RU2707707C2 - Method of transmitting data in client-server architecture when executing request - Google Patents

Method of transmitting data in client-server architecture when executing request Download PDF

Info

Publication number
RU2707707C2
RU2707707C2 RU2018111485A RU2018111485A RU2707707C2 RU 2707707 C2 RU2707707 C2 RU 2707707C2 RU 2018111485 A RU2018111485 A RU 2018111485A RU 2018111485 A RU2018111485 A RU 2018111485A RU 2707707 C2 RU2707707 C2 RU 2707707C2
Authority
RU
Russia
Prior art keywords
client
data
server
request
substructure
Prior art date
Application number
RU2018111485A
Other languages
Russian (ru)
Other versions
RU2018111485A3 (en
RU2018111485A (en
Inventor
Андрей Анатольевич Ефремов
Дмитрий Владимирович Шмойлов
Original Assignee
Акционерное общество "Лаборатория Касперского"
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Акционерное общество "Лаборатория Касперского" filed Critical Акционерное общество "Лаборатория Касперского"
Priority to RU2018111485A priority Critical patent/RU2707707C2/en
Publication of RU2018111485A3 publication Critical patent/RU2018111485A3/ru
Publication of RU2018111485A publication Critical patent/RU2018111485A/en
Application granted granted Critical
Publication of RU2707707C2 publication Critical patent/RU2707707C2/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks

Abstract

FIELD: physics.
SUBSTANCE: invention relates to provision of anonymity when routing data in client-server architecture. Method of data exchange in a client-server architecture through a node with an anonymization facility, located in a regional network, different from the network, in which the server is located, and not located in one Intranet with the server or client when executing the request, in which forming on the client request for sending to a server.
EFFECT: technical result is providing anonymization of client data when exchanging data in a client-server architecture.
17 cl, 17 dwg, 1 tbl

Description

Область техникиTechnical field

Изобретение относится к способам обеспечения анонимности при маршрутизации данных в клиент-серверной архитектуре.The invention relates to methods for ensuring anonymity in data routing in a client-server architecture.

Уровень техникиState of the art

Изменения законодательства в мире (например, в РФ подписан закон, согласно которому персональные данные россиян, используемые онлайн-сервисами, должны храниться на территории России, в Швейцарии для банков требуется, чтобы данные пользователей также не покидали территорию юрисдикции федерального правительства, в ряде стран персональные данные запрещается хранить в открытом виде) заставляют специалистов по информационной безопасности искать новые способы управления данными, уходящими от персональных электронных устройств. При этом разрабатываемые решения не должны усложнять работу пользователей компьютерных систем и работать для пользователей максимально прозрачно.Changes in legislation in the world (for example, in the Russian Federation a law was signed according to which personal data of Russians used by online services should be stored in Russia, in Switzerland banks require that user data also does not leave the jurisdiction of the federal government, in some countries personal it is forbidden to store data in open form) forcing information security specialists to look for new ways to manage data moving away from personal electronic devices. At the same time, the developed solutions should not complicate the work of users of computer systems and work for users as transparently as possible.

С введением в действие Общего регламента по защите данных (англ. The General Data Protection Regulation, сокр. GDPR) количество персональных данных хранимых в сетевой инфраструктуре на стороне различных сервисов и получаемых от пользователей становится минимальным. При этом необходимо обеспечить распределенное хранение и обработку данных, получаемых от пользователя без потери их уникальности.With the introduction of the General Data Protection Regulation, the GDPR, the amount of personal data stored in the network infrastructure on the side of various services and received from users becomes minimal. In this case, it is necessary to provide distributed storage and processing of data received from the user without losing their uniqueness.

Указанные причины вызывают сложности при внедрении облачной инфраструктуры в корпоративном и частном секторе, в результате на рынке появляются технические решения, позволяющие учитывать требования законодательства. Например, публикации:These reasons cause difficulties in introducing cloud infrastructure in the corporate and private sector, as a result, technical solutions appear on the market that allow taking into account the requirements of the law. For example, publications:

- US 20122866 описывает способ хранения данных в облачных хранилищах, в котором любой файл от устройства пользователя поступает на прокси-сервер, на котором шифруется и передается в облачное хранилище;- US 20122866 describes a method for storing data in cloud storages, in which any file from the user's device is sent to a proxy server on which it is encrypted and transferred to the cloud storage;

- US 8739265 описывает способ обфускации и извлечения данных, где данные содержащие конфиденциальные данные, отправляемые с устройства, перехватываются, изменяются и передаются далее в облачное хранилище. При этом изменяются не все данные, а определенные в соответствии с правилами, установленными в сети, и эти данные могут не передаваться в облако, а извлекаться и сохранятся локально, а передаваться будут поп sensitive data и токен вместо извлеченных данных;- US 8739265 describes a method for obfuscating and retrieving data, where data containing sensitive data sent from the device is intercepted, modified and transmitted further to the cloud storage. At the same time, not all data is changed, but determined in accordance with the rules established in the network, and this data may not be transmitted to the cloud, but retrieved and stored locally, and sensitive data and token will be transmitted instead of the extracted data;

- US 8601598 описывает технологию безопасного хранения данных в облачном хранилище, в которой данные, поступающие в облачное хранилище от устройств с установленным агентом, шифруются открытым ключом, при этом само хранилище может быть разделено в зависимости от типов данных и пользователей, использующих хранилище.- US 8601598 describes a technology for securely storing data in a cloud storage, in which data entering the cloud storage from devices with an agent installed is encrypted with a public key, while the storage itself can be divided depending on the types of data and users using the storage.

На основании анализа существующего уровня техники становится ясно, что описанные средства требуют установки на устройстве пользователя дополнительного агента, что затрудняет работу пользователя с удаленным сервером и делает взаимодействие непрозрачным. В другом случае, где агент не устанавливается, осуществляется тотальное шифрование исходящих данных без учета содержимого, что также не удобно и создает дополнительную нагрузку. Расположению клиента и сервера также не уделяется должного внимания. Требуется решение, которое будет способно решить указанные недостатки.Based on the analysis of the current level of technology, it becomes clear that the described tools require the installation of an additional agent on the user's device, which complicates the user’s work with the remote server and makes the interaction opaque. In another case, where the agent is not installed, the outgoing data is completely encrypted without regard to the content, which is also not convenient and creates an additional load. The location of the client and server is also not given due attention. A solution is needed that will be able to solve these shortcomings.

Раскрытие изобретенияDisclosure of invention

Настоящее изобретение предназначено для маршрутизации данных в клиент-серверной архитектуре с обеспечением анонимности передаваемых данных и без потери полноты и репрезентативности информации, необходимых серверу для анализа и построения статистики.The present invention is intended for routing data in a client-server architecture, ensuring the anonymity of the transmitted data and without losing the completeness and representativeness of the information necessary for the server to analyze and build statistics.

Технический результат настоящего изобретения заключается в обеспечении анонимизации данных клиента при обмене данными в клиент-серверной архитектуре.The technical result of the present invention is to ensure the anonymization of client data during data exchange in a client-server architecture.

Объектом настоящего изобретения является способ обмена данными в клиент-серверной архитектуре через узел со средством анонимизации, расположенный в региональной сети, отличной от сети, в которой расположен сервер и, не находящийся в одном Интранете с сервером или клиентом при выполнении запроса, в котором формируют на клиенте запрос для отправки на сервер. В структуре данных запроса выделяют по меньшей мере две подструктуры, одна из подструктур содержит критические данные (далее КД), другая подструктура не содержит КД. В одном частном случае выделяют в структуре данных запроса подструктуры, содержащие КД и не содержащие КД, на клиенте перед отправкой серверу через узел со средством анонимизации. В другом частном случае выделяют в структуре данных запроса подструктуры, содержащие КД и не содержащие КД средством анонимизации. Сформированный запрос на клиенте отправляют от клиента к серверу через средство анонимизации Подструктуры, содержащие КД, преобразуют средством анонимизации и структуру данных запроса с преобразованной подструктурой, содержащей КД, отправляют серверу. На сервере формируют ответ на запрос, при этом структура данных ответа на запрос содержит подструктуру, содержащую КД, преобразованную средством анонимизации на этапе ранее и подструктуру не содержащую КД, подготовленную средством обработки запроса. Полученную структуру данных ответа на запрос отправляют от сервера узлу сети со средством анонимизации, где осуществляют обратное преобразование данных подструктуры ответа на запрос, содержащую КД, средством анонимизации и полученную структуру данных перенаправляют клиенту.The object of the present invention is a method for exchanging data in a client-server architecture through a node with an anonymization tool located in a regional network other than the network in which the server is located and not located on the same Intranet with the server or client when executing a request in which client request to send to the server. At least two substructures are distinguished in the query data structure, one of the substructures contains critical data (hereinafter referred to as CD), the other substructure does not contain CD. In one particular case, substructures containing CDs and not containing CDs are allocated in the request data structure on the client before sending to the server through the node with the anonymization tool. In another particular case, substructures are identified in the request data structure that contain CDs and do not contain CDs by means of anonymization. The generated request on the client is sent from the client to the server through the anonymization tool. Substructures containing CDs are transformed by the anonymization tool and the request data structure with the converted substructure containing CDs is sent to the server. A response to the request is generated on the server, while the data structure of the response to the request contains a substructure containing the CD transformed by the anonymization tool at the stage earlier and a substructure that does not contain the CD prepared by the request processing means. The obtained data structure of the response to the request is sent from the server to the network node with the anonymization tool, where the data of the response substructure of the request containing the data conversion is reverse transformed, the anonymization tool and the obtained data structure are redirected to the client.

В частном случае преобразование средством анонимизации осуществляется без возможности обратного преобразования сервером.In the particular case, conversion by means of anonymization is carried out without the possibility of reverse conversion by the server.

Данные подструктуры, не содержащей КД, могут преобразовываться сервером или клиентом, без возможности обратного преобразования средством анонимизации. Данные подструктуры, не содержащей КД, могут преобразовывать с использованием методов ассиметричного шифрования, где открытый ключ передают клиенту, а закрытый ключ сохраняют на сервере, в случае, когда обратное преобразование осуществляется сервером, в случае же, когда обратное преобразование осуществляется клиентом, открытый ключ передают серверу, а закрытый ключ сохраняют на клиенте.The data of a substructure that does not contain a CD can be transformed by a server or a client, without the possibility of reverse transformation by means of anonymization. The data of a substructure that does not contain a CD can be converted using asymmetric encryption methods, where the public key is transmitted to the client, and the private key is stored on the server, in the case when the inverse transformation is performed by the server, in the case when the inverse transformation is performed by the client, the public key is transmitted server, and the private key is stored on the client.

В другом частном случае данные подструктур перед отправкой серверу могут быть подвергнуты первичному преобразованию на клиенте без возможности обратного преобразования данных средством анонимизации. В таком случае средством анонимизации будет осуществлено вторичное преобразование проходящей подструктуры данных, но уже без возможности обратного преобразования на сервере или клиенте. И первичное и вторичное преобразование может осуществляется посредством шифрования.In another particular case, the data of substructures before being sent to the server can be subjected to initial conversion on the client without the possibility of reverse data conversion using anonymization. In this case, the anonymization tool will perform the secondary transformation of the passing data substructure, but without the possibility of the reverse transformation on the server or client. Both primary and secondary conversion can be done through encryption.

Региональная сеть узла сети со средством анонимизации и региональная сеть сервера расположены в разных юрисдикциях. Региональная сеть в частном случае - это национальная сеть, в другом частном случае сеть, объединяющая несколько национальных сетей государств, состоящих в экономических или политических объединениях, например, Европейском союзе.The regional host network with the anonymization tool and the regional server network are located in different jurisdictions. A regional network in a particular case is a national network, in another particular case a network of several national networks of states that are members of economic or political associations, for example, the European Union.

В частном случае критическими данными являются персональные данные или их специальные категории по терминологии GDPR.In a particular case, critical data is personal data or its special categories in GDPR terminology.

