RU2762535C1 - Способ непрерывной аутентификации пользователя и защиты автоматизированного рабочего места от несанкционированного доступа - Google Patents

Способ непрерывной аутентификации пользователя и защиты автоматизированного рабочего места от несанкционированного доступа Download PDF

Info

Publication number
RU2762535C1
RU2762535C1 RU2020140136A RU2020140136A RU2762535C1 RU 2762535 C1 RU2762535 C1 RU 2762535C1 RU 2020140136 A RU2020140136 A RU 2020140136A RU 2020140136 A RU2020140136 A RU 2020140136A RU 2762535 C1 RU2762535 C1 RU 2762535C1
Authority
RU
Russia
Prior art keywords
user
authentication
keyboard
handwriting
access
Prior art date
Application number
RU2020140136A
Other languages
English (en)
Inventor
Сергей Георгиевич Краснов
Сергей Григорьевич Зварич
Василий Михайлович Ланчев
Михаил Александрович Рычков
Original Assignee
Федеральное государственное казённое военное образовательное учреждение высшего образования "Военная академия воздушно-космической обороны имени Маршала Советского Союза Г.К. Жукова" Министерства обороны Российской Федерации
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Федеральное государственное казённое военное образовательное учреждение высшего образования "Военная академия воздушно-космической обороны имени Маршала Советского Союза Г.К. Жукова" Министерства обороны Российской Федерации filed Critical Федеральное государственное казённое военное образовательное учреждение высшего образования "Военная академия воздушно-космической обороны имени Маршала Советского Союза Г.К. Жукова" Министерства обороны Российской Федерации
Priority to RU2020140136A priority Critical patent/RU2762535C1/ru
Application granted granted Critical
Publication of RU2762535C1 publication Critical patent/RU2762535C1/ru

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6209Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Bioethics (AREA)
  • Collating Specific Patterns (AREA)
  • User Interface Of Digital Computer (AREA)

Abstract

Изобретение относится к области вычислительной техники. Техническим результатом является повышение эффективности защиты автоматизированного рабочего места от несанкционированных действий на всех этапах его работы и обеспечение надежности защиты от несанкционированного доступа к информационным и техническим ресурсам. Способ непрерывной аутентификации пользователя включает сравнение параметров клавиатурного почерка пользователя с шаблонами почерка авторизованных пользователей из базы данных для принятия решения о допуске пользователя к работе с данными. При этом производится полная аутентификация пользователя, для чего пользователь проходит все операции доступа, включая биометрическую идентификацию по клавиатурному почерку. При положительных результатах аутентификации модуль принятия решения разрешает вход пользователя в систему, после чего осуществляется доступ пользователя к разрешенным ему ресурсам. В процессе работы пользователя ведется непрерывная пассивная биометрическая идентификация пользователя, фактически контролируя нахождение его на рабочем месте по клавиатурному почерку. 1 ил.

