностью "Научно-производственная компания "Техника дела" (ООО "НПК "Техника Дела") BIOMETRIC USER IDENTIFICATION DEVICE
RU2727932C1 (en) * 2019-12-04 2020-07-27 Публичное Акционерное Общество "Сбербанк России" (Пао Сбербанк) Method and system for detecting malicious files by generating ads on online trading platforms

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080046581A1 (en) * 2006-08-18 2008-02-21 Fujitsu Limited Method and System for Implementing a Mobile Trusted Platform Module
RU2346397C1 (en) * 2007-06-26 2009-02-10 Александр Иванович Иванов Method of protecting personal biometrical identification and authentification data
US20100125898A1 (en) * 2006-07-31 2010-05-20 Fortinet, Inc. Use of authentication information to make routing decisions
US20100153752A1 (en) * 2008-12-16 2010-06-17 Yasumichi Tsukamoto Computers Having a Biometric Authentication Device
US20110246196A1 (en) * 2010-03-30 2011-10-06 Aspen Networks, Inc. Integrated voice biometrics cloud security gateway
US20130004033A1 (en) * 2010-03-16 2013-01-03 Carlo Trugenberger Authentication system, method for authenticating an object, apparatus for producing an identication device, method for producing an identification device

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100125898A1 (en) * 2006-07-31 2010-05-20 Fortinet, Inc. Use of authentication information to make routing decisions
US20080046581A1 (en) * 2006-08-18 2008-02-21 Fujitsu Limited Method and System for Implementing a Mobile Trusted Platform Module
RU2346397C1 (en) * 2007-06-26 2009-02-10 Александр Иванович Иванов Method of protecting personal biometrical identification and authentification data
US20100153752A1 (en) * 2008-12-16 2010-06-17 Yasumichi Tsukamoto Computers Having a Biometric Authentication Device
US20130004033A1 (en) * 2010-03-16 2013-01-03 Carlo Trugenberger Authentication system, method for authenticating an object, apparatus for producing an identication device, method for producing an identification device
US20110246196A1 (en) * 2010-03-30 2011-10-06 Aspen Networks, Inc. Integrated voice biometrics cloud security gateway

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2703150C1 (en) * 2018-09-14 2019-10-15 Общество с ограниченной ответственностью "А3" Access service platform
RU196279U1 (en) * 2019-08-01 2020-02-21 Общество с ограниченной ответственностью "Научно-производственная компания "Техника дела" (ООО "НПК "Техника Дела") BIOMETRIC USER IDENTIFICATION DEVICE
RU2727932C1 (en) * 2019-12-04 2020-07-27 Публичное Акционерное Общество "Сбербанк России" (Пао Сбербанк) Method and system for detecting malicious files by generating ads on online trading platforms

Similar Documents

Publication Publication Date Title
US9787659B2 (en) Techniques for secure access management in virtual environments
US9367703B2 (en) Methods and systems for forcing an application to store data in a secure storage location
US11048823B2 (en) Secure file sharing over multiple security domains and dispersed communication networks
US8839234B1 (en) System and method for automated configuration of software installation package
US8583920B1 (en) Secure administration of virtual machines
CN113316783A (en) Two-factor identity authentication using a combination of active directory and one-time password token
US20100146608A1 (en) Multi-Level Secure Collaborative Computing Environment
CN105379223A (en) Validating the identity of a mobile application for mobile application management
JP2017510013A (en) Techniques for providing network security with just-in-time provisioned accounts
US20220078005A1 (en) Systems and methods for non-deterministic multi-party, multi-user sender-receiver authentication and non-repudiatable resilient authorized access to secret data
Chang et al. User authentication in cloud computing
US20120072972A1 (en) Secondary credentials for batch system
US11233776B1 (en) Providing content including sensitive data
RU2635269C1 (en) Complex of hardware and software creating protected cloud environment with autonomous full-function logical control infrastructure with biometric-neural network identification of users and with audit of connected hardware
CN114207616A (en) Logging in multiple accounts with a single gesture
JP2023539168A (en) Self-authentication identifier and its applications
KR102362327B1 (en) Method and apparatus for providing virtual desktop environment based on biometric information of user
US20100043049A1 (en) Identity and policy enabled collaboration
CN109923525A (en) System and method for executing carrying out safety backup operation
Qaddour Multifactor Biometric Authentication for Cloud Computing
Bommala et al. Client Authentication as a Service in Microsoft Azure
Jovanović et al. THE ARCHITECTURE OF INTEGRATED IDENTITY MANAGEMENT AND MULTIMODAL BIOMETRIC SYSTEM
Lad Infrastructure Security Patterns
Rajpurohit et al. A Review on Cloud Computing and its Security Issues
Maggini RESHAPING ORGANIZATIONAL PROCESSES AND WORKFLOWS THROUGH INTEGRATION OF BLOCKCHAIN TECHNOLOGY

Legal Events

Date Code Title Description
MM4A The patent is invalid due to non-payment of fees

Effective date: 20200203

NF4A Reinstatement of patent

Effective date: 20210114

PC41 Official registration of the transfer of exclusive right

Effective date: 20210924