Критическими данными также могут быть конфиденциальные данные, при этом конфиденциальные данные-данные, которые охраняются в соответствии с законодательством страны, в юрисдикции которой находится пользователь, использующий устройство, являющееся в описываемом изобретении клиентом.Critical data can also be confidential data, while confidential data is data that is protected in accordance with the laws of the country in whose jurisdiction a user is using a device that is a client in the described invention.

Конфиденциальными данными являются любые данные, охраняемые законом государства, в юрисдикции которого находится клиент. Конфиденциальными данными также являются персональные данные.Confidential data is any data protected by the law of the state in whose jurisdiction the client is located. Confidential data is also personal data.

Краткое описание чертежейBrief Description of the Drawings

Сопровождающие чертежи включены для обеспечения дополнительного понимания изобретения и составляют часть описания, показывают варианты осуществления изобретения и совместно с описанием необходимы для объяснения признаков изобретения.The accompanying drawings are included to provide an additional understanding of the invention and form part of the description, show embodiments of the invention and together with the description are necessary to explain the features of the invention.

Фиг. 1 - изображает систему маршрутизации данных в клиент-серверной архитектуре.FIG. 1 - depicts a data routing system in a client-server architecture.

Фиг. 2 - изображает вариант способа маршрутизации данных в клиент-серверной архитектуре с разделением структуры данных на подструктуры клиентом.FIG. 2 illustrates an embodiment of a method for routing data in a client-server architecture with dividing the data structure into substructures by the client.

Фиг. 3 - изображает вариант способа маршрутизации данных в клиент-серверной архитектуре при выполнении запроса с выделением в структуре данных подструктур средством анонимизации.FIG. 3 - depicts a variant of the method for routing data in a client-server architecture when executing a request with the allocation of substructures in the data structure by anonymization.

Фиг. 4 - изображает вариант способа маршрутизации данных в клиент-серверной архитектуре с выделением в структуре данных подструктур клиентом.FIG. 4 - depicts a variant of a method for routing data in a client-server architecture with the allocation of client substructures in the data structure.

Фиг. 5 - изображает вариант способа маршрутизации данных в клиент-серверной архитектуре при выполнении запроса с разделением структуры данных на подструктуры клиентом.FIG. 5 illustrates an embodiment of a method for routing data in a client-server architecture when executing a request with dividing the data structure into substructures by the client.

Фиг. 6а - изображает пример осуществления способа маршрутизации данных в клиент-серверной архитектуре при отправке данных (для построения статистики) с разделением структуры данных на подструктуры клиентом.FIG. 6a - depicts an example implementation of a method for routing data in a client-server architecture when sending data (to build statistics) with the separation of the data structure into substructures by the client.

Фиг. 6б - изображает пример осуществления способа маршрутизации данных в клиент-серверной архитектуре при обнаружении целевой атаки на клиента на основании собранной информации способом по Фиг. 6а.FIG. 6b shows an example of an implementation of a data routing method in a client-server architecture when a targeted attack on a client is detected based on the collected information by the method of FIG. 6a.

Фиг. 7 - изображает пример осуществления способа маршрутизации данных в клиент серверной архитектуре при выполнении запроса с выделением в структуре данных подструктур средством анонимизации.FIG. 7 depicts an example implementation of a method for routing data to a client server architecture when executing a query with sub-structures highlighted in the data structure by anonymization.

Фиг. 8 - изображает пример осуществления способа маршрутизации данных в клиент серверной архитектуре с выделением в структуре данных подструктур клиентом.FIG. 8 illustrates an example implementation of a method for routing data in a client server architecture with highlighting client substructures in the data structure.

Фиг. 9 - изображает пример осуществления способа маршрутизации данных в клиент серверной архитектуры при выполнении запроса с разделением структуры данных на подструктуры клиентом.FIG. 9 illustrates an example implementation of a method for routing data to a client of a server architecture when executing a request with dividing the data structure into substructures by the client.

Фиг. 10 - изображает систему анонимного обмена данными в клиент-серверной архитектуре.FIG. 10 - depicts an anonymous data exchange system in a client-server architecture.

Фиг. 11 - изображает вариант способа обмена данными в клиент-серверной архитектуре, который используется для получения данных от клиентов для построения статистики на стороне сервера.FIG. 11 illustrates an embodiment of a method for exchanging data in a client-server architecture, which is used to receive data from clients to build statistics on the server side.

Фиг. 12 - изображает вариант способа обмена данными, который используется при выполнении запроса клиента к серверу.FIG. 12 illustrates an embodiment of a data exchange method that is used when executing a client request to a server.

Фиг. 13 - изображает пример осуществления способа обмена данными, при выполнении запроса клиента к серверу.FIG. 13 - depicts an example implementation of a method for exchanging data when performing a client request to the server.

Фиг. 13а - изображает пример осуществления способа обмена данными, при выполнении запроса клиента к серверу в асинхронном режиме.FIG. 13a - depicts an example implementation of a method for exchanging data when executing a client request to the server in asynchronous mode.

Фиг. 14 - изображает пример компьютерной системы общего назначения.FIG. 14 is an example of a general purpose computer system.

Осуществление изобретенияThe implementation of the invention

На Фиг. 1 изображена система маршрутизации данных между клиентом и сервером. Система включает клиент, сервер, узел сети со средством анонимизации. Сервер является частью облачной инфраструктуры (на фигуре не изображена), а клиент - это устройство пользователя. Узел со средством анонимизации расположен в региональной сети1 (1 Географически рассредоточенная сеть, коммуникационными средствами объединяющая в единое целое компьютеры в разных пунктах, совокупность региональных сетей образует глобальную сеть.) отличной от региональной сети, в которой расположен сервер2 (2 Это позволяет располагать элементы системы в независимых юрисдикциях) и, не находится в одном Интранете3 (3 ГОСТ Р ИСО 9241-151-2014) с сервером или клиентом. При этом в рамках данного изобретения разные региональные сети не только географически разнесены, но и находятся в разных юрисдикциях, поэтому, очевидно, в рамках данного изобретения разными региональными сетями могут быть в том числе, сети объединяющие узлы стран (национальные сети). Например, из Фиг. 1:In FIG. 1 shows a data routing system between a client and a server. The system includes a client, server, network node with anonymization tool. The server is part of the cloud infrastructure (not shown in the figure), and the client is the user's device. The node with the anonymization tool is located in the regional network 1 ( 1 A geographically dispersed network, using communication tools to combine computers at different points, the totality of regional networks forms a global network.) Different from the regional network in which server 2 is located ( 2 This allows you to arrange elements systems in independent jurisdictions) and is not located on the same Intranet 3 ( 3 GOST R ISO 9241-151-2014) with a server or client. Moreover, in the framework of this invention, different regional networks are not only geographically dispersed, but also located in different jurisdictions, therefore, obviously, in the framework of this invention, different regional networks can also include networks connecting the nodes of countries (national networks). For example, from FIG. one:

- региональная сеть 1 - сеть США;- regional network 1 - US network;

- региональная сеть 2 - сеть Германии/ЕС;- regional network 2 - Germany / EU network;

- региональная сеть 3 - сеть Российской Федерации.- regional network 3 - network of the Russian Federation.

Глобальная сеть по Фиг. 1 - это совокупность всех региональных сетей - мировая сеть - Интернет. В терминологии GDPR, например, региональная сеть РФ, в которой расположен сервер, будет считаться региональной сетью третьей страны.The global network of FIG. 1 - this is the totality of all regional networks - the global network - the Internet. In GDPR terminology, for example, the regional network of the Russian Federation in which the server is located will be considered the regional network of a third country.

В частном случае региональная сеть узла со средством анонимизации отлична также и от региональной сети клиента. Стрелки на Фиг. 1 отходят от сети, а не от клиента, так как в общем случае виден внешний IP-адрес за счет функционирования технологий сокрытий внутренних адресов, в частности: Proxy, NAT.In a particular case, the regional network of the node with the means of anonymization is also different from the regional network of the client. The arrows in FIG. 1 move away from the network, and not from the client, since in general the external IP address is visible due to the functioning of the technology of hiding internal addresses, in particular: Proxy, NAT.

Клиент содержит средство модификации, предназначенное для разделения структур данных (которые формируются для отправки от клиента серверу) на подструктуры и выбора маршрута для полученных подструктур. Критерии разделения структуры данных на подструктуры могут быть различными, одним из таких критериев является наличие персональных данных (англ. Personal Identification Information) или их специальных категорий (по терминологии GDPR), при котором структура данных разделяется таким образом, что одна подструктура содержит персональные данные (далее ПДн, англ. PII) или их специальные категории, другая подструктура включает данные, не являющиеся персональными. Отношение данных к персональным определяется, например, законодательством страны, в юрисдикции которой находится пользователь, использующий устройство, являющееся в описываемой системе клиентом. Другими словами, по местоположению источника данных. Другим более общим критерием является наличие критических данных. К критическим данным (англ. critical data) относят данные, в отношении которых закон или уполномоченный субъект накладывает ограничения на сбор, хранение, доступ, распространение и обработку. Эти данные, как правило, чувствительны к разглашению, распространению, утечке, так как возникновение этих событий приводит к нарушению прав и охраняемых законом интересов субъектов и предусматривает ответственность для субъектов допустивших нарушения правил сбора, хранения, доступа, обработки предъявляемым к таким данным. Частным случаем критических данных являются конфиденциальные данные4 (4 или конфиденциальной информации, в рамках данной заявки конфиденциальные данные и конфиденциальная информация синонимы) (англ. sensitive data). Под конфиденциальными данными понимаются данные, которые защищаются в соответствии с законодательством страны, в юрисдикции которой находится пользователь, использующий устройство, являющееся в описываемой системе клиентом. К конфиденциальным данным в частном случае относятся персональные данные (ПДн) и данные содержащие:The client contains a modification tool designed to separate data structures (which are formed for sending from the client to the server) into substructures and select a route for the received substructures. The criteria for dividing the data structure into substructures can be different, one of these criteria is the availability of personal data (English Personal Identification Information) or their special categories (according to GDPR terminology), in which the data structure is divided so that one substructure contains personal data ( hereinafter PD, English PII) or their special categories, another substructure includes data that are not personal. The relation of data to personal is determined, for example, by the legislation of the country in whose jurisdiction the user is using a device that is a client in the described system. In other words, by the location of the data source. Another more general criterion is the availability of critical data. Critical data refers to data in respect of which the law or an authorized entity imposes restrictions on the collection, storage, access, distribution and processing. These data, as a rule, are sensitive to disclosure, dissemination, leakage, since the occurrence of these events violates the rights and interests of the subjects protected by law and provides liability for entities that violate the rules for the collection, storage, access, processing of such data. A special case of critical data is confidential data 4 ( 4 or confidential information, within the framework of this application confidential data and confidential information are synonyms) (English sensitive data). Confidential data refers to data that is protected in accordance with the laws of the country in whose jurisdiction a user is using a device that is a client in the described system. Confidential data in a particular case includes personal data (PD) and data containing:

- коммерческую тайну;- trade secret;

- налоговую тайну;- tax secret;

- банковскую тайну;- bank secrecy;

- врачебную тайну;- medical confidentiality;

- нотариальную тайну;- notarial secret;

- адвокатскую тайну;- lawyer's secret;

- аудиторскую тайну;- audit secrets;

- тайну связи;- secret communications;

- тайну страхования;- secret insurance;

- тайну завещания;- the secret of the will;

- тайну усыновления;- the secret of adoption;

- тайну исповеди;- the secret of confession;

- тайну следствия;- the secret of the investigation;

- тайну судопроизводства;- secrecy of legal proceedings;

- сведения о защищаемых лицах- information about protected persons

- государственную тайну.- state secret.

Средство анонимизации предназначено для преобразования и обратного преобразования подструктур, маршрут которых проходит через узел со средством анонимизации. Под преобразованием подструктур в частном случае понимают преобразование данных, которые содержит подструктура. В частном случае способами преобразования данных подструктур являются:The anonymization tool is designed to convert and reverse transform substructures whose route passes through the node with the anonymization tool. The transformation of substructures in a particular case is understood as the transformation of data that contains a substructure. In a particular case, the methods for converting these substructures are:

- квантование;- quantization;

- сортировка;- sorting;

- слияние (склеивание);- merging (gluing);

- группировка;- grouping;

- настройка набора данных;- setup of a data set;

- табличная подстановка значений;- table substitution of values;

- вычисляемые значения;- calculated values;

- кодирование данных;- data encoding;

- шифрование;- encryption;

- нормализация (масштабирование).- normalization (scaling).