Description

Изобретение относится к области вычислительной техники и предназначено для повышения эффективности защиты автоматизированного рабочего места (АРМ) от несанкционированного доступа (НСД) к информационным и техническим ресурсам.
Известны способы аутентификации пользователя (US 8660322, 25.02.2014 г. кл. G06K 9/62, RU 2691201, 09.02.2018 г.).
Наиболее близким к изобретению по назначению и технической сущности является способ аутентификации пользователя с использованием биометрической обратной связи /US 8660322/.
Известный способ аутентификации пользователя с использованием биометрической обратной связи /US 8660322/ состоит в следующем.
Для реализации метода выполняется регистрация эталонного образца лица пользователя в базе данных пользователей. Впоследствии в фазе аутентификации система доступа позволяет пользователю осуществить вход на АРМ и использовать вычислительный ресурс на основе распознавания изображения лица, представленного видеокамерой системы, сравнив его с зарегистрированным в базе изображением.
При совпадении проверяемых характеристик наблюдаемого изображения с характеристиками зарегистрированного эталонного образца АРМ работает, а при их несовпадении или отсутствии изображения (пользователь покинул АРМ) экран монитора АРМ автоматически блокируется. В случае временного отсутствия пользователя при его возвращении на АРМ видеокамера фиксирует изображение его лица, и система автоматически снимает блокировку монитора, допуская пользователя к работе без прохождения повторной аутентификации с вводом идентификатора учетной записи и/или пароля.
Система позволяет только распознанному пользователю получить доступ к данным. В течение времени работы пользователя система аутентификации не требует взаимодействия с пользователем и не прерывает работу.
Недостатком известного способа - прототипа /US 8660322/ является относительно невысокая степень эффективности защиты ПЭВМ от НСД и удорожание системы защиты информации. Указанные недостатки связанны с тем что:
- Блокируется не ПЭВМ, а только экран монитора путем блокировки/разблокировки выхода графического интерфейса системой непрерывной биометрической аутентификации;
- Использование дополнительного оборудования (видеокамеры) удорожает возможность создания системы защиты информации.
Указанные недостатки ограничивают применение известного способа аутентификации пользователя с использованием биометрической обратной связи в области вооружения, военной и специальной техники (ВВСТ) видов и родов Вооруженных сил Российской Федерации на автоматизированных системах управления.
Задачей и техническим результатом изобретения является повышение эффективности защиты автоматизированного рабочего места от несанкционированных действий на всех этапах его работы при использовании как в автономном режиме, так и в составе локальной сети и обеспечения надежности защиты от несанкционированного доступа к информационным и техническим ресурсам.
Достижение заявленного технического результата обеспечивается тем, что способ непрерывной аутентификации пользователя включает создание шаблонов клавиатурного почерка авторизованных пользователей, сравнение параметров клавиатурного почерка пользователя с шаблонами почерка авторизованных пользователей из базы данных для принятия решения о допуске пользователя к работе с данными.
Для решения поставленной задачи в заявляемом техническом решении предлагается интегрировать систему разграничения доступа и систему непрерывной биометрической аутентификации, состоящую из средства ввода-вывода информации и программного средства биометрической идентификации.
При этом способ реализации защиты от несанкционированного доступа и контроля доступа в режиме реального времени с использованием клавиатурного почерка пользователя включает следующие последовательно реализуемые действия:
1) регистрацию пользователя с записью в память устройства эталонной информации, необходимой для последующей аутентификации пользователя, а также информации, определяющей полномочия пользователя по доступу к аппаратным ресурсам ПЭВМ; регистрация пользователя включает также регистрацию его биометрической информации в базе шаблонов клавиатурного почерка авторизованных пользователей;
2) настройку правил разграничения доступа (ПРД) к ресурсам ПЭВМ на уровне операционной системы пользователя для пользователей и исполняемых от их имени процессов;
3) проведение аутентификации пользователя, осуществляющего вход в систему, на основе предъявляемой им контрольной информации, а также его клавиатурного почерка, передаваемого устройством ввода информации в реальном масштабе времени;
4) предоставление доступа к ресурсам ПЭВМ в соответствии с полномочиями аутентифицированного пользователя с последующим продолжением пассивной непрерывной биометрической идентификации пользователя системой непрерывной биометрической идентификации (СНБИ);
5) обеспечение разграничения доступа к ресурсам АРМ системой разграничения доступа (СРД) на основе ранее сформулированных ПРД;
6) блокировку операционной системы ПЭВМ системой разграничения доступа по информации СНБИ при отсутствии пользователя на рабочем месте в течении задаваемого временного интервала;
7) разблокирование операционной системы ПЭВМ системой разграничения доступа при своевременном возвращении пользователя без необходимости повторной аутентификации;
8) полную блокировку работы ПЭВМ, вплоть до его отключения, системой разграничения доступа с необходимостью повторной полой аутентификации при включении ПЭВМ или его разблокировке в случае длительного отсутствия пользователя, а также при несовпадении образца клавиатурного почерка, полученного СНБИ с шаблоном почерка пользователя, прошедшего аутентификацию.
Процессом блокировки ПЭВМ при работе АРМ управляет СРД, основные модули которой функционируют в режиме ядра ОС. В состав СРД входит специальный драйвер разграничения доступа, функционирующий в области модулей ядра ОС, недоступной пользовательским приложениям. При взаимодействии СРД с модулем принятия решения СНБИ 10 в СРД реализуется механизм режима «пауза неактивности», позволяющий отключить пользователя по прошествии заранее заданного интервала времени отсутствия. С помощью данного механизма можно предусмотреть многоуровневую реакцию на отсутствие пользователя в зависимости от длительности его отсутствия. Для уровня «пауза неактивности 1», когда пользователь отсутствует сравнительно небольшой заданный промежуток времени, блокируется только операционная система ПЭВМ с последующим ее разблокированием при своевременном возвращении пользователя. Для уровня «пауза неактивности 2», когда время отсутствия пользователя превысило допустимое значение времени, осуществляется полная блокировка ПЭВМ или его отключение, после которого для включения или разблокировки ПЭВМ пользователю необходимо повторно пройти полную аутентификацию.