Некоторые виды преобразования могут применятся не только к отдельным данным в подструктуре, но и к подструктуре в целом, например, токенизация и/или шифрование. При этом преобразование в частном случае осуществляется без возможности обратного преобразования5 (5 под обратным преобразованием понимается преобразование, позволяющее восстановить исходную форму объекта преобразования (данных, подструктуры) до преобразования) любыми средствами кроме средства анонимизации узла. Под преобразованием в общем случае понимается отображение (функция) множества в себя, или другими словами, преобразованиями называют отображения, переводящие некоторое множество в другое множество6 (6 Математический энциклопедический словарь. - М., 1988. - С. 487.).Some types of transformations can be applied not only to individual data in a substructure, but also to the whole substructure, for example, tokenization and / or encryption. In this case, the conversion in the particular case is carried out without the possibility of the inverse transformation 5 ( 5 , the inverse transformation is understood as the transformation that allows you to restore the original form of the transformation object (data, substructure) to the transformation) by any means other than the means of anonymizing the node. A transformation in the general case is understood as a mapping (function) of a set into itself, or in other words, transformations are called mappings that translate some set into another set 6 ( 6 Mathematical Encyclopedic Dictionary. - M., 1988. - P. 487.).

Подструктура от одного и того же клиента средством анонимизации может преобразовываться одним и тем же способом или разными способами. Если преобразование осуществляется одним и тем же способом, то преобразованная подструктура или данные подструктуры от одного и того же клиента будут выглядеть идентично, в противном случае будут отличаться и построить статистику по одному клиенту (выполнить профилирование) будет невозможно.A substructure from the same client by means of anonymization can be transformed in the same way or in different ways. If the conversion is carried out in the same way, then the converted substructure or data of the substructure from the same client will look identical, otherwise they will be different and it will be impossible to build statistics for one client (to perform profiling).

Сервер содержит средство объединения, предназначенное для объединения разделенной на клиенте структуры данных. Объединение возможно осуществить, например, на основании уникальных идентификаторов, которые присваиваются каждой подструктуре при разделении и идентичны для подструктур одной структуры. Средство объединения получает подструктуры, приходящие к серверу по разным сетевым маршрутам, и объединяет в структуру. Структура, очевидно, будет отлична от оригинальной, разделенной на клиенте, по причине того, что подструктуры, прошедшие через узел со средством анонимизации, будут преобразованы упомянутым средством. Полученная структура может сохраняться в базе данных (на фигурах не указана).The server contains a federation tool for combining a client-separated data structure. Merging can be carried out, for example, on the basis of unique identifiers that are assigned to each substructure during separation and are identical for substructures of the same structure. The federation tool receives substructures that arrive at the server along different network routes and combines it into a structure. The structure, obviously, will be different from the original one, divided on the client, due to the fact that the substructures that passed through the node with the anonymization tool will be transformed by the said tool. The resulting structure can be stored in a database (not shown in the figures).

В частном случае средство анонимизации получает от клиента структуру, не разделенную на подструктуры средством модификации клиента (например, структуру запроса к серверу), в таком случае для передачи серверу средство анонимизации выделяет в полученной структуре подструктуры, содержащие ПДн и осуществляет преобразование данных подструктур, примеры указаны ниже.In a particular case, the anonymization tool receives from the client a structure that is not divided into substructures by the client modification tool (for example, the structure of the request to the server), in this case, for transferring to the server, the anonymization tool selects substructures containing PDs in the resulting structure and performs the conversion of the data of the substructures, examples are indicated below.

Описанная система используется для анонимизации запросов, отправляемых серверу и ответов на эти запросы, отправляемых клиенту, а также для получения данных от клиентов, которые используются для построения статистики. На Фиг. 2 изображен способ маршрутизации данных в клиент-серверной архитектуре, который в частном случае используется для получения данных от клиентов для построения статистики. На этапе 200 средством модификации разделяют структуру, предназначенную для отправки серверу в соответствии с критериями, одним из таких критериев может являться наличие ПДн в структуре, в результате разделения получают подструктуру, содержащую ПДн (на Фиг. 2 для примера это подструктура 1) и не содержащую ПДн (на Фиг. 2 это, соответственно, подструктура 2). Здесь и далее для примера в качестве критерия будет использоваться наличие ПДн, а не наличие критических или конфиденциальных данных, хотя что справедливо для ПДн, справедливо и для критических или конфиденциальных данных в общем в примерах осуществления изобретения, в рамках данной заявки. В частном случае подструктур первого и второго вида может быть больше чем одна, как и критериев по которым осуществляется разделение. На этапе 210 средство модификации отправляет полученные подструктуры серверу, при этом отправка осуществляется по разным маршрутам (маршрут А и маршрут В), где один из маршрутов включает узел сети со средством анонимизации (маршрут А), расположенный в региональной сети отличной от сети, которой расположен сервер и, не находящийся в одном Интранете с сервером или клиентом. Когда одна из подструктур, предназначенная для отправки серверу, содержит ПДн, она направляется к серверу через узел со средством анонимизации (маршрут А). Далее на этапе 220 подструктуры, проходящие через узел со средством анонимизации преобразуются указанным средством и передаются далее серверу (этап 221) в преобразованном виде. В общем случае подструктуры от одного и того же клиента в разные моменты времени преобразуются различно (например ID Клиента ->AnonymizedID1 Ф AnonymizedID2 Ф AnonymizedID3 и т.д.), это относится ко всем примерам, но в частном случае, когда для некоторых систем безопасности необходимо накопить информацию (построить статистику) по определенному клиенту для подструктуры от одного и того же клиента, преобразование будет идентично (например ID Клиента -> AnonymizedID1 = AnonymizedID2 = AnonymizedID3 и т.д). В заключении на этапе 230 полученные от клиента подструктуры объединяются в структуру (Структура'). Очевидно, что итоговая структура (Структура') отличается от исходной, так как, по меньшей мере одна подструктура был преобразована средством анонимизации. Итоговая структура в базе данных и будет использоваться средствами инфраструктуры7 (7 Средства и база данных на данной фигуре не указаны. Отдельные элементы инфраструктуры, такие как средство обработки запроса и средство обнаружения атаки, указаны на других фигурах) на стороне сервера. Преобразование подструктур и/или данных подструктур средством анонимизации выполняется способом, исключающим возможность обратного преобразования подструктур и/или данных подструктур любыми средствами, отличными от средств узла сети со средством анонимизации.The described system is used to anonymize the requests sent to the server and the responses to these requests sent to the client, as well as to receive data from clients, which are used to build statistics. In FIG. Figure 2 shows a method for routing data in a client-server architecture, which in a particular case is used to obtain data from clients for statistics. At step 200, the modification means separates the structure intended for sending to the server in accordance with the criteria, one of these criteria may be the presence of PD in the structure, as a result of the separation, a substructure containing PD is obtained (in Fig. 2, for example, this is substructure 1) and not containing PD (in Fig. 2 this, respectively, substructure 2). Hereinafter, for example, the presence of PDs will be used as a criterion, but not the presence of critical or confidential data, although what is true for PDs is also true for critical or confidential data in general in the embodiments of the invention within the framework of this application. In the particular case of substructures of the first and second type, there can be more than one, as well as the criteria by which the separation is carried out. At step 210, the modification tool sends the received substructures to the server, while sending is carried out on different routes (route A and route B), where one of the routes includes a network node with anonymization tool (route A) located in a regional network different from the network that is located a server and not located on the same Intranet as a server or client. When one of the substructures intended for sending to the server contains PD, it is sent to the server through the node with the anonymization tool (route A). Next, at step 220, the substructures passing through the node with the anonymization tool are converted by the specified tool and transferred to the server (step 221) in a converted form. In the general case, substructures from the same client at different times are converted differently (for example, Client ID -> AnonymizedID1 Ф AnonymizedID2 Ф AnonymizedID3, etc.), this applies to all examples, but in the particular case, for some security systems it is necessary to accumulate information (build statistics) for a specific client for a substructure from the same client, the conversion will be identical (for example, Client ID -> AnonymizedID1 = AnonymizedID2 = AnonymizedID3, etc.). Finally, at step 230, the substructures received from the client are combined into a structure (Structure '). Obviously, the final structure (Structure ') is different from the original one, since at least one substructure has been transformed by means of anonymization. The final structure is in the database and will be used by means of infrastructure 7 ( 7 The means and the database are not indicated in this figure. Separate elements of the infrastructure, such as request processing means and attack detection tools, are indicated on other figures) on the server side. The conversion of substructures and / or data of substructures by means of anonymization is performed in a way that excludes the possibility of the inverse transformation of substructures and / or data of substructures by any means other than the means of a network node with the means of anonymization.

На Фиг. 3 изображен способ маршрутизации, который в частном случае используется при выполнении запроса клиента к серверу. На этапе 300 сформированный на клиенте запрос отправляют средством модификации от клиента к серверу, при этом маршрут включает узел сети со средством анонимизации, расположенный в региональной сети отличной от сети, которой расположен сервер и, не находящийся в одном Интранете с сервером или клиентом. В частном случае часть данных запроса (не содержащая конфиденциальные данные) может быть преобразована средством модификации на клиенте, при этом преобразование может быть выполнено таким образом, чтобы средством анонимизации было невозможно выполнить обратное преобразование (этап 311 на Фиг. 4) и обратное преобразование возможно выполнить только средствами сервера (этап 325 на Фиг. 4)8 (8 такую возможность может предоставить в частности асимметричное шифрование, когда клиент имеет открытый ключ, а сервер закрытый ключ). Далее на этапе 310 средством анонимизации выделяют в структуре данных запроса, предназначенной для отправки серверу, подструктуры, в соответствии с критериями, одним из таких критериев может являться наличие ПДн, в результате выделения получают подструктуру, содержащую ПДн (на Фиг. 3, по аналогии с предыдущим примером, это подструктура 1) и не содержащую ПДн (на Фиг. 3 это подструктура 2). На этапе 320 средством анонимизации осуществляют преобразование9 (9 если не указано иное при использовании понятия преобразование понимается именно прямое преобразование.) (прямое преобразование из оригинальных к преобразованным) подструктуры данных (и/или данных в подструктуре), содержащей ПДн, средством анонимизации и полученную структуру данных запроса с преобразованной подструктурой, содержащей ПДн, отправляют серверу (этап 321). На полученный запрос сервером на этапе 330 формируют ответ, средством обработки запроса. При этом, в отношении тех данных запроса, которые в частном случае могли быть преобразованы клиентом сервер выполняет предварительно обратное преобразование (этап 325 на Фиг. 4). Структура данных ответа на запрос, в нашем примере с ПДн содержит подструктуры:In FIG. Figure 3 shows the routing method, which in a particular case is used when performing a client request to the server. At step 300, the request generated on the client is sent by means of modification from the client to the server, and the route includes a network node with anonymization tool located on a regional network different from the network on which the server is located and not located on the same Intranet as the server or client. In the particular case, part of the request data (not containing confidential data) can be transformed by means of modification on the client, while the transformation can be performed in such a way that it is impossible to perform the inverse transformation by the anonymization tool (step 311 in Fig. 4) and the inverse transformation can be performed only by means of the server (step 325 in Fig. 4) 8 ( 8, asymmetric encryption can provide such a possibility, in particular, when the client has a public key and the server has a private key). Next, at step 310, an anonymization tool allocates a substructure in the request data structure for sending to the server, in accordance with the criteria, one of these criteria may be the presence of PDs, as a result of the isolation, a substructure containing PDs is obtained (in Fig. 3, by analogy with the previous example, this is substructure 1) and does not contain PD (in Fig. 3 it is substructure 2). At step 320, anonymization tool performs transformation 9 ( 9 unless otherwise specified, when using the concept of transformation, it means direct conversion.) (Direct conversion from original to converted) data substructures (and / or data in the substructure) containing PD, anonymization means and received the request data structure with the transformed substructure containing the PD is sent to the server (step 321). At the 330, the server forms a response to the received request by the request processing means. Moreover, in relation to the request data that in a particular case could be converted by the client, the server performs the preliminary inverse transformation (step 325 in Fig. 4). The data structure of the response to the request, in our example with PD, contains the substructures:

- содержащие ПДн преобразованные средством анонимизации (подструктура Г, извлеченная из структуры запроса);- containing PDs converted by the anonymization tool (substructure Г extracted from the request structure);

- не содержащие ПДн (подструктура 3, содержащая тело ответа на запрос или полезную нагрузку ответа10 (10 от англ. payload)).- not containing PD (substructure 3, containing the body of the response to the request or the payload of the response 10 ( 10 from the English payload)).

При этом данные, не содержащие ПДн (подструктура 3), могут быть преобразованы (прямое преобразование) без возможности обратного преобразования средством анонимизации (подструктура 3') это осуществляется на этапе 340. Обратное преобразование этих данных может быть выполнено только средством модификации клиента11 (11 такую возможность может предоставить, в частности, асимметричное шифрование, где сервер имеет открытый ключ, а клиент закрытый ключ.), на этапе 350 отправляют полученную структуру данных ответа на запрос от сервера узлу сети со средством анонимизации. Средством анонимизации на этапе 360 осуществляют обратное преобразование подструктур данных ответа на запрос, содержащих ПДн (подструктура 1'). Обратное преобразование выполняют в отношении тех данных, которые были преобразованы на этапе 320 (обратное преобразование из преобразованных данных к оригинальным данным, содержащимися в запросе от клиента изначально). Полученную структуру данных перенаправляют клиенту (этап 370) и средством модификации клиента на этапе 380 осуществляют обратное преобразование подструктур данных ответа на запрос, не содержащих ПДн, преобразованных сервером на этапе 340.Moreover, data that does not contain PDs (substructure 3) can be converted (direct conversion) without the possibility of reverse transformation by anonymization tool (substructure 3 ') this is done at step 340. The reverse conversion of this data can be performed only by means of modifying client 11 ( 11 such a possibility can be provided, in particular, by asymmetric encryption, where the server has a public key and the client has a private key.), at 350 send the received data structure of the response to the request from the server to the network node from by anonymization. At 360, an anonymization tool performs the inverse transformation of the substructures of the response data to the request containing PDs (substructure 1 '). The inverse transformation is performed in relation to the data that was converted at step 320 (the inverse transformation from the converted data to the original data contained in the request from the client initially). The resulting data structure is redirected to the client (step 370) and the client modification means, at step 380, reverse transforms the substructures of the response data to the request that do not contain PDs converted by the server at step 340.

Фиг. 4 изображает вариант способа, изображенного на Фиг. 3, но в этом варианте этап 310 по выделению подструктур осуществляют не средством анонимизации, а средством модификации клиента, с последующим преобразованием подструктуры на этапе 311. Где по аналогии с вариантом на Фиг. 3 преобразованию подвергают подструктуру, не содержащую ПДн (подструктура 2). Поэтому этап 300' на Фиг. 4 отличается от аналогичного этапа 300 способа на Фиг. 3 тем, что передают не оригинальную структуру данных запроса узлу со средством анонимизации, а преобразованную, после выполнения этапов 310 и 311. Соответственно в данном варианте добавляется этап 325, где выполняют предварительно обратное преобразование подструктуры (в нашем примере это подструктура 2', не содержащая ПДн) преобразованной на этапе 311, прежде чем выполнить этап 330.FIG. 4 depicts a variant of the method depicted in FIG. 3, but in this embodiment, the step 310 for distinguishing the substructures is carried out not by means of anonymization, but by means of modifying the client, with subsequent transformation of the substructure at step 311. Where, by analogy with the embodiment in FIG. 3, a substructure not containing PD is subjected to transformation (substructure 2). Therefore, step 300 ′ in FIG. 4 differs from the similar step 300 of the method of FIG. 3 by the fact that they transmit not the original structure of the request data to the node with the anonymization tool, but the transformed one after performing steps 310 and 311. Accordingly, in this embodiment, step 325 is added, where the inverse transform of the substructure is preliminarily performed (in our example, this is a 2 'substructure that does not PD) transformed in step 311 before performing step 330.

Фиг. 5 изображает вариант способа маршрутизации данных в клиент-серверной архитектуре, в которой этапы с 200 по 230 аналогичны этапам способа, изображенного на Фиг. 2, а этапы с 300 по 380 аналогичны этапам способа, изображенного на Фиг. 3. В частном случае подструктура 2 перед отправкой напрямую серверу может быть предварительно преобразована, по аналогии с шагом 311 на Фиг. 4, тогда в изображении способа помимо этапа 311 добавляется этап 325.FIG. 5 depicts an embodiment of a data routing method in a client-server architecture in which steps 200 through 230 are similar to those of the method shown in FIG. 2, and steps 300 through 380 are similar to the steps of the method depicted in FIG. 3. In the particular case, substructure 2 can be previously transformed before being sent directly to the server, by analogy with step 311 in FIG. 4, then in the process image, in addition to step 311, step 325 is added.

В частном случае во всех реализациях способа, изображенных на Фиг. 3 - Фиг. 5 структура данных, отправляемая клиенту узлом со средством анонимизации на этапе 370, не содержит подструктуры данных с ПДн (в наших примерах это подструктура 1). Данную подструктуру необходимо сохранять до этого этапа, чтобы определить адресата ответа, далее в частном случае в ней нет необходимости.In the particular case in all implementations of the method depicted in FIG. 3 - FIG. 5, the data structure sent to the client by the node with the anonymization tool at step 370 does not contain a data substructure with PD (in our examples, this is substructure 1). This substructure must be stored until this stage in order to determine the addressee of the response, then in the particular case it is not necessary.

Фиг. 6а изображает пример работы способа, изображенного на Фиг. 2. Устройство с клиентом подключено к системе удаленного детектирования целевых атак, находящейся на стороне сервера, поэтому от клиента необходимо: получать информацию об обнаруженных в разное время файлах с вредоносным кодом (вредоносных файлах) и на основании полученной информации строить статистику (часто в соответствии с национальным законодательством о персональных данных это еще необходимо делать анонимно). При обнаружении нескольких определенных вредоносных файлов12 (12 информация о которых получена от клиента) на сервере делают вывод обнаружении целевой атаки на клиента.FIG. 6a shows an example of the operation of the method depicted in FIG. 2. A device with a client is connected to a remote attack detection system located on the server side, therefore, it is necessary from the client to: obtain information about files with malicious code (malicious files) detected at different times and build statistics based on the information received (often in accordance with national legislation on personal data, this still needs to be done anonymously). Upon detection of several specific malicious files 12 ( 12 information about which was received from the client) on the server, the detection of a targeted attack on the client is concluded.

Для отправки серверу информации об обнаруженном вредоносном файле (в рассматриваемом примере информация о файле это MD5 файла) формируют структуру данных, которая включает ID клиента и MD5 обнаруженного вредоносного файла. На этапе 200 средство модификации разделяет сформированную структуру, предназначенную для отправки серверу на подструктуры, в результате разделения получают подструктуру, содержащую ID клиента и подструктуру, содержащую MD5 файла, чтобы понимать, частью какой структуры являются подструктуры, им присваивается идентификатор (на фигуре идентификатор отмечен как StructureID). На этапе 210 средство модификации клиента отправляет полученные подструктуры серверу, при этом отправка осуществляется по разным маршрутам (маршруту А и маршруту В), где один из маршрутов (маршрут А) включает узел сети со средством анонимизации, расположенный в региональной сети отличной от сети, которой расположен сервер и, не находящийся в одном Интранете с сервером или клиентом. Подструктура, содержащая ID клиента, направляется к серверу через узел со средством анонимизации (маршрут А). На этапе 220 средством анонимизации осуществляют преобразование ID клиента, где ID клиента сохраняется на узле, а в подструктуре его замещает токен AnonymizedID (в частном случае ID Клиента может быть зашифрован). Полученную подструктуру, отправляют серверу (этап 221). В заключении на этапе 230 полученные от клиента подструктуры объединяются в структуру. Очевидно, что итоговая структура отличается от исходной, так как, по меньшей мере одна подструктура был преобразована средством анонимизации. Итоговая структура сохраняется на сервере (или в любой базе данных инфраструктуры к которой принадлежит сервер) и будет использоваться сервером для накопления информации (на фигуре обозначена как STATISTICS) по клиенту от которого получена структура. На этапе 240 накопленная информация будет использоваться средством обнаружения атак и если средством будет обнаружена атака, то на этапе 250 средством сформируют структуру содержащую подструктуру с AnonymizedID и подструктуру, содержащую информацию об атаке (на фигуре обозначена как AttackID), полученная структура будет направлена клиенту для уведомления об атаке.To send information to the server about the detected malicious file (in this example, the file information is an MD5 file), a data structure is created that includes the client ID and MD5 of the detected malicious file. At step 200, the modification tool separates the generated structure intended for sending to the server for substructures, as a result of the separation, a substructure containing the client ID and a substructure containing the MD5 file is obtained, in order to understand which structure the substructures are part of, they are assigned an identifier (in the figure, the identifier is marked as StructureID). At step 210, the client modification tool sends the received substructures to the server, while sending is carried out on different routes (route A and route B), where one of the routes (route A) includes a network node with anonymization tool located in a regional network different from the network that the server is located and not located on the same Intranet as the server or client. The substructure containing the client ID is directed to the server through the node with the anonymization tool (route A). At step 220, the anonymization tool converts the client ID, where the client ID is stored on the node, and in the substructure it is replaced by the AnonymizedID token (in the particular case, the Client ID can be encrypted). The resulting substructure is sent to the server (step 221). Finally, at step 230, the substructures received from the client are combined into a structure. Obviously, the final structure is different from the original, since at least one substructure has been transformed by means of anonymization. The final structure is stored on the server (or in any infrastructure database to which the server belongs) and will be used by the server to accumulate information (indicated as STATISTICS in the figure) for the client from which the structure is received. At step 240, the accumulated information will be used by the attack detection tool and if the attack is detected by the tool, then at step 250 the tool will form a structure containing a substructure with AnonymizedID and a substructure containing information about the attack (indicated as AttackID in the figure), the resulting structure will be sent to the client for notification about the attack.

Пример способа отправки изображен на Фиг. 66, этапы с 340 по 380 аналогичны этапам из примера, изображенного на Фиг. 8. В частном случае информация об атаке может не преобразовываться, а отправляться в открытом виде, тогда в примере будут отсутствовать этапы 340 и 380.An example of a sending method is shown in FIG. 66, steps 340 through 380 are similar to steps from the example shown in FIG. 8. In the particular case, information about the attack may not be converted, but sent in the clear, then in the example steps 340 and 380 will be absent.

На Фиг. 7 изображен другой пример работы описанного изобретения. На устройстве с клиентом обнаружен новый файл, который необходимо проверить на наличие вредоносного кода средствами сервера. Для этого необходимо отправить серверу информацию о файле, в рассматриваемом примере это MD5 файла, для этого клиент формирует структуру запроса. Для того чтобы серверу знать кому отправлять ответ в структуру данных запроса вставляется ID клиента, таким образом структура данных запроса включает ID клиента и MD5 файла. На этапе 300 сформированный на клиенте запрос отправляется средством модификации к серверу, при этом маршрут включает узел сети со средством анонимизации, расположенный в региональной сети отличной от сети, которой расположен сервер и, не находящийся в одном Интранете с сервером или клиентом. Далее на этапе 310 средством анонимизации выделяют в структуре, предназначенной для отправки серверу, подструктуры, в результате выделения получают подструктуру, содержащую ID клиента и подструктуру, содержащую MD5 файла. На этапе 320 средством анонимизации осуществляют преобразование ID клиента, где ID клиента сохраняется на узле, а в подструктуре его замещает токен AnonymizedID (в частном случае ID клиента может быть зашифрован). Полученную структуру данных запроса с преобразованной подструктурой, отправляют серверу (этап 321). На полученный запрос на этапе 330 формируют ответ средством обработки запроса сервера. Средство обработки запроса извлекает из структуры MD5 файла и выдает вердикт, например, BAD (файл вредоносный). Структура данных ответа на запрос содержит подструктуры:In FIG. 7 depicts another example of the operation of the described invention. A new file was found on the device with the client, which must be checked for malicious code by the server. To do this, it is necessary to send information about the file to the server, in this example it is an MD5 file, for this the client forms the request structure. In order for the server to know whom to send the response to, the client ID is inserted into the request data structure, thus the request data structure includes the client ID and the MD5 file. At step 300, the request generated on the client is sent by means of modification to the server, and the route includes a network node with anonymization tool located on a regional network different from the network on which the server is located and not located on the same Intranet as the server or client. Next, at step 310, an anonymization tool allocates a substructure in the structure for sending to the server, as a result of the selection, a substructure containing the client ID and a substructure containing the MD5 file is obtained. At step 320, the anonymization tool converts the client ID, where the client ID is stored on the node, and in the substructure it is replaced by the AnonymizedID token (in the particular case, the client ID can be encrypted). The resulting request data structure with the transformed substructure is sent to the server (step 321). To the received request at step 330, a response is generated by the server request processing means. The request processing tool extracts the file from the MD5 structure and issues a verdict, for example, BAD (file is malicious). The data structure of the response to the request contains substructures:

- содержащую токен AnonymizedID (или зашифрованный средством анонимизации ID клиента);- containing the AnonymizedID token (or encrypted by the client ID anonymization tool);

- содержащую вердикт для файла (MD5-BAD).- containing the verdict for the file (MD5-BAD).

При этом вердикт на этапе 340 преобразуют средствами сервера без возможности обратного преобразования средством анонимизации, например, зашифровав открытым ключом (на фигуре преобразованный вердикт отмечен как EncryptedVer), закрытый ключ хранится на клиенте и обратное преобразование может быть выполнено только средством модификации клиента. На этапе 350 отправляют полученную структуру данных ответа на запрос от сервера узлу сети со средством анонимизации. Средством анонимизации на этапе 360 осуществляют обратное преобразование подструктуры данных ответа на запрос, содержащую токен AnonymizedID, средством анонимизации, где в случае с токеном, токен заменяется на сохраненный ранее ID клиента, в случае если ID клиента был зашифрован, то он расшифровывается. Таким образом преобразование выполняют в отношении тех данных, которые были преобразованы на этапе 320. Полученную структуру данных перенаправляют клиенту (этап 370) и средством модификации клиента на этапе 380 осуществляют обратное преобразование вердикта, преобразованного сервером на этапе 340, в нашем случае расшифровывают при помощи закрытого ключа. В частном случае AnonymizedID для одного и того же ID Клиента, но в разных отправках будут отличаться.In this case, the verdict at step 340 is transformed by the means of the server without the possibility of reverse conversion by means of anonymization, for example, by encrypting it with a public key (in the figure, the converted verdict is marked as EncryptedVer), the private key is stored on the client, and the reverse conversion can be performed only by means of modifying the client. At step 350, the received data structure of the response to the request from the server to the network node is sent with anonymization means. The anonymization tool at step 360 performs the inverse transformation of the response data substructure for the request containing the AnonymizedID token, the anonymization tool, where in the case of the token, the token is replaced with the previously stored client ID, if the client ID was encrypted, it is decrypted. Thus, the conversion is performed in relation to the data that was converted at step 320. The resulting data structure is redirected to the client (step 370) and, by means of the client modification, at step 380, the verdict converted by the server is converted back to step 340, in our case, it is decrypted using a closed the key. In the particular case of AnonymizedID for the same Client ID, but in different shipments will be different.

Фиг. 8 изображает вариант примера, изображенного на Фиг. 7, в этом варианте этап 310 по выделению подструктур осуществляет не средство анонимизации, а средство модификации клиента с последующим преобразование подструктуры, хранящей информацию о файле (MD5 файла) путем шифрования открытым ключом (на фигуре преобразованная информация о файле отмечена как EncryptedMD5), закрытый ключ хранится на сервере и обратное преобразование может быть выполнено только на сервере. Таким образом, этап 300' примера на Фиг. 8 отличается от аналогичного этапа примера на Фиг. 7 тем, что передают не оригинальную структуру запроса узлу со средством анонимизации, а преобразованную, после выполнения этапов 310 и 311. Соответственно поэтому добавляется этап 325, где выполняется предварительно, прежде чем выполнить этап 330, обратное преобразование зашифрованной информации о файле путем ее расшифровки при помощи закрытого ключа.FIG. 8 depicts a variant of the example depicted in FIG. 7, in this embodiment, the step 310 for allocating substructures does not carry out anonymization means, but a client modification means, followed by converting the substructure storing file information (MD5 file) by public key encryption (in the figure, the converted file information is marked as EncryptedMD5), the private key stored on the server and the inverse transformation can only be performed on the server. Thus, step 300 ′ of the example in FIG. 8 differs from the similar step of the example in FIG. 7 by the fact that they transmit not the original request structure to the node with the anonymization tool, but the converted one, after performing steps 310 and 311. Accordingly, therefore, step 325 is added, where it is preliminarily performed before performing step 330 that the encrypted file information is inversely converted by decrypting it when using the private key.

Фиг. 9 изображает пример маршрутизации данных в клиент-серверной архитектуре, в котором этапы с 200 по 230 аналогичны этапам примера, изображенного на Фиг. 6а, а этапы с 330 по 380 аналогичны этапам примера, изображенного на Фиг. 7. В частном случае информация о файле перед отправкой напрямую серверу может быть предварительно преобразована, по аналогии с этапом 311 в примере Фиг. 8, тогда в примере помимо этапа 311 добавляется этап 325.FIG. 9 depicts an example of data routing in a client-server architecture in which steps 200 through 230 are similar to those of the example shown in FIG. 6a, and steps 330 through 380 are similar to the steps of the example shown in FIG. 7. In the particular case, the file information can be previously converted before being sent directly to the server, by analogy with step 311 in the example of FIG. 8, then in the example, in addition to step 311, step 325 is added.

Средство модификации клиента перехватывает структуры, предназначенные для отправки серверу, разделяет эти структуры в соответствии с установленными правилами и выбирает маршруты для этих подструктур также в соответствии с правилами. Правила, по которым работает средство модификации, устанавливаются в частном случае действующим законодательством государства, в юрисдикции которого функционирует устройство с клиентом (источник). Поэтому для применения правил средство модификации клиента определяет местоположение устройства (источника), тип данных в сформированной структуре, назначение структуры (тип передачи: запрос или статистика13 (13 отправление данных серверу для построения на стороне сервера статистики)), местоположение приемника данных и на основании этого в соответствии с правилами выбирает маршрут для данных, вариант разделения и способ преобразования на клиенте. Вариант формализованных правил представлен в Таблице 1, где способ:The client modification tool intercepts structures intended for sending to the server, separates these structures in accordance with the established rules, and selects routes for these substructures also in accordance with the rules. The rules by which the modification tool works are established in a particular case by the current legislation of the state in whose jurisdiction the device operates with the client (source). Therefore, to apply the rules, the client modification tool determines the location of the device (source), the type of data in the generated structure, the purpose of the structure (transmission type: request or statistics 13 ( 13 sending data to the server to build statistics on the server side)), the location of the data receiver and based on of this, in accordance with the rules, selects the route for the data, the separation option, and the conversion method on the client. A variant of the formalized rules is presented in Table 1, where the method:

- 1 - разделение структуры на клиенте (см. Фиг. 2);- 1 - separation of the structure on the client (see Fig. 2);

- 2 - выделение структуры на узле со средством анонимизации (см. Фиг. 3);- 2 - allocation of the structure on the node with the means of anonymization (see Fig. 3);

- 3 - выделение структуры на клиенте (см. Фиг. 4).- 3 - allocation of the structure on the client (see Fig. 4).

Правила как, указывалось выше, могут задаваться требованиями законодательства (например, GDPR) и как любая правовая норма включает гипотезу и диспозицию, что на алгоритмическом языке соответствует конструкции если-то. Таким образом, указанная таблица формализует правило видаRules, as mentioned above, can be set by the requirements of the law (for example, GDPR) and like any legal norm includes a hypothesis and a disposition, which in an algorithmic language corresponds to the design if-then. Thus, this table formalizes a rule of the form

ЕСЛИ [тип, источник, приемник, персональные данные(есть/нет)] ТО [способ, местонахождение узла анонимизации, способ преобразования для данных/IF [type, source, receiver, personal data (yes / no)] TO [method, location of the anonymization node, conversion method for data /

Например, тип передачи - запрос, источник (клиент) Германия, приемник (сервер) РФ, структура содержит персональные данные. В соответствии с правилами средству модификации необходимо выделить подструктуру с ПДн на клиенте (как на этапе 310 Фиг. 4 - способ 2) и отправить через США, подструктуру без ПДн зашифровать открытым ключом (как этапе 311 на Фиг. 4), персональные данные преобразовать средством анонимизации посредством шифрованияFor example, the type of transmission is a request, the source (client) Germany, the receiver (server) of the Russian Federation, the structure contains personal data. In accordance with the rules, it is necessary for the modification tool to isolate the substructure with PD on the client (as in step 310 of Fig. 4 - method 2) and send it through the USA, to encrypt the substructure without PD in the public key (as in step 311 in Fig. 4), convert personal data using encryption anonymization

Figure 00000001
Figure 00000001

В другом варианте реализации к системе, изображенной на Фиг. 1 добавляется узел сети со средством хранения, система с указанным узлом изображен на Фиг. 10. Узел сети со средством хранения расположен в региональной сети отличной от региональной сети, в которой расположен сервер и не находится в одном Интранете с сервером или клиентом. В частном случае узел сети со средством хранения может находится в одной региональной сети с узлом сети со средством анонимизации, такая сеть на Фиг. 10 указана как региональная сеть N. Назначение узла сети со средством хранения скрывать внешний IP адрес клиента от сервера и снимать нагрузку с узла, на котором располагается средство анонимизации, так как объем траффика, идущего через узел со средством анонимизации сокращается. Узел сети со средством хранения является промежуточным хранилищем для данных, которыми обменивается клиент с сервером, бытовым аналогом данного узла является абонентский ящик (англ. post office box).In another embodiment, to the system depicted in FIG. 1, a network node with storage means is added, a system with the indicated node is shown in FIG. 10. The network node with the storage facility is located in a regional network different from the regional network in which the server is located and is not located on the same Intranet as the server or client. In a particular case, the network node with the storage means may be located in the same regional network as the network node with the anonymization means, such a network in FIG. 10 is indicated as a regional network N. The purpose of a network node with a means of storage is to hide the client’s external IP address from the server and remove the load from the node where the anonymization tool is located, since the volume of traffic going through the node with the anonymization tool is reduced. A network node with a storage facility is an intermediate storage for data exchanged between a client and a server; a household analogue of this node is a post office box.

Система, изображенная на Фиг. 10 используется для анонимного обмена данными между клиентом и сервером, в том числе для отправки данных от клиентов, которые используются для построения статистики и для клиент-серверного взаимодействия типа - «запрос-ответ». На Фиг. 11 изображен способ анонимного обмена данными между клиентом и сервером, который в частном случае используется для получения данных от клиентов для построения статистики на стороне сервера. Этапы 200, 221, 220, 230 аналогичны этапам, изображенным на Фиг. 2. От аналогичного отличается этап 210' и добавляется этап 222. На Фиг. 2 маршрут В лежал напрямую от клиента к серверу, в описываемой реализации данный маршрут разрывается, и клиентом подструктура 2 отправляется не серверу, а узлу со средством хранения. Далее на этапе 222 данная подструктура будет получена сервером. Инициатором отправки данной подструктуры серверу на этапе 222 может являться как сам узел со средством хранения, так и сервера, который по требованию загрузит подструктуру 2, когда по маршруту А получит подструктуру 1' с идентификатором подструктуры 2, сохраненной узлом сети со средством хранения.The system depicted in FIG. 10 is used for anonymous data exchange between the client and server, including for sending data from clients, which are used to build statistics and for client-server interaction of the type “request-response”. In FIG. 11 shows a method of anonymous data exchange between a client and a server, which in a particular case is used to receive data from clients to build statistics on the server side. Steps 200, 221, 220, 230 are similar to the steps shown in FIG. 2. Step 210 'differs from the same and step 222 is added. In FIG. Route 2 lay directly from the client to the server, in the described implementation, this route is broken, and client 2 substructure is sent not to the server, but to the node with the storage facility. Next, at step 222, this substructure will be received by the server. The initiator of sending this substructure to the server at step 222 can be either the node with the storage means or the server, which, upon request, will load the substructure 2, when along route A it receives the substructure 1 'with the identifier of the substructure 2 stored by the network node with the storage medium.

На Фиг. 12 изображен способ обмена данными, который в частном случае используется при выполнении запроса клиента к серверу. Этапы 200, 221, 220, 230 аналогичны этапам, изображенным на Фиг. 2, этапы 210', 222 аналогичны этапам, изображенным на Фиг. 11, этап 330 аналогичен этому же этапу на Фиг. 3. Таким образом, отправка запроса серверу аналогична отправке данных серверу для построения статистики изображенной на Фиг. 11, отличия заключаются от всего описанного ранее в том, как отправляется ответ, подготовленный на этапе 330. Структура ответа на запрос, сформированная на этапе 330 разбивается на по меньшей мере две подструктуры на этапе 331:In FIG. 12 shows a data exchange method, which in a particular case is used when executing a client request to a server. Steps 200, 221, 220, 230 are similar to the steps shown in FIG. 2, steps 210 ′, 222 are similar to the steps shown in FIG. 11, step 330 is similar to that of FIG. 3. Thus, sending a request to the server is similar to sending data to the server to build the statistics depicted in FIG. 11, the differences from what was previously described are how the response prepared in step 330 is sent. The structure of the response to the request generated in step 330 is divided into at least two substructures in step 331:

- содержащую ПДн преобразованные средством анонимизации (подструктура Г, извлеченная из структуры запроса);- containing PDs converted by anonymization tool (substructure Г extracted from the request structure);

- не содержащую ПДн (подструктура 3, содержащая тело ответа на запрос или полезную нагрузку ответа).- not containing PD (substructure 3, containing the body of the response to the request or the payload of the response).

На этапе 350а подструктура, содержащая ПДн отправляется от сервера узлу со средством анонимизации, где на этапе 360 будет выполнено преобразование обратное преобразованию выполненному на этапе 220. А подструктура, не содержащая ПДн (на Фиг. 12 подструктура 3), на этапе 350б отправляется узлу сети со средством хранения. Далее подструктура, не содержащая ПДн, будет передана клиенту на этапе 371. Варианты, по каким клиент получает подструктуру на этапе 371, могут быть отличны. Если этап 350а осуществляется, то после преобразования на этапе 360 узел со средством анонимизации отправит нотификацию (уведомление) клиенту на этапе 370а о том, что ответ готов, клиент после этого обратится к узлу со средством хранения и получит подструктуру, не содержащую ПДн, от узла со средством хранения. Нотификация на этапе 370а может содержать, например, уникальный идентификатор присвоенный подструктуре 3 в процессе разделения структуры ответа на запрос на этапе 331, подструктуру с таким идентификатором клиент и запросит у узла сети со средством хранения. В частном случае этапы 350а, 360, 370а могут не выполняться. В этом случае идентификатор, присваиваемый подструктурам в процессе разделения на этапе 200, будет аналогичен идентификатору, присваиваемому на этапе 331, и клиент на этапе 371 получит подструктуру 3, периодически опрашивая узел со средством хранения на предмет поступления туда подструктуры с соответствующим идентификатором. Если этапы 350а, 360, 370а не выполняются, структура ответа на запрос тождественна подструктуре, не содержащей ПДн (подструктура 3), которой присвоен уникальный идентификатор. В другом частном случае узел со средством хранения самостоятельно отправляет на этапе 371 подструктуру 3 клиенту, в этом случае используется идентификатор сессии (сеанса) которая была установлена между клиентом и узлом со средством хранения для выполнения этапа 210, в данном случае уникальные идентификаторы, присваиваемые подструктурам на этапах 200 и 331, равны, и равны они идентификатору сессии. В этом случае, когда узел получит подструктуру 3 на этапе 350б, он прочитает идентификатор подструктуры 3 и переправит ее клиенту, сессия, с которым имеет тот же самый идентификатор, главным условием осуществления данного варианта является удерживание сессии между клиентом и узлом со средством хранения до конца обмена данными между клиентом и сервером при выполнении запроса и отправки ответа.At step 350a, the substructure containing the PD is sent from the server to the node with the anonymization tool, where at 360, the inverse transformation is performed to the conversion performed at step 220. And the substructure that does not contain the PD (substructure 3 in Fig. 12) is sent to the network node at 350b with storage facility. Next, the substructure that does not contain PD will be transferred to the client at step 371. The options for which the client receives the substructure at step 371 may be different. If step 350a is performed, then after conversion at step 360, the node with the anonymization tool will send a notification (notification) to the client at step 370a that the answer is ready, the client will then turn to the node with the storage facility and receive a substructure that does not contain PD from the node with storage facility. The notification at step 370a may contain, for example, a unique identifier assigned to substructure 3 in the process of dividing the structure of the response to the request at step 331, the client will request a substructure with this identifier from the network node with storage means. In the particular case, steps 350a, 360, 370a may not be performed. In this case, the identifier assigned to the substructures during the separation process at step 200 will be similar to the identifier assigned at step 331, and the client at step 371 will receive the substructure 3, periodically interrogating the node with the storage means for the receipt of the substructure with the corresponding identifier. If steps 350a, 360, 370a are not performed, the structure of the response to the request is identical to the substructure that does not contain PD (substructure 3), which is assigned a unique identifier. In another particular case, the node with the storage medium independently sends, at step 371, the substructure 3 to the client, in this case, the session identifier (session) that was installed between the client and the node with the storage means is used to perform step 210, in this case, unique identifiers assigned to the substructures on steps 200 and 331 are equal, and they are equal to the session identifier. In this case, when the node receives substructure 3 at step 350b, it reads the identifier of substructure 3 and forwards it to the client, the session with which it has the same identifier, the main condition for the implementation of this option is to keep the session between the client and the node with the storage facility to the end data exchange between the client and the server when executing the request and sending a response.

В частном случае, схема, описанная на Фиг. 12 может работать в асинхронном режиме, в этом случае этап 330 осуществляется без выполнения этапа 230, используются данные подструктуры 2 и полученная подструктура 3, минуя этап 331, отправляется узлу со средством хранения (этап 350б). Этап 230 будет выполнен независимо от этапа 330. Такой режим повышает скорость реакции сервера и используется в том случае, когда для обработки запроса необходимы только данные содержащиеся в подструктуре, не содержащей КД. Объединение подструктур (этап 230) в таких случаях необходимо лишь для построения статистики, как в примере, изображенном на Фиг. 12а.In the particular case, the circuit described in FIG. 12 can operate in asynchronous mode, in this case, step 330 is performed without performing step 230, the data of substructure 2 is used, and the resulting substructure 3, bypassing step 331, is sent to the node with the storage means (step 350b). Step 230 will be performed regardless of step 330. This mode increases the server’s reaction speed and is used when only the data contained in a substructure that does not contain a CD is needed to process a request. The combination of substructures (step 230) in such cases is only necessary to build statistics, as in the example depicted in FIG. 12a.

На Фиг. 13 изображен пример использования способа, изображенного на Фиг. 12, для получения вердикта (опасный/вредоносны или безопасный) для файла, обнаруженного на клиенте, от сервера. Для отправки серверу информации об обнаруженном файле (в рассматриваемом примере информация о файле это MD5 файла) формируют структуру данных, которая включает ID клиента и MD5 обнаруженного файла. На этапе 200 средство модификации разделяет сформированную структуру, предназначенную для отправки серверу на подструктуры, в результате разделения получают подструктуру, содержащую ID клиента и подструктуру, содержащую MD5 файла, чтобы понимать, частью какой структуры являются подструктуры, им присваивается идентификатор (на фигуре идентификатор отмечен как StructureID). На этапе 210 средство модификации клиента отправляет полученные подструктуры. Отправка осуществляется по разным маршрутам (маршруту А и маршруту В) и разным приемникам. По маршруту А подструктура отправляется серверу, при этом маршрут А включает узел сети со средством анонимизации, расположенный в региональной сети отличной от сети, которой расположен сервер и, не находящийся в одном Интранете с сервером или клиентом. Подструктура, содержащая ID клиента, направляется к серверу через узел со средством анонимизации (маршрут А). По маршруту В подструктуру отправляют узлу сети со средством хранения, расположенному в региональной сети отличной от сети, которой расположен сервер и, не находящийся в одном Интранете с сервером или клиентом. Подструктура, содержащая MD5 файла, направляется узлу сети со средством хранения (маршрут В). На этапе 220 средством анонимизации осуществляют преобразование ID клиента, где ID клиента сохраняется на узле, а в подструктуре его замещает токен AnonymizedID (в частном случае ID Клиента может быть зашифрован). Полученную подструктуру, отправляют серверу (этап 221). На этапе 222 подструктура с MD5 файла будет получена сервером. Если способ осуществляется в синхронном режиме, то на этапе 230 подструктуры, полученные сервером на этапе 221 и этапе 222, будут объединены и на этапе 330 будет обработан запрос. В нашем примере MD5 будет проверен по базе вредоносных и безопасных файлов и по результатам проверки получат вердикт и сформируют ответ на запрос (в приведенном примере файл оказался вредоносным - MD5-BAD). Сформированный ответ на запрос разделяют на этапе 331 на две подструктуры, в результате разделения получают подструктуру, содержащую ID клиента, и подструктуру, содержащую вердикт (MD5), чтобы понимать, частью какой структуры являются подструктуры им присваивается идентификатор (на фигуре идентификатор отмечен как StructureID), в частном случае идентификатор может быть идентичен идентификатору, присвоенному подструктурам на этапе 200. На этапе 350б подструктуру с вердиктом отправляют узлу сети со средством хранения, который либо пересылает подструктуру клиенту на этапе 371 (если StructureID соответствует ID сессии между узлом и клиентом, установленной на этапе 210), либо сохраняет до востребования. Востребована указанная подструктура может быть клиентом в случае получения им нотификации от узла со средством анонимизации получаемой клиентов в результате выполнения этапов 350а, 360, 370а. Либо клиент постоянно опрашивает узел сети со средством хранения на предмет наличия у узла подструктуры ответа (в данном случае StructureID присвоенные подструктурам на этапах 200 и 331 должны быть идентичны). На этапе 372 клиент обрабатывает ответ. Если способ выполняется в асинхронном режиме (Фиг. 13а), то этап 230 и этап 330 выполняются независимо, StructureID на этапе 330 не изменяется и идентичен StructureID на этапе 200, а в частном случае равен ID сессии между клиентом и узлом со средством хранения этапа 210, в рамках которой также будет осуществлена передача подструктуры на этапе 371.In FIG. 13 shows an example of the use of the method depicted in FIG. 12, to obtain a verdict (dangerous / malicious or safe) for the file detected on the client from the server. To send information about the detected file to the server (in this example, the file information is an MD5 file), a data structure is created that includes the client ID and the MD5 of the detected file. At step 200, the modification tool separates the generated structure intended for sending to the server for substructures, as a result of the separation, a substructure containing the client ID and a substructure containing the MD5 file is obtained, in order to understand which structure the substructures are part of, they are assigned an identifier (in the figure, the identifier is marked as StructureID). At step 210, the client modification facility sends the received substructures. Sending is carried out on different routes (route A and route B) and different receivers. On route A, the substructure is sent to the server, while route A includes a network node with anonymization tool located on a regional network different from the network on which the server is located and not located on the same Intranet as the server or client. The substructure containing the client ID is directed to the server through the node with the anonymization tool (route A). On the route To, the substructure is sent to the network node with a storage facility located on a regional network different from the network on which the server is located and not located on the same Intranet as the server or client. The substructure containing the MD5 file is sent to the network node with the storage facility (route B). At step 220, the anonymization tool converts the client ID, where the client ID is stored on the node, and in the substructure it is replaced by the AnonymizedID token (in the particular case, the Client ID can be encrypted). The resulting substructure is sent to the server (step 221). At step 222, the substructure with the MD5 file will be received by the server. If the method is carried out in synchronous mode, then at step 230 the substructures obtained by the server at step 221 and step 222 will be combined and the request will be processed at step 330. In our example, MD5 will be checked against the database of malicious and safe files and, based on the scan results, they will receive a verdict and generate a response to the request (in the example, the file turned out to be malicious - MD5-BAD). The generated response to the request is divided at step 331 into two substructures, as a result of the division, a substructure containing the client ID and a substructure containing the verdict (MD5) are obtained in order to understand which part of the structure the substructures are assigned with an identifier (in the figure, the identifier is marked as StructureID) , in the particular case, the identifier can be identical to the identifier assigned to substructures at step 200. At step 350b, the substructure with the verdict is sent to the network node with storage means, which either sends the substratum tour to the client in step 371 (if StructureID corresponds to the session ID between the host and client installed on the stage 210), or keeps on demand. The indicated substructure is in demand, it can be a client if it receives a notification from the node with the means of anonymizing the received clients as a result of steps 350a, 360, 370a. Or, the client constantly polls the network node with the storage facility for the presence of a response sub-structure (in this case, StructureID assigned to the sub-structures at steps 200 and 331 must be identical). At step 372, the client processes the response. If the method is performed in asynchronous mode (Fig. 13a), then step 230 and step 330 are performed independently, StructureID in step 330 does not change and is identical to StructureID in step 200, and in the particular case is the session ID between the client and the node with the storage means of step 210 which also will transfer the substructure at step 371.

Заявленное изобретение позволяет децентрализовать данные идущие от клиента, что обеспечивает анонимность для пользователя, устройство которого является клиентом, данные, которыми обменивается клиент с сервером, невозможно связать с клиентом при доступе к серверу. Часть данных известна только серверу, часть только узлу сети со средством анонимизации и без одновременного доступа к этим компонентам системы невозможно деанонимизировать данные, а невозможность одновременного доступа к компонентам, в том числе и государственными структурами, обеспечивается распределением компонентов системы по различным региональным сетям, отличных как по географическому признаку, так и по признаку территориальной юрисдикции. Также заявленное изобретение при использовании узла со средством хранения позволяет скрыть внешний IP адрес клиента от сервера (сервер забирает подструктуру не напрямую от клиента, а через узел со средством хранения), а также снизить нагрузку на узел со средством анонимизации.The claimed invention allows to decentralize data coming from the client, which ensures anonymity for the user whose device is a client, the data exchanged by the client with the server cannot be connected with the client when accessing the server. Part of the data is known only to the server, part only to the network node with the means of anonymization and without simultaneous access to these system components, it is impossible to deanonymize the data, and the impossibility of simultaneous access to components, including government structures, is ensured by the distribution of system components over various regional networks other than by geography and by territorial jurisdiction. Also, the claimed invention when using a node with storage means allows you to hide the external IP address of the client from the server (the server takes the substructure not directly from the client, but through the node with the storage means), as well as reduce the load on the node with the anonymization tool.

Под средством модификации, средством анонимизации, средством объединения, средством обработки запроса, средством обнаружения атаки, средством хранения в настоящем изобретении понимаются реальные устройства, системы, компоненты, группа компонентов, реализованные с использованием аппаратных средств, таких как интегральные микросхемы (англ. application-specific integrated circuit, ASIC) или программируемой вентильной матрицы (англ. field-programmable gate array, FPGA) или, например, в виде комбинации программных и аппаратных средств, таких как микропроцессорная система и набор программных инструкций, а также на нейроморфных чипах (англ. neurosynaptic chips) Функциональность указанных средств может быть реализована исключительно аппаратными средствами, а также в виде комбинации, где часть функциональности реализована программными средствами, а часть аппаратными. В некоторых вариантах реализации средства могут быть исполнены на процессоре компьютера общего назначения (например, который изображен на Фиг. 14). Базы данных могут быть реализованы всеми возможными способами и содержаться как на одном физическом носителе, так и на разных, располагаться как локально, так и удаленно.By means of modification, anonymization means, combining means, request processing means, attack detection means, storage means, the present invention refers to real devices, systems, components, a group of components implemented using hardware such as integrated circuits (Russian application-specific integrated circuit, ASIC) or Field Programmable Gate Array (FPGA) or, for example, as a combination of software and hardware, such as a microprocessor system and op program instructions as well as neuromorphic chips (Engl. neurosynaptic chips) functionality of said means can be implemented solely in hardware, as well as in a combination where the functionality is implemented in software and hardware part. In some embodiments, the means may be executed on a general-purpose computer processor (for example, which is depicted in FIG. 14). Databases can be implemented in all possible ways and contained both on one physical medium and on different ones, located both locally and remotely.

Фиг. 14 представляет пример компьютерной системы общего назначения, персональный компьютер или сервер 20, содержащий центральный процессор 21, системную память 22 и системную шину 23, которая содержит разные системные компоненты, в том числе память, связанную с центральным процессором 21. Системная шина 23 реализована, как любая известная из уровня техники шинная структура, содержащая в свою очередь память шины или контроллер памяти шины, периферийную шину и локальную шину, которая способна взаимодействовать с любой другой шинной архитектурой. Системная память содержит постоянное запоминающее устройство (ПЗУ) 24, память с произвольным доступом (ОЗУ) 25. Основная система ввода/вывода (BIOS) 26, содержит основные процедуры, которые обеспечивают передачу информации между элементами персонального компьютера 20, например, в момент загрузки операционной системы с использованием ПЗУ 24.FIG. 14 is an example of a general purpose computer system, a personal computer or server 20 comprising a central processor 21, a system memory 22, and a system bus 23 that contains various system components, including memory associated with the central processor 21. The system bus 23 is implemented as any prior art bus structure comprising, in turn, a bus memory or a bus memory controller, a peripheral bus and a local bus that is capable of interacting with any other bus architecture. The system memory contains read-only memory (ROM) 24, random access memory (RAM) 25. The main input / output system (BIOS) 26, contains basic procedures that ensure the transfer of information between the elements of the personal computer 20, for example, at the time of loading the operating ROM systems 24.

Персональный компьютер 20 в свою очередь содержит жесткий диск 27 для чтения и записи данных, привод магнитных дисков 28 для чтения и записи на сменные магнитные диски 29 и оптический привод 30 для чтения и записи на сменные оптические диски 31, такие как CD-ROM, DVD-ROM и иные оптические носители информации. Жесткий диск 27, привод магнитных дисков 28, оптический привод 30 соединены с системной шиной 23 через интерфейс жесткого диска 32, интерфейс магнитных дисков 33 и интерфейс оптического привода 34 соответственно. Приводы и соответствующие компьютерные носители информации представляют собой энергонезависимые средства хранения компьютерных инструкций, структур данных, программных модулей и прочих данных персонального компьютера 20.The personal computer 20 in turn contains a hard disk 27 for reading and writing data, a magnetic disk drive 28 for reading and writing to removable magnetic disks 29, and an optical drive 30 for reading and writing to removable optical disks 31, such as a CD-ROM, DVD -ROM and other optical information carriers. The hard disk 27, the magnetic disk drive 28, the optical drive 30 are connected to the system bus 23 through the interface of the hard disk 32, the interface of the magnetic disks 33 and the interface of the optical drive 34, respectively. Drives and associated computer storage media are non-volatile means of storing computer instructions, data structures, software modules and other data of a personal computer 20.

Настоящее описание раскрывает реализацию системы, которая использует жесткий диск 27, сменный магнитный диск 29 и сменный оптический диск 31, но следует понимать, что возможно применение иных типов компьютерных носителей информации 56, которые способны хранить данные в доступной для чтения компьютером форме (твердотельные накопители, флеш карты памяти, цифровые диски, память с произвольным доступом (ОЗУ) и т.п.), которые подключены к системной шине 23 через контроллер 55.The present description discloses an implementation of a system that uses a hard disk 27, a removable magnetic disk 29, and a removable optical disk 31, but it should be understood that other types of computer storage media 56 that can store data in a form readable by a computer (solid state drives, flash memory cards, digital disks, random access memory (RAM), etc.) that are connected to the system bus 23 through the controller 55.

Компьютер 20 имеет файловую систему 36, где хранится записанная операционная система 35, а также дополнительные программные приложения 37, другие программные модули 38 и данные программ 39. Пользователь имеет возможность вводить команды и информацию в персональный компьютер 20 посредством устройств ввода (клавиатуры 40, манипулятора «мышь» 42). Могут использоваться другие устройства ввода (не отображены): микрофон, джойстик, игровая консоль, сканнер и т.п. Подобные устройства ввода по своему обычаю подключают к компьютерной системе 20 через последовательный порт 46, который в свою очередь подсоединен к системной шине, но могут быть подключены иным способом, например, при помощи параллельного порта, игрового порта или универсальной последовательной шины (USB). Монитор 47 или иной тип устройства отображения также подсоединен к системной шине 23 через интерфейс, такой как видеоадаптер 48. В дополнение к монитору 47, персональный компьютер может быть оснащен другими периферийными устройствами вывода (не отображены), например, колонками, принтером и т.п.Computer 20 has a file system 36 where the recorded operating system 35 is stored, as well as additional software applications 37, other program modules 38, and program data 39. The user is able to enter commands and information into personal computer 20 via input devices (keyboard 40, " the mouse "42). Other input devices (not displayed) can be used: microphone, joystick, game console, scanner, etc. Such input devices are, as usual, connected to the computer system 20 via a serial port 46, which in turn is connected to the system bus, but can be connected in another way, for example, using a parallel port, a game port, or a universal serial bus (USB). A monitor 47 or other type of display device is also connected to the system bus 23 via an interface such as a video adapter 48. In addition to the monitor 47, the personal computer can be equipped with other peripheral output devices (not displayed), for example, speakers, a printer, etc. .

Персональный компьютер 20 способен работать в сетевом окружении, при этом используется сетевое соединение с другим или несколькими удаленными компьютерами 49. Удаленный компьютер (или компьютеры) 49 являются такими же персональными компьютерами или серверами, которые имеют большинство или все упомянутые элементы, отмеченные ранее при описании существа персонального компьютера 20, представленного на Фиг. 14. В вычислительной сети могут присутствовать также и другие устройства, например, маршрутизаторы, сетевые станции, пиринговые устройства или иные сетевые узлы.The personal computer 20 is capable of operating in a networked environment, using a network connection with another or several remote computers 49. The remote computer (or computers) 49 are the same personal computers or servers that have most or all of the elements mentioned earlier in the description of the creature the personal computer 20 of FIG. 14. Other devices, such as routers, network stations, peer-to-peer devices, or other network nodes, may also be present on the computer network.

Сетевые соединения могут образовывать локальную вычислительную сеть (LAN) 50 и глобальную вычислительную сеть (WAN). Такие сети применяются в корпоративных компьютерных сетях, внутренних сетях компаний и, как правило, имеют доступ к сети Интернет. В LAN- или WAN-сетях персональный компьютер 20 подключен к локальной сети 50 через сетевой адаптер или сетевой интерфейс 51. При использовании сетей персональный компьютер 20 может использовать модем 54 или иные средства обеспечения связи с глобальной вычислительной сетью, такой как Интернет. Модем 54, который является внутренним или внешним устройством, подключен к системной шине 23 посредством последовательного порта 46. Следует уточнить, что сетевые соединения являются лишь примерными и не обязаны отображать точную конфигурацию сети, т.е. в действительности существуют иные способы установления соединения техническими средствами связи одного компьютера с другим.Network connections can form a local area network (LAN) 50 and a wide area network (WAN). Such networks are used in corporate computer networks, internal networks of companies and, as a rule, have access to the Internet. In LAN or WAN networks, the personal computer 20 is connected to the local area network 50 via a network adapter or network interface 51. When using the networks, the personal computer 20 may use a modem 54 or other means of providing communication with a global computer network such as the Internet. The modem 54, which is an internal or external device, is connected to the system bus 23 via the serial port 46. It should be clarified that the network connections are only exemplary and are not required to display the exact network configuration, i.e. in reality, there are other ways to establish a technical connection between one computer and another.

В заключение следует отметить, что приведенные в описании сведения являются примерами, которые не ограничивают объем настоящего изобретения, определенного формулой. Специалисту в данной области становится понятным, что могут существовать и другие варианты осуществления настоящего изобретения, согласующиеся с сущностью и объемом настоящего изобретения.In conclusion, it should be noted that the information provided in the description are examples that do not limit the scope of the present invention defined by the claims. One skilled in the art will recognize that there may be other embodiments of the present invention consistent with the spirit and scope of the present invention.

Claims (29)

1. Способ обмена данными в клиент-серверной архитектуре через узел со средством анонимизации, расположенный в региональной сети, отличной от сети, в которой расположен сервер, и не находящийся в одном Интранете с сервером или клиентом при выполнении запроса, где:1. A method of exchanging data in a client-server architecture through a node with an anonymization tool located on a regional network other than the network on which the server is located and not located on the same Intranet as the server or client when executing the request, where: а) формируют на клиенте запрос для отправки на сервер;a) form a request on the client for sending to the server; б) выделяют в структуре данных запроса по меньшей мере две подструктуры:b) allocate at least two substructures in the query data structure: - содержащую критические данные (далее КД), где- containing critical data (hereinafter referred to as CD), where
Figure 00000002
критические данные - данные, в отношении которых закон государства, в юрисдикции которого находится клиент, или уполномоченный субъект накладывает ограничения на сбор, хранение, доступ, распространение и обработку;
Figure 00000002
critical data - data in respect of which the law of the state in whose jurisdiction the client is located or an authorized entity imposes restrictions on the collection, storage, access, distribution and processing of it; - не содержащую КД;- not containing CD; в) осуществляют преобразование данных подструктуры, содержащей КД, средством анонимизации и структуру данных запроса с преобразованной подструктурой, содержащей КД, отправляют серверу;c) the data of the substructure containing the CD are converted by means of anonymization and the data structure of the request with the converted substructure containing the CD is sent to the server; г) формируют на сервере ответ на запрос, где структура данных ответа на запрос содержит подструктуры:d) form on the server a response to the request, where the data structure of the response to the request contains substructures: - содержащую КД, преобразованную средством анонимизации;- containing CD transformed by anonymization tool; - не содержащую КД;- not containing CD; д) отправляют полученную структуру данных ответа на запрос от сервера узлу сети со средством анонимизации;e) send the received data structure of the response to the request from the server to the network node with the anonymization tool; е) осуществляют обратное преобразование данных подструктуры ответа на запрос, содержащую КД, средством анонимизации и полученную структуру данных перенаправляют клиенту.f) carry out the inverse transformation of the data of the response sub-structure to the request containing the CD by means of anonymization and the resulting data structure is redirected to the client. 2. Способ по п. 1 где, преобразование средством анонимизации осуществляется без возможности обратного преобразования сервером;2. The method according to p. 1 where, the conversion by means of anonymization is carried out without the possibility of reverse conversion by the server; 3. Способ по п. 1, в котором осуществляют преобразование данных подструктуры ответа на запрос, не содержащей КД, на сервере.3. The method according to claim 1, in which the data of the substructure of the response to the request that does not contain the CD are converted on the server. 4. Способ по п. 3, в котором осуществляют обратное преобразование данных подструктуры ответа на запрос, не содержащую КД, клиентом.4. The method according to claim 3, in which the client performs the inverse transformation of the data of the substructure of the response to the request that does not contain the CD. 5. Способ по п. 3, где преобразование сервером осуществляется без возможности обратного преобразования средством анонимизации.5. The method according to p. 3, where the conversion by the server is carried out without the possibility of reverse conversion by means of anonymization. 6. Способ по пп. 3 и 4, в котором для преобразования используют методы ассиметричного шифрования, где закрытый ключ сохраняют на клиенте, а открытый - сохраняют на сервере.6. The method according to PP. 3 and 4, in which asymmetric encryption methods are used for conversion, where the private key is stored on the client, and the public key is stored on the server. 7. Способ по п. 1, где преобразование осуществляется посредством шифрования.7. The method according to p. 1, where the conversion is carried out by means of encryption. 8. Способ по п. 7, где преобразованием (прямым преобразованием) является шифрование подструктур, а обратным преобразованием - расшифровывание этих подструктур.8. The method according to claim 7, where the transformation (direct transformation) is the encryption of substructures, and the inverse transformation is the decryption of these substructures. 9. Способ по п. 1, где сформированный запрос на клиенте отправляют от клиента к серверу через средство анонимизации.9. The method according to claim 1, where the generated request on the client is sent from the client to the server through the anonymization tool. 10. Способ по п. 9, где выделяют в структуре данных запроса подструктуры, содержащие КД и не содержащие КД, средством анонимизации.10. The method according to p. 9, where they allocate in the data structure of the request substructures containing CDs and not containing CDs, by means of anonymization. 11. Способ по п. 1, где выделяют в структуре данных запроса подструктуры, содержащие КД и не содержащие КД, на клиенте перед отправкой серверу через узел со средством анонимизации.11. The method according to claim 1, where substructures containing CDs and not containing CDs are allocated in the request data structure on the client before sending to the server through the node with the anonymization tool. 12. Способ по п. 11, где подструктуру, не содержащую КД, преобразуют на клиенте.12. The method according to claim 11, where the substructure that does not contain CD is converted on the client. 13. Способ по п. 12, где, на сервере перед формированием ответа выполняют обратное преобразование подструктуры, не содержащей КД.13. The method according to p. 12, where, on the server before generating the response, the inverse transformation of the substructure that does not contain the CD is performed. 14. Способ по пп. 12 и 13, где преобразование и обратное преобразование осуществляется методами асимметричного шифрования.14. The method according to PP. 12 and 13, where the conversion and inverse transformation is carried out by asymmetric encryption methods. 15. Способ по п. 1, в котором структура, отправляемая клиенту на этапе 1.д), не содержит подструктуру, содержащую КД.15. The method according to claim 1, in which the structure sent to the client at step 1.e) does not contain a substructure containing the CD. 16. Способ по п. 1, в котором критическими данными являются персональные данные или их специальные категории по терминологии GDPR.16. The method according to claim 1, wherein the critical data is personal data or their special categories in terms of GDPR. 17. Способ по п. 1, в котором критическими данными являются конфиденциальные данные, где17. The method according to claim 1, wherein the critical data is confidential data, where
Figure 00000002
конфиденциальные данные - данные, которые охраняются в соответствии с законодательством страны, в юрисдикции которой находится пользователь, использующий устройство, являющееся в описываемой системе клиентом.
Figure 00000002
confidential data - data that is protected in accordance with the legislation of the country in whose jurisdiction the user is using a device that is a client in the described system.
RU2018111485A 2018-03-30 2018-03-30 Method of transmitting data in client-server architecture when executing request RU2707707C2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2018111485A RU2707707C2 (en) 2018-03-30 2018-03-30 Method of transmitting data in client-server architecture when executing request

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2018111485A RU2707707C2 (en) 2018-03-30 2018-03-30 Method of transmitting data in client-server architecture when executing request

Publications (3)

Publication Number Publication Date
RU2018111485A3 RU2018111485A3 (en) 2019-10-01
RU2018111485A RU2018111485A (en) 2019-10-01
RU2707707C2 true RU2707707C2 (en) 2019-11-28

Family

ID=68206002

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2018111485A RU2707707C2 (en) 2018-03-30 2018-03-30 Method of transmitting data in client-server architecture when executing request

Country Status (1)

Country Link
RU (1) RU2707707C2 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2754967C1 (en) * 2020-06-19 2021-09-08 Акционерное общество "Лаборатория Касперского" Method of transferring anonymous data to an untrusted party

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4233437B2 (en) * 2003-11-27 2009-03-04 富士通株式会社 Anonymous data transmission method, anonymous data relay method, anonymous data transmission device, anonymous data relay device, anonymous data transmission program, and anonymous data relay program
US20120278987A1 (en) * 2011-05-06 2012-11-08 Dean Marelli Pool spring cover
US8601598B2 (en) * 2006-09-29 2013-12-03 Microsoft Corporation Off-premise encryption of data storage
RU139969U1 (en) * 2013-12-17 2014-04-27 Дмитрий Алексеевич Стериопуло EXECUTIVE UNIT OF COMPUTER COMPLEX OF CONTROL, RESTRICTION AND ANONYMATION OF ACCESS TO NETWORK DEVICES WITH FUNCTION OF FILTERING AND MODIFICATION OF DATA

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4233437B2 (en) * 2003-11-27 2009-03-04 富士通株式会社 Anonymous data transmission method, anonymous data relay method, anonymous data transmission device, anonymous data relay device, anonymous data transmission program, and anonymous data relay program
US8601598B2 (en) * 2006-09-29 2013-12-03 Microsoft Corporation Off-premise encryption of data storage
US20120278987A1 (en) * 2011-05-06 2012-11-08 Dean Marelli Pool spring cover
RU139969U1 (en) * 2013-12-17 2014-04-27 Дмитрий Алексеевич Стериопуло EXECUTIVE UNIT OF COMPUTER COMPLEX OF CONTROL, RESTRICTION AND ANONYMATION OF ACCESS TO NETWORK DEVICES WITH FUNCTION OF FILTERING AND MODIFICATION OF DATA

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2754967C1 (en) * 2020-06-19 2021-09-08 Акционерное общество "Лаборатория Касперского" Method of transferring anonymous data to an untrusted party

Also Published As

Publication number Publication date
RU2018111485A3 (en) 2019-10-01
RU2018111485A (en) 2019-10-01

Similar Documents

Publication Publication Date Title
RU2696240C1 (en) Method for anonymous communication in client-server architecture
van Beek et al. Digital forensics as a service: Game on
EP2396922B1 (en) Trusted cloud computing and services framework
EP2396921B1 (en) Trusted cloud computing and services framework
SG175843A1 (en) Secure and private backup storage and processing for trusted computing and data services
RU2728503C1 (en) Confidential data transmission method
RU2766134C2 (en) Method of anonymously sending data from a user device
US11397833B2 (en) System and method for anonymously collecting malware related data from client devices
RU2707707C2 (en) Method of transmitting data in client-server architecture when executing request
CN110324299B (en) System and method for anonymously exchanging data between a server and a client
RU2739862C2 (en) Method for adaptive selection of user data transmission paths
RU2696227C1 (en) Method of transmitting data in a client-server architecture
EP3779758B1 (en) System and method for anonymously transmitting data in a network
RU2754967C1 (en) Method of transferring anonymous data to an untrusted party
RU2749182C1 (en) Method for transferring data to server using public key
RU2773624C2 (en) Method and system for data transmission to server using certifying center
CN110324298B (en) Systems, methods, and media for routing data when executing queries
RU2748966C1 (en) Method for synchronisation of anonymous identifiers
EP3757845B1 (en) Systems and methods for anonymous and consistent data routing in a client-server architecture
EP3971752A1 (en) System and method for anonymously collecting malware related data from client devices
CN110324300B (en) System and method for routing data during statistics collection
Lafta et al. Privacy preserving homomorphic encryption in cloud storage
Shakir et al. Diagnosis Security Problems for Hybrid Cloud Computing in Medium Organizations