Осуществление предлагаемого изобретения иллюстрируется структурной схемой, представленной на Фиг. 1.
На Фиг. 1 представлена система непрерывной аутентификации пользователя автоматизированного рабочего места, где:
1. Автоматизированное рабочее место;
2. ПЭВМ;
3. Клавиатура;
4. Порт USB;
5. Операционная система (ОС);
6. Средство непрерывной биометрической аутентификации (СНБИ);
7. Модули ядра ОС;
8. Система разграничения доступа (СРД);
9. Драйвер разграничения доступа (ДРД) СРД, функционирующий на уровне ядра ОС;
10. Модуль принятия решения СНБИ;
11. Модуль принятия решения СНБИ (для сетевого варианта);
12. Сервер аутентификации (для сетевого варианта).
Осуществление изобретения
В соответствии со структурной схемой, представленной на фиг. 1, предлагаемая система непрерывной аутентификации пользователя, обеспечивающая защиту от НСД ресурсов и информации, хранимой и обрабатываемой на АРМ, реализуется следующим образом.
Система включает в себя ПЭВМ 2, средство ввода информации подключено к USB-порту 4 ПЭВМ 2. В операционную систему 5 ПЭВМ 2 загружено программное средство непрерывной биометрической идентификации 6, взаимодействующее с клавиатурой 3.
В ОС 5 ПЭВМ 2 установлена СРД 8, драйвер разграничения доступа 9 которой функционирует в области 9 модулей ядра ОС 7, недоступной пользовательским приложениям, что существенно повышает уровень защиты от несанкционированного вмешательства. После загрузки ПЭВМ 2 функции защиты осуществляет СРД 8, в том числе взаимодействует с модулем принятия решения СНБИ 10 средства непрерывной биометрической идентификации 6.
В процессе работы пользователя заявляемая система отслеживает периоды отсутствия положительной идентификации клавиатурного почерка пользователя, периодически через небольшие интервалы времени передаваемого клавиатурой 3 и анализируется средством 6. При неполучении в течение заданного промежутка времени успешного результата аутентификации работающего в системе пользователя или в случае, если СНБИ 6 идентифицирует пользователя, как отличного от текущего пользователя, прошедшего аутентификацию при входе в систему, через модуль принятия решения СНБИ 10 СРД 8 активизирует механизм блокировки ПЭВМ, для чего используется, как отмечалось выше, режим «пауза неактивности», реализованный в СРД. В зависимости от длительности интервала времени, характеризующегося отсутствием положительной аутентификации работающего в системе пользователя, СРД 8 осуществляет соответствующий ему защитный механизм блокировки ПЭВМ 2.
АРМ 1 может работать не автономно, а в составе локальной сети, оснащенной специальным сервером аутентификации 12. Как также отмечалось выше, в этом случае СНБИ разделяется на два модуля: транспортный модуль (ТМ СНБИ), который размещается в ОС 5 ПЭВМ 2 на месте средства 6 и отвечает за канал взаимодействия с СРД 8 и средством ввода 3, и модуль принятия решений (МПР СНБИ) 11, который размещается на специальном сервере аутентификации 12, проводит анализ передаваемых с средства ввода информации данных и сравнивает их с эталонами клавиатурного почерка в базе данных, после чего передает результаты биометрической идентификации пользователя через ТМ СНБИ в СРД 8.
Перед началом эксплуатации ПЭВМ 2 осуществляют регистрацию данных пользователя, его права на доступ к ресурсам ПЭВМ и информацию, необходимую для его аутентификации. Аналогично с помощью СНБИ в базу данных системы биометрической идентификации вносятся эталонные образцы клавиатурного почерка пользователей для проведения дополнительной биометрической идентификации в процессе аутентификации пользователя.
При включении ПЭВМ 2 осуществляется инициализация всех компонентов необходимых для его работы и начинает штатную работу. В процессе загрузки ОС активируются компоненты системы защиты, клавиатура 3, систему непрерывной биометрической идентификации пользователя 6 и СРД 8.
Затем производится полная аутентификация пользователя, для чего пользователь проходит все операции доступа, включая биометрическую идентификацию по клавиатурному почерку, проводимую клавиатурой 3 с СНБИ 6. При положительных результатах аутентификации, модуль принятия решения 10 разрешает вход пользователя в систему, после чего СРД 8 открывает доступ пользователя к разрешенным ему ресурсам.
В процессе работы пользователя СНБИ 6 ведет непрерывную пассивную биометрическую идентификацию пользователя, фактически контролируя нахождение его на рабочем месте по клавиатурному почерку, периодически передаваемому через незначительные интервалы времени клавиатурой.
В результате проведенного анализа уровня техники, включая поиск по патентным и научно-техническим источникам информации и выявление источников, содержащих сведения об аналогах заявленного технического решения, не было обнаружено источника, характеризующегося признаками, тождественными всем существенным признакам заявленного технического решения. Определение из перечня выявленных аналогов прототипа, как наиболее близкого по совокупности признаков аналога, позволило установить совокупность существенных по отношению к усматриваемому заявителем техническому результату отличительных признаков заявленной системы непрерывной аутентификации пользователя и защиты от НСД к информации, хранимой и обрабатываемой на АРМ. Следовательно, заявленное техническое решение соответствует критерию «новизна».
Проведенный дополнительный поиск не выявил известные решения, содержащие признаки, совпадающие с отличительными от прототипов признаками заявленного устройства защиты от НСД к информации, хранимой и обрабатываемой на ЭВМ. Заявленное техническое решение не вытекает для специалиста явным образом из известного уровня техники и не основано на изменении количественных признаков. Следовательно, заявленное техническое решение соответствует критерию «изобретательский уровень».
Источники, принятые во внимание при составлении описания и формулы изобретения:
1. Патент США US 8660322, кл. G06K 9/62, от 25.08.2011 г., опубл. 25.02.2014 г. (прототип способа).
2. Патент RU №2691201, кл. G06F 21/57, 09.02.2018 г, опубл. 11.06.2019 г. (прототип системы).

Claims (4)

  1. Способ непрерывной аутентификации пользователя и защиты АРМ от НСД заключается в создании шаблонов клавиатурного почерка авторизованных пользователей, сравнение параметров клавиатурного почерка пользователя с шаблонами почерка авторизованных пользователей из базы данных для принятия решения о допуске пользователя к работе с данными, отличающийся тем, что перед началом эксплуатации ПЭВМ 2 осуществляют регистрацию данных пользователя, его права на доступ к ресурсам ПЭВМ и информацию, необходимую для его аутентификации, аналогично с помощью средства непрерывной биометрической аутентификации 6 в базу данных системы биометрической идентификации вносятся эталонные образцы клавиатурного почерка пользователей для проведения дополнительной биометрической идентификации в процессе аутентификации пользователя,
  2. при включении ПЭВМ 2 осуществляется инициализация всех компонентов, необходимых для его работы, и начинают штатную работу; в процессе загрузки ОС активируются компоненты системы защиты, клавиатура 3, система непрерывной биометрической идентификации пользователя 6 и система разграничения доступа 8,
  3. затем производится полная аутентификация пользователя, для чего пользователь проходит все операции доступа, включая биометрическую идентификацию по клавиатурному почерку, проводимую клавиатурой 3 с средством непрерывной биометрической аутентификации 6; при положительных результатах аутентификации модуль принятия решения 10 разрешает вход пользователя в систему, после чего система разграничения доступа 8 открывает доступ пользователя к разрешенным ему ресурсам,
  4. в процессе работы пользователя средство непрерывной биометрической аутентификации 6 ведет непрерывную пассивную биометрическую идентификацию пользователя, фактически контролируя нахождение его на рабочем месте по клавиатурному почерку, периодически передаваемому через незначительные интервалы времени клавиатурой.
RU2020140136A 2020-12-04 2020-12-04 Способ непрерывной аутентификации пользователя и защиты автоматизированного рабочего места от несанкционированного доступа RU2762535C1 (ru)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2020140136A RU2762535C1 (ru) 2020-12-04 2020-12-04 Способ непрерывной аутентификации пользователя и защиты автоматизированного рабочего места от несанкционированного доступа

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2020140136A RU2762535C1 (ru) 2020-12-04 2020-12-04 Способ непрерывной аутентификации пользователя и защиты автоматизированного рабочего места от несанкционированного доступа

Publications (1)

Publication Number Publication Date
RU2762535C1 true RU2762535C1 (ru) 2021-12-21

Family

ID=80039221

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2020140136A RU2762535C1 (ru) 2020-12-04 2020-12-04 Способ непрерывной аутентификации пользователя и защиты автоматизированного рабочего места от несанкционированного доступа

Country Status (1)

Country Link
RU (1) RU2762535C1 (ru)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2825109C1 (ru) * 2023-09-26 2024-08-20 ООО "Ф.А.К.К.Т Антифрод" Способ и система поведенческого профилирования пользователя на основании анализа сигналов сенсоров мобильного устройства

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6819219B1 (en) * 2000-10-13 2004-11-16 International Business Machines Corporation Method for biometric-based authentication in wireless communication for access control
US8660322B2 (en) * 2011-08-25 2014-02-25 King Saud University Passive continuous authentication method
RU2619196C2 (ru) * 2015-08-05 2017-05-12 Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования "Воронежский государственный университет" (ФГБОУ ВПО "ВГУ) Способ перманентной аутентификации личности и состояния пользователя компьютера на основании паттернов поведения
RU172497U1 (ru) * 2016-10-20 2017-07-11 Артем Константинович Вишневский Биометрическое устройство разграничения доступа
RU2691201C1 (ru) * 2018-02-09 2019-06-11 Общество с ограниченной ответственностью Фирма "Анкад" Система, способ и устройство непрерывной аутентификации пользователя и защиты ресурсов автоматизированного рабочего места от несанкционированного доступа

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6819219B1 (en) * 2000-10-13 2004-11-16 International Business Machines Corporation Method for biometric-based authentication in wireless communication for access control
US8660322B2 (en) * 2011-08-25 2014-02-25 King Saud University Passive continuous authentication method
RU2619196C2 (ru) * 2015-08-05 2017-05-12 Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования "Воронежский государственный университет" (ФГБОУ ВПО "ВГУ) Способ перманентной аутентификации личности и состояния пользователя компьютера на основании паттернов поведения
RU172497U1 (ru) * 2016-10-20 2017-07-11 Артем Константинович Вишневский Биометрическое устройство разграничения доступа
RU2691201C1 (ru) * 2018-02-09 2019-06-11 Общество с ограниченной ответственностью Фирма "Анкад" Система, способ и устройство непрерывной аутентификации пользователя и защиты ресурсов автоматизированного рабочего места от несанкционированного доступа

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2825109C1 (ru) * 2023-09-26 2024-08-20 ООО "Ф.А.К.К.Т Антифрод" Способ и система поведенческого профилирования пользователя на основании анализа сигналов сенсоров мобильного устройства

Similar Documents

Publication Publication Date Title
US10050950B2 (en) Session manager for secured remote computing
EP2833292B1 (en) Programmable display apparatus, control method, and program
JP6481249B2 (ja) プログラマブル表示器、制御方法、およびプログラム
CN103593594A (zh) 用于使用脸部生物特征识别和屏幕手势来提供对电子设备的安全访问的系统和方法
WO2004021253A3 (en) Biometric pactor augmentation method for identification systems
JP2002099512A (ja) プロセス制御システムとそのセキュリティシステムおよび方法並びにそのソフトウェアシステム
US20170124313A1 (en) Authentication System and Method
JP2015026316A (ja) プログラマブル表示器、表示制御方法、およびプログラム
CN108933668A (zh) 用于提供用于对软件或固件进行编程和更新的受保护密码和认证机制的系统和方法
RU2691201C1 (ru) Система, способ и устройство непрерывной аутентификации пользователя и защиты ресурсов автоматизированного рабочего места от несанкционированного доступа
US20180165438A1 (en) Operator identification system
US20040260954A1 (en) Biometrics PLC access and control system and method
RU2762535C1 (ru) Способ непрерывной аутентификации пользователя и защиты автоматизированного рабочего места от несанкционированного доступа
US20200050755A1 (en) Action monitoring apparatus, system, and method
US10114961B2 (en) Operator system for a process control system
CN115223281A (zh) 一种门禁系统及门禁控制方法
US20220335157A1 (en) System and method for processing personal data
JPH0821024B2 (ja) コマンドファイルの作成処理方式及び実行権付与処理方式
Schiavone et al. Continuous user identity verification for trusted operators in control rooms
JP2018055250A (ja) 入退管理システム
KR101576242B1 (ko) 외부 작업자가 접속가능한 작업대상서버에 대한 보안관리 시스템 및 방법
KR102504284B1 (ko) 서버 사용자의 안면인식을 통해 서버 접속과 명령어 실행을 통제하는 보안시스템과 보안방법
KR102483980B1 (ko) 보안 정책 위반 행위자의 안면정보를 기록 및 추적해 관리하는 보안관리 시스템과 방법
JP2007265218A (ja) ユーザ監視システム
EP3270313B1 (en) Optical authorization method for programs